Fakultät Informatik Institut für Systemarchitektur Professur für Rechnernetze SNMP 1 -basierte dynamische Netzwerkkonfiguration und analyse Versuchsvorgaben (Aufgabenstellung) Der neu zu gestaltende Versuch SNMP-basierte dynamische Netzwerkkonfiguration und analyse soll den Studierenden ab dem Wintersemester 2009 in zwei Versuchsteilen die Konfiguration und administrative Analyse eines dynamisch konfigurierbaren Netzwerkes vermitteln. Der Versuch unterteilt sich daher wie folgt: 1. Versuchsteil: Konfiguration eines dynamischen Netzwerkes 2. Versuchsteil: Konfiguration von Services im dynamischen Netzwerk 3. Versuchsteil: Analyse und Auswertung von technischen Netzwerkparametern im konfigurierten Netzwerk 1 Simple Network Management Protocol spezifiziert in RFC-1157, RFC-1351ff, RFC-1445ff sowie RFC-3410ff. 1
1. Versuchsteil: Konfiguration eines dynamischen Netzwerkes Aufgabe in diesem Versuchsteil wird die Konfiguration eines dynamisch konfigurierbaren Netzwerkes auf Basis des SNMP. Das zu konfigurierende Netzwerk soll die Kommunikation unterschiedlicher Clientsysteme unterstützen; in diesem Fall Windows- und Linux-basierte Systeme. Dabei soll berücksichtigt werden, dass Microsoft für die Netzwerkkommunikation von Windows-Systemen ein eigenes Netzwerkprotokoll zur Verfügung stellt 2. Das Netzwerk soll des Weiteren unterstützen: Mail-Server (POP3 3, SMTP 4, IMAP 5, etc. jeweils auch in sicherer Version) Web-Server (HTTP 6, WAP 7, etc. jeweils auch in sicherer Version) File-Server ((S)FTP 8, SCP 9, etc.) Sichere Terminal-Dienste (SSH 10, etc.) Teilnahme am Netzwerk über einen Wireless-LAN Access-Point Im Anschluss ist das Netzwerk an das Universitätsnetzwerk anzubinden. Zu diesem Zweck soll ein dedizierter Gateway definiert werden (eine Implementierung mehrerer Gateways und Nutzung des Border Gateway Protocols ist hier explizit nicht gefordert!), welcher die folgenden Aspekte garantieren muss: Kommunikation jedes berechtigten Gerätes im Netzwerk mit dem Internet Nutzbarkeit des Microsoft Windows Remote-Desktop Dienstes sowie von Remote- Sessions auf den Linux-Systemen Erreichbarkeit der im vorhergehenden Schritt definierten Server und Dienste aus dem Internet für jeden berechtigten Anfragenden Filterung aller ein- und ausgehenden Pakete entsprechend klar definierter Regeln (es soll eine Firewall auf dem Gateway arbeiten) Als berechtigte Geräte gelten hierbei klar zu definierende Systeme im Netzwerk. Die Berechtigung darf nicht generell erfolgen, sondern ist Dienstabhängig zu gestalten. Die Einhaltung der Berechtigungen ist zu prüfen. Als Beispiele könnte man sich vorstellen: Ein System darf nur zum lokalen Arbeiten, Zugriff auf den File-Server im eigenen Netzwerk sowie Zugriff auf einen Mail-Server im Internet verwendet werden. Ein Gerät im Netzwerk ist für den Zugriff über Remote-Desktop konfiguriert. Dieses darf während einer laufenden Remote-Desktop-Sitzung keinen Zugriff auf den lokalen Web- und Mail-Server, jedoch garantierten Zugriff auf den File-Server erhalten. 2 Server-Message-Block (SMB); häufig auch LAN-Manager oder NetBIOS genannt; in der Unix-Variante als freie Software-Suite Samba (ebenfalls SMB) verfügbar Dieses Dienst-Protokoll-Paket stellt die üblichen Funktionen eines Windows-Servers zur Verfügung, z.b. die Datei- und Druckerfreigabe im Windowsnetzwerk. 3 Post Office Protocol in der Version 3 4 Simple Mail Transfer Protocol 5 Internet Message Access Protocol 6 Hypertext Transport Protocol 7 Wireless Application Protocol 8 (Secure) File Transfer Protocol 9 Secure Copy (Service & Procotol) hier auf Basis von Secure Shell 10 Secure Shell (Service & Protocol) 2
Werden weitere Geräte ans Netzwerk angeschlossen (z.b. ein Gastrechner im Netzwerk), sollen diesem Gerät dynamisch eine IP-Adresse 11 und Standard-Rechte zugewiesen werden. Der Pool an IP-Adressen für Gäste soll begrenzt und klar definiert sein, sodass ein Mensch direkt anhand der IP-Adresse Gäste im Netzwerk identifizieren kann. Die Wahl der zu definierenden Standard-Rechte ist detailliert zu begründen. Es soll Gästen möglich sein, sich gegenüber dem Domänenserver zu authentifizieren, um eine Erhöhung ihrer Rechte im Netzwerk zu ermöglichen (Stichwort: berechtigte Nutzer). Als berechtigte Nutzer gelten zwei definierte Nutzertypen: 1) Registrierte Nutzer (mit Nutzername und Passwort) 2) Anonyme Nutzer ( anonymous ohne Passwort) Es empfiehlt sich, im Netzwerk einen Domänenserver zu definieren, an welchem die Richtigkeit übermittelter Nutzerdaten überprüft werden kann. Die Versuchsteilnehmer haben zu entscheiden, für welche Dienste welcher Nutzertyp notwendig ist. Die Entscheidung ist detailliert zu begründen. 11 Unter Nutzung des Dynamic Host Configuration Protocol (DHCP) 3
2. Versuchsteil: Konfiguration von Services im dynamischen Netzwerk Aufgabe in diesem Versuchsteil ist die Konfiguration der im ersten Versuchsteil definierten Dienste. Die im ersten Versuchsteil definierten Web-Dienste sollen gemäß der gängigen Client- Server-Architektur implementiert und konfiguriert werden. Dies umfasst auch die Konfiguration der Web-Dienste inklusive der abhängigen Datenbanksysteme. Im Anschluss sind die konfigurierten Web-Dienste mit Beispielapplikationen zu testen und die korrekte Konfiguration sowohl der Dienste, als auch des zu Grunde liegenden Netzwerkes zu verifizieren. Als nächstes soll der im Netzwerk eingebundene Wireless-LAN Access-Point ausgiebig auf Kollisionsfreiheit mit anderen in Reichweite befindlichen Zugangspunkten geprüft werden. Die korrekte Erfüllung der definierten Anforderungen aus dem ersten Versuchsteil ist zu verifizieren. 4
3. Versuchsteil: Analyse und Auswertung von technischen Netzwerkparametern im konfigurierten Netzwerk Das konfigurierte Netzwerk soll einem detaillierten Test unterzogen werden, bei welchem die Einhaltung der definierten Regeln geprüft wird. In einem zweiten Test soll das Verhalten des Netzwerkes bei Erhöhung der Netzwerklast überprüft werden. Die Reaktion des Netzwerkes auf den Ausfall einzelner Netzwerkteilnehmer soll in einem dritten Test überprüft werden. Zur Bemessung und Vergleichbarkeit der drei Tests sollen verschiedene Netzwerkparameter herangezogen werden. Dazu ist steht im Netzwerk ein Analysetool zur Verfügung. Die Wahl der Vergleichsparameter bleibt den Versuchsteilnehmern überlassen, ist jedoch detailliert zu begründen. Die Sicherheitsaspekte des definierten Netzwerkes sollen mittels Paketauswertung (z. B. mittels Wireshark) überprüft werden. 5
Zur Verfügung stehende Hardware Den Versuchsteilnehmern stehen verschiedenste Hardware-Komponenten zur Realisierung der Anforderungen zur Verfügung. Darunter: Linux-PCs mit iptables Ein DrayTek-Router 3COM-Switch (managebar mit SNMP) Ein Windows-Server (mit Active Directory für die Nutzerverwaltung und die Rechtevergabe; mit Web-Server inkl. TLS/SSL 12 ; mit VPN 13 -Server; mit Terminal-Servier) Ein Linux-Server (mit Samba-Server; mit Web-Server inkl. TLS/SSL; mit Mail-Server; mit SSH-Server) Ein Wireless-LAN Access-Point Mehrere PCs und Notebooks zur Simulation von Netzwerkteilnehmern Bei der Auswahl ist darauf zu achten, dass die klassische SNMP-Struktur des Netzwerkes erhalten und erkennbar bleiben muss! Dies umfasst insbesondere die Management-Konsole sowie den Protokollstapel, auf dem SNMP aufsetzt (namentlich UDP 14 /IP mit den Ports 161/UDP und 162/UDP). 12 Transport Layer Security (TLS) / Secure Sockets Layer (SSL) 13 Virtual Private Network 14 User Datagram Protocol 6