Communicatienetwerken Oefeningen 4 : ALGEMEEN (niet voor MTI) Woensdag 2 december 2009 1
VRAAG 1 : MAC/IP adressen toekennen 2
VRAAG 1 : MAC/IP adressen toekennen Scenario Link 1 Link 2 Link 3 Link 4 Link 5 Geen tunnels, geen ARPspoof IPSec tunnel tussen gateway 1 en gateway 2, geen ARPspoof IPSec tunnel tussen gateway 1 en gateway 2, ARPspoof van gateway 1 door de attacker met als target de office PC IPSec tunnel tussen gateway 1 en gateway 2, IPSec tunnel tussen office PC en mail server, ARPspoof van office PC door de attacker met als target gateway 1 IPSec tunnel tussen gateway 1 en gateway 2, SSH tunnel tussen office PC en mail server, geen ARPspoof IPSec tunnel tussen gateway 1 en gateway 2, IPSec tunnel tussen office PC en router, geen ARPspoof IPSec tunnel: altijd een tunnel in beide richtingen 3
VRAAG 1 : MAC/IP adressen toekennen : oplossing Scenario Link 1 Link 2 Link 3 Link 4 Link 5 Geen tunnels, geen ARPspoof MAC3-MAC1 IPSec tunnel tussen gateway 1 en gateway 2, geen ARPspoof IP4-IP7 IP1 IP9 MAC3-MAC1 IPSec tunnel tussen gateway 1 en gateway 2, ARPspoof van gateway 1 door de attacker met als target de office PC (target=machine waar men foute ARP tabel invult) MAC1-MAC2 MAC2-MAC3 IP4-IP7 MAC3-MAC1 IPSec tunnel tussen gateway 1 en gateway 2, IPSec tunnel tussen office PC en mail server, ARPspoof van office PC door de attacker met als target gateway 1 IP4-IP7 MAC3-MAC2 IPSec tunnel tussen gateway 1 en gateway 2, SSH tunnel tussen office PC en mail server, geen ARPspoof IP4-IP7 MAC3-MAC1 IPSec tunnel tussen gateway 1 en gateway 2, IPSec tunnel tussen office PC en router, geen ARPspoof IP1-IP5 IP1-IP5 IP1-IP5 MAC3-MAC1 4
VRAAG 2 : ontwerp van een netwerk De volgende terminals, servers en netwerkcomponenten zijn beschikbaar : - 5 servers (HTTP, FTP, e-mail, DNS, DNS2) die zich in subnetwerk 157.193.122.0 bevinden en die Gb/s interfaces hebben. De HTTP en FTP server zijn enkel voor intern gebruik (dus zijn niet toegankelijk vanop het publieke internet). Alle e-mails van het bedrijf moeten via de e-mail server passeren. Alle DNS requests van het bedrijf moeten via de DNS server passeren (of de back-up DNS2). - 40 PC s en 1 server (HTTP server met de publieke website) in subnetwerk 157.193.123.0 - een aansluiting naar het publieke internet met een 100 Mb/s lijn en met IP adres 157.193.124.1 voor het bedrijfsnetwerk (dat door de ISP toegekend is) en met als IP adres van de ISP zelf : 157. 193.124.254 (de gateway van de ISP). - 2 IP routers (Linux PC s) met elk twee 1 Gb/s interfaces en met firewall functionaliteit. - 10 Ethernet hub s met elk een 100 Mb/s uplink en elk 20 lokale 100 Mb/s poorten. - 2 Ethernet switches met elk een Gb/s uplink en 6 lokale 100Mb/s poorten. - Om de verschillende servers, PC s en netwerkcomponenten met elkaar te verbinden heeft men voldoende kabels ter beschikking (zowel straight als crossed ). Enkele bijkomende gegevens : - De PC s en server in subnetwerk 157.193.123.0 moeten kunnen surfen op het publieke internet en daarnaast moeten ze aan alle lokale servers kunnen (maar enkel die poorten die noodzakelijk zijn, men wil het servernetwerk immers ook beschermen tegen interne aanvallen!). De HTTP server met de publieke website moet bovendien toegankelijk zijn vanop het publieke internet. - De 40 gebruiker PC s maken veel gebruik van de lokale servers in subnetwerk 157.193.122.0 (dit is belangrijk bij de configuratie van het netwerk). 5
VRAAG 2 : ontwerp van een netwerk Vragen : (a) Ontwerp de topologie van het netwerk : welke componenten zal men hoe met elkaar verbinden (je hoeft niet alles te gebruiken). Zorg hierbij dat het netwerk zo performant mogelijk is. Geef hierbij duidelijk weer welke interfaces gebruikt worden (up-link of lokale poort). Geef ook weer welk type kabel er gebruikt moet worden (in het interne netwerk, enkel aanduiden als het crossed is en dit met een x ). Verklaar duidelijk uw keuzes. Gebruik de symbolen zoals weergegeven in de figuur. (b) Ken IP addressen toe aan alle interfaces en geef de routeringstabel(len) op voor de router(s) en een PC. (c) Om ervoor te zorgen dat de toegang (servers, PC s) inderdaad voldoet aan de opgelegde restricties, zal men moeten gebruik maken van firewall(s). Geef de configuratie(s) weer. Maak de regels zo beperkend mogelijk. server PC router/firewall switch hub 6
VRAAG 2 : ontwerp van een netwerk http ftp E-mail dns dns2 http.1.2.3.4.5.100 1 10.1.10 31 40.31.40 Up Up Up Up G Up.122.254.122.0 X B X Up G.123.0 A.124.1.124.254 subnet subnetmask gateway interface subnet subnetmask gateway interface 0.0.0.0 /0 0.0.0.0 /0.124.254.124.1.123.0.124.0.124.1.124.1.122.0 B.122.254.122.254 subnet.123.0.122.0 subnetmask gateway interface A G = Gbit/s interface Up = Uplink X = crossed cable 0.0.0.0.123.0.122.0 /0.123.1.123.1.123.1.123.1 PC.1 7
VRAAG 2 : ontwerp van een netwerk protocol source destination ports ACCEPT TCP 157.193.123.0 0.0.0.0/0 1024:65535 -> 80 ACCEPT TCP 0.0.0.0/0 157.193.123.0 80 -> 1024:65535 ACCEPT TCP 157.193.123.100/32 0.0.0.0/0 80 ->1024:65535 ACCEPT TCP 0.0.0.0/0 157.193.123.100/32 1024:65535 -> 80 ACCEPT TCP 157.193.122.3/32 0.0.0.0/0 1024:65535 -> 25 ACCEPT TCP 0.0.0.0/0 157.193.122.3/32 25 ->1024:65535 ACCEPT TCP 157.193.122.3/32 0.0.0.0/0 25 ->1024:65535 ACCEPT TCP 0.0.0.0/0 157.193.122.3/32 1024:65535 -> 25 ACCEPT UDP 157.193.122.4/32 0.0.0.0/0 1024:65535 -> 53 ACCEPT UDP 0.0.0.0/0 157.193.122.4/32 53 ->1024:65535 ACCEPT UDP 157.193.122.4/32 0.0.0.0/0 53 ->1024:65535 ACCEPT UDP 0.0.0.0/0 157.193.122.4/32 1024:65535 -> 53 ACCEPT UDP 157.193.122.5/32 0.0.0.0/0 1024:65535 -> 53 ACCEPT UDP 0.0.0.0/0 157.193.122.5/32 53 ->1024:65535 ACCEPT UDP 157.193.122.5/32 0.0.0.0/0 53 ->1024:65535 ACCEPT UDP 0.0.0.0/0 157.193.122.5/32 1024:65535 -> 53 DENY ALL 0.0.0.0/0 0.0.0.0/0 N/A Surfen naar buiten Publieke website SMTP naar buiten SMTP van buiten DNS naar buiten DNS van buiten DNS2 naar buiten DNS2 van buiten Al de rest dicht Firewall A 8
protocol source destination ports ACCEPT TCP 157.193.123.0 157.193.122.1/32 1024:65535 -> 80 ACCEPT TCP 157.193.122.1/32 157.193.123.0 80 -> 1024:65535 ACCEPT TCP 157.193.123.0 157.193.122.2/32 1024:65535 -> 20 ACCEPT TCP 157.193.122.2/32 157.193.123.0 20 -> 1024:65535 ACCEPT TCP 157.193.123.0 157.193.122.2/32 1024:65535 -> 21 ACCEPT TCP 157.193.122.2/32 157.193.123.0 21 -> 1024:65535 ACCEPT TCP 157.193.123.0 157.193.122.3/32 1024:65535 -> 110 ACCEPT TCP 157.193.122.3/32 157.193.123.0 110 ->1024:65535 ACCEPT TCP 157.193.122.3/32 0.0.0.0/0 25 ->1024:65535 ACCEPT TCP 0.0.0.0/0 157.193.122.3/32 1024:65535 -> 25 DENY TCP 157.193.123.0 157.193.122.3/32 N/A DENY TCP 157.193.122.3/32 157.193.123.0 N/A ACCEPT TCP 157.193.122.3/32 0.0.0.0/0 1024:65535 -> 25 ACCEPT TCP 0.0.0.0/0 157.193.122.3/32 25 ->1024:65535 ACCEPT UDP 0.0.0.0/0 157.193.122.4/32 1024:65535 -> 53 ACCEPT UDP 157.193.122.4/32 0.0.0.0/0 53 ->1024:65535 DENY UDP 157.193.123.0 157.193.122.4/32 N/A DENY UDP 157.193.122.4/32 157.193.123.0 N/A ACCEPT UDP 157.193.122.4/32 0.0.0.0/0 1024:65535 -> 53 ACCEPT UDP 0.0.0.0/0 157.193.122.4/32 53 ->1024:65535 ACCEPT UDP 0.0.0.0/0 157.193.122.5/32 1024:65535 -> 53 ACCEPT UDP 157.193.122.5/32 0.0.0.0/0 53 ->1024:65535 DENY UDP 157.193.123.0 157.193.122.5/32 N/A DENY UDP 157.193.122.5/32 157.193.123.0 N/A ACCEPT UDP 157.193.122.5/32 0.0.0.0/0 1024:65535 -> 53 ACCEPT UDP 0.0.0.0/0 157.193.122.5/32 53 ->1024:65535 DENY ALL 0.0.0.0/0 0.0.0.0/0 N/A Firewall B Toegang intranet website Toegang intranet FTP Toegang POP server (enkel van intranet) Toegang SMTP server (van intranet maar ook van buiten) Via intranet geen andere poorten SMTP naar buiten Toegang DNS server (van intranet maar ook van buiten) Via intranet geen andere poorten Wel DNS naar buiten Toegang DNS2 server (van intranet maar ook van buiten) Via intranet geen andere poorten Wel DNS2 naar buiten Al de rest dicht 9
VRAAG 3 : Netwerkprobleem Probleem 1 "Vanop Scylla is de ftp-site ftp.kernel.org onbereikbaar" Probleem 2 "Vanop Medusa is de ftp-site ftp.kernel.org onbereikbaar" Probleem 3 "Vanop Ares is de ftp-site ftp.kernel.org onbereikbaar" 10
VRAAG 3 : Netwerkprobleem Probleem 1: hoewel alle interface configuraties (Conf. 9) en Route tabellen (Conf 6, Conf 5 voor typhon en Conf.2 voor hera) in orde zijn, en zelfs de firewall in orde is (Conf.3), is 10.10.10.47 natuurlijk geen publiek IP adres. Probleem 2 : De interfaces van medusa zijn in orde (conf.4), echter de route tabel niet (conf.7). er is wel een default gateway ingevuld (184.1) maar er bestaat geen route naar 184.0 netwerk, zodat de default gateway onbereikbaar is. Probleem 3 : Ares, een windows machine, heeft als DNS server 157.193.184.4 (Conf.10). Volgens de opgave mag dit want pegasus (184.4) is backup DNS server (opgave). Echter, in Conf1. is duidelijk te zien dat enkel op de TCP poort 53 een daemon luistert, terwijl DNS wel degelijk (zelfs vooral) UDP 53 gebruikt. Hierbij kan gebruik gemaakt worden van de poortnummer listing in Conf.8 11