threaded case study, acacia elmar schlenker a. brickwedde mittwoch, 28. mai 20141 threaded case...
TRANSCRIPT
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 1
Threaded Case Study, Acacia
Threaded Case Study
Alexander Brickwedde
Elmar Schlenker
Fachhochschule Osnabrück
Fachbereich Elektrotechnik und Informatik
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 2
Threaded Case Study, Acacia
Bedingungen und Vorgaben
Zeitrahmen:- für die kommenden 7-10 Jahre geplant
Bandbreite:- Host: min.1Mbps- Server : min.100Mbps
Layer3-Protokolle:- ausschließlich TCP/IP und Novell IPX
LAN-Struktur:- zwei getrennte Netze (Curriculum / Administration )
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 3
Threaded Case Study, Acacia
Bedingungen und Vorgaben
Rechnerräume:- 4 x Cat5-Leitungen (3 x Curr., 1 x Admin.)- 24 x Curriculum, 1 x Administration
Addressing:- alle Admin.-Rechner erhalten statische Adressen- alle Curr.-Rechner erhalten dynamische Adressen per DHCP
Access Control List:- Alle Zugriffe aus dem Internet sind untersagt - Zugriffe aus dem Curr.Netz auf das Admin.Netz sind beschränkt - Zugriff aus dem Admin.Netz auf Hosts im Curr.Netz sind möglich
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 4
Threaded Case Study, Acacia
Räumliche
Aufteilung
1.. 2.. 3.. 4..
5..
6..
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 5
Threaded Case Study, Acacia
MDF to Rm 101 MDF - 101 / 1 HCC 1 / Port 1 Category 5 UTP 40 m usedMDF to Rm 101 MDF - 101 / 2 HCC 2 / Port 1 Category 5 UTP 40 m usedMDF to Rm 101 MDF - 101 / 3 HCC 3 / Port 1 Category 5 UTP 40 m usedMDF to Rm 101 MDF - 101 / 4 HCC 4 / Port 1 Category 5 UTP 40 m usedMDF to Rm 104 MDF - 104 / 1 HCC 1 / Port 2 Category 5 UTP 50 m usedMDF to Rm 104 MDF - 104 / 2 HCC 2 / Port 2 Category 5 UTP 50 m usedMDF to Rm 104 MDF - 104 / 3 HCC 3 / Port 2 Category 5 UTP 50 m usedMDF to Rm 104 MDF - 104 / 4 HCC 4 / Port 2 Category 5 UTP 50 m usedMDF to Rm 105 MDF - 105 / 1 HCC 1 / Port 3 Category 5 UTP 62 m usedMDF to Rm 105 MDF - 105 / 2 HCC 2 / Port 3 Category 5 UTP 62 m usedMDF to Rm 105 MDF - 105 / 3 HCC 3 / Port 3 Category 5 UTP 62 m usedMDF to Rm 105 MDF - 105 / 4 HCC 4 / Port 3 Category 5 UTP 62 m usedMDF to Rm 106 MDF - 106 / 1 HCC 1 / Port 4 Category 5 UTP 64 m usedMDF to Rm 106 MDF - 106 / 2 HCC 2 / Port 4 Category 5 UTP 64 m usedMDF to Rm 106 MDF - 106 / 3 HCC 3 / Port 4 Category 5 UTP 64 m usedMDF to Rm 106 MDF - 106 / 4 HCC 4 / Port 4 Category 5 UTP 64 m used
Auszug aus der Wiring List
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 6
Threaded Case Study, Acacia
Wiring Planschematische Darstellung
Multimode Fiber
Category 5 UTP
IDF: 9 Räume:
27 Ports (Curr.)
9 Ports (Admin.)
MDF:31 Räume:
93 Ports (Curr.)
31 Ports (Admin.)
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 7
Threaded Case Study, Acacia
WAN
80 Port 48 PortVCC
IDF
48 Port
MDF
VCC
100Mbps Multimode Fiber
100Mbps Category 5 UTP
1 2 1
Class-
room
1xAdminnetz 3x8 Curriculumnetz
HCC
HCCHCC
LAN - Topologie
weiterführende Cat5 Leitung
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 8
Threaded Case Study, Acacia
IP-Adressierung
Für die Server und den Gateway zum Internet:IP-Adressen aus dem IP-Bereich des Providers, möglichst 8 IP-Adressen, z.B. 195.243.0.0/29
Für die internen Hosts / Router:IP-Adressen aus dem privaten IP-Bereich192.168.0.0 – 192.168.255.255- sind frei vorgebbar - kostengünstig- über NAT Nutzung im Internet möglich
Trennung des Administrativ- und der Curriculum-Netze über verschiedene IP-Netze:192.168.0.0/17 für Curriculum192.168.128.0/17 für Administration
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 9
Threaded Case Study, Acacia
IP-Adressierung, Server und Gateway
Das öffentlich nutzbare Netz:
Demilitarisierte Zone
- öffentlich verfügbare Services
- intern verfügbare Services
- von außen kein Zugriff auf interne Hosts
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 10
Threaded Case Study, Acacia
IP-Adressierung, Server und Gateway
Die T1-Verbindung zum Internet wirdvom Internetprovider zur Verfügunggestellt, dieser kann IP-Adressen ausseinem Adressraum für den Kundenzur Verfügung stellen. Als Domainnamenehmen wir „schools.net“ an.
8 IP-Adressen, z.B. 195.243.0.0/29
- Gateway zum Internet gate.schools.net 195.243.0.1- Nameserver ns.schools.net 195.243.0.2- Webserver www.schools.net 195.243.0.3
+ www.nameofschool.schools.net- Mailserver mail.schools.net 195.243.0.4- Gateway ins interne Netz router.data.schools.net 195.243.0.5
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 11
Threaded Case Study, Acacia
IP-Adressierung, 3 Stützpunkte
Die drei Backbone-Router werden über jeweils 4xT1-Leitungen zu den beiden anderen Verbunden.
Hier ist externes Equipment notwendig, da die Cisco-Router nicht 4xT1 handeln kann und gleichzeitig 11 T1 Verbindungen zu den Schulen.T1 <-> X.21 Konverter
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 12
Threaded Case Study, Acacia
IP-Adressierung, 3 Stützpunkte
Die Stützpunkte zur Anbindung der Schulen sind jeweils für ein Subnetz aus dem Administrations- und ein Subnetz aus dem Curriculumnetz zuständig
Curriculum, 192.168.0.0/17 - Data-Center 192.168.0.0/20- Service-Center 192.168.16.0/20- Shaw Butte 192.168.32.0/20- die restlichen IP-Adressen aus dem Bereich bleiben frei
Administration, 192.168.128.0/17 - Data-Center 192.168.128.0/20- Service-Center 192.168.144.0/20- Shaw Butte 192.168.160.0/20- die restlichen IP-Adressen aus dem Bereich bleiben frei
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 13
Threaded Case Study, Acacia
IP-Adressierung, 3 Stützpunkte
Das Zusammenfassen der zwei verschiedenen Netze in jeweils einem großen IP-Subnetz verursacht zwar Mehraufwand, hilft aber später bei der Aufstellung der ACL‘s.
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 14
Threaded Case Study, Acacia
IP-Adressierung, am Stützpunkt
In den Stützpunkten wird jeweils ein Ethernet eingerichtet, welches Services (DNS, Mail, WWW) für die angeschlossenen Schulen bereitstellt. Für dieses Netz wird jeweils das erste /24 Subnetz aus dem Admin.-Netz dieses Stützpunktes verwendet.
Beim Service-Center: 192.168.144.0/24
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 15
Threaded Case Study, Acacia
IP-Adressierung, am Stützpunkt
11 von den restlichen 15 /24- Subnetzen aus dem Admin.-Netz als auch die /24-Netze aus dem Curriculum-Netz werden statisch über die T1-Verbindungen zu den Schulen geroutet.
Beim Service-Center:Sunset 192.168.145.0/24
192.168.17.0/24Acacia 192.168.146.0/24
192.168.18.0/24MountainSky 192.168.147.0/24
192.168.19.0/24... ...
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 16
Threaded Case Study, Acacia
IP-Adressierung, an der SchuleDie Router an den Schulen sind
per T1-Leitung an ihren Stützpunkt verbunden und Routen den Verkehr auf zwei verschiedene Ethernet-Interfaces. Eines ist Admin.-Netz, das andere das Curriculum-Netz.
Die lokalen Server haben IP-Adressen aus dem Admin.-Netz.
Hier in Acacia:- DNS 168.192.146.1- Mail 168.192.146.2- WWW 168.192.146.3
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 17
Threaded Case Study, Acacia
IPX-Adressierung
IPX-Netzadressen bestehen bei uns immer aus dem 3.Byte der Netzwerkadresse.
Die WAN-Verbindungen erhalten IPX-Adressen bestehend aus 0x100 + IPX-Adresse des Admin.-Netzes, das verbunden ist.
Data-Center<->Service-Center0000 0190
Service-Center 0000 0090S.-C. <-> Sunset 0000 0191Sunset 0000 0091
0000 0011 S.-C. <-> Acacia 0000 0192Acacia 0000 0092
0000 0012 S.-C. <-> Mount.S. 0000 0193MountainSky 0000 0093
0000 0013... ...
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 18
Threaded Case Study, Acacia
IGRP-Routing
Die Verbindungen zwischen den 3 Backbone-Routern sorgen für Redundanz. Sobald eine der Verbindungen unterbrochen wird sind immer noch alle Hosts erreichbar. Es muss ein Routing-Protokoll verwendet werden. Wie z.B. IGRP
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 19
Threaded Case Study, Acacia
IGRP-Routing
IGRP wird auf allen Routern des Netzes aktiviert, AS-Number soll 100 sein.Z.B. in Acacia:
router igrp 100network 192.168.18.0network 192.168.146.0
Auf dem router.service:
router igrp 100network 192.168.144.0
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 20
Threaded Case Study, Acacia
ACLs, an den SchulenDer Zugriff aus dem Curriculum-Netz auf jedes
der vorhandenen Administrations-Netze ist verboten, bis auf den Zugriff auf die lokalen Server. Zugriff auf das Curriculum-Netz aus einem anderen Curr.-Netz ist verboten.Zugriff aus dem Internet auf eines der Netze ist nicht möglich, da NAT (Network Address Translation) verwendet wird und ACLs Zugriffe verhindern.
Interface Ethernet0 out (Admin):permit ip 168.192.18.0 0.0.0.255 168.192.146.0 0.0.0.3deny ip 168.192.0.0 0.0.127.255 anypermit ip any
Interface Ethernet1 out (Curr):deny ip 168.192.0.0 0.0.127.255 anypermit ip any
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 21
Threaded Case Study, Acacia
ACLs, an den Stützpunkten
Das Netz am Stützpunkt wird von den Servern der angeschlossenen Schulen genutzt und beinhaltet selber Arbeitsplätze. Zugriff aus jeglichem Curriculum-Netz ist untersagt.
Interface Ethernet0 out:deny ip 168.192.0.0 0.0.127.255
anypermit ip any
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 22
Threaded Case Study, Acacia
ACLs, am Data-Center
Das öffentliche Netz im Data-Center steht allen internen Nutzern als auch dem Internet zur Verfügung. Zugriff auf den Router (195.243.0.5), bzw. IP-Verkehr der durch den Router maskiert wird (NAT) ist erlaubt.
Interface Ethernet0 (Public) in:permit ip any host 195.243.0.5 deny ip any
Zusätzlich wird NAT für alle internen Adressen 192.168.0.0/16 aktiviert.
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 23
Threaded Case Study, Acacia
ACLs, am Internet-Gateway
Das öffentliche Netz im Data-Center ist von außen frei erreichbar und sollte deshalb besonders restriktiv gesichert werden, d.h. alle Dienste müssen explizit freigegeben werden.
Interface Ethernet0 (Public) out:permit tcp any host 195.243.0.2 eq 53 permit udp any host 195.243.0.2 eq 53 permit tcp any host 195.243.0.3 eq 80 permit tcp any host 195.243.0.4 eq 25 permit ip any host 195.243.0.5deny ip any
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 24
Threaded Case Study, Acacia
Sicherheit Allgemein
Prinzipiell sollte man sich nicht nur auf ACL‘s verlassen sondern auf sichere Arbeitsplätze achten. Trojaner können die besten ACL‘s, Proxie‘s und Firewall‘s überwinden und so Hintertüren öffnen. Ebenso eigenmächtig installierte Modeme und Fernzugänge.
Zusätzliche Kontrolle über suspekte Vorgänge im Netz bieten netzwerk-basierte Intrusion-Detection-Systeme, welche Trojaner-Traffic, Viren, aktive Angriffe u.v.m. erkennen und melden können. Sogenannte Sensoren, in allen Netzen verteilt, sammeln Daten und übermitteln diese an einen zentralen Server.
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 25
Threaded Case Study, Acacia
Benötigte HardwareAcacia-LAN:
EV-Preise im DMSwitches:
2* Catalyst 2948G 48*10/100 2*1000je 14655 29310
1* Catalyst 2980G 80*10/100 2*100021989
4* 1000BaseSX-Modulje 1262 5048
Hubs:120 FastHub 412 12*10/100
je 2189 262680Router:
1* Cisco 1605-R 3771
1* 1-Port Serial WAN (NM-1T)1009
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 26
Threaded Case Study, Acacia
Backbone-WAN: EV-Preise im DM
Router:3* Cisco 3662 6NM 2*10/100
je 29509 8852715* 4-Port Serial WAN (NM-4T)
je 7566 11349090* X.21-G703-Konverter
je 3190287100
(inkl. DCE an Schulen)
Benötigte Hardware
Elmar SchlenkerA. Brickwedde
Tuesday, April 11, 2023 27
Threaded Case Study, Acacia
Public-Netzwerk: EV-Preise im DM
Router:
1* Cisco 1605-R 3771
1* IOS IP/FW1765
1* 1-Port Serial WAN (NM-1T)1009
Switch:1* Catalyst 2950-12 12*10/100
3656
Benötigte Hardware