Communicatienetwerken
Oefeningen 4 : ALGEMEEN (niet voor MTI) Woensdag 2 december 2009
1
VRAAG 1 : MAC/IP adressen toekennen
2
VRAAG 1 : MAC/IP adressen toekennen Scenario
Link 1
Link 2
Link 3
Link 4
Link 5
Geen tunnels, geen ARPspoof
IPSec tunnel tussen gateway 1 en gateway 2, geen ARPspoof
IPSec tunnel tussen gateway 1 en gateway 2, ARPspoof van gateway 1 door de attacker met als target de office PC IPSec tunnel tussen gateway 1 en gateway 2, IPSec tunnel tussen office PC en mail server, ARPspoof van office PC door de attacker met als target gateway 1 IPSec tunnel tussen gateway 1 en gateway 2, SSH tunnel tussen office PC en mail server, geen ARPspoof IPSec tunnel tussen gateway 1 en gateway 2, IPSec tunnel tussen office PC en router, geen ARPspoof
IPSec tunnel: altijd een tunnel in beide richtingen
3
VRAAG 1 : MAC/IP adressen toekennen : oplossing Scenario
Link 1
Link 2
Link 3
Link 4
Link 5
Geen tunnels, geen ARPspoof
MAC1-MAC3 IP1-IP9
MAC1-MAC3 IP1-IP9
MAC4-MAC5 IP1-IP9
MAC8-MAC9 IP1-IP9
MAC3-MAC1 IP9-IP1
IPSec tunnel tussen gateway 1 en gateway 2, geen ARPspoof
MAC1-MAC3 IP1-IP9
MAC1-MAC3 IP1-IP9
MAC4-MAC5 IP4-IP7 IP1–IP9
MAC8-MAC9 IP1-IP9
MAC3-MAC1 IP9-IP1
IPSec tunnel tussen gateway 1 en gateway 2, ARPspoof van gateway 1 door de attacker met als target de office PC (target=machine waar men foute ARP tabel invult)
MAC1-MAC2 IP1-IP9
MAC2-MAC3 IP1-IP9
MAC4-MAC5 IP4-IP7 IP1-IP9
MAC8-MAC9 IP1-IP9
MAC3-MAC1 IP9-IP1
IPSec tunnel tussen gateway 1 en gateway 2, IPSec tunnel tussen office PC en mail server, ARPspoof van office PC door de attacker met als target gateway 1
MAC1-MAC3 IP1-IP9 IP1-IP9
MAC1-MAC3 IP1-IP9 IP1-IP9
MAC4-MAC5 IP4-IP7 IP1-IP9 IP1-IP9
MAC8-MAC9 IP1-IP9 IP1-IP9
MAC3-MAC2 IP9-IP1 IP9-IP1
IPSec tunnel tussen gateway 1 en gateway 2, SSH tunnel tussen office PC en mail server, geen ARPspoof
MAC1-MAC3 IP1-IP9
MAC1-MAC3 IP1-IP9
MAC4-MAC5 IP4-IP7 IP1-IP9
MAC8-MAC9 IP1-IP9
MAC3-MAC1 IP9-IP1
IPSec tunnel tussen gateway 1 en gateway 2, IPSec tunnel tussen office PC en router, geen ARPspoof
MAC1-MAC3 IP1-IP5 IP1-IP9
MAC1-MAC3 IP1-IP5 IP1-IP9
MAC4-MAC5 IP1-IP5 IP1-IP9
MAC8-MAC9 IP1-IP9
MAC3-MAC1 IP9-IP1
4
VRAAG 2 : ontwerp van een netwerk De volgende terminals, servers en netwerkcomponenten zijn beschikbaar : - 5 servers (HTTP, FTP, e-mail, DNS, DNS2) die zich in subnetwerk 157.193.122.0/24 bevinden en die Gb/s interfaces hebben. De HTTP en FTP server zijn enkel voor intern gebruik (dus zijn niet toegankelijk vanop het publieke internet). Alle e-mails van het bedrijf moeten via de e-mail server passeren. Alle DNS requests van het bedrijf moeten via de DNS server passeren (of de back-up DNS2). - 40 PC’s en 1 server (HTTP server met de publieke website) in subnetwerk 157.193.123.0/24 - een aansluiting naar het publieke internet met een 100 Mb/s lijn en met IP adres 157.193.124.1 voor het bedrijfsnetwerk (dat door de ISP toegekend is) en met als IP adres van de ISP zelf : 157. 193.124.254 (de gateway van de ISP). - 2 IP routers (Linux PC’s) met elk twee 1 Gb/s interfaces en met firewall functionaliteit. - 10 Ethernet hub’s met elk een 100 Mb/s uplink en elk 20 lokale 100 Mb/s poorten. - 2 Ethernet switches met elk een Gb/s uplink en 6 lokale 100Mb/s poorten. - Om de verschillende servers, PC’s en netwerkcomponenten met elkaar te verbinden heeft men voldoende kabels ter beschikking (zowel “straight” als “crossed”). Enkele bijkomende gegevens : - De PC’s en server in subnetwerk 157.193.123.0/24 moeten kunnen surfen op het publieke internet en daarnaast moeten ze aan alle lokale servers kunnen (maar enkel die poorten die noodzakelijk zijn, men wil het servernetwerk immers ook beschermen tegen interne aanvallen !). De HTTP server met de publieke website moet bovendien toegankelijk zijn vanop het publieke internet. - De 40 gebruiker PC’s maken veel gebruik van de lokale servers in subnetwerk 157.193.122.0/24 (dit is belangrijk bij de configuratie van het netwerk).
5
VRAAG 2 : ontwerp van een netwerk Vragen : (a) Ontwerp de topologie van het netwerk : welke componenten zal men hoe met elkaar verbinden (je hoeft niet alles te gebruiken). Zorg hierbij dat het netwerk zo performant mogelijk is. Geef hierbij duidelijk weer welke interfaces gebruikt worden (up-link of lokale poort). Geef ook weer welk type kabel er gebruikt moet worden (in het interne netwerk, enkel aanduiden als het “crossed” is en dit met een “x”). Verklaar duidelijk uw keuzes. Gebruik de symbolen zoals weergegeven in de figuur. (b) Ken IP addressen toe aan alle interfaces en geef de routeringstabel(len) op voor de router(s) en een PC. (c) Om ervoor te zorgen dat de toegang (servers, PC’s) inderdaad voldoet aan de opgelegde restricties, zal men moeten gebruik maken van firewall(s). Geef de configuratie(s) weer. Maak de regels zo beperkend mogelijk. server PC
router/firewall switch hub
6
VRAAG 2 : ontwerp van een netwerk http ftp E-mail dns dns2
http
1 .1
.2
.3
.4
.100
.5
10
.1
Up
G
Up .122.254
.122.0/24
X
B
Up
.123.254
X
31
.10 Up
.31
Up
40
.40
Up .123.253
G
A
.124.1
.124.254
.123.0/24
subnet
subnetmask
gateway
interface
subnet
subnetmask
gateway
interface
0.0.0.0
/0
.123.253
.123.254
0.0.0.0
/0
.124.254
.124.1
.123.0
/24
.123.254
.123.254
.124.0
/24
.124.1
.124.1
.122.0
/24
.122.254
.122.254
.123.0
/24
.123.253
.123.253
.122.0
/24
.123.254
.123.253
B G = Gbit/s interface Up = Uplink X = crossed cable
subnet
subnetmask
gateway
interface
0.0.0.0
/0
.123.253
.123.1
.123.0
/24
.123.1
.123.1
.122.0
/24
.123.254
.123.1
A PC .1
7
VRAAG 2 : ontwerp van een netwerk protocol
source
destination
ports
ACCEPT
TCP
157.193.123.0/24
0.0.0.0/0
1024:65535 -> 80
ACCEPT
TCP
0.0.0.0/0
157.193.123.0/24
80 -> 1024:65535
ACCEPT
TCP
157.193.123.100/32
0.0.0.0/0
80 ->1024:65535
ACCEPT
TCP
0.0.0.0/0
157.193.123.100/32
1024:65535 -> 80
ACCEPT
TCP
157.193.122.3/32
0.0.0.0/0
1024:65535 -> 25
ACCEPT
TCP
0.0.0.0/0
157.193.122.3/32
25 ->1024:65535
ACCEPT
TCP
157.193.122.3/32
0.0.0.0/0
25 ->1024:65535
ACCEPT
TCP
0.0.0.0/0
157.193.122.3/32
1024:65535 -> 25
ACCEPT
UDP
157.193.122.4/32
0.0.0.0/0
1024:65535 -> 53
ACCEPT
UDP
0.0.0.0/0
157.193.122.4/32
53 ->1024:65535
ACCEPT
UDP
157.193.122.4/32
0.0.0.0/0
53 ->1024:65535
ACCEPT
UDP
0.0.0.0/0
157.193.122.4/32
1024:65535 -> 53
ACCEPT
UDP
157.193.122.5/32
0.0.0.0/0
1024:65535 -> 53
ACCEPT
UDP
0.0.0.0/0
157.193.122.5/32
53 ->1024:65535
ACCEPT
UDP
157.193.122.5/32
0.0.0.0/0
53 ->1024:65535
ACCEPT
UDP
0.0.0.0/0
157.193.122.5/32
1024:65535 -> 53
DENY
ALL
0.0.0.0/0
0.0.0.0/0
N/A
Firewall A
Surfen naar buiten
Publieke website
SMTP naar buiten
SMTP van buiten
DNS naar buiten
DNS van buiten DNS2 naar buiten
DNS2 van buiten Al de rest dicht
8
protocol
source
destination
ports
ACCEPT
TCP
157.193.123.0/24
157.193.122.1/32
1024:65535 -> 80
ACCEPT
TCP
157.193.122.1/32
157.193.123.0/24
80 -> 1024:65535
ACCEPT
TCP
157.193.123.0/24
157.193.122.2/32
1024:65535 -> 20
ACCEPT
TCP
157.193.122.2/32
157.193.123.0/24
20 -> 1024:65535
ACCEPT
TCP
157.193.123.0/24
157.193.122.2/32
1024:65535 -> 21
ACCEPT
TCP
157.193.122.2/32
157.193.123.0/24
21 -> 1024:65535
ACCEPT
TCP
157.193.123.0/24
157.193.122.3/32
1024:65535 -> 110
ACCEPT
TCP
157.193.122.3/32
157.193.123.0/24
110 ->1024:65535
ACCEPT
TCP
157.193.122.3/32
0.0.0.0/0
25 ->1024:65535
ACCEPT
TCP
0.0.0.0/0
157.193.122.3/32
1024:65535 -> 25
DENY
TCP
157.193.123.0/24
157.193.122.3/32
N/A
DENY
TCP
157.193.122.3/32
157.193.123.0/24
N/A
ACCEPT
TCP
157.193.122.3/32
0.0.0.0/0
1024:65535 -> 25
ACCEPT
TCP
0.0.0.0/0
157.193.122.3/32
25 ->1024:65535
ACCEPT
UDP
0.0.0.0/0
157.193.122.4/32
1024:65535 -> 53
ACCEPT
UDP
157.193.122.4/32
0.0.0.0/0
53 ->1024:65535
DENY
UDP
157.193.123.0/24
157.193.122.4/32
N/A
DENY
UDP
157.193.122.4/32
157.193.123.0/24
N/A
ACCEPT
UDP
157.193.122.4/32
0.0.0.0/0
1024:65535 -> 53
ACCEPT
UDP
0.0.0.0/0
157.193.122.4/32
53 ->1024:65535
ACCEPT
UDP
0.0.0.0/0
157.193.122.5/32
1024:65535 -> 53
ACCEPT
UDP
157.193.122.5/32
0.0.0.0/0
53 ->1024:65535
DENY
UDP
157.193.123.0/24
157.193.122.5/32
N/A
DENY
UDP
157.193.122.5/32
157.193.123.0/24
N/A
ACCEPT
UDP
157.193.122.5/32
0.0.0.0/0
1024:65535 -> 53
ACCEPT
UDP
0.0.0.0/0
157.193.122.5/32
53 ->1024:65535
DENY
ALL
0.0.0.0/0
0.0.0.0/0
N/A
Firewall B
Toegang intranet website
Toegang intranet FTP
Toegang POP server (enkel van intranet) Toegang SMTP server (van intranet maar ook van buiten) Via intranet geen andere poorten SMTP naar buiten Toegang DNS server (van intranet maar ook van buiten) Via intranet geen andere poorten Wel DNS naar buiten Toegang DNS2 server (van intranet maar ook van buiten) Via intranet geen andere poorten Wel DNS2 naar buiten Al de rest dicht
9
VRAAG 3 : Netwerkprobleem Probleem 1 "Vanop Scylla is de ftp-site ftp.kernel.org onbereikbaar" Probleem 2 "Vanop Medusa is de ftp-site ftp.kernel.org onbereikbaar" Probleem 3 "Vanop Ares is de ftp-site ftp.kernel.org onbereikbaar"
10
VRAAG 3 : Netwerkprobleem Probleem 1: hoewel alle interface configuraties (Conf. 9) en Route tabellen (Conf 6 , Conf 5 voor typhon en Conf.2 voor hera) in orde zijn, en zelfs de firewall in orde is (Conf.3), is 10.10.10.47 natuurlijk geen publiek IP adres.
Probleem 2 : De interfaces van medusa zijn in orde (conf.4), echter de route tabel niet (conf.7). er is wel een default gateway ingevuld (184.1) maar er bestaat geen route naar 184.0 netwerk, zodat de default gateway onbereikbaar is.
Probleem 3 : Ares, een windows machine, heeft als DNS server 157.193.184.4 (Conf.10). Volgens de opgave mag dit want pegasus (184.4) is backup DNS server (opgave). Echter, in Conf1. is duidelijk te zien dat enkel op de TCP poort 53 een daemon luistert, terwijl DNS wel degelijk (zelfs vooral) UDP 53 gebruikt. Hierbij kan gebruik gemaakt worden van de poortnummer listing in Conf.8
11