MBK-LABORVERSUCH Firewall Teil 1 Aufbau eines Unternehmensnetzes Fach Multimediale Breitbandkommunikation (MBK) Autoren: Stephanie Endlich Stephan Gitz Matthias Härtel Thomas Hein Prof. Dr. Richard Sethmann Hochschule Bremen Fachbereich Elektrotechnik und Informatik Studiengang Prof. Dr. Richard Sethmann Datei: V1_Unternehmensnetz.doc 1 / 8
1. Einleitung Die Vernetzung von Computern schreitet weiterhin fort. Unternehmen, Bildungseinrichtungen und private Haushalte sind meist zusammen an ein Netz angebunden. Angriffe von außen oder von innen auf das eigene Netz sind keine Seltenheit, daher müssen sensible Daten vor Angriffen geschützt werden. Aus diesem Grund beschäftigt sich dieser Versuch mit dem Thema Firewalls. Aufgrund der Komplexität des Themas werden deshalb im Fach Multimediale Breitbandkommunikation zwei aufeinander aufbauende Versuche angeboten. In diesem ersten Teil geht es vor allem um den Aufbau eines virtuellen Unternehmensnetzes mit einer Internetanbindung, während der zweite Versuch sich mit der Absicherung desselben mittels Access-Listen auf Cisco-Routern beschäftigt. In der Versuchsgruppe soll ein Unternehmensnetz simuliert und ein Firewallkonzept implemen-tiert werden. Da Unternehmensnetze beliebig komplex sein können, beschäftigen wir uns mit den wichtigsten Merkmalen eines modernen Unternehmensnetzes, d.h. der Anbindung des Unternehmensnetzes mit einem Provider im Internet sowie mit dem Schutz der Unternehmens-Server vor Angriffen von außen und von innen. Das hierbei betrachtete Firewallkonzept nennt sich Demilitarisierte Zone, welches aber erst im zweiten Versuch zur Anwendung kommt. Die Versuche sind mit den dazugehörigen Grundlagen, dem Cisco-Curriculum und der Ciscopedia vollständig zu lösen, so dass keine zusätzlichen Unterlagen ge-braucht werden. Als Hinweis zu den Versuchen werden benötigte Kommandos im Anhang angegeben. Bei weiterem Interesse sind Literaturempfehlungen und entsprechende WWW-Adressen im Anhang der Grundlagen zufinden. Zum Lösen von Problemen wird die Software Ethereal eingesetzt. 2. Grundlagen zum Versuch Die wichtigsten Informationen sind in den Grundlagen der beiden Versuche sowie der Präsentation zu entnehmen. Weitere Informationsquelle ist das Cisco Curriculum CCNA1 und CCNA 2. Alle Cisco-Router-Befehle befinden sich in CiscoPedia. Die folgenden Themen sind relevant: LAN-Topologie, Layer1, TCP, IP- Defaultgateway, IP- Adressraum, IP- Subnetting, UDP, ICMP, TCP- und UDP- Portvergabe, Telnet, statische Routen. Prof. Dr. Richard Sethmann Datei: V1_Unternehmensnetz.doc 2 / 8
3. Versuchsvorbereitung Folgende Fragen: 1. Wie unterscheidet sich der Private Adressraum von dem Öffentlichen? 2. Wie funktioniert NAT? 3. Errechnen von Subnetzmasken / Aufgabe zur Wildcardmaske : a. Teilen Sie das vorgegebene Netz mit der Adresse 204.204.7.0 (bis 204.204.7.15) mit der Subnetzmaske 255.255.255.240 in zwei weitere Subnetze auf. Notieren Sie zu jedem der beiden Subnetze Netzadresse, Broadcastadresse sowie die Subnetzmaske. b. Machen Sie sich nochmals klar, wie die Wildcardmasken von Accesslisten funktionieren. Warum werden Pakete von der IP-Adresse 192.168.0.10 mit einer ACL-Anweisung permit 192.168.0.0 255.255.255.0 nicht durchgelassen? 4. Was ist ein Defaultgateway? 4. Laborkonfiguration Da das Unternehmensnetz neu aufgebaut werden soll, sind keine speziellen Konfigurationen von Seiten der Studenten notwendig, da die konkrete Topologie im Versuch aufgestellt werden soll. Deshalb sollte sichergestellt sein, dass die im Versuch zu benutzenden Router unkonfiguriert sind. Um eine schnellere Überprüfung mit der Software Ethereal zu gewährleisten, sollte die Namensauflösung vor dem Aufzeichnen ausgeschaltet werden. Prof. Dr. Richard Sethmann Datei: V1_Unternehmensnetz.doc 3 / 8
5. Versuchsdurchführung Der vorliegende Versuch ist für eine Gruppengröße von 3-4 Studenten konzipiert. Jeder Gruppe stehen hierfür drei Router, drei PCs, ein Switch und ein Hub zur Verfügung um folgende Topologie aufzubauen: Company Network NAT Router Fa0/1 Fa0/0 Fa0/0 S0/1 S0/0 Company R ISP Router Center Top Bottom Fa0/0 Internet 204.204.7.3 FTP DNS FTP Mail DNS Web Mail Web 210.93.105.201 192.168.0.101 LAN PCs DMZ Server Internet Server ISP/Internet NAT Router: Company R: ISP Router: Fa0/1:192.168.0.1 Fa0/0: 204.204.7.4 Fa0/0: 210.93.105.1 Fa0/0 (NAT): 204.204.7.1 S0/1: 204.204.7.9 S0/0: 204.204.7.14 DNS-Namen: dns_server.firma.de mail_server.firma.de dmz_server.firma.de webserver.internet.de Bitte folgende Tabelle ausfüllen: IP-Adresse Subnetzmaske Defaultgateway NAT-Rechner DMZ-Server Internet-Server Prof. Dr. Richard Sethmann Datei: V1_Unternehmensnetz.doc 4 / 8
Kurze Beschreibung der Topologie: Die Topologie ist in drei Bereiche eingeteilt: Das unternehmensinterne LAN im privaten Adressraum, das vom Internet erreichbare Unternehmens- LAN mit offiziellen IP-Adressen und das Internet, welches über den Provider erreichbar ist. Das interne Unternehmens- LAN ist mittels Network-Address-Translation des NAT Routers vom öffentlichen Unternehmens- LAN getrennt, so dass vom Internet kein Zugriff auf das interne LAN möglich ist. Die Verbindung zwischen öffentlichen Unternehmens- LAN und dem Provider wird mittels zwei Routern (Company R und ISP Router) über eine serielle Schnittstelle realisiert. Der erste der beiden Router steht auf der Unternehmens-Seite, während der zweite beim Provider seinen Standort hat. NAT Router und Company R bilden zusammen mit dem Unternehmens-Server im Versuch die DMZ. Der Server im internen LAN stellt FTP zur Verfügung, der Unternehmens-Server in der DMZ Mail (POP3 und SMTP), Web, FTP und DNS. Namen der Rechner bzw. die zu erreichenden Dienste: dns_server.firma.de mail_server.firma.de dmz_server.firma.de webserver.internet.de Die Firma hat vom Provider einen Adressblock (204.204.7.0-7.15) von 16 offiziellen IP- Adressen erhalten, von dem der Provider die Adresse 204.204.7.14 einbehalten hat, um sie dem Interface des Provider-Routers zum Unternehmensnetz zu zuweisen. Die Providerseite simuliert das Internet. Auf den beiden Unternehmensservern sind alle für den Versuch benötigten Dienste installiert. Die Unternehmens- Router sind dagegen vollständig unkonfiguriert. Die zu benutzenden Rechner werden vorgegeben. Prof. Dr. Richard Sethmann Datei: V1_Unternehmensnetz.doc 5 / 8
Aufgaben: Führen Sie folgende Schritte durch und dokumentieren Sie die Eingaben. 1. Stellen Sie die physikalische Verbindung des Netzes anhand der vorgegebenen Topologie her. 2. Wie sehen die Subnetzmasken der jeweiligen Interfaces in der Topologie aus (Subnetzmasken sind unterschiedlich)? 3. Geben Sie die IP-Adressen auf den jeweiligen Rechnern ein. 4. Stellen Sie nun das Defaultgateway auf den Unternehmens- PCs ein und deaktivieren Sie die Optische Netzkarte. 5. Konfigurieren Sie die angegebenen Parameter(für NAT, Company, ISP Router) und geben Sie die statische Routen auf den Cisco-Routern ein, NAT vorerst noch nicht implementieren: Hinweis: Nicht den vorgegebenen Setup-Modus benutzen! Achten Sie auf die Eingabe der korrekten Subnetzmasken. a. Hostname b. Passwörter (cisco und class (secret)) c. Konsole (line console 0 ( login, Password: cisco) d. Virtual Terminal (line vty 0 15) e. Interfaces (Achtung: no shutdown nicht vergessen, Clockrate 64000) f. Statische Routen 6. Topologie- und Windows-Routen-Tests Versuchen Sie die Interfaces von verschiedenen Positionen aus zu erreichen. (Eingabeaufforderung) a. Kann man vom öffentlichen Unternehmens-Server auf das interne Unternehmens- LAN zugreifen? Wenn ja, warum. Wenn nein, warum nicht? b. Kann man vom Internetserver auf das interne Unternehmens- LAN zugreifen? Wenn ja, warum. Wenn nein, warum nicht? 7. Implementieren Sie nun NAT auf dem NAT Router. Tipp: CiscoPedia (am Beispiel orientieren!) (Kommando: ip nat inside source, Hinweis: Overload, Interface inside/outside) Folgende Punkte müssen konfiguriert werden: Nat-Pool Accesslist mit internen Adressen NAT an den entsprechenden Interfaces einstellen 8. Erneute Tests: Prof. Dr. Richard Sethmann Datei: V1_Unternehmensnetz.doc 6 / 8
a. Versuchen Sie erneut die Interfaces von verschiedenen Positionen aus zu erreichen. Vergewissern Sie sich, dass NAT funktioniert, indem Sie mit Ethereal den Netzverkehr in der DMZ beobachten. Woran kann man bei einem Ping vom internen LAN in die DMZ erkennen, dass NAT korrekt arbeitet? i. Kann man vom öffentlichen Unternehmens-Server auf das interne Unternehmens- LAN zugreifen? Wenn ja, warum. Wenn nein, warum nicht? ii. Kann man vom Internetserver auf das interne Unternehmens- LAN zugreifen? Wenn ja, warum. Wenn nein, warum nicht? b. Pingen Sie mit Hilfe von Aliasen (> ping dns_server) aus dem internen LAN in die DMZ (Namensauflösung siehe oben). Funktioniert DNS? 9. Sichern Sie die Konfigurationsdateien auf einer Diskette. Prof. Dr. Richard Sethmann Datei: V1_Unternehmensnetz.doc 7 / 8
6. Versuchsauswertung Beschreiben Sie Ihre Probleme beim Durchführen des Versuches. Halten Sie die wichtigsten Punkte fest und beantworten Sie folgende Fragen: 1. Was ist der Zweck von Default-Routen? 2. Wieso soll auf dem NAT Router und Company R Subnetting eingestellt werden? 3. Über welches Protokoll wird DNS transportiert? 4. Aus welchen Gründen wird NAT in LANs eingesetzt? 5. Wozu dient ein NAT-Pool? 6. Welche Funktion haben die Accesslisten für NAT? 7. Literaturhinweise -keine- Prof. Dr. Richard Sethmann Datei: V1_Unternehmensnetz.doc 8 / 8