Konzeption, Implementierung und Betrieb einer ... - Torsten E. Neck

Konzeption, Implementierung und
Betrieb einer Security-Lösung für ein
Schulungs-Netzwerk
Marcel Janicki
Forschungszentrum Karlsruhe
Juli 2003

Agenda
Netztopolgie der FTU-DMZ vor der Durchführung
Netztopologie der FTU-DMZ nach der Durchführung
Grafische Auswertung des Network Intrusion-
Detection System
Problem: Administration ausgehend von dynamisch
zugewiesenen IP-Adressen
Fazit
Marcel Janicki / Forschungszentrum Karlsruhe / Juli 2003
Konzeption, Implementierung und Betrieb einer Security-Lösung für ein Schulungs-Netzwerk

CIS COSYSTEMS
3Com
3Com
Netztopologie FTU-DMZ
vor der Durchführung
Raum 112
Raum 111
Kursrechner
Twisted Pair
Switch HP ProCurve 2524
141.52.27.202
Twisted Pair
Raum 142
Server
Twisted Pair
Switch 3Com SuperStack 3300
141.52.27.200
Twisted Pair
Raum 115
Raum 116
Raum 119
Kursrechner
Management-
Workstations
Twisted Pair
Switch HP ProCurve 2524
141.52.27.203
Twisted Pair
Erdgeschoß
Kellergeschoß
Raum 039c
RJ45 Port 12
FZK-WAN
bzw. Internet
Cisco Router
141.52.27.1
Bau 141
LWL
Seed-Switch 3Com SuperStack 3300
141.52.27.201
RJ45 Port 11
RJ45 Port 10
Marcel Janicki / Forschungszentrum Karlsruhe / Juli 2003
Konzeption, Implementierung und Betrieb einer Security-Lösung für ein Schulungs-Netzwerk

Media Converter
_ 5VDC. __ __ 1A
+
UP LINK
LINK PWR LINK
SD
RX
TX
CISCOSYSTEMS
3Com
Sniffer Server
monitoring/analysis
Sniffer Server
monitoring/analysis
Netztopologie FTU-DMZ
nach der Durchführung
Marcel Janicki / Forschungszentrum Karlsruhe / Juli 2003
Konzeption, Implementierung und Betrieb einer Security-Lösung für ein Schulungs-Netzwerk

Grafische Auswertung
des Network Intrusion-Detection-System
Marcel Janicki / Forschungszentrum Karlsruhe / Juli 2003
Konzeption, Implementierung und Betrieb einer Security-Lösung für ein Schulungs-Netzwerk

Problem: Administration ausgehend von
dynamisch zugewiesenen IP-Adressen
Auszug aus der ‚pf.conf‘:
table persist { tnhome.ath.cx, mjanicki.ath.cx }
...
## Administration eingehend "dynamischer ip's": NIDS
pass in quick on $extern inet proto tcp from to 141.52.27.245/32 \
port { ssh, http } flags $syn_only modulate state \
label "pass outside-admin-ip's nach $dstaddr:$dstport"
## Administration eingehend "dynamischer ip's": Paket-Filter
pass in quick inet from to $fw_ip modulate state \
label "pass outside-admin-ip's nach $dstaddr"
Cron-Eintrag des Users ‚root‘:
root@ftudmz-fw:~# crontab -l
*/10 * * * * /root/outsideadminhosts.sh >>/dev/null 2>&1
Shellscript ‚outsideadminhosts.sh‘:
#!/bin/sh
/usr/sbin/nslookup tnhome.ath.cx
/usr/sbin/nslookup mjanicki.ath.cx
/sbin/pfctl -t outsideadminhosts -Treplace tnhome.ath.cx mjanicki.ath.cx
Marcel Janicki / Forschungszentrum Karlsruhe / Juli 2003
Konzeption, Implementierung und Betrieb einer Security-Lösung für ein Schulungs-Netzwerk

Fazit
Abschließende Tests verliefen erfolgreich
Die vorgegebene Zeit konnte eingehalten werden
Ziele erreicht
• Geräte sind bestmöglich vor Angriffen geschützt
• Der Netzwerkverkehr wird nach Auffälligkeiten untersucht
Marcel Janicki / Forschungszentrum Karlsruhe / Juli 2003
Konzeption, Implementierung und Betrieb einer Security-Lösung für ein Schulungs-Netzwerk