Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013



Relevanta dokument
Tips: Titta på relevanta genomgångar på webbplatsen

Linuxadministration 2 1DV421 - Laborationer Webbservern Apache, Mailtjänster, Klustring, Katalogtjänster

Linuxadministration I 1DV417 - Laboration 4 Nätverk, DHCP, säkerhetskopiering, processhantering, Samba och NFS

Linuxadministration I 1DV417 - Laboration 1 Installation. Marcus Wilhelmsson 15 januari 2013

Laboration 2 1DV416 Windowsadministraion I

Linuxadministration I 1DV417 - Laboration 7 SSH-magi och systemtrolleri. Marcus Wilhelmsson 6 mars 2013

Linuxadministration I 1DV417 - Laboration 3 Installation av ny hårddisk, RAID och logisk volymhantering

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Startanvisning för Bornets Internet

LABORATION 2 DNS. Laboranter: Operativsystem 1 HT12. Martin Andersson. Utskriftsdatum:

DNS. Linuxadministration I 1DV417

DNS-test. Patrik Fältström. Ulf Vedenbrant.

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

DNS laboration report Wilhelm Käll YYYY-MM-DD (the date the report was finished)

ÅTVID.NET Startinstruktioner

Linuxadministration I 1DV417 - Laboration 1 Installation, användare och allmänt Linuxhandhavande

Linuxadministration 1 1DV417

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

Kurs: Windowsadministration II, 1DV424 Datum: Förberedelseuppgift

SkeKraft Bredband Installationsguide

LABBINTRODUKTION. Laboranter: Kurs: - Sonny Johansson, Sigurd Israelsson. Utskriftsdatum:

Unix-Säkerhet. Övningsprov. Frågorna skall besvaras på ett sådant sätt att en insatt kollega skall känna sig informerad.

Konfiguration av Authoritative-Only DNS-server baserad på BIND

Systemkrav och tekniska förutsättningar

Laboration 4 Rekognosering och nätverksattacker

Linnéuniversitetet. Laboration 1. 1DV416 Windowsadministraion I. 12 november 2013

Grundläggande nätverksteknik. F2: Kapitel 2 och 3

Avancerad DNS - Laborationer

Felsökningsguide för Asgari-kameror

Datorhårdvaruteknik 1DV426 - Laboration Migrering av lagring från DAS till SAN

1. Beskriv hur DNS fungerar. Använd begrepp som root-servrar, topp-domäner mm. Och rita gärna.

LABORATION 1 Pingpong och Installation av Server 2008 R2

Övningar - Datorkommunikation

Brandväggar. Brandväggar. Netlter/iptables. Grupp 13 Andreas Önnebring Markus Månsson 21 februari 2008

Iptables. Linuxadministration I 1DV417. Tuesday, February 19, 13

Arbetsuppgift 1: På virtuell maskin med Ubuntuserver, skapa katalog och skapa Dockerfile. Skapa ny katalog i din hemmakatalog, med namnet webbserver.

Larmsändare sip86. Alla inställningar konfigureras enkelt upp med Windowsprogramvaran IP- Scanner. 2 Larmsändare sip22

IP-adresser, DNS och BIND

Design Collaboration Suite

Tilläggs dokumentation 4069 Dns

Startguide för Administratör Kom igång med Microsoft Office 365

Marcus Wilhelmsson 12 april 2013

LAN Port: 4 X RJ45 10/100BASE-TX Fast Ethernet med Auto MDI/MDIX. Resetknapp: Återställer enheten till fabriks inställningar

För att kunna kommunicera i bredbandsnätet krävs följande:

Konfiguration av LUPP synkronisering

Handbok Remote Access TBRA

Installationsguide / Användarmanual

Stiftelsen MHS-Bostäder Instruktioner och felsökningsguide för Internetanslutning

FIBER INSTALLATIONSHANDBOK VERSION 1.0. Felanmälan och support nås på Alla dagar 08:00-22:00

Installationsanvisning För dig som har valt fast IP-Adress

IPTABLES från grunden. Anders Sikvall, Sommarhack 2015

Konfiguration av synkronisering fo r MSB RIB Lupp

Denna genomgång behandlar följande: IP (v4) Nätmasken ARP Adresstilldelning och DHCP

Konfigurering av eduroam

Windowsadministration I

Att sätta upp en IPsec-förbindelse med mobil klient (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Instruktioner för Internetanslutning

Felsökningsguide för Windows XP

Konfigurera Xenta från Babs

GIVETVIS. SKA DU HA INTERNET I DIN LÄGENHET! En guide till hur du installerar internet i ditt nya hem.

Installationshjälp CentOS 5 ENTerprise

Linuxadministration I 1DV417 - Laboration 1 Installation, användare och allmänt Linuxhandhavande

snabbmanual för installation av trådlöst bredband och telefoni

TW100-S4W1CA. Bredbandsrouter (med 4-ports switch) (vers. E) Snabbinstallationsguide

1. Säkerhetskopiera den eller de byråer du har arbetat med via i Visma Klient.

BIPAC Bredbandsrouter med brandvägg. Snabbstartsguide

Eltako FVS. 6 steg för att aktivera fjärrstyrning med hjälp av din smartphone (Mobil klient)

Installationsanvisning Bredband

1. Inkoppling till bredbandsnätet

Konfigurationsdokument M1

Norman Endpoint Protection (NPRO) installationsguide

LABORATIONSRAPPORT. Operativsystem 1 LABORATION 2. Oskar Löwendahl, Jimmy Johansson och Jakob Åberg. Utskriftsdatum:

INSTALLATIONSMANUAL NORDIC-SYSTEM WEBBSERVER, ios- OCH ANDROID-APP. Ver. 2.5

Grattis till ett bra köp!

Installationsanvisning För dig som har dynamisk IP-Adress

COAX INSTALLATIONSHANDBOK VERSION 1.0. Felanmälan och support nås på Alla dagar 08:00-22:00

tillägg till AnvändarmANUAL För LarmSystemet Lansen Home Installera, Använda och Administrera

Läs detta innan du sätter igång!

Planering och RA/DHCPv6 i detalj

Att sätta upp en IPsec-förbindelse med NAT (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Installationsanvisningar. till IST Analys

Installera SoS2000. Kapitel 2 Installation Innehåll

VÄLKOMMEN TILL OWNIT!

Win95/98 Nätverks Kompendium. av DRIFTGRUPPEN

Aktivera och använda EtherTalk för Mac OS 9.x. Om du använder EtherTalk behövs ingen IP-adress för Macintosh-datorer.

Hur BitTorrent fungerar

snabbmanual för installation av bredband och telefoni

1. Inkoppling till bredbandsnätet

Innehåll. Dokumentet gäller från och med version

Installation av. Vitec Online

Viktigt! Glöm inte att skriva Tentamenskod på alla blad du lämnar in.

INKOPPLINGSBESKRIVNING KABEL-TV-MODEM

Fast internet. Installationshandbok 5 enkla steg för att komma igång

DDS-CAD. Installation av student-/demolicens

Varför ska vi införa IPv6 och hur gjorde PTS?

PNSPO! CP1W-CIF mars 2012 OMRON Corporation

Installationsanvisningar fiberstream (LAN) Version 1.0

Installation och setup av Net-controller AXCARD DS-202

Prestige 660M. Snabbinstallation. Version 1.0

Att sätta upp en IPsec-förbindelse med RADIUS-autentisering (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Transkript:

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

Innehåll 1 Inledning och mål 3 2 Material och genomförande 3 3 Förberedelseuppgifter 3 4 Installation och konfiguration av Ubuntu 3 4.1 Installera nya maskiner................................ 3 5 Brandvägg med iptables 4 5.1 Bekanta dig med scenariot............................... 4 5.2 Konfigurera iptables.................................. 4 5.2.1 Säkerhetspolicy................................. 5 5.3 Installera routingprogramvara............................. 5 5.4 Kontrollera funktionalitet............................... 5 6 DNS-server med BIND 5 6.1 Förberedelser...................................... 6 6.2 Konfiguration av den primära DNS-servern..................... 6 6.2.1 Konfigurera zonen aa222bb.ny230.se..................... 6 6.2.2 Konfigurera zonen för reverse-uppslag.................... 6 6.3 Testa DNS-zonerna................................... 7 6.4 Begränsa DNS-zonen.................................. 7 6.5 Konfigurera den sekundära DNS-servern....................... 7 7 Laborationsfrågor 7 2

1 Inledning och mål Två viktiga tjänster i nätverket är brandvägg och DNS. Brandväggar behövs dels för att skydda det interna nätverket mot intrång utifrån, men även för att förhindra att otillåten trafik tar sig ut från nätverket. Under denna laboration ska du därför undersöka hur en brandvägg kan konfigureras för att skydda ett nätverk ur olika synvinklar. Den vanligaste brandväggen i Linux är netfilter/iptables, du kommer därför bekanta dig med denna brandvägg. För att förenkla kommunikationen över Internet och intranät används DNS-servrar. I denna laboration ska du undersöka hur zoner i DNS-servern BIND konfigureras och administreras. Du kommer att använda dig av två DNS-servrar, en master och en slave. Efter genomgången laboration kommer du ha praktisk kännedom om hur du: installerar och konfigureras en brandvägg baserad på IPtables. installerar och konfigurerar DNS-servern BIND. 2 Material och genomförande Laborationen kommer genomföras i VMware Workstation som tillhandahåller möjligheten att köra flera virtuella datorer i en fysisk. Utför laborationens uppgifter och moment samt dokumentera vad du kommer fram till på de olika delarna. Vid redovisning av laborationen ska du med hjälp av laborationsrapporten på ett komplett sätt redovisa vad du har gjort, hur du har gjort det samt vad du kom fram till och varför du kom fram till det du gjorde. 3 Förberedelseuppgifter Laborationen har två förberedelseuppgift. Se till att du genomfört förberedelseuppgifterna innan du påbörjar laborationen då du med hjälp av förberedelseuppgifterna ska genomföra laborationen. 1. Undersök vilka ICMP-paket som skickas och tas emot som svar från en exekvering av ping. 2. Ta reda på hur du aktiverar IP-forwarding permanent i Ubuntu. 3. Läs följande kapitel i boken: Kapitel 17 Kapitel 22, sid. 935 937 4 Installation och konfiguration av Ubuntu Denna laboration kräver fyra Ubuntu-maskiner 4.1 Installera nya maskiner 1. Installera en ny Ubuntu-server som ska agera brandvägg. 2. Förutom brandväggen ska du ha en Ubuntu-server som agerar webbserver i DMZ, två DNSservrar samt en klient. Konfigurera maskinerna med lämpliga IP-adresser samt installera lämpliga paket för att uppnå den funktionalitet du önskar. Se även till att du vet hur du kopplar dig till CSLab-nätverket innan du påbörjar laborationen. 3

5 Brandvägg med iptables Det är nu dags att konfigurera en brandvägg baserad på iptables. Nedan syns en bild på det scenario du ska sätta upp. 5.1 Bekanta dig med scenariot DMZ CSLab Brandvägg Intranet 5.2 Konfigurera iptables Konfigurera nätverket så att följande krav uppnås. Vidare ska iptables konfigureras så att brandväggspolicyn uppfylls. 1. Sätt lämpliga IP-adresser enligt IP-adresseringsschemat på Hawk Wikin. Tänk på att du endast har ETT 24-bitarsnät att tillgå för adresstilldelning. Subnetta ner detta på ett lämpligt sätt för att kunna adressera både Intranet och DMZ. DMZ ska alltid ligga på det LÄGSTA av dina två subnät. Eftersom du befinner dig i Ny230 ska du använda de IP-serier som är associerade med den salen enligt Hawk Wikin. 2. För att ha en dator i DMZ-nätverket ska du se till att den tidigare installerade webbservern finns inkopplad här. För att underlätta arbetandet med brandväggen ska du skapa en scriptfil där du skriver in de kommandon du använder för att ställa in brandväggen. Nedan finns ett exempel på hur en sådan fil kan se ut, det är sedan upp till dig att fylla på den med lämpliga regler. Listing 1: iptables-regler.sh #!/ bin / bash # Rensa a l l a r e g l e r i p t a b l e s F i p t a b l e s t nat F i p t a b l e s t mangle F # Applicera ACCEPT som p o l i c y i p t a b l e s P INPUT ACCEPT i p t a b l e s P OUTPUT ACCEPT i p t a b l e s P FORWARD ACCEPT i p t a b l e s t nat P PREROUTING ACCEPT i p t a b l e s t nat P POSTROUTING ACCEPT 4

I exemplet ovan är filen döpt till iptables-regler.sh och körs då genom./iptables-regler.sh. 5.2.1 Säkerhetspolicy Intranät ska kunna pinga alla datorer på CSLab-nätverket. Datorerna på CSLab-nätverket ska ha tillåtelse att svara tillbaka på dessa ICMP-paket. Datorer på Intranet ska kunna pinga brandväggen samt få svar. Anslutningar från CSLab till webbservern i DMZ på port 80 ska tillåtas. Webbservern i DMZ ska få svara tillbaka. Intranet ska få komma åt webbservern i DMZ på port 80 och webbservern i DMZ ska få svara tillbaka på dessa anslutningar. Datorer på Intranet ska få göra anslutningar till datorer i CSLab. Datorer i CSLab ska få svara tillbaka på dessa anslutningar. Datorer på Intranet ska även Source NATas bakom brandväggen när anslutningar görs från dem till CSLab. Alla andra anslutningar och paket ska nekas. 5.3 Installera routingprogramvara Installera och konfigurera OSPF med hjälp av programvaran bird på brandväggen. Använd följande inställningar: Router ID: 10.230.x.255 där x motsvarar ditt IP i CSLab-nätet. Ta med nätverkskortet som är anslutet mot CSLab i OSPF-arean 0.0.0.0. Ta med resterande nätverkskort i OSPF-arean 0.0.0.x. Stäng av SNAT-regeln för Intranätet i brandväggen. Starta om bird samt kör programmet birdc och kör kommandot configure för att ladda om konfigurationen. 5.4 Kontrollera funktionalitet På CSLab-nätverket finns en gemensam Wiki på adressen http://hawk.cslab.net, kontrollera att du kan komma åt denna från din interna klient. CSLab-nätverket har två st root-dnser på 192.168.231.4 samt 192.168.229.4, sätt dessa IP-adresser som DNS-servrar i klienten temporärt tills du fått upp din egen DNS-struktur i nästa uppgift. Det är rekommenderat att läsa på om CSLab-nätverket på Wikin om det är något kring nätverket som är oklart. 6 DNS-server med BIND I denna uppgiften ska du undersöka hur du i Linux sätter upp en DNS-zon med tillhörande servrar. Du kommer i uppgiften att sätta upp två DNS-zoner, en forward lookup zone och en reverse lookup zone. DNS-zonerna kommer administreras av två DNS-servrar, en primär och en sekundär. 5

6.1 Förberedelser Eftersom du kommer arbeta med två DNS-servrar behövs två virtuella maskiner enligt nedanstående uppgifter: Namn: ns1.aa222bb.ny230.se IP: 10.230.x.10 RootDNS: Se Hawk Wiki Namn: ns2.aa222bb.ny230.se IP: 10.230.x.11 RootDNS: Se Hawk Wiki I byt ut aa222bb mot ditt användarnamn samt x mot ditt studentnummer i IP-adresslistan på Hawk Wiki. DNS-servrarna ska befinna sig på ditt DMZ. Installera även BIND om du inte redan gjort detta. 6.2 Konfiguration av den primära DNS-servern Konfigurera ns1 så att konfigurationen överrensstämmer med tidigare uppgifter. Se även till att den har sig själv som DNS-server för att hantera DNS-uppslag. 6.2.1 Konfigurera zonen aa222bb.ny230.se De virtuella maskinerna du arbetat med har BIND version 9 installerat. Du ska nu sätta upp en forward lookup zone för ditt nätverk. Sätt upp zonen med följande uppgifter Två DNS-servrar, en primär och en sekundär. E-postadressen till DNS-administratören är aa222bb@aa222bb.ny230.se. Använd följande tidsintervall: sekundära DNS-servrar ska uppdatera zonen var tredje timme. om en sekundär DNS-server inte får kontakt med den primära ska den försöka igen var tredje timme. om en sekundär server inte får kontakt med den primära DNS-servern inom en vecka ska zonen förkastas. resterande tidsintervall sätter du till lämpliga värden som du motiverar i rapporten. Det ska finnas en post som pekar på en e-postserver med tillhörande MX-post på ditt nätverk. Det ska finnastre klientmaskiner på ditt nätverk med tillhörande poster. 6.2.2 Konfigurera zonen för reverse-uppslag Du ska du konfigurera en zon för reverse-uppslag. Konfigurera upp en reverse zone för 10.230.x.0/24 på den primära DNS-servern. Zonen ska innefatta du uppgifter som ingår i forward-zonen. 6

6.3 Testa DNS-zonerna Kontrollera att du kan göra både forward- och reverse lookup till din zon. Använd verktyget dig. 6.4 Begränsa DNS-zonen Du ska i detta moment begränsa vilka nätverk som får använda sig av den primära DNS-servern för att utföra namnuppslag. Begränsa den primära DNS-servern så att endast klienter från ditt nätverk får göra queries till servern. Använd allow-query. Be någon annan student kontrollera så att de inte kan göra queries direkt mot din server. Kommer du inte åt din grannes DNS-server? Har du öppnat brandväggsregler? Vad får denna begränsning för konsekvenser? Ska du behålla den eller ha kvar den? 6.5 Konfigurera den sekundära DNS-servern Sätt upp ns2.aa222bbny230.se som sekundär DNS, även kallas slave. Gör detta för båda dina zoner. 7 Laborationsfrågor 1. Förklara följande DNS-postern: SOA, PTR, A, MX, CNAME. 2. Vad är glue records? Hitta dessa för din forward lookup zone. 3. Förklara skillnaden mellan en stateful firewall och en icke-stateful firewall. 7

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss