Routing
Prinzipien
IP - Adressraum
Für den Gebrauch in privaten Netzen sind drei Adressräume reserviert8. Sie werden im Internet nicht vergeben und dort auch nicht weitergeleitet, d.h. von Routern blockiert. Es handelt sich hier um die Bereiche:
- 010.xxx.xxx.xxx, 255.0.0.0
- 172.016.xxx.xxx bis 172.031.xxx.xxx, 255.255.0.0
- 192.168.xxx.xxx, 255.255.255.0
Das vorhandene Netzwerk baut (aus historischen Gründen) auf dem Adressbereich 192.12.144.0, 255.255.255.0 auf. Wenn man mit diesen Adressen eine Verbindung ins Internet erstellt, wird dieser Bereich des Internets nicht geroutet und somit für lokale Anwender ausgeblendet.
Realisierung
|
Um diesen Zustand zu ändern, muss das gesamte LAN auf einen privaten Adressbereich umgestellt werden. Damit genügend Ressourcen für spätere Netzerweiterungen vorhanden sind, wird auf den Bereich 192.168.144.0, 255.255.255.0 umgestellt. Es wird hier nur die zweite Zahl der Adresse geändert, was die Automatisierung erleichtert. Die anderen lokalen Netzwerke (Router-DMZ, DMZ) werden auf 192.168.1.0 bzw. 192.168.112.0 festgelegt.
| Mycompany |
192.168.144.0 |
| DMZ |
192.168.112.0 |
| Router DMZ |
192.168.1.0 |
| Othercompany |
192.168.200.0 |
| VPN |
192.168.100.0 |
| Internet |
Dynamische IP Adresse |
| ![[Verwendete IP-Adressen]](routes.jpg) |
Konfiguration
Die folgende Tabelle zeigt die geforderten Verbindungen bzw. Einschränkungen im oben beschriebenen Firewall - Aufbau. Sie enthält einige Details, die erst in späteren Phasen (Paketfilterung)Wichtigkeit erlangen, zeigt aber die nötigen Einträge für die drei verwendeten Router auf.
| nach von |
Mycompany |
DMZ |
Router- DMZ |
Internet |
VPN |
| Mycompany |
|
mail, www, dns, ftp |
alles |
alles |
alles |
| DMZ |
Datenbank- Zugriff |
|
nichts |
mail, ftp, dns |
nichts |
| Router- DMZ |
nichts |
nichts |
|
Proxy- Dienste, dns |
nichts* |
| Internet |
nichts |
www, ftp, mail, dns |
Proxy- Dienste, dns |
|
nichts |
| VPN |
alles |
nichts |
nichts * |
nichts |
nichts |
* für Verbindungen über das VPN werden keine Proxy-Dienste verwendet
Routing - Tabellen
Für die jeweiligen Router werden die folgenden Routing - Tabellen aus der o.g. Tabelle abgeleitet.
Firewall (192.168.144.10, 192.168.112.10, 192.168.1.10):
| Ziel |
Adresse |
Gateway |
Maske |
Interface |
| Mycompany |
192.168.144.0 |
0.0.0.0 |
255.255.255.0 |
eth0 |
| DMZ |
192.168.112.0 |
0.0.0.0 |
255.255.255.0 |
eth1 |
| Router-DMZ |
192.168.1.0 |
0.0.0.0 |
255.255.255.0 |
eth2 |
| Other Company |
192.168.200.0 |
192.168.1.99 |
255.255.255.0 |
eth2 |
| default |
0.0.0.0 |
192.168.1.1 |
0.0.0.0 |
eth2 |
| |
|
|
|
|
| Dienstleister |
??? |
192.168.1.99 |
255.255.255.0 |
eth2 |
VPN-Router (192.168.1.99, 192.168.100.1):
| Ziel |
Adresse |
Gateway |
Maske |
Interface |
| Mycompany |
192.168.144.0 |
0.0.0.0 |
255.255.255.0 |
eth |
| Router-DMZ |
192.168.1.0 |
0.0.0.0 |
255.255.255.0 |
eth |
| Other Company |
192.168.200.0 |
0.0.0.0 |
255.255.255.0 |
isdn |
| |
|
|
|
|
| Dienstleister |
??? |
0.0.0.0 |
255.255.255.0 |
ppp-isdn |
Router (192.168.1.1, dyn. IP bei ISP):
| Ziel |
Adresse |
Gateway |
Maske |
Interface |
| Router-DMZ |
192.168.1.0 |
0.0.0.0 |
255.255.255.0 |
eth |
| DMZ |
192.168.112.0 |
192.168.1.10 |
255.255.255.0 |
eth |
| Mycompany |
192.168.144.0 |
192.168.1.10 |
255.255.255.0 |
eth |
| default |
0.0.0.0 |
0.0.0.0 |
0.0.0.0 |
isdn |
Um das VPN abzusichern, muss das Routen von privaten Adressen zum Internet unterbunden werden.
Sollen diese Systeme sicher eingerichtet werden, dürfen sie nicht in einem Netzwerk konfiguriert werden, welches einen unbefugten Zugang zu den Geräten ermöglicht.
Testaufbau
Zum Test des Firewallsystems wird ein Netzwerk aufgebaut, welches aus einem Rechner je Subnetz besteht. Diese erhalten natürlich die entsprechenden Netzwerkadressen und Routingtabellen (i.a. Nur eine default route). Es werden sowohl Linux als auch Windows- Rechner eingesetzt, um alle Einsatzzwecke zu simulieren.
Der Physikalische Aufbau entspricht der obigen Grafik, wobei auf den Router für den standard Internetzugang verzichtet wird. Um das ISDN-Routing zu Testen, werden zwei Router (der VPN-Router und seine zukünftige Gegenstelle) an das Hausinterne Telefonnetz angeschlossen. Der VPN-Router auf der Seite des Testnetzes und seine Gegenstelle bildet die Verbindung zum momentanen Firmennetz. Somit bildet das vorhandene LAN in dieser Simulation das Internet bzw. später das externe VPN-Subnetz.
An dieser Stelle ist wieder ein Test der neu hinzugefügten Funktionen durch zu führen, um entstandene Fehler möglichst schnell zu entdecken und diese nicht anderen Arbeitsschritten zu vererben.
In diesem Stadium sollte ein ping- Befehl in allen Kombinationen von Start- und Zieladresse (d.h. Intern, DMZ, Router-DMZ und Extern) durchgeführt werden.