Rozwiązania laboratoriów:

Laboratorium nr 2

1. Konfiguracja Interface'ów:

a) Należy wybrać Network -> Configuration -> Zaznaczyć Interface #0 - > Configure

Następnie należy wybrać opcje Static IP, ustawić pole IP Address - zgodnie z numerem stanowiska w tym wypadku 10: 192.168.112.NR_STANOWISKA/24 oraz wprowadzić domyślną bramę: 192.168.112.254


Kolejnym krokiem, jest ustawienie interfejsu nr 1. Tak jak poprzednio należy zaznaczyć linię interfejsu - > Configure

Następnie włączyć DHCP Server -> wprowadzić pulę adresów klikając Add

2. Konfiguracja serwerów NTP/strefy czasowej.

Setup -> NTP -> Enable NTP. Następnie można dodać dany server NTP, bądź wybrać któreś z już wprowadzonych.

3. Odczyt logów

Następnie odczyt logów

Laboratorium nr 3

Zadanie 1. Zablokuj wszystkim użytkownikom dostęp do szyfrowanych stron internetowych.

Aby zablokować użytkownikom dostęp do szyfrowanych stron internetowych należy:

Wybrać opcję Add Policies -> Packet Filters - > HTTPS(2 razy kliknąć) - > Następnie połączenia oznaczyć jako Denied(send reset) i wybrać opcję Send ICMP Network Unreachable.

Zadanie 2. Zablokuj wszystkim użytkownikom dostęp do FTP w trakcie trwania laboratorium.

Add Policies -> Packet Filters -> Denied -> następnie zakładka Advanced -> Schedule -> Dodać nową i wyznaczyć zakres godzin.

Zadanie 3. Zablokuj użytkownikowi 192.168.NR_KOMPUTERA.4 możliwość wysyłania pakietów ICMP typu 8 do sieci zewnętrznej. W przypadku wysłania pakietu powinien zostać zwrócony komunikat ICMP protocol unreachable.

Add Policies -> Packet Filters ->Ping(Jeżeli nie ma go w PM). Następnie:

W opcji From -> Add -> Add Other ->

Laboratorium nr 4

Zadanie 1. Usuń wszystkie niepotrzebne polityki.

Zadanie 2. Utwórz polityki dzięki którym możliwym będzie przeglądanie stron WWW.

Add Policies -> Proxies -> Należy dodać DNS, HTTP opcjonalnie POP3, FTP. Dodatkowo Add Policies -> Packet Filters -> Ping, HTTPS, HTTP, TCP/UDP (etc)

Zadanie 3. Zablokuj możliwość pobierania plików pdf. Zadanie 4. Zablokuj możliwość oglądania plików flash. Zadanie 5. Zablokuj możliwość wchodzenia na stronę pk.edu.pl.

HTTP Proxy -> Proxy Action -> Edit Proxy -> HTTP Response ->
Content Type -> Edycja danej zasady dla danego typu -> Action Deny


To samo dla plików Flashy ->

Następnie HTTP Request -> URL Paths -> W pattern wpisujemy: *pk.edu.pl*(Add) -> Change View -> Edit -> Action: Deny

Zadanie 6. Zablokuj odwrotne zapytania DNS.

DNS-proxy -> Proxy Action -> Edit Proxy -> Query Types -> PTR record -> Edit -> Action: Deny




Laboratorium nr 5

Zadanie 3. Skonfiguruj spamBlocker dla POP3, antywirus dla POP3, HTTP i FTP. Następnie włącz Intrusion Prevention i sprawdź działanie wprowadzonej konfiguracji.

Subcription Services -> SpamBlocker -> Activate -> POP3

Następnie należy dodać proxy -> Add Policies -> Proxies -> HTTP, FTP

Subcription Services -> Gateway Antivirus -> Zaznaczyć wszystkie tzn. POP3, HTTP, FTP



Subcription Services -> Intrusion Prevention ->

Laboratorium nr 6

Zadanie 1. Utwórz użytkownika USER1 i USER2 należących do grupy BSK_USER. Użytkownik USER1 powinien mieć dostęp do strony onet.pl. USER2 ma dostęp do wszystkich stron WWW. Proszę zdefiniować domyślne przekierowanie (po poprawnej autoryzacji) na stronę pk.edu.pl.

Setup -> Authentication -> Authentication Servers -> User Groups -> Add -> Nadajemy grupie nazwę; BSK_USER
Następnie w tym samym oknie dodajemy w bloku USERS dodajemy USER1, USER2, ustalając hasło i czas dostępu. Dodajemy ich do grupy.

Dodajemy odpowiednie polityki.
2 x HTTP Proxy. Dla USER1, dodajemy go, następnie edytujemy ustawienia proxy -> URL Paths -> Dodajemy *onet.pl*


Dla USER2, dodajemy go jedynie do FROM


Dodajemy również HTTPS(Packet Filters), DNS-Proxy oraz wedle uznania inne potrzebne polityki(FTP, HTTP etc).

Aby ustawić przekierowanie na stronę pk.edu.pl nalezy wybrać Setup -> Authentication -> Authentication Settings:

Zadanie 2. Dla poprzedniego zadania proszę zabronić wielokrotnego logowania.

Setup -> Authentication -> Authentication Settings:

Lista rozwijana:

1-wsza opcja powoduje odmówienie zalogowania – w momencie, kiedy zalogowany jest inny użytkownik .

2-ga opcja powoduje automatyczne wylogowanie użytkownika w razie zalogowania przez innego .

Zadanie 3. Zmień czas wygaśnięcia. Dobierz czas tak aby możliwym było przetestowanie działania.

Setup -> Authentication -> Authentication Settings:

Zadanie 4. Wraz z osobą obok stwórzcie takie reguły aby możliwym było zdalne zarządzanie waszymi firewallami (kolega/koleżanka może zarządzać twoim firewalla a ty jego/jej) za pośrednictwem Web UI przez zalogowanego użytkownika ADMIN_NRSTANOWISKA

Tworzymy kolejnego użytkownika ADMIN_8. Dwukrotnie klikamy na WG Web UI.
Dodajemy go do bloku FROM.

Laboratorium nr 7

Zadanie 1: a) Utworzyć w Policy Manager tunel mobilny typu PPTP ustawiając przydział adresów od 192.168.112.xx0 do 192.168.112.xx9 gdzie xx to nr stanowiska + 2. Czyli dla stanowiska nr 1 będzie to od .30 do .39 a dla stanowiska 20 będzie to od .220 do .229. b) Utworzyć konto użytkownika "kolega" nadając mu hasło aaaaaaaa (8*'a') i dodać go do grupy dla użytkowników VPN.

Aby utworzyć tunel mobilny typu PPTP należy wybrać:

VPN -> Mobile VPN -> PPTP -> Aktywowac tunel:

Następnie ustawienie przydziału adresów:
Add -> Choose Type(Host Range IPv4) -> 192.168.112.110 - 192.168.112.119

By utworzyć użytkownika:
Setup -> Authentication -> Authentication Servers -> User Groups -> Add.

Grupa PPTP-Users, będzie już istniała jeżeli wcześniej został stworzony tunel. Tworzenie użytkownika i dodawanie go do grupy, tak jak we wcześniejszych ćwiczeniach.

Zadanie 2: Proszę skonfigurować firewall tak, żeby użytkownicy VPN mogli pingować router i komputery w F-112 oraz wchodzić na strony WWW.

Należy dodać odpowiednie polityki. DNS, HTTP, Ping w bloku FROM -> Add -> Add User -> 'Group' -> 'PPTP-Users'.

Następnie dodajemy politykę PPTP(Any, Any).

Laboratorium nr 8

Zadanie 1. Utwórz tunel mobilny IPSec. Przydziel adresy z następującego zakresu: od 192.168.112.xx0 do 192.168.112.xx9 gdzie xx to nr stanowiska + 2. Utwórz konto VPN_NRStanowiska z hasłem aaaaaaaa. Dodaj użytkownika do grupy użytkowników VPN. Skonfiguruj VPN tak aby cały ruch płynął przez stworzony tunel.

Aby utworzyć IPSec należy wybrać:

VPN -> Mobile VPN -> IPSec -> Add -> Wybieramy nazwę grupy -> Ustawiamy tekst szyfrujący('aaaaaaaa')->

->

-> Następnie ustalamy pulę:

Tworzymy użytkownika, grupa VPN po stworzeniu tunelu będzie automatycznie dostępna w:

Setup -> Authentication -> Authentication Servers -> User Groups ->

Zadanie 2. Skonfiguruj firewall tak aby użytkownicy VPN mogli korzystać ze stron internetowych i ping.

Dodajemy odpowiednio polityki: HTTP, DNS, Ping, TCP-UDP. W każdej w bloku FROM, ustawiamy grupę utworzoną w procesie tworzenia IPSec.

Dodatkowo dołączamy politykę: IPSec(FROM: również grupa).

By wygenerować plik konfiguracyjny, należy:

VPN -> Mobile VPN -> IPSec: Zaznaczyć dany tunel, a następnie -> Generate

Laboratorium nr 9

a) Utwórz w Policy Manager tunel mobilny typu SSL ustawiając pule adresów 192.168.NR_STANOWISKA+100.0/24. Czyli dla stanowiska nr 1 będzie to sieć 192.168.101.0, a dla stanowiska 20 192.168.120.0. b) Utworzyć konto użytkownika "kolega" nadając mu hasło aaaaaaaa (8*'a') i dodać go do grupy użytkowników VPN.

Aby utworzyć SSL należy wybrać:

VPN -> Mobile VPN -> SSL ->

->

-> Ustalenie puli adresów:

Następnie tworzymy użytkownika, dodajemy go do grupy SSLVPN-Users.

Zadanie 2. Proszę skonfigurować firewall tak, żeby użytkownicy VPN mogli wykonać ping i wchodzić na strony WWW oraz łączyć się z FTP.

Kolejno dodajemy odpowiednie polityki: HTTP, DNS, FTP, PING. W każdej w bloku FROM ustawiamy grupę: SSLVPN-USERS.

Laboratorium nr 11

Zadanie 1. Skonfiguruj port 2 jako external. Nadaj mu adres IP 192.168.133.NR_STANOWISKA (brama 192.168.133.254).

Network -> Configuration -> Wybieramy Interface #2 -> Configure -> Interface Type: External -> Ustawiamy adres IP oraz domyślną bramę zgodnie z zaleceniami.

Zadanie 2. Skonfiguruj funkcję Multi-WAN tak aby status poszczególnych łącz określany był na podstawie ping do bramy domyślnej i transmisji TCP na adres serwera www pk.edu.pl (oba warunki muszą być spełnione).

Network -> Configuration-> Multi-WAN:

-> Następnie dla dodanego przed chwilą portu:

Zadanie 3. Ustaw czas pomiędzy kolejnymi testami łącz na 5 sekund. Łącze ma zostać uznane za niedziałające po 2 próbach. Ponowna aktywacja łącza ma nastąpić po 2 udanych próbach połączenia.

Network -> Configuration-> Multi-WAN:

Zadanie 4. Proszę przetestować wszystkie opcje kierowania ruchu dostępne w ramach Multi- WAN.

Zadanie 5. Skonfiguruj Multi-WAN w trybie failover. Ustaw kolejność interfejsów najpierw 2 potem 0.

Network -> Configuration-> Multi-WAN:

-> Configure:

Zadanie 6. Ustaw polityki tak aby cały ruch http kierowany był przez interfejs 0. Z kolei cały ruch związany z ping należy kierować przez interfejs 2.

Dodać polityki: HTTP oraz Ping.

W polityce HTTP należy zaznaczyć:

W ping:


Laboratorium nr 12

Zadanie 1. Przy użyciu WebBlocker zablokuj strony o tematyce edukacyjnej i podróżniczej.

Aby użyć WebBlockera należy:

Subcription Services -> WebBlocker -> Active(Następnie przechodzimy proces instalacji jak Kapelko 'next next next') -> Pojawia się okno dalszej konfiguracji:


-> Configure -> Wybieramy zakładkę Categories -> Zaznaczamy konkretne kategorie.

Zadanie 2. Zablokuj strony o reputacji >60. Przetestuj działanie wprowadzonej konfiguracji.

Subcription Services -> Reputation Enable Defense ->

-> Enable(W razie gdyby było wyłączone) -> Configure

-> Advanced :

Zadanie 4. Zablokuj możliwość korzystania z IRC, Winamp i eMule.

Subcription Services -> Application Control -> Add -> Wyszukujemy daną aplikacje ->

etc.