Übung b Einfache erweiterte Access-Listen (ACLs) für eine Demilitarisierte Zone (DMZ)

Transkript

1 Übung b Einfache erweiterte Access-Listen (ACLs) für eine Demilitarisierte Zone (DMZ) Lernziel Verwenden erweiterter Access-Listen zur Erstellung einer einfachen Demilitarisierten Zone (DMZ) 1-11 CCNA 2: Allgemeines zum Thema Routing Version 3.1 Übung b Copyright 2003, Cisco Systems, Inc.

2 Beispielszenario Die Firma BMTC ist ein kleines Fertigungsunternehmen mit Sitz in Gadsden. Die Firmenleitung beschließt, im Internet für die Produkte des Unternehmens zu werben. Die unmittelbaren Anforderungen für das Werben potentieller Kunden bestehen somit darin, Informationen über Produkteigenschaften und Produktangebote bereitzustellen sowie Interviews mit bereits akquirierten zufriedenen Kunden (Testimonials) zu präsentieren. Zukünftige Anforderungen könnten ein -, FTP-, DNS- und ein online e-commerce-dienst sein. Man hat Sie engagiert, um eine sichere Infrastruktur zu entwerfen und zu konfigurieren, die die internen und externen Netzanforderungen erfüllt und dabei keinen hohen Investitionsaufwand mit sich bringt, d. h. sie soll sicher und gleichzeitig kostengünstig sein. Nach sorgfältiger Analyse wird die Erstellung einer zweigleisigen Sicherheitsarchitektur vorgeschlagen, die aus einer Zone mit dem Unternehmensnetz und einer Demilitarisierten Zone (DMZ) besteht. Das Unternehmensnetz soll die privaten Server und internen Client-Rechner beherbergen. Die DMZ soll nur einen externen Server umfassen, der die Webdienste bereitstellt. Wenngleich die Zentralisierung auf einem Server die Störanfälligkeit der Dienste erhöht, handelt es sich lediglich um Informationsdienste, denen keine entscheidende Wichtigkeit beigemessen wird. Der Vorschlag findet Anklang, und es kommt zum Vertragsabschluss und damit zur Umsetzung. Schritt 1 (Grundlegende Router- und Hostkonfigurationen) a. Verbinden Sie die Router und die Hosts untereinander wie im Schaubild gezeigt. Nehmen Sie alle grundlegenden Router-Konfigurationen für den Hostname, die Router-Schnittstellen und das Routing-Protokoll vor. Verwenden Sie das Schaubild und die Tabellen als Referenz. Die Konfigurationen auf jedem Router sollten ungefähr wie folgt lauten: GAD#show running-config <Ausgabedaten ausgelassen> hostname GAD interface FastEthernet0 ip address interface Serial0 ip address interface FastEthernet1 ip address router rip network network GAD# ISP#show running-config <Ausgabedaten ausgelassen> hostname ISP interface FastEthernet CCNA 2: Allgemeines zum Thema Routing Version 3.1 Übung b Copyright 2003, Cisco Systems, Inc.

3 ip address interface Serial0 ip address router rip network ISP# b. Konfigurieren Sie die Hosts anhand der zuvor gemachten Angaben. c. Um die Übung realistischer zu gestalten, sollte auf dem Webserver-Host eine Webserver- Software installiert werden. In Frage kommt beispielsweise Microsoft IIS oder Microsoft Personal Web Server (Windows 98). Es kann auch eine Drittanbieter-Software wie beispielsweise TinyWeb Server ( verwendet werden. Wird TinyWeb Server verwendet, empfiehlt es sich, auch TinyBox ( zu installieren (GUI-Front-End für TinyWeb Server). Erstellen Sie in jedem Fall eine Standardseite index.html. Die Webseite sollte eine Meldung wie z. B. Herzlich Willkommen umfassen. Speichern Sie die Seite gemäß den Anweisungen der Webserver-Software. d. Vor dem Anwenden einer Access-Liste muss unbedingt die Erreichbarkeit zwischen den Systemen überprüft werden. Kann Host A einen Ping-Test zu Host B durchführen? Kann Host B einen Ping-Test zu Host A durchführen? Alle Hosts sollten in der Lage sein, gegenseitig einen Ping-Test durchzuführen. Ist der Ping-Test bei einigen Schnittstellen nicht erfolgreich, muss eine Fehlersuche durchgeführt werden. Prüfen Sie stets die Verbindungen der Bitübertragungsschichten, da sie die häufigste Quelle für Konnektivitätsprobleme darstellen. Überprüfen Sie als Nächstes die Router-Schnittstellen. Stellen Sie sicher, dass sie nicht abgeschaltet und dass sowohl sie als auch das RIP richtig konfiguriert sind. Denken Sie zudem daran, dass die Hosts nicht nur über gültige IP-Adressen verfügen müssen, sondern dass darüber hinaus Standard-Gateways für sie angegeben werden müssen. e. Öffnen Sie auf Host A einen Webbrowser wie beispielsweise Windows Explorer oder Netscape Navigator, und geben Sie die Adresse des Webservers an der entsprechenden Stelle ein. [ ] Stellen Sie sicher, dass jeder Host über Webzugang zum Webserver verfügt. Kann Host A die Seite index.html anzeigen? Kann Host B die Seite index.html anzeigen? Beide Hosts müssen in der Lage sein, die Seite index.html im Webbrowser anzuzeigen. Beheben Sie eventuelle Fehler CCNA 2: Allgemeines zum Thema Routing Version 3.1 Übung b Copyright 2003, Cisco Systems, Inc.

4 f. Jetzt ist die Infrastruktur erstellt und wir können damit beginnen, das Internetwork zu sichern. Schritt 2 Schützen des Unternehmensnetzes a. Das Unternehmensnetz beinhaltet die privaten Server und internen Client-Rechner. Kein anderes Netz soll Zugang zum Unternehmensnetz haben. b. Konfigurieren Sie eine erweiterte Access-Liste, um das Unternehmensnetz zu schützen. Der erste Schritt zum Schutz des Unternehmensnetzes besteht darin anzugeben, welcher Datenverkehr das Netz verlassen darf. Das mag sonderbar erscheinen; der Grund dafür ist jedoch, dass die meisten Hacker sich unter den eigenen Mitarbeitern befinden. Die erste Access-Liste gibt an, welcher Netzverkehr das Netz verlassen darf. GAD#conf terminal Enter configuration commands, one per line. End with CNTL/Z. GAD(config)#access-list 101 permit ip any GAD(config)#access-list 101 Die erste Zeile der Access-Liste 101 gewährt nur solchen Benutzern des Unternehmensnetzes Zugriff auf den Router, die über die Adresse verfügen. Die zweite Zeile ist wegen der impliziten deny all -Anweisung nicht wirklich erforderlich, wurde jedoch der Deutlichkeit halber hinzugefügt. c. Jetzt müssen wir die Access-Liste auf die Schnittstelle des Unternehmensnetzes anwenden. GAD(config)#interface fa1 GAD(config-if)#ip access-group 101 in d. Nun müssen die Access-Listen getestet werden. Kann Host A einen Ping-Test zu Host B durchführen? Kann Host B einen Ping-Test zu Host A durchführen? Alle Host sollten in der Lage sein, zu jeder Netzadresse einen Ping-Test durchzuführen. e. Konfigurieren Sie als Nächstes eine erweiterte ausgehende Access-Liste auf der Schnittstelle des Unternehmensnetzes. Datenverkehr, der in das Unternehmensnetz eintritt, kommt aus dem Internet oder der DMZ. Aus diesem Grund muss der Datenverkehr beschränkt werden, dem Zugang zum Unternehmensnetz gewährt wird. f. Das erste Problem, das sich stellt, ist, dass nur der Datenverkehr, der seinen Ursprung im Unternehmensnetz hatte, wieder in das Netz zurückgelassen werden kann. Geben Sie Folgendes ein: GAD(config)#access-list 102 permit tcp any any established 4-11 CCNA 2: Allgemeines zum Thema Routing Version 3.1 Übung b Copyright 2003, Cisco Systems, Inc.

5 Das Schlüsselwort established in dieser Zeile lässt nur TCP-Datenverkehr zu, der aus dem Netz heraus initiiert wurde. g. Um das Netzmanagement und die Fehlersuche zu vereinfachen, wird zudem beschlossen, ICMP-Datenverkehr Zugang zum Netz zu gewähren. Dadurch wird es den internen Hosts ermöglicht, ICMP-Meldungen (z. B. Ping-Meldungen) zu empfangen. GAD(config)#access-list 102 permit icmp any any echo-reply GAD(config)#access-list 102 permit icmp any any unreachable Die erste Zeile lässt lediglich zu, dass erfolgreiche Ping-Antworten an das Unternehmensnetz geleitet werden. Die zweite Zeile dient dazu, die Anzeige erfolgloser Ping-Meldungen zu ermöglichen. h. Zu diesem Zeitpunkt ist jeder weitere in das Unternehmensnetz eingehende Datenverkehr unerwünscht. Geben Sie daher Folgendes ein: GAD(config)#access-list 102 i. Schließlich muss die Access-Liste auf den Fast Ethernet-Port des Unternehmensnetzes angewendet werden. GAD(config)#interface fa1 GAD(config-if)#ip access-group 102 out j. Denken Sie daran, dass eine Schnittstelle eine Access-Liste für den eingehenden und eine für den abgehenden Datenverkehr unterstützen kann. Um dies zu überprüfen, geben Sie den Befehl show ip interface Fa1 ein. Die Ausgabe sollte bestätigen, dass die ausgehende ACL die Nummer 102 und die eingehende ACL die Nummer 101 hat. k. Verwenden Sie den Befehl show access-lists zum Überprüfen der Syntax der Access- Listen. Die Ausgabe sollte in etwa wie folgt aussehen: GAD#show access-lists Extended IP access list 101 permit ip any Extended IP access list 102 permit tcp any any established permit icmp any any echo-reply permit icmp any any unreachable Die Access-Listen müssen eventuell gelöscht und neu eingegeben werden, wenn die Konfiguration von der obigen Ausgabe abweicht. l. Jetzt müssen die Access-Listen getestet werden CCNA 2: Allgemeines zum Thema Routing Version 3.1 Übung b Copyright 2003, Cisco Systems, Inc.

6 Kann Host A einen Ping-Test zu Host B durchführen? Kann Host B einen Ping-Test zu Host A durchführen? Host A sollte in der Lage sein, einen Ping-Test zu jeder Netzadresse durchzuführen. Jedoch sollte kein anderer Host einen Ping-Test zu Host A durchführen können. m. Öffnen Sie auf Host A einen Webbrowser wie beispielsweise Windows Explorer oder Netscape Navigator, und geben Sie die Adresse des Webservers an der entsprechenden Stelle ein. [ ] Stellen Sie sicher, dass Host A weiterhin über Webzugang zum Webserver verfügt. Kann Host A die Seite index.html anzeigen? n. Host A sollte weiterhin in der Lage sein, die Seite index.html im Webbrowser anzuzeigen. Beheben Sie eventuelle Fehler. o. Das interne Unternehmensnetz ist jetzt sicher. Jetzt müssen wir das DMZ-Netz sichern. Schritt 3 Schützen des DMZ-Netzes a. Das interne Unternehmensnetz ist jetzt sicher. Jetzt müssen wir das DMZ-Netz sichern. b. Das DMZ-Netz wird nur einen externen Server umfassen, der die Webdienste bereitstellt. Weitere Dienste wie , FTP und DNS werden zu einem späteren Zeitpunkt implementiert. Wenngleich die Zentralisierung auf einem Server die Störanfälligkeit der Dienste erhöht, handelt es sich lediglich um Informationsdienste, denen keine entscheidende Wichtigkeit beigemessen wird. c. Konfigurieren Sie eine erweiterte Access-Liste, um das DMZ-Netz zu schützen. Geben Sie wie beim Unternehmensnetz auch hier an, welcher Datenverkehr das Netz verlassen darf, und wenden Sie die Access-Liste auf die Schnittstelle an. GAD#conf terminal Enter configuration commands, one per line. End with CNTL/Z. GAD(config)#access-list 111 permit ip any GAD(config)#access-list 111 GAD(config)#interface fa0 GAD(config-if)#ip access-group 111 in d. Testen Sie jetzt die neuen Access-Listen. Kann Host A einen Ping-Test zu Host B durchführen? 6-11 CCNA 2: Allgemeines zum Thema Routing Version 3.1 Übung b Copyright 2003, Cisco Systems, Inc.

7 Kann Host B einen Ping-Test zu Host A durchführen? Host A sollte in der Lage sein, zu jeder Netzadresse einen Ping-Test durchzuführen. Jedoch sollte kein anderer externer Host einen Ping-Test zu Host A durchführen können. e. Als Nächstes ist eine erweiterte Zugriffliste für den abgehenden Datenverkehr erforderlich, der das DMZ-Netz passieren darf. Der Datenverkehr, der das DMZ-Netz passiert, kommt entweder vom Internet oder dem Unternehmensnetz und enthält Anfragen für Webdienste. f. Konfigurieren Sie eine erweiterte Access-Liste für abgehenden Datenverkehr, in der Sie angeben, dass Webanfragen im Netz zugelassen werden. GAD(config)#access-list 112 permit tcp any host eq www Aufgrund dieser Zeile können Webdienste, die für den Webserver bestimmt sind, das DMZ-Netz passieren. Welcher Befehl muss eingegeben werden, damit DNS-Anfragen die DMZ passieren können? Welcher Befehl muss eingegeben werden, damit -Anfragen die DMZ passieren können? Welcher Befehl muss eingegeben werden, damit FTP-Anfragen die DMZ passieren können? g. Für Verwaltungszwecke wäre es hilfreich, wenn die Benutzer im Unternehmen den Webserver aufrufen könnten. Internet-Benutzer sollten jedoch nicht mit demselben Privileg ausgestattet werden. Fügen Sie der Access-Liste eine Zeile hinzu, die nur den Benutzern aus dem Unternehmen ICMP-Zugriff auf das DMZ-Netz gewährt. GAD(config)#access-list 112 permit icmp host Diese Zeile erlaubt es lediglich den Hosts des Unternehmensnetzes, den Webserver aufzurufen. Wenngleich die Konfiguration anhand der ICMP-Optionen restriktiver gestaltet werden könnte, erscheint dies nicht notwendig. h. Weiteren Diensten könnte in der Zukunft Zugang zum DMZ-Netz gewährt werden. Zu diesem Zeitpunkt soll jedoch kein weiterer Datenverkehr im DMZ-Netz zugelassen werden. Geben Sie daher Folgendes ein: GAD(config)#access-list 112 i. Wenden Sie die Access-Liste für den abgehenden Datenverkehr auf den Fast Ethernet-Port des DMZ-Netzes an. GAD(config)#interface fa 0 GAD(config-if)#ip access-group 112 out 7-11 CCNA 2: Allgemeines zum Thema Routing Version 3.1 Übung b Copyright 2003, Cisco Systems, Inc.

8 j. Prüfen Sie die Syntax der Access-Listen mit dem Befehl show access-lists. Die Ausgabe sollte in etwa wie folgt aussehen: GAD#show access-lists Extended IP access list 101 permit ip any (70 matches) Extended IP access list 102 permit tcp any any established (8 matches) permit icmp any any echo-reply (12 matches) permit icmp any any unreachable (4 matches) Extended IP access list 111 permit ip any (59 matches) Extended IP access list 112 permit tcp any host eq www (29 matches) permit icmp host (4 matches) (14 matches) Die Access-Listen müssen eventuell gelöscht und neu eingegeben werden, wenn die Konfiguration von der obigen Ausgabe abweicht. k. Jetzt müssen die Access-Listen getestet werden. Kann Host A einen Ping-Test zu Host B durchführen? Kann Host B einen Ping-Test zu Host A durchführen? l. Nur Host A sollte in der Lage sein, zu jeder Netzadresse einen Ping-Test durchzuführen. Verwenden Sie einen Webbrowser wie beispielsweise Windows Explorer oder Netscape Navigator auf jedem Host, und geben Sie die Adresse des Webservers an der entsprechenden Stelle ein. [ ] Stellen Sie sicher, dass die Hosts weiterhin über Webzugang zum Webserver verfügen. Kann Host A die Seite index.html anzeigen? Kann Host B die Seite index.html anzeigen? Beide Hosts müssen weiterhin in der Lage sein, die Seite index.html im Webbrowser anzuzeigen. Beheben Sie eventuelle Fehler. m. Das DMZ-Netz ist jetzt sicher. Jetzt müssen wir die externe Schnittstelle konfigurieren, um Spoofing- und Hacking-Aktivitäten abzuwenden. Schritt 4 Spoofing abwenden a. Netze werden immer anfälliger für Angriffe von externen Benutzern. Hacker, Cracker und Script- Kiddies sind nur einige der Bezeichnungen für Personen, die böswillig versuchen, in Netze einzudringen oder die Fähigkeit von Netzen, auf legitime Anfragen zu antworten, lahm zu legen 8-11 CCNA 2: Allgemeines zum Thema Routing Version 3.1 Übung b Copyright 2003, Cisco Systems, Inc.

9 ( Denial of Service -Angriffe). Dadurch entstehen viele Probleme für die Gemeinschaft der Internet-Nutzer. b. Sie kennen einige der Praktiken, die von diesen Hackern angewendet werden. Eine häufig verwendete Methode besteht darin, eine gültige interne IP-Quelladresse zu kopieren. Dieses Verfahren wird gemeinhin als Spoofing bezeichnet. c. Um Spoofing-Angriffe anzuwenden, wird beschlossen, eine Access-Liste zu konfigurieren, damit Internet-Hosts interne Netzadressen nicht einfach kopieren können. Drei gängige IP- Quelladressen, die Hacker zu kopieren versuchen, sind gültige interne Adressen (z. B ), Loopback-Adressen (d. h. 127.x.x.x) und Multicast-Adressen (d. h. 224.x.x.x 239.x.x.x). d. Konfigurieren Sie eine Access-Liste für den eingehenden Datenverkehr, die es externen Benutzern erschwert, interne Adressen zu kopieren, und wenden Sie sie auf die serielle Schnittstelle 0 an. GAD(config)#access-list 121 deny ip any GAD(config)#access-list 121 deny ip any GAD(config)#access-list 121 deny ip any GAD(config)#access-list 121 permit ip any any GAD(config)#interface serial 0 GAD(config-if)#ip access-group 121 in Die erste Zeile verhindert, dass externe Benutzer eine gültige IP-Quelladresse kopieren. Die zweite Zeile verhindert, dass sie den Loopback-Adressbereich verwenden. Die dritte Zeile verhindert, dass Hacker den Bereich der Multicast-Adressen verwenden (d. h ), um unnötigen internen Datenverkehr zu erzeugen. e. Prüfen Sie die Syntax der Access-Listen mit dem Befehl show access-lists. Die Ausgabe sollte in etwa wie folgt aussehen: GAD#show access-lists GAD#show access-lists Extended IP access list 101 permit ip any (168 matches) Extended IP access list 102 permit tcp any any established (24 matches) permit icmp any any echo-reply (28 matches) permit icmp any any unreachable (12 matches) Extended IP access list 111 permit ip any (122 matches) Extended IP access list 112 permit tcp any host eq www (69 matches) permit icmp host (12 matches) (22 matches) Extended IP access list 121 deny ip any deny ip any deny ip any permit ip any any (47 matches) 9-11 CCNA 2: Allgemeines zum Thema Routing Version 3.1 Übung b Copyright 2003, Cisco Systems, Inc.

10 Die Access-Listen müssen eventuell gelöscht und neu eingegeben werden, wenn die Konfiguration von der obigen Ausgabe abweicht. f. Prüfen Sie zum Schluss, ob die Verbindung noch besteht. Kann Host A einen Ping-Test zu Host B durchführen? Kann Host B einen Ping-Test zu Host A durchführen? Nur Host A sollte in der Lage sein, zu jeder Netzadresse einen Ping-Test durchzuführen. g. Verwenden Sie einen Webbrowser wie beispielsweise Windows Explorer oder Netscape Navigator auf jedem Host, und geben Sie die Adresse des Webservers an der entsprechenden Stelle ein. [ ] Stellen Sie sicher, dass die Hosts weiterhin über Webzugang zum Webserver verfügen. Kann Host A die Seite index.html anzeigen? Kann Host B die Seite index.html anzeigen? Beide Hosts müssen weiterhin in der Lage sein, die Seite index.html im Webbrowser anzuzeigen. Beheben Sie eventuelle Fehler. h. Das BMTC-Netz ist jetzt sicher. Hinweis: Diese Übung liefert eine grundlegende Lösung zur Erstellung eines sicheren Netzes. Sie soll jedoch nicht als komplette Lösung verstanden werden. Um Unternehmensnetze wirksam zu schützen, sollten dedizierte Netzanlagen wie die Cisco PIX- Geräte implementiert werden. Zudem wird dringend empfohlen, erweiterte Funktionen wie z. B. Network Address Translation und erweiterte Access-Listen-Optionen wie Reflexive Access Lists und Content Based Access Lists (CBAC) zu implementieren, die weit über den Rahmen der CCNA-Zertifizierung hinausgehen. Und schließlich wird empfohlen, dass Netzadministratoren eng mit ihren Diensteanbietern zusammenarbeiten, um bei einer Gefährdung der Netzsicherheit Maßnahmen zu ergreifen. Schritt 7 Dokumentieren der ACL a. Zum Netzmanagement gehört es immer auch, Dokumentationen zu erstellen. Verwenden Sie die für die Konfiguration erstellte Textdatei, und fügen Sie zusätzliche Kommentare an. Diese Datei sollte auch die Ergebnisse der Befehle show access-list und show ip interface enthalten. b. Die Datei sollte zusammen mit anderer Netzdokumentation gespeichert werden. Die Konvention für die Dateibenennung sollte die Funktion der Datei und das Datum der Implementierung wiedergeben. c. Damit ist die Übung zur erweiterten Access-Liste abgeschlossen CCNA 2: Allgemeines zum Thema Routing Version 3.1 Übung b Copyright 2003, Cisco Systems, Inc.

11 d. Wenn Sie fertig sind, löschen Sie die Startkonfiguration auf den Routern, entfernen und verstauen Sie die Kabel und den Adapter. Melden Sie sich zudem ab und schalten den Router aus CCNA 2: Allgemeines zum Thema Routing Version 3.1 Übung b Copyright 2003, Cisco Systems, Inc.