15.03.2012
Kukus
BSI
Lab 4
Pytania z wejściówki:
1. Typy Proxy do przeglądania stron WWW
2. Typy Proxy
3. Dns?
Zadania do wykonania
Usuwanie starych polityk, które są niepotrzebne
Pozostawienie/utworzenie polityk, potrzebnych do przeglądania stron WWW
Zablokowanie PDF-ów i flashów
Zablokowanie odwrotnego zapytania dns (NSLOOKUP)
Problemy
Czasami przy łączeniu z routerem mogą pojawić się problemy. Bo niby wpisujemy odpowiednią
bramę domyślną, ale cholera jasna nie chce działać. Jak sobie poradzić z tym problemem?
Otóż może się tak okazać, że jakiś złośliwy student, który miał przed nami zajęcia ustawił ip na
statyczne. Musimy przywrócić domyślny numer ip. Aby to uczynić, musimy otworzyć Centrum sieci i
udostępniania -> połączenie lokalne -> protokół internetowy w wersji 4 -> właściwości
I ustawiamy ptaszki jak na poniższym rysunku:
Pamiętajmy – nie da się odbierać numeru IP, jak jest przypisany na stałe. IP musi być dynamiczne
Usuwanie odpowiednich polityk
Bardzo ważne jest, żeby nie usuwać polityk watchguarda – są to polityki, które zapisane są w
momencie instalacji. Innymi słowy – trzeba by ponownie wykonać instalację, a to zajmuje sporo
czasu.
Przykład takiej polityki „nie do ruszenia”:
Blokowanie PDF-ów i FLASH-y
1. Usuwam polityki (http, dns) poza politykami watchguard’a (pozostawiłem sobie jeszcze
ping’a)
2. Tworze http-proxy:
3. Klikam w view/Edit Proxy (przycisk drugi od prawej, ten z ołówkiem):
4. Pojawia się okienko z dość sporą liczbą opcji po lewej stronie. Nas interesuje http response ->
kontent types. Pojawiła się lista:
5. Przełączamy widok (change view), przy PDF i shockwave dajemy deny:
Dlaczego dajemy deny, a nie Block?
- bo prowadzący wspominał, żeby nie dawać
- sami się zsanujemy i będzie problem, żeby się odbanować
Jak to działa?
- Block blokuje na amen, a deny tylko wyłącza dostęp – dostęp możemy zawsze przywrócić
6. Naciskamy ok. Pojawia się okno Clone predefinied, ale nie musicie się go obawiać –
wciskamy ok. i po krzyku.
Jak to mówią –pierwsze koty za płoty: internet już działa, PDF-y i flash-e polokowane, jednak
jest jeden mały szkopuł – musimy pamiętać wszystkie numery ip stron, żeby do nich wejść.
Aby móc wejść np. na adres www.wp.pl za pomocą wpisania samej nazwy, musimy sobie
zdefiniować jeszcze politykę Proxy dla dns-a.
Generalnie DNS jest to protokół, który tłumaczy nazwy domen na numery IP. Dzięki temu
łatwiej jest nam połączyć się z daną stroną – nie musimy pamiętać wielu numerów ip.
Wyłączenie zapytań odwrotnych
Jeżeli mamy już dodaną politykę Proxy dla DNS-a (DNS-proxy), to edytujemy go (Edit/view
Proxy), wchodzimy do zakładki query types i przy PTR rekord dajemy deny. Klikamy OK.
W wierszu polecenia wpisujemy polecenie:
nslookup < nr IP >
Jeżeli wszystko wykonaliśmy poprawnie, powinno pojawić się zawiadomienie „query
refused”
Magia http-proxy
Jak zauważyliście wcześniej, lista obiektów do zablokowania jest duża. Podobnie, jak miało to
miejsce w przypadku PDF-ów, także i tutaj można zablokować inne obiekty, jak np.
javascript, image, aplikacje itd.
Nasze blokowanie PDF-ów działa dobrze, ale może się okazać, że z lokalnego serwera będzie
można pobrać PDF-y. Jak zatem na amen zablokować je?
-Z listy, na której znajduje się kontent-types dla http-proxy wybieramy body kontent types,
zmieniamy sobie widok, klikamy add i tutaj wpisujemy PDF.
Z ciekawszych rzeczy, jakie zauważył Piotrek, jest możliwość edytowania strony informującej
o braku dostępu (Deny Message).