Threaded Case Study Alexander Brickwedde Elmar Schlenker

Slides:



Advertisements
Ähnliche Präsentationen
Aufbau eines Netzwerkes
Advertisements

Von Hubs zu VLANs.
Powerpoint-Präsentation
Sichere Anbindung kleiner Netze ans Internet
für das Schulnetz der BS Roth
Präsentation von Daniel Hörl
Die Firewall in der Musterlösung
Wie kann ich die Bundespolitik und damit die Bundesgesetze beeinflussen? Wahl zum Bundestag
Projekt Netzwerk von Tobias Dickel, Moritz Gesing, Daniel Jochem, Matthias Meister, Marc Nue und Moritz Raasch.
Kirsten Kropmanns Allgemeine Technologien II 21. April 2009
C.M. Presents D.A.R. und Ein Bisschen dies und das!
Dr. Hergen Scheck, BBS Lüchow, 2003
Technische Informatik II Vorlesung 12bis: Mehr über Security Sommersemester 2001 Prof. Peter B. Ladkin PhD Universität Bielefeld.
Universitätsrechenzentrum Heidelberg Hartmuth Heldt HD-Net Backbone 1 HD-Net Backbone Stand: 1/2003.
Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.
Fli4l Der Ein-Disketten-Router von Sebastian Röhl von Sebastian Röhl.
Der IPCOP-Router Bastian Neubarth
Einführung in die Technik des Internets
Strukturierte Verkabelung
CCNA2 – Module 11 Access Control Lists
Netzwerkkomponenten (Hardware)
Internet Protocol [IP] Adressen und Adressklassen
Intrusion Detection Systems
Netzwerktechnik Wiederholung Mag. Sabine Tullits.
DNS Domain Name System oder Domain Name Service
IP Adresse / DNS / URL Bernd Liebenwein.
Das Internet.
Mit Schülern ein internetfähiges Netzwerk aufbauen
Schützen, aber wie ? Firewalls wie wir sie kennen.
Test Netzwerke 1 Grundlagen.
BarricadeTM g 2.4GHz 54Mbit/s Wireless Breitband Router
Begriffe -Technische Geräte
Ein Leitfaden durch die Geschichte des Internets
Freifach Netzwerktechnik mit Übungen
UND NOCH EIN PAAR BEGRIFFE…
Winkel-Dreiecke Elke Schnelle
Netzwerke Ein Referat.
SBO Erleichterung?! Arbeitserleichterung bei der Erstellung des Spielberichts Zugriff auf elektronisch vorhandene konsistente Daten im DFBnet Zugriff auf.
Präsentation von Lukas Sulzer
(c) JÄGER Datentechnik KG Steuerung von Anlagen neu definieren JDINT-001 Intelligentes Zusammenspiel von Hard- und Software Günstiges Verhältnis.
Grundlagen der Netzwerktechnik
Warum gibt es Netzwerke?
Was ist eine Datenbank „MS Access“
Netzwerke.
CCNA2 – Module 9 Basic Router Troubleshooting
Vernetzung von Rechnern
Routing Instabilitäten
IV2 Netzwerk Grundlagen Mag. Dr. Peter Bodenwinkler
Meldungen über Ethernet mit FINS/UDP
Netzwerke.
SMC2804WBRP-G Barricade g 2.4GHz 54Mbps Wireless Barricade Breitband Router mit USB Print Server SMC2804WBRP-G
Adressierung in Netzwerken
Sachbearbeiter/in Administration
Netz mit 2 Rechnern Crossover-Kabel / /24.
Universität Stuttgart Enforcing Constraints and Triggers for Active Data Services Xiaolong Wan Abschlußpräsentation:
Konfiguration zu W2K3S Server
Congrès BPW Int International Congress Center, Jeju, Südkorea Congrès BPW Int
Herzlich Willkommen am Tag der offenen Tür!
best practice Thesen zum Breitbandausbau
IPv6 Von Judith Weerda Diese Vorlage kann als Ausgangspunkt für die Präsentation von Schulungsmaterialien in einer Gruppensitzung dienen. Abschnitte.
Lehrabend September 2014 Handspiel in aktueller Auslegung
Seite 1 Prof. J. WALTER Kurstitel Stand: Oktober 2001 info Netzwerke Prof. J. Walter.
Lösungen 1. Zu einem Dienst gehören immer: Diensterbringer (Server), Dienstbenutzer (Client) und Protokoll.
Kirsten Kropmanns Allgemeine Technologien II 9. März 2009
Aufbau eines Netzwerkes
IP-Adressen Bildung von Subnetzen Ein Switch teilt das Netzwerk in einzelne Segmente auf (Mikrosegmentierung). Sendet nun ein PC Daten zum Switch, so werden.
Aktive Komponenten Strukturierungs- und Koppelelemente.
LINUX II Harald Wegscheider
Ich brauche eine Web-Seite vom Server im Internet
 Präsentation transkript:

Threaded Case Study Alexander Brickwedde Elmar Schlenker Fachhochschule Osnabrück Fachbereich Elektrotechnik und Informatik Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

Bedingungen und Vorgaben Zeitrahmen: - für die kommenden 7-10 Jahre geplant Bandbreite: - Host: min.1Mbps - Server : min.100Mbps Layer3-Protokolle: - ausschließlich TCP/IP und Novell IPX LAN-Struktur: - zwei getrennte Netze (Curriculum / Administration ) Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

Bedingungen und Vorgaben Rechnerräume: - 4 x Cat5-Leitungen (3 x Curr., 1 x Admin.) - 24 x Curriculum, 1 x Administration Addressing: - alle Admin.-Rechner erhalten statische Adressen - alle Curr.-Rechner erhalten dynamische Adressen per DHCP Access Control List: - Alle Zugriffe aus dem Internet sind untersagt - Zugriffe aus dem Curr.Netz auf das Admin.Netz sind beschränkt - Zugriff aus dem Admin.Netz auf Hosts im Curr.Netz sind möglich Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

Räumliche Aufteilung 1.. 2.. 3.. 4.. 5.. 6.. Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

Auszug aus der Wiring List Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

schematische Darstellung Wiring Plan schematische Darstellung MDF: 31 Räume: 93 Ports (Curr.) 31 Ports (Admin.) IDF: 9 Räume: 27 Ports (Curr.) 9 Ports (Admin.) Multimode Fiber Category 5 UTP Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

LAN - Topologie WAN MDF IDF Class- room 100Mbps Multimode Fiber 2 VCC VCC 80 Port 48 Port 48 Port HCC HCC MDF IDF Class- room 100Mbps Multimode Fiber HCC 100Mbps Category 5 UTP weiterführende Cat5 Leitung 1xAdminnetz 3x8 Curriculumnetz Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

IP-Adressierung Für die Server und den Gateway zum Internet: IP-Adressen aus dem IP-Bereich des Providers, möglichst 8 IP-Adressen, z.B. 195.243.0.0/29 Für die internen Hosts / Router: IP-Adressen aus dem privaten IP-Bereich 192.168.0.0 – 192.168.255.255 - sind frei vorgebbar - kostengünstig - über NAT Nutzung im Internet möglich Trennung des Administrativ- und der Curriculum-Netze über verschiedene IP-Netze: 192.168.0.0/17 für Curriculum 192.168.128.0/17 für Administration Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

IP-Adressierung, Server und Gateway Das öffentlich nutzbare Netz: Demilitarisierte Zone - öffentlich verfügbare Services - intern verfügbare Services - von außen kein Zugriff auf interne Hosts Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

IP-Adressierung, Server und Gateway Die T1-Verbindung zum Internet wird vom Internetprovider zur Verfügung gestellt, dieser kann IP-Adressen aus seinem Adressraum für den Kunden zur Verfügung stellen. Als Domainname nehmen wir „schools.net“ an. 8 IP-Adressen, z.B. 195.243.0.0/29 - Gateway zum Internet gate.schools.net 195.243.0.1 - Nameserver ns.schools.net 195.243.0.2 - Webserver www.schools.net 195.243.0.3 + www.nameofschool.schools.net - Mailserver mail.schools.net 195.243.0.4 - Gateway ins interne Netz router.data.schools.net 195.243.0.5 Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

IP-Adressierung, 3 Stützpunkte Die drei Backbone-Router werden über jeweils 4xT1-Leitungen zu den beiden anderen Verbunden. Hier ist externes Equipment notwendig, da die Cisco-Router nicht 4xT1 handeln kann und gleichzeitig 11 T1 Verbindungen zu den Schulen. T1 <-> X.21 Konverter Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

IP-Adressierung, 3 Stützpunkte Die Stützpunkte zur Anbindung der Schulen sind jeweils für ein Subnetz aus dem Administrations- und ein Subnetz aus dem Curriculumnetz zuständig Curriculum, 192.168.0.0/17 - Data-Center 192.168.0.0/20 - Service-Center 192.168.16.0/20 - Shaw Butte 192.168.32.0/20 - die restlichen IP-Adressen aus dem Bereich bleiben frei Administration, 192.168.128.0/17 - Data-Center 192.168.128.0/20 - Service-Center 192.168.144.0/20 - Shaw Butte 192.168.160.0/20 - die restlichen IP-Adressen aus dem Bereich bleiben frei Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

IP-Adressierung, 3 Stützpunkte Das Zusammenfassen der zwei verschiedenen Netze in jeweils einem großen IP-Subnetz verursacht zwar Mehraufwand, hilft aber später bei der Aufstellung der ACL‘s. Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

IP-Adressierung, am Stützpunkt In den Stützpunkten wird jeweils ein Ethernet eingerichtet, welches Services (DNS, Mail, WWW) für die angeschlossenen Schulen bereitstellt. Für dieses Netz wird jeweils das erste /24 Subnetz aus dem Admin.-Netz dieses Stützpunktes verwendet. Beim Service-Center: 192.168.144.0/24 Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

IP-Adressierung, am Stützpunkt 11 von den restlichen 15 /24- Subnetzen aus dem Admin.-Netz als auch die /24-Netze aus dem Curriculum-Netz werden statisch über die T1-Verbindungen zu den Schulen geroutet. Beim Service-Center: Sunset 192.168.145.0/24 192.168.17.0/24 Acacia 192.168.146.0/24 192.168.18.0/24 MountainSky 192.168.147.0/24 192.168.19.0/24 ... ... Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

IP-Adressierung, an der Schule Die Router an den Schulen sind per T1-Leitung an ihren Stützpunkt verbunden und Routen den Verkehr auf zwei verschiedene Ethernet-Interfaces. Eines ist Admin.-Netz, das andere das Curriculum-Netz. Die lokalen Server haben IP-Adressen aus dem Admin.-Netz. Hier in Acacia: - DNS 168.192.146.1 - Mail 168.192.146.2 - WWW 168.192.146.3 Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

IPX-Adressierung IPX-Netzadressen bestehen bei uns immer aus dem 3.Byte der Netzwerkadresse. Die WAN-Verbindungen erhalten IPX-Adressen bestehend aus 0x100 + IPX-Adresse des Admin.-Netzes, das verbunden ist. Data-Center<->Service-Center 0000 0190 Service-Center 0000 0090 S.-C. <-> Sunset 0000 0191 Sunset 0000 0091 0000 0011 S.-C. <-> Acacia 0000 0192 Acacia 0000 0092 0000 0012 S.-C. <-> Mount.S. 0000 0193 MountainSky 0000 0093 0000 0013 ... ... Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

IGRP-Routing Die Verbindungen zwischen den 3 Backbone-Routern sorgen für Redundanz. Sobald eine der Verbindungen unterbrochen wird sind immer noch alle Hosts erreichbar. Es muss ein Routing-Protokoll verwendet werden. Wie z.B. IGRP Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

IGRP-Routing IGRP wird auf allen Routern des Netzes aktiviert, AS-Number soll 100 sein. Z.B. in Acacia: router igrp 100 network 192.168.18.0 network 192.168.146.0 Auf dem router.service: router igrp 100 network 192.168.144.0 Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

ACLs, an den Schulen Der Zugriff aus dem Curriculum-Netz auf jedes der vorhandenen Administrations-Netze ist verboten, bis auf den Zugriff auf die lokalen Server. Zugriff auf das Curriculum-Netz aus einem anderen Curr.-Netz ist verboten. Zugriff aus dem Internet auf eines der Netze ist nicht möglich, da NAT (Network Address Translation) verwendet wird und ACLs Zugriffe verhindern. Interface Ethernet0 out (Admin): permit ip 168.192.18.0 0.0.0.255 168.192.146.0 0.0.0.3 deny ip 168.192.0.0 0.0.127.255 any permit ip any Interface Ethernet1 out (Curr): deny ip 168.192.0.0 0.0.127.255 any permit ip any Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

ACLs, an den Stützpunkten Das Netz am Stützpunkt wird von den Servern der angeschlossenen Schulen genutzt und beinhaltet selber Arbeitsplätze. Zugriff aus jeglichem Curriculum-Netz ist untersagt. Interface Ethernet0 out: deny ip 168.192.0.0 0.0.127.255 any permit ip any Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

ACLs, am Data-Center Das öffentliche Netz im Data-Center steht allen internen Nutzern als auch dem Internet zur Verfügung. Zugriff auf den Router (195.243.0.5), bzw. IP-Verkehr der durch den Router maskiert wird (NAT) ist erlaubt. Interface Ethernet0 (Public) in: permit ip any host 195.243.0.5 deny ip any Zusätzlich wird NAT für alle internen Adressen 192.168.0.0/16 aktiviert. Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

ACLs, am Internet-Gateway Das öffentliche Netz im Data-Center ist von außen frei erreichbar und sollte deshalb besonders restriktiv gesichert werden, d.h. alle Dienste müssen explizit freigegeben werden. Interface Ethernet0 (Public) out: permit tcp any host 195.243.0.2 eq 53 permit udp any host 195.243.0.2 eq 53 permit tcp any host 195.243.0.3 eq 80 permit tcp any host 195.243.0.4 eq 25 permit ip any host 195.243.0.5 deny ip any Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

Sicherheit Allgemein Prinzipiell sollte man sich nicht nur auf ACL‘s verlassen sondern auf sichere Arbeitsplätze achten. Trojaner können die besten ACL‘s, Proxie‘s und Firewall‘s überwinden und so Hintertüren öffnen. Ebenso eigenmächtig installierte Modeme und Fernzugänge. Zusätzliche Kontrolle über suspekte Vorgänge im Netz bieten netzwerk-basierte Intrusion-Detection-Systeme, welche Trojaner-Traffic, Viren, aktive Angriffe u.v.m. erkennen und melden können. Sogenannte Sensoren, in allen Netzen verteilt, sammeln Daten und übermitteln diese an einen zentralen Server. Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

Benötigte Hardware Acacia-LAN: EV-Preise im DM Switches: 2* Catalyst 2948G 48*10/100 2*1000 je 14655 29310 1* Catalyst 2980G 80*10/100 2*1000 21989 4* 1000BaseSX-Modul je 1262 5048 Hubs: 120 FastHub 412 12*10/100 je 2189 262680 Router: 1* Cisco 1605-R 3771 1* 1-Port Serial WAN (NM-1T) 1009 Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

Benötigte Hardware Backbone-WAN: EV-Preise im DM Router: 3* Cisco 3662 6NM 2*10/100 je 29509 88527 15* 4-Port Serial WAN (NM-4T) je 7566 113490 90* X.21-G703-Konverter je 3190 287100 (inkl. DCE an Schulen) Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

Benötigte Hardware Public-Netzwerk: EV-Preise im DM Router: 1* Cisco 1605-R 3771 1* IOS IP/FW 1765 1* 1-Port Serial WAN (NM-1T) 1009 Switch: 1* Catalyst 2950-12 12*10/100 3656 Elmar Schlenker A. Brickwedde Freitag, 31. März 2017

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.