Subnetting mit linuxmuster.net (Netzbrief baden Württemberg)

Frank Schiebel - frank@linuxmuster.net 03/2015https://creativecommons.org/licenses/by-sa/3.0/de/

Technische Hintergründe zum Netzbrief 2014

Von Angriffen, Subnetzen und Layer 3 Switches

Frank Schiebel, März 2015

Meistens isses doch (im Moment noch) so...

ComputerräumeKlassenzimmerMedieneckeWiFi: Lehrer & Schüler (?)Lehrerzimmer

Pädagogisches Netz„Schulnetz“

Sekretariat, SchulverwaltungVerbunden mit dem Intranet der Kultusverwaltung

Verwaltungsnetz

Schulserver

Verwaltungsserver

Problem – wir werden sehen

Der Netzbrief als Bildchen (1)

Lehrernetz

Verwaltungsnetz

Pädagogisches Netz „Schulnetz“

Vom Lehrernetz aus ist ein geregelter Zugriff in Richtung auf das Schulverwaltungsnetz

auf ausgewählte Ressourcen zulässig, wenn sichergestellt ist, dass keine

personenbezogenen Daten vom Schulverwaltungsnetz dabei im Lehrernetz physikalisch

abgelegt werden können.

Ein Zugriff durch Lehrkräfte vom Lehrernetz aus auf die Unterrichtsumgebung ist

zulässig. Jeglicher Schülerzugriff auf das Lehrernetz ist unzulässig. Ein Zugriff vom

Klassenzimmer aus auf dieses Netz ist zu verhindern.

Der Hase im Pfeffer...

Der Netzbrief als Bildchen (2)

(1) Warum?(2) Wie?

Verwaltungsnetz

Lehrernetz

Pädagogisches Netz

Warum?

Ein besseres Bildchen: Status quo

Subnetz: 255.240.0.0Serveradresse: 10.32.1.1

Alle Rechner befinden sich im selben „Netzsegment“:

Warum?

Der Angreifer

● Angreifer: Kali Linux mit Metasploit/Armitage● Opfer: Windows XP SP1 ohne Virenschutz

„Proof of Concept“ → In der Realität evtl. etwas aufwändiger

Zum „Nachschauen“:https://vimeo.com/119943354

Warum?

Demo eines Angriffs

Warum?

→ Ein Ziel von Subnetting

Wie macht man das? Die Zutaten...→

Layer 3-Switch (In der Demo ein Cisco SG300-10 ca. 180€)

IP-basierte VlansRouting Funktionalität/ACLsDHCP Relaying

Muss können...

Idealerweise Serverlösung, die Subnetting unterstützt(In der Demo linuxmuster.net 6.1 0€)

Netzkonfiguration für Subnetting

Computerraum 1IPs 10.32.107.xNet 255.255.255.0GW 10.32.107.254

LehrerzimmerIPs 10.32.50.xNet 255.255.255.0GW 10.32.50.254

ServernetzIPs 10.32.1.xNet 255.255.255.0GW 10.32.1.253

Firewall: 10.32.1.254

Netzkonfiguration für Subnetting

Server (DHCP) muss „wissen“, wo anfragender Rechner „steht“

Switch ist Schaltzentrale: Dient als GW für jedes Subnetz

Firewall: 10.32.1.254

Netzkonfiguration für Subnetting IP-Adressen→

Switch hat eine IP in jedem Subnetz:10.32.107.25410.32.110.25410.32.50.25410.32.1.253

Jetzt! Switch hat die Kontrolle!

Firewall: 10.32.1.254

Netzkonfiguration für Subnetting VLANs→

Firewall: 10.32.1.254

Angriffsversuch mit Lehrer-IP:IPs 10.32.50.33

Netzkonfiguration für Subnetting Ports und ACLs→

Switch hat eine IP in jedem Subnetz:VLAN 107 → 10.32.107.254VLAN 110 → 10.32.110.254VLAN 50 → 10.32.50.254VLAN11 → 10.32.1.253

Jetzt! Switch hat die Kontrolle!

Firewall: 10.32.1.254

IPs werden an VLANs gebunden

VLANs werden an Ports gebunden

Der Übergang wird durch ACLs geregelt

Netzkonfiguration für Subnetting Ports und ACLs→

Firewall: 10.32.1.254

Angriffsversuch mit Lehrer-IP:IPs 10.32.50.33

An diesem Port nur Pakete für VLAN 107, also mit IP Adressen aus 10.32.107.x

Probleme und Lösungen

Firewall: 10.32.1.254

DHCP Broadcasts (Layer 2) bleiben am Switch „hängen“ → DHCP relaying durch den Switch

WakeonLan vom Server an die Clients (Layer 2) bleiben am Switch „hängen“, müssen weitergereicht werden.

Demo des Netzes mit Subnetting

Rechner aus verschiedenen Subnetzen „sehen“sich gegenseitig nicht mehr (ping) → Angriff schlägt fehl.

Server ist aus allen Subnetzen erreichbar

Internet ist aus allen Subnetzen erreichbar

Je nach Netzsegment erhält ein neuer Rechner eine passende Adresse

Technik Subnetting: Serverseite

Subnetze werden in der Datei /etc/linuxmuster/subnets definiert (s.o.)

Beim Workstationimport werden die Host DHCP-seitig passend „einsortiert“ → import_workstation erledigt also den Rest „automagisch“

Technik Subnetting: Switch

Für jedes Netzsegment + Servernetz wird ein VLan definiert

Jedes VLan erhält die passende GW-IP Adresse im Subnetz

Die Vlans werden getaggt/ungettagt den korrekten Ports zugewiesen

Die Vlan-Konfiguration nachgeordneter (L2-)Switches wird angepasst

Es werden ACLs angelegt, die die Kommunikation zwischen den Vlans regeln

Technik Subnetting: Weitere Switchebenen

Port 1:

VLAN 107 (tagged): 10.32.107.254VLAN 110 (tagged): 10.32.110.254

Layer 2 Switch – muss getaggte Vlans auf L2 verstehen

Raum 110.32.107.x

Raum 210.32.110.x

Ports 1-12 Im VLan 107, Port 12-22 VLan 110Uplink Port 24 (getaggt) in beiden VLans

● Netzbrief & Grafik zur „VLan Architektur (3 Netze)“:

http://www.it.kultus-bw.de/,Lde/Startseite/IT-Sicherheit/Netztechnik+_+Netzbrief

● Diagramme erstellt mit Dia https://wiki.gnome.org/Apps/Dia, Clipart und Grafiken aus

den Dia-Objektbögen oder von http://www.openclipart.org

● Dokumentation Subnetting in linuxmuster.net 6.1:

http://www.linuxmuster.net/wiki/dokumentation:addons:subnetting:start

● Dieses Dokument steht unter der CC Lizenz „Namensnennung/Weitergabe unter

gleichen Bedingungen 3.0“. Es darf also (fast) nach belieben verändert und verwendet

werden, jedoch muss der Name des ursprünglichen Autors genannt werden und die

Bedingungen für die Weitergabe dürfen nicht geändert werden. Außerdem darf das

linuxmuster.net-Logo im Folienfooter nicht entfernt werden.

● Diese Präsentation online:http://www.slideshare.net/ironiemix/subnetting-mit-linuxmusternet-netzbrief-baden-wrttemberg

(→ http://slidesha.re/1aIGP7D)

Quellen:

Subnetting mit linuxmuster.net (Netzbrief baden Württemberg)

Education

Landesverband Baden-Württemberg · Baden-Württemberg, die Landestierärztekammer Baden-Württemberg, die Lehr- und Versuchsanstalt Aulendorf, die LUFA Speyer und die Universität

Baden-Württemberg 2012

Ausbildungsplatzsituation in Baden-Württemberg

Baden-Württemberg JAV 2012

3. Landeskonferenz Automobilwirtschaft in Baden-Württemberg...3. Landeskonferenz automobiLwirtschaft in baden-württemberg • 11. Juni 2008 2 Baden-Württemberg ist das zentrum der

Haushaltsrecht des Landes Baden-Württemberg · 2016-06-21 · Haushaltsrecht des Landes Baden-Württemberg • Landeshaushaltsordnung für Baden-Württemberg (LHO) vom 19. Oktober

Baden württemberg

Flächen gewinnen in Baden-Württemberg · Flächen gewinnen in Baden-Württemberg Stefan Gloger Umweltministerium Baden-Württemberg 4. Dezember 2009 Bild: Turian/UM Referat Forschung,

Gesetzentwurf - Landtag Baden Württemberg · Landtag von Baden-Württemberg Drucksache 14 / 2442 3 Staatsministerium Stuttgart, den 4. März 2008 Baden-Württemberg Ministerpräsident

Baden-Württemberg REGIONAL

IG Welsh Regionalschau Baden-Württemberg 2018 - ErgebnisseŸ.pdf · IG Welsh Regionalschau Baden-Württemberg 2018 - Ergebnisse Regionalschau Baden-Württemberg 2018, Waghäusel-Wiesental

Landesbauordnung für Baden-Württemberg (LBO) · PDF fileBauR 1.2.1 . Version 01/2018 Vorschriftensammlung der Gewerbeaufsicht Baden -Württemberg. 1 Landesbauordnung für Baden-Württemberg

MOBILES BADEN- WÜRTTEMBERG€¦ · MOBILES BADEN- WÜRTTEMBERG Bund für Umwelt und Naturschutz Deutschland Landesverband Baden-Württemberg Wege zu einer nachhaltigen Mobilität

Finanzierungsdatenbank Baden-Württemberg

BADEN-WÜRTTEMBERG Baden-Württemberg liegt Süd-Westlich Deutschlands

RKW Baden-Württemberg Zulieferertage Automobil Baden ...RKW Baden-Württemberg GmbH Königstrasse 49 70173 Stuttgart 07 11 / 22 99 80 - RKW Baden-Württemberg Zulieferertage Automobil

Die größten Unternehmen in Baden-Württemberg · 1. Die Wirtschaftsstruktur in Baden-Württemberg 6 Insgesamt verfügt Baden-Württemberg über rund 470.000 Unternehmen mit fast

„Bio aus Baden Württemberg“...Beispiel: Portal „Bio aus Baden-Württemberg“ Informationen rund um Bio aus Baden-Württemberg für Erzeuger, Verarbeiter, Vermarkter und Verbraucher

Baden württemberg

ARGE Judo Baden- Württemberg