IPCop

Protokoll Nr. 0

Abteilung Höhere Technische Bundeslehranstalt

Fischergasse 30 A-4600 Wels IT

Protokoll

Übungs Nr.: 0 Titel der Übung: Abschlussübung - IPCop

Katalog Nr.: 3 Verfasser: Christian Bartl Jahrgang: 4 AIT

An dieser Übung haben mitgearbeitet:

Sebastian Hochgatterer Gruppe: B

Datum der Übung: 01.06.2006

Abgabe Datum: 01.06.2006

Übungsleiter: Prof. Sander, Prof. Hell

Übungsmaterial:

Wechselfestplatte (B-19) Schulrechner Ftp-Server mit IPCop-Image

Beurteilung:

NWSY Übung Nr.: 12 Seite 1

Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012

IPCOP – The bad packets stop here!

Aufgabenstellung

Client IP Range: 192.168.3.10 -192.168.3.100 255.255.255.0

Netzwerk: REDIP:192.168.4.XXX

Subnet: 255.255.255.0Gateway: 192.168.4.254

DNS: 192.168.1.129

Netzwerk: GREENIP:192.168.1.XXX

Subnet: 255.255.255.XXXGateway: 192.168.1.254

DNS: 192.168.1.129

Netzwerk: BLUEIP:192.168.3.XXX

Subnet: 255.255.255.0Gateway: 192.168.3.254

DNS: 192.168.1.129

OR-WEB-LIXIP: 192.168.2.250255.255.255.0

OR-EX-WINIP: 192.168.2.251255.255.255.0

OR-CAT1-CISIP: 192.168.2.241255.255.255.0

Netzwerk: ORANGEIP:192.168.2.XXX

Subnet: 255.255.255.0Gateway: 192.168.2.254

DNS: 192.168.1.129

RE-ROU1-CISFA0/0: 172.16.56.81

255.255.254.0Serial0/0: 192.168.5.1

255.255.255.0

RE-ROU2-CISFA0/0: 192.168.4.254

255.255.255.0Serial0: 192.168.5.2

255.255.255.0

10/100 ETHE RNET 0/0 CONSOLE AUX10/100 ETHERNET 0/1

W1 265

1X

M

W0FDXLINK100 MbpsFDXLINK100 Mbps


W1 265

1X

M


Serielle Verbindung


W1 265

1X

M


SYST RPS

STRT DUPLXSPEE DUTIL

MODE

Catalyst 2950SERIES

1 2

3

4

5

6

7

8

9

10

11

12

1

2

15

16

17

18

19

20

21

22

23

24

13

14

GR-CAT2-CISIP: 192.168.1.241255.255.255.240

GR-ROU3-CISIN: 192.168.1.242255.255.255.240

GR-TER-LIXIP: 192.168.1.126255.255.255.192

GR-AD-WINIP: 192.168.1.129 255.255.255.128

GR-FIL-LIXIP: 192.168.1.130255.255.255.128

GR-PRI1-WINIP: 192.168.1.193255.255.255.224

Client IP Range: 192.168.1.1 - 192.168.1.125 255.255.255.192

Vlan 10 ServerVlan 20 ClientVlan 30 Printer

SYST RPS

STRT DUPLXSPEEDUTIL

MODE

Catalyst 2950 SERIES

1 2

3

4

5

6

7

8

9

10

11

12

1

2

15

16

17

18

19

20

21

22

23

24

13

14

Netzwerk & Domain Plan

RE-COP-LIXIP RED: 192.168.4.250IP GREEN: 192.168.1.254IP BLUE: 192.168.3.254IP ORAGNGE: 192.168.2.254255.255.255.0

Domain Model

AT

Firma

WEB(OU)

Wlan-Client (OU)

Verwaltung (OU)

Printer(OU)

Client(OU)

Server(OU)

Netzwerkgeräte (OU)

OR-WEB-LIX

OR-EX-WIN

GR-AD-WINRE-COP-LIX

GR-FIL-LIX GR-TER-LIX GR-PRI1-WIN

GR-CAT2-

CIS

RE-ROU1-CIS

RE-ROU2-CIS GR-ROU3-CIS

OR-CAT1-

CIS

BL-AIR-WIN

Client

Printer

Server

Frei

Netzwerk

0

128

192

224

240

255

VLSM192.168.1.xxx

192.168.1.000 – 192.168.1.127 /25192.168.1.128 – 192.168.1.191 /26192.168.1.192 – 192.168.1.223 /27192.168.1.224 – 192.168.1.239 /28192.168.1.240 – 192.168.1.255 /28

BL-AIR-WINIP: 192.168.3.250

255.255.255.0

Internet(Schulnetzwerk)

IP: 172.16.57.XXX

Obige Grafik zeigt den Aufbau der Übung. Es ist ein Rechner mit der Linux Distribution IPCop zu installieren. Danach müssen über das von der Distribution angebotene Webinterface die verschiedenen Schnittstellen und Regeln konfiguriert werden. Schnittstellenkonfiguration: RED: 192.168.4.250 255.255.255.0 ORANGE: 192.168.2.254 255.255.255.0 BLUE: 192.168.3.254 255.255.255.0 GREEN: 192.168.1.254 255.255.255.0



IPCOP PCop ist eine freie Linux-Distribution, die in erster Linie als Router und Firewall fungiert. Darüber hinaus bietet die Distribution noch ausgewählte Server-Dienste an. Sie basiert auf der freien GPL-Version von Smoothwall und kann um zusätzliche Funktionen erweitert werden.

Server-Dienste Der IPCop stellt direkt nach der Installation einen Router, eine funktionierende Firewall, einen Proxy-Server (Squid), einen DHCP-Server, einen Caching-Nameserver (dnsmasq) sowie ein Intrusion Detection System (Snort) bereit. Weitere Funktionen wie Traffic-Shaping, VPN und Dynamic DNS sind vorhanden.

Systemvoraussetzungen Die benötigte Rechenleistung des PCs richtet sich nach dem Einsatzbereich. Es reichen allerdings schon 133 MHz mit 32 MByte Ram (besser 64 MByte) aus. Es werden mindestens 2 Netzwerkkarten benötigt (PCI, ISA oder VL-Bus), eine für den Anschluss von DSL (oder anderen Router), eine zum Anschluss ans LAN. Die Rechenleistung bei privatem Gebrauch kann auch schon ein 486er übernehmen, wenn man Squid und die IDS abschaltet.

Schnittstellen IPCop unterscheidet zwischen verschieden farbigen Netzwerken. Das grüne Netzwerk stellt das eigene LAN dar, das rote Netzwerk symbolisiert das "ungeschützte" Internet. Ein eventuell vorhandenes WLAN-Netzwerk wird durch die Farbe blau symbolisiert, während orange die "DMZ" (Demilitarized Zone) darstellt. Diese wird für Server verwendet, die aus dem Internet erreichbar sein sollen (Webserver, FTP-Server, etc.). Würde nun dieses Netzwerk erfolgreich angegriffen (kompromittiert), sind die anderen Netzwerke davon unabhängig geschützt. Für jedes Netzwerk, das verwendet wird, wird eine eigene Netzwerkkarte mit IP-Adresse benötigt. Es ist nicht erforderlich, jedes Netzwerk zu verwenden. Ist kein WLAN vorhanden, existiert einfach kein blaues Netzwerk. Ist kein Webserver (o. ä.) vorhanden, wird keine DMZ, also kein oranges Netzwerk benötigt.



Webinterface Konfiguriert wird der IPCop über ein Webinterface, zu erreichen über http://SERVERNAME:81 oder über SSL auf https://SERVERNAME:445. Alternativ zum Servernamen natürlich auch über dessen IP-Adresse. Über dieses Webinterface werden dann Dinge wie Port-Weiterleitung, öffnen von Ports ("Externer Zugang"), Proxy- und DHCP-Server, aber auch DDNS (Dynamisches DNS), Traffic-Shaping, IDS und Zeitserver (NTP) konfiguriert. Des Weiteren erhält man über das Webinterface Zugriff auf die verschiedenen LOG-Dateien und deren Auswertungen, die als Grafiken bereitgestellt werden. Auf der Unix-Shell kann der geneigte Benutzer (und Linux-Kenner) natürlich auch zugreifen um tiefergehende Konfigurationen zu erstellen bzw. zu ändern. Dies ist aber nur selten nötig. Der Zugriff erfolgt hierbei dann per SSH auf Port 222. Die Möglichkeiten des IPCop lassen sich über Add-Ons deutlich erweitern und den individuellen Bedürfnissen des Netzwerks anpassen. Als Beispiel seien hier genannt:

ein "URL-Filter", der beliebte Dateimanager "mc" (Midnight Commander), der Editor "Joe", ein layer7-Filter, P2P-Blocks über Content-Filtering, QoS-Add-Ons, oder auch ein "Advanced Proxy".

Links zu mittlerweile wöchentlich erscheinenden Add-Ons sind auf der offiziellen Internetseite von IPCop zu finden.

IPCop in virtueller Maschine / User Mode Linux Die Zeitschrift c't aus dem Heise-Verlag hat im Rahmen eines Server-Projekts den "c't-Debian-Server" vorgestellt, in dem IPCop in User Mode Linux (UML), einer virtuellen Maschine unter Linux, läuft. Dies spart einen zweiten Rechner für die Firewall ein, wird von vielen Fachleuten jedoch als unsicher eingestuft, da ein Angreifer die Kontrolle über den kompletten Rechner übernehmen könnte (Siehe Artikel bei IPcop-Forum.de). Das Risiko ist nicht auszuschließen, aber die Angriffswege sind recht unwahrscheinlich:

Der Angreifer findet und nutzt einen Fehler im Bridging-Code zur virtuellen Maschine und hat damit direkte Kontrolle über den Rechner erlangt. – Der Bridge-Code soll die Daten nur zwischen den Netzwerken weiterreichen, ohne in irgendeiner Art die Daten zu interpretieren. Damit sollte der Bridge-Code über das Netzwerk nicht angreifbar sein.

Der Angreifer findet und nutzt einen Fehler im IPCop, um Kontrolle über die virtuelle Maschine zu erlangen, und greift dann mit "bewährten Mitteln" über das Netzwerk den Rechner an. – Dieses Szenario ist der GAU für eine Firewall, bei dem die Firewall selbst vom Angreifer für einen Angriff benutzt wird. Hier besteht auch kein Unterschied mehr zwischen einer Firewall auf eigener Hardware und einer Firewall in einer virtuellen Maschine.

Der Angreifer findet und nutzt einen Fehler im IPCop, um Kontrolle über die virtuelle Maschine zu erlangen, und findet und nutzt dann einen Fehler im User Mode Linux, um aus der virtuellen Maschine auszubrechen, und schließlich findet und nutzt einen Fehler im Host-Betriebssystem (das direkt auf der Hardware läuft), um die Kontrolle über den Rechner zu erlangen. – Drei kaskadierte Fehler sind sehr unwahrscheinlich. Auch hier tritt wieder der Firewall-GAU auf, der Angreifer nutzt die Firewall als Plattform für einen weiteren Angriff.



Ein deutlich höheres Risiko besteht jedoch, wenn neben der Firewall weitere Server-Anwendungen (insbesondere Webserver) auf der gleichen Hardware laufen, wie es auch im c‘t-Debian-Server der Fall sein kann. Ein Angreifer, der durch einen Fehler in diesen Server-Anwendungen innerhalb der virtuellen Maschine Administrator-Rechte erlangt, könnte durch einen weiteren Fehler in der Virtualisierungssoftware auch Administrator-Rechte im Hostsystem bekommen. Dann ist auch der Weg zur Modifikation der virtuellen Maschine der Firewall frei. Da gerade in Webservern ständig Fehler gefunden werden, müsste man auf die Fehlerfreiheit der im Allgemeinen recht komplexen Virtualisierungssoftware bauen (dies gilt für UML, aber genauso für z.B. VMware, Xen, QEMU). Dies ist durchaus kein unrealistisches Szenario, Firewalls in virtuellen Maschinen sollten deshalb nur dann eingesetzt werden, wenn man wirklich weiss was man tut.

Installation Ein fertiges ISO-Image für eine Boot-CD ist auf der Homepage erhältlich. Sollte man kein CD-ROM in seinem PC haben, kann man auch mit Boot-Diskette starten und die restlichen Daten über HTTP/FTP-Server herunterladen. Die Installation gestaltet sich auch für Linux-Laien als sehr einfach, da sie sich weitestgehend selbständig installiert und von Anfang an eine sichere Grundkonfiguration bietet. Prinzip: Vom eigenen Netzwerk zum Internet ist alles offen, vom Internet ins eigene Netzwerk ist alles geschlossen. Grundsätzliches Know-How in Sachen "Netzwerk" und "Protokolle" ist beim Benutzer dennoch nötig. Hilfreiche Links: http://www.ipcop.org/ http://de.wikipedia.org/wiki/IPCop

http://www.ipcop-forum.de/manuals/online/ipcop-admin-de-1.4.x/ipcop-admin-de.html http://www.ipcop-forum.de/manuals/online/ipcop-install-de-1.4.x/ipcop-install-de.html



Installation

Vorraussetzung: CD-Rom PXE-Bootserver und Ftp- oder Http-Server mit dem CD-Image

Grundinstallation Um die Installation zu starten booten Sie entweder per CD oder aus dem Netzwerk. Danach erscheint folgender Bildschirm. Drücken Sie die Eingabetaste um die Installation zu starten.

Im ersten Schritt der Installation wählen Sie die Sprache für die Installation und das spätere System aus.

.



Als nächstes erscheint der Begrüßungsbildschirm, der aber gleichzeitig eine Warnung enthält. Sollten Sie während der nächste Schritte des Installationsprogramms auf Abbrechen drücken. So wird die komplette Installation abgebrochen und unbrauchbar.

Nun müssen Sie das Installationsmedium wählen. Diese Auswahl ist unabhängig davon ob Sie zuvor per CD oder per Netzwerk gebootet haben.

Entscheiden Sie sich für eine Installation per Netzwerk, so ist der nächste Schritt das konfigurieren der Netzwerkschnittstelle mit der Sie die Daten aus dem Netzwerk empfangen möchten/können.



Nach erfolgreicher automatischer Erkennung kommt hoffentlich eine Erfolgsmeldung nach der es weiter geht. Ansonsten müssen die Netzwerkkarten manuell ausgewählt werden.

Nun muss die Ip-Adresse für die Green-Schnittstelle vergeben werden. Dies ist die Schnittstelle über die IPCop die Packete für die Netzwerkinstallation empfangen wird.

Als nächstes geben Sie die Url und den Pfad zum Http- oder Ftp-Server ein der die Packte bzw. das Image enthält.



Vor der endgültigen Installation haben Sie noch einmal die Möglichkeit das Setup abzubrechen. IPCop bietet keine Möglichkeit die Festplatte zu partitionieren. Es wird die komplette Platte formatiert und automatisch partitioniert. Sollten Sie dies nicht wünschen brechen Sie das Setup ab und bauen Sie eine eigene Festplatte für IPCop ein.

Nun werden alle Dateien kopiert und installiert.

Vor Ende der Installation haben Sie noch die Möglichkeit Systemeinstellungen mit Hilfe einer Diskette einzuspielen. Sollten Sie dies nicht wünschen so wählen Sie den Punkt Überspringen aus.



Der erste Teil der Installation ist geschafft.

Grundkonfiguration Nun folgt die Grundkonfiguration des Systems. Wählen Sie zunächst den Tastatur-Typ aus.

Außerdem muss die aktuelle Zeitzone ausgewählt werden.



Im nächsten Schritt vergeben Sie bitte den Hostnamen des Rechners.

Der Domainname ist das nächste Attribut, das abgefragt wird. Dabei kann falls vorhanden der Domainname verwenden werden. Vielleicht ist dies aber auch eine schlechte Idee und es kann aus Sicherheitsgründen auch irgendein anderer vergeben werden, solang sie einen externen DHCP-Server verwenden.

Der nächste Schritt dient zur Konfiguration einer eventuell vorhandenen ISDN-Karte. Ist eine solche nicht vorhanden wählen Sie den Punkt „ISDN deaktivieren“.



Nun erfolgt die Netzwerkkonfiguration, hier sollten Sie vorsichtig sein und bereits einen Plan ihres Netzwerkes vor sich haben um alle Schnittstellen richtig zuzuordnen und zu konfigurieren.

Im Punkt „Typ der Netzwerkkonfiguration“ wählen Sie die Schnittstellen aus die Sie benötigen/verwenden möchten. Gehen Sie mit OK zurück zur Netzwerkkonfiguration

Im Punkt „Treiber- und Karten-Zuordnung“ teilen Sie jeder Karte ein Netzwerk zu.



Dazu wählen Sie zunächst die Karte aus und dann danach das Netz.

Wiederholen Sie dies für jede Karte, bis die Meldung „Alle Karten wurden erfolgreich zugeordnet“ erscheint. Gehen Sie zurück zur Netzwerkkonfiguration.

Als nächstes nehmen Sie die „Adress-Einstellungen“ vor.



Dazu wählen Sie wieder eine Schnittstelle nach der Anderen aus und vergeben dafür die IP-Adresse und Subnetmask. Wiederholen sie dies für alle Schnittstellen.

Die Red-Schnittstelle ist die Schnittstelle nach außen. Wählen Sie hier die Art des Bezuges der Netzwerkadresse aus und vergeben Sie sie dann gegebenenfalls manuell.

Beim ändern der IP-Adresse der Green-Schnittstelle bekommen Sie eine Warnung zurück, da über diese Schnittstelle auch das Konfigurationsinterface aufgerufen wird. Da wir hier aber direkt am Host arbeiten, können wir die Meldung ignorieren.



Der letzte Punkt der Netzwerkkonfiguration sind die „DNS- und Gateway-Einstellungen“.

Vergeben Sie in folgendem Dialog die Adresse ihres DNS-Servers bzw. die des Standardgateways.

Schließen Sie durch Auswählen von „Fertig“ die Netzwerkkonfiguration ab.



Der nächste Schritt ist die Konfiguration des integrierten DHCP-Servers. Je nachdem ob Sie bereits einen in ihrem Netzwerk haben oder einen benötigen oder eben nicht können Sie diesen aktivieren.

Zum Schluss der Installation werden nun die Passwörter für den Zugriff vergeben. Geben Sie zunächst das Root-Passwort für den Zugriff auf dem Host und die Grundkonfiguration ein.

Nun vergeben Sie ein Passwort für den Benutzer Admin, der für den Zugriff auf das Webinterface dient.



Gratulation! Sie haben es geschafft. IPCop wurde erfolgreich auf ihrem System installiert.

IPCop besitzt keine grafische Oberfläche. Die Konfiguration erfolgt per Webinterface. Siehe dazu den Abschnitt Konfiguration dieses Protokolls.



Konfiguration Um IPCop per Webinterface zu konfigurieren, muss der Rechner im Green-Netz hängen. Der Zugriff erfolgt über https://192.168.1.254:445. Zugangsdaten:

root cisco1234 admin cisco123

Es war keine weitere Konfiguration nötig, da bereits die Standardkonfiguration einwandfrei funktionierte.

Webinterface

IPCop

Documents

Transcript of IPCop