8.03.2012
Kukus
BSI
Lab 3
Pytania z wejściówki:
1. Jak blokowana jest strona wp?
- Polityka http blokująca stronę WP na porcie 8080; blokada ip;
2. Co się dzieje z pakietem przychodzącym do routera?
- sprawdzana jest polityka przychodzącego pakietu (więcej na ten temat napisałem w pkt 5 nowej
konfiguracji firewall’a)
Łączenie z firewall’em
1. Uruchamiamy konsolę systemową i wpisujemy polecenia:
ipconfig /release
ipconfig /renew
ipconfig /all
2. Następnie sprawdzamy wartość bramy domyślnej (default gateway).
3. Uruchamiamy system manager’a, a następnie klikamy w „Connect to device”
4. Pojawiło się okienko:
Wpisujemy odpowiednio:
- wartość bramy domyślnej, odczytanej z punktu 2.
- hasło: aaaaaaaa
Wczytywanie konfiguracji do firewall’a
1. W programie system manager wybieramy policy manager (zakładka tools)
2. Pojawiło się okienko:
3. Wybieramy „Open configuration file” i wyszukujemy zapisany wcześniej plik
Nowa konfiguracja firewall’a
1. W programie system manager wybieramy policy manager (zakładka tools)
2. Pojawiło się okienko:
3. Zostawiamy 1 zaznaczenie, klikamy OK.
4. Pojawiło się okienko:
… trzeba wybrać odpowiedni model (małe firewall’e to XTM22), wpisać jakąś nazwę i wcisnąć OK
5. Pojawiło się już jakieś okienko (fragment):
Działa to tak, że w Policy Managerze ustawione są pewne polityki, które określają, co należy zrobić z
przychodzącym pakietem. Pakiet przychodzi po porcie TCP 80 i po kolei sprawdzane jest, czy pasuje on
do danej polityki. Jeśli nie, to sprawdzana jest następna polityka. Jeżeli to nie pomoże, oznacza to, że
niema polityki odpowiedniej i pakiet nie przejdzie.
Przykładową polityką jest polityka outgoing
Pole from mówi nam od kogo przybył przychodzący pakiet, domyślnie Any-trusted
Pole to określa cel;
Wartości w polu to:
firebox - ustawienie na adres wewnętrzny i zewnętrzny
any-external – każdy interfejs zewnętrzny
Any – z sieci wewnętrznej do zewnętrznej (na świat)
Więcej na ten temat na stronie 454 manuala.
Teraz należałoby skonfigurować urządzenie.
6. W Police manager wybieramy Network -> Configuration.
7. Pojawiło się okienko:
8. Z listy interfejsów wybieramy interfejs numer 0 i klikamy w configure…
9. Pojawiło się nowe okno. Wystarczy jednak zmodyfikować jedynie jego fragment:
Oczywiście w numerze ip 10 to numer komputera. Mój wynosi akurat 10, ale jakby ktoś pracował na
innym komputerze, to musi sobie wpisać swój numer.
Wciskamy ok., akceptując tym samym interfejs zerowy.
10. W interfejsie 1 wybieramy następujące właściwości:
… gdzie oczywiście liczba 10 to numer komputera.
Address pool (DMCP) ustawiamy na zakres od 100 do 200:
Rezerwujemy adres:
Adres MAC możemy odczytać z konsoli, po wykonaniu operacji ipconfig /all. Adres MAC to adres
fizyczny, który musimy przepisać.
Wciskamy OK.
11. Pozostałe interfejsy pozostawiamy domyślne. Przechodzimy do zakładki WIN/DNS:
I klikamy OK
Zapis konfiguracji do firewall’a
1. W Policy manager wybieramy save -> save to firebox
2. Pojawiło się okienko, do którego wpisujemy:
… w polu hasło należy wpisać: bbbbbbbb. Następnie klikamy OK.
3. Pojawia się okienko firebox feature key. Wybieramy z dysku klucz licencyjny (import key) naszego
modelu i wczytujemy go. Naciskamy OK.
4. Wylogowujemy się z system manager’a, w konsoli wpisujemy ipconfig kolejno z parametrem /release i
/renew
5. Uruchamiamy system manager’a, wpisujemy bramę domyślną (192.168.10.1, gdzie 10 – mój numer
komputera), hasło (aaaaaaaa)
Dodawanie nowej polityki
1. Wybieramy: Edit -> add Policies
2. Z listy wybieramy interesujący nas protokół, np. http
3. Klikamy add
4. Ustawiamy pola from oraz to
5. Naciskamy OK
W przypadku, gdybyśmy chcieli dodać logowanie dla dodawanej polityki:
1. W New Policy properties -> properties klikamy na logging
2. Zaznaczamy pole send log Messager
3. Naciskamy OK.
Logowanie wyglądałoby następująco:
1. Przejdź do system manager -> tools -> log manager
2. Pojawiło się okienko, do którego należy wpisać:
Tutaj hasło: aaaaaaaa
3. Wciskamy login
Uwagi dodatkowe:
- przy dodawaniu polityki ssh dla serwera mars, należy w polu to wybrć add -> add other , wpisać ip:
149.156.146.210
Ping mars.iti.pk.edu.pl