Konzeption, Implementierung und Betrieb einer ... - Torsten E. Neck
Konzeption, Implementierung und Betrieb einer ... - Torsten E. Neck
Konzeption, Implementierung und Betrieb einer ... - Torsten E. Neck
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Konzeption</strong>, <strong>Implementierung</strong> <strong>und</strong><br />
<strong>Betrieb</strong> <strong>einer</strong> Security-Lösung für ein<br />
Schulungs-Netzwerk<br />
Marcel Janicki<br />
Forschungszentrum Karlsruhe<br />
Juli 2003
Agenda<br />
Netztopolgie der FTU-DMZ vor der Durchführung<br />
Netztopologie der FTU-DMZ nach der Durchführung<br />
Grafische Auswertung des Network Intrusion-<br />
Detection System<br />
Problem: Administration ausgehend von dynamisch<br />
zugewiesenen IP-Adressen<br />
Fazit<br />
Marcel Janicki / Forschungszentrum Karlsruhe / Juli 2003<br />
<strong>Konzeption</strong>, <strong>Implementierung</strong> <strong>und</strong> <strong>Betrieb</strong> <strong>einer</strong> Security-Lösung für ein Schulungs-Netzwerk
CIS COSYSTEMS<br />
3Com<br />
3Com<br />
Netztopologie FTU-DMZ<br />
vor der Durchführung<br />
Raum 112<br />
Raum 111<br />
Kursrechner<br />
Twisted Pair<br />
Switch HP ProCurve 2524<br />
141.52.27.202<br />
Twisted Pair<br />
Raum 142<br />
Server<br />
Twisted Pair<br />
Switch 3Com SuperStack 3300<br />
141.52.27.200<br />
Twisted Pair<br />
Raum 115<br />
Raum 116<br />
Raum 119<br />
Kursrechner<br />
Management-<br />
Workstations<br />
Twisted Pair<br />
Switch HP ProCurve 2524<br />
141.52.27.203<br />
Twisted Pair<br />
Erdgeschoß<br />
Kellergeschoß<br />
Raum 039c<br />
RJ45 Port 12<br />
FZK-WAN<br />
bzw. Internet<br />
Cisco Router<br />
141.52.27.1<br />
Bau 141<br />
LWL<br />
Seed-Switch 3Com SuperStack 3300<br />
141.52.27.201<br />
RJ45 Port 11<br />
RJ45 Port 10<br />
Marcel Janicki / Forschungszentrum Karlsruhe / Juli 2003<br />
<strong>Konzeption</strong>, <strong>Implementierung</strong> <strong>und</strong> <strong>Betrieb</strong> <strong>einer</strong> Security-Lösung für ein Schulungs-Netzwerk
Media Converter<br />
_ 5VDC. __ __ 1A<br />
+<br />
UP LINK<br />
LINK PWR LINK<br />
SD<br />
RX<br />
TX<br />
CISCOSYSTEMS<br />
3Com<br />
Sniffer Server<br />
monitoring/analysis<br />
Sniffer Server<br />
monitoring/analysis<br />
Netztopologie FTU-DMZ<br />
nach der Durchführung<br />
Marcel Janicki / Forschungszentrum Karlsruhe / Juli 2003<br />
<strong>Konzeption</strong>, <strong>Implementierung</strong> <strong>und</strong> <strong>Betrieb</strong> <strong>einer</strong> Security-Lösung für ein Schulungs-Netzwerk
Grafische Auswertung<br />
des Network Intrusion-Detection-System<br />
Marcel Janicki / Forschungszentrum Karlsruhe / Juli 2003<br />
<strong>Konzeption</strong>, <strong>Implementierung</strong> <strong>und</strong> <strong>Betrieb</strong> <strong>einer</strong> Security-Lösung für ein Schulungs-Netzwerk
Problem: Administration ausgehend von<br />
dynamisch zugewiesenen IP-Adressen<br />
Auszug aus der ‚pf.conf‘:<br />
table persist { tnhome.ath.cx, mjanicki.ath.cx }<br />
...<br />
## Administration eingehend "dynamischer ip's": NIDS<br />
pass in quick on $extern inet proto tcp from to 141.52.27.245/32 \<br />
port { ssh, http } flags $syn_only modulate state \<br />
label "pass outside-admin-ip's nach $dstaddr:$dstport"<br />
## Administration eingehend "dynamischer ip's": Paket-Filter<br />
pass in quick inet from to $fw_ip modulate state \<br />
label "pass outside-admin-ip's nach $dstaddr"<br />
Cron-Eintrag des Users ‚root‘:<br />
root@ftudmz-fw:~# crontab -l<br />
*/10 * * * * /root/outsideadminhosts.sh >>/dev/null 2>&1<br />
Shellscript ‚outsideadminhosts.sh‘:<br />
#!/bin/sh<br />
/usr/sbin/nslookup tnhome.ath.cx<br />
/usr/sbin/nslookup mjanicki.ath.cx<br />
/sbin/pfctl -t outsideadminhosts -Treplace tnhome.ath.cx mjanicki.ath.cx<br />
Marcel Janicki / Forschungszentrum Karlsruhe / Juli 2003<br />
<strong>Konzeption</strong>, <strong>Implementierung</strong> <strong>und</strong> <strong>Betrieb</strong> <strong>einer</strong> Security-Lösung für ein Schulungs-Netzwerk
Fazit<br />
Abschließende Tests verliefen erfolgreich<br />
Die vorgegebene Zeit konnte eingehalten werden<br />
Ziele erreicht<br />
• Geräte sind bestmöglich vor Angriffen geschützt<br />
• Der Netzwerkverkehr wird nach Auffälligkeiten untersucht<br />
Marcel Janicki / Forschungszentrum Karlsruhe / Juli 2003<br />
<strong>Konzeption</strong>, <strong>Implementierung</strong> <strong>und</strong> <strong>Betrieb</strong> <strong>einer</strong> Security-Lösung für ein Schulungs-Netzwerk