Ihre Aufgabe Nachbildung der IT-Landschaft zweier virtueller Firmen - IT-Sicherheitsarchitekturen
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
IT-Sicherheitsarchitekturen
Ihre Aufgabe
Nachbildung der IT-Landschaft zweier
virtueller Firmen
FIRMA A FIRMA B
IT-Sicherheitsarchitekturen
Externer Mitarbeiter Die Mails der Benutzer
Die Webseite der werden in
jeweiligen Firma benutzerspezifischen
ist vom Internet aus Post-Fächern
erreichbar. gespeichert
Externe Firewall (B) Externe Firewall (A)
Internet
Interne Firewall (B) Interne Firewall (A)
VPN Server VPN Server
Verschiedene Server Verschiedene Server
in der DMZ Site-to-site VPN-Verbindung
in der DMZ
Kopplung der beiden Firmen via VPN
Eine Variante der
Internetpräsenz ist Externe Mitarbeiter können sich via VPN Ausgehende Mails
nur über eine in das Firmennetz einwählen. werden über den
verschlüsselte Mailserver ver-
Verbindung Jeder Mitarbeiter hat Internet-Zugang. schickt.
erreichbar
Jeder Mitarbeiter hat eine
(https Server).
eigene Mailadresse
Firmen LAN Firma B Firmen LAN Firma A
(Intranet) (Intranet)
IT-Sicherheitsarchitekturen Aufgaben: • Konfiguration der Road Warrior Virtual Private Network (VPN) Verbindung und Konfiguration der internen und externen Firewall der Firma-a / Firma-b mittels iptables • Konfiguration der externen Firewall, sowie des Mailservers und Webservers der Firma-a / Firma-b • Konfiguration der Site-to-Site Virtual Private Network (VPN) Verbindung zwischen den beiden Firmen und Konfiguration der internen Firewalls mittels iptables
IT-Sicherheitsarchitekturen
Virtualisierte Testumgebung
Die einzelnen Teilaufgaben können nicht isoliert bearbeitet
werden, da technische Abhängigkeiten der einzelnen
Funktionalitäten bestehen.
Daher haben wir eine virtualisierte Testumgebung vorbereitet.
Die einzelnen Rechner sowie das gesamte Netzwerk wurden
mit Oracle Virtual Box virtualisiert.
Sie ersetzen, je nach Aufgabenstellung, zwei der
vorkonfigurierten Rechner durch die von Ihnen selbst
konfigurierten Rechner (stud-fw1.firma-a.f223, stud-fw2.firma-
a.f223, stud-fw2.firma-b.f223, stud-srv1.firma-a.f223).
IT-Sicherheitsarchitekturen
IT-Sicherheitsarchitekturen
Iptables Firewall (Paketfilter-Firewall, filtert
ein- und ausgehende Pakete auf IP-Ebene)
Quelle: http://www.dozent.maruweb.de
Pakete, die von außen kommen, passieren zunächst die Prerouting Kette. Je
nach Ziel kommen die Pakete anschließend in die Input oder Forward Kette.
Nach der Forward-Kette gelangt das Paket in die Postrouting-Kette und verläßt
dann das System wieder. Destination-NAT (Umschreibung der Zieladresse)
erfolgt also in der Prerouting-Kette. Source-NAT (das heißt eine Umschreibung
der Quell-IP-Adresse), erfolgt in der Postrouting-Kette.
IT-Sicherheitsarchitekturen
Sicherer Mailserver
Postfix
MTA
Eventuell
MySQLDB
EMail Dovecot
MDA
Benutzerspezifische
Postfächer (Maildir)
IT-Sicherheitsarchitekturen
HTTP
Konfiguration mit VirtualHosts
HTTPS
Modsecurity: Modsecurity ist ein Modul
für den Apache-Webserver. Mit Hilfe frei
definierbarer Filterregeln kann es ein- und
ausgehenden HTTP-Verkehr auf
ungewöhnliche und schädliche Daten
überprüfen und ggf. die weitere
Verarbeitung blockieren.
IT-Sicherheitsarchitekturen
Realisierung mit Openvpn im
Bridging Modus (mit tap
Device)
Wichtig: Zertifikate der
Labor CA verwendenIT-Sicherheitsarchitekturen Realisierung mit OpenVPN (tun-Device). Es wird jeder Gegenstelle eine virtuelle IP- Adresse eines fiktiven Subnetzes zugewiesen. Wichtig: Zertifikate der Labor CA verwenden
IT-Sicherheitsarchitekturen
Die Verschlüsselung erfolgt mittels Zertifikaten
rootCA
f223CA
VPN-Server-Zertifikat
fw2.firma-a.f223 oder
fw2.firma-b.f223
Zertifikatssserver
www.internet.f223
Web/Mail-Server-Zertifikat
www.firma-a.f223
www.firma-b.f223
mail.firma-a.f223 itsec@firma-a.f223
mail.firma-b.f223 itsec@firma-b.f223IT-Sicherheitsarchitekturen
Anforderung eines Zertifikats
• openssl installieren
• req.cnf herunterladen
• (openssl) privaten key erstellen
• (openssl): prv.key+req.cnf
=> my.csr
• my.csr hochladen auf net1
• In net1 einloggen, csr File signieren
• my.crt herunterladen
• crt-file in Anwendung einbinden
• ggf. konvertieren mit openssl
(für Mailclient z.B. ins pkcs12-
Format)IT-Sicherheitsarchitekturen
IT-Sicherheitsarchitekturen
Einloggen an den Rechnern
ITSEC-01 bis ITSEC-16:
Benutzername: entspricht dem Rechnernamen
Passwort: sose2019
Domäne ist IN
Einloggen an den vorkonfigurierten virtuellen
Maschine (stud-xxx)
root: sose2019
itsec: nsd+07Sie können auch lesen
