Grupp3Rapport

Avancerad brandväggslösning

ProjektrapportGrupp 3

Avancerad brandväggslösning Projektgrupp 3 KTH Syd, Campus Haninge

2007-04-27

II


III


IV

Tema: Datornätverk, projektkursTitel: Avancerad brandväggslösningGrupp: GR3

Deltagare: Serkan Kizil

Bora Öcüt

Ryan Dias

Alexandru Ionescu

Yonas H. Michael

Handledare: Micael Lundvall

Datum: 2007-04-27

Examinator: Micael Lundvall


Förord

Projektgruppens arbete har fungerat bra under projektets samtliga faser. De problem som uppstod löste vi under arbetets gång.

Projektet är utfört i kursen Datornätverk första året på programmet Datakommunikation, nätverk och säkerhet på KTH Syd Campus Haninge.

Hoppas att ni gillar det ni läser om.

Projektgrupp 3

KTH Syd Campus Haninge

2007-04-27

___________________ ___________________

Ryan Dias Alexandru Ionescu

___________________ ___________________

Serkan Kizil Bora Öcüt

___________________

Yonas H. Michael

V


Innehållsförteckning

1. INLEDNING............................................................................................................................................1

1.1 PROJEKTETS BAKGRUND......................................................................................................................11.2 MÅLFORMULERING..............................................................................................................................11.3 AVGRÄNSNINGAR................................................................................................................................11.4 BUDGETERING.....................................................................................................................................21.5 KRAVSPECIFIKATION...........................................................................................................................3

Funktionella krav Servers..................................................................................................................3Brandvägg – grundlösning...................................................................................................................4Brandvägg – fördjupad lösning............................................................................................................4Dokumentationskrav............................................................................................................................5Tidskrav................................................................................................................................................5

2. NÄTLÖSNING........................................................................................................................................6

2.1 VAD ÄR EN BRANDVÄGG ?..................................................................................................................7

3. TRAFIKHANTERING...........................................................................................................................8

3.1 TRAFIKREGLER....................................................................................................................................8Regel parametrar och åtgärder.............................................................................................................9

3.2 TRAFIK SHAPING/TRAFIK FORMNING................................................................................................103.3 TRAFIK SHAPING/FORMNING I COREPLUS.........................................................................................113.4 PIPE/RÖR I COREPLUS........................................................................................................................12

4 LOGGNING............................................................................................................................................13

4.1 VAD ÄR LOGGNING?..........................................................................................................................134.2 HUR INSTALLERAR MAN ”CLAVISTER LOGGER”?...............................................................................134.3 HUR MAN KONFIGURERAR ”CLAVISTER LOGGNING”.........................................................................134.4 HUR SKA MAN ANSLUTA SIG TILL EN ”CLAVISTER LOGGER”?..........................................................14

5. REAL TIME ÖVERVAKNING...........................................................................................................15

5.1 ATT TILLFOGA RÄKNARE...................................................................................................................15

6. REMOTE MANAGEMENT................................................................................................................16

7. SLUTSATS OCH REKOMMENDATIONER...................................................................................17

8. REFERENSER......................................................................................................................................18

8.1 INTERNETSIDOR OCH PUBLIKATIONER PÅ INTERNET.........................................................................18APPENDIX A – REVISIONSHISTORIA........................................................................................................19APPENDIX B – HOWTO............................................................................................................................20

Grundinstallation................................................................................................................................20Installera CorePlus.............................................................................................................................24

VI


1. Inledning

1.1 Projektets bakgrund

Denna uppgift är en projektuppgift inom ramen för kursen: Datornätverk projektkurs, 5p vid KTH, Campus Haninge. Projektuppgiften har formulerats av handledaren/examinatorn, Michael Lundvall, och syftet är att implementera en nätverksstruktur med en brandvägg för att säkerställa och analysera in- och utgående trafik mot Internet och andra nätverk.

1.2 Målformulering

Projektets målsättning är att implementera en fullt funktionell nätverkstruktur för kontrollerad och säker trafik mellan ett internt nätverk och det externa nätet (Internet). Fokus ligger på en avancerad brandväggslösning för att kunna filtrera och analysera nättrafik.

1.3 Avgränsningar

Brandväggen från Clavister är en demoversion med begränsningen att den bara fungerar i 2 timmar innan den måste återstartas.

Brandväggen kommer inte att konfigureras för att hantera en VPN-tunnel utan kommunikation externt kommer att ske via SSH och SFTP.

Gruppen kommer att begränsa sig till att huvudsakligen filtrera och övervaka in- och utgående nättrafik.

Mjukvara

Klienter Windows XP operativsystem

Server Windows 2003 Server Std

Apache Webbserver 2.2.4 Cerberus SFTP ServerVisualRoute Clavister FineTune 8.80.00

1


BrandväggClavister CorePlus 8.80.01 DEMO

Hårdvara Klientdator - PC (2 st.) Serverdator - PC (1 st.) Mekdator - PC (1 st.) Hub (1 st.)

1.4 BudgeteringI detta projekt har det inte funnits någon som helst budgetskrav. Men gruppen har ändå tagit fram några uppgifter som kan vara intressant. Som det har skrivits förut så användes en demoversion som skall startas om varannan timme och det är gratis men genom att kolla på andra hemsidor har det kommit fram att clavister kan vara lite dyrt. Lite fakta om vad en clavister - lösning kan kosta:

Clavister Security Gateway 50-serien är en serie nyckelfärdiga hårdvarubaserade säkerhetsprodukter som är designade för små och medelstora installationer. Clavister SG53, 3x10/100TX + 7x10/100TX, 75 Mbit/s plain text, 20 Mbit/s AES, 50 VPN tunnlar, 8 VLAN, 5VSYS lägsta pris ligger runt 8400 kronor

2


1.5 Kravspecifikation

Introduktion

Nätverket skall vara relativt väluppbyggt och enkelt att administrera med en brandvägg, en webbserver samt två klienter.

Funktionella krav Servers

Webbserver

Webbservern skall installeras i ett DMZ-nät och har till uppgift att publicera dokument till handledaren, gruppen samt övriga projektgrupper rörande projektarbetet.

DHCP

DHCP-tjänsten skall vara igång och tilldela de interna klientdatorerna IP-adresser (på det lokala nätet).

DHCP-scopet bör omfatta adressområdet 10.3.0.3 – 10.3.0.255 (SM: 255.255.255.0).

Följande optioner skall vara konfigurerade för DHCP-scopet:Default Gateway: 10.3.0.1 DNS Server: 10.3.0.5 DNS Domain Name: grp3.local Broadcast address: 10.3.0.255

DNS

DNS tjänsten skall konfigureras på Servern med Forward-zonen (grp3.local) samt Reverse-zonerna (0.3.10.in-addr.arpa och 0.3.10.in-addr.arpa) för DNS-förfrågningar internt inom domänen.

Forwarder funktionen skall aktiveras och skickar förfrågningarna till publik DNS-server hos KTH-Syd på adressen 130.237.83.7 samt 130.237.83.3.

SFTP-server

En SFTP-servern skall installeras på webbservern för fil - åtkomst för handledaren via säker uppkoppling (SSL). Handledaren skall förses med ett inloggningskonto.

3


Brandvägg – grundlösning

Projektgruppen har valt en brandväggslösning från Clavister. Brandväggen är inkopplad till det interna nätverket samt via KTH:s publika nätverk ut mot Internet. Inifrån tillåts all trafik men ingen trafik tillåts normalt utifrån om det inte är initierat av klientdatorn på det interna nätverket.

Brandväggen är konfigurerad med en DMZ-zon som används för webbservern och är isolerad från det interna nätverket. Portarna/adresserna som är publicerade mot Internet är WWW (port 80) mot den interna WWW-servern för åtkomst till projektgruppens dokument. Dessutom är FTP (port 22) via SSH öppen för att möjliggöra för handledaren samt gruppens medlemmar att lägga upp samt hämta filer på den interna FTP-servern.

Brandvägg – fördjupad lösning

Projektuppgiften har en fördjupning utöver uppbyggnaden av en nätverksstruktur. Vår uppgift är ”försvar på djupet” vilket för vår del innebär det att vi kommer att konfigurera brandväggen för en mer avancerad filtrering och styrning av nättrafiken.

Vår fördjupning innebär följande konkreta lösningar:

– Att konfigurera ett ALG-filter (Application Layer Gateway). ALG-metoden är en metod för att analysera UDP och TCP-paket. Med ALG-lösningen kan många problem som uppkommer med FTP och andra applikationsprotokoll lösas.

– Att konfigurera en ARP-lösning. ARP-lösningen används för att publicera mer än en IP-adress på ett enda interface (utgång). Brandväggen kan alltså svara på ARP-anrop.

– Att konfigurera en logg-modul. Brandväggens loggar kan lagras på en separat modul. Loggarna kan sedan analyseras för att kunna utläsa viktig information rörande nättrafiken.

4


Dokumentationskrav

Projektgruppen kommer att färdigställa en teknisk rapport till den 27/4 då projektet skall redovisas. Dokumentationen av projektet kommer att fortgå löpande och följande kommer att ingå:

- En ”How to” manual.

- Nätverkslösningen

- Konfigurationsinställningar på brandvägg och server.

- IP-plan

- Webbserverkonfigurationen

Tidskrav

Projektrapporten skall sammanställas och distribueras och slutlig till fredagen den 27 april. Efter den 27 april kommer den att justeras genom lärare och gruppen. Projektredovisning den 11 maj.

5


2. Nätlösning

Den här bilden beskriver hur gruppens nätlösning ser ut

Brandväggen:Interna IP: 10.3.0.1Externa IP: 193.10.39.133

Klienter:

Klient1: 10.3.0.3Klient2: 10.3.0.4

Server (WWW): 10.3.1.5Nät:

Interna LAN: 10.3.0.1-10.3.0.255

DMZ: 10.3.1.1-10.3.1.255

Brandväggen är inkopplad till det interna LAN-nätet samt via KTH: s publika nätverk ut mot Internet. Inifrån tillåts all trafik men ingen trafik tillåts normalt utifrån om det inte är initierat av klientdatorn på det interna nätverket.

Portarna/adresserna som är publicerade mot Internet är WWW (port 80) mot den interna, i DMZ-zonen liggande, WWW-servern för åtkomst till projektgruppens publicerade webbmaterial.Dessutom är SFTP (via SSH), port 22 öppet för att möjliggöra för gruppmedlemmar och handledare att lägga upp/hämta filer på den interna SFTP-servern.Brandväggen är konfigurerad med en DMZ-zon som används för gruppens webbserver och är isolerad från det interna nätverket.

6


2.1 Vad är en brandvägg ?En brandvägg är en programvaru- eller hårdvarubaserad kontrollmekanism för nätverkstrafik. Brandväggar kopplas mellan två eller fler nätverk där ett nät ofta leder ut mot Internet men kan även installeras som en mjukvara i den dator som ska skyddas. Brandväggen lyssnar på och inspekterar all ingående och även i tredje generationens brandväggar också på utgående trafik och bestämmer om den är behörig eller ej.

För att avgöra vilken trafik som är behörig eller inte följer den efter bestämda regler, regler som är bestämda av en systemadministratör eller användare. I regelverket kan man vanligtvis använda parametrar såsom IP-adress, portnummer, tjänst eller program. Det är även vanligt att man specificerar att alla sessioner måste initieras från brandväggens insida.

Trafik som stoppas kan vara sådan från trojaner eller från vissa spel. Ett vanligt missförstånd är att en portfiltrerande brandvägg gör datorn säker mot datorintrång. Portfiltrerande brandväggar kan visserligen stoppa trojaners trafik, men mot hackers gör den sällan någon nytta eftersom de utnyttjar säkerhetsluckor. För att skydda sig mot sådant behöver man en brandvägg som gör kontroller ända upp på applikationslagret i OSI-modellen, en så kallad innehållsfiltrerande brandvägg, t.ex. en brandvägg från Clavister. Med tanke på brandväggens säkerhetsfunktion är det viktigt att den är säker och att man kan lita på den. En brandvägg med säkerhetsluckor kan försämra säkerheten.

Hårdvarubrandväggar är idag vanligast hos större organisationer såsom företag, organisationer och institutioner Men det finns även små billiga hårdvarubrandväggar för hemmabruk. Hos hemanvändarna är det idag vanligt med mjukvarubrandväggar (personliga brandväggar) eller bredbandsroutrar med inbyggd NAT-brandvägg.

7

http://sv.wikipedia.org/wiki/OSI-modellen

http://sv.wikipedia.org/w/index.php?title=S%C3%A4kerhetsluckor&action=edit

http://sv.wikipedia.org/wiki/Hackare

http://sv.wikipedia.org/wiki/Datorintr%C3%A5ng

http://sv.wikipedia.org/wiki/Spel

http://sv.wikipedia.org/wiki/Trojaner

http://sv.wikipedia.org/w/index.php?title=Portnummer&action=edit

http://sv.wikipedia.org/wiki/IP-adress

http://sv.wikipedia.org/wiki/Systemadministrat%C3%B6r

http://sv.wikipedia.org/wiki/Internet


3. Trafikhantering

3.1 Trafikregler

Reglerna skannas från toppen ner till botten, där varje regel jämförs med det undersökta paketet tills en matchande regel hittas. De siste reglerna i vår regeluppsättning är NetBIOS och en ”DropAll”-regel sist, d.v.s. om inga matchande regler hittas så kommer brandväggen att stoppa trafiken. Bara paket som uppfyller våra uppställda regler tillåts att passera brandväggen.

Vi har döpt samtliga regler för att lättare förstå vad regeln har för filtrerande funktion. Följande filter har använts:

Allow – Låter paket passera brandväggen.

NAT – Fungerar som Allow men med fler till en (dynamisk) adress översättning.

SAT – Talar om för brandväggen att den ska utföra en statisk adress översättning (Static Adress Translation). Denna regel kräver också en matchande Allow-regel för att fungera.

Drop – Talar om för brandväggen att den skall omedelbart stoppa paketet.

Reject – Fungerar som Drop men returnerar också en TCP ”RST” eller ICMP ”Unreachable” meddelande som meddelar avsändaren att paketet inte tilläts att passera.

8


Regel parametrar och åtgärder

Mottagande Interface eller ”Source Interface” - Anger det interface som paketen måsta ha anlänt via för att en regel skall tillämpas.

Mottagande Nätverk eller ”Source Network” - Anger det nätverk som paketets IP adress skall matcha för att regeln skall tillämpas

Destinations Interface eller ”Destination interface” - Brandväggen kontrollerar paketets destinations IP adress i dess routing tabell. Resultatet av kontrollen måste matcha det filter som har specificerats i Destinations interface kolumnen för att regeln skall tillämpas.

Destinations nätverket eller ”Destination network” - Anger det nätverk som paketets destination IP-adress måste matcha för att regeln skall tillämpas.

Service - Anger vilken typ av protokoll som paketet skall ha för att regeln skall tillämpas

9


3.2 Trafik shaping/Trafik formning

Genom att ha en dedikerad enhet som kollar genom trafiken kan man åstadkomma högre grad av kontroll och säker hantering av trafiken. Hantering av trafiken kan åstadkommas enligt följande:

Implementera bandbreddsbegränsning genom att lägga paket som överskrider begränsningen i förvar och skickar det senare när bandbredden inte är lika hög belastad.

Slänga paketen om bufferten är fullt. Helst de paket som orsakar mest störning i trafiken.

Prioritera trafiken enligt administrerarens val.

Förse med garanterad bandbredd. Detta åstadkommes genom att behandla en viss mängd av trafik som hög prioritet och trafiken som överskrider får lägre prioritet eller prioritet som annan trafik.

10


3.3 Trafik shaping/formning i CorePlus

CorePlus erbjuder omfattande trafikhanterings möjligheter. Och eftersom allt med clavister är så centralt för Internet trafiken så kan det ha sina fördelar med att ha någon sorts trafikkontroll. Det finns ett par nyckel egenskaper hos clavister som kan hjälpa en med dessa.

Pipe based – trafikformning i CorePlus hanteras av ett koncept som baseras på ”pipes”, där varje har många prioriteringar, begränsningar och grupperings möjligheter. Samt individuella ”pipes” kan länkas ihop på olika sätt för att kunna åstadkomma större bandbredds hantering.

Close integreation with gateway rulesets – varje gateway regel kan tilldelas till en eller flera pipes.

Exempel på detta kan vara att man hanterar inkommande paket via ut interfacet med annorlunda regler än trafik från vårt interna interface som ska ut från vårt nät.

Grouping- Trafik genom en pipe kan automatiskt grupperas till pipe users, där varje pipe user kan konfigureras som en vanlig pipe. Trafiken kan grupperas med avseende på flera saker, ett exempel är ip adressen.

Dynamic bandwith balancing- man kan genom traffic shaper i FineTune forma och ange regler för trafiken och göra dynamisk balansering av bandbredds fördelning om non pipe user har överskridit sitt bandbredd.

Med detta menas att ledig och tillgänglig bandbredd kan jämnt fördelas mellan pipes inom respektive gruppering.

Pipe chaining- efter att pipes har skapats så kan de tilldelas till något vanlig regel. Upp till 8 pipe kan kopplas ihop för att forma en kedja. På detta sätt så kan man begränsa mer och filtrera mer på ett sofistikerat sätt.

Traffic gaurante- Med de rätta konfigurationerna, så kan man via trafik shaping åstadkomma garanterad bandbredd.

11


3.4 Pipe/Rör i coreplus

En pipe är en central koncept i trafick shaping/formning av CorePlus och är grundläggande för bandbredds kontroll. En pipe är relativt simpel eftersom den inte kontrollerar innehållet utan det den gör är att mäta trafiken och flödet. Sedan implementerar den vissa regler för bandbegränsning som den har konfigurerats med i förväg. Inkommande trafik filtreras först via IP rule-set och skickas sedan till de pipes som den passar i regeln. I pipen är trafiken begränsad konfigurationen av pipen och skickas sedan antingen till destinationen eller vidare till en annan pipe. CorePlus är kapabel till att ta hand om hundratals pipe på en och samma gång.

Bild1. På bilder ser man hur packet flöde genom pipes.

Och som nämnts tidigare så går det att gruppera pipes i grupper. Man kan manuellt ge pipesen en prioritet så att en viss pipe har företräde före andra och på så sätt kan man se till att trafiken blir mer eller mindre garanterat eller att viktig trafik kommer fram först. Varje pipe har 8 företräde eller prioritets nivåer. Och ett exempel på hur det kan se ut har du här nedan.

12


4 Loggning

4.1 Vad är loggning?”Clavister logger” körs som en aktiv användning på Microsoft Windows Servern. Servicen tar emot UDP data från en clavister säkerhetsport som använder port 999 men det kan man ändra utan problem till en annan port.

All data är sorterad och förvarad i en hierarkisk struktur. Där man kan se att varje clavister säkerhetsport representeras av en singel katalog. Loggfilerna sparas som binära tal, för att det ska vara snabbare analyser.

4.2 hur installerar man ”clavister logger”?var ska man installera ”clavister logger”?

FineTune är använd som användare för alla ”clavister logger” arbeten, inkluderad konfigurationer och analysering av loggdata. Med det menar man att datorer och kataloger där clavister logger är installerad måste vara tillgänglig via Windows fildelning från ledningsarbetsplatser som menas att det loggas.

4.3 Hur man konfigurerar ”clavister loggning”att konfigurera clavister logger är gjord genom FineTune. Alla konfigurationsinställningar är förvarade i en fil som kallas fwlogger.cfg.

13


4.4 Hur ska man ansluta sig till en ”clavister logger”?

1. starta FineTune

2. välj verktyg från meny och sedan alternativ

3. genom det här kommer det att komma upp ett dialogfönster som används för anslutning för att genera något nummer av clavister logger. I början kommer fönstret att vara tom.

4. klicka på lägg till knappen. I namnfältet av dialogfönstret skriver du ett symbolisk namn för den nya ”clavister logger”

Bild1. Så här borde det se ut när ska ansluta dig till en clavister logger

14


5. Real Time Övervakning

Detta kapitel beskriver realtidsövervakning i FineTune. Real-Time övervakning är ett verktyg for plotning för att konspirera i Real-Time värden från en gateway. Foljande uppgifterna möjligt att använda Real-Time Övervakning:

Övervaka ett eller flera system samtidigt

Övervaka för kapacitet

Övervaka för bandbredd

Genom att använda den realtidsövervakade orienteringen görs det lättare att se statistiken, genomsnittsvärdet timme for timme och sekund for sekund.

5.1 Att tillfoga räknare1. Välj gateway och counters genom att klicka på tillfoga counters.

2. Gå in på redigerar menyn där ett fönster dyker upp med gateway som är konfigurerade.

3. Där väljer du nyckel och vilken counter som ska övervaka

15


6. Remote Management

Med clavister kan man även administrera systemet avlägset från någon annan plats. Men för att detta ska vara möjligt så måste det anges och konfigureras i brandväggen.

Alla “Remote Management” av Clavisters säkerhetsportar, inklusive konfiguration, övervakning och även klara uppgraderingar görs genom 128-bitars kryptering och autentisering. Protokollet som används för ”remote management” kallas NetCon som är baserad på CAST128 krypterad algoritm. NetCon protokollet använder TCP och UDP som transport protokoll, med mottagarport 999.

Remote Management Keys är unika för varje Clavister Säkerhetsport. De är framställda genom att det använder starka kryptografiska nummergenerator när nya portar är skapade i säkerhets editor. Remote Management Keys förvaras i management datakällan.

För att få tillåtelse till fjärran administration av en Clavister Säkerhetsport, måste tre krav uppfyllas:

1. Remote Management Keys av porten måste kännas till..

2. Datorn som kör FineTune måste tillhöra till ett nätverk som har blivit beviljade administrativa rättigheter.

3. NetCon förbindelserna från FineTune till Clavisters säkerhetsport måste ha blivit mottagen på ett specifikt gränssnitt på porten.

Remote Management är som sagt möjligt om dessa 3 krav är uppfyllda. Men denna projektgrupp har valt att inte göra det utan bara nämna att det är möjligt.

16


7. Slutsats och rekommendationer

Resultatet av vår nätlösning är att CorePlus är ett väldigt bra program att använda sig av. Om man ska implementera det ett stort nät. Lite komplext var den men förmodligen så berodde det mer på oss än på CorePlus själv för att vi vart förvirrade av alla regler o.s.v. men man har tillgång till support via telefon om man köper det och använder CorePlus.

Problem uppstod som mest i början med hårdvaran och sedan vid regelsättningen i CorePlus. Om det inte hade inträffat något hårdvara problem där i början så skulle förmodligen projektet ha löpt på bättre.

Vår lösning bygger som sagt mestadels på regler som man kan sätta upp för att kolla på trafiken och även bandbreddsbegränsning. Vi lyckades någorlunda med det, denna lösning är bra men det är möjligt att det finns andra lösningar som är lika bra och kanske bättre.

Några rekommendationer som vi vill göra är att det finns brandväggar som är gratis. Dessa är vanligtvis strippade versioner utav betalversionen och brukar vara i princip en ren brandvägg som hindrar folk att komma åt ens dator.Men med ett gratis antivirusprogram och en gratis brandvägg så har man kommit en bra bit på vägen. Några program som man kan använda är:

Zone Alarm Personal Edition :(Hjälpa till att "gömma" din dator på nätet, så att ingen som inte är tillåten kan koppla upp sig mot datorn)

OutpostFree Firewall

Sygate Personal Firewall

17

http://www.antivirusprogram.se/brandvaggar/sygategratis.php

http://www.antivirusprogram.se/brandvaggar/outpostgratis.php

http://www.antivirusprogram.se/brandvaggar/zonealarmgratis.php

http://www.antivirusprogram.se/antivirusprogram.php


8. Referenser

8.1 Internetsidor och publikationer på Internet [1] http://www.clavister.com/manuals/ver8.6x/manual/remote_management/remote_managment.htm 24 april 2007

[2] http://www.clavister.com/pdf/Clavister_CorePlus_Admin_Guide_8_80.pdf

24 april, 2007

[3] http://www.clavister.com/pdf/Clavister_FineTune_Admin_Guide_8_80.pdf

24 april, 2007

[4] http://www.downloadcentral.dk/images/category/3.gif 27 april 2007

bilden som används på första sidan

[5] http://www. sakerhetscentret.se

3 maj, 2007

[6] http://www.prisjakt.nu3 maj, 2007

[7] http://www.inwarehouse.se3 maj, 2007

[8] http://www.hps.se3 maj, 2007

[9] http://www.nettrust.se3 maj, 2007

Eftersom vi använde clavister så kommer alla våra referenser från deras manualer men de hjälpte till mycket.

18

http://www.nettrust.se/

http://www.hps.se/

http://www.inwarehouse.se/

http://www.prisjakt.nu/

http://www.sakerhetscentret.se/

http://www.downloadcentral.dk/images/category/3.gif%2027%20april%202007

http://www.clavister.com/pdf/Clavister_FineTune_Admin_Guide_8_80.pdf

http://www.clavister.com/pdf/Clavister_CorePlus_Admin_Guide_8_80.pdf

http://www.clavister.com/manuals/ver8.6x/manual/remote_management/remote_managment.htm%0B

http://www.clavister.com/manuals/ver8.6x/manual/remote_management/remote_managment.htm%0B


Appendix A – RevisionshistoriaRev. nr. Datum Ansvarig Aktivitet1.0 2007-04-27 Alla Första utgåvan1.1 2007-05-06 Alla Andra utgåvan

Tabell 1. Revisionshistorik

19


Appendix B – HowTo

Grundinstallation

Steg 1: Installation av brandväggen

Vid installation av clavister-brandväggar kan man välja tre installationsalternativ:

Installation av en komplett hårdvarulösning,

Installation av endast mjukvararan (förutsätter en specialbyggd dator)

Grund installation

Gruppen har valt mjukvarulösningen.

20


Steg 2: Ange ett namn på brandväggen och en ip-adress (tex 192.168.101.240).

Det finns alltid möjlighet att kommentera inställningen man gör genom att lägga till kommentarer i ”Comments”.

21


Obehörigt intrång av brandväggen kan skyddas genom att ange ett lösenord. Speciellt om brandväggen finns åtkomligt i en miljö där andra personer kan komma åt den.Ange sedan var bootfilen skall sparas, t.ex. på en diskett (för att sedan läggas över på hårddisken).

22


Slutligen skall version på bootfilen anges. När bootfilen läggs på diskett är det lämpligt att välja mini-versionen.

Sedan väntar programvaran på att få kontakt med brandväggen.

23


Installera CorePlus.

Clavisters egna mjukvara installeras på en datorburk. Samtidigt öppnas en kommunikationslänk mellan brandväggen och en dator från vilket brandväggen kan konfigureras. Konfigurationen sker med hjälp av ett program med grafiskt gränssnitt kallat Clavister FineTune.

Det första man börjar med är att skapa en så kallad Security Gateway för kommunikation mellan FineTune och brandväggen.

24


Här anges vilka fysiska gränssnitt som finns mot de olika näten, det vill säga vilka nätverkskort.

25


Regel 1-6: Här anges IP-adress och broadcast adress för varje anslutet nät.Regel 6-9: Här anges nätadressen och subnät masken för varje anslutet nät.Regel 10: Här anges serverns fasta IP-adress.Regel 12-13: Här angavs klienternas fasta IP-adress innan DHCP-servern var igång.Regel 14: Gateway som brandväggen anropar för att komma ut mot världen.Regel 15: IP-adress för den externa DNS-servern. Regel 16: Nätadress för management.

26


Dessa ruttregler anger vilket interface som brandväggen ska använda sig avför att komma till ett specifikt nät.

27


Vyn för regler som hanterar portforwarding.

Regler 1-2: Skapas för att tillåta DNS-trafik mellan klientdatorn och extern DNS-server.

Regler 3-4: Tillåter http-trafik mellan klient och omvärlden.

Regler 5-6: Möjliggör management ping mellan klient och brandvägg. Alla andra rutter stäng för management ping.

Regler 7-10: Skapas för att tillåta DNS-trafik mellan serverdatorn och extern DNS-server.

Regler 11-13: Datorer från externa nät som kopplar upp sig mot IP-adressen till vårt nät omdirigeras till webbservern. http-trafik tillåts för access till gruppens webbsida.

Regler 14-15: Access till webbservern från det interna nätet.Regler 16-18: Tillåter SFTP uppkoppling mellan serverdator och datorer på externa nät.

Regel 20: Om inkommande paket jämförts med ovanstående regler och ingen matchar så droppar brandväggen de paketen.

28

Documents

Grupp3Rapport