Konfigurcia FIREWALL

Poiadavky:
1. Rozhranie Ethernet1 bude sli na pripojenie do verejnej siete s funknm DHCP serverom.
Na tomto rozhran nakonfigurujete protokol DHCP tak, aby bolo zabezpeen pripojenie do
siete internet.

2. Rozhranie Ethernet2 bude sli pre pripojenie firemnch potaov, na ktorch bud
povolen len nasledovn sluby: http, https, ftp, dns, smtp, pop3, ntp, skype. Ostatn sluby
nebud v tejto sieti dostupn. Na tomto rozhran vytvorte natovan sie s adresou
192.168.1.0/24 a prideovanm IP nastaven pomocou sluby DHCP.

3. Rozhranie Ethernet3 bude sli na pripojenie firemnho FTP servera, na ktor sa d

pristupova len z podsiete na rozhran Ethernet2. Komunikcia smerom do internetu je
povolen vlune na verejn adresu 85.248.54.140. Na server bude mon pristupova
vzdialene pomocou protokolu VNC klienta, ktor vyuva protokol TCP a UDP na porte 5900
z potaa s IP adresou 192.168.1.254.

4. Na rozhran Wlan1 nakonfigurujte ifrovan wi-fi sie, ktor nebude ma prstup do siet na
rozhraniach Ethernet2 a Ethernet3. Parametre tejto siete zvote samostatne a zdvodnite
ich.

Diagram zapojenia:

Rieenie lohy:
V prvej asti lohy je potrebn zabezpei pripojenie routra (zariadenie MikroTik)
k Internetu prostrednctvom nadradenej siete dostupnej cez rozhranie Ethernet 1.

Pre prstup k Internetu je nutn nakonfigurova pre rozhranie Ethernet 1 nasledovn parametere:

- IP adresu tak, aby bola sasou nadradenej siete (jednoznan identifikcia zariadenia v sieti)
- Masku podsiete (definuje vekos adresnho priestoru v sieti vekos siete)
- Predvolen brnu (kt. sli na opustenie siete pri prechode do inch siet)
- DNS servery (v prpade, e budeme vyuva aj domnov men)

Pre pridelenie parametrov meme vyui dva spsoby manulnu alebo dynamick konfigurciu. Zo
zadania vyplva, e v nadradenej sieti sa nachdza DHCP server (server, kt. automaticky prideuje
zariadeniam spomnan parametre). Preto vyuijeme funkciu DHCP client - pomocou tejto funkcie si
nae zariadenie vyiada a nsledne pridel parametre zskan z DHCP servera.
Teria:

Protokol DHCP funguje v 4 krokoch:

1. Komunikciu ako pri vetkch klient-server protokoloch zana vdy klient. Vyle prieskumn
balk DHCP DISCOVER na broadcastov Mac adresu FF:FF:FF:FF:FF:FF (broadcastov = uren
pre vetky zariadenia v sieti).
2. Ak v sieti existuje funkn DHCP server, zachyt toto volanie a odpovie na MAC adresu
iadatea balkom DHCP OFFER. Jedn sa vlastne o ponuku nastaven pre klienta.
3. Klient odpoved serveru balkom DHCP REQUEST v prpade, e akceptuje ponkan
nastavenia. Balk obsahuje identifikciu klienta a nastavenia, ktor mu maj by pridelen.
4. Ak predchdzajce kroky prebehli v poriadku server potvrd pridelenie nastaven klientovi
balkom DHCP ACK. Tento balk uzatvra cel proces prideovania nastaven pomocou
protokolu DHCP.

Server klientovy nastavenia len zapoiiava. To znamen pridel ich na urit as. Po uplinut tohto
asu mus klient znovu poada o pridelenie novch nastaven.

Prakticky:

Funkciu DHCP klient zapneme v menu IP->DHCP client pridanm pomocou tlatka +.

V nastaven klienta je nutn vybra rozhranie, pre ktor bude DHCP klient zskava nastavenia. Kad
rozhranie me ma nastaven svojho DHCP klienta.

V naom zadan bude DHCP klient zskava IP nastavenia na rozhran Ethernet 1.

Po aktivovan klienta by sme mali vidie pridelen nastavenia.

Funknos nastaven meme jednoducho otestova nstrojom Ping na ubovon verejn IP adresu
(naprklad dns server googleu 8.8.8.8).

Pripojenie k internetu je funkn, m je splnen prv loha.

V druhej asti lohy nakonfigurujeme firemn sie na rozhran Ethernet 2

a nakonfigurujeme prslun filtrovacie pravidl.

Musme nakonfigurova sie na rozhran Ethernet2. Poda zadania je adresa siete 192.168.1.0/24.
Toto je skrten zpis, kde maska /24 znamen, e je obsadench prvch 24 bitov. V bodkovej notcii
by maska vyzerala nasledovne: 255.255.255.0. Jednoduchm prepotom dokeme zska viac
informci o sieti:

Adresa siete: 192.168.1.0

Adresa broadcastu: 192.168.1.255
Maximlny poet zariaden v sieti: 254
Adresa prvho zariadenia: 192.168.1.1
Adresa poslednho zariadenia: 192.168.1.254

Na rozhranie Ethernet2 musme nakonfigurova jednu z IP adries z nho rozsahu. T bude pre
ostatn zariadenia v sieti sli ako brna, cez ktor opaj sie. V praxi sa najastejie sa na router
prideuje prv alebo posledn IP adresa z rozsahu. V naom prpade pridelme IP adresu 192.168.1.1.
Samozrejme je potrebn nakonfigurova aj masku. Na routroch MikroTik sa pouva u spomnan
skrten zpis teda 192.168.1.1/24. Rune pridelme IP adresu na rozhranie pomocou poloky
IP->Addresses a tlatka +.
 Chceme, aby zariadenia pripojen do siete na rozhran Ethernet2 zskavali nastavenia
automaticky. Je to vhodn najm pri sieach s vm potom zariaden. Pota tak po pripojen do
siete zska vetky potrebn nastavenia automaticky a pri prpadnej zmene konfigurcie siete s nov
nastavenia automaticky rozposlan potaom. To znane uahuje prcu sprvcovi siete.
Na tento el pouijeme u spomnan DHCP protokol. Rozdielom bude, e km sme na
rozhran Ethernet1 sieov nastavenia zskavali (DHCP client), teraz ich budeme rozdva .
Vyuijeme teda funkciu DHCP server.
Nae zariadenie teda bude prideova IP nastavenia cez port Ethernet2 kadmu zariadeniu
ktor sa k tomuto portu pripoj a poiada o pridelenie tchto nastaven (teda m zapnut funkciu
DHCP client). Na staniciach s OS Windows aktivujeme DHCP client nasledovne:

Konfigurcia DHCP serveru na strane MikroTiku je nasledovn: IP->DHCP Server->DHCP Setup

Tlaidlo DHCP Setup funguje ako sprievodca, ktor v pr krokoch nastav vetky parametre potrebn
pre tvorbu DHCP servera. Pre fungovanie DHCP servera je toti nutn postupne nastavi viacero
parametrov:
- IP pool rozsah ip adries, z ktorho s prideovan IP adresy klientom
- DHCP server samotn server, jeho rozhranie, doba zpoiky, prpadn zlon, alebo
nadraden servery a in
- Adresa siete, brny, maska podsiete, DNS server(y), Domna, NTP server a mnoho alch
parametrov
Vetky uveden parametre meme postupne nastavova sami, ale najm pre menej sksench
uvateov je vhodn vyui tlaidlo DHCP SETUP a postupne vyplni nasledovn otzky:

1. Rozhranie na ktorom bude DHCP server fungova

2. Adresa siete v prpade, e je na rozhran pridelen IP adresa, sprievodca automaticky ponka

prslun nastavenie (v naom prpade sme na rozhranie pridelili IP adresu 192.168..1.1/24 preto
nm sprievodca ponka sie 192.168.1.0/24)

3. Predvolen brna, ktor bude prideovan klientom. Brna sli klientom ako miesto, cez ktor
klienti opaj sie. V naom prpade to je n router (teda jeho rozhranie Ethernet2 = IP adresa
192.168.1.1). Nie vdy vak DHCP server pln aj funkciu brny ako v naom prpade.

4. Rozsah adries, z ktorho bud prideovan adresy klientom.

Sprvca nm navrhuje cel rozsah siete, okrem u nami pouitej adresy (192.168.1.1 t sme
u pridelili na Ethernet2). Pre sprvcu je ale rozumn ponecha si niektor adresy v zlohe
v prpade, e ich bude chcie vyui pre zariadenia s rune pridelenou IP adresou. Naprklad sieov
tlaiarne, loisk sborov, rzne typy serverov...

5. DNS Server teda server, ktor sli klientovi ako preklada domnovch mien (napr.
www.azet.sk, alebo nzov potaa PC_Student1) na IP adresy (naprklad prve azetu prislcha
adresa 91.235.52.77). Na tento el mete vyui vlastn DNS server, DNS server vho
poskytovatea internetu, alebo verejn DNS server (naprklad DNS servery googlu 8.8.8.8
a 8.8.4.4). Sprvca vm navrhne hodnoty DNS serverov, ktor zskal z DHCP clienta cez port
Ethernet 1. Mete vak poui ubovon hodnoty.
6. Doba zpoiky. Ako sme u spomnali pri nastaven funkcie DHCP client, nastavenia s pridelen
vdy len na urit dobu. Po jej uplynut si klient mus vyiada nastavenia znova. Preto hovorme
o DHCP zpoike po anglicky DHCP LEASE.

Doba zpoiky sa me li poda typu siete. Naprklad v internetovej kaviarni me by

doba zpoiky nastaven na 1 hodinu o je priemern as, ktor strvi klient v kaviarni... Vo
firemnej sieti me by zpoika 8 hodn pracovn as zamestnanca. Nastavenie zle len od
vaich poiadaviek.
7. Koniec a potvrdenie konfigurcie.

Nakonfigurovan a funkn DHCP server mus po pripojen potaa (so zapnutm DHCP klientom)
k rozhraniu Ethernet2 prideli nami nadefinovan nastavenia IP protokolu. Vetky zapoian
nastavenia vidme v zloke LEASES.
V takto nakonfigurovanej sieti s schopn klienti komunikova medzi sebou. Pre prstup
k Internetu je vak nutn aby IP adresy jednotlivch zariaden boli pri opusten sieti prekladan na IP
adresu routra na rozhran Ethernet1 (rozhranie pripojen smerom k Internetu). Tomuto mechanizmu
sa hovor preklad sieovch adries (v angl. Network Address Translation - NAT). Existuje niekoko
typov NAT. N prpad, ke router skrva vetky zariadenia z uritej podsiete za svoju IP nazvame aj
Masquerade.
Jeho konfigurcia sa realizuje v zloke IP->Firewall->NAT->pridme nov pravidlo tlaidlom +.

Pravidlo pre preklad adries sli na to, aby balkom ktor opaj router cez Ethernet1
(smerom do Internetu) zamenila IP adresa za adresu routra. Pravidlo vyzer nasledovne:
Chain: SRC NAT
 Out-interface: Ethernet1
Action: Masquerade
Po vytvoren pravidla zane klientom fungova komunikcia s Internetom.

Poiadavkou je vak, aby boli klientom prstupn len vybran sluby. To znamen, e
prstup k sieti Internetu bude filtrovan pomocou filtrovacch pravidiel firewallu.

Povolen maj by len sluby http, https, ftp, dns, smtp, pop3, ntp, skype. To znamen, e
ostatn sluby bud zakzan. Pouva sa teda prsnej prstup k zabezpeeniu siete, kde klienti
mu vyuva len tie sluby, ktor im sprvca siete implicitne povol. Vetky ostatn s automaticky
blokovan. Takto funkciu firewallu dosiahneme tak, e posledn filtrovacie pravidlo zakazuje
vetku komunikciu a pred toto pravidlo vkladme povolovacie pravidl. V naom prpade by
zjednoduen tabuka filtrovacch pravidiel vyzerala nasledovne:
slo Podmienka Akcia
1 Komunikcia http Povo
2 Komunikcia https Povo
3 Komunikcia ftp Povo
4 Komunikcia dns Povo
5 Komunikcia smtp Povo
6 Komunikcia pop3 Povo
7 Komunikcia ntp Povo
8 Komunikcia skype Povo
9 Vetko Zaho

Dleit je poradie pravidiel vzhadom na to, e balk postupne prechdza vetkmi

pravidlami v ich porad. Ako nhle je balk povolen nepokrauje na alie pravidl a je prepusten
do siete. V prpade ak balk naraz na pravidlo ktor ho zahod, nepokrauje na alie pravidl a je
vymazan.

Vetky vyie spomnan sluby okrem sluby SKYPE sa daj identifikova na zklade
prenosovho protokolu a portu na strane servera. Vyuvaj toti tandardn sla portov. Pri
komunikcii zariaden sa vyuvaj sieov porty podobne ako pripjame klvesnicu, my, monitor,
i tlaiare k potau pomocou niektorho z hardvrovch portov (naprklad USB, alebo DVI).
Komunikciu vdy zana klient kt. otvor port na svojej strane a pripoj sa na IP adresu
servera a port sluby. Kad sluba m na strane serveru dohodnut slo portu.

Naprklad ak sa klient sna pripoji na slubu www pomocou protokolu http, zadva adresu serveru
a portu. V naom prpade by adresa vyzerala takto 10.10.10.1:80. V prpade, e by sa klient snail
zosynchronizova as so serverom (sluba NTP), volal by adresu 10.10.10.1:123.
Okrem sla portu musme vedie, ak transportn protokol sluba vyuva (spoahliv TCP,
alebo nespoahliv ale rchlej UDP). daje pre jednotliv sluby bez problmu njdeme na
internete. Ak teda poznme sla portov jednotlivch sluieb a pouvan transportn protokol,
dokeme ich jednoducho identifikova vo firewalle. V naom prpade filtrujeme sluby na
nasledovnch portoch:
http TCP 80
https TCP 443
ftp TCP 20,21
dns UDP 53
smtp TCP 25
pop3 TCP 110
ntp UDP 123
Filtrovacie pravidlo naprklad pre http potom vyzer nasledovne:
Protocol: TCP je pouvan transportn protokol TCP
Any port: 80 komunikcia pochdza, alebo smeruje na port 80
Action: allow tto komunikcia bude povolen

Podobnm spsobom vytvorme ostatn pravidl.

Posledn pravidlo filtrujce komunikciu Skype nie je mon vytvori tmto spsobom. Skype
toti nevyuva fixn sla portov. Pri nadviazan telefnneho spojenia sa vyuva niekoko portov
sasne, priom s vyuvan porty s slami od 1023 a po 65000. Na filtrovanie takhoto typu
komunikcie je potrebn vyui in mechanizmus. K tomuto elu sli takzvan filtrovanie na 7.
vrstve. Jedn sa o mechanizmus, ktor kad balk posklad a po siedmu vrstvu (poda ISO/OSI)
a had v om pecifick textov reazec takzvan REGEXP. Vzhadom na to, e kad balk ktor
prechdza firewallom mus by poskladan, otvoren, prehadan a nsledne rozloen a odoslan je
tento spsob filtrovania komunikcie hardvrovo nron. Nie je preto vhodn pre niie rady
zariaden MikroTik. REGEXP vrazy pre jednotliv sluby dokeme vyhada na Internete. Naprklad
REGEXP pre Skype vyzer nasledovne ^..\x02.............
To znamen e kad balk Skype komunikcie obsahuje takto vraz. Pre vyuitie L7 filtra
postupujeme nasledovne:
- V zloke IP->Firewall->Layer 7 Protocols-> tlatko + vytvorme nov filtrovac protokol

Protokol si ubovone pomenujeme a do polka Regexp vlome njden vraz. Nami vytvoren
protokol potom pouijeme pri vytvran filtrovacieho pravidla. Ke si pri jeho tvorbe meme
v zloke ADVANCED zvoli pre parameter Layer 7 Protocol nami vytvoren protokol. Akciu pre toto
pravidlo nastavme na hodnotu Accept.
Tmto pravidlom sme uzavreli zoznam povolench sluieb. Pre sprvne fungovanie firewallu
zostva ete doplni posledn pravidlo ktor bude zahadzova vetku nepovolen komunikciu. Sta
vytvori przdne pravidlo s akciou Drop.