WUG Hands-On-Session 3/2004, 15.+16. Okt.

Generell, wie bei allen Servern sollte genau überlegt werden, welche Dienste wirklich notwendig sind.
Mailserver etc. sollte auf einem Firewall-Rechner nicht verwendet werden.

3) ISA-Server 2004 installieren

Der ISA-Server kann auf ein ActiveDirectory zugreifen. Man hat dann die Möglichkeit Regeln auf Userbasis zu erstellen. Sonst kann der User nur unzureichend über die IP-Adresse erfasst werden.

Unterstützt werden eine beliebige Anzahl von Netzwerkinterfaces (vermutlich wird die Grenze hardwareseitig erreicht). Bei der Installation des ISA-Servers sollten die Netzwerkkarten angeschlossen werden (bitte noch nicht ans Internet!!!). Am Besten an einen unbenutzten Hub/Switch oder mittels Loopback-Stecker!

Loopback-Stecker zum Selbermachen

   +-------------------+
   |                   |  
   |  | | | | | | | |  |
   |  | | | | | | | |  |
   |  A B A     B      |
   |  | | |     |      |
   |  | | |     |      |
   |  | | |     |      |
   |  | | |     |      |
   |  | +-------+      |
   |  |   |            |
   |  |   |            |
   |  |   |            |
   |  +---+            |
   |                   |
   |                   |
   +-------------------+

Gruppenübungsvorgaben

Es wurden 9 Teams gebildet und folgende Addressbereiche zugewiesen.
Hier als Beispiel für Team-9:

Intern	192.168.9.x
DMZ	192.168.109.x
WAN	10.0.0.9

'Privates Internet'

WAN-Seitig wurden die einzelnen Teams zusammengeschlossen und bildeten somit ihr eigenes 'Internet'. Über 10.0.0.254 gab es jedoch einen ISDN-Router ins tatsächliche Internet.

Team-9 Besonderheiten

Die WAN-Schnittstelle war eine WLAN-Karte, die auf 192.168.1.9 konfiguriert wurde. Damit ließ sich ein ZyAir-AP auf 192.168.1.1 ansprechen, der wiederum mit dem 'privaten' Internet verbunden war (10.0.0.253).

Firewall-Client

Normalerweise wird ein internes Netz mittels NAT ans Internet angeschlossen. Damit funktionieren allerdings einige Dienste nicht (EDonkey). ISA unterstützt den Firewall-Client. Damit wird der externe IP-Verkehr des Clients, direkt ohne Umsetzung auf den Server gemapt.
Diese Firewall-Client-Software ist auf dem Client zu installieren und nur für Windows verfügbar. Ein wenig umständlich ist es, wenn der User z.B. ein Notebook hat und es bei anderen Internetzugängen auch verwenden will (nicht vergessen ab- bzw. aufdrehen).

Weitere Informationen zum ISA-Server

www.isaserver.org	ISA resource site
www.microsoft.com/isaserver	ISA-Server VPN Deployment Kit
www.bsi.bund.de	Bundesamt für Sicherheit und IT

Herbert hat bse.org genannt. Gibt's aber nicht. Ich denke er hat BSI gemeint und das ist unter dem obigen Link erreichbar.

Konfiguration der Netzwerkadapter:
Intern: Subnetz zuweisen

Nach der Installation ist das Meiste von der Firewall blockiert. Falls jedoch der Server per Terminal-Client installiert wird, kann von dieser IP weiterhin konfiguriert werden. Alle anderen sind per default geperrt.

Administration

Es existieren eine Reihe von Wizards für vordefinierte Szenarien. Meistens wird man die Grundkonfiguration per 3 Abschnitt Umkreisnetzwerk (soll heißen LAN/WAN/DMZ) durchführen und dann auf seine eigenen Bedürfnisse anpassen.

Netzwerke festlegen

Bemerkenswert ist hier die mögliche Unterteilung der VPN-Clients. Neben dem normalen VPN-Netzwerk läßt sich noch ein Quarantäne VPN einrichten, das für VPN-Clients gedacht ist, die über keine ausreichenden Systemupdates und aktuellem Virenschutz verfügen. Diese könnten z.B. nur auf bestimmte Bereiche des Servers zugreifen.

Netzwerksätze

Einzelne zuvor festgelegte Netzwerke können zu Netzwerksätzen zusammengefaßt werden (z.B. mehrere LAN-Netzwerke). Man tut sich bei den Regeln anschließend viel leichter.

Webverkettung

Cache

Eigene Regeln für Proxy (HTTP, FTP).
Achtung: Falls in der DMZ ein Webserver betrieben wird, so sollte eine eigene Ausnahmeregel hinzugefügt werden, damit die Zugriffe nicht gecacht werden.

Eigentlich klar, aber falls man darauf vergisst geht's halt nicht: Ein Cache-Laufwerk sollte eingerichtet werden.

Berichte

Die Log-Files können auf mehrere Arten erzeugt werden.

MSDE	Meistens zu empfehlen
Datei	schlecht für Queries
SQL-Server	gedacht für Ablage auf externem Server

MSDE wurde in der Vergangenheit immer weiter aufgewertet. Hier bietet diese Variante sogar weitere Möglichkeiten (z.B. 2GB-Grenze aufgehoben).
Achtung: Der Plattenplatz kann beim Logging rasch anwachsen (besonders bei allfälligen Attacken). Das sollte berücksichtig werden.

Für Proxy und SMTP gibt es eigene Berichtseinstellungen. Teilweise allerdings mit Limits (z.B. nicht mit externem SQL-Server).

Verwendung der MSDE-Datenbank durch SQL-Server

Hack by Roland

roland.j.koller@siemens.com

Roland Koller

Beim SQL-Server TCP/IP und UDP einrichten (svrnetcn.exe)
SQL-Server in mixed authentication mode in Registry umstellen (NTAUTH=2)
Im ISA-Server 2 Regeln definieren, damit Zugriff auf SQL-Server erlaubt ist.
Mit dem OSQL-Tool ein SA Passwort vergeben

Übung: DHCP-Server einrichten

1) Einstellungen im DHCP-Server

Angaben im DHCP-Server wie gewohnt (IPAdr-Vergabe, DNS).

2) Zugriffsregel

Damit der Zugriff auf den DHCP-Server funktioniert, ist eine neue Regel einzurichten.
Für Route (weil Intern -> DHCP-Server).
(Die Alternative wäre eine Serververöffentlichungsregel [NAT]).

Genauer: 2 Regeln sind notwendig

Intern -> LocalHost	DHCP-Anforderung
LocalHost -> Intern	DHCP-Antwort

Die Protokollierung mit Filtern ist dabei recht angenehm. Man sieht sich an was nicht geht und erstellt dann genau dafür eine Regel.
Für DNS-Abfrage auch eine Regel definieren (Antwort ist hier aber nicht notwendig).

Systemrichtlinien-Editor

Für Dinge die die Firewall selbst betrifft.
Einstellung für:

Authentifizierung (Radius, AD, etc.)
Remoteverwaltung
Diagnosedienste (ping!!)
Protokolierung (darf die DB überhaupt auf fremden Rechner liegen?)
Remoteüberwachung (darf mail etc.)
usw.

Übung: Umleitung für Webadressen

Mache aus www.orf.at -> www.krone.at

Zusätzliche Regel:

Nach	www.orf.at/*
Sperren und umleiten	www.krone.at

Achtung: Das '/*' ist wesentlich. Sonst geht's nämlich nicht.

Übung: Werbeblocker (by Klaus)

Eine zusätzliche Regel für ein URLSet definieren und auf ein lokales Bild umleiten.

Klaus hat für sich folgende URLs herausgefunden:

http://*/RealMedia/ads/* 
http://view.atdmt.com/* 
http://a.mktw.net/* 
http://ad.doubleclick.net/adi/* 
http://ad.doubleclick.net/ad/* 
http://*.a1.yimg.com/*

Das lokale Dummy-Bild befindet sich bei unseren Tests erreichbar unter:

http://team9.wug.at/warning.gif

Eine zweite Regel lässt sich dann noch für Werbe-Javascripts verfassen. Wiederum wird statt dessen ein eigenes Javascript ausgeführt, das jedoch auch nur das Dummybild liefert.

Zu ersetzende Sourceadressen:

http://*/RealMedia/ads/*
http://*.doubleclick.net/adj/* 
http://adfarm.mediaplex.com/ad/js/* 
http://adfarm.mediaplex.com/ad/bn/* 
http://ad.adworx.at/*

Das lokale Javascript sollte folgendermaßen aussehen

   function OAS_RICH(pos) { 
      document.write('<IMG SRC="http://team9.wug.at/warning.gif" Border="0">');
   }

Offtopic: Fritz hat eine Client-basierte HOSTS-Lösung dafür.

accs-net.com/hosts/get_hosts.html

Fertige HOSTS-Datei mit über 17000 Einträgen

Sa. 16.Okt.: Thema Server

Umlautdomains?

Umlautdomains sind Sache des Browsers, der Benutzereingaben bzw. die Ausgabe von Umlauten in die Form 'xn--....' umsetzen muss. Daher betrifft das einen Proxy bzw. Firewall nicht und läuft transparent ab.

Serverszenarien

Übung: DNS-Server

Für unser Beispiel sollten DNS-Abfragen von außen zugelassen werden.
Unter Tasks / Firewall Policy Tasks / Publish... startet man den New Server Publishing Rule - Wizard.
DNS verwendet Port 53 UDP (besser auch TCP dazu), sowohl ein- bzw. ausgehend.

Team-9: In der DMZ steht der WUG-Server mit IP = 192.169.109.1
Am WUG-Server läuft ein DNS-Server mit einem Eintrag wugs.hos.wug.at, der auf sich selbst zeigt.

Erweiterung der Übung mit ext. DNS-Server

DNS-Server 66.98.144.61 hat folgende Einträge:

team1.wug.at	10.0.0.1
team2.wug.at 10.0.0.2
team3. usw	usw.

Damit ergibt sich folgender Vorgang (sofern die Firewall-Regeln richtig sind!):
Ein Client aus Team-9 macht einen Browseraufruf zu http://team3.wug.at. Per DHCP hat dieser Client zugewiesen bekommen, dass er den DNS-Server 192.168.109.1 (der WUG-Server in der DMZ) zu verwenden hat.
Der kennt jedoch nur sich selbst und leitet Unbekanntes ins Internet weiter (hier der normale DNS-Vorgang .at / .wug.at / team3.wug.at). Der externe DNS-Server liefert 10.0.0.3.
Und hier landet man im Team3 und damit schließlich auf der Website von Andreas S.

Webserver

1) Webserver einrichten

Zuerst sollte er natürlich zum Laufen gebracht werden
(Test: http://localhost)

2) Umkreiszugriff erlauben

DMZ wird meist geNATet.
Konfiguration / Netzwerke / Netzwerkregeln

3) ISA-Aufgabe: Webserver veröffentlichen

Dabei wird die interne IP-Adresse angegeben.
Weblistener erstellen: Das ist quasi ein Proxy
Genauer: Ein deamon. Arbeitet mit einer Regel zusammen, an die er weiterleitet.

Übung: SMTP-Server in der DMZ

Die vorigen Schritte werden durchgeführt.

>telnet 192.168.109.1 25

Test auf Port 25

Übung: VPN-Client-Zugriff

Dazu gibt es genaue Infos unter:

www.microsoft.com/isaserver

ISA-Server VPN Deployment Kit

VPN-Zugriff konfigurieren

Dafür gibt es wieder einen Wizard.
Genauer: VPN Clientzugriff konfigurieren

Zur Auswahl stehen

PPTP
L2TP over IPSec

Firewallrichtlinie

Benutzer anlegen

Anschließend den Benutzer am Server anlegen und in die Gruppe der VPN-Benutzer aufnehmen.
Der RAS-Zugriff muss erlaubt werden.

Peter W. als Benutzer sony

Übung: VPN-Site-2-Site-Verbindung

Dabei werden 2 voneinander unabhängige LANs per öffentliches Netz miteinander verbunden. Den VPN-Tunnel stellen die beiden Firewalls her.
Besonders wichtig ist hier die Namensgebung, sonst geht's nicht.

Einzustellen ist es unter VPN-Remotestandorte.

Hier im Beispiel aus der Sicht von Team-1:

Remotestandortnetz hinzufügen

Remoterechner	Team9
VPN-Protokoll	PPTP
Remotestandortgateway	team9.wug.at
Remoteauthentifizierung	Benutzername = Team9
-	Domäne = hos
-	Passwort = irgendwas
Netzwerkadressen	192.168.9.0 - 192.168.9.254

Dieser Benutzer sollte am Server von Team-1 angelegt werden.

Netzwerkregel hinzufügen

NAT od. Route	hier Route
Source	Team9
Destination	Intern