background image

15.03.2012 

Kukus 

BSI 

Lab 4 

 

Pytania z wejściówki: 

1.  Typy Proxy do przeglądania stron WWW 
2.  Typy Proxy 
3.  Dns? 

 

Zadania do wykonania 

 

Usuwanie starych polityk, które są niepotrzebne 

 

Pozostawienie/utworzenie polityk, potrzebnych do przeglądania stron WWW 

 

Zablokowanie PDF-ów i flashów 

 

Zablokowanie odwrotnego zapytania dns (NSLOOKUP) 

 

Problemy 

Czasami przy łączeniu z routerem mogą pojawić się problemy. Bo niby wpisujemy odpowiednią 
bramę domyślną, ale cholera jasna nie chce działać. Jak sobie poradzić z tym problemem? 
 
Otóż może się tak okazać, że jakiś złośliwy student, który miał przed nami zajęcia ustawił ip na 
statyczne. Musimy przywrócić domyślny numer ip. Aby to uczynić, musimy otworzyć Centrum sieci i 
udostępniania -> połączenie lokalne -> protokół internetowy w wersji 4 -> właściwości  
 
I ustawiamy ptaszki jak na poniższym rysunku: 

 

Pamiętajmy – nie da się odbierać numeru IP, jak jest przypisany na stałe. IP musi być dynamiczne 
 

Usuwanie odpowiednich polityk 

Bardzo ważne jest, żeby nie usuwać polityk watchguarda – są to polityki, które zapisane są w 
momencie instalacji. Innymi słowy – trzeba by ponownie wykonać instalację, a to zajmuje sporo 
czasu. 
 

background image

Przykład takiej polityki „nie do ruszenia”: 

 

 
 

Blokowanie PDF-ów i FLASH-y 

1.  Usuwam polityki (http, dns) poza politykami watchguard’a (pozostawiłem sobie jeszcze 

ping’a) 

2.  Tworze http-proxy: 

 

 

3.  Klikam w view/Edit Proxy (przycisk drugi od prawej, ten z ołówkiem): 

 

4.  Pojawia się okienko z dość sporą liczbą opcji po lewej stronie. Nas interesuje http response -> 

kontent types. Pojawiła się lista: 
 

 

 

5.  Przełączamy widok (change view), przy PDF i shockwave dajemy deny: 

 

 
Dlaczego dajemy deny, a nie Block? 
- bo prowadzący wspominał, żeby nie dawać 
- sami się zsanujemy i będzie problem, żeby się odbanować 
 
Jak to działa? 
- Block blokuje na amen, a deny tylko wyłącza dostęp – dostęp możemy zawsze przywrócić 
 

background image

6.  Naciskamy ok. Pojawia się okno Clone predefinied, ale nie musicie się go obawiać – 

wciskamy ok. i po krzyku. 
Jak to mówią –pierwsze koty za płoty: internet już działa, PDF-y i flash-e polokowane, jednak 
jest jeden mały szkopuł – musimy pamiętać wszystkie numery ip stron, żeby do nich wejść. 
Aby móc wejść np. na adres www.wp.pl za pomocą wpisania samej nazwy, musimy sobie 
zdefiniować jeszcze politykę Proxy dla dns-a. 
 
Generalnie DNS jest to protokół, który tłumaczy nazwy domen na numery IP. Dzięki temu 
łatwiej jest nam połączyć się z daną stroną – nie musimy pamiętać wielu numerów ip. 
 

Wyłączenie zapytań odwrotnych

 

Jeżeli mamy już dodaną politykę Proxy dla DNS-a (DNS-proxy), to edytujemy go (Edit/view 
Proxy), wchodzimy do zakładki query types i przy PTR rekord dajemy deny. Klikamy OK. 
 
W wierszu polecenia wpisujemy polecenie: 
 

 

nslookup < nr IP > 

 
Jeżeli wszystko wykonaliśmy poprawnie, powinno pojawić się zawiadomienie „query 
refused” 
 

Magia http-proxy 

Jak zauważyliście wcześniej, lista obiektów do zablokowania jest duża. Podobnie, jak miało to 
miejsce w przypadku PDF-ów, także  i tutaj można zablokować inne obiekty, jak np. 
javascript, image, aplikacje itd. 
 
Nasze blokowanie PDF-ów działa dobrze, ale może się okazać, że z lokalnego serwera będzie 
można pobrać PDF-y. Jak zatem na amen zablokować je? 
 

-Z listy, na której znajduje się kontent-types dla http-proxy wybieramy body kontent types
zmieniamy sobie widok, klikamy add i tutaj wpisujemy PDF. 
 
 
Z ciekawszych rzeczy, jakie zauważył Piotrek, jest możliwość edytowania strony informującej 
o braku dostępu (Deny Message).