Wilhelmshaven Projektarbeit Dokumentation Projektarbeit F2E2 Schuljahr 2009/10 Thema: Installation, Konfiguration und Test einer Collapsed mit Grenznetz und der Möglichkeit zur Remoteadministration Team: Jörg Langmack Slawomir Arendt Zeitraum: 11. Februar 12. Mai 2010 Seite 1
Änderungsverzeichnis Projekt: Collapsed mit Grenznetz Version Datum Änderung Bearbeiter 01.00 10. Mai. 2010 Erstellung S.Arendt J.Langmack Schriftliche Erklärung zur selbstständigen Arbeit Hiermit erklären wir, Herr Slawomir Arendt und Herr Jörg Langmack, dass wir die Projektarbeit Installation, Konfiguration und Test eines LINUX - Servers selbstständig erarbeitet haben. Slawomir Arendt Jörg Langmack 2 S eite
Inhaltsverzeichnis 1. Das Projekt... 7 2. Projektdokumentation... 10 2.1 Aufgabenstellung... 10 2.1.1 Aufgaben des Projektteams... 10 2.1.2 Hardware... 11 2.1.3 Software... 12 2.1.3.1 Linux: CentOS 5.4... 12 2.1.3.2 Webmin... 12 2.1.3.3 Proxymin... 13 2.1.3.4 Builder... 14 2.1.4 Netzwerk... 15 2.1.5 Dateisystemstruktur (Partitionierung)... 16 2.1.5.1 Was ist ein RAID-System?... 17 2.1.5.2 RAID 1 (Spiegelung)... 17 2.1.5.3 RAID 0: Striping (Beschleunigung)... 17 2.1.5.4 RAID 5: Leistung + Parität... 18 2.2 Projektplanung... 19 2.2.1 Projektzeitraum... 19 2.2.2 Projektteam... 19 2.2.3 Projektbetreuer... 19 2.2.4 Projekthilfsmittel... 19 2.2.5 Projektkosten... 19 2.3 Aufgabenverteilung... 20 2.4 Was ist ein Proxy-Server... 21 2.4.1 Funktionen des Proxys in unserem Projekt... 22 2.4.1.1 Schutz der Clients... 22 2.4.1.2 Schutz der Server... 22 2.4.1.3 Zugriffssteuerung... 22 2.4.1.4 Protokollierung... 23 2.4.1.5 Zwischenspeicher... 23 3 S eite
2.4.2 Weitere Möglichkeiten eines Proxy-Server... 24 2.4.2.1 Bandbreitenkontrolle... 24 2.4.2.2 Verfügbarkeit... 24 2.4.2.3 Aufbereitung von Daten... 24 2.4.2.4 Inhaltliche Kontrolle häufig verwendeter Protokolle... 24 2.4.2.5 Funktionserweiterung eines Netzwerkdienstes... 24 2.4.2.6 Offener Proxy... 24 2.4.2.7 Proxy als Anonymisierungsdienst... 25 2.5 Was ist eine?... 26 2.5.1 Wer braucht eine?... 26 2.5.2 Was kann eine?... 26 2.5.3 Was kann eine nicht?... 28 2.5.4 Umgebungen... 30 2.5.5 Die Bastions-Host-... 30 2.5.6 Die Demilitarisierte Zone (DMZ)... 31 2.6 Grundbegriffe Netzwerk... 32 2.6.1 TCP... 32 2.6.2 UDP... 33 2.6.3 Gängige TCP- UDP-Portnummern... 34 2.6.4 NAT... 36 2.7 Iptables... 37 2.7.1 Der Grundgedanke... 37 2.7.1.1 Policies... 38 2.7.1.2 Regeln... 39 2.7.1.3 Tables... 39 2.7.1.4 Muster... 40 2.7.1.5 Standardmuster... 40 2.7.1.6 Aktionen... 41 2.7.1.7 REJECT... 42 2.7.1.8 SNAT... 42 2.7.1.9 DNAT... 43 2.7.1.10 MASQUERADE... 43 4 S eite
2.7.1.11 REDIRECT... 44 2.8 Builder... 45 2.8.1 Was ist der Builder?... 45 2.8.2 Installation von Fwbuilder... 45 2.8.3 Allgemeines (Legende)... 46 2.8.4 konfigurieren... 47 2.8.5 -Objekt erstelle... 49 2.8.6 Andere Objekte... 50 2.8.7 Policy erstellen... 53 2.8.8 Interface und NAT-Regeln... 55 2.8.9 Übersetzung der Policies ( Compilieren)... 57 3. 2.8.10 Installation der Regeln... 58 Administratoren-Handbuch... 59 3.1 Konfiguration von Squid... 59 3.2 Installation von Proxymin... 69 3.3 Installation von Webmin... 71 3.3.1 Installation über eine tar.gz Archiv... 71 3.3.2 Installation über eine rpm Archiv... 73 3.4 RAID-System einrichten... 73 3.4.1 RAID anlegen... 73 3.4.2 RAID verwalten:... 74 3.4.3 RAID verwalten unter Webmin:... 74 3.4.3.1 RAID vorbereiten:... 75 3.4.3.2 Festplatte zum RAID hinzufügen:... 77 3.4.4 RAID Ausfall... 79 3.4.4.1 RAID Status über Konsole... 79 3.4.4.2 RAID Status über Webmin:... 80 3.4.5 Wichtig nach Ausfall... 81 4. Fazit... 82 5. Wochenprotokolle... 83 5.1 Projektwoche: 1 (11.02.2010 12.02.2010)... 84 5 S eite
5.2 Projektwoche: 2 (15.02.2010 19.02.2010)... 85 5.3 Projektwoche: 3 (22.02.2010 26.02.2010)... 86 5.4 Projektwoche: 4 (01.03.2010 05.03.2010)... 87 5.5 Projektwoche: 5 (08.03.2010 12.03.2010)... 88 5.6 Projektwoche: 6 (15.02.2010 19.03.2010)... 89 5.7 Projektwoche: 7 (05.04.2010 09.04.2010)... 90 5.8 Projektwoche: 8 (12.04.2010 16.04.2010)... 91 5.9 Projektwoche: 9 (19.04.2010 23.04.2010)... 92 5.10 Projektwoche: 10 (26.04.2010 30.04.2010)... 93 5.11 Projektwoche: 11 (03.05.2010 07.05.2010)... 94 6. Anhang... 95 6.1 Abbildungsverzeichnis... 95 6.2 Quellenverzeichnis... 96 6 S eite
1. Das Projekt In praktisch allen Unternehmen, dazu gehören auch Schulen und vergleichbare Institutionen, sind die Arbeitsplatz-PCs sowie Server miteinander vernetzt und mit der Außenwelt für Internetdienste wie WWW, E-Mail und FTP verbunden. Allerdings erfordert die Anbindung an die Außenwelt besondere Schutzmaßnahmen. Früher waren Städte von Stadtmauern umgeben, die ein unbefugtes Eindringen verhindern sollten. Im elektronischen Zeitalter gibt es Software, die alle ein- und ausgehenden Datenpakete kontrolliert. Man spricht hier in Analogie zur Wirklichkeit von -Software. In Zeiten, in denen die Bedrohung für Unternehmensnetzwerke durch Viren, Internetwürmer, trojanische Pferde und Hacker beinahe täglich zunimmt, bietet Ihnen eine umfassenden Schutz für Ihre Internetanbindung. Zur Entstehung der Projektgruppe: -Server, kann man nicht allzu viel sagen. Als das besagte Projekt ausgeschrieben wurde, waren wir beide relativ schnell hellhörig geworden. Ein bis zwei Blicke zwischen uns, ein Nicken beiderseits und es war entschieden. Wir hatten während der vergangen Technikerzeit viel miteinander zu tun, während der Schulzeit sowie privat. Auch haben wir beide ein gutes allgemeines Computerwissen und sahen dieses Projekt deswegen als eine Herausforderung, diese Kenntnisse in der Praxis anzuwenden. Nun, heutzutage ist es ja nicht selten, dass von einem Techniker Kenntnisse in mehreren Betriebssystemen verlangt werden. Für uns war dies ein weiterer Grund, uns für das angebotene Schulprojekt zu entscheiden. Wichtig war es uns, die erlernten Linux Kenntnisse aus dem Unterricht und von zu Hause in der Praxis anzuwenden und bestenfalls natürlich auch zu erweitern. Jeder kennt heutzutage das Wort und weiß mehr oder weniger was sicher genau dahinter verbirgt. Somit traten auch wir schon im Vorfeld an die Thematik und waren recht zuversichtlich, dass wir uns gut einarbeiten würden. Je tiefer wir uns einlasen, desto bewusster wurde uns, das ja mehr nur ein Überbegriff für ein recht komplexes Zusammenspiel einzelner Programme und Hardware ist, sofern man das Thema so komplex bearbeitet, wie wir es zu tun hatten. 7 S eite
Solche und weitere Erkenntnisse stellten uns zunächst vor Herausforderungen, aber ermöglichten uns auch weiter engagiert am Projekt zu arbeiten und es erfolgreich fertigzustellen. Als am 11.02.2010 der Startschuss viel, bekamen wir unseren Arbeitsplatz und das Herzstück, den -Server, zugewiesen. Nach dem ersten Einweisungsgespräch mit unserem Projektleiter, Herrn Appenzeller, ließen wir keine Zeit verstreichen, sondern schritten zur Tat. Wir verschafften uns einen Überblick über unsere Hardware und besprachen die ersten Schritte um das Projekt in Gang zu bringen. Wir versorgten danach unseren Server mit Strom und starteten ihn. Kaum liefen die ersten Prozesse an, landeten wir bei der Erstellung des Raid-Verbundes. Die Einteilung der Festplatten wählten wir zuvor schon beim Einweisungsgespräche und konnten bei den nötigen Raid-Einstellung unsere Vorerfahrungen nutzen. Nachdem dies erledigt war, starteten wir die Installation des Betriebssystems und konnten währenddessen mit unseren Notebooks weitere Informationen im Internet für die nächstens Schritte besorgen. Wichtig war es nun die erstellte Ausfallsicherheit (Raid 0) zu testen. Um einen Ausfall zu simulieren, zogen wir also im laufenden Betrieb des Servers eine Festplatte. Es gelang uns auf Anhieb das die Spiegelung der zweiten Platte anlief. Da diese Prozedur einiges an Zeit in Anspruch nahm, sammelten wir weiter Informationen. Nach einem solchen Test bzw. Ausfall, muss man den Raid- Verbund wieder einhängen. Dies geschah diesmal aber nun mit der von uns installierten Software Webmin, was wir auch gleichzeitig dokumentierten um beim ernsthaften Ausfall keine unnötige Zeit zu verlieren. Als nächstes installierten wir die Software Proxymin für Web-basierte Administration der ACL s (Access Control List) des Proxy-Servers. Wir begannen uns in das Programm einzuarbeiten und mussten dafür die Standard Config-Datei für das Programm unseren Gegebenheiten anpassen. Dies bedeutete nun also eine lange Recherche über jegliche Einstellungsmöglichkeiten. Wir mussten nun also jeden Eintrag versuchen zu verstehen, um eine für uns angepasste Konfigurationsdatei zu erstellen, dabei half uns das Squid-Handbuch. Proxymin erstellt aus einer Template-Datei (squid.conf.template) und der eigenen Benutzer-Datenbank die eigentliche Steuerungsdatei (squid.conf) für den Proxyserver. Da wir zuerst die squid.conf angepasst hatten und nicht die squid.conf.template überschrieben wir unsere komplette Konfiguration mit dem Start des Programms und durften somit nochmal von vorne anfangen. Beim 8 S eite
zweiten Versuch passten wir dementsprechend die Template-File an. Leider funktionierte das Programm immer noch nicht, da eine Datei fehlerhaft war. Dies bedeutete für uns den Programm-Code nach Fehlern zu durchsuchen, was wir auch nach einiger Zeit erfolgreich beenden konnten. Da uns immer wieder das Sicherheitstool SE-Linux Probleme bereitete, Software vernünftig in Betrieb zunehmen, deaktivierten wir es nach kurzer Recherche im Internet und einem Tipp eines befreundeten Systemadministrators. Danach konnten wir den Proxyserver und Proxymin ohne Behinderungen in Betrieb nehmen und testen. Als nächstes beschäftigten wir uns mit dem -Builder und Iptables. Diese beiden Pakete bilden die eigentliche. Nachdem wir uns in Iptables eingelesen hatten, bauten wir mit dem Fwbuilder eine eigene - Konfiguration auf. Nach ausgiebigen Tests übernahmen wir dann die original -Datei vom alten Server und passten diese den neuen Anforderungen an. Dabei ergaben sich keine nennenswerten Problematiken. Nun war es soweit, dass wir den Server in seiner geforderten Konfiguration testen konnten. Dafür stellten wir noch den Soll-Zustand der Netzwerkkarten ein und installierten auf den Test-Clients das Betriebssystem (Fedora11). Wir führten verschiedene Tests durch und konnten feststellen, dass bis auf etwas Feintuning alles funktionierte. Der Server lief von Anfang des Projekts im Dauerbetrieb um ihm einen ausgiebigen Laufzeittest zu unterziehen. Kurz vor Projektende mussten wir feststellen das der Server Probleme beim Starten der Proxy- und -Dienste hatte. Dieses lag an einem Fehler in einer Konfigurations-Datei, den wir nicht nachvollziehen konnten und nur durch einspielen der Backup-Dateien beheben konnten. Von da an lief der Server ohne weiter Komplikationen, so dass wir den Projektabgabe Termin halten konnten. Am 07.05.2010 übergaben wir unser Projekt an unseren Projektbetreuer Herrn Appenzeller und besprachen die Funktionen der mit ihm durch. Die Dokumentation folgte wie gefordert am 11.05.2010. Damit war unser Projekt abgeschlossen und wir bereiteten uns auf die Präsentation vor, die in der zweiten Juni Woche folgen sollte. 9 S eite
2. Projektdokumentation 2.1 Aufgabenstellung 2.1.1 Aufgaben des Projektteams Linux Installation (mit Software-RAID) Keine Überflüssigen Dienste und Softwarepakete dürfen installiert sein Einarbeitung in die Technik eines Proxy-Servers incl. Internet-Zugangskontrolle Einarbeitung in die Technik einer (iptables) Einarbeitung in die Software Builder Einarbeitung in die Software Proxymin Erstellung der Regeln Dokumentation und Test aller Schritte Schulung der Administratoren Präsentation 10 S eite
2.1.2 Hardware Diese Server-Hardware wurde uns für die Projektarbeit von der Berufsbildenden Schule zur Verfügung gestellt: Servergehäuse 19 Rack Einheit 1HE Motherboard X7DBP-I (OEM) CPU Quad-Xeon 2000 MHz FSB 1333 8 GB DDR 2-667 RAM Grafik on Board 2 x 700 W redundantes Netzteil DVD - ROM Diskettenlaufwerk 3,5 2 x SATA Festplatte 250 GB 1 x SATA Festplatte 500 GB 2 x GB LAN on Board 2 x GB LAN Controller Abbildung 1: -Server Innenleben 11 S eite
2.1.3 Software Folgende Software sollte verwendet werden bzw. wurde zur Verfügung gestellt: 2.1.3.1 Linux: CentOS 5.4 CentOS ist eine Linux Distribution, die auf der Distribution Red Hat Enterprise Linux (RHEL) der Firma Red Hat aufbaut. Die beiden Distributionen sind in jeglicher Art kompatibel zueinander. CentOS steht für Community Enterprise Operating System und wird von einer Gruppe von freiwilligen Programmierern betreut, gepflegt und weiterentwickelt. 2.1.3.2 Webmin Die Administration von Linux Servern besteht für viele Anwender aus Kommandozeilen und kryptischen Konfigurationsdateien. Eine einfach und intuitiv zu bedienende einheitliche Oberfläche wie bei Windows oder MacOS fehlt bei den meisten Distributionen oder eignet sich nicht für die Fernadministration. Genau an dieser Stelle setzt Webmin an. Diese Software bietet eine grafische Oberfläche zum Verwalten und Konfigurieren der gebräuchlichsten Dienste unter Linux/Unix. Über Webmin ist es auch unter Linux möglich Dienste wie SAMBA, Apache, NFS oder FTP über eine grafische Oberfläche zu konfigurieren. Die klassische Systemverwaltung, wie zum Beispiel die Benutzer und Gruppenverwaltung, ist ebenfalls über Webmin möglich. Da Webmin im Webbrowser läuft, kann er auch zur RemoteAdministration eingesetzt werden. Ein besonderes Feature ist hierbei, dass Webmin auch verschlüsselte Verbindungen per SSL aufbauen kann. Damit ist dann auch die sichere Fernwartung über das Internet realisierbar, oder wie für unsere Projektarbeit gefordert, über das Netzwerk. 12 S eite
Abbildung 2: Webmin 2.1.3.3 Proxymin Proxymin ist ein Web-basiertes Administrations-Frontend für den Squid Web proxy Cache. Features: - einfache, übersichtliche grafische Benutzeroberfläche um Squid ACLs zu konfigurieren - feingranulare Rechteverwaltung auf Basis von Benutzern/Rechnern/Gruppen - Benutzer und Rechner anlegen/ändern/löschen/aktivieren/deaktivieren - unterstützte Protokolle: HHTP/HTTPS/FTP - Multi-Language Support - Benutzerauthentifizierung auf Basis von standard NCSA auth - bereits mit mehreren hundert Accounts im Einsatz - integrierte Datenbank und Policy-Compiler um eine Portierung auf alternative Proxys zu erleichtern - Proxymin ist unter der GPL lizensiert 13 S eite
2.1.3.4 Builder Builder ist eine grafische Benutzeroberfläche um -Regeln zu erstellen. Es ist für verschiedene Betriebssysteme und -Konzepte verfügbar und einsetzbar. Die Dokumentation von Builder ist nur auf Englisch verfügbar. Da die ein Hauptbestandteil unserer Projektarbeit war finden sie eine ausführliche Beschreibung von -Builder unter dem Punkt 2.8 in unserer Dokumentation. Abbildung 3: -Builder 14 S eite
2.1.4 Netzwerk Hier sehen Sie, wie das gesamte Netzwerk nach Fertigstellung der Projektarbeiten aussehen soll. BBS-FIRE als Server stellt unsere Hauptprojektarbeit dar, einen eigenständigen Server, der als arbeitet. Abbildung 4: Netzwerkübersicht 15 S eite
2.1.5 Dateisystemstruktur (Partitionierung) Für unsere Projektarbeit setzen wir ein Software RAID System (RAID 1:Mirroring - Spiegelung) ein. Dieses garantiert eine hohe Ausfall- Datensicherheit, sofern eine Festplatte ausfallen sollte. Zum Totalverlust der Daten führt erst der Ausfall aller Platten. Die Festplatten (2x 250 GB und 1x 500 GB) wurden wie folgt partitioniert: RAID - Geräte Gerät Mount-Point File-System Größe /dev/md0 / ext3 99998 /dev/md1 /opt ext3 137423 Festplatten Gerät Mount-Point Typ Größe Start-Zylinder Ende-Zylinder /dev/sda (250 GB) /dev/sda1 /dev/md0 RAID 99998 1 12748 /dev/sda2 /dev/md1 RAID 137423 12749 30267 /dev/sda3 SWAP 2000 30268 30522 /dev/sdb (500 GB) /dev/sdb1 /dev/md0 RAID 99998 1 12748 /dev/sdb2 /pcache ext3 237515 12749 43027 /dev/sdb3 /dev/md1 RAID 137423 43028 60546 /dev/sdb4 erweitert 2000 /dev/sdb5 SWAP 2000 60547 60801 /dev/sdc (250 GB) /dev/sdc1 /dev/md0 RAID 99998 1 12748 /dev/sdc2 /dev/md1 RAID 137423 12749 30267 /dev/sdc3 SWAP 2000 30268 30522 Abbildung 5: Partitionstabelle 16 S eite
2.1.5.1 Was ist ein RAID-System? Ein RAID-System (Abk. Redundant Array of Inexpensive / Independent Disks) dient zur Organisation von mehreren Festplatten bei einem Computer. (Quelle: Durch die Verwendung von RAID-Systemen kann man die Betriebssicherheit, Leistung und/oder Kapazität von Massenspeichern erhöhen. Dazu gibt es verschiedene Möglichkeiten, die man als RAID-Levels definiert hat. RAID-Systeme erfordern bei der Einrichtung mehr Aufwand, während sie sich für Benutzer nicht von herkömmlichen Massenspeichern unterscheiden und können durch Controller mit RAID-Funktionalität (Hardware-RAID) oder auf konventionellen Controllern mit speziellen Treibern (Software-RAID) realisiert werden. In unserem Projekt haben wir Software-RAID im Level 1 verwendet, dieses bedeutet: Quelle: www.wikipedia.de 2.1.5.2 RAID 1 (Spiegelung) RAID 1 bietet Redundanz der gespeicherten Daten, da diese immer auf mindestens zwei Festplatten in identischer Form vorliegen (Spiegelung). Fällt eine Platte aus, kann eine andere für sie einspringen. 2.1.5.3 RAID 0: Striping (Beschleunigung) Abbildung 6: RAID 1 (Spiegel) Streng genommen handelt es sich bei RAID 0 nicht um ein wirkliches RAID, da es keine Redundanz gibt. RAID 0 bietet gesteigerte Transferraten, indem die beteiligten Festplatten in zusammenhängende Blöcke gleicher Größe aufgeteilt werden, wobei diese Blöcke quasi im Reißverschluss Verfahren zu einer großen Festplatte angeordnet werden. Somit können Zugriffe auf allen Platten parallel durchgeführt werden (engl. striping, was in Streifen zerlegen bedeutet, abgeleitet von stripe, der Streifen ). Abbildung 7: RAID 0 (Beschleunigung) 17 S eite
2.1.5.4 RAID 5: Leistung + Parität RAID 5 bietet sowohl gesteigerten Datendurchsatz beim Lesen von Daten als auch Redundanz bei relativ geringen Kosten und ist dadurch die beliebteste RAID- Variante. In schreibintensiven Umgebungen mit kleinen, nicht zusammenhängenden Änderungen ist RAID 5 nicht zu empfehlen, da bei zufälligen Schreibzugriffen der Durchsatz aufgrund des zweiphasigen Schreibverfahrens deutlich abnimmt (an dieser Stelle wäre eine RAID-0+1- Konfiguration vorzuziehen). RAID 5 ist eine der kostengünstigsten Möglichkeiten, Daten auf mehreren Festplatten redundant zu speichern und dabei das Speichervolumen effizient zu nutzen. Dieser Vorteil kommt allerdings aufgrund hoher Controlleranforderungen und -preise oft erst bei mehr als vier Platten zum Tragen. Für den Preis eines RAID-5-Controllers mit (mindestens) drei Platten ist meistens bereits eine vierte Festplatte für ein RAID 10 zu bekommen. Neuere Chipsätze unterstützen jedoch zunehmend auch RAID 5, so dass der preisliche Vorteil des RAID-10-Systems im Schwinden begriffen ist. Die nutzbare Gesamtkapazität errechnet sich aus der Formel: (Anzahl der Festplatten - 1) (Kapazität der kleinsten Festplatte). Rechenbeispiel mit vier Festplatten à 500 GB: (4-1) (500 GB) = 1500 GB Nutzdaten und 500 GB Parität. Abbildung 8: RAID 5 (Leistung und Parität) 18 S eite
2.2 Projektplanung 2.2.1 Projektzeitraum Projekt-Beginn: 11. Februar 2010 Projekt-Ende: 12. Mai 2010 2.2.2 Projektteam Slawomir Arendt Jörg Langmack 2.2.3 Projektbetreuer Herr Appenzeller (Berufsbildenden Schulen Wilhelmshaven) 2.2.4 Projekthilfsmittel Jeder Mitarbeiter des Projektteams benutzte sein eigenes Notebook. Die Berufsbildenden Schulen stellten uns einen neuen Server, 2 Client- PC s und Räumlichkeiten zur Nutzung zur Verfügung. Somit hatten wir die Möglichkeit, vor Ort auftretende Fragen und Probleme direkt mit dem Projektbetreuer Herrn Appenzeller zu erläutern, zu überarbeiten und zu lösen. 2.2.5 Projektkosten Bei unserer Projektarbeit, Aufbau einer Collapsed mit Grenznetz und der Möglichkeit zur Remoteadministration, entstanden uns keine Kosten. 19 S eite
2.3 Aufgabenverteilung Am ersten Projekttag haben wir uns eine grobe Aufgabenverteilung zurechtgelegt. Wir merkten jedoch schnell, dass sich jeder mit den gleichen Thematiken beschäftigen musste, um einen reibungslosen Projektablauf garantieren zu können. Ab der zweiten Projektwoche entschlossen wir uns deshalb unten angeführte Punkte zusammen abzuarbeiten. Installation Linux (CentOS 5.4) Einarbeitung in die Technik eines Proxy-Servers Einarbeitung in die Software Proxymin Einarbeitung in die Technik einer (iptables) Einarbeitung in die Software Fwbuilder Überarbeitung der Regeln Test des Proxy-Servers Test der Dokumentation Präsentation Homepage 20 S eite
2.4 Was ist ein Proxy-Server Ein Proxy (von engl. proxy representative = Stellvertreter) ist eine Kommunikationsschnittstelle in einem Netzwerk. Er arbeitet als Vermittler, der auf der einen Seite Anfragen entgegennimmt, um dann über seine eigene Adresse eine Verbindung zur anderen Seite herzustellen. Wird der Proxy als Netzwerkkomponente eingesetzt, bleibt einerseits die wahre Adresse des einen Kommunikationspartners dem anderen Kommunikationspartner gegenüber komplett verborgen, was eine gewisse Anonymität schafft. Als (mögliches) Verbindungsglied zwischen unterschiedlichen Netzwerken realisiert er andererseits eine Verbindung zwischen den Kommunikationspartnern selbst dann, wenn deren Adressen zueinander inkompatibel sind und eine direkte Verbindung nicht möglich wäre. Abbildung 9: Proxy-Server Schematisch 21 S eite
2.4.1 Funktionen des Proxys in unserem Projekt 2.4.1.1 Schutz der Clients Der Proxy kann eine Schnittstelle zwischen dem privaten Netz und dem öffentlichen Netz bilden. Der Zugriff von Clients auf Webserver ist dann nur über den Proxy möglich, der die Verbindung aktiv kontrollieren kann. 2.4.1.2 Schutz der Server Ein Proxyserver kann allgemein dazu verwendet werden, den eigentlichen Server in ein geschütztes Netz zu stellen, wodurch er vom externen Netz aus nur durch den Proxy erreichbar wird. Auf diese Weise versucht man den Server vor Angriffen zu schützen. Die Proxy-Software ist weniger komplex und bietet daher weniger Angriffspunkte. Diese Lösung wird zum Beispiel bei Online-Shops angewendet: Der Webserver befindet sich samt Proxy im Internet und greift auf die Datenbank mit Kundendaten hinter einer zu. 2.4.1.3 Zugriffssteuerung Ein Proxy ist auch geeignet, um Zugriffe zu steuern und zu regeln. Nicht jeder darf überall hin? Für bestimmte Zugriffe soll eine Authentifizierung vorgenommen werden? Dies kann ein Proxyserver erledigen. Für unsere Projekt nutzen wir das Programm Proxymin. Proxymin ist eine grafische Benutzeroberfläche, mit der man komfortable Rechner-, Benutzer- und Gruppenrechte administrieren kann. Eine ausführliche Installationsanleitung finden Sie unter dem Punkt Administrations-Handbuch in dieser Dokumentation. 22 S eite
2.4.1.4 Protokollierung Abbildung 10: Proxymin Oberfläche im Browser Jeder Zugriff über einen Proxyserver kann protokolliert werden. Proxy - Protokolle können zur Statistik, Abrechnung oder Kontrolle der Zugriffe ausgewertet werden. Hierzu gibt es unterschiedliche Auswertungsprogramme wie z.b. das Programm SARG. 2.4.1.5 Zwischenspeicher Da ein Proxy im Auftrag seiner Clients die verschiedenen Webserver befragt, kann er diese Seiten zwischenspeichern. Dies bietet den Vorteil die bereits aufgerufenen Seiten direkt aus dem Speicher (Cache) an die Clients weitergeben zu können. In diesem Fall kann das bewegte Daten Volumen spürbar verringert werden. 23 S eite
2.4.2 Weitere Möglichkeiten eines Proxy-Server 2.4.2.1 Bandbreitenkontrolle Der Proxy teilt verschiedenen Benutzern und Gruppen je nach Auslastung unterschiedliche Ressourcen zu. Der Proxy-Server Squid beherrscht dieses Verfahren, wobei er ebenso zum Schutz des Servers beitragen kann und Methoden unterstützt, die zu besserer Verfügbarkeit beitragen. 2.4.2.2 Verfügbarkeit Über einen Proxyverbund lassen sich mit relativ geringem Aufwand Lastverteilung und Verfügbarkeit erreichen. 2.4.2.3 Aufbereitung von Daten Proxy-Server können auch gewisse Applikationsfunktionen übernehmen, beispielsweise Daten in ein standardisiertes Format bringen. 2.4.2.4 Inhaltliche Kontrolle häufig verwendeter Protokolle Ein Proxy kann Softwaremodule enthalten, die auf ein bestimmtes Kommunikationsprotokoll spezialisiert sind. Diese sind dann in der Lage, die Pakete des jeweiligen Protokolls zu analysieren und dabei als Verbindungs- und Befehlsfilter zu fungieren. 2.4.2.5 Funktionserweiterung eines Netzwerkdienstes Ein Reverse-Proxy kann den üblichen Funktionsumfang eines Dienstes erweitern, indem er dank der Analyse des Protokolls z. B. spezielle Statistiken erstellt, die der Dienst normalerweise nicht anbietet. Da er in der Lage ist, Anfragen selbst zu beantworten, sind beliebige weitere funktionelle Erweiterungen denkbar. 2.4.2.6 Offener Proxy Als offenen Proxy oder Open Proxy bezeichnet man einen Proxy, der von jedem ohne Anmeldung (offen) benutzt werden kann. Einerseits entstehen sie unwissentlich durch falsche Konfiguration oder durch trojanisierte PCs (siehe auch: Botnet). Gleichzeitig werden aber auch viele offene Proxy- Server bewusst aufgesetzt, um eine weitgehende Anonymität zu 24 S eite
ermöglichen; solche Proxys sind häufig mit zusätzlichen Funktionen zur Anonymisierung versehen. 2.4.2.7 Proxy als Anonymisierungsdienst Der Anonymisierungs-Proxy (z. B. Anonymizer, Tor) leitet die Daten des Clients zum Server weiter, wodurch der Server die IP-Adresse des Clients nicht mehr direkt auslesen kann (siehe auch: Anonymität im Internet). Sie werden verwendet, um die Herkunft eines Clients zu verschleiern. So können Internetnutzer versuchen, sich vor staatlicher oder anderer Verfolgung bzw. Kontrolle zu schützen. In einem anderen Szenarium werden Proxys angeboten teils frei verfügbar bei denen man unter der URL des Proxys beliebige Webseiten anfordern kann. Diese Proxys können dazu verwendet werden, um beispielsweise Einschränkungen von Firmenoder Schulnetzen zu umgehen. Sie sind anonym insofern, als der Zielserver nur die URL des Anbieters sieht. Quelle: www.wikipedia.de 25 S eite
2.5 Was ist eine? Eine ist ein Konzept zur Sicherung eines Netzwerkes mittels Hard- und Softwaretechnologie. s bestehen daher in der Regel aus mehreren Komponenten. Durch Einsatz einer werden die Sicherheitsinstrumente auf einen zentralen Punkt konzentriert. Meistens werden s eingesetzt um private von öffentlichen Systemen zu trennen. Sie können aber auch eingesetzt werden, um Übergriffe aus anderen Teilnetzen eines Intranets zu verweigern bzw. zuzulassen. 2.5.1 Wer braucht eine? Alle Unternehmen, ob Schule oder Betrieb, Regierung oder Privathaushalt, brauchen eine sofern sie ein vernetztes System gebrauchen. Dabei muss es noch nicht einmal Verbindung ins Internet haben, Wieso? Das lesen sie im nächsten Punkt. Heut zu tage kann man sagen, das eigentlich jeder eine braucht, selbst die jenigen, die meinen sie haben keine wichtigen oder geheimen Daten. 2.5.2 Was kann eine? Wie ein Stadttor alle Angriffe auf einen stark gesicherten Punkt bündelt, an dem man den Großteil seiner Kräfte konzentriert, so stellt auch die eine Möglichkeit dar, Angriffe an einer definierten Stelle abzufangen. Besitzt man nur einen Rechner, mit dem man Dienste im Internet nutzt, so kommt man nicht umhin, ihn so zu konfigurieren, dass er keine Schwachstellen aufweist, die ein Angreifer ausnutzen kann, um unberechtigt Zugang zu ihm zu erlangen. Besitzt man aber hundert Rechner, so wird es schwierig, alle immer auf dem neuesten Stand zu halten, Patches gegen Sicherheitslücken einzuspielen und immer darauf zu achten, dass keine unsicheren Dienste auf ihnen installiert sind. Ehe man sich versieht, hat schon ein Benutzer eine Freigabe auf Laufwerk C erstellt, deren Passwort nicht vorhanden oder leicht zu erraten ist. Oder es richtet sich eine.rhosts Datei ein, die den Zugang ohne Passwort von einem Rechner im Internet erlaubt. Werden die Rechner gar von verschiedenen Personen administriert, so kann man darauf wetten, dass die einzelnen Rechner unterschiedlich sicher konfiguriert sind. In so einem Fall kann man die Sicherheit des Systems verbessern, indem man an zentraler Stelle dafür sorgt, dass Angriffe abgefangen werden, bevor sie ein möglicherweise gefährdetes System erreichen. So reduziert man die 26 S eite
Angriffspunkte von 100 auf einen und kann für dieses System eine hieb und stichfeste Konfiguration entwickeln. Eine untersucht den Datenverkehr und lässt nur die Datenzugriffe zu, die vorher definierten Regeln genügen. So ist es z.b. üblich, Anfragen von Rechnern im lokalen Netz an Rechner im Internet zu erlauben, nicht aber umgekehrt. D.h., wenn ein Rechner im lokalen Netz z.b. eine Webseite von einem Server im Internet anfordert, so wird die Antwort (die Webseite) von der entgegengenommen und in das lokale Netz weitergeleitet. Pakete von Rechnern im Internet werden aber nicht durchgelassen, wenn sie nicht zuvor explizit von einem Rechner im lokalen Netz angefordert wurden. Schon diese Regel verhindert, dass ein Angreifer auf möglicherweise schlecht gesicherte Dienste von Rechnern im lokalen Netz zugreift. Auch kann man definieren, dass ein Benutzer auf bestimmte Dienste zugreifen darf, auf andere aber nicht. So kann man z.b. verhindern, dass er aus Unkenntnis Protokolle benutzt, bei denen das Passwort im Klartext übertragen wird. Wird auf Webserver zugegriffen, bieten einige s auch die Möglichkeit, unerwünschte Inhalte zu filtern. So kann man z.b. das Laden von Werbebannern unterdrücken, aktive Inhalte aus Webseiten beim Herunterladen entfernen und das Senden von Cookies verhindern. Kommt es zu verdächtigen Zugriffen auf die eigenen Rechner, so bietet eine die Möglichkeit, diese zu protokollieren und für eine spätere Auswertung zu speichern. Ohne eine könnte dies nur auf den Zielsystemen geschehen und würde bedeuten, entweder auf jedem Rechner eigene Auswertungen durchzuführen oder eine Zusätzliche Software zu installieren, die die Systemprotokolle aller Rechner an einer zentralen Stelle zusammenführt. Hinzu kommt, dass nicht alle Betriebssysteme die gleichen Protokollierungsmöglichkeiten besitzen. Auch sind die einzelnen Protokollierungsmechanismen untereinander nicht immer kompatibel. Auch zur Verringerung der Netz last kann eine eingesetzt werden. Laufen alle Zugriffe über einen zentralen Rechner, so bietet es sich an, an dieser Stelle einen Mechanismus zu installieren, der es erlaubt, häufig heruntergeladene Inhalte zwischenzuspeichern (Cachen der Proxy). Fordern dann mehrere Benutzer z.b. dieselbe Webseite an, so braucht diese nur für den ersten von ihnen tatsächlich aus dem Internet heruntergeladen zu werden. 27 S eite