Triple Eye Industrieel Ingenieur Informatica Algemeen Intranet Vierde jaar Beveiliging Labo's Firewalls
Computernetwerken
Beveiliging
Labo's
Theorie
Vierde jaar
Intranet
Deze server
Hogeschool Gent

Labo firewalls: sessies 2, 3 en 4

Verslag

Voor deze drie sessies van vandaag 17/12/2009 (8u15-17u45) wordt één verslag per groep verwacht. Voor dit verslag gelden dezelfde regels als voor het verslag van het vorige labo. Evenwel staat nu als eerste twee regels bovenaan het verslag vermeld:
Groepxx Verslag Firewalls DMZ
Achternaam Voornaam van alle groepsleden

Op het einde van dit labo plaats je dit verslag in de directory U:/beveiliging/firewalls/ van ALLE groepsleden. De naam van de verslagfile is van de gedaante verslagFW2Groepxx.txt waarbij xx het nummer van je groep voorstelt.
Indien deze conventie niet wordt aangehouden, kan niet gegarandeerd worden dat het verslag gequoteerd wordt!

Algemene beschrijving

De bedoeling van deze sessies is een firewall op te zetten met een gedemilitariseerde zone (DMZ). Deze opdracht wordt uitgevoerd in groep (3 personen per groep); de indeling van de groepen vind je hier

Elke groep maakt een opstelling met 4 PC's: een externe router (RE), een interne router (RI), een bastion host (BH) en een client op het interne netwerk (CI). De opstelling vind je in bijgaande figuur.
Let in elk geval ook op de manier waarop de toestellen met elkaar zijn verbonden.

De bastion host bevindt zich in de DMZ. Hij zal ook dienst doen als nameserver, webserver en proxyserver.

De externe router is verbonden met een extern netwerk dat zal fungeren als het internet. Dit is het netwerk waar alle computers zijn op aangesloten die niet in de testopstelling zijn betrokken, zo ook gonzo.iii.hogent.be en venus.iii.hogent.be.

Opgelet: venus.iii.hogent.be is evenwel de enige machine waarop routes ingesteld zijn naar de DMZ van elke groep. Het uittesten van http, ping, ftp en telnet kan dan ook slechts uitsluitend gebeuren naar venus.iii.hogent.be.

De interne router verbindt het interne netwerk met de DMZ. Op het intern netwerk is één pc aangesloten als testclient.

Vooraleer je de opstelling weer mag afbreken, moet ze geëvalueerd worden door één van de docenten. Wat er precies gecontroleerd zal worden, vind je hier.
Controleer eerst zelf of alles werkt!

Algemene richtlijnen

Om deze opstelling te verwezenlijken moet de bestaande netwerkbekabeling worden aangepast. Bedenk dat op het einde van de labosessie de oorspronkelijke toestand moet hersteld worden in een werkende staat. Bij groepen die dit verzuimen zal de quotering worden aangepast!! Noteer dus alles goed vooraleer je iets verandert en test of de teruggeplaatste instellingen functioneren!

Bovendien moet je er rekening mee houden dat van elk paar UTP-netwerkconnectoren op de tafel er steeds maar één connector is verbonden met de HUB. Onthoud dus de welke. Ook is het van belang om van de twee (of meer) netwerkinterfaces in de pc's opnieuw de juiste te verbinden!

Ook de netwerkinstellingen (o.a. in /etc/sysconfig/network-scripts) op de computers moeten drastisch worden veranderd. Zorg er dus voor dat je die op het einde van de labosessie vlug en degelijk kan herstellen.
tar-file(s) en scripts kunnen dus nuttig zijn. Neem ook een kopie op een ander medium (NIET op de U-drive, want die is niet meer bereikbaar als je FW-opstelling is afgewerkt!).

Zorg voor het volgende:

  • kopieer de bestaande configuratiebestanden van de netwerkinterfaces (ifcfg-eth0, ...) naar een andere directory (vb. /root); kopieer ze NIET naar een ander bestand in de configuratiedirectory!
  • doe geen aanpassingen aan de netwerkconfiguratie terwijl het netwerk of de interface actief is. (ifdown en ifup, of /etc/rc.d/init.d/network stop en start).
  • de nieuwe netwerkinstellingen voor de FW-opstelling kunnen ingesteld worden door deze bestanden "met de hand" aan te passen; in dit geval moet je er voor zorgen dat het mac-adres in dit bestand effectief vermeld staat (kijk naar de bestaande files).

Bedenk ook dat eens het netwerk is onderbroken, zowel de webpagina's op gonzo als je home-directory's niet meer van op elke machine bereikbaar zijn. Alleen de externe router blijft aangesloten op het Internet met zijn origineel ip-adres.

Vergeet ook niet dat je verslag moet uitbrengen van al je activiteiten.

De opgave

  1. Enkele voorbeeldfiles die je zal moeten aanpassen aan jouw situatie kan je nu al voorlopig lokaal opslaan:

  2. Vermits de bastion host uiteindelijk als proxyserver zal moeten fungeren moet je er eerst en vooral voor zorgen dat de apache-webserver als proxy is ingesteld. Hou hierbij evenwel rekening met het volgende: vermits er in de uiteindelijke opstelling ook moet voor gezorgd worden dat er pagina's kunnen opgevraagd worden van het Internet, moet deze proxyserver zijn pagina's niet zelf rechtstreeks opvragen, maar moet hij zijn aanvraag doorsturen naar venus.iii.hogent.be die ook zelf is ingesteld als proxy.

  3. Hoe voor jouw groep de bekabeling en de opstelling er precies moet uitzien, kan je hier vinden per lokaal: 225, 219 en 215. Hou rekening met de algemene figuur van de opstelling.

  4. Nu moeten de ip-adressen van je machines in de opstelling worden aangepast. Het volledige overzicht vind je hier.
    Het Internet op de externe router dien je aan te sluiten op eth0, dus op de interface waarmee de machine in de normale toestand met het net is verbonden. Bedenk dat voor een correcte werking van het geheel, de machines moeten gebruikt worden voor die bestemming zoals die werd opgegeven.
    Test uit met ping -n of de onderlinge verbinding van twee pc's op een zelfde netwerk in orde is.

  5. Nu moeten de default routes worden ingesteld op de interne client en de interne router en op de bastion host. Ook moeten de ip-adressen van het interne netwerk gemaskeerd worden.
    Test dit uitgebreid uit van en naar alle mogelijke computers met ping -n naar ip-adressen.

  6. Pas op de bastion host de dns-configuratie aan zodat aan volgende eisen wordt voldaan:
    • je nameserver zorgt er voor dat de drie computers die met de DMZ zijn verbonden deel uitmaken van het subdomain groepX.iii.hogent.be, waar X de waarde 1 t/m 24 heeft, afhankelijk van je groep.
    • aanvragen voor iii.hogent.be worden doorgespeeld naar venus.iii.hogent.be; deze fungeert ook als valse root-nameserver. Dit betekent dat je dat als dusdanig moet instellen.
    • je nameserver zorgt ook voor reverse dns voor jouw subdomein.
    • zorg er ook voor dat je namen binnen je subdomein niet-gekwalificeerd kan opvragen (aanpassen van resolv.conf).
    • zorg er ook voor dat de reverse-dns werkt.

    Start de dns-server op, pas ook de resolv.conf aan van de machines die er moeten van gebruik maken.
    Test uit met nslookup en het subcommando server je-eigen-machine. Controleer zoals steeds uitgebreid.

  7. Pas de configuratiefile van de http-proxyserver aan, zodat de interne client pagina's van overal kan opvragen. De proxyinstellingen van de webclient moeten natuurlijk ook aangepast worden.
    Ga ook na of je kan surfen naar webservers van andere groepen.

  8. En nu moeten uiteindelijk de regels op de twee routers worden ingesteld zodat er een degelijke firewallwerking is. De algemene policy is voor beide routers DROP.

    De interne router moet http, dns, ftp en telnet doorlaten van het private netwerk naar de bastion host en terug.
    Voor deze labooefening voorzien we ook de mogelijkheid om te pingen naar alle computers binnen de DMZ (maar niet verder).

    De externe router mag http, dns,ftp en telnet doorlaten van de bastion host naar het publieke netwerk (internet) en terug.
    Ook moeten de webpagina's en de dns-informatie op de bastion host van buiten je DMZ (internet) bereikbaar zijn.

    Test alle mogelijkheden kritisch uit en vermeld in je verslag hoe je dit gedaan hebt.

    Om dit te kunnen verwezenlijken en ook alle ftp- en telnetverkeer via de bastion host te laten verlopen heb je een telnet- en ftpgateway nodig; deze kan je hier vinden, alsook de nodige documentatie. De documentatie bevat zowel een README-file, een administrator- en een gebruikershandleiding. Hier vind je enige uitleg om je op weg te zetten.

  9. Indien tijd over:
    Leg een VPN-verbinding vanop een willekeurige niet-gebruikte klasPC, die als het ware verbonden is met het Internet, naar de interne router. Gebruik IPSec (ESP en AH). Zorg ervoor dat je op die manier aan de webpagina's kan die je moet beschikbaar stellen op de interne client.

  10. Indien tijd over:
    Zorg ervoor dat je op deze website kan inloggen met je elektronische identiteitskaart.
    Voordat je via Firefox kunt inloggen op een website door gebruik te maken van je EID, dien je de PKCS#11-module te installeren. Hoe je dit realiseert kun je hier vinden.

    Configureer Apache zodat bij het opvragen van de website op de interne client je identiteit gecontroleerd wordt a.d.h.v. je EID. Hoe deze configuratie dient te gebeuren vind je hier terug.

    Wanneer je vorige stapt grondig hebt uitgetest pas je de configuratie van Apache zo aan dat enkel jij nog toegang hebt tot de website. Anderen mogen geen toegang meer hebben.

Geert Van hoogenbemt 16/12/2009
Welkom | Hogeschool Gent | INWE | Studentenserver | Docentenserver | Intranet