Firewall opsætning Smoothwall (Linux)
|
|
- Daniel Aage Clemmensen
- 8 år siden
- Visninger:
Transkript
1 Firewall opsætning Smoothwall (Linux) Udarbejdet af: René Prangsgaard & Jonas Jensen Fag: Informationsteknologi Lærer: Benny Dyhr Thomsen Afleveret den
2 Titelblad Rapportens titel: Firewall opsætning Smoothwall (Linux) Uddannelsesinstitution: Erhvervsakademi Midtjylland Uddannelse: IT og elektronik Teknolog Klasse: ITE 2-1, 3 semester Gruppemedlemmer: René Prangsgaard & Jonas Kruse Jensen Lærer: Benny Dyhr Thomsen Fag: Informations Teknologi Projekt udleveret den: , uge 44 Projekt afleveret: , uge 46 IT - Firewall opsætning SmoothWall 2
3 Indholdsfortegnelse Indledning/projektbeskrivelse...4 Kap 1 - Firewall Teori...5 Hvad er en firewall?...5 De 3 elementer i en firewall...6 Firewall opsætnings muligheder...7 DMZ DeMilitarized Zone...8 IDS Intrusion Detection System...9 Kap. 2 - SmoothWall 2.0 beta SmoothWall installation...11 Kap. 3 - SmoothWall netværksopsætning (zoner)...12 Netværksopsætning på det private netværk...13 Netværksopsætning på DMZ...14 Kap. 4 - Konfiguration af SmoothWall...16 Kap. 5 - FTP problematik i forbindelse med Firewalls...21 FTP...21 Active FTP...21 Passive FTP...22 Installation af Proftpd...23 Kap. 6 Sikkerhedsvurdering...28 Test af Smoothwall...29 Konklusion...30 Litteraturliste...31 Bilag...32 IT - Firewall opsætning SmoothWall 3
4 Indledning/projektbeskrivelse Rapporten omhandler opsætning af en firewall. Kravet til firewallen er opstillet i en case, som er blevet udleveret. Se bilag 1. Formålet med rapporten er at omsætte firewall teori til et praktisk projekt. Til at løse opgaven har vi valgt at arbejde med open source software, baseret på Red Hat (Linux), hvilket er Smoothwall 2.0 beta 7. Denne løsning er gratis og kan hentes på webadressen Smoothwall henvender sig til mindre eller mellemstore virksomheder, som gerne vil have en billig og brugervenlig firewall løsning. Rapporten indeholder en detaljeret beskrivelse af, hvad en firewall er og hvordan den fungere. Rapporten beskriver teorien bag en firewall. Hvilke muligheder og funktionaliteter, en firewall indeholder i dag. Hvordan SmoothWall installeres og konfigureres. FTP problematikker i forbindelse med firewall s. Test samt sikkerhedsvurdering af Smoothwall, og det opstillede netværk. IT - Firewall opsætning SmoothWall 4
5 Kap 1 - Firewall Teori Hvad er en firewall? En firewall er et værktøj, som er i stand til at analysere og blokere trafik mellem netværk, ud fra et regelsæt. En firewall s funktion består typisk af at tillade bruger nogle/alle services på Internet. Derimod er hensigten at spærre for adgangen den modsatte vej, så uvedkommende ikke får adgang til de lokale ressourcer eller de kun får adgang til udvalgte services specificeres i firewallen. Tyveri af fortroligt materiale kan være en årsag til at beskytte sig, men der er lige så ofte tale om hærværk eller decideret misbrug af servere/services på ubeskyttede netværk. Selve firewallen var oprindeligt blot en router/gateway, der tillod alt udgående trafik, men blokerede al indkommende trafik eller kun tillod eks. mail og web trafik, til interne servere på et eller flere isoleret område kaldet DMZ - forklares senere. I dag er firewall s meget mere avancerede. De kan separere netværkstrafik efter ønsket mønstre og adfærd. Hvert segment (netværk/dmz) skal konfigureres individuelt i forhold til behov/sikkerhed. Se illustration af et netværk herunder, hvor en firewall er blevet indsat i et netværk: IT - Firewall opsætning SmoothWall 5
6 De 3 elementer i en firewall Mange tror at en firewall, bare er en firewall. Men en firewall kan faktisk deles op i 3 elementer. De 3 elementer består i analyse af netværkstrafikken. Til dette formål bruges Pakke filtrering, Application level gateway og Circuit gateways. De vil herunder blive beskrevet. 1. Pakke filtrering: Pakke filtrering er en primitiv firewall funktion, og de fleste standard routere har denne egenskab. Funktionen har det formål at kontrollere "hvilken afsender adresse, der må routes til modtagerens adresse" og "hvilken modtager adresse, der må modtages fra afsenderens adresse" blandet med port regler. Administratorens arbejde ligger her i at definere om A, må sende til B, og om B kun må modtage fra C, og hvilke porte trafikken må forgå på ifølge det definerede regelsæt. Alle pakker der ikke opfylder reglerne, bliver droppet. Men man må ikke udelukkende, sætte sin lid til pakke filtrering. Hvad med brugerne inde på det interne netværk? En stor undersøgelse i USA viser, at det sjovt nok er herfra de fleste "angreb" sker. Afskedigede medarbejdere der lige vil rydde lidt ekstra op på serverne, og endnu værre scenarier kan man forestille sig, hvis der er tale om IT administrative medarbejdere, som selv laver nogle konfigurationer. Spørgsmålet er så, om man ikke skal benytte pakke filtrering? Svaret er jo, men man skal ikke kun bruge denne teknologi. I dag er man nød til, så vidt det er muligt og økonomien er til det, at få alle 3 elementer med. Og så er det stadigvæk kun "indgangen" til netværket der er beskyttet, ikke sikret. Der er generelt tale om, at har man en forbindelse ud i verden, så der er altid en potentielt risiko for misbrug. 2. Application level gateway: Denne teknologi er en langt mere avanceret teknologi end pakke-filtrering. Firewallen kender udfra forskellige regelsæt/informationer, diverse applikationer og deres kommunikations mønstre, og kan være "apdaptive", altså lære nye programmers adfærd efterhånden som de tages i brug. (i stil med ZoneAlarm produktet, som er populært blandt private PC brugere). Hver gang et program prøver at tage kontakt, med en web-applikation, vil ZoneAlarm komme med en meddelelse til brugeren om at computeren nu prøver og tage kontakt til en web-applikationen og IT - Firewall opsætning SmoothWall 6
7 man kan så vælge at Allow trafikken eller Blocke for kommunikationen. Et eksempel kan være, at en computeren forsøger, at skabe forbindelse til en maskine i Rusland uden man har bedt den om det. Dette kunne indikerer at det er en trojansk hest på klientens computer. Bruges Application level gateway sammen med packet filtering, har man en (ret) sikker løsning hvor truslen (næsten) kun kan komme indefra eller fra et "trusted" segment eller lignende. 3. Circuit Gateways: Firewallen fungerer her, udover som sikker gateway, også som service proxy (latinsk for stedfortræder). Typisk har man i denne konstellation en DMZ (demilitarized zone), hvor der er placeret servere med diverse Internet services. Et eksempel kan være en web server der hoster virksomhedens hjemmeside. Firewallen er sat til at lytte på port 80 (standard http port). Hver gang firewallen modtager trafik på port 80, laves der en "port forwarding" ind til web serveren. Det vil sige, at den trafik der kommer ind på port 80 vil blive sendt videre til web-serverens IP adresse. Denne behøver naturligvis ikke benytte port 80 når bare firewall og server ved hvilken port de kommunikerer indbyrdes på. Firewall opsætnings muligheder De fleste organisationer på nettet har et vist behov for at servicere WWW, DNS, FTP, og lignende tjenester. Når man har dette behov kan firewallen opsættes på følgende måder: 1. at have serverne på det interne net, og tillade kommunikation med dem gennem firewallen, 2. at køre alle tjenester på selve firewallen, 3. at have serverne på ydersiden af firewall, så de sidder direkte på Internettet, 4. at have serverne placeret på et eller flere isolerede netværk. (1) har det oplagte problem at hvis der er en sikkerhedsfejl i firewallen, kan hackeren skaffe sig adgang til serveren, og derfra til resten af organisationens maskiner. (2) giver næsten samme problematik som (1). IT - Firewall opsætning SmoothWall 7
8 (3) kræver at maskinerne på ydersiden har stort set samme sikkerhedsniveau som selve firewallen, undtagen på de åbne services. (4) er netop den løsning man betegner DMZ. Det separate LAN vil i firewallen være åbent for de nødvendige tjenester, men hvis en hacker skulle skaffe sig adgang til en server i DMZ'en, vil han ikke have skaffet sig direkte adgang til organisationens interne data/det interne net. DMZ betegnes også som PSN (Protected Services Network), perimeter network og lignende, men idéen er den samme. Det er bare en anden betegnelse for DMZ. Se evt. billedet i afsnittet DMZ DeMilitarized Zone for bedre forståelse af hvor DMZ er placeret i forhold til det interne net. DMZ DeMilitarized Zone DMZ er en forkortelse af DeMilitarized Zone, ingenmandsland. Betegnelsen dækker normalt over det landområde der ligger mellem to landes grænser. Indenfor netværk bruges begrebet i firewall sammenhæng. DMZ er et separat net isoleret fra det private netværk, hvor man placere de servere, som omverdenen (Internettet) tager kontakt med eks. FTP, Web osv. Under ingen omstændigheder kan DMZ-zonens servere få kontakt med det sikre/interne net, med mindre dette er konfigureret i firewallen. Billedet herunder illustrere 2 DMZ zoner: IT - Firewall opsætning SmoothWall 8
9 IDS Intrusion Detection System IDS er en forkortelse af "Intrusion Detection System". Det er en avanceret overvågning af alle definerede elementer, således at man ikke først opdager et angreb når det er foregået, men derimod bliver gjort opmærksom på det når det begynder, ved at opsætte regelsæt. Netværksbaserede IDS (kaldet NIDS) virker ofte ved at genkende elementer af netværkspakker sendt af programmer der kan udnytte sikkerhedsfejl fra en anden maskine på Internettet. Tro ikke at man ser alt på dit netværk blot fordi man har et IDS. Tro heller ikke, at alt hvad man ser i dit IDS er et indbrudsforsøg. En brug af NIDS kunne være at lave grafer for at se hvor mange der havde forsøgt, at bryde ind i dit system f.eks xxx-angreb. Værts-baserede IDS (på engelsk kaldet Host-based IDS) kører på en maskine, og kan gøre opmærksom på ændringer i udvalgte filer i systemet. Dette sker ved at analysere kritiske filer og omforme denne analyse til resultatet af et matematisk udtryk (et såkaldt message digest). Dette resultat bliver så sammenlignet med en tidligere værdi, som er opbevaret sikkert. Enhver afvigelse tyder på at filen er blevet ændret og bør, indtil en anden forklaring er nået, betragtes som et vellykket indbrud. Det første som sker efter et indbrud er at den indtrængende opretter en konto til sig selv, eller ændrer et af de aktive programmer til at give den indtrængende hacker adgang til systemet, når hackeren senere vender tilbage. Værts-baserede IDS giver et godt indblik i ens system, og nogle mener at de er langt vigtigere end firewalls og NIDS. IT - Firewall opsætning SmoothWall 9
10 Kap. 2 - SmoothWall 2.0 beta 7 Som løsningsforslag til casen der er blevet opstillet i vores projekt, har vi valgt at arbejde med open source softwaret SmoothWall 2.0 beta 7. SmoothWall blev udviklet af Lawrence Manning, Richard Morrell, Jon Fautley and Tom Ellis i Den første version var version 0.9 som blev udgivet af SourceForge open source collaboration site i August Ideen var at udvikle et firewall operativsystem baseret på Linux, og at udvikle noget alternativ til de utrolige dyre hardware routere der var på dette tidspunkt. Da den første version blev frigivet, viste det sig at projektet voksede meget hurtigt. Snart blev hundrede af kopier downloadet hver måned, og det viste sig snart at folk over hele verdenen benyttede softwaren. Folkene bag SmoothWall var forbavsede over hvor hurtigt SmoothWall var blevet populært, og de begyndte derfor at videreudvikle produktet. Der blev bl.a implementeret ISDN og ADSL support, Web proxy mm. Smoothwall er i dag en af de mest populære open source firewall s. Målet med Smoothwall er i dag ligesom da de først startede med at udvikle den følgende: Protect the local network from outside attack, whilst interfering as little as possible with user activities Be simple enough to be installed by home users with no previous knowledge of Linux required Support a wide variety of network cards, modems and other hardware Work with many different connection methods and ISPs across the world Increase ease of use, management and configuration by use of tools such as web access interface IT - Firewall opsætning SmoothWall 10
11 SmoothWall installation En PC forsynes med 3 netværkskort, som repræsentere hver deres net. SmoothWall installeres fra en CD-ROM ISO image der er hentet fra Softwaren er SmoothWall Express 2.0 beta7. Bemærk at installationen vil slette alle data på PC en der anvendes som firewall, og PC en kun skal anvendes som firewall og ikke andet. Når filerne på CD-ROM en er installeret på PC en bliver man præsenteret for SmoothWall menuen. Opsætningsrækkefølgen gennemgås herunder: 1. Først skal netværkskortet til GREEN net opsættes, hvilket er det private netværk. I menuen vælges probe for at få SmoothWall en til automatisk at finde netkortet. Herefter opsættes netværksindstillingerne til GREEN net. I dette tilfælde tildeles netkortets (GREEN) IP adresse og en subnetmaske på Keyboard sættes til dk 3. Hoastname sættes til smoothwall, som også er standard navnet. 4. I menuen Web proxy tastes ok. 5. ISDN og ADSL disables, hvis dette ikke er direkte forbundet til SmoothWall en. 6. I Network configuration menu vælges Network configuration type. I denne menu vælges GREEN + ORANGE + RED, idet der anvendes 3 netkort. 7. Drivers and card assigments vælges. ORANGE og RED opsættes med Probe for at få SmoothWall en til automatisk at finde netkortene. 8. Address settings vælges og ORANGE opsættes i dette tilfælde med IP adresse og en subnetmaske på ORANGE er DMZ (Demilitarised Zone). RED opsættes i dette tilfælde med (WAN IP), og en subnetmaske på , som er netkortet der har direkte adgang til et usikkert net eks. Internettet. Det skal dog bemærkes at er valgt, idet denne IP adresse tilhører IP serien der er koblet til default gateway ( ), som er routeren der i dette tilfælde har adgang til Internettet. 9. DNS and Gateway settings vælges. Her indtastes IP adresserne på Primary DNS og Secondary DNS. Hvis man har installeret en DNS server på LAN et kan denne anvendes ellers kan man bruge DNS IP adresserne ISP (Internet Service Provider) angiver. Default Gateway er gateway (port) til de netværk den forbinder. I dette tilfælde er Default Gateway routeren ( ) der forbinder LAN et til Internettet.. Til sidst indtastes password på admin, root og setup user. Bemærk at man altid kan reconfigure indstillingerne med kommandoen setup. IT - Firewall opsætning SmoothWall 11
12 Kap. 3 - SmoothWall netværksopsætning (zoner) Som nævnt i afsnittet SmoothWall installation er SmoothWall installeret med 3 netkort. Hvert netkort repræsentere hver deres net (zone). Det private netværk (GREEN) subnet , DMZ (ORANGE) subnet , og forbindelse til Internettet (RED) subnet Hver net er tilkoblet en Hub, som billedet herunder illustrere: En Hub er valgt til afprøvning af SmoothWall, idet pakker sendt fra et netkort på eks. subnet vil blive sendt ud til alle netkort på dette subnet, uanset om pakken kun er tiltænkt en modtager. Dette gør en Hub til en idel enhed til overvågning af al netværkstrafik modsat en Switch. Normalt vil man ikke koble hver zone til en Hub, men i stedet koble en switch imellem hver zone og firewallen. Zonerne er som nævnt opdelt i 3, og kan sammenlignes med et trafiklys. (GREEN) betragtes som værende trusted, og her placere man virksomhedens klienter og LAN servere m.m. ORANGE er DMZ (demilitarized zone), og her placere man eks. Web, FTP servere osv. Omverdenen har altså kontakt til enkelte specificerede services på serverne placeret på IT - Firewall opsætning SmoothWall 12
13 DMZ. (RED) har kontakten til et unsafe netværk, som eks. Internettet. Denne zone er ofte kendt som external eller untrusted netværk. Netværksopsætning på det private netværk Det private netværk er den sikre zone (GREEN), og der hvor klienterne er tilsluttet. Subnet er valgt til , og med en undernetmaske på Den første klient på nettet har fået tildelt IP adresse , idet netværkskortet i SmoothWall en der er forbundet til det private netværk har fået tildelt IP adressen Netværkskortet (GREEN) i SmoothWall en er dermed også gateway til de netværk den forbinder. Opsætningen af klienterne foregår i Netværks- og opkaldsforbindelser LAN-forbindelse Egenskaber Internetprotokol (TCP/IP) Egenskaber. Billedet herunder viser opsætningen: IT - Firewall opsætning SmoothWall 13
14 IP-indstillingerne er indtastet manuelt, idet DHCP ikke er aktiveret i SmoothWall en og der er ikke opsat en DHCP server på LAN et. DNS Serveren er , hvilket er en ekstern server SmoothWall en har forbindelse til via RED netværkskortet. Netværksopsætning på DMZ DMZ (Demilitarised Zone) er der hvor servere, som omverden også har forbindelse til befinder sig. I DMZ er der installeret en PC med operativsystemet Linux (Debian). På PC en er der installeret en WEB og FTP server. Subnet er valgt til , og med en undernetmaske på Serveren på nettet har fået tildelt IP adresse , idet netværkskortet i SmoothWall en der er forbundet til DMZ (ORANGE) har fået tildelt IP adressen Netværkskortet (ORANGE) i SmoothWall en er dermed også gateway til de netværk den forbinder. I Debian foretages IP indstillingerne i filen /etc/network/ interfaces. Filen interfaces åbnes med en editor eks. mcedit. Følgende kommando indtastes for at få adgang til filen: mcedit interfaces. Billedet herunder viser opsætningen: IT - Firewall opsætning SmoothWall 14
15 IP-indstillingerne er indtastet manuelt, idet DHCP ikke er aktiveret i SmoothWall en og der er ikke opsat en DHCP server på LAN et. DNS indstillingerne opsættes i /etc/ resolv.conf. Filen åbnes med mcedit. Billedet herunder viser DNS indstillingerne: DNS er aktiveret så det er muligt at opdatere serveren via apt-get install der henter pakker fra Internettet. DNS Serveren er , hvilket er en ekstern server SmoothWall en har forbindelse til via RED netværkskortet. IT - Firewall opsætning SmoothWall 15
16 Kap. 4 - Konfiguration af SmoothWall I forbindelse med firewall opgaven er der blevet udfærdiget en case, som firewallen skal konfigureres efter. Dette afsnit vil derfor tage udgangspunkt i hvordan casen er blevet løst på SmoothWall en. Casen kan ses på bilag 1. Konfigurationen af SmoothWall foregår via et webinterfaces. Adgangen til webinterfaces sker fra en PC forbundet til det private netværk (GREEN), idet trafik udefra som standard er blokeret. En browser på PC en fra det private netværk åbnes, og IP adressen på SmoothWall ens (GREEN) netværkskort indtastes efterfulgt af port nummer 81. I dette tilfælde indtastes og en login menu præsenteres. Til at logge ind anvendes admin brugeren, og passwordet man oprettede under installationen af SmoothWall. Når passwordet er blevet godkendt præsenteres man for SmoothWall ens webinterfaces: Ifølge SmoothWall s userguide er det muligt at logge på webinterfaces via en secure forbindelse. Den secure forbindelse anvender port 445, men det lykkedes aldrig at få det til at virke. IT - Firewall opsætning SmoothWall 16
17 Det første der skal opsættes ifølge casen er adgang udefra til Firewallen. Administratoren skal have adgang til Firewallen fra hans hjemme computer via SSH (Secure Shell). I SmoothWall en aktiveres SSH ved at vælges services remote access SSH Save og ved at tilføje IP adressen som skal have adgang og DST port som SmoothWall lytter efter i networking external service access. I dette tilfælde anvendes IP adressen , som er en ekstern IP der skal have adgang til SmoothWall. Det skal dog bemærkes at SmoothWall lytter efter port 222 ved SSH. Billedet herunder illustrere opsætningen: Nu kan man afprøve SSH med programmet PuTTY. Eksemplet herunder illustere opsætningen af PuTTY: IT - Firewall opsætning SmoothWall 17
18 Ifølge casen skal der også være adgang til FTP & Web Serveren i DMZ (ORANGE) netværket udefra. Dette opsættes i networking port forwarding. I menuen gives adgang til ALL, External source IP og Destination IP er adressen hvor FTP og Web serveren er installeret. I dette tilfælde er det IP adresse i DMZ (ORANGE). Portene der skal forwardes til Destination IP er henholdsvis port 20, 21 (FTP) og port 80 (Web, http). Eksemplet herunder illustrere opsætningen: IT - Firewall opsætning SmoothWall 18
19 Det private netværks (GREEN) skal også have adgang til (DST) porte ud. Alle disse porte kan ses på bilag 1. I SmoothWall kan man dog kun konfigurerer, hvilke porte der skal være åben indadtil, men ikke ud af til. Administratoren skal også have adgang via SSH (222) til SmoothWall fra administratorens IP adresse på det privat netværket (GREEN). Som standard har alle på det private netværk (GREEN) adgang til SSH, idet det ikke er muligt at definere i SmoothWall, hvilke IP adresser der har adgang til forskellige services (porte) på det private netværk. Det eneste alternativ er at lave IP block, men så får IP adressen ikke adgang til nogle af servicerne der går igennem SmoothWall en. Det private netværk (GREEN) skal også have adgang til de services der kører på serveren DMZ (ORANGE). Dette er FTP (20, 21) og Web (80). Dette gøres som tidligere beskrevet ved at forwarde portene til serveren på (DMZ) i networking port forwarding. Ifølge casen skal DMZ (ORANGE) ikke have adgang til det private netværk (GREEN). Det er som standard opsat i SmoothWall en at DMZ ikke har adgang til det private netværk. Med ICMP (Ping) kan man teste om det virker som det skal. Følgende eksempler viser om DMZ kan kontakte det private netværk: Hvis man vil have adgang til det private netværk fra DMZ skal det opsættes i SmoothWall. Det opsættes i networking dmz pinholes. Der skal hellere ikke være adgang til det private netværk udefra. Dette er også som standard opsat i SmoothWall, at der ikke er adgang til det private netværk. Hvis man vil have adgang til IT - Firewall opsætning SmoothWall 19
20 det private netværk udefra skal det opsættes i networking external service access. I menuen indtastes hvilken IP der skal have adgang og DST porten. Porten der indtastes i external service access skal selvfølgelig forwardes til serveren på det private netværk, som lytter på den valgte port. DMZ (ORANGE) skal have adgang til ICMP, DNS og Web, FTP, SSH (DST) porte ud. I SmoothWall kan man dog kun konfigurerer, hvilke porte der skal være åben ind af til, men ikke ud af til. DMZ (ORANGE) skal også have adgang via SSH (222) til SmoothWall en. Det er dog ikke muligt at lave denne opsætning, idet SmoothWall ikke tillader dette. Herunder ses et forsøg på at kontakte SmoothWall fra DMZ via SSH (222): SmoothWall en skal have fuld adgang til det private netværk (GREEN) og DMZ (ORANGE). Dette er opsat som standard i SmoothWall. IT - Firewall opsætning SmoothWall 20
21 Kap. 5 - FTP problematik i forbindelse med Firewalls FTP File Transfer Protocol (FTP) anvendes til at overføre filer mellem computere. FTP er en applikationsorienteret protokol der er placeret i ISO lag 5, 6 og 7. FTP er udelukkende TCP orienteret, og fungere efter client/server princippet, hvor en client foretager en forespørgsel (Request) hos en server, og serveren svarer tilbage (Response) til clienten. Clienterne er initiativtager til transaktionerne, mens serveren hele tiden lytter efter forespørgsler. FTP kan overføre filer mellem to computere der har hver deres filsystem. Derudover tilbyder FTP autentifikation af bruger ID og password. Der anvendes kun et lavt sikkerhedsniveau i FTP, da password sendes i klar tekst. FTP anvender 2 porte, en data port og en command port (også kendt som kontrol porten). Traditionelt set er port 21 til command porten og port 20 til data porten. Dette er dog ikke altid tilfældet, idet dette afhænger af hvilken mode FTP er opsat til, og derfor er data ikke altid til port 20. FTP kan opsættes til at fungere i enten Active mode eller Passive mode. Forskellen beskrives herunder. Active FTP I Active mode sender klienterne en random SRC port (port1 > 1024) til FTP serverens DST command port 21. Klienten begynder at lytte på port1 command og port2 data (eks. port 1026 og 1027) og sender FTP kommandoen PORT (port2) til FTP serveren. FTP serveren vil derefter forbinde til clientens specifikke data port (port 2) fra dens lokale data port 20. Det primære problem med active mode er klient siden. Klienten laver ikke en egentlig forbindelse til data porten på serveren, idet klienten kun fortæller serveren hvilken port den lytter på og serveren forbinder til den specifikke port på klienten. Fra klientens firewall side ser det ud til at være en udefrakommende forbindelse til en intern klient, hvilket normalt er blokeret. En illustration af Active mode kan ses herunder: IT - Firewall opsætning SmoothWall 21
22 1: Klienten kontakter Serverens command port 21 (DST) med command port 1026 (SRC). Klienten begynder at lytte på port 1026 og 1027, og sender kommandoen PORT : Serveren sender en ACK tilbage til klientens command port : Serveren starter en forbindelse på dens locale data port 20 til data port 1027 hos klienten. 4: Til sidst sender klienten en ACK fra data port 1027 til data port 20 hos Serveren. Passive FTP For at løse problemet med at serveren starter forbindelsen til klienten er der blevet udviklet en anderledes metode til FTP forbindelse. Denne metode er kendt som passive mode eller PASV. I passive mode er det klienten der starter begge forbindelser til serveren, og derved løser problemet med at firewalls blokere den indkomne data port forbindelse til klienten fra serveren. Når en FTP forbindelse oprettes er det klienten som åbner 2 random SRC porte (port1 og port2 > 1024). Den første port kontakter serveren på DST port 21, men i stedet for at udstede PORT kommandoen og tillade serveren, at forbinde tilbage til klientens data port vil klienten udstede en PASV kommando. Resultatet af det er at serven åbner en random (P > 1024) og sender PORT P kommando tilbage til klienten. Klienten starter nu forbindelsen fra port 2 til port P på serven til at overføre data. En illustration af Passive mode kan ses herunder: IT - Firewall opsætning SmoothWall 22
23 1: Klienten kontakter Serverens command port 21 (DST) med command port 1026 (SRC) og udsteder PASV kommandoen. 2: Serveren svarer med kommandoen PORT 2024, som fortæller klienten at serveren lytter efter data på port : Klienten starter nu data forbindelsen fra dens data port 1027 til serverens data port : Til sidst sender serveren en ACK fra dens data port 2024 til klientens data port Imens Passive Mode løser mange af problemerne fra klientens side, så dukker der en række problemer op på server siden. Heldigvis tillader mange FTP daemons, at specificere en række porte, som FTP serveren kan anvende. Det andet problem involverer FTP klienter der ikke supporterer passive mode. Et eksempel er det medfølgende kommando prompt FTP program i Solaris. Nogle browsere understøtter også kun passive mode via ftp://urls. Dette kan enten være godt eller dårligt afhængig af hvordan serverne og firewalls er konfigureret. Installation af Proftpd Proftpd er et FTP server program til Linux. Programmet til Linux kan installeres på flere forskellige måder, men langt det nemmeste er med apt-get pakkesystemet i Debian. Pakken installeres med følgende kommando: apt-get install proftpd Under konfigurationen af proftpd kan man vælge om man vil køre programmet, som standalone eller inetd. IT - Firewall opsætning SmoothWall 23
24 Hvis man har valgt at køre med inetd skal proftpd genstartes med følgende kommando: /etc/init.d/inetd restart Hvis man har valgt at køre med standalone skal proftpd genstartes med følgende kommando: /etc/init.d/proftpd restart Forskellen på standalone og inetd er, at ved standalone ligger demon (programmet) hele tiden i hukommelsen, hvorimod ved inetd bliver demon først startet når der laves en forespørgsel. Når standalone anvendes er det mere ressource krævende, men til gengæld er performancen bedre end inetd. Konfigurationen af proftpd kan altid reconfigures med følgende kommando: dpkg-reconfigure proftpd Følgende kommando viser hvilken verison af proftpd man har installeret: apt-cache show proftpd Bemærk at der skal oprettes bruger med kommandoen adduser før man kan logge på FTP serveren. Når brugeren er tilføjet bliver der oprettet en mappe i /home. Oprettede bruger kan ses i filen /etc/passwd. Med programmet Ethereal kan man undersøge, hvilken mode FTP serveren og FTP klienten er opsat til. Her skal man være opmærksom på at der sendes en PASV kommando fra FTP klienten til FTP Serveren, hvis passive mode anvendes. Klient FTP programmet FlashFXP til Windows kan anvendes til at lave en passiv forbindelse til FTP serveren. Det kan enables i Option Preferences Proxy / Firewall / Ident Use Passive Mode. Et eksempel herunder illustere at der bliver sendt en PASV kommando fra FTP klienten ( ) igennem SmoothWall IT - Firewall opsætning SmoothWall 24
25 ( ), og til FTP Serveren ( ). Desuden kan man se at klienten ( ) anvender en data SRC port 2420 og sender den til DST port 1521 hos FTP serveren ( ). Port 1521 hos FTP serveren er random generet, idet serveren anvender passive mode. Det mest besynderlige ved det hele er, at man skulle tro at portene der bliver random generet af serveren, bør være manuelt forwardet til serveren i SmoothWall. Dette er dog ikke tilfældet, idet SmoothWall automatisk forwarder de random generede porte, som ovennævnte eksempel viser, hvis der laves en passive mode FTP forbindelse. En anden smart feature er, at FTP server programmet proftpd selv registrerer om det er en aktive eller passive forbindelse der oprettes. Med programmet Advanced Port Scanner kan man kontrollere om der er andre porte der bliver forwarded videre, end dem specificeret i SmoothWall s port forwarding. En port range fra 80 til 110 testes af med Advanced Port Scanner. I SmoothWall er det kun port 80 (Web) der er forwarded i dette tilfælde. Ethereal startes og derefter startes port scanningen fra 80 til 110 som billederne herunder illustere: IT - Firewall opsætning SmoothWall 25
26 Det ses tydeligt at kun port 80 (Web) bliver forwarded videre til Web serveren ( ). Porte over 1024 kan også afprøves: IT - Firewall opsætning SmoothWall 26
27 Resultatet er det samme, og det konkluderes at det kun er ved passive FTP, at der automatisk bliver forwarded til FTP serveren. IT - Firewall opsætning SmoothWall 27
28 Kap. 6 Sikkerhedsvurdering Som administrator på en eller flere firewall(s) skal man være opmærksom på, at man aldrig bliver færdig. Administratorer der opsætter alle regler og overholder alle anbefalinger for dernæst at læne sig tilbage uden at kigge mere på løsningen, vil få en grum overraskelse. Det er et spørgsmål om tid. Som ansvarsbevidst administrator på sikkerheden, sidder man på nåle hele tiden. Der findes til stadighed "exploits" i diverse applikationer, servere og endda firewall produkter. Disse huller skal lukkes, helst inden de opdages. Det er altså vigtigt at vide hvilke applikationer / servere som potentielt kan indeholde brister og følge med på alt hvad der kan kompromittere disse. Ud over det skal administratoren hele tiden være bevidst omkring det der sker på netværket. En god løsning kunne her være at analyserer trafikken på netværket via protokol sniffere. Dette kræver dog noget speciel hardware. Men man kan også bruge en hub i stedet, med det ville være med til at sløve netværket kraftigt. Men heller ikke her kan man være 100 % sikker på at netværket er sikkert. Men der er faktisk også produkter/løsninger der specielt er baseret på at finde huller i dine netværk. Man kan købe sig til sådanne produkter eller få nogle til at lave en sikkerhedsanalyse af netværket. De tager ud i virksomheden og tester netværket og efterlader efterfølgende en rapport om de sikkerheds brister man har på netværket. Men igen kan man ikke være 100 % sikker på at netværket er uden sikkerhedshuller. På bilag 2 kan man læse en artikel Om sårbarhedsanalyse er godt nok og nedenunder er der givet et eksempel på hvordan en hacker kan infiltrer et netværk, selv om man har sat en firewall op, samt Andre angreb på dit netværk! Hvordan hackere kan infiltrere det interne netværk via en klient der åbner for en port ud igennem firewallen? Det er blevet installeret en firewall i virksomheden, som blokerer al indkommende trafik. Hvis en hacker skulle prøve at scanne portene vil hackeren ikke finde åbne porte. Men problemet er, at hvis en medarbejder på det interne net, får lagt en trojansk hest ind på sin computer uden at være bevidst om det. Den trojanske hest vil eks. automatisk forbinde computeren igennem en port til en server på Internettet. Via den SRC port medarbejderens har åbnet ud igennem firewall kan en hacker opkoble sig til medarbejderens computer og infiltrer det interne netværk. Når IT - Firewall opsætning SmoothWall 28
29 hackeren først er inde kan hackeren ødelægge eller få adgang til sårbare informationer. Hackeren kan også sprede vira på netværket. Vira og orme på netværket? Nu har vi været omkring de mest almindelige angreb på netværks, såsom Trojanske heste, åbne porte. Men her stopper sikkerhedsrisicis ikke. En anden sikkerheds brist på netværket kan være pop3. Hvis man har en mail server på DMZ-zonen og klienterne henter deres mail via mail-serveren, kan netværket blive infiltreret denne vej. F.eks. hvis der findes en vira i en af klienterne . Hvis en personen åbner mailen vil vira en blive afviklet og den vil derefter sprede sig til de andre klienter/servere på netværket. Denne risiko kan dog afgrænses, ved at man har en virus scanne installeret på både serveren og klienterne. Fejl i programmer og operativsystemer kan også medføre sikkerhedshuller. Dette var bl.a. skyld i Blaster-ormen fremkomst. En brist i Windows operativsystemet gjorde det muligt for ormen at tvinge computeren til at genstarte, efter et givent antal sekunder. Test af Smoothwall Efter opsætningen af Smoothwall en lavede vi en test på forskellige kriterier vedrørende firewallen. Nogle af de ting vi testede var bl.a. adgangen til og fra åbne porte (http 80), forwarding af trafik, port scan på de forskellige net, adgang til de forskellige net, analyse af netværkstrafik over FTP osv. Testen viste, at når vi forwardede trafik fra port 80 til Webserveren, gik det kun til web-serveren, som det skulle. Ved at lave en port scan på firewallen fik vi bekræftet at kun port 80 var åben og det var også korrekt. Adgangen fra Internet til det lokale net var spæret hvilken det også skulle være, men computerne på det lokale net kunne uden problemer få kontakt til diverse servere på Internettet. Fra det lokale net kunne man også uden problemer få fat i DMZ zonen s servere, mens omvendt var der ingen kontakt (fra DMZ til det lokale net). Ved test af FTP var der en specielt problem, nemlig når en klient fra Internettet forespørger på en FTP forbindelse inde på DMZ-zonen, skulle dette kun, kunne foregå i passiv mode, men fordi Smoothwall er konfigureret til at skelne mellem dette, virkede det både i Aktiv og Passiv mode. Testen viser at firewallen er blevet konfigureret rigtig og fungere efter den CASE der er blevet stillet. Vi havde dog et problem vedrørende Smoothwall og det var, at når man connecte til web-interfacet, kan man gøre det via en sikker port, nemlig port 445. Men dette kunne vi ikke få til at virke, så vi har kun lavet web-interfaces via port 81. IT - Firewall opsætning SmoothWall 29
30 Konklusion Vi kan konkludere, at vi har fået løst opgaven der blev stillet, og vi har fået en bedre forståelse for teorien bag firewalls. Samtidigt er teorien vi har gennemgået blevet omsat til et praktisk projekt, idet vi har opnået praktisk erfaring i forbindelse med opsætning af SmoothWall. Hvordan en firewall fungere, og opsættes i et netværk. FTP problematikker i forbindelse med firewalls. Hvilke sikkerheds politikker der skal opsættes for at have et relativt sikkert netværk, samt hvordan nettene kan vedligeholdes sikkerhedsmæssigt. SmoothWall er en god løsning til private og mindre/mellemstore virksomheder, som har fokus på sikkerheden. Softwaren er brugervenlig og nem at konfigurere via webinterfacet, men der mangler dog nogle mere avancerede features i forhold til kontrol af DST porte ud af firewallen m.m. Taget i betragtning af, at SmoothWall er gratis og brugervenlig, er den værd at tage med i sin overvejelse, ved implementering af en firewall. Som vi tidligere har nævnt kan man aldrig opnå et 100 % sikkert netværk, hvis netværket er tilkoblet Internettet. Men man kan dog komme tæt på en rimelig sikker løsning, dette har vi været inde på i sikkerhedsvurderingen. På baggrund af det, kan vi konkludere, at der er to måder en firewall kan opsættes på (sikkerhedsmæssig). Den første er at man helt lukker for trafikken ind og ud af firewallen, foruden port 80 (http), som giver klienterne rettighed til at surfe på nettet. Den anden løsning er, at lukke for alt indad gående trafik, men derimod tillade alt udad gående trafik. Dette giver klienterne fri adgang til alle portene udadtil, mens alle indadtil er alle lukkede (på nær de porte der er forwardet til serverne på DMZ). IT - Firewall opsætning SmoothWall 30
31 Litteraturliste WEB-adresser: - Smoothwall s hjemmeside (Guider til opsætning og konfiguration). - Opsætning af proftpd i Linux. - Aktiv & Passiv mode i FTP. - Firewall teori. - Firewall virkemåder. - Guide til debian Bøger: Data Kommunikation 4. udgave af Stig Jensen og Arne Gjelstrup ISBN IT - Firewall opsætning SmoothWall 31
32 Bilag Bilag 1 Udleveret CASE Bilag 2 Sårbarhedsanalyse er godt men ikke nok IT - Firewall opsætning SmoothWall 32
33 Bilag 1 Udleveret CASE IT - Firewall opsætning SmoothWall 33
34 Plot: Case Denne case simulerer de forskellige rettigheder i en given virksomhed. Virksomheden skal indeholde et privat netværk med de ansattes PC ere og derudover en DMZ med FTP og WEB-server. Brugerne bag Firewallen skal have mulighed for at anvende diverse applikationer på Internettet. Med udgangspunkt i ovenstående er følgende rettigheder udarbejdet: NB: Vi går ud fra at Administratoren har en PC på det private netværk. Rettigheder: Udefra til Firewallen: SSH fra administratorens hjemme IP. Udefra og ind DMZ Netværket: FTP en & Web en skal kunne ses udefra. Private Netværket til ud: Brugerne skal have tilladelse til følgende porte ud til Internettet. MSNM (1863), Skype (33033), ICQ(TCP 5190), Web (80), DNS (53 udp), ICMP, FTP (20,21), HTTPS (443), POP3 (110), SMTP (25), Samba (137,138,139), IRC (6667, 6668,6669), SSH (22) Private Netværket til Firewall: SSH (22) fra Administratorens IP. Private til DMZ Netværket: De skal have tilladelse til de services som der kører på serveren: FTP (20,21) Web (80) DMZ til Private: Ingenting. Udefra til Private: Ingenting. Fra DMZ og ud: ICMP, DNS, web, FTP, SSH, HTTPS. Fra DMZ til Firewall: SSH. Fra Firewallen til det private netværk og DMZ: Fuld adgang. IT - Firewall opsætning SmoothWall 34
35 Bilag 2 Sårbarhedsanalyse er godt men ikke nok IT - Firewall opsætning SmoothWall 35
36 Herlev, Sårbarhedsanalyse er godt - men ikke nok En test af 8 af de mest populære produkter til sårbarhedsanalyse / sikkerhedsscanning af systemer på et netværk har vist, at det kan give en falsk tryghed at basere sin sikkerhedsvurdering 100% herpå. I testen blev hvert enkelt produkt sat til at analysere / scanne et system med 17 forskellige kendte sårbarheder, og ingen af produkterne formåede at lokalisere og neutralisere alle 17. Så uden at blive specifik om de enkelte produkter kan vi anbefale at kigge på det vedhæftede analyseresultat og konkludere: Det kan være risikabelt at stole på, at en sårbarhedsanalyse alene giver et korrekt billede af netværkets sikkerhedsstatus. Den stadig større, hurtigere og billigere adgang til Internettet medfører en risiko. Du kan blive udsat for hack, crak, spoof, spam, denial of service, scanning, trojanske heste, virus, snifning og flere andre ikke så rare begreber. Men dette er ikke en grund til ikke at benytte de mange muligheder, som Internettet giver. Netværket kan jo beskyttes. Det kan beskyttes mod alle former for angreb, og uanset hvilken risiko man bliver konfronteret med, findes der produkter og forholdsregler, der gør det muligt stadigt at benytte Internettet på en sikker måde. En firewall vil typisk være en god løsning, men det kan være risikabelt at stole på, at firewallen er nok. Analyse af logfilerne fra firewallen er et godt supplement, ligesom såkaldte Intrusion Detection systemer er at anbefale. I dag findes der dog en stor risiko, som kommer indefra. Talrige undersøgelser har vist, at de fleste brud på sikkerheden i en virksomhed sker indefra. Men også her hjælper ovennævnte produkter. Ved at anskue IT sikkerhed fra flere vinkler er der større chance for, at alle sårbarheder på et netværk bliver fundet. Vulnerability Scanners Detection Result Kilde: SANS NewsBites Vol. 3 Num. 01 IT - Firewall opsætning SmoothWall 36
Indholdsfortegnelse: Firewall Erhvervsakademi Midtjylland
Indholdsfortegnelse: Indholdsfortegnelse:...1 Indledning:...3 Kort om Astaro Security Linux:...3 Hvad er en firewall?...4 Hvorfor skal man bruge en firewall?...4 Installation af Astaro Security Linux....5
Læs mereProjektoplæg - AMU kursus 44953 - Netteknik - Server - Videregående
Velkommen til projektforløbet på Netteknik - Server - Videregående! Udarbejdet af: Anders Dahl Valgreen, mail adva@mercantec.dk, mobil 23 43 41 30 I dette projekt skal din gruppe i tæt samarbejde med resten
Læs mereTeknisk beskrivelse til TDC Managed Firewall
Teknisk beskrivelse til TDC Managed Firewall Indhold 1. Firewall profiler for TDC Managed Firewall 2. White liste over printere 1. Firewall profiler for Managed Firewall Standard firewall profilerne bygger
Læs mereBasal TCP/IP fejlfinding
Basal TCP/IP fejlfinding Dette notat beskriver en række enkle metoder til fejlfinding på TCP/IP problemer. Metoderne er baseret på kommandoer, som er en fast bestanddel af Windows. Notatet er opbygget
Læs mereInfrastruktur i hjemmet og begreber
Infrastruktur i hjemmet og begreber Indholdsfortegnelse Ordliste... 2 Accesspoint... 2 DHCP... 2 DSL... 2 Ethernet... 2 Firewall... 2 Flatrate... 2 Hub... 3 IP... 3 IP-adresse... 3 IP-filtrering... 3 IP-forwarding...
Læs mereGrundopsætning af router.
Opsætning af Edgerouter Lite (ERL3), til brug som router 1. Tilslut router med følgende forbindelser. eth0: Lokalt LAN (Din netværk) eth1: Global WAN (Internettet. Det store WWW) eth2: ikke tilsluttet
Læs mereMultiguide til C903IP
Multiguide til C903IP Om IP kameraer For at kunne installere et IP kamera er det vigtigt at vide, at der finder flere forskellige slags IP adresser: - Den eksterne IP adresse har du fået tildelt af din
Læs mereCipherlab CPT8x00 med Ethernet Cradle
Cipherlab CPT8x00 med Ethernet Cradle Cipherlab CPT8x00 med Ethernet Cradle...1 Konfigurér terminalen...2 Konfigurér Cradlen til netværket....3 Modtageprogrammet...7 Til lokal modtager...7 Til fjern modtager
Læs mereNETVÆRKSKURSUS Oktober November 2014. jmt 07-11-2014
1 NETVÆRKSKURSUS Oktober November 2014 jmt 07-11-2014 2 Netværkskursus 14 17 Oktober 2014 ETHERNET 99% af al datatrafik er på ETH standard http://standards.ieee.org/ https://www.ieee.org/ 802.3 er ETH
Læs mereOpsætning af SONOFON Bredbånd via FWA Windows 95
Opsætning af SONOFON Bredbånd via FWA Windows 95 Før denne guide kan gennemgås, skal du have haft besøg af en SONOFON certificeret installatør, som har opsat din sender/modtager og installeret CPE-boksen.
Læs merebeskrivelse af netværket på NOVI
beskrivelse af netværket på NOVI Beskrivelse af netværket på NOVI - NOVInet Indledning Som lejer/beboer på NOVI har man mulighed for at få virksomhedens computere tilsluttet det fælles netværk i NOVI Park
Læs mereOpbygning af firewall regler. Overvejelser med mere
Denne guide er oprindeligt udgivet på Eksperten.dk Opbygning af firewall regler. Overvejelser med mere Denne artikel er ikke for masserne, Den handler ikke om opsætning af personlige firewalls som XP's
Læs mereVPN-klienten SecureClient for TDC Managed Firewall
Installationsvejledning VPN-klienten SecureClient for TDC Managed Firewall Denne installationsvejledning beskriver, hvordan Check Point s VPN-klient SecureClient (version NGX R60) installeres. Med SecureClient
Læs mereHvis du ønsker at tilgå Internet trådløst, skal du selv anskaffe dette udstyr. Det kaldes ofte et access point eller en trådløs router.!
Internetopkobling Afd. 45 Som beboer på Afd 45, har du mulighed for at opnå Internetforbindelse gennem et stik i lejemålet. Denne vejledning gennemgår, hvordan du sørger for din PC eller Mac er korrekt
Læs mereProjektopgave Operativsystemer I
Velkommen til projekt på Data faget 6222 Operativsystemer I! Udarbejdet af: Anders Dahl Valgreen, mail adva@mercantec.dk, mobil 23 43 41 30 I dette projekt skal din gruppe i tæt samarbejde med resten af
Læs mereDigital Video Recorder Brugermanual
Digital Video Recorder Brugermanual Til analog og AHD systemer Dansk 1. Installer harddisk 4/8/16 kanals DVR Harddiskoptager - Manual / Quickguide Punkt 1: Punkt 2: Løsn skruerne og fjern låget fra DVR'en.
Læs mereCisco ASA Introduktion & vejledning. Opsætning af DMZ-zone
Cisco ASA 5505 Introduktion & vejledning Opsætning af DMZ-zone Hvad er en DMZ-zone??? En demilitariseret zone eller ingen mands land! http://en.wikipedia.org/wiki/dmz_%28computing%29 3-legged network DMZ
Læs mereForår 2012 - Firewalls
Syddansk Universitet DM830 - Netværkssikkerhed Imada - Institut for matematik og datalogi Forår 2012 - Firewalls Forfatter: Daniel Fentz Johansen Alexei Mihalchuk Underviser: Prof. Joan Boyar Indhold 1
Læs mereSSSystems.local. Netværk. Sikkerhed. Webserver
SSSystems.local Netværk Vi har valgt at bygge vores netværk på en måde der sikre at trafik fra DMZ en ikke kan komme ned til vores LAN. Både ved hjælp af firewall regler og NAT. Men for at sikre at vi
Læs mereBAT Installationsvejledning. Version 1.0
BAT Installationsvejledning Version 1.0 Oktober 2013 1 BAT Installationsvejledning Indledning Denne vejledning er rettet til den IT ansvarlige på de uddannelsessteder, der skal anvende BAT systemet. Vejledningen
Læs mereRouter U270 funktionsbeskrivelse
Router U270 funktionsbeskrivelse Dashboard På oversigtssiden (Dashboard) kan brugeren se informationer om forskellige indstillinger og tilslutninger til routeren, for eksempel IP adresse, MAC adresser,
Læs mereIT Support Guide. Installation af netværksprinter (direkte IP print)
IT Support Guide Denne guide er hentet på www.spelling.dk Program: Microsoft Windows Vista Program sprog version: ENG (US) Guide emne: Installation af netværksprinter (direkte IP print) Publikationsnr.:
Læs mereInstallation af Elektronisk APV på flere PC er
Installation af Elektronisk APV på flere PC er Vejledning til installation af Elektronisk APV, når programmet skal installeres på flere PC er, der kobler sig op på en fælles server. 1 Installation af Elektronisk
Læs mereM A D S L A R S E N, A S G E R B A L L E G A A R D & J O N A S K R O N B O R G R O S K I L D E T E K N I S K E G Y M N A S I U M.
M A D S L A R S E N, A S G E R B A L L E G A A R D & J O N A S K R O N B O R G R O S K I L D E T E K N I S K E G Y M N A S I U M mininet EN ØVELSE I AT ETABLERE ET NETVÆRK S E R V I C E O G K O M M U N
Læs mereApplication Note: AN-Z05
Application Note: AN-Z05 Opsætning af zense PC-boks og LAN router for kommunikation via internettet. Indledning Dette dokument beskriver et eksempel på opsætning af PC-boksen, model PLM-2110ULT, til brug
Læs mereRevision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018
Revision af firewall Jesper B. S. Christensen Sikkerhed og Revision 6/7 September 2018 Jesper B. S. Christensen Senior Consultant Deloitte, Risk Advisory, Cyber Secure (dem I ikke har hørt om før) IT-Ingeniør,
Læs mereKonfigurations vejledning af N510 på TDC Scale. 03-07-2014
Introduktion Formålet med dette dokument er at beskrive konfigurationen af et N510 single cell system på TDC Scale platformen. Provider / PBX Information: Provider or PBX Name: TDC Scale Platform used:
Læs mereIT Support Guide. Opsætning af netværksinformationer i printere
IT Support Guide Denne guide er hentet på www.spelling.dk Program: Hardware / Software Program sprog version: Guide emne: Opsætning af netværksinformationer i printere Publikationsnr.: 040109.02.01 Udgivet
Læs mereÅbning af porte og UPnP
Åbning af porte og UPnP Denne guide har til formål at hjælpe dig med at åbne for porte i din router og/eller aktivere UPnP. Det kan være nødvendigt at åbne porte i ens router hvis man for eksempel anvender
Læs mereTrådløst internet Brugervejledning
Trådløst internet Brugervejledning PR 1. NOVEMBER 2011 tv, fiberbredbånd og telefoni til os i midt- og vestjylland Altibox Danmark A/S Danmarksvej 26 8660 Skanderborg Tlf. 70 300 600 www.altibox.dk info@altibox.dk
Læs mereContents. John Have Jensen Mercantec 2011
Contents ESXi installation og basisk konfiguration... 1 Oprette Guest OS virtuelle maskiner... 5 Uploade ISO filer til en ESXi server... 8 Installere Guest OS... 9 Opsætning af ESXi networking... 11 Tilslutte
Læs mereRouteren. - og lag 3 switchen! Netteknik 1
Routeren - og lag 3 switchen! Netteknik 1 Routeren en introduktion NETVÆRK 10.0.0.0 NETVÆRK 192.168.1.0 E1 Router E0 S0 NETVÆRK 194.182.2.0 Grundlæggende LAN teknologi består af Ethernet switche der flytter
Læs mereContents. ESXi installation og basisk konfiguration
Contents ESXi installation og basisk konfiguration... 1 Opsætning af ESXi virtuelle netværk... 7 Vælge netværk som et GuestOS skal tilsluttes... 9 Installation af virtuelle maskiner... 11 Arbejde med Guest
Læs mereMobileStatus Server Installation og konfigurationsvejledning
MobileStatus Server Installation og konfigurationsvejledning Vejledning i Installation og konfiguration af MobileStatus Server Version 2.20 august 2008 www.blueposition.com Alle firma og produktnavne omtalt
Læs mereIntroduktion OBS: Forberedelse
Product: Cameras, NVRs, DVRs Page: 1 of 17 Introduktion Hik-Connect er en ny service introduceret af Hikvision, som integrerer det dynamiske Domain Name Service sammen med alarm push notifikation service.
Læs mereCitrix Receiver komplet guide til installation, brug og fejlfinding Version 1.4 18-05-2015
Citrix Receiver komplet guide til installation, brug og fejlfinding Version 1.4 18-05-2015 Om Seas-Nve Citrix Reciver 2015 Tidligere kunne Citrix kun tilgås fra en Browser (eks. Internet explorer, Safari,
Læs mereHosted CRM Outlook client connector setup guide. Date: Version: 1. Author: anb. Target Level: Customer. Target Audience: End User
Hosted CRM 2011 Outlook client connector setup guide Date: 2011-09-08 Version: 1 Author: anb Target Level: Customer Target Audience: End User Language: da-dk Page 1 of 19 LEGAL INFORMATION Copyright 2011
Læs mereGode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank
Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank Af BEC og FortConsult, januar 2005. Hvad kan du konkret gøre for at beskytte din pc? Målgruppe Denne vejledning er skrevet
Læs mereUndgå DNS Amplification attacks
Undgå DNS Amplification attacks 29. november 2013 Til: Den it-sikkerhedsansvarlige Resumé Center for Cybersikkerhed har i den seneste tid set flere DDoS-angreb mod danske myndigheder og private virksomheder.
Læs mereOpsætning af forbindelse til Danmarks Statistik
23. april 2015 MTL Forskningsservice Opsætning af forbindelse til Danmarks Statistik Denne vejledning beskriver opsætning og logonprocedure fra Windowsmaskiner ved ekstern logon til DST s forskerservere
Læs mereHosted CRM Outlook client connector setup guide. Date: Version: 1. Author: anb. Target Level: Customer. Target Audience: End User
Hosted CRM 2011 Outlook client connector setup guide Date: 2011-06-29 Version: 1 Author: anb Target Level: Customer Target Audience: End User Language: da-dk Page 1 of 16 LEGAL INFORMATION Copyright 2011
Læs mere3. Menuen Start -> Programs -> OpenVPN åbnes, og "My Certificate Wizard" vælges:
Opsætning af VPN forbindelse til DRC En VPN forbindelse gør det muligt for en hjemmecomputer, eller en bærbar computer, at få adgang til DRCs interne lokalnet fra en vilkårlig internetforbindelse. Forudsætninger
Læs mereØvelse Wireless LAN med routeropsætning
Øvelse Wireless LAN med routeropsætning I denne øvelse skal hver gruppe etablere et trådløst netværk baseret på: En eller flere trådløse klienter og En SO-HO Router med indbygget trådløst net Målet for
Læs mereTRUST 100MB SPEEDSHARE USB ADAPTER
1 Introduktion Tillykke med Deres køb af Trust 100MB Speedshare USB Adapter. Trust 100MB Speedshare USB Adapteret giver Dem mulighed for at forbinde Deres PC med et lokalt netværk (LAN) og/eller med en
Læs mereOpsætning af SONOFON Bredbånd via FWA Windows 2000 Professional
Opsætning af SONOFON Bredbånd via FWA Windows 2000 Professional Før denne guide kan gennemgås, skal du have haft besøg af en SONOFON certificeret installatør, som har opsat din sender/modtager og installeret
Læs mereF-Secure Mobile Security for S60
F-Secure Mobile Security for S60 1. Installation og aktivering Tidligere version Installation Du behøver ikke at fjerne den forrige version af F-Secure Mobile Anti-Virus. Kontroller indstillingerne for
Læs mereInstallation af Oracle 10g Release 2 database
Installation af Oracle 10g Release 2 database Oracle 10g database indeholder databasesoftware, enterprise manager, SQL*Plus m.m., HTML DB (i dag kendt som Application Express) og tilhørende HTTP Server
Læs mereRuko SmartAir. Updater installation
Ruko SmartAir Updater installation Introduktion. Updateren er en speciel enhed som giver os mulighed for at tilføje, læse og skrive funktioner i en offline installation. Med læse og skrive funktionen kan
Læs mereNetværks opsætning af IP modulet:
Netværks opsætning af IP modulet: Installer vcomsetup til ip modul.exe fra den modtagne Mini CD. Efter installation start VCOM programmet Sørg for at enheden er tilsluttet netværket og vælg Search Registrer
Læs mereSoftwareinstallationsguide
Softwareinstallationsguide Denne vejledning forklarer, hvordan du installerer software via USB eller en netværksforbindelse. Netværksforbindelse er ikke tilgængelig for følgende modeller SP 200/200S/203S/203SF/204SF.
Læs mereVLAN - Virtual Local Area Network
VLAN - Virtual Local Area Network - opdeling af LAN i mindre broadcast zoner Hvad er et VLAN? Virtuel switch, bestående af port 2, 5, 8 og 11 på fysisk switch VLAN s er en logisk opdeling af enheder eller
Læs mereFleeDa (DBK Fleetmap Database) Installationsvejledning til installation af VPN og FleeDa klient på egen PC (Juli 2017)
FleeDa (DBK Fleetmap Database) Installationsvejledning til installation af VPN og FleeDa klient på egen PC (Juli 2017) Page 1 of 12 Indhold 1 Adgang til FleeDa... 3 1.1 HW og SW forudsætninger... 3 1.2
Læs mereIntroduktion til computernetværk
Introduktion til computernetværk 24. oktober 2011 Mads Pedersen, OZ6HR mads@oz6hr.dk Slide 1 Plan i dag Netværk generelt Lokalnet Internet Router Kabel/trådløs Firewall Lokal server (forward) Warriors
Læs mereNetteknik 1 Byg et netværk med SO-HO router Øvelse
Netværk med Ethernet-kabler på SOHO router HOLD NUMMER: Beskrivelse Denne øvelse opbygger og tester trinvis et fysisk netværk med 2 Pc er, en SO-HO router, en Internetadgang samt diverse Ethernet-kabling.
Læs mereInstallation af MySQL server på PC
Installation af MySQL server på PC (Udgave 0.02 2013-Oktober-06 @ 22:30 Chris Bagge, Mindre rettelser) Dette er en kort beskrivelse af hvordan man får installeret en MySQL server på en PC med Windows 7.
Læs mereOpsætning af FTP- og webserver 22. januar 2007
Opsætning af FTP- og webserver 22. januar 2007 Mads Pedersen, OZ6HR mads@oz6hr.dk Plan Generelt: Teori og praksis. Tager sikkert ikke så lang tid Hvad bruges en FTP- og webserver til? Hvad skal der bruges
Læs merePID2000 Archive Service
PROLON CONTROL SYSTEMS Herstedvesterstræde 56 DK-2620 Albertslund Danmark Tlf.: (+45) 43620625 Fax: (+45) 43623125 PID2000 Archive Service Bruger vejledning Juni 2002 Denne manual beskriver brugen af softwaren
Læs mereInstallér din Officepakke 2013
Vær opmærksom på der godt kan forekomme andre billeder end dem som er illustreret. Dette er grundet ændringer fra microsoft. Blandt andet bliver SkyDrive ændret til OneDrive. Er du i tvivl om noget kan
Læs mereNexus IP Quickguide. Til alle Nexus VP og F modeller
Nexus IP Quickguide Til alle Nexus VP og F modeller Indhold 1.0 Første Opsætning... 3 1.1 FYSISK TILSLUTNING... 3 1.2 FIND KAMERAET... 3 1.3 LOG PÅ KAMERAET MED INTERNET EXPLORER 11... 4 1.4 MENUEN...
Læs mereIP0027. Brugervejledning ver. 1.1. Side 1 af 5. IP0027 Dansk brugervejledning - tillæg til brugervejledning på CD-rom på engelsk.
Side 1 af 5 IP0027 Dansk brugervejledning - tillæg til brugervejledning på CD-rom på engelsk. IP0027 IP telefon med 5 SIP-konti Side 2 af 5 1. Kom godt i gang, konfiguration af IP-adresse m.m. Tilslut
Læs mereIBI/CTS opbygning af grafiske brugerflader på centrale anlæg...3 Stikordsregister...39
44164 INDHOLDSFORTEGNELSE IBI/CTS opbygning af grafiske brugerflader på centrale anlæg...3 Stikordsregister...39 2-39 Rekv. 7 Prod. 29-11-2005-14:07 Ordre 10723 EFU Indledning IHC Control Viewer giver
Læs mereOpsætning af MobilePBX med Kalenderdatabase
Opsætning af MobilePBX med Kalenderdatabase Dette dokument beskriver hvorledes der installeres Symprex Exchange Connector og SQL Server Express for at MobilePBX kan benytte kalenderadadgang via database
Læs mereOpgavehæfte til kursus i Netteknik7
1) Installation af server 2003 Del 1: basalinstallation Tænd for PC,en og stik Server CD-rom en i drevet, eller ditto og genstart maskinen. Tidligt i opstarten skal boot på CD accepteres ved at trykke
Læs mereISA Server 2006 Del 5. Jesper Hanno Hansen Jphan@wmdata.dk
ISA Server 2006 Del 5 Jesper Hanno Hansen Jphan@wmdata.dk Agenda Overblik over sessionen Konfigurerer RDP publisering Konfigurerer Exchange Access (OWA, RPC http og EAS) Næste Webcast Overblik over sessionen
Læs mereCisco ASA 5505. Vejledning. Opsætning af DMZ-zone
Cisco ASA 5505 Vejledning Opsætning af DMZ-zone Hvad er en DMZ-zone??? En demilitariseret zone eller ingen mands land! http://en.wikipedia.org/wiki/dmz_%28computing%29 3-legged network DMZ Dual firewall
Læs mereBruger Manual For WT-215W WIFI relæ
Product Model: WT-215W Bruger Manual For WT-215W WIFI relæ Applicationer Sæt enheden til en stikkontakt og brug setup menuen for at forbinde enheden til WiFi-routeren og opret en online konto, så er man
Læs mere- City - gør det selv installation. - Vejledninger -
- City - gør det selv installation - Vejledninger - Ver. 1.94 Side 1 Indholdsfortegnelse: Installationsguide... 3 IPTV, Analogt/Digitalt TV og Radio... 3 Internet over 10 Mbit/s... 3 Internet op til 10
Læs mereI denne øvelse vil du få vist hvordan opsætningen af netværket foregår. Målet er at du selv kan konfigurere en IP adresse på din lokal maskine.
I denne øvelse vil du få vist hvordan opsætningen af netværket foregår. Målet er at du selv kan konfigurere en IP adresse på din lokal maskine. Opsætningen her er speciel for dette lokalnetværk, der kan
Læs mereIP Modul report / Netværks software manual 1.0 Funktions beskrivelse:
IP Modul E-mail report / Netværks software manual 1.0 Funktions beskrivelse: IP modulet anvendes til generering af e-mail alarm fra Fronti alarm-centraler samt fjernstyring af Fronti alarm-centraler via
Læs mereDansk version. Introduktion. Modem set forfra eller oppefra. MO251V2 Sweex Wireless ADSL 2/2+ modem/router 54 Mbps Annex A
MO251V2 Sweex Wireless ADSL 2/2+ modem/router 54 Mbps Annex A Introduktion Sweex Wireless ADSL 2/2+ modem/router 54 Mbps Annex A må ikke udsættes for usædvanligt høje temperaturer. Anbring ikke apparatet
Læs mereBrugervejledning Web cam Copyright 2013. Brugervejledning. Web cam. GSM teknik Version 1.0 Side
Brugervejledning Web cam GSM teknik Version 1.0 Side Oversigt 1. Indledning Side 3 2.1 Installation af Ocx Side 4 2.2 Installation af netværk Side 5 2.3 Brugen af softwaren Search tool Side 6-9 2.4 Brugen
Læs mereUniLock System 10. Manual til COM Server CV72. Version 1.0 Revision 020610
UniLock System 10 Manual til COM Server CV72 Projekt PRJ149 Version 1.0 Revision 020610 COM Server CV72 giver mulighed for at tilslutte RS485 direkte til et 10Mbps Ethernet. I stedet for at kommunikere
Læs mereInstallation og opsætning af Outlook klient til Dynamics CRM
Dynamics CRM 4.0 Bredana Systemudvikling A/S - How to Installation og opsætning af Outlook klient til Dynamics CRM Først velkommen til din hostede Dynamics CRM. Med Outlook klienten installeret får du
Læs mere2017 Recordit.nu version 2. Call Recorder Kvikguide for Apresa Client
2017 Recordit.nu version 2 Call Recorder Kvikguide for Apresa Client Indholdsfortegnelse 1 Indledning... 3 2 Opsætning... 4 2.1 Brugere... 4 2.2 Konto... 7 2.3 Server forbindelse... 7 2.4 Skærm... 8 2.5
Læs mereTCP & UDP. - de transportansvarlige på lag 4. Netteknik 1
TCP & UDP - de transportansvarlige på lag 4 Netteknik 1 TCP & UDP TCP og UDP er begge netværksprotokoller til transport, med hver deres header-information i pakken (segmentet): TCP: 0 8 16 31 bit Sequence
Læs mereBrugervejledning. til Waoo! Email
Brugervejledning til Waoo! Email Fiberbredbånd TV Telefoni Indhold Oprettelse af mailadresser...4 Anvendelse af webmail...8 Opsætning af Windows Mail... 12 Opsætning af Outlook Express...18 Opsætning af
Læs mereVejledning til Autodesk Account - Subscription
Vejledning til Autodesk Account - Subscription Denne vejledning beskriver, hvordan du logger på Autodesk Account samt de vigtigste funktioner, bl.a. download af software, hvor du finder serienumre, tildeling
Læs mereLAB ØVELSE KONFIGURATION AF DHCP PÅ DANSK AF KIM DONNERBORG / RTS
LAB ØVELSE KONFIGURATION AF DHCP PÅ DANSK AF KIM DONNERBORG / RTS INDHOLDSFORTEGNELSE Lab øvelse Konfiguration af DHCP på router...2 Topologi...2 Adresse Tabel...2 Formål...2 Baggrund...2 Udstyrs specifikation:...2
Læs mereNetværk & elektronik
Netværk & elektronik Oversigt Ethernet og IP teori Montering af Siteplayer modul Siteplayer teori Siteplayer forbindelse HTML Router (port forwarding!) Projekter Lkaa Mercantec 2009 1 Ethernet På Mars
Læs mereIP Telefoni. Modul 3
IP Telefoni Modul 3 Modul 3 Fastnet telefoni udvikling i DK Unified Communcations System IP telefon boot process Konfiguration af switch Aktivering af licens Konfiguration af router Packet Tracer IPT2
Læs mereIPT Netværk. IPT netværks protokoller. TDC IP telefoni Scale
IPT Netværk IPT netværks protokoller TDC IP telefoni Scale IPT Netværk Services IP telefoner skal bruge noget konfiguration for at virke på et netværk Stor arbejdsbyde at taste alt informationen ind manuelt
Læs mereDet Danske Filminstitut byder velkommen til vores UDP Server. Pligtaflevering - Version 2.0
Det Danske Filminstitut byder velkommen til vores UDP Server. Pligtaflevering - Version 2.0 Denne vejledning viser dig punkt for punkt, hvordan du forbinder, samt starter en overførelse til og fra vores
Læs mereNetværksmålinger. - en introduktion! Netteknik. TCP - IP - Ethernet
Netværksmålinger - en introduktion! Netteknik TCP - IP - Ethernet 1 DNS eksempel På en ældre Windows 7 pc sker følgende deault ved DNS opslag: HOSTS filen kigges igennem DNS + DNS Suffix checkes LLMNR
Læs mereWii Software Modificering. Uber Guide
Wii Software Modificering Uber Guide Af Michael Bartholin (og Alice Raunsbæk) http://wii.m-r-a.dk Side 1 af 21 Indholdsfortegnelse Indholdsfortegnelse...2 Introduktion...3 Krav...3 Forberedelse...3 Historik...3
Læs mereBruger Manual PC Valtronics Udendørs Kamera - Windows system
Bruger Manual PC Valtronics Udendørs Kamera - Windows system Brugervejledning til PC (windows) 1. Installation af kamera Vejledningen er almen for alle Valtronics kameraer, og derfor kan billederne af
Læs mereSTOFA VEJLEDNING SAFESURF INSTALLATION
STOFA VEJLEDNING SAFESURF INSTALLATION Denne vejledning gennemgår installationsproceduren af SafeSurf, og herefter de tilpasningsmuligheder man kan benytte sig af. Trin 1 Installationen starter med at
Læs mereCivilstyrelsen. Lex Dania editor 2010. Installationsvejledning. Version: 1.0 2012-03-09
Installationsvejledning Version: 1.0 2012-03-09 Indhold 1 INDLEDNING... 3 1.1 HVAD ER LEX DANIA EDITOR 2010?... 3 1.2 FORUDSÆTNINGER FOR ANVENDELSE... 3 1.2.1 Hardware... 3 1.2.2 Software... 3 1.3 DISTRIBUTION
Læs mereDe pakker du henter fra Sektornet Værktøjskassen ligger i filformatet jar. Dette er en komprimeringsformat på linie med Zip formattet.
1 FØR DU STARTER 1.1 JAR fil formatet De pakker du henter fra Sektornet Værktøjskassen ligger i filformatet jar. Dette er en komprimeringsformat på linie med Zip formattet. Har du installeret Winzip 9.0
Læs mereSmargo Smartreader+ (version 9.9.2008)
Smargo Smartreader+ (version 9.9.2008) Med Smargo Smartreader plus er det muligt at tilføje yderlige en kortlæser til din Dreambox eller aflæse kortet på en PC-linux server. Nedenfor gives vejledning i
Læs mereGuide til opsætning og sikring af trådløst netværk.
Guide til opsætning og sikring af trådløst netværk. Jeg vil kort komme ind på hvad man skal og hvad man helst ikke skal gøre når man skal opsætte sit trådløse netværk. Jeg vil tage udgang i en DI-624 fra
Læs mereVejledning til Autodesk Account - Subscription
Vejledning til Autodesk Account - Subscription Denne vejledning beskriver, hvordan du logger på Autodesk Account samt de vigtigste funktioner, bl.a. download af software, hvor du finder serienumre, tildeling
Læs mereFairSSL Fair priser fair support
Small Business Server 2003 Certifikat administration Følgende vejledning beskriver hvordan man vælger hvilke adresser der skal være i ens SBS 2003 SSL certifikat. For support og hjælp til anvendelsen af
Læs mereNEMT OG EFFEKTIVT - Ejendomsadministration
Ny Unik Bolig 4 version på trapperne Det er nu ca. 2 år siden, at første version af Unik Bolig 4 blev lanceret. Siden da er der blevet arbejdet hårdt på at forbedre versionen og finde på nye smarte ting
Læs mereVPN adgang. Denne vejledning gælder brugere i LF, SEGES samt virksomheder, der får IT ydelser leveret fra SEGES IT Services
VPN adgang Denne vejledning gælder brugere i LF, SEGES samt virksomheder, der får IT ydelser leveret fra SEGES IT Services Hvad er VPN? VPN giver mulighed for at starte en forbindelse til virksomhedens
Læs merePowerline 500 WiFi Access Point XWN5001 Installationsvejledning
Powerline 500 WiFi Access Point XWN5001 Installationsvejledning Teknisk support Tak, fordi du har valgt et NETGEAR produkt. Når du har installeret enheden, skal du finde serienummeret på etiketten på produktet
Læs mereTEKNISKE FORHOLD VEDR. ADGANG TIL VP.ONLINE. Brugervejledning
TEKNISKE FORHOLD VEDR. ADGANG TIL VP.ONLINE vp.online 2011 01-10-2011 Indholdsfortegnelse 1 PROBLEMER MED AT SE VP.ONLINE... 3 2 BROWSER KONFIGURATION... 6 3 SKRIVEADGANG TIL DREV... 7 4 SESSION TIMEOUT
Læs mereFairSSL Fair priser fair support
Small Business Server 2011 SSL certifikat administration Følgende vejledning beskriver hvordan man installere et certifikat på en SBS 2011 server. Ved bestilling af certifikater til Small Business Server
Læs mereBEC. Cisco AnyConnect Unmanaged VPN. Installation. Brugervejledning. Version
BEC Cisco AnyConnect Unmanaged VPN Installation og Brugervejledning Version 1.0 2017-09-11 Ref. JN Data A/S RemoteAccess Team Side 1 af 19 Indhold Installation... 3 Installation: AnyConnect Secure Mobility
Læs mereSmartair 6.0. Installations guide
Smartair 6.0 Installations guide Indholdsfortegnelse 1 Indledning... 4 2 System Oversigt... 4 3 Installation... 5 3.1 System Krav... 5 3.2 Klargøring af installationen... 5 3.3 Afinstallere tidligere TS1000
Læs mereManual for installation og brug af Ad-aware version 2007
Manual for installation og brug af Ad-aware version 2007 af Anette Behrendt Copyright 2007 og alle rettigheder forbeholdt. NB. Du kan aktivere links, ved at klikke på den tynde streg, så bliver du ført
Læs mere