Communicatienetwerken

Communicatienetwerken

Oefeningen 4 : ALGEMEEN (niet voor MTI) Woensdag 2 december 2009

1

VRAAG 1 : MAC/IP adressen toekennen

2

VRAAG 1 : MAC/IP adressen toekennen Scenario

Link 1

Link 2

Link 3

Link 4

Link 5

Geen tunnels, geen ARPspoof

IPSec tunnel tussen gateway 1 en gateway 2, geen ARPspoof

IPSec tunnel tussen gateway 1 en gateway 2, ARPspoof van gateway 1 door de attacker met als target de office PC IPSec tunnel tussen gateway 1 en gateway 2, IPSec tunnel tussen office PC en mail server, ARPspoof van office PC door de attacker met als target gateway 1 IPSec tunnel tussen gateway 1 en gateway 2, SSH tunnel tussen office PC en mail server, geen ARPspoof IPSec tunnel tussen gateway 1 en gateway 2, IPSec tunnel tussen office PC en router, geen ARPspoof

IPSec tunnel: altijd een tunnel in beide richtingen

3

VRAAG 1 : MAC/IP adressen toekennen : oplossing Scenario

Link 1

Link 2

Link 3

Link 4

Link 5

Geen tunnels, geen ARPspoof

MAC1-MAC3 IP1-IP9

MAC1-MAC3 IP1-IP9

MAC4-MAC5 IP1-IP9

MAC8-MAC9 IP1-IP9

MAC3-MAC1 IP9-IP1

IPSec tunnel tussen gateway 1 en gateway 2, geen ARPspoof

MAC1-MAC3 IP1-IP9

MAC1-MAC3 IP1-IP9

MAC4-MAC5 IP4-IP7 IP1–IP9

MAC8-MAC9 IP1-IP9

MAC3-MAC1 IP9-IP1

IPSec tunnel tussen gateway 1 en gateway 2, ARPspoof van gateway 1 door de attacker met als target de office PC (target=machine waar men foute ARP tabel invult)

MAC1-MAC2 IP1-IP9

MAC2-MAC3 IP1-IP9

MAC4-MAC5 IP4-IP7 IP1-IP9

MAC8-MAC9 IP1-IP9

MAC3-MAC1 IP9-IP1

IPSec tunnel tussen gateway 1 en gateway 2, IPSec tunnel tussen office PC en mail server, ARPspoof van office PC door de attacker met als target gateway 1

MAC1-MAC3 IP1-IP9 IP1-IP9

MAC1-MAC3 IP1-IP9 IP1-IP9

MAC4-MAC5 IP4-IP7 IP1-IP9 IP1-IP9

MAC8-MAC9 IP1-IP9 IP1-IP9

MAC3-MAC2 IP9-IP1 IP9-IP1

IPSec tunnel tussen gateway 1 en gateway 2, SSH tunnel tussen office PC en mail server, geen ARPspoof

MAC1-MAC3 IP1-IP9

MAC1-MAC3 IP1-IP9

MAC4-MAC5 IP4-IP7 IP1-IP9

MAC8-MAC9 IP1-IP9

MAC3-MAC1 IP9-IP1

IPSec tunnel tussen gateway 1 en gateway 2, IPSec tunnel tussen office PC en router, geen ARPspoof

MAC1-MAC3 IP1-IP5 IP1-IP9

MAC1-MAC3 IP1-IP5 IP1-IP9

MAC4-MAC5 IP1-IP5 IP1-IP9

MAC8-MAC9 IP1-IP9

MAC3-MAC1 IP9-IP1

4

VRAAG 2 : ontwerp van een netwerk De volgende terminals, servers en netwerkcomponenten zijn beschikbaar : - 5 servers (HTTP, FTP, e-mail, DNS, DNS2) die zich in subnetwerk 157.193.122.0/24 bevinden en die Gb/s interfaces hebben. De HTTP en FTP server zijn enkel voor intern gebruik (dus zijn niet toegankelijk vanop het publieke internet). Alle e-mails van het bedrijf moeten via de e-mail server passeren. Alle DNS requests van het bedrijf moeten via de DNS server passeren (of de back-up DNS2). - 40 PC’s en 1 server (HTTP server met de publieke website) in subnetwerk 157.193.123.0/24 - een aansluiting naar het publieke internet met een 100 Mb/s lijn en met IP adres 157.193.124.1 voor het bedrijfsnetwerk (dat door de ISP toegekend is) en met als IP adres van de ISP zelf : 157. 193.124.254 (de gateway van de ISP). - 2 IP routers (Linux PC’s) met elk twee 1 Gb/s interfaces en met firewall functionaliteit. - 10 Ethernet hub’s met elk een 100 Mb/s uplink en elk 20 lokale 100 Mb/s poorten. - 2 Ethernet switches met elk een Gb/s uplink en 6 lokale 100Mb/s poorten. - Om de verschillende servers, PC’s en netwerkcomponenten met elkaar te verbinden heeft men voldoende kabels ter beschikking (zowel “straight” als “crossed”). Enkele bijkomende gegevens : - De PC’s en server in subnetwerk 157.193.123.0/24 moeten kunnen surfen op het publieke internet en daarnaast moeten ze aan alle lokale servers kunnen (maar enkel die poorten die noodzakelijk zijn, men wil het servernetwerk immers ook beschermen tegen interne aanvallen !). De HTTP server met de publieke website moet bovendien toegankelijk zijn vanop het publieke internet. - De 40 gebruiker PC’s maken veel gebruik van de lokale servers in subnetwerk 157.193.122.0/24 (dit is belangrijk bij de configuratie van het netwerk).

5

VRAAG 2 : ontwerp van een netwerk Vragen : (a) Ontwerp de topologie van het netwerk : welke componenten zal men hoe met elkaar verbinden (je hoeft niet alles te gebruiken). Zorg hierbij dat het netwerk zo performant mogelijk is. Geef hierbij duidelijk weer welke interfaces gebruikt worden (up-link of lokale poort). Geef ook weer welk type kabel er gebruikt moet worden (in het interne netwerk, enkel aanduiden als het “crossed” is en dit met een “x”). Verklaar duidelijk uw keuzes. Gebruik de symbolen zoals weergegeven in de figuur. (b) Ken IP addressen toe aan alle interfaces en geef de routeringstabel(len) op voor de router(s) en een PC. (c) Om ervoor te zorgen dat de toegang (servers, PC’s) inderdaad voldoet aan de opgelegde restricties, zal men moeten gebruik maken van firewall(s). Geef de configuratie(s) weer. Maak de regels zo beperkend mogelijk. server PC

router/firewall switch hub

6

VRAAG 2 : ontwerp van een netwerk http ftp E-mail dns dns2

http

1 .1

.2

.3

.4

.100

.5

10

.1

Up

G

Up .122.254

.122.0/24

X

B

Up

.123.254

X

31

.10 Up

.31

Up

40

.40

Up .123.253

G

A

.124.1

.124.254

.123.0/24

subnet

subnetmask

gateway

interface

subnet

subnetmask

gateway

interface

0.0.0.0

/0

.123.253

.123.254

0.0.0.0

/0

.124.254

.124.1

.123.0

/24

.123.254

.123.254

.124.0

/24

.124.1

.124.1

.122.0

/24

.122.254

.122.254

.123.0

/24

.123.253

.123.253

.122.0

/24

.123.254

.123.253

B G = Gbit/s interface Up = Uplink X = crossed cable

subnet

subnetmask

gateway

interface

0.0.0.0

/0

.123.253

.123.1

.123.0

/24

.123.1

.123.1

.122.0

/24

.123.254

.123.1

A PC .1

7

VRAAG 2 : ontwerp van een netwerk protocol

source

destination

ports

ACCEPT

TCP

157.193.123.0/24

0.0.0.0/0

1024:65535 -> 80

ACCEPT

TCP

0.0.0.0/0

157.193.123.0/24

80 -> 1024:65535

ACCEPT

TCP

157.193.123.100/32

0.0.0.0/0

80 ->1024:65535

ACCEPT

TCP

0.0.0.0/0

157.193.123.100/32

1024:65535 -> 80

ACCEPT

TCP

157.193.122.3/32

0.0.0.0/0

1024:65535 -> 25

ACCEPT

TCP

0.0.0.0/0

157.193.122.3/32

25 ->1024:65535

ACCEPT

TCP

157.193.122.3/32

0.0.0.0/0

25 ->1024:65535

ACCEPT

TCP

0.0.0.0/0

157.193.122.3/32

1024:65535 -> 25

ACCEPT

UDP

157.193.122.4/32

0.0.0.0/0

1024:65535 -> 53

ACCEPT

UDP

0.0.0.0/0

157.193.122.4/32

53 ->1024:65535

ACCEPT

UDP

157.193.122.4/32

0.0.0.0/0

53 ->1024:65535

ACCEPT

UDP

0.0.0.0/0

157.193.122.4/32

1024:65535 -> 53

ACCEPT

UDP

157.193.122.5/32

0.0.0.0/0

1024:65535 -> 53

ACCEPT

UDP

0.0.0.0/0

157.193.122.5/32

53 ->1024:65535

ACCEPT

UDP

157.193.122.5/32

0.0.0.0/0

53 ->1024:65535

ACCEPT

UDP

0.0.0.0/0

157.193.122.5/32

1024:65535 -> 53

DENY

ALL

0.0.0.0/0

0.0.0.0/0

N/A

Firewall A

Surfen naar buiten

Publieke website

SMTP naar buiten

SMTP van buiten

DNS naar buiten

DNS van buiten DNS2 naar buiten

DNS2 van buiten Al de rest dicht

8

protocol

source

destination

ports

ACCEPT

TCP

157.193.123.0/24

157.193.122.1/32

1024:65535 -> 80

ACCEPT

TCP

157.193.122.1/32

157.193.123.0/24

80 -> 1024:65535

ACCEPT

TCP

157.193.123.0/24

157.193.122.2/32

1024:65535 -> 20

ACCEPT

TCP

157.193.122.2/32

157.193.123.0/24

20 -> 1024:65535

ACCEPT

TCP

157.193.123.0/24

157.193.122.2/32

1024:65535 -> 21

ACCEPT

TCP

157.193.122.2/32

157.193.123.0/24

21 -> 1024:65535

ACCEPT

TCP

157.193.123.0/24

157.193.122.3/32

1024:65535 -> 110

ACCEPT

TCP

157.193.122.3/32

157.193.123.0/24

110 ->1024:65535

ACCEPT

TCP

157.193.122.3/32

0.0.0.0/0

25 ->1024:65535

ACCEPT

TCP

0.0.0.0/0

157.193.122.3/32

1024:65535 -> 25

DENY

TCP

157.193.123.0/24

157.193.122.3/32

N/A

DENY

TCP

157.193.122.3/32

157.193.123.0/24

N/A

ACCEPT

TCP

157.193.122.3/32

0.0.0.0/0

1024:65535 -> 25

ACCEPT

TCP

0.0.0.0/0

157.193.122.3/32

25 ->1024:65535

ACCEPT

UDP

0.0.0.0/0

157.193.122.4/32

1024:65535 -> 53

ACCEPT

UDP

157.193.122.4/32

0.0.0.0/0

53 ->1024:65535

DENY

UDP

157.193.123.0/24

157.193.122.4/32

N/A

DENY

UDP

157.193.122.4/32

157.193.123.0/24

N/A

ACCEPT

UDP

157.193.122.4/32

0.0.0.0/0

1024:65535 -> 53

ACCEPT

UDP

0.0.0.0/0

157.193.122.4/32

53 ->1024:65535

ACCEPT

UDP

0.0.0.0/0

157.193.122.5/32

1024:65535 -> 53

ACCEPT

UDP

157.193.122.5/32

0.0.0.0/0

53 ->1024:65535

DENY

UDP

157.193.123.0/24

157.193.122.5/32

N/A

DENY

UDP

157.193.122.5/32

157.193.123.0/24

N/A

ACCEPT

UDP

157.193.122.5/32

0.0.0.0/0

1024:65535 -> 53

ACCEPT

UDP

0.0.0.0/0

157.193.122.5/32

53 ->1024:65535

DENY

ALL

0.0.0.0/0

0.0.0.0/0

N/A

Firewall B

Toegang intranet website

Toegang intranet FTP

Toegang POP server (enkel van intranet) Toegang SMTP server (van intranet maar ook van buiten) Via intranet geen andere poorten SMTP naar buiten Toegang DNS server (van intranet maar ook van buiten) Via intranet geen andere poorten Wel DNS naar buiten Toegang DNS2 server (van intranet maar ook van buiten) Via intranet geen andere poorten Wel DNS2 naar buiten Al de rest dicht

9

VRAAG 3 : Netwerkprobleem Probleem 1 "Vanop Scylla is de ftp-site ftp.kernel.org onbereikbaar" Probleem 2 "Vanop Medusa is de ftp-site ftp.kernel.org onbereikbaar" Probleem 3 "Vanop Ares is de ftp-site ftp.kernel.org onbereikbaar"

10

VRAAG 3 : Netwerkprobleem Probleem 1: hoewel alle interface configuraties (Conf. 9) en Route tabellen (Conf 6 , Conf 5 voor typhon en Conf.2 voor hera) in orde zijn, en zelfs de firewall in orde is (Conf.3), is 10.10.10.47 natuurlijk geen publiek IP adres.

Probleem 2 : De interfaces van medusa zijn in orde (conf.4), echter de route tabel niet (conf.7). er is wel een default gateway ingevuld (184.1) maar er bestaat geen route naar 184.0 netwerk, zodat de default gateway onbereikbaar is.

Probleem 3 : Ares, een windows machine, heeft als DNS server 157.193.184.4 (Conf.10). Volgens de opgave mag dit want pegasus (184.4) is backup DNS server (opgave). Echter, in Conf1. is duidelijk te zien dat enkel op de TCP poort 53 een daemon luistert, terwijl DNS wel degelijk (zelfs vooral) UDP 53 gebruikt. Hierbij kan gebruik gemaakt worden van de poortnummer listing in Conf.8

11