Linux als Firewall und Caching-Proxy zur Absicherung der Infrastruktur

Transkript

1 Linux als Firewall und Caching-Proxy zur Absicherung der Infrastruktur Projektdokumentation der innerbetrieblichen Projektarbeit zur Abschlussprüfung zum IT-Fachinformatiker für Systemintegration Ausbilder und Projektbetreuer Martin Mayr Seite 1

2 Inhaltsverzeichnis 1. Einleitung KMB Computer & Netzwerke 3 2. Projektspezifikation Projektanstoß Projektumfang Projektziele Geschäftsnetz Werkstattnetz 4 3. Ist-Analyse Infrastruktur Geschäftsnetz Werkstattbereich 5 4. Projektdefinition Umfang der zu leistenden Arbeiten Arbeiten die außerhalb des Projektes stattfinden 5 5. Realisierung Hardwareplattform Installation Betriebssystem Installation zusätzlicher Pakete Entfernen unnötiger Pakete Basiskonfiguration Netzwerkkonfiguration Einrichtung des DHCP Iptables der Paketfilter Squid als Caching Proxy 9 6. Ergebnisanalyse Abschließende Beurteilung Kommentare Abweichungen vom Projektantrag Debian 6 Updates DNS-Server Anlagen 11 A Bisherige Netzstruktur 11 B Zukünftige Netzstruktur 12 C Maßnahmen der Basiskonfiguration 13 D Interfacekonfiguration 14 E DHCP Konfiguration 15 F Firewallskript zum setzen der Filterregeln 16 G Squid Konfiguration 22 H Projektplan 24 I Glossar 25 J Testresultate 26 Seite 2

3 1. Einleitung 1.1 KMB Computer & Netzwerke Die Firma KMB Computer & Netzwerke ist ein kleiner Betrieb in Augsburg Inningen und betreut größtenteils Privatkunden sowie einige kleine und mittelständige Unternehmen im Umkreis. Schwerpunkt ist Beratung/Verkauf sowie Service vor Ort. Das Firmennetzwerk besteht aus einem Windows 2003 Server der Domänendienste als auch als Fileserver dient. Dazu kommt ein VMware ESXi Server der verschiedene virtuelle Maschinen beherbergt, wobei derzeit nur die Warenwirtschaft aktiv betrieben wird. Dazu kommen noch 4 Werkstattplätze für KundenPC's sowie 4 Arbeitsplätze für den Geschäftsführer und den 2 Auszubildenden. 2. Projektspezifikation 2.1 Projektanstoß Da in den letzten Monaten immer häufiger Kunden mit, von Viren infizierten PC's, die Firma KMB aufsuchten, wurde beschlossen die Sicherheit des Firmennetzes zu erhöhen. Besonders im Werkstattbereich wurde schnell klar, das ein gemeinsames Netz ohne klare Trennung der Werkstattplätze immer das Risiko beinhaltet das ein infizierter Kunden-PC einen anderen Kunden-PC, der sich z.b. gerade in einer Neuinstallation befindet und ohne Virenschutz ausgerüstet, gefährden würde. 2.2 Projektumfang Zu Beginn der Projektarbeit wird als erstes eine Besprechung mit dem Projektbetreuer Martin Mayr durchgeführt, um zu bestimmen welche Arbeiten innerhalb des Projektes durchgeführt werden können und welche erst später umgesetzt werden, die nicht im Einklang mit den Zeitvorgaben für ein Abschlussprojekt stehen. Dazu wird ein Projektplan erstellt um die geplanten Arbeiten zu gliedern und den zeitlichen Ablauf zu steuern. Anlage H zeigt den erstellten Projektplan Seite 3

4 2.3 Projektziele Als Gateway zum Internet soll eine Linux-Firewall mit Proxy auf Basis von Debian 6 zum Einsatz kommen. Durch die robuste Distributionspolitik des Debianprojekts über die Jahre, ist dies zum Zeitpunkt des Projekts eine ideale Entscheidung. Um Stromkosten einzusparen und zusätzliche Sicherheit zu gewähren wird die Firewall auf einem VMware ESXi Server als virtuelle Maschine eingerichtet. Damit ist es möglich vergleichsweise einfach eine Sicherung mithilfe von Snapshots anzufertigen. Außerdem führt die zusätzliche Schicht zur Hardware des Servers zu zusätzlicher Sicherheit und die virtuelle Hardware ist leichter anpassbar, für den Fall das mehr Leistung, Arbeitsspeicher oder Festplattenkapazität benötigt werden. 2.4 Geschäftsnetz Im Bereich des Geschäftnetzes soll die Firewall / Proxy zusätzlichen Schutz bieten sowie die Geschwindigkeit erhöhen aufgrund des Caching's. Eine klare Abtrennung zwischen Geschäftsnetz und Werkstattnetz ist zwingend, da die Infrastruktur der Firma sonst durch Gefährdungen aus dem Werkstattnetz in Mitleidenschaft gezogen werden könnte. 2.5 Werkstattnetz Da der Werkstattbereich nur über 4 Arbeitsplätze verfügt und auch in Zukunft nicht ausgebaut werden soll, wird jedem Arbeitsplatz ein dediziertes Netzwerkkabel, mit direkter Verbindung auf die Firewall zur Verfügung gestellt. Dadurch soll erreicht werden, das kritische Kunden-PC's die eventuell über Viren, Trojaner etc. verfügen, andere Kunden-PC's nicht infizieren bzw. in Mitleidenschaft ziehen können. Anlage B zeigt den Soll-Zustand 3. Ist-Analyse 3.1 Infrastruktur Die Firma KMB Computer & Netzwerke ist derzeit über einen Cisco Router RV042 und einem Sphairon Turbolink DSL-Modem an das Internet angebunden. Dabei kümmert sich der Cisco Router um die VPN-Tunnel zu Kunden und die Absicherung des Netzes nach außen hin. Seite 4

5 3.2 Geschäftsnetz Das Geschäftsnetz ist weitgehend frei von Beschränkungen, da unter anderem VPN/SSH Verbindungen zu Kunden aufgebaut werden müssen, um diese zu betreuen. Dabei werden vom Windows 2003 Server IP-Adressen verteilt und die Domainanmeldung realisiert. 3.3 Werkstattbereich Für die Werkstattarbeitsplätze ist ein getrennter IP-Bereich eingerichtet sowie ein Caching-Proxy vorgeschaltet. Dies ist zwingend nötig, da die Firma KMB außerhalb von Augsburg sitzt und dort nur DSL 1500 verfügbar ist. Gerade bei Neuinstallationen von Windows Rechnern werden viele und zum Teil sehr große Updates heruntergeladen. Damit bei KundenPC's keine Einstellungen nötig sind, werden IP Adressen über DHCP verteilt und der Proxy arbeitet transparent. Anlage A zeigt den Ist-Zustand 4. Projektdefinition 4.1 Umfang der zu leistenden Arbeiten Nachdem die Ziele des Projektes mit dem Projektbetreuer geklärt sind und die derzeitige Infrastruktur erfasst ist, haben sich folgende Aufgaben herauskristallisiert. - Einbau und Einrichtung einer 4-fach Netzwerkkarte auf dem VMware ESXi Server - Erstellen einer virtuellen Maschine für die Linux-Firewall / Proxy - Installation und Konfiguration von Debian 6 Squeeze - Einrichten der Netze sowie des Routings - Einrichtung des DHCP Servers - Erstellen umfangreicher Firewall-Regeln zum abtrennen der Netze - Konfiguration eines transparenten Proxy's inkl. Caching 4.2 Arbeiten die außerhalb des Projektes stattfinden - Ersetzen des Windows 2003 Servers durch Samba - Einrichten von umfangreichen Proxy Filterlisten - Weitergehende Absicherungsmaßnahmen im Bereich der Firewall - Umfangreiches Logging inkl. Warnmeldungen via Seite 5

6 5. Realisierung 5.1 Hardwareplatform Da der VMware ESXi Server bereits Bestandteil der Serverlandschaft ist, wird dieser nur noch mit einer 4-fach Netzwerkadapter nachgerüstet um genügend Netzwerkanschlüsse für die geplante Netzwerkstruktur zu besitzen. Der VMware ESXi Server besteht aus folgenden Komponenten: - 19 Zoll 3 HE ATX Industriegehäuse der Firma Chenbro - Intel S3420GP Server Board Sockel Intel Xeon X3440 Prozessor, 4 Kerne, 8 Threads - 8 GB DDR3 ECC Ram von Infineon - 2 Onboard Gigabit Lan - Adaptec RAID 5405 Controller 4x SAS/SATA - 4x 500 GB Seagate RAID 5 Verbund - 1x 1 TB Seagate Die virtuelle Maschine wird mit folgenden Spezifikationen erstellt: - 1x Prozessorkern mit 100% Leistung MB Arbeitsspeicher - 8 GB Festplattenkapazität - 6x Netzwerkkarten 5.2 Installation Betriebssystem Als Betriebssystem der virtuellen Maschine kommt Debian 6 Squeeze zum Einsatz. Da ich seit 2001 Debian einsetze (damals Debian 2.2 Potato ) und die meiste Erfahrung auf Debiansystemen basiert, stellt die Installation und anschließende Konfiguration keine Überraschungen bereit. Bei der Installation habe ich ich mich entschieden keine ausgefallene Partitionierung vorzunehmen, da dies auf einer virtuellen Maschine kaum Sinn macht, da sich der VMware ESXi Server bereits um die optimale Leistung kümmert. Daher erstelle ich nur eine Rootpartition mit 7,5 GB und eine 500 MB Swappartition. Entgegen der Empfehlung der Installationsroutine wähle ich als Dateisystem Ext4 statt Ext3, da dieses mehr Performance bietet, was beim Einsatz eines Caching Proxy's durchaus Sinn macht. Die weiteren Installationseinstellung betreffen nur noch die Sprache, Zeitzone sowie die Konfiguration der ersten Netzwerkkarte. Im VMware ESXi Server habe ich die erste Netzwerkkarte auf das derzeitige KMB Netz gestellt, damit bekommt diese eine IP-Adresse vom derzeitigen Netzwerk und ich kann die Installation ohne Probleme über das Internet fortführen. Seite 6

7 Nach der Installation der Basispakete wähle ich anschließend bei der Paketauswahl nur Standardtools und den SSH Server aus. Eine Firewall benötigt nur in Ausnahmefällen eine grafische Oberfläche. Nach dem festlegen des Root Passworts und dem anlegen eines normalen Benutzers, wählt man nur noch aus, wohin Grub der Bootmanager installiert werden soll und damit ist die Installation auch schon abgeschlossen. 5.3 Installation zusätzlicher Pakete Um etwas komfortabler auf der Firewall zu arbeiten, installiere ich via APT noch einiges an Software nach, darin enthalten ist auch der Proxy Squid sowie der DHCP Server: apt-get -y -qq install lynx wget vim bzip2 aptitude squid isc-dhcp-server Um für zukünftige Änderungen an der Firewall gerüstet zu sein, installiere ich zusätzlich noch den C und C++ Compiler und oft benötige Werkzeuge zum kompilieren von Modulen: apt-get -y -qq install m4 make gcc g++ autoconf automake bison flex 5.4 Entfernen unnötiger Pakete Da bei der Installation der Standardtools auch Pakete installiert werden die nicht benötigt werden, entferne ich diese mit: apt-get -y -qq purge at acpid nfs-common portmap 5.5 Basiskonfiguration Als erste Maßnahme wird IPv6 im Bootmanager Grub deaktiviert, da es zum jetzigen Zeitpunkt nicht benötigt wird. Ebenso wird in Exim4, dem Standardmailer, die IPv6 Adresse aus der Konfiguration entfernt, damit dieser wieder ohne Fehlermeldung startet. Zusätzlich entferne ich einen Fehler der Installationsroutine bei Debian. Dabei handelt es sich um einen Treiber für den eingebauten Lautsprecher in PC's, der beim Boot des Systems doppelt geladen wird und deshalb immer eine störende Meldung produziert. Der Root Zugang auf dem SSH-Server bleibt während der Einrichtung der Firewall geöffnet und wird erst mit Abschluss des Projekts geschlossen. Anlage C zeigt die Maßnahmen im Detail Seite 7

8 5.6 Netzwerkkonfiguration Insgesamt werden 6 Netze benötigt, 1 Transportnetz zum Cisco Router, 1 Geschäftsnetz sowie 4 Netze für die Werkstatt-Arbeitsplätze. Dazu werden die IP-Netze wie folgt aufgeteilt: Netz IP-Bereich Schnittstelle Transportnetz /24 eth0 Geschäftsnetz /24 eth1 Werkstattplatz /28 eth2 Werkstattplatz /28 eth3 Werkstattplatz /28 eth4 Werkstattplatz /28 eth5 Anlage D zeigt die Konfigurationsdatei Es sind 16er IP-Blöcke für jeden Werkstatt-Arbeitsplatz eingerichtet, damit auch umfangreiche Testaufbauten realisiert werden können. Zusätzlich werden die Routen für das Geschäftsnetz und die Werkstattnetze auf dem Cisco Router eingetragen. Eine umfangreiche Routingkonfiguration entfällt, da alle Netze direkt an die Firewall angeschlossen sind und das Default-Gateway der Firewall auf den Cisco Router zeigt. An der Schnittstelle eth0 wird zusätzlich eine MTU von 1492 eingestellt, damit das Zerteilen von zu großen Paketen auf der leistungsfähigeren Linux-Firewall geschieht und nicht auf dem Cisco- Router. 5.7 Einrichtung des DHCP Die Einrichtung des DHCP-Servers funktioniert unproblematisch. Beim Geschäftsnetz ist ein Block von eingerichtet, so hat man am Anfang Platz für weitere Server sowie Netzwerkdrucker. Die Werkstatt-Arbeitsplatz erhalten alle möglichen IP-Adressen in ihrem Bereich abgesehen die des Gateway. Anlage E zeigt die Konfigurationsdatei 5.8 Iptables der Paketfilter Iptables ist keine Firewall ansich, vielmehr ist es eine Schnittstelle zu den im Kernel enthaltenden Filtermechanismen. Dabei werden die definierten Regeln an den Netfilterteil des Kernels übergeben, der diese dann umsetzt. Seite 8

9 Bei der Konfiguration mit Iptables wurde bewusst auf Masquerading, eine Form von NAT, verzichtet, da bereits der Cisco Router NAT umsetzt. Bei doppelten NAT kommt es oft zu Problemen und unerwünschten Nebeneffekten. Außerdem wurde das Transportnetz nicht extra abgesichert, da ebenfalls der Cisco Router dies nach außen hin bewerkstelligt. In Absprache mit dem Projektbetreuer und dem analysieren der üblichen Aufgaben im Werkstattnetz sowie dem Geschäftsnetz entstand folgende Definition. - Grundsätzlich alles verwerfen Um Schädlingen keinen Nährboden zu geben Falsch konfigurierte KundenPC's abschotten - Dienste zur Netzwerkkonfiguration freischalten DHCP & DNS - Dienste die in der täglichen Arbeit benötigt werden freischalten NTP, POP3, IMAP, FTP, SSH, NNTP, PING - Sonderregeln für das privilgierte Geschäftsnetz SSH auf die Firewall gestatten Zugang zu Webkonfigurationen (Plesk etc.) - Keinerlei Vermittlung zwischen den Netzen - Umleiten des Webtraffic's auf den Proxy Anlage F zeigt das vollständige Shellskript 5.9 Squid als Caching Proxy Als Proxy wird Squid benutzt, da dieser sehr flexibel zu konfigurieren ist und sich praktisch als defakto Standard in Sachen Proxy unter Linux durchgesetzt hat. Bei der Konfiguration wird darauf geachtet das nur notwendige Parameter Verwendung finden, damit zum einen die Übersichtlichkeit gewahrt bleibt und zum anderen die eventuelle Fehlersuche bei Fehlverhalten vom Proxy vereinfacht wird. Damit auch größere Windows-Updates Platz finden, wird die maximale Größe von Objekten im Cache auf 2 GB angehoben. Zusätzlich wird das Limit für Clientverbindungen zum Proxy auf einen Tag gesetzt, damit diese immer genügend Zeit haben, ihre Operationen auszuführen. Anlage G zeigt die Squid Konfiguration Seite 9

10 6. Ergebnisanalyse 6.1 Abschließende Beurteilung Durch die Neustrukturierung des bisherigen Netzes ist die Sicherheit deutlich erhöht und die Arbeit mit Kunden-PC's ist deutlich unkritischer. Der Einsatz eines vorhanden VMware ESXi Servers spart teure Neuanschaffung von Hardware sowie Stromkosten im laufenden Betrieb. Der Wechsel auf private 10'er Netze hat weiterhin den Vorteil das VPN-Verbindungen zu Kunden nicht beim Routing kollidieren, da Kunden zu 99% im privaten 'er Netze nutzen. Außerdem sind, durch den sauberen Netzaufbau, Fehlerquellen beim Netzbetrieb einfacher ausfindig zu machen und schneller behebbar. Debian Linux ist ein sehr stabiles und sicheres Linux. Darüber hinaus sind zukünftige Erweiterungen leicht und schnell umzusetzen, da es nicht den Beschränkungen von einem Hersteller unterliegt, wie z.b. bei Hardwareroutern. 7. Kommentare 7.1 Abweichungen vom Projektantrag Im Gegensatz zum Projektantrag wurde im Projekt eine seperate Verkabelung der Werkstatt- Arbeitsplätze vorgenommen um ein höheres Maß an Sicherheit zu gewährleisten. Bei einem einzigen Netzwerkbereich bestünde immer die Gefahr das sich Kundenrechner gegenseitig infizieren, selbst wenn diese in einem getrennten Subnetz operieren würden. Außerdem wurde kein Implementierungsplan erstellt, da die Infrastruktur des Firmennetzwerks recht übersichtlich war und die Umsetzung des Projekts auf einem VMware ESXi Server keinen Einfluss auf den regulären Betrieb hatte. 7.2 Debian 6 Updates Da bei der Installation von Debian ein Internetspiegel Verwendung fand, wurden Updates automatisch eingespielt. Daher wurde darauf verzichtet näher darauf einzugehen. 7.3 DNS-Server Auf die Installation und Konfiguration eines DNS-Server's wurde verzichtet, da bereits der vorgeschaltete Cisco-Router DNS-Caching übernimmt und die Clients in der Regel auch Caching betreiben. Seite 10

11 8. Anlagen A - Bisherige Netzstruktur Seite 11

12 B - Zukünftige Netzstruktur Seite 12

13 C - Maßnahmen der Basiskonfiguration IPv6 im Bootmanager Grub deaktivieren vi /etc/default/grub GRUB_CMDLINE_LINUX="ipv6.disable=1" update-grub IPv6 Adresse in der Exim Konfiguration entfernen vi /etc/exim/update-exim4.conf.conf dc_local_interfaces=' ' update-exim4.conf Fehler des PC-Speaker Treibers beheben echo "blacklist snd-pcsp">>/etc/modprobe.d/blacklist.conf Seite 13

14 D - Interfacekonfiguration (/etc/network/interfaces) # Loopback auto lo iface lo inet loopback # Interface zum Cisco Router auto eth0 iface eth0 inet static address netmask network broadcast gateway up ifconfig eth0 mtu 1492 # Interface zum Geschäftsnetz auto eth1 iface eth1 inet static address netmask network broadcast # Interface zum Werkstattplatz 1 auto eth2 iface eth2 inet static address netmask network broadcast # Interface zum Werkstattplatz 2 auto eth3 iface eth3 inet static address netmask network broadcast # Interface zum Werkstattplatz 3 auto eth4 iface eth4 inet static address netmask network broadcast # Interface zum Werkstattplatz 4 auto eth5 iface eth5 inet static address netmask network broadcast Seite 14

15 E - DHCP Konfiguration (/etc/dhcp/dhcpd.conf) option domain-name-servers ; default-lease-time 600; max-lease-time 7200; authoritative; log-facility local7; ddns-update-style none; # Transportnetz subnet netmask { } # Geschaeftsnetz subnet netmask { range ; option domain-name "gsn.kmb-pc.de"; option routers ; option broadcast-address ; } # Werkstattnetz 1 subnet netmask { range ; option domain-name "wsn1.kmb-pc.de"; option routers ; option broadcast-address ; } # Werkstattnetz 2 subnet netmask { range ; option domain-name "wsn2.kmb-pc.de"; option routers ; option broadcast-address ; } # Werkstattnetz 3 subnet netmask { range ; option domain-name "wsn3.kmb-pc.de"; option routers ; option broadcast-address ; } # Werkstattnetz 4 subnet netmask { range ; option domain-name "wsn4.kmb-pc.de"; option routers ; option broadcast-address ; } Seite 15

16 F - Firewallskript zum setzen der Filterregeln #!/bin/bash # firewall.sh Uwe Schoelzel # routing & paket filter regeln # Transport Netz EXT_IP=" " EXT_IPN=" /24" EXT_IFC="eth0" # Geschaeftsnetz GSN_IP=" " GSN_IPN=" /24" GSN_IFC="eth1" # Werkstattplatz 1 WSN1_IP=" " WSN1_IPN=" /28" WSN1_IFC="eth2" # Werkstattplatz 2 WSN2_IP=" " WSN2_IPN=" /28" WSN2_IFC="eth3" # Werkstattplatz 3 WSN3_IP=" " WSN3_IPN=" /28" WSN3_IFC="eth4" # Werkstattplatz 4 WSN4_IP=" " WSN4_IPN=" /28" WSN4_IFC="eth5" # startmodus case "$1" in 'start') # # kernel filter # # ipv4 forwarding aktivieren echo 1 > /proc/sys/net/ipv4/ip_forward # tcp syn cookie schutz echo 1 > /proc/sys/net/ipv4/tcp_syncookies # icmp broadcast echo echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts Seite 16

17 # icmp "bad error" message echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses # icmp redirects for ENTRY in /proc/sys/net/ipv4/conf/*/accept_redirects do echo 0 > $ENTRY done # ip spoofing verringern for ENTRY in /proc/sys/net/ipv4/conf/*/rp_filter do echo 2 > $ENTRY done # "source-routed" pakete ignorieren for ENTRY in /proc/sys/net/ipv4/conf/*/accept_source_route do echo 0 > $ENTRY done # gespoofte, source-routed und redirect pakete loggen for ENTRY in /proc/sys/net/ipv4/conf/*/log_martians do echo 1 > $ENTRY done # # basis regeln # # alles verwerfen iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # alles auf localhost erlauben iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # alles vom transportnetz erlauben iptables -A INPUT -i $EXT_IFC -j ACCEPT iptables -A OUTPUT -o $EXT_IFC -j ACCEPT ### ssh von auserhalb (nur einschalten wenn noetig) iptables -A INPUT -p tcp -s $EXT_IPN -d $EXT_IP --dport 22 -j ACCEPT iptables -A OUTPUT -p tcp -s $EXT_IP -d $EXT_IPN --sport 22 -j ACCEPT Seite 17

18 # # regeln fuer das geschaeftsnetz # ### forward icmp (ping) iptables -A FORWARD -p icmp -o $EXT_IFC -s $GSN_IPN -j ACCEPT iptables -A FORWARD -p icmp -i $EXT_IFC -d $GSN_IPN -j ACCEPT ### forward udp (dns,ntp) iptables -A FORWARD -p udp -o $EXT_IFC -s $GSN_IPN --match multiport \ --dports 53,123 -j ACCEPT iptables -A FORWARD -p udp -i $EXT_IFC -d $GSN_IPN --match multiport \ --sports 53,123 -j ACCEPT ### forward tcp (ftp,ftp,ssh,smtp,pop3,imap,smtps,pop3s,imaps,https,pptp,plesk) iptables -A FORWARD -p tcp -o $EXT_IFC -s $GSN_IPN --match multiport \ --dports 20,21,22,25,110,143,465,995,993,443,1723,8443 -j ACCEPT iptables -A FORWARD -p tcp -i $EXT_IFC -d $GSN_IPN --match multiport \ --sports 20,21,22,25,110,143,465,995,993,443,1723,8443 -j ACCEPT ### forward gre (pptp) iptables -A FORWARD -p gre -o $EXT_IFC -s $GSN_IPN -j ACCEPT iptables -A FORWARD -p gre -i $EXT_IFC -d $GSN_IPN -j ACCEPT # dhcp iptables -A INPUT -p udp -i $GSN_IFC -s $GSN_IPN -d $GSN_IP \ --sport 67:68 --dport 67:68 -j ACCEPT iptables -A OUTPUT -p udp -o $GSN_IFC -s $GSN_IP -d $GSN_IPN \ --sport 67:68 --dport 67:68 -j ACCEPT # proxy iptables -A INPUT -p tcp -i $GSN_IFC --dport j ACCEPT iptables -A OUTPUT -p tcp -o $GSN_IFC --sport j ACCEPT iptables -t nat -A PREROUTING -p tcp -i $GSN_IFC --match multiport \ --dports 80:88,8080 -j REDIRECT --to 3128 ## ping auf den router erlauben iptables -A INPUT -p icmp -s $GSN_IPN -d $GSN_IP -j ACCEPT iptables -A OUTPUT -p icmp -s $GSN_IP -d $GSN_IPN -j ACCEPT ## ssh auf den router iptables -A INPUT -p tcp -i $GSN_IFC -s $GSN_IPN -d $GSN_IP --dport 22 \ -j ACCEPT iptables -A OUTPUT -p tcp -o $GSN_IFC -s $GSN_IP -d $GSN_IPN --sport 22 \ -j ACCEPT Seite 18

19 # # regeln fuer die werkstattplaetze # ### forward icmp (ping) iptables -A FORWARD -p icmp -s $WSN1_IPN -o $EXT_IFC -j ACCEPT iptables -A FORWARD -p icmp -i $EXT_IFC -d $WSN1_IPN -j ACCEPT iptables -A FORWARD -p icmp -s $WSN2_IPN -o $EXT_IFC -j ACCEPT iptables -A FORWARD -p icmp -i $EXT_IFC -d $WSN2_IPN -j ACCEPT iptables -A FORWARD -p icmp -s $WSN3_IPN -o $EXT_IFC -j ACCEPT iptables -A FORWARD -p icmp -i $EXT_IFC -d $WSN3_IPN -j ACCEPT iptables -A FORWARD -p icmp -s $WSN4_IPN -o $EXT_IFC -j ACCEPT iptables -A FORWARD -p icmp -i $EXT_IFC -d $WSN4_IPN -j ACCEPT ### forward udp (dns,ntp) iptables -A FORWARD -p udp -o $EXT_IFC -s $WSN1_IPN --match multiport \ --dports 53,123 -j ACCEPT iptables -A FORWARD -p udp -i $EXT_IFC -d $WSN1_IPN --match multiport \ --sports 53,123 -j ACCEPT iptables -A FORWARD -p udp -o $EXT_IFC -s $WSN2_IPN --match multiport \ --dports 53,123 -j ACCEPT iptables -A FORWARD -p udp -i $EXT_IFC -d $WSN2_IPN --match multiport \ --sports 53,123 -j ACCEPT iptables -A FORWARD -p udp -o $EXT_IFC -s $WSN3_IPN --match multiport \ --dports 53,123 -j ACCEPT iptables -A FORWARD -p udp -i $EXT_IFC -d $WSN3_IPN --match multiport \ --sports 53,123 -j ACCEPT iptables -A FORWARD -p udp -o $EXT_IFC -s $WSN4_IPN --match multiport \ --dports 53,123 -j ACCEPT iptables -A FORWARD -p udp -i $EXT_IFC -d $WSN4_IPN --match multiport \ --sports 53,123 -j ACCEPT ### forward tcp (ftp,ftp,ssh,smtp,pop3,imap,smtps,pop3s,imaps,https,pptp) iptables -A FORWARD -p tcp -o $EXT_IFC -s $WSN1_IPN --match multiport \ --dports 20,21,22,25,110,143,465,995,993,443,1723 -j ACCEPT iptables -A FORWARD -p tcp -i $EXT_IFC -d $WSN1_IPN --match multiport \ --sports 20,21,22,25,110,143,465,995,993,443,1723 -j ACCEPT iptables -A FORWARD -p tcp -o $EXT_IFC -s $WSN2_IPN --match multiport \ --dports 20,21,22,25,110,143,465,995,993,443,1723 -j ACCEPT iptables -A FORWARD -p tcp -i $EXT_IFC -d $WSN2_IPN --match multiport \ --sports 20,21,22,25,110,143,465,995,993,443,1723 -j ACCEPT iptables -A FORWARD -p tcp -o $EXT_IFC -s $WSN3_IPN --match multiport \ --dports 20,21,22,25,110,143,465,995,993,443,1723 -j ACCEPT iptables -A FORWARD -p tcp -i $EXT_IFC -d $WSN3_IPN --match multiport \ --sports 20,21,22,25,110,143,465,995,993,443,1723 -j ACCEPT iptables -A FORWARD -p tcp -o $EXT_IFC -s $WSN4_IPN --match multiport \ --dports 20,21,22,25,110,143,465,995,993,443,1723 -j ACCEPT iptables -A FORWARD -p tcp -i $EXT_IFC -d $WSN4_IPN --match multiport \ --sports 20,21,22,25,110,143,465,995,993,443,1723 -j ACCEPT ### forward gre (pptp) iptables -A FORWARD -p gre -o $EXT_IFC -s $WSN1_IPN -j ACCEPT iptables -A FORWARD -p gre -i $EXT_IFC -d $WSN1_IPN -j ACCEPT iptables -A FORWARD -p gre -o $EXT_IFC -s $WSN2_IPN -j ACCEPT iptables -A FORWARD -p gre -i $EXT_IFC -d $WSN2_IPN -j ACCEPT iptables -A FORWARD -p gre -o $EXT_IFC -s $WSN3_IPN -j ACCEPT iptables -A FORWARD -p gre -i $EXT_IFC -d $WSN3_IPN -j ACCEPT Seite 19

20 iptables -A FORWARD -p gre -o $EXT_IFC -s $WSN4_IPN -j ACCEPT iptables -A FORWARD -p gre -i $EXT_IFC -d $WSN4_IPN -j ACCEPT # dhcp iptables -A INPUT -p udp -i $WSN1_IFC -s $WSN1_IPN -d $WSN1_IP \ --sport 67:68 --dport 67:68 -j ACCEPT iptables -A OUTPUT -p udp -o $WSN1_IFC -s $WSN1_IP -d $WSN1_IPN \ --sport 67:68 --dport 67:68 -j ACCEPT iptables -A INPUT -p udp -i $WSN2_IFC -s $WSN2_IPN -d $WSN2_IP \ --sport 67:68 --dport 67:68 -j ACCEPT iptables -A OUTPUT -p udp -o $WSN2_IFC -s $WSN2_IP -d $WSN2_IPN \ --sport 67:68 --dport 67:68 -j ACCEPT iptables -A INPUT -p udp -i $WSN3_IFC -s $WSN3_IPN -d $WSN3_IP \ --sport 67:68 --dport 67:68 -j ACCEPT iptables -A OUTPUT -p udp -o $WSN3_IFC -s $WSN3_IP -d $WSN3_IPN \ --sport 67:68 --dport 67:68 -j ACCEPT iptables -A INPUT -p udp -i $WSN4_IFC -s $WSN4_IPN -d $WSN4_IP \ --sport 67:68 --dport 67:68 -j ACCEPT iptables -A OUTPUT -p udp -o $WSN4_IFC -s $WSN4_IP -d $WSN4_IPN \ --sport 67:68 --dport 67:68 -j ACCEPT # proxy iptables -A INPUT -p tcp -i $WSN1_IFC --dport j ACCEPT iptables -A OUTPUT -p tcp -o $WSN1_IFC --sport j ACCEPT iptables -t nat -A PREROUTING -p tcp -i $WSN1_IFC --match multiport \ --dports 80:88,8080 -j REDIRECT --to 3128 iptables -A INPUT -p tcp -i $WSN2_IFC --dport j ACCEPT iptables -A OUTPUT -p tcp -o $WSN2_IFC --sport j ACCEPT iptables -t nat -A PREROUTING -p tcp -i $WSN2_IFC --match multiport \ --dports 80:88,8080 -j REDIRECT --to 3128 iptables -A INPUT -p tcp -i $WSN3_IFC --dport j ACCEPT iptables -A OUTPUT -p tcp -o $WSN3_IFC --sport j ACCEPT iptables -t nat -A PREROUTING -p tcp -i $WSN3_IFC --match multiport \ --dports 80:88,8080 -j REDIRECT --to 3128 iptables -A INPUT -p tcp -i $WSN4_IFC --dport j ACCEPT iptables -A OUTPUT -p tcp -o $WSN4_IFC --sport j ACCEPT iptables -t nat -A PREROUTING -p tcp -i $WSN4_IFC --match multiport \ --dports 80:88,8080 -j REDIRECT --to 3128 ## ping auf den router erlauben iptables -A INPUT -p icmp -s $WSN1_IPN -d $WSN1_IP -j ACCEPT iptables -A OUTPUT -p icmp -s $WSN1_IP -d $WSN1_IPN -j ACCEPT iptables -A INPUT -p icmp -s $WSN2_IPN -d $WSN2_IP -j ACCEPT iptables -A OUTPUT -p icmp -s $WSN2_IP -d $WSN2_IPN -j ACCEPT iptables -A INPUT -p icmp -s $WSN3_IPN -d $WSN3_IP -j ACCEPT iptables -A OUTPUT -p icmp -s $WSN3_IP -d $WSN3_IPN -j ACCEPT iptables -A INPUT -p icmp -s $WSN4_IPN -d $WSN4_IP -j ACCEPT iptables -A OUTPUT -p icmp -s $WSN4_IP -d $WSN4_IPN -j ACCEPT # # alles andere verwerfen # iptables -A INPUT -j DROP iptables -A OUTPUT -j DROP iptables -A FORWARD -j DROP Seite 20

21 ;; 'stop') # ipv4 forwarding deaktivieren echo 0 > /proc/sys/net/ipv4/ip_forward # paket filter zuruecksetzen iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT esac ;; 'restart') sh $0 stop sh $0 start ;; *) echo "usage $0 (start stop restart)" ;; exit Seite 21

22 G - Squid Konfiguration # squid.conf Uwe Schoelzel # cache identifikation cache_mgr sysadmin@kmb-pc.de visible_hostname proxy.kmb-pc.de # ip's an dem der squid lauscht http_port :3128 transparent http_port :3128 transparent http_port :3128 transparent http_port :3128 transparent http_port :3128 transparent # cache groesse cache_dir ufs /var/spool/squid cache_mem 64 MB # objekt groesse minimum_object_size 0 KB maximum_object_size 2048 MB range_offset_limit -1 # cache verhalten #reference_age 10 year memory_replacement_policy lru cache_replacement_policy lru cache_swap_low 90 refresh_pattern # verbindungsoptionen connect_timeout 2 minute client_lifetime 1 day # logging cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log # # ACL's # # alle acl all src all # cache acl manager proto cache_object # localhost acl localhost src /32 # geschaeftsnetz acl gsn src /24 Seite 22

23 # werkstattnetze acl wsn1 src /28 acl wsn2 src /28 acl wsn3 src /28 acl wsn4 src /28 # sichere ports acl SAFE_PORTS port acl SAFE_PORTS port 8080 # connect methode acl CONNECT method CONNECT # SSL Caching unterbinden acl SSL_PORTS port 443 cache deny SSL_PORTS # manager nur von localhost http_access allow manager localhost http_access deny manager # unsichere ports ablehnen http_access deny!safe_ports # kein connect auf nicht ssl ports http_access deny CONNECT!SSL_PORTS # localhost erlauben http_access allow localhost # lokale netze erlauben http_access allow gsn http_access allow wsn1 http_access allow wsn2 http_access allow wsn3 http_access allow wsn4 # alle anderen ablehnen http_access deny all # lokale netze erlauben icp_access allow gsn icp_access allow wsn1 icp_access allow wsn2 icp_access allow wsn3 icp_access allow wsn4 # alle anderen ablehnen icp_access deny all Seite 23

24 H - Projektplan Punkt: Zeit: Woche 1. Spezifikation 4h KW22 Projektbesprechnung mit dem Projektbetreuer 3h KW22 Erstellung eines Projektplanes 1h KW22 2. Ist-Analyse 2h KW23 Analyse der benötigten Dienste 1h KW23 Erstellung eines Netzwerkschemas 1h KW23 3. Soll-Konzept 2h KW23 Definition der zu leistenden Arbeiten 1h KW23 Erstellung eines Netzwerkschemas 1h KW23 4. Realisierung 16h KW23 Einbau des zusätzlichen 4-fach Netzwerkadapters 0,25h KW23 Einrichtung der virtuellen Maschine 0,25h KW23 Installation und Konfiguration Debian 6 1,5h KW23 Netzwerk und Routing konfigurieren 0,5h KW23 DHCP Server einrichten 0,5h KW23 Firewallregeln entwerfen und umsetzen 7h KW23 Proxy konfigurieren 3h KW23 Testen des Systems 3h KW23 5. Dokumentation 10h KW23 Projektdokumentation 7h KW23 Dokumentation von der System-Konfiguration 2h KW23 Testberichte und Protokolle 1h KW23 Seite 24