HUB = multiport repeater

Like dokumenter
6105 Windows Server og datanett

6105 Operativsystem og nettverk

6105 Operativsystem og nettverk

6105 Windows Server og datanett

6105 Windows Server og datanett

6105 Windows Server og datanett

6105 Windows Server og datanett

6105 Windows Server og datanett

Lagene spiller sammen

6105 Windows Server og datanett

6105 Windows Server og datanett

6107 Operativsystemer og nettverk

6105 Windows Server og datanett

6105 Windows Server og datanett

6105 Windows Server og datanett

Kapittel 8: Nettverk i praksis

Høgskolen i Telemark EKSAMEN Operativsystem og nettverk inkludert denne forsiden og vedlegg. Merknader:

TDT4110 IT Grunnkurs: Kommunikasjon og Nettverk. Læringsmål og pensum. Hva er et nettverk? Mål. Pensum

Høgskolen i Telemark EKSAMEN Operativsystem og nettverk inkludert denne forsiden og vedlegg. Merknader:

6105 Windows Server og datanett

6105 Windows Server og datanett

Oppsett av brannmur / router 1.0. Innholdsfortegnelse

6105 Operativsystem og nettverk

6105 Operativsystem og nettverk

Tjenestebeskrivelse Internett Ruter Innhold

6105 Windows Server og datanett

6105 Windows Server og datanett

Brannmurer. fire wall (noun): A fireproof wall used as a barrier to prevent spread of fire.

Løsningsforslag Gruppeoppgaver mars 2003

Høgskolen i Telemark EKSAMEN Operativsystem og nettverk inkludert denne forsiden og vedlegg. Merknader:

Forelesning Oppsummering

6105 Windows Server og datanett

6105 Windows Server og datanett

6105 Windows Server og datanett

EKSAMENSFORSIDE Skriftlig eksamen med tilsyn

6105 Windows Server og datanett

EKSAMENSFORSIDE Skriftlig eksamen med tilsyn

6105 Windows Server og datanett

6105 Windows Server og datanett

Hva består Internett av?

Obligatorisk oppgave nr 2 i datakommunikasjon. Høsten Innleveringsfrist: 04. november 2002 Gjennomgås: 7. november 2002

Grunnleggende om datanett. Av Nils Halse Driftsleder Halsabygda Vassverk AL IT konsulent Halsa kommune

INF329,HØST

Kapittel 5 Nettverkslaget

6107 Operativsystemer og nettverk

Nettverkslaget. Fragmentering/framsending Internetworking IP

EKSAMEN. Emne: Datakommunikasjon. Dato: 30. Nov 2016 Eksamenstid: kl. 9:00 til kl. 13:00

EKSAMENSFORSIDE Skriftlig eksamen med tilsyn

Blant de mest omtalte Internett tilpassningene i dag er brannmurer og virtuelle private nett (VPN).

Installasjonsveiledning. Phonzoadapter

6105 Windows Server og datanett Jon Kvisli, HSN Skriveradministrasjon - 1. Utskrift i nettverk

6105N Windows Server og datanett

6107 Operativsystemer og nettverk

1 INTRODUKSJON SAMMENKOBLING AV ET INTERNETTVERK... 2

TOD120 Nettverk og windows og sikkerhet og datamaskiner og servere og sånn. Øving 12. Joachim Tingvold

6105N Windows Server og datanett

6105 Windows Server og datanett

Emnenavn: Datakommunikasjon. Eksamenstid: Kl: 9:00 til kl: 13:00. Faglærere: Erling Strand

Høgskolen i Telemark Fakultet for allmennvitenskapelige fag

EKSAMENSFORSIDE Skriftlig eksamen med tilsyn

1. Installasjon av ISA 2004

EKSAMEN. Emne: Datakommunikasjon

AirLink v6 / AL59300 v6 avansert oppsett

Avansert oppsett. I denne manualen finner du informasjon og veiledning for avansert oppsett av din Jensen AirLink ruter.

BIPAC-7500G g ADSL VPN Firewall Router med 3DES Akselerator Hurtigstartguide

Introduksjon til nettverksteknologi

BiPAC 7100SV VoIP ADSL-modem/ruter

BiPAC 7402G g ADSL VPN Firewall Router. Hurtigstartguide

Resymé: I denne leksjonen vil vi se på typer brannmurer, konfigurering av brannmurer og IDS

Beskrivelse av TCP/IP Introduksjon Vi har allerede skrevet litt om TCP/IP i kapitel 1, men her ønsker vi å utdype emnet.

Programmering, oppsett og installasjonsløsninger av LIP-8000 serien IP apparater

TTM4175: Etisk hacking. Lab E5: Nettverkssniffing

TJENESTEBESKRIVELSE INTERNETT FRA BKK

Huldt & Lillevik Ansattportal. - en tilleggsmodul til Huldt & Lillevik Lønn. Teknisk beskrivelse

AirLink 1000AC avansert oppsett

6105 Windows Server og datanett

Løsningsforslag EKSAMEN

Datakommunikasjon - Oblig 2

Sentrale deler av pensum i INF

BIPAC 5102 / 5102S / 5102G

1990 første prognoser og varsler om at det ikke vil være nok IPv4 adresser til alle som ønsker det 1994 første dokumenter som beskriver NAT en

BIPAC Bredbåndsruter med brannmur. Hurtigstartguide

Nettverkstilgang - problemstilling

BIPAC-7402/7402W (Trådløs) ADSL VPN Firewall Router med 3DES Akselerator Hurtigstartguide

Sentrale deler av pensum i INF240. Hensikt. Pål Spilling og Kjell Åge Bringsrud

Introduksjon, oppsett og konfigurering av et WLAN

Brukerveiledning Tilkobling internett ALT DU TRENGER Å VITE OM BRUKEN AV INTERNETT

TTM4175 Del 2: Etisk hacking. Lab E5: Nettverkssniffing

6105 Windows Server og datanett

UA Tjenestebeskrivelse Nett

Brukerveiledning Tilkobling internett

6105 Windows Server og datanett

6105 Windows Server og datanett

Brukermanual Side - Innhold

Brukerveiledning Tilkobling internett

6105 Windows Server og datanett

Løsningsforslag til EKSAMEN

Konfigurasjon av nettverksløsning for Eldata 8.0 basert på PostgreSQL databasesystem.

Manual for AL500AC og AL100AC

BIPAC 7100SG/7100G g ADSL Router. Hurtigstartguide

Transkript:

6105 Windows Server og datanett Leksjon 10 Nettverkskomponenter HUB er, svitsjer og rutere (noe repetisjon) ICMP-protokollen Adresseoversetting NAT (noe repetisjon) Portforwarding Brannmur / pakkefilter Windows Firewall Pensum: Kvisli: Datakommunikasjon og maskinvare, kapittel 3 TCP/IP protokollene Kvisli: Windows Server og nettverk, kapittel 13 Windows brannmur Linker: Det finnes mye stoff om dette på Wikipedia: Søk på begrepene 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 1 HUB = multiport repeater HUB Nettverks HUB (engelsk: hub = nav) En "portreplikator" (multiport repeater) for trådparkabel (TP) Knytter sammen flere kabelgrener til ett fysisk nett HUB'en har flere RJ-45 utganger (og evt. én inngang)» vanligvis 4 24 utganger (porter) En datamaskin kan kobles til hver port Obs! En HUB repeterer (gjentar) fysisk signal på alle porter! Alle enheter deler på nettets / HUBens totale kapasitet Alle porter må benytte samme hastighet/bitrate En HUB jobber på lag 1 (fysisk) i OSI modellen behandler kun signaler og bits I moderne lokalnett bruker man svitsjer istedet for HUB er. Se neste foil. 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 2 Page 1

Svitsj Svitsj Fungerer nesten som en HUB men: Behandler pakker (rammer) på lag 2 (lenkelaget) Leser fysiske MAC-adresser i lenkehodet på hver pakke (ramme) Videresender pakker (rammer) bare til riktig "gren" i nettet Fordeler Unngår unødvendig trafikk på nettet Hver PC disponerer all båndbredde fram til svitsjen Vanskeligere å tappe Kan ha ulik bitrate på hver port» Eks: 2 stk 1 Gbit/s porter og 24 stk 100 Mbit/s porter Svitsj Typisk konfigurasjon 100 eller 1000 Mbit/s til hver arbeidsstasjon 1, 10 eller 100 Gbit/s til tjenere og rutere "Rack-svitsj" Svitsjer som kan monteres i "rack-skap" 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 3 Rutere (repetisjon) Datamaskin med: Minst to nettverkskort (interface) - koblet til hvert sitt IP-nett IP-protokoll installert, men ikke høyere lags protokoller Ruterens oppgaver Behandler pakker på lag 3 (nettverkslaget) Mottar IP-pakker og leser IP-adresser i IP-hodet Bestemmer hvilket nett pakken skal sendes ut på Videresender pakken til neste ruter, eller endelig mottaker Flere typer rutere Små hjemmerutere Store kjernenettrutere i Internett Kantrutere kobler lokalnett til internett Vanlige PCer kan konfigureres som rutere 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 4 Page 2

Ruting (repetisjon) Kjerneruter Kjerneruter Klient Kantruter Tjener Kantruter Kjerneruter Kjerneruter Figuren er hentet fra Frode Sørensen: Innføring i nettverk, IDG Books Norge Rutere finnes beste vei gjennom nettet fram til mottaker Beste = raskeste, billigste, sikreste... Beste vei kan endre seg over tid linjer kan endres eller gå ned Rutere må kunne takle slike endringer 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 5 Trådløs hjemmeruter En trådløs ruter til hjemmebruk har flere funksjoner i én boks: Aksesspunkt for WiFi (802.11) Svitsj for ethernet LAN (802.3) Ekstern WAN port Ethernet port for tilkobling til ADSL modem / Internett ADSL port hvis ADSL-modem er innebygget Portens IP-adresse tilhører "ytre" IP-nett Ruter mellom internt nett (LAN) og WAN Med adresseoversetting (NAT) Brannmurfunksjoner Filtrering av innkommende trafikk DHCP-tjener Tildeler (private) IP adresser i LANet WAN port med offentlige IP-adresse i ISPens nett f.eks. 88.29.51.10 LAN: IP-nett med private adresser f.eks.192.168.0.0/24 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 6 Page 3

Oppsummering: hub, svitsj og ruter hub svitsj ruter Hub OSI-lag: Oppgave: Leser: 1 - Fysisk lag Kopiere (repetere) signaler til nytt fysisk medium fysisk signal og bitmønster Videresender: til alle fysiske porter Svitsj OSI-lag: Oppgave: Leser: 2 - Lenkelaget Videresender rammer (lag 2 pakker) til riktig "gren i nettet" MAC adresser i rammene Videresender: til fysiske port der mottaker finnes Ruter OSI-lag: Oppgave: Leser: 3 - Nettverkslaget Videresende pakker (lp-pakker) mellom IP-nett IP-adresse i IP-pakkene Videresender: til neste ruter eller endelig mottaker 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 7 ICMP protokollen Klient IP-pakke B R1 R2 Destination unreachable R3 Tjener A ICMP B Protocol = 1 (ICMP) Del av opprinnelig IP-pakke R5 R4 Figuren er hentet fra Frode Sørensen: Innføring i nettverk, IDG Books Norge ICMP brukes for å sende kontrollmeldinger i IP-nett ICMP pakker pakkes inn med IP-hode og transporteres av IP Likevel regnes vanligvis ICMP som en lag 3 protokoll (ikke lag 4) 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 8 Page 4

Responstid ICMP protokollen ICMP = Internet Control Message Protocol Transportprotokoll for feilmeldinger og annen kontrollinformasjon i nettet Brukes primært av rutere og andre nettkomponenter Brukes også for å sende testmeldinger i nettet, f.eks. av ping Definerer et stort antall meldingstyper Mye brukte meldingstyper: Echo Request Ber om svar fra en maskin (brukes av ping) Echo Reply Svarer på Echo Request Timestamp Request Måler tiden ICMP pakken bruker Timestamp Reply Svarer på Timestamp Request Router Advertisement Routere informerer om sin eksistens og adresse Destination Unreachable Mottakers IP-adresse kan ikke nås Time Exceeded Telleren Time-to-live i en IP pakke har nådd 0 Source Quench Flaskehals har oppstått i ruter eller mottaker 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 9 ICMP og ping Kommandoen ping bruker ICMP meldinger Sender en Echo Request melding Mottar en Echo Reply melding Eksempel: ping www.usn.no klient R1 R2 R3 www.usn.no Echo Request Echo Reply Responstiden er den tiden det tar å få svar på en ping Måles i millisekunder (ms) Skyldes forsinkelser (latency) i hver av ruterne på vegen 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 10 Page 5

ICMP og traceroute Traceroute bruker flere ICMP meldinger etter hverandre øker begrensning i antall hopp (Time-To-Live) for hver melding Eksempel: tracert www.usn.no klient R1 R2 R3 www.usn.no R1 Echo TTL = 1 Time Exceeded R2 Echo TTL = 2 Time Exceeded R3 Echo TTL = 3 Time Exceeded B Echo TTL = 4 Echo Reply 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 11 Private IP-adresser (repetisjon) Reserverte adresseområder Nettverk Kommentar 10.0.0.0-10.255.255.255 10.0.0.0/8 2 24 adresser 172.16.0.0-172.31.255.255 172.16.0.0/12 2 20 adresser 192.168.0.0-192.168.255.255 192.168.0.0/16 2 16 adresser 169.254.0.0-169.254.255.255 169.254.0.0/16 (Automatisk privat IP-adr.) Private IP-adresser skal ikke brukes på Internett Dvs. ikke på maskiner/nettkort som er knyttet direkte til Internett Private IP-adresser videresendes ikke av rutere i Internett! Beregnet for bruk i "lukkede" IP-nett IP-nett som er gjemt bak en ruter, og usynlige for Internett. Ruteren gjør adresseoversetting (NAT) for pakkene rutes ut på Internett. Private IP-nett er usynlige for hverandre unngår adressekonflikt med like private adresser Private IP-adresser kan brukes "fritt" av alle. Hvorfor? "Sparer" offentlige (offisielle) adresser på maskiner som ikke har behov for det. Har begrenset problemet med for få adresser i IP versjon 4 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 12 Page 6

Adresseoversetting NAT (repetisjon) Klient 192.168.52.51 Tjener 128.39.198.44 LAN Private adresser 192.168.52.0/24 Fra: 192.168.52.51 Til: 128.39.198.44 Fra: 128.39.198.44 Til: 192.168.52.51 Ruter m/nat Fra: Til: 128.39.198.44 Fra: 128.39.198.44 Til: Internett Offentlige adresser 192.168.52.2 Privat IP-adresse offentlig IP-adresse på innsiden på yttersiden Figuren er modifisert fra Frode Sørensen: Innføring i nettverk, IDG Books Norge 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 13 Adresseoversetting NAT (repetisjon) Problemstilling: Ruter mellom internt nett og åpent Internett med offentlige (offisielle) adresser Ønsker å bruke private IP-adresser i internt nett Private IP-adresser må ikke slippe ut på Internett! Løsning: NAT Network Address Translation Ruter har én offentlig (offisiell) IP-adresse på yttersiden Ruter oversetter private IP-adresser til sin offentlige (offisielle) IP-adresse Kun ruterens offentlige (offisielle) adresse er synlig på Internett Detaljer: Ruter endrer avsenderadresse på alle utgående IP pakker, til sin egen offentlige IP-adresse.» Fra ytre nett (Internet) ser det ut som om alle IP-pakker kommer fra ruteren! Alle innkommene IP-pakker vil ha ruterens offentlige IP-adresse som mottakeradresse Ruteren endrer mottakeradresse til riktig privat IP-adresse, før pakken sendes inn i LAN et NAT kan også benyttes med flere offentlige IP-adresser på yttersiden 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 14 Page 7

NAT bruker portoversetting Klient 2 192.168.52.52 Privat side adresse 192.168.52.51 192.168.52.52 192.168.52.52 192.168.52.53 Klient 1 192.168.52.51 port 49151 49151 46152 49151 Offentlig side adresse port 49151 49152 49153 49154 For hver klient tildeler ruteren nye portnumre på yttersiden Ruteren endrer avsenders portnr i TCP/UDP-hodet i tillegg til IP-adressen i IP-hodet Tjener Klient 3 LAN Private IP-adresser 192.168.52.0/24 Offentlig IP-adresse Internett Offentlige IP-adresser Tjener 192.168.52.53 Figuren er modifisert fra Frode Sørensen: Innføring i nettverk, IDG Books Norge 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 15 NAT bruker portoversetting PAT Port Address Translation Ruteren lagrer en tilstandstabell med alle portnummer og tilhørende private IP-adresse/portnr på innsiden Må brukes når NAT-ruteren kun har én offentlig (offisiell) IP-adresse på utsiden. Alle private socketadresser over-settes til en entydig offentlig socket-adresse. Hvert portnr på yttersiden tilsvarer én socketadresse på innsiden. Fordeler/hensikter med PAT NAT ing er også en Flere maskiner kan dele én felles offentlig (offisiell) IP-adresse sikkerhetsmekanisme» Reduserer behovet for offentlige IP-adresser Skjuler interne IP-adresser for tilgang fra ytre nett» gir en viss form for sikkerhet, hindrer etablering av forbindelser fra utsiden Ulemper med PAT Kommunikasjonen må initieres fra innsiden» Klienter i ytre nett kan ikke kontakte tjenere i LAN et (ingen info i tilstandstabellen)» Dette kan løses med port forwardning (se neste foil) Forbindelsesfrie protokoller som UDP krever spesiell behandling» Ruteren må reservere portnummeret i PAT-tabellen en viss tid for det kan gjenbrukes. Enkelte protokoller/applikasjoner vil fungere dårlig» De som benytter varierende portnummer (f.eks. FTP, Oracle Net)» IP-tunnellering (VPN / IPsec) 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 16 Page 8

NAT i VMWare Virtual Network Editor VMWare fungerer som ruter med adresseoversetting (NAT) Defineres under VMNet8 som er NAT-nettet» IP-nett/maske (Subnet IP og mask) definerer adresseområde for NAT-nettet Under NAT Settings kan du velge IP-adresse for default ruter (Gateway IP)» Bestemmer VMWares adresse i NAT-nettet DNS Settings» IP-adresse til DNS-tjenere» Disse blir delt ut av DHCP til klienter i NATnettet 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 17 VirtualBox fungerer som ruter med adresseoversetting (NAT) Defineres under Preferences Network DHCP-tjener kan aktiveres Adresser velges automatisk basert på det IP-nettet du velger for NAT-nettet.».1 er adresse til ruteren i VB (som blir default gateway i NAT-nettet)».2 er adresse til DNS tjeneren i VB NAT i VirtualBox (Mac) Machine Settings Network Du må plassere VMene i NAT-nettet VMene kan få IP-adresse manuelt eller fra DHCP i VirtualBox 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 18 Page 9

Portforwarding gir tilgang fra utsiden Web-tjener 1 192.168.52.10:80 Privat side adresse 192.168.52.10 192.168.52.10 192.168.52.12 192.168.52.12 port 80 443 80 443 Offentlig side adresse port 80 443 81 444 192.168.52.12 3389 3389 Klient LAN Private adresser 192.168.52.0/24 Internett Offentlige adresser Klient 192.168.52.53 Web-tjener 2 192.168.52.12:80 Offentlig IP-adresse Klient Figuren er modifisert fra Frode Sørensen: Innføring i nettverk, IDG Books Norge 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 19 Portforwarding gir tilgang fra utsiden Problem: Hva om vi ønsker å nå en tjener i indre nett, fra en klient utenfor? Vanlig NAT tillater ikke TCP/UDP trafikk som initieres utenfra» Fordi de private IP-adressene er skjult for maskiner i ytre nett» Fordi ruteren ikke kan vite hvilken indre adresse man ønsker å nå Løsning: Port forwarding Ruteren kan lagre en tabell over hvilke IP-adresser+portnr som skal nås utenfra» Tabellen må konfigureres manuellt i ruteren! Klienter i ytre nett kontakter ruterens IP-adresse, som om den var tjeneren Ruter videresender pakker til riktig privat IP-adresse i LANet. Eksempel: Webtjener i indre nett skal kunne nås utenfra Webtjeners private socketadresse: 192.168.52.10:80 Ruters offentlige (offisielle) IP-adresse på utsiden: Ruter lagrer følgende videresendingsinformasjon: :80 192.168.52.10:80 Klienter i ytre nett kontakter :80 Ruter videresender pakkene til 192.168.52.10:80 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 20 Page 10

Portforwarding i VMWare Videresendingsregler defineres i NAT Settings For hver regel definerer du: Transportprotokoll og portnummer (serverport) i ytre nett IP-adresse det skal videresendes til i indre nett Portnummer det skal videresendes til i indre nett Navn på regelen 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 21 Portforwarding i VirtualBox (Mac) Videresendingsregler defineres under Port Forwarding I vinduet for NAT-nettet For hver regel: Navn på regelen Transportprotokoll, IP-adresse og portnummer (i ytre nett)» 0.0.0.0 betyr alle maskinens IP-adresser i ytre nett IP-adresse for videresending i indre nett (Guest IP) Portnummer for videresending i indre nett (Guest Port) 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 22 Page 11

Brannmur / pakkefilter Webtjener Ekstern klient Eksterne klient J L Internt nett Interne maskiner Intern klient Brannmur / pakkefilter Formål Stoppe uønsket trafikk inn/ut av lokalnett Slippe gjennom lovlig trafikk 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 23 Brannmur / pakkefilter En brannmur filtrerer bort "uønsket" trafikk Bare pakker som samsvarer med gitte kriterier slippes gjennom Alle andre pakker stoppes i ruteren Filtreringskriterier En brannmur jobber på flere OSI-lag fordi den kan bruke info i pakkehodene fra flere lag IP-adresse / portnummer til avsender og mottaker Protokolltype / -nummer Kommunikasjonsretning (inn/ut) Initieringsretning hvilken side av brannmuren startet kommunikasjonen Aksessliste (ACL-Access Control List) Tabell som viser hvilke pakker som skal slippe gjennom (filtreringsregler) Konfigureres manuellt i brannmuren Eksempel:» slipp gjennom innkommende http trafikk til webtjeneren i det interne nettet» slipp gjennom all utgående http trafikk fra det interne nettet 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 24 Page 12

Brannmur / pakkefilter Klient Tjener Internett Ruter med pakkefilter 128.39.198.44 Internt nett Aksessliste: Pakkeretning Mottaker adresse Mottaker port Avsender adresse Avsender port Protokoll Inn Ut 128.39.198.44 alle eksterne 80 >49150 alle eksterne 128.39.198.44 >49150 80 TCP TCP Innkommende HTTP-trafikk Inn Ut alle interne alle eksterne >49150 80 alle eksterne alle interne 80 >49150 TCP TCP Utgående HTTP-trafikk 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 25 Brannmurer Nettverksbrannmur / ruterbrannmur Spesielle "hardwarebokser, eller programvare på en dedikert maskin / ruter» Plasseres mellom LAN og WAN» Inneholder ofte ruter, pakkefilter og evt. NAT Beskytter hele nettverket på innsiden av brannmuren Pris: 5000 100.000 kr. Utfordring: Stor trafikkmengde krever svært hurtig prosessering av pakker dersom brannmuren ikke skal bli en flaskehals med forsinkelse! Vertsmaskinbasert brannmur (lokal brannmur) Programvare som installeres på én maskin og beskytter kun denne» Inneholder kun pakkefilter for trafikk til / fra denne maskinen (ikke ruter eller NAT) Eksempler:» Windows Firewall» Norton Personal Firewall» F-Secure Firewall Pris: Noen hundrelapper 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 26 Page 13

Brannmur i Windows Server Demo: Profiler Inngående og utgående brannmurregler Brannmurregler / filtere Gyldighetsområde (scope) Logging i brannmuren 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 27 Brannmurprofiler Domain Profile Gjelder når maskinen brukes i et AD domene og har tilgang til domenekontrolleren i domenet. Private Profile Gjelder i private nettverk. I utgangspunktet er ingen nettverk private, men brukeren kan definere en nettverksplassering som privat, f.eks. et hjemmenettverk Public Profile Gjelder når maskinen brukes i alle andre nett utenfor eget domene. For eksempel hvis en bærbar maskin brukes i et offentlig trådløst nett på reise. Brannmurinnstillinger kan settes for hver profil 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 28 Page 14

Innkommende og utgående brannmurregler Innkommende regler Gjelder kommunikasjon som er initiert fra utsiden av brannmuren» Dvs. klientprogrammet er på andre maskiner i nettverket Utgående regler Gjelder kommunikasjon som er initiert fra fra innsiden av brannmuren» Dvs. klientprogrammet er på maskinen som kjører brannmuren Obs! Reglene gjelder pakker som går "begge veger" Dvs. både til og fra klient-/tjenerprogram Standardinnstillinger i Windows Firewall: Alle utgående forbindelser tillates Alle innkommende forbindelser blokkeres» Regler må åpnes manuelt» Windows åpner mange regler "automatisk" ved installasjon av tjenerroller/-funksjoner 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 29 Brannmurregler Fire regeltyper: Program Gjelder all trafikk til/fra en bestemt programfil Port Gjelder for trafikk til/fra én bestemt TCP eller UDP port. Predefined Ferdigdefinerte brannmurregler i Windows tilpasset bestemte Windows-komponenter. Custom Defineres manuelt med en kombinasjon av program og portnummer. 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 30 Page 15

Gyldighetsområde (scope) Avgjør hvilke avsendere / mottakere brannmurregelen skal gjelde for. Alle maskiner i nettet Enkelte IP-adresser Et helt IP-nett (subnett)» eks: 192.168.52.0/24 Et adresseområde (range) Brannmurregler 6105 Windows Server og datanett Jon Kvisli, HSN Nettverkskomponenter - 31 Page 16

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding