Ihre Aufgabe Nachbildung der IT-Landschaft zweier virtueller Firmen FIRMA A FIRMA B
Die Webseite der jeweiligen Firma ist vom Internet aus erreichbar. Externe Firewall (B) Externer Mitarbeiter Externe Firewall (A) Die Mails der Benutzer werden in benutzerspezifischen Post-Fächern gespeichert Internet Interne Firewall (B) VPN Server Interne Firewall (A) VPN Server Verschiedene Server in der DMZ Eine Variante der Internetpräsenz ist nur über eine verschlüsselte Verbindung erreichbar (https Server). Firmen LAN Firma B (Intranet) Site-to-site VPN-Verbindung Kopplung der beiden Firmen via VPN Externe Mitarbeiter können sich via VPN in das Firmennetz einwählen. Jeder Mitarbeiter hat Internet-Zugang. Jeder Mitarbeiter hat eine eigene Mailadresse Firmen LAN Firma A (Intranet) Verschiedene Server in der DMZ Ausgehende Mails werden über den Mailserver verschickt.
Aufgaben: Konfiguration der Road Warrior Virtual Private Network (VPN) Verbindung und Konfiguration der internen und externen Firewall der Firma-a / Firma-b mittels iptables Konfiguration der externen Firewall, sowie des Mailservers und Webservers der Firma-a / Firma-b Konfiguration der Site-to-Site Virtual Private Network (VPN) Verbindung zwischen den beiden Firmen und Konfiguration der internen Firewalls mittels iptables
Virtualisierte Testumgebung Die einzelnen Teilaufgaben können nicht isoliert bearbeitet werden, da technische Abhängigkeiten der einzelnen Funktionalitäten bestehen. Daher haben wir eine virtualisierte Testumgebung vorbereitet. Die einzelnen Rechner sowie das gesamte Netzwerk wurden mit Oracle Virtual Box virtualisiert. Sie ersetzen, je nach Aufgabenstellung, zwei der vorkonfigurierten Rechner durch die von Ihnen selbst konfigurierten Rechner (stud-fw1.firma-a.f223, stud-fw2.firmaa.f223, stud-fw2.firma-b.f223, stud-srv1.firma-a.f223).
Iptables Firewall (Paketfilter-Firewall, filtert ein- und ausgehende Pakete auf IP-Ebene) Quelle: http://www.dozent.maruweb.de Pakete, die von außen kommen, passieren zunächst die Prerouting Kette. Je nach Ziel kommen die Pakete anschließend in die Input oder Forward Kette. Nach der Forward-Kette gelangt das Paket in die Postrouting-Kette und verläßt dann das System wieder. Destination-NAT (Umschreibung der Zieladresse) erfolgt also in der Prerouting-Kette. Source-NAT (das heißt eine Umschreibung der Quell-IP-Adresse), erfolgt in der Postrouting-Kette.
Sicherer Mailserver Postfix MTA Eventuell MySQLDB EMail Dovecot MDA Benutzerspezifische Postfächer (Maildir)
HTTP Konfiguration mit VirtualHosts HTTPS Modsecurity: Modsecurity ist ein Modul für den Apache-Webserver. Mit Hilfe frei definierbarer Filterregeln kann es ein- und ausgehenden HTTP-Verkehr auf ungewöhnliche und schädliche Daten überprüfen und ggf. die weitere Verarbeitung blockieren.
Realisierung mit Openvpn im Bridging Modus (mit tap Device) Wichtig: Zertifikate der Labor CA verwenden
Realisierung mit OpenVPN (tun-device). Es wird jeder Gegenstelle eine virtuelle IP- Adresse eines fiktiven Subnetzes zugewiesen. Wichtig: Zertifikate der Labor CA verwenden
Die Verschlüsselung erfolgt mittels Zertifikaten rootca f223ca VPN-Server-Zertifikat fw2.firma-a.f223 oder fw2.firma-b.f223 Zertifikatssserver www.internet.f223 Web/Mail-Server-Zertifikat www.firma-a.f223 www.firma-b.f223 mail.firma-a.f223 mail.firma-b.f223 itsec@firma-a.f223 itsec@firma-b.f223
openssl installieren Anforderung eines Zertifikats req.cnf herunterladen (openssl) privaten key erstellen (openssl): prv.key+req.cnf => my.csr my.csr hochladen auf net1 In net1 einloggen, csr File signieren my.crt herunterladen crt-file in Anwendung einbinden ggf. konvertieren mit openssl (für Mailclient z.b. ins pkcs12- Format)
Einloggen an den Rechnern ITSEC-01 bis ITSEC-16: Benutzername: entspricht dem Rechnernamen Passwort: sose2019 Domäne ist IN Einloggen an den vorkonfigurierten virtuellen Maschine (stud-xxx) root: sose2019 itsec: nsd+07