IP Nummerplan ABSTRACT

Vergelijkbare documenten
NAT (Network Address Translation)

Revisie geschiedenis. [XXTER & KNX via IP]

Communicatienetwerken

Wijzigen Standaard Wachtwoord (Siemens 5400/5450/SE565)

Firewallpolicy VICnet/SPITS

Firewall Traffic Control

Inhoud. Packet Tracer x. Labs xi

Ontsluiten iprova via Internet Voorbeeld methoden

Hoe werkt de DrayTek Firewall? Default Call en Data Filter

ipact Installatiehandleiding CopperJet 816-2P / P Router

Computernetwerken Deel 2

Installeren van de applicatie en aanmelden van de radiatoren

IP versie 6 aan de RuG

Technote Point-to-Point configuratie EnGenius

IAAS HANDLEIDING - SOPHOS FIREWALL

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

Internet faciliteiten Klokgebouw

Installatierichtlijn routers, alarmering i.v.m. Pin verkeer

Basis communicatie netwerk

RUCKUS UNLEASHED GATEWAY

DJANAH, EEN TOTAL CONVERSATION VIDEO TELEFOON IN DE WEB BROWSER TECHNISCHE EISEN VOOR TOLK OP AFSTAND OP LOCATIE, NETWERK EN COMPUTERS

Routing Load-Balance & Policy Route

MxStream & Linux. Auteur: Bas Datum: 7 november 2001

Als je klaar bent druk op: Save/Apply. Daarna ook even herstarten. TELE 2 : Davolink DV-201AMR

IP/LAN dienst Aansluitpolicy VICnet/SPITS

ProCurve Switch xl Access Controller Module

Vlaams Communicatie Assistentie Bureau voor Doven, vzw

Koppelen Centix Datacollecter aan RS-485 bus d.m.v. de Moxa 5150.

Werken zonder zorgen met uw ICT bij u op locatie

Telenet Home Gateway. Instellingen, portforwarding. Instellen van de Home Gateway Docsis 3.0 Telenet met verbinding naar eigen router.

In de meeste netwerkomgevingen staan de firewalls het browsen of surfen op internet toe.

Instructies Windows Phone Pagina 1

HowTo => OpenBSD => Basis Packet Filter

computernetwerken - antwoorden

Dienstbeschrijving KPN IP-VPN. Een dienst in KPN ÉÉN

TECHNISCH ONTWERP INHOUDSOPGAVE

QoS / Quality Of Service

Softphone Installatie Handleiding

In de General Setup kunt u het IP-adres aanpassen. Standaard staat het IP-adres op zoals u ziet in onderstaande afbeelding.

Laten we eens beginnen met de mouwen op te stropen en een netwerk te bouwen.

Installatiehandleiding Aequos Online

Lezing. Routers. Bron afbeeldingen en kennis c t magazine voor computertechniek. Rein de Jong

Gebruikershandleiding E-Zorg Remote Access.

NAS 224 Externe toegang Handmatige configuratie

ICS kwetsbaarheden: Appendix omtrent hardware en protocollen

Handboek Migratie Instellingen. - Migreren naar de kennisnet infrastructuur -

CBizz Dienstbeschrijving Cogas Footprint

Basis communicatie netwerk

Gemeente Den Haag Beschrijving technische infrastructuur

smart-house Netwerk & Port Forwarding. TELENET MODEM ONLY

Handleiding DSL Access Versatel

Voltijdse dagopleiding netwerkbeheerder

VUBNET, het netwerk van de Vrije Universiteit Brussel

IPv6 Informatiemiddag. Deel 1: Introductie IPv6. Teun Vink dsdsds. Tuesday, January 20, 2009

goes Secure Siemens Groep in Nederland Sander Rotmensen tel:

Plan van aanpak Meesterproef 2: Workflowbeheer Voorwoord

VPN LAN-to-LAN PPTP. Vigor 1000, 2130 en 2750 serie

Getting Started. AOX-319 PBX Versie 2.0

mpix VPN Dienstbeschrijving Copyright The Voip Company 2011 Pagina 1 van 8

Enterprise SSO Manager (E-SSOM) Security Model

Het gebruik van OSB ebms contracten in complexe infrastructuren

b-logicx handleiding INHOUDSOPGAVE VPN verbinding voor Windows XP UG_VPN.pdf

Infosessie Systeembeheerders. 26 juni VPN aan de KULeuven

Configuratie van VPN met L2TP/IPsec

Technische handleiding encryptie DKD

VPN Remote Dial In User. DrayTek Smart VPN Client

Handleiding installatie router bij FiberAccess

NGN. Wageningen, 30 oktober Iljitsch van Beijnum

Port Redirection NAT >> Port Redirection Enable.

Belgacom Forum TM 3000 Voic to Gebruikershandleiding

Nabaztag verbinden met een Wi-Fi netwerk of een Airport

Tijdhof Consulting Technotes. Configuratie van de Grandstream HandyTone 496 ATA. Tijdhof Consulting - 1 februari 2006

BIPAC 7402G g ADSL VPN Firewall Router. Snelle Start Gids

Vigor 2860 serie Multi PVC/EVC - RoutIT

Koppelen Centix Datacollecter aan RS-232 device d.m.v. de W&T 58631

Handleiding: IP Camera storingen oplossen: de basis stappen doorlopen

Health Check Voorbeeldrapportage

SPACE ProAccess 2.0. Voor nadere toelichting kan contact opgenomen worden met SALTO.

Xesar. Inbedrijfstelling Netwerkadapter

De NAS. Algemeen. Specifiek de keuze welke NAS.

SD-WAN, de nieuwe IT- Infrastructuur. Een functionele en technische uitleg waarom SD-WAN zo populair is.

Quality of Service First Priority of VoIP SIP/RTP

In deze handleiding gaan we een aantal voorbeelden geven hoe u een bepaalde situatie kunt oplossen door middel van een aantal Filter Rules.

1 "log-file": "/var/log/pilight.log" 2 "log-file": "c:/pilight/pilight.log"

SPACE ProAccess 3.0. Voor nadere toelichting kan contact opgenomen worden met SALTO.

Handleiding Zone Alarm Programma configuratie.

Multiple LAN subnet. VigorSwitch P1280/P2280

IPoE. Er zijn twee mogelijke oplossingen om IPoE op een DrayTek product te configureren, we zullen beide mogelijkheden in deze handleiding bespreken.

BIPAC-7402 / 7402W (Draadloze )ADSL VPN Firewall Router met 3DES Accelerator Snelle Start Gids

EnterpriseVOIP Quick Guide installatie SIP account Voorbeeldinstallatie X-Lite.

Hier kunt u alle schijven en mappen afscannen op audio bestanden die ondersteund worden door de MP (mp3 en wma).

Configureren van een VPN L2TP/IPSEC verbinding

Veilig en. Waarom en via een beveiligde verbinding? U vertrouwt de verbinding met de server van InterNLnet niet

Getting Started. AOX-319 PBX Versie 2.0

MSSL Dienstbeschrijving

Transcriptie:

IP Nummerplan E.G. Keizer IT-groep 2006/11/20 ABSTRACT Herzien IP nummerplan voor de Faculteit FEW. 1. Inleiding De huidige indeling en bescherming van het IP-netwerk van de faculteit is historisch gegroeid. In de indeling in subnetten zijn de oude faculteiten nog te herkennen. Bovendien is enkele jaren geleden een groot deel van het netwerk op ad-hoc basis beschermd door een eenvoudige firewall. Voor vele tientallen gebruikers is reeds een uitzondering gemaakt op deze bescherming. Helaas is er geen systeem om te toetsen of in het verleden gemaakte uitzonderingen nog zinvol zijn. Daarnaast wordt er door de dienst IT op aangedrongen om een aantal IP subnetten terug te geven. In dit stuk wordt een nieuwe indeling voorgesteld. Voor enkele bijzondere activiteiten, zoals servers, wordt een eigen IP range ter beschikking gesteld. De werkstations worden beoordeeld aan de hand van twee criteria: - wel of niet beheerd door de IT-groep - geheel, gedeeltelijk of niet van buiten de VU bereikbaar. Uitvoeren van dit plan betekent dat een aantal IP reeksen verandert en er 6 IP-reeksen verdwijnen. De bijbehorende VLAN s kunnen aan de dienst IT terug worden gegeven. Ongeveer 700 gebruikers krijgen een ander IP adres. Het veranderen van IP adres geeft overlast bij de eindgebruiker. Om de overgang zo soepel mogelijk te laten verlopen is goed overleg met de dienst IT noodzakelijk. Vanzelfsprekend moeten ook de configuraties van DHCP en DNS servers worden aangepast. Deze indeling zorgt dat de beheerslast afneemt. Het is duidelijker op welke IP-reeks een werkstation thuishoort en er zijn minder uitzonderingen. 2. Overwegingen In dit stuk worden de op het IP netwerk aangesloten systemen volgens enkele criteria in een aantal groepen verdeeld. De criteria zijn gebaseerd op de overwegingen bescherming en techniek. Dit stuk beperkt zich tot beveiliging via netwerkapparatuur. Beveiliging op de aangesloten systemen wordt hier niet behandeld. Daarnaast worden in hoofdstuk 7 erfenissen uit het verleden beschreven die nader moeten worden onderzocht. 2.1. Bescherming van onze eigen systemen Veiligheid is nooit totaal en altijd een compromis. Dit geldt ook voor de beveiliging van de bij FEW op het netwerk aangesloten systemen. Vanuit de aard van een universiteit en ten behoeve van onderzoek aan netwerken is het gewenst een zo open mogelijk netwerk te hebben. Tegelijk leert de ervaring dat een volledig open netwerk niet mogelijk is. Een volledig open netwerk gaat er van uit dat alle aangesloten systemen vanuit zichzelf afdoende beschermd zijn. Helaas is dat niet waar. Door gebreken in software en slechte configuratie zijn veel systemen te kwetsbaar. Vooral Microsoft Windows systemen hebben een slechte reputatie. De IT-groep streeft er echter wel naar de aangesloten systemen zelf zo te configureren dat ze afdoende zijn beschermd. 2.2. Bescherming tegen systemen op FEW netwerk Naast bescherming van de bij FEW aangesloten systemen is het ook noodzakelijk om de faculteit en de rest van het Internet te beschermen tegen misbruik vanuit FEW. Daarvoor kunnen technisch enkele algemeen aanvaarde maatregelen worden genomen, zoals anti-spoofing. Technische maatregelen zullen nooit afdoende zijn om misbruik te voorkomen. Klachten worden meestal vergezeld van IP nummer en tijdstip. De IT-groep stelt zich tot doel om dit te kunnen herleiden tot een persoon. Om dat te bereiken worden extra beperkingen opgelegd. De IT-groep houdt op de subnetten met vaste IP adressen in de gaten of gebruikers zich onrechtmatig IP-

adressen toe eigenen. Het streven naar een open netwerk betekent overigens niet dat gebruikers alle soorten server applicaties op hun werkstation mogen gebruiken. Telkens als door gebruikers zelf mogelijk te starten services aanzienlijke overlast veroorzaken of kunnen veroorzaken is het mogelijk dat de IT-groep deze faciliteiten verbiedt of met technische maatregelen tegengaat. Om die reden heeft de IT-groep het netwerktechnisch onmogelijk gemaakt dat zelf beheerde werkstations direct mail van buiten de faculteit kunnen accepteren. 2.3. Techniek Om IP netwerken bruikbaar te houden zijn er ook technische randvoorwaarden waar bij de indeling rekening mee moet worden gehouden. 3. De netwerken van FEW De term netwerk betekent in dit stuk een geheel van actieve netwerkcomponenten, zoals switches en routers, dat met elkaar verbonden is. De faculteit gebruikt twee netwerken: het door de dienst IT beheerde campusnetwerk en het researchnetwerk van Informatica dat door de IT-groep wordt beheerd. Dit stuk bevat geen voorstellen over indeling en beveiliging van het researchnetwerk zelf. Het researchnetwerk is momenteel een zeer open netwerk dat qua beveiliging wordt beschouwd als een deel van het campus FEW netwerk. Daarmee bestaat het risico dat het researchnetwerk als achterdeur wordt gebruikt om in het beveiligde deel van de rest van het FEW netwerk te komen. Wij stellen dan ook voor om het researchnetwerk te beschouwen als ware het het Internet en daarmee geen directe toegang te geven tot het campus deel van het FEW netwerk. Omdat vanuit het researchnetwerk de centrale faciliteiten wel bereikbaar dienen te zijn krijgt het researchnetwerk wel toegang tot het subnet met de FEW servers. 3.1. Techniek Elk IP netwerk bestaat uit een of meer IP-subnetten. Het aantal systemen dat op een subnet kan worden aangesloten is altijd een tweemacht min twee. Op geen enkel subnet wil de IT-groep meer dan 1022 systemen hebben aangesloten. Een subnet met ongeveer 1000 systemen zal naar schatting nog goed werken. De hierop volgende grens is 2046. Dat getal vinden we te hoog. Wij schatten dat er dan een te grote kans is op storingen. Een veel gebruikte grootte is 254. Wij stellen voor om dit getal op het campusnet als minimum aan te houden. Bijlage 1 vermeldt, uitgesplitst naar afdeling van herkomst, het aantal systemen dat we verwachten aan te sluiten op de subnetten die in 8 worden voorgesteld. 4. Indeling aan te sluiten systemen Voor het beoordelen welke subnetten nodig zijn is het handig om de aan te sluiten systemen in te delen in een aantal klassen. Voor de indeling in klassen zijn de volgende criteria gebruikt: 1. functie: werkstation, server, printer, experiment 2. beheer: wel of niet beheerd door de IT-groep 3. operating systeem: Windows, een UNIX variant of iets anders 4. gebruiker: medewerker of student. 5. identiteit: bekende en onbekende gebruikers 5. Werkstations Onder werkstation versta ik in dit stuk alle computers waar een gebruiker fysiek toegang tot heeft, waaronder notebooks en PDA s. Werkstations vormen veruit de meerderheid van de aangesloten systemen. De verdeling over de subnetten geschiedt aan de hand van de overige hierboven genoemde criteria. In de hoofdstuk 6.1 worden de overige systemen bekeken. 5.1. Bekende on onbekende gebruikers Alleen systemen waarvan achteraf te bepalen is wie er op welk tijdstip gebruik van heeft gemaakt krijgen onbeperkte toegang tot het Internet. De overige systemen mogen alleen verbinding maken met systemen van de faculteit en zitten inéén subnet. Er zijn twee manieren waarop de gebruiker van een systeem bekend kan zijn, via het MAC adres of via het IEEE 802.1x protocol.

5.1.1. MAC adres Werkstations staan bij FEW geregistreerd met hun unieke MAC adres. Het is met behulp van het DHCP protocol mogelijk om bij een bepaald MAC adres een vast IP adres uit te delen aan werkstations. Dit maakt het mogelijk om op basis van het IP adres de gebruiker te bepalen. Het is niet verstandig om op subnetten waarop vaste IP adressen worden gebruikt ook systemen met onbekende MAC adressen toe te laten. Als het MAC adres onbekend is, is ook de gebruiker onbekend. Bovendien zou het dan mogelijk zijn dat een systeem met een foutief geadministreerd adres toch wordt aangesloten. De werkstations met een bekend MAC adres worden in 5.2 onderverdeeld volgens de andere criteria. 5.1.2. IEEE 802.1x Als systemen via het IEEE 802.1x protocol worden aangesloten is de gebruiker wel te achterhalen. Dat protocol eist namelijk de gebruikersnaam en wachtwoord voordat het netwerk bruikbaar is. Dan is de gebruiker wel bekend, maar het systeem waarop de gebruiker werkt niet. 5.1.3. Gevolgen voor subnet indeling Er moet een apart subnet zijn voor gebruik met IEEE 802.1x. Wij noemen dit het roaming subnet. Alle systemen op dit subnet worden gelijk behandeld. Dit subnet hoort wat betreft de rest van de FEW subnetten tot de buitenwereld omdat er onbekende, mogelijk besmette, systemen op zitten. Systemen op het roaming subnet kunnen alleen kontakt maken met een beperkt aantal FEW servers en hebben vrij toegang tot het internet. Momenteel gaat het daarbij alleen om draadloze verbindingen. Het campus netwerk kan ook op de vaste verbindingen IEEE802.1x aan, maar de software voor de aan te sluiten computers is nog slechts mondjesmaat beschikbaar. Zolang IEEE 802.1x geen gemeengoed is voor vaste verbindingen blijft er nog een apart subnet voor systemen met een onbekend MAC adres. Dit subnet biedt echter geen directe toegang tot het Internet omdat wij de gebruiker niet kunnen achterhalen. Vanaf dit subnet zijn de FEW servers wel bereikbaar. Wij noemen dit het student2 subnet omdat het subnet alleen in computerzalen beschikbaar is en voornamelijk door studenten wordt gebruikt. 5.2. Werkstations met vaste IP adressen Eerst wordt het simpele geval behandeld: de studenten. De overige paragrafen gaan over de indeling ten behoeve van medewerkers. 5.2.1. Studenten Systemen ten behoeve van studenten staan veelal op semi-openbare locaties, zoals computerzalen. Het subnet waarop deze systemen zijn aangesloten is daardoor ook semi-openbaar. Wij merken met enige regelmaat dat mensen in computerzalen een bestaand systeem van het netwerk halen en hun zelf meegebrachte systeem aansluiten. Om te zorgen dat medewerkers gevrijwaard blijven van mogelijk onprettige gevolgen plaatsen we studenten systemen op aparte subnetten. Alle studenten werkstations met een vast adres worden door de IT-groep beheerd. Deze systemen passen op een subnet van 510 adressen. Dit subnet moet worden afgeschermd tegen alle overige subnetten met werkstations alsof die overige subnetten het Internet zijn. Wij noemen dit het student1 subnet. 5.2.2. Beheer en beveiliging De laatste twee criteria voor werkstations zijn beheer en beveiliging. Ik werk deze in twee aparte paragrafen uit. Daarna worden deze twee criteria gecombineerd. 5.2.2.1. Beheer Gebruikers van zelf beheerde werkstations mogen hun netwerk instellingen niet veranderen, maar kunnen het wel. In het verleden heeft dat tot overlast geleid. Om deze reden mogen werkstations en servers in beheer van de IT-groep niet op hetzelfde subnet als door gebruikers zelf beheerde werkstations. Bovendien zijn zelf beheerde werkstations veel gevoeliger voor aanvallen en daarmee een groter risico voor de andere systemen op hetzelfde subnet.

5.2.2.2. Overzicht huidige beveiliging Werkstations dienen beveiligd te worden tegen elkaar en tegen dreigingen van buiten. Beveiliging tegen elkaar gebeurt in dit voorstel door de verschillende klassen werkstations onderling geen toegang te geven. Beveiliging tegen de buitenwereld kan door werkstations op een subnet geheel of gedeeltelijk af te sluiten van directe toegang vanaf het Internet. Volledig afsluiten is niet zinvol. Eenieder die achter een werkstation zit zal de beschikking willen hebben over het internet. Dit betekent in de praktijk dat wij het contact leggen van binnen naar buiten niet verbieden. Uitzondering hierop staan in 5.2.3.1. Het is helaas niet meer mogelijk het Internet vrije toegang te geven tot de subnetten met werkstations. Jaren geleden zijn alle subnetten van het campusnetwerk gedeeltelijk dichtgezet omdat het simpelweg onmogelijk bleek Microsoft Windows systemen afdoende te beveiligen. Wat betreft het dichtzetten voor toegang naar buiten is het belangrijk om te bedenken welke diensten men blokkeert. Diensten worden gekenmerkt door een protocol en een poortnummer. Het protocol is UDP of TCP. UDP wordt minder gebruikt. Bij de indeling van subnetten houden we alleen rekening met TCP. Het is gebruik dat diensten die door het OS worden aangeboden een poort nummer onder de 1024 hebben. Applicaties van gebruikers krijgen alleen poortnummers groter dan 1024. Enkele jaren geleden zijn de Wiskunde en Informatika netwerken dicht gezet voor alle toegang van buitenaf. Sindsdien zijn er 65 verzoeken geweest voor het openen van TCP poorten. Geopende W&I poorten FTP 5 HTTP 17 HTTPS 4 PDA 2 > 1024 37 Bij de subnetten van Natuurkunde staan al sinds vele jaren de poorten onder de 1024 dicht en de poorten boven de 1024 open. Vanuit Natuurkunde zijn er zeer weinig verzoeken voor het openen van extra poorten op werkstations. Bij Scheikunde staan de subnetten vrij dicht. De uitzondering (TCP) staan in de onderstaande tabel. Geopende Scheikunde poorten FTP 4 TELNET 1 HTTP 5 AFP 5 > 1024 11 Alle poorten 7 5.2.3. Nieuwe indeling Wij stellen voor om drie categoriën te maken: dicht toegang vanaf buiten is volledig verboden, dus voor alle poortnummers halfopen toegang vanaf buiten is alleen mogelijk voor poorten groter dan 1024 en bijzondere protocollen, bijvoorbeeld voor VPN s. open toegang vanaf buiten is mogelijk voor alle poorten. In elk van deze drie categoriën is het wel mogelijk om vanaf subnet naar buiten te gaan en het Internet te bereiken via TCP sessies. 5.2.3.1. Speciale poorten Er zijn enkele poorten die buiten de eerder genoemde algemene regels vallen. Dit betreft diensten die extra gevoelig zijn voor aanvallen en diensten op het Internet die misbruikt kunnen worden. 5.2.3.1.1. mail Mail direct versturen, anders dan via onze eigen servers, wordt verboden. Dit betekent dat alleen vanaf het server netwerk SMTP naar het internet mag worden gedaan.

5.2.3.1.2. NFS & portmapper NFS en portmapper verkeer wordt intern alleen toegestaan naar het server netwerk. Het wordt vanaf buiten niet toegestaan. 5.2.3.1.3. Poorten die altijd openstaan Op alle subnetten zijn in het systeemgebied een aantal poorten opengezet Dit zijn de poorten: Overal openstaande systeem poorten FTP-DATA (inkomende source poort) SSH DNS AUTH IDENTD Bij FTP data gaat het om een inkomende source poort. Daardoor kan in principe met deze poort elke destination poort binnen het netwerk worden bereikt. Als het veen kan moet dit FTP_DATA alleen worden toegelaten met destination poorten >1024. Natuurlijk uitgezonderd NFS, 2049. 5.2.4. Conclusies De ervaring met Windows systemen zijn zo slecht dat wij vinden dat zij alleen in dichte subnetten mogen staan. Windows systemen worden dan ook altijd in een dicht subnet geplaatst. Er zijn slechts zeven systemen die voor alle poorten open staan. Hier wordt geen apart subnet voor gecreëerd. Het is mogelijk om voor deze systemen elk apart een uitzondering in de firewall te maken. Het is echter beter om een deel van de bovenkant van een half open IP range helemaal open te zetten. Dan is er beter zicht op wat open staat en wat niet open staat. Op het researchnet is het wel mogelijk een netwerk helemaal open te zetten. Dat is echter beperkt tot de server ruimtes en de gangen R4, P4 en S4. UNIX en systemen die op UNIX lijken worden op een halfopen subnet gezet. Gebruikers die hun systeem zelf beheren worden in een apart dicht subnet geplaatst. Op verzoek en bij voldoende noodzaak kunnen zelfbeheer systemen in een halfopen subnet worden geplaatst. De IT groep wijst dan echter elke verantwoordelijkheid wat betreft bescherming van de hand. Windows systemen op het halfopen subnet dienen voorzien te zijn van een eigen firewall. Het halfopen zelfbeheer subnet wordt vanaf de rest van het FEW netwerk, behalve de servers, net zo behandeld als het Internet. Indeling vaste werkstations dicht halfopen open IT Windows UNIX Mac geen itgcls itgho Niet IT Windows UNIX Mac mdwcls mdwho 6. Overige systemen De overige aangesloten systemen zijn minder groot in aantal. In dit hoofdstuk lopen we ze op basis van functie langs. 6.1. Servers Servers zaten vroeger op het zelfde subnet als de door IT-groep beheerde werkstations. Daardoor kon een gebruiker met een slecht geconfigureerd systeem in zijn kamer een server onbruikbaar maken. Vrijwel alle servers staan nu op een eigen server subnet. Op dit subnet staan alleen door de IT-groep onderhouden servers. Servers die door anderen worden onderhouden plaatsen wij bij voorkeur op het research netwerk. Wat betreft toegang van buiten FEW is het server subnet in tweeën gesplitst. Het bovenste deel is alleen toegankelijk vanuit FEW. Servers in het onderste deel staan grotendeels open voor de hele wereld. Servers met Microsoft Windows moeten in het bovenste deel staan. Alle subnetten met werkstations zijn bereikbaar vanaf het server subnet en vice-versa.

6.2. Printers De fabrikanten van printers blinken niet uit door de aandacht die ze aan de beveiliging van de netwerktoegang geven. Daarom zijn we gedwongen om printers op een eigen subnet te plaatsen dat alleen toegankelijk is vanaf de print spooler. Dit subnet heeft geen directe connectiviteit met het Internet en is alleen bereikbaar vanaf enkele servers, waaronder de print spooler. 6.3. Meetexperimenten Computersystemen ten behoeve van meetexperimenten leiden vaak onder een gebrek aan aandacht voor beveiliging. Bovendien is het vrijwel altijd mogelijk dat op het netwerk aangesloten systemen in een zo hoog tempo met pakketjes worden bestookt dat een dergelijk systeem het te druk krijgt. Daarom krijgen meetsystemen alleen toegang tot servers van de faculteit. Daarenboven wordt ook de SSH poort, die op de meeste netwerken open staat, dichtgezet. Het is nog een open vraag of we meetsystemen zullen toestaan te browsen via de http proxy. Er is over gedacht om nog een extra netwerk te maken voor meetexperimenten dat geen enkele verbinding heeft naar buiten dat netwerk. Dit lijkt voorlopig niet nodig. In sommige gevallen zal voor het aansluiten van meetsystemen maatwerk nodig zijn. Dat moet altijd in overleg met de IT-groep. Daarbij is belangrijk dat: - de verantwoordelijkheden duidelijk moeten zijn - de oplossing zoveel mogelijk past in aansluitbeleid van de centrale dienst IT - de netwerktoegang van aangesloten meetsystemem degelijk beveiligd wordt. 7. Erfenissen - N&S heeft een subnet met het accessgrid. Dit subnet heeft speciale voorzieningen voor multicast. Het zal waarschijnlijk veel werk geven dit netwerk met andere netwerken te integreren. Daarom laten we het bestaan en wordt ook de IP range niet veranderd. - Er is bij Scheikunde een subnet dat door de ACAS sectie wordt gebruikt met IP-connectiviteit waar alle aangesloten systemen feitelijk beheerd worden door de sectie zelf. Er moet nog worden bekeken of het noodzakelijk is dit subnet te handhaven. Een mogelijk probleem daarbij is dat deze gebruikers eigen netwerk services gebruiken die conflicteren met facultaire netwerk services. In dit stuk gaan we er van uit dat dit netwerk blijft bestaan. Het zal wel een andere IP range krijgen. - ACAS heeft daarnaast nog een eigen, van de buitenwereld afgeschermd, subnet. Er moet worden bekeken of dit in het experiment subnet geschoven kan worden. 7.1. Administratie subnet Het bestaande administratiesubnet wordt opgeheven omdat omdat toegangscontrole op basis van IP nummer voor concern toepassingen minder belangrijk geworden is. 8. Technische noodzakelijke subnetten Om de volgende technische redenen zijn een aantal aparte subnetten noodzakelijk: a. Elke SunRay server heeft nog een eigen subnet nodig voor de SunRay s. b. Subnetten waarop DHCP adressen uitgeeft aan willekeurige systemen moeten gescheiden blijven van subnetten waarop DHCP alleen adressen uitdeelt aan vooraf aangemelde systemen. Vooraf aangemelde adressen zijn namelijk niet anoniem en niet aangemelde adressen wel.

9. Opsomming resulterende subnetten De hierboven vermelde criteria leiden tot de volgende subnetten. subnetten met connectiviteit naam aantal(nu) grootte criteria itgcls 270 512 IT-groep beheerde onveilige werkstations (Windows) 5.2.4 itgho 90 254 IT-groep beheerde veiliger werkstations (Unix, Mac,...) 5.2.4 mdwcls 804 1022 zelfbeheerde werkstations 5.2.4 mdwho 80 254 zelfbeheerde werkstations (op verzoek) 5.2.4 student1 238 510 studenten systemen beheerd door de IT-groep 5.2.1 student2 15 254 onbekende systemen via MAC adres 5.1.3 roaming 180 510 onbekende systemen via IEEE 802.1x 5.1.3 servers 30 254 servers van de IT-groep 6.1 exp1-254 experimenten 6.3 accessgrid 6 254 Erfenis 7 acas 5 254 Erfenis 7 subnetten zonder connectiviteit printers 35 254 printers beheerd door IT-groep 6.2 acas-exp? 254 Erfenis 7 sunray1 20 254 SunRay subnet 1 7.2 9.1. Toegang In de bovenstaande paragrafen staat bij de netwerken welke toegangsbeperkingen er zijn. De tabel in bijlage 2 geeft een opsomming van deze beperkingen. Daar waar de tabel de tekst onverhoopt tegenspreekt is de tekst leidend. Implementatie van deze regels gaat via access lists in de routers. Deze meeste van deze regels worden geplaatst in de accesslist die het verkeer in een LAN van de router naar de overige systemen regelt. Bij Cisco routers is dit de OUT access list. De IN access lists bevatten over het algemeen alleen anti spoofing regels. 10. IP nummerplan Op subnetten zonder connectiviteit wordt in vrijwel alle gevallen het IP protocol gebruikt met nummers die niet buiten het subnet komen. De IT-groep kent deze subnetten niet overlappende IP nummers toe die volgens RFC s alleen lokaal gebruikt mogen worden. De voorraad van deze nummers is bijna oneindig. De door FEW daarvan gebruikte nummers staan niet in dit nummerplan. De IT-groep heeft afgesproken dat, hoewel technisch niet noodzakelijk, ook deze nummers binnen FEW uniek dienen te zijn. Alle gebruikte nummers worden op de interne website van de IT groep bijgehouden. Het IP nummerplan voor het campusnet staat in de onderstaande tabel. Daarbij zijn de subnetten die uit erfenissen voorkomen achterin het voor FEW beschikbare bereik gezet. Als het erfenissen zijn die op niet al te lange termijn gaan verdwijnen kan het verstandig zijn de IP-reeks die nu wordt gebruikt te blijven gebruiken tot het subnet is verdwenen. naam IP-reeks commentaar itgcls 130.37.16.0-130.37.17.255 Verlenging W&I staf1 naar boven itgho 130.37.18.0-130.37.18.255 Nieuw subnet 130.37.19.0-130.37.19.255 Ruimte voor uitbreiding servers 130.37.20.0-130.37.20.255 Reeds in gebruik student2 130.37.21.0-130.37.21.255 Verandering van adres mdwho 130.37.22.0-130.37.22.255 Oud admin subnet 130.37.23.0-130.37.23.255 Ruimte voor uitbreiding student1 130.37.24.0-130.37.25.255 Bestaande reeks roaming 130.37.26.0-130.37.26.255 Bestaande reeks 130.37.27.0-130.37.27.255 Ruimte voor uitbreiding mdwcls 130.37.28.0-130.37.31.255 Verlenging W&I staf2 naar beneden exp1 130.37.33.0-130.37.33.255 experimenten accessgrid 130.37.42.0-130.37.42.255 Erfenis acas 130.37.43.0-130.37.43.255 Erfenis Er is met de dienst IT afgesproken de IP nummers van het bestaande Scheikunde netwerk hen terug te geven. Dit zijn de nummers 130.37.144.0 tot en met 130.37.148.255. Met de nummers van Wiskunde, Informatika en

Natuurkunde wordt een aansluitende IP-reeks voor FEW gecreëerd: 130.37.16.0-130.37.44.255. Als van onder af wordt toegekend wordt eerst het oude W&I deel van de IP adresruimte gebruikt. Daar is al ruimte geschapen voor grotere subnetten. 10.1. itgcls en itgho Het huidige staf1 subnet wordt gebruikt voor door de IT groep beheerde werkstations. Dit subnet kunnen we dicht zetten en in itgcls omzetten. Voordat itgcls wordt dichtgezet moet itgho worden aangemaakt en de systemen waarvoor dat nodig is moeten naar itgho verhuizen. Na het dichtzetten kunnen de Windows systemen van het administratiesubnet naar itgcls verhuizen. Achter het itgho subnet blijft ruimte over voor uitbreiding. 10.2. mdwcls en mdwho Het grootste subnet met zelf beheerde systemen is het huidige staf2 subnet. Hier kunnen we het nieuwe mdwcls subnet overheen leggen door naar beneden uit te breiden. Het oude administratie subnet wordt zodra het leeg veranderd in het mdwho subnet. De systemen die daar behoefte aan hebben worden uit mdwcls hier naar toe verplaatst waarna mdwcls dicht kan worden gezet. De bovenste 32 adressen in mdwho worden helemaal open gezet. Achter het mdwcls subnet wordt ruimte gereserveerd voor uitbreiding. 10.3. student2 Het student2 subnet verhuist. Gelukkig is dat vrijwel geen werk. 10.4. Blijvers Het student1, servers en roamingsubnet kunnen hun oude adressen houden. 10.5. Natuurkunde Het erfenis nat subnet blijft liggen waar het ligt. Het ligt wel in de bedoeling dit subnet door te lichten en eventueel op te heffen. Het huidige eerste Natuurkunde subnet (130.37.32.0-130.37.32.255) en de subnetten voor studenten (130.37.36.0-130.37.36.255 en 130.37.38.0-130.37.38.255) moet worden vrijgemaakt door de systemen die er nu in zitten te verspreiden over mdwcls, mdwho. 10.6. exp1 Het eerste subnet ten behoeve van experimenten komt na het eerste momenteel in gebruik zijnde deel van het bestaande Natuurkunde netwerk. Dit geeft voor de toekomst ruimte voor uitbreiding naar beneden, Het tweede blok van 2048 adressen van het bestaande Natuurkunde netwerk is in deze opzet ongebruikt. In het derde blok van 2048 adressen passen mooi de twee andere erfenis subnetten. Eventueel kan 130.37.42.0-130.37.42.255 die nu in gebruik is voor de IC-wall nog een tijdje blijven bestaan. Als deze verhuizing achter de rug is kunnen 130.37.44.0-130.37.44.255 en 130.37.144.0-130.37.148.255 aan de dienst IT worden teruggegeven. 10.7. Enkele te nemen maatregelen Er moet een uitvoeringsplan komen voor realisatie van de veranderingen die in dit stuk worden voorgesteld. Dit plan moet de te nemen acties noemen in combinatie met degenen die de actie uit voeren en de tijdsplanning. Hieronder staan een paar aandachtspunten opgesomd waarvan ik bang was dat ze makkelijk over het hoofd gezien worden. - 3 Researchnetwerk vanuit de rest van het FEW netwerk behandelen als het Internet, behalve dat het researchnetwerk wel toegang krijgt tot het FEW server subnet. - 9 Het huidige administratie subnet opheffen en heel itgcls toegang tot SAP verlenen. - 10.1 Het oude admin subnet na leeghalen omzetten in het mdwho subnet en de bovenste 32 adressen helemaal open zetten.

Bijlage 1 De onderstaande tabel beschrijft de verhuisbewegingen. Netwerken die niet bij de verhuisbewegingen zijn betrokken worden niet genoemnd. Alle getallen zijn schattingen. De getallen zijn bepaald door het aantal wallports te tellen. Huidige IP-reeks # itgcls itgho mdwcls mdwho exp 130.37.16.0/23 40 40 130.37.22.0/24 40 40 130.37.30.0/23 50 50 130.37.32.0/24 25 25 130.37.34.0/24 195 195 130.37.36.0/24 10 10 130.37.38.0/24 89 89 130.37.40.0/24 18 18 130.37.144.0/24 171 20 151 130.37.148.0/24 72 66 6 192.31.231.0/24 29 29 Totaal 739 126 69 463 75 6 Hieronder volgt een summiere beschrijving van de hierboven genoemde huidige netwerken. IP-reeks beschrijving 130.37.16.0/23 FEW: ITG beheerde systemen 130.37.20.0/24 FEW: servers 130.37.22.0/24 FEW: bureau 130.37.24.0/24 FEW: studentenzalen 130.37.26.0/24 FEW: roaming 130.37.28.0/24 FEW: studenten notebooks 130.37.30.0/23 W&I: zelf beheerde systemen 130.37.32.0/24 natuurkunde: 4 printers + 14 IBM/Linux +? 130.37.34.0/24 natuurkunde: de meeste systemen 130.37.36.0/24 Enkele FGI systemen 130.37.38.0/24 Natuurkunde systemen. T.b.v. studenten? 130.37.40.0/24 ELE 130.37.42.0/24 natuurkunde: accessgrid 130.37.144.0/24 scheikunde: de meeste systemen 130.37.147.0/24 scheikunde: ACAS 130.37.148.0/24 scheikunde: OAC/FAR 192.31.231.0/24 W&I: enkele oudere systemen

Bijlage 2

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback