Firewall-Versuch mit dem CCNA Standard Lab Bundle

Transkript

1 -Versuch mit dem CCNA Standard Lab Bundle Cisco Networking Academy Day in Naumburg 10. und 11. Juni 2005 Prof. Dr. Richard Sethmann Hochschule Bremen Fachbereich Elektrotechnik und Informatik 1 Inhalt Lernziele Anforderungen an ein Unternehmensnetz Aufbau des Unternehmensnetzes Subnetting NAT, DMZ, AUP Standarddienste WWW, E- mit POP3 und SMTP,,, Telnet Werkzeuge debug ip nat, nmap, Ethereal Zusammenfassung 2

2 Lernziele Aufbau eines Unternehmensnetzes strukturen Standarddienste WWW, E- mit POP3 und SMTP,,, Telnet Routerkonfiguration NAT, ACLs, Routing Werkzeuge Ethereal, nmap 3 Inhalt Lernziele Anforderungen an ein Unternehmensnetz Aufbau des Unternehmensnetzes Subnetting NAT, DMZ, AUP Standarddienste WWW, E- mit POP3 und SMTP,,, Telnet Werkzeuge debug ip nat, nmap, Ethereal Zusammenfassung 4

3 Anforderungen Unternehmensnetz Firma MBK & Co. KG Wir wollen ins Internet Anforderungen Unternehmensnetz Was möchte die MBK & Co. KG mit dem Internet machen? E- -Zugriff für Mitarbeiter Homepage -Zugriff (nur für Kunden) Das LAN möglichst sicher halten 6

4 Analyse Anforderungen Unternehmensnetz MBK & Co. KG Internet mit Provider Lab_D Aufbau Beschaffung von Routern Unternehmensnetz ISP/Internet Fa0/1 S0/0 S0/1 Lab_B Lab_C Lab_D Internet LAN-Rechner DMZ-Server Internet-Server 8

5 Konfiguration Vom Provider werden 16 offizielle IP-Adressen zugewiesen Subnetzmaske: Unternehmensnetz ISP/Internet Fa0/1 S0/0 S0/1 Lab_B Lab_C Lab_D Internet LAN-Rechner DMZ-Server Internet-Server 9 Konfiguration Vom Provider werden 16 offizielle IP-Adressen zugewiesen Subnetzmaske: Problem: ein Router kann nicht zwei Interfaces im selben Netz benutzen Daher: Subnetting 10

6 Subnetting Netz: Subnetzmaske: Subnetzmaske: Subnetzmaske um ein Bit verlängern Subnetzmaske: Subnetzmaske: Resultierende Netze: Netz 1: Netz 2: Verteilung IP-Adressen Hinweis: /29 (xxx.xxx.xxx.xxx / 29) ist gleichbedeutend mit Subnetzmaske / / 29 Unternehmensnetz FA0/1: S0/0: S0/1: : : : Fa0/1 S0/0 S0/1 Lab_B Lab_C Lab_D Internet LAN-Rechner DMZ-Server Internet-Server ISP/Internet 12

7 Alternative Topologie Hinweis: /29 (xxx.xxx.xxx.xxx / 29) ist gleichbedeutend mit Subnetzmaske / / 29 Unternehmensnetz S070: S0/1: S0/0: / 29 S0/1: / 29 : : / 29 : / 29 : S0/0 S0/1 S0/0 S0/1 Lab_A Lab_B Lab_C Lab_D NAT Internet LAN-Rechner DMZ-Server Internet-Server ISP/Internet 13 Inhalt Lernziele Anforderungen an ein Unternehmensnetz Aufbau des Unternehmensnetzes Subnetting NAT, DMZ, AUP Standarddienste WWW, E- mit POP3 und SMTP,,, Telnet Werkzeuge debug ip nat, nmap, Ethereal Zusammenfassung 14

8 : NAT Network Address Translation (NAT) auf Router Lab_B Unternehmensnetz FA0/1: S0/0: S0/1: : : : Fa0/1 S0/0 S0/1 Lab_B Lab_C Lab_D NAT Internet LAN-Rechner DMZ-Server Internet-Server ISP/Internet 15 NAT Beispiel Anfrage 1 aus : :80 wird : :80 Anfrage 2 aus : :80 wird : :80 Antwort : : :80 Antwort : : :80 16

9 NAT Vorteile: Ermöglicht mehreren PCs Internet-Zugang Spart öffentliche IP- Adressen Versteckt interne Topologie Unsicherheit ins Internet wird auf eine (wenige) IP- Adresse(n) beschränkt Nachteile: Menge der Zustandsinformationen im Netz wird erhöht Komplexität des Routers wird erhöht Einige Protokolle bereiten in einer NAT-Umgebung erhöhten Konfigurationsaufwand Direkte Ende-zu-Ende- Verschlüsselung auf IP- Ebene nicht möglich Anpassen von Prüfsummen, Übersetzen von IP- Adressen 17 : DMZ Demilitarisierte Zone DMZ LAN Unsicheres Netz Unternehmensnetz FA0/1: S0/0: S0/1: : : : Fa0/1 S0/0 S0/1 Lab_B Lab_C Lab_D NAT Internet LAN-Rechner DMZ-Server Internet-Server ISP/Internet 18

10 DMZ Vorteile: angebotene Dienste werden nach internen und externen Netz getrennt angreifbare Dienste werden ausgelagert Nachteile: minimal höherer Verwaltungsaufwand minimal höhere Latenzzeit 19 Acceptable Use Policy (AUP) Verbindungsaufbau Vom LAN ins Internet: Vom LAN in DMZ:,, und Vom Internet ins LAN: - Vom Internet in DMZ:,,, Von DMZ ins Internet:,,, Von DMZ ins LAN: ICMP-Messages werden nicht geblockt Telnet auf alle Router (außen) zulassen, Alternative: SSH 20

11 Inhalt Lernziele Anforderungen an ein Unternehmensnetz Aufbau des Unternehmensnetzes Subnetting NAT, DMZ, AUP Standarddienste WWW, E- mit POP3 und SMTP,,, Telnet Werkzeuge debug ip nat, nmap, Ethereal Zusammenfassung 21 Standarddienste: Server und s -Server ( 80): Microsoft IIS -Server ( 25/110): Mercury 32 -Server ( 20/21): Microsoft -Server ( 53): Microsoft 22

12 Client Kommunikationsprofil server Server Http/GET; TCP Http/RESPONSE; TCP 80 von Netz Verbindungsaufbau zu Netz Protokoll Adresse Adresse lokales Netz >1023 Internet/DMZ 80 TCP DMZ >1023 Internet 80 TCP Internet >1023 DMZ 80 TCP 23 Client Kommunikationsprofil -Server (SMTP) Server Anfrage; TCP Antwort; TCP 25 von Netz Verbindungsaufbau zu Netz Protokoll Adresse Adresse lokales Netz >1023 DMZ 25 TCP DMZ >1023 Internet 25 TCP Internet >1023 DMZ 25 TCP 24

13 Client Kommunikationsprofil -Server (POP3) Server Anfrage; TCP Antwort; TCP 110 von Netz Verbindungsaufbau zu Netz Protokoll Adresse Adresse lokales Netz >1023 DMZ 110 TCP Internet >1023 DMZ 110 TCP 25 -Client Kommunikationsprofil -Server -Server Anfrage; UDP/TCP Antwort; UDP/TCP 53 von Netz Verbindungsaufbau zu Netz Protokoll Adresse Adresse lokales Netz >1023 DMZ 53 UDP/TCP 26

14 -Server Kommunikationsprofil -Server -Server 53 () 53 () Lookup-Anfrage; UDP (TCP) Lookup-Antwort; UDP (TCP) 53 von Netz Verbindungsaufbau zu Netz Protokoll Adresse Adresse DMZ 53 Internet 53 UDP DMZ >1023 Internet 53 TCP Client control connection ; SYN Control connection control connection ; PORT 2000 control connection data connection; SYN data connection Kommunikationsprofil -Server (aktiv) -Server control connection data connection von Netz Verbindungsaufbauzu Netz Protokoll Adresse Adresse DMZ >1023 Internet 21 TCP Internet >1023 DMZ 21 TCP DMZ 20 Internet >1023 TCP Internet 20 DMZ >1023 TCP 28

15 -Client control connection ; SYN Control connection control connection ; PASV control connection; OK 4000 data connection; SYN data connection; Kommunikationsprofil -Server (passiv) -Server control connection data connection von Netz Verbindungsaufbau zu Netz Protokoll Adresse Adresse lokales Netz >1023 DMZ 21 TCP lokales Netz >1023 DMZ >1023 TCP DMZ (Internet) >1023 Internet (DMZ) 21 TCP DMZ (Internet) >1023 Internet (DMZ)>1023 TCP 29 Inhalt Lernziele Anforderungen an ein Unternehmensnetz Aufbau des Unternehmensnetzes Subnetting NAT, DMZ, AUP Standarddienste WWW, E- mit POP3 und SMTP,,, Telnet Werkzeuge debug ip nat, nmap, Ethereal Zusammenfassung 30

16 Topologie Demilitarisierte Zone DMZ LAN Unsicheres Netz Unternehmensnetz FA0/1: S0/0: S0/1: : : : Fa0/1 S0/0 S0/1 Lab_B Lab_C Lab_D NAT Internet LAN-Rechner DMZ-Server Internet-Server ISP/Internet 31 Werkzeuge Debug ip nat Ethereal Telnet Password mit Ethereal mitsniffen vom Internet ( ) zum Lab_B Router ( ) Password mit Ethereal mitsniffen vom Internet ( ) zum DMZ Server ( ) 32

17 debug_ip_nat_output.txt Lab_B#debug ip nat IP NAT debugging is on Lab_B# 02:32:57: NAT*: s= > , d= [312] 02:32:57: NAT*: s= , d= > [1110] 02:32:58: NAT*: s= > , d= [313] Lab_B# 02:32:58: NAT*: s= , d= > [1111] 02:32:59: NAT*: s= > , d= [314] Lab_B# 02:32:59: NAT*: s= , d= > [1112] 02:33:00: NAT*: s= > , d= [315] Lab_B# 02:33:00: NAT*: s= , d= > [1113] Lab_B# 02:33:09: NAT*: s= > , d= [319] 02:33:09: NAT*: s= , d= > [1114] 02:33:10: NAT*: s= > , d= [320] 02:33:10: NAT*: s= , d= > [1115] Lab_B# 02:33:11: NAT*: s= > , d= [321] 02:33:11: NAT*: s= , d= > [1116] Lab_B# 02:33:12: NAT*: s= > , d= [322] 02:33:12: NAT*: s= , d= > [1117] Lab_B# Seite 1

18

19 Werkzeuge Nmap Starten und Einstellungen erläutern Grafiken über UDP 11vonInternet_nachDMZ_UDP ohnacls_nmap.gif 12vonInternet_nachDMZ_UDP ohnacls.bmp 13vonInternet_nachDMZ_UDP mitacls_nmap.gif 14vonInternet_nachDMZ_UDP mitacls.bmp über TCP 21vonInternet_nachDMZ_TCP ohnacls_nmap.gif 22vonInternet_nachDMZ_TCP ohnacls.bmp 23vonInternet_nachDMZ_TCP mitacls_nmap.gif 24vonInternet_nachDMZ_TCP mitacls.bmp 33

20

21

22

23

24 Zusammenfassung Unternehmensnetz Standarddienste HTTP SMTP POP3 Network Address Translation (NAT) Demilitarisierte Zone (DMZ) Acceptable Use Policy (AUP) Client Server Zusammenfassung Werkzeuge Ethereal nmap 35

25 Vielen Dank für Ihre Aufmerksamkeit! Fragen? 36