Professional Documents
Culture Documents
Technikerarbeit
Ycel Oktay Manuel Dollinger
- 2005 -
Ycel Oktay, Manuel Dollinger GWS Lrrach, Dipl.-Ing. Michael Knaus, Dipl.-Ing. Werner Gempler Gewerbeschule Lrrach (Fachschule fr Elektrotechnik) Dipl.-Ing. Michael Knaus September 2004 bis Mai 2005
Inhaltsverzeichnis
1.0.0 Vorwort..............................................................................................................4 2.0.0 Danksagung......................................................................................................5 3.0.0 Eidesstattliche Erklrung ................................................................................6 4.0.0 Einleitung ..........................................................................................................7 5.0.0 Projekt ...............................................................................................................8 5.1.0 Ziel des Projekts .............................................................................................8 5.2.0 Ziel der Technikerarbeit ..................................................................................9 5.2.1 Pflichtenheft ................................................................................................9 5.2.2 Bereitgestellte Hardware .............................................................................9 5.2.3 Zeitplan .....................................................................................................10 5.2.4 Verlauf der Technikerarbeit .......................................................................11 5.3.0 Switches im Netzwerk der GWS-Lrrach......................................................13 6.0.0 Funktionsweise eines VLANs........................................................................14 6.1.0 Realisierung von VLANs ...............................................................................14 6.1.1 Layer 1 VLAN ............................................................................................14 6.1.2 Layer 2 VLAN ............................................................................................15 6.1.3 Protokoll-basierendes VLAN .....................................................................16 6.1.4 Regel-basierendes VLAN..........................................................................16 6.2.0 Vorteile und Nachteile eines VLANs .............................................................16 6.2.1 Vorteile ......................................................................................................16 6.2.2 Nachteile ...................................................................................................17 7.0.0 VLAN Tagging (802.1Q Frame)......................................................................18 7.1.0 Funktionsweise VLAN Tagging.....................................................................18 7.1.1 Die Felder des 802.1Q/P...........................................................................19 8.0.0 Ethernet-Port-Trunking ..................................................................................20 9.0.0 TACACS+ & IEEE 802.1x................................................................................21 9.1.0 AAA - Begriffsdefinitionen .............................................................................21 9.2.0 Grundlegendes zur IEEE 802.1x-Authentifizierung.......................................23 9.3.0 Sicherheit durch IEEE 802.1x .......................................................................23 9.4.0 TACACS+ berblick .....................................................................................24 9.4.1 Funktion von TACACS .............................................................................24 9.4.2 Fazit ..........................................................................................................25 Seite 2
Technikerarbeit Sommer 2005 10.0.0 Beschreibung der Hardware........................................................................27 10.1.0 Cisco Catalyst 2950 ....................................................................................27 10.1.1 Command Line Interface (CLI) des Cisco Catalyst 2950.........................29 10.2.0 HP Procurve 2524.......................................................................................30 10.2.1 Command Line Interface (CLI) des HP Procurve 2524 ...........................33 11.0.0 Zugriff auf die Konsolenebene eines Switches .........................................34 11.1.0 Lokaler Zugriff auf einen Switch..................................................................34 11.2.0 Fernzugriff auf einen Switch .......................................................................35 11.2.1 Zugriff ber das Intranet der GWS-Lrrach .............................................35 11.2.2 Zugriff ber das Internet ..........................................................................35 11.2.3 Login-Vorgang ber SSH-Server auf Minicom ........................................36 12.0.0 Firmwareupdate der Switches.....................................................................38 12.1.0 IOS-Update Cisco Catalyst 2950 ................................................................39 12.2.0 OS-Update HP Procurve 2524....................................................................43 13.0.0 Konfiguration der Switches.........................................................................45 13.1.0 Konfiguration des Cisco Catalyst 2950 .......................................................46 13.2.0 Konfiguration des HP Procurve 2524..........................................................51 14.0.0 Sicherheit im Netzwerk ................................................................................54 14.1.0 Netzwerkdiagnosesoftware.........................................................................54 14.1.1 Broadcom Advanched Control Suite 2 ....................................................54 14.1.2 Ethereal Network Protocol Analyzer.....................................................56 14.2.0 Sicherheitsprfungen der VLANs................................................................58 14.2.1 Ergebnisse Sicherheitstests Cisco Catalyst 2950 ...................................59 14.2.2 Ergebnisse Sicherheitstests HP Procurve 2524 ......................................64 14.2.3 Fazit ........................................................................................................69 15.0.0 Schlusswort ..................................................................................................70 16.0.0 Abbildungsverzeichnis ................................................................................71 17.0.0 Anhang ..........................................................................................................74
Seite 3
Albert Einstein
1.0.0 Vorwort
Der vermehrte Einsatz der Netzwerke auf smtlichen Gebieten des Lebens ist im Zeitalter der Informationstechnik berall zu beobachten. Obwohl die Geschichte der Netzwerktechnik keine lange Vergangenheit vorzuweissen hat, ist schneller Informationsaustausch im Alltag ohne Netzerwerke unvorstellbar geworden. Das Internet ohne Google ist genauso wenig vorstellbar wie das Leben heutzutage ohne Computer. Da ist die wichtige Frage angebracht, ob die Strecke der Daten, die sich von einem Punkt zu einem anderem bewegen, bzw. das Netz gegen unerwnschte Daten sicher ist? Kernstck dieser strmischen und immer noch nicht abgeschlossenen Entwicklung ist die Strukturierung der Netzwerke. Dieses Dokument, das durch eine anspruchsvolle Technikerarbeit zu Stande gekommen ist, beinhaltet unter anderem die Erklrung des VLAN (Virtual local area network) und erlutert die Begriffe IEEE 802.1x bzw. TACACS+. Darber hinaus eine Konfiguration der Switches HP Procurve 2524 bzw. Cisco Catalyst 2950 sowie eine portbasierende Benutzerauthentifizierung durch einen Free-RADIUS-Server. Schlielich befindet sich im Anhang eine leicht berschaubare Konfigurationsanleitung der oben genannten Switches. Es wurden einige frei erhltliche Software zur Hilfe genommen um die Aufgaben der Technikerarbeit zu bewltigen wie TeraTerm1, PuTTY2, 3CDaemon3, Broadcom Advanched Control Suite 24 und Ethereal mit WinPcap_3_05. Die notwendigen Einstellungen sowie die Bedienungsmglichkeiten dieser Software sind in diesem Dokument ebenfalls zu finden. Whrend der Ausarbeitung unserer Technikerarbeit in der Gewerbeschule Lrrach haben wir so viele neue und hochinteressante Dinge ber Netzwerktechnik erfahren, dass uns diese errungenen Erkenntnisse ebenfalls so stark faszinierten wie unsere Technikerarbeit selbst. Im brigen konnten wir bei unserem selbststndigen Arbeiten erfahren, wieviel Spa es macht, das Erlernte in ein Projekt umzusetzen. Ycel Oktay und Manuel Dollinger
______________________________ * 1 TeraTerm, HyperTerminal-Software, http://hp.vector.co.jp/authors/VA002416/teraterm.html * 2 PuTTY, Telnet/SSH Client, http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html * 3 3CDaemon, TFTP Server, http://support.3com.com/software/utilities_for_windows_32_bit.htm * 4 Broadcom NetXtreme Advanched Control Suite 2, http://www.broadcom.com/ * 5 Ethereal, http://www.ethereal.com/
Seite 4
2.0.0 Danksagung
Die vorliegende Technikerarbeit wurde in der Gewerbeschule Lrrach unter der Leitung von Fachlehrer Dipl.-Ing. Michael Knaus durchgefhrt. Ihm danken wir sehr herzlich fr das entgegengebrachte Vertrauen, uns mit dieser herausfordernden und interessanten Aufgabe zu beauftragen, und fr sein fortwhrendes Interesse am Fortgang des Projekts sowie fr die stndige Bereitschaft auch auerhalb der Schulzeiten. Bedanken mchten wir uns auch bei Dipl.-Ing. Werner Gempler fr seine Anregungen und aufmerksamen Beobachtungen. Wir bedanken uns ebenfalls bei der Gewebeschule Lrrach und bei allen Fachlehrern, die uns die flexible Benutzung der Schulrume fr dieses Projekt ermglicht haben. Selbstverstndlich bedanken wir uns auch bei unserem Kollegen Herrn Mark Wasmer fr die tolle Zusammenarbeit und gegenseitige Untersttzung, die fr das erfolgreiche Endergebnis des Gesamtprojektes erforderlich war. Auch Herrn Dr. Bocks danken wir fr das Korrekturlesen unserer Technikerarbeit und die, Zeit die er dafr aufgebracht hat. Zuletzt bedanken und beglckwnschen wir uns gegenseitig fr die gute und produktive Zusammenarbeit whrend der neun Monate an dieser anspruchsvollen Aufgabe.
Seite 5
Seite 6
4.0.0 Einleitung
Diese Technikerarbeit wurde uns vom Kunden anvertraut, um einen Teil der noch bevorstehenden Erweiterungen und Modernisierung des Schulnetzes der GWS-Lrrach zu realisieren. In einer Schule wie dieser ist ein Netzwerk, das dem heutigen Entwicklungsstand entspricht, von groer Bedeutung. Die Aufgabenstellung an uns war es, ein VLAN Konzept zu entwickeln, das durch eine Benutzeridentifikation die Benutzergruppen wie Lehrer, Schler als auch Gste in die entsprechenden VLANs weiterleitet. Die Zuordnung, welche Benutzergruppe, in welches VLAN weitergeleitet werden soll, erfolgt durch eine dazu befugte Person. Dadurch erffnet sich nun die Mglichkeit, sich mit dem eigenen Notebook ber jeden VLAN-Port der Schule in das entsprechend zugewiesene VLAN zu authentifizieren. Bekommen Schler beispielsweise ein Zertifikat fr VLAN 4, werden sie nach VLAN 4 authentifiziert. All diese Schler mit dem gltigen Zertifikat fr VLAN 4 sind dann in einem seperaten Netz und knnen die anderen VLANs nicht erreichen, welches gerade dadurch fr Klassennetze ausgezeichnet geeignet wre. Personen, wie z.B. Lehrer, knnen auch Zertifikate fr mehrere VLANs besitzen, um in allen erforderlichen Netzen arbeiten zu knnen. Mchte sich ein nicht Berechtigter mit keinem bzw. ungltigem Zertifikat an einer Netzwerkdose verbinden, wird er nicht abgewiesen, sondern in ein sogenanntes Gast-VLAN weitergereicht. Dies ist vor allem von Vorteil, wenn z.B. ein Professor einmalig einen Vortrag in der Schule hlt, da er kein Zertifikat braucht, da freigegebenen Netzwerkresourcen wie z.B. Drucker und entsprechende Dateifreigaben die ber das Gast-VLAN zu erreichen sind. Sehr wichtig ist allerdings auch die Sicherheit und Zuverlssigkeit, dieses Systems um Missbrauch durch Manipulation zu vermeiden. Auch die zentrale Verwaltung dieser Dienste stellten einen wichtigen Punkt dar und musste bercksichtigt werden. Wegen des groen Umfangs dieses Projekts wurde es in zwei Technikerarbeiten aufgesplittet. Herr Wasmer beschftigte sich mit der Bereitstellung des AuthenticationServers, wobei wir die Konfiguration der Netzwerkgerte vornahmen. Das Ergebnis dieser beiden Technikerarbeiten sollte einen prototypischen Testaufbau ergeben und jeweils eine Installations-/ bzw. Konfigurationsanleitung umfassen, die auch einer externen Firma fr die Einrichtung bergeben werden kann.
Seite 7
5.0.0 Projekt
5.1.0 Ziel des Projekts
Lehrer, Gste und Schler sollen sich mit ihrem eigenem Notebook mit dem Schulnetz verbinden knnen und in ein separates VLAN zugeteilt werden. Eine Anmeldung fr den Zugang ist vorher zwingend erforderlich. Die VLAN Struktur muss zentral konfiguriert und verwaltet werden. Ein funktionstchtiger Aufbau eines Versuchssystems, bestehend aus mehreren Supplicants (Workstations), Authenticators (Switches) und einem AuthenticationServer, ist ebenfalls erforderlich. Hierfr werden als Authenticators die bereits in der Schule verwendeten HP Procurve-Serie und die Cisco Catalyst-Serie herangezogen. Aufgrund des groen Arbeitsumfanges des Projekts, die den Rahmen der Technikerarbeit sprengen wrde, wird der Authentication-Server (Free-RADIUS) durch die kooperierende Technikerarbeit von Herrn Mark Wasmer abgedeckt. Schlussendlich muss die Technikerarbeit eine Installations-/Konfigurations-Anleitung enthalten, die einer externen Firma zur Realisierung bergeben werden kann.
Seite 8
Seite 9
5.2.3 Zeitplan
Der vorgegebene Zeitrahmen der Technikerarbeit erstreckte sich von September 2004 bis zum 13.Mai 2005. Es wurde von uns eine Zielsetzung ausarbeitet, die wie folgt aufgelistet ist: Zielsetzung bis: KW50, 2004 KW5, 2005 Sammeln von Informationen Einarbeitung und Vertiefung der Erkenntnisse ber VLAN TACACS+ IEEE 802.1x KW7, 2005 Update der Switches Erlernen und vertiefen der Switches IOS und OS KW13, 2005 KW18, 2005 KW28, 2005 Praktischer Teil luft und Konzept fr die Dokumentation steht TA Dokument fertig TA Prsentation fertig
Der Verlauf des Zeitplans konnte nicht komplett in dieser Art und Weise beibehalten werden, da er sich teils durch unvorhersehbare Probleme in der Technikerarbeit und teils durch private Angelegenheiten verzgerte. Ebenfalls wurde der anschlieende Sicherheitstest zuvor zeitlich unterschtzt, da dieser in der Praxis umfangreicher als angenommen war und sich deshalb bis in die letzte Aprilwoche hineingezogen hat. Doch diese Defizite wurden von uns durch Aufopferung der Freizeit und durch besonderes Arrangement kompensiert, so dass wir das Projekt erfolgreich abschlieen konnten.
Seite 10
Seite 11
Technikerarbeit Sommer 2005 Auerdem wurde fr die kommunikative Zusammenarbeit aller Beteiligten auch E-Mail, Instant Messaging und Voice over IP benutzt. Ein weiteres Problem war die Fachliteratur, die grtenteils auf Englisch zu finden war. Dies kostete uns einiges an Zeit. Eine Herausforderung war es speziell, das IOS des Cisco Switches upzudaten. Als dies geschafft war, ging es an die Konfiguration, die uns nach und nach zeigte, was berhaupt alles mglich ist, was uns ermutigte, mehr knnen zu wollen, und so verbrachten wir die Hauptzeit unserer Ferien damit, die Handbcher zu studieren und das neu Erlernte gleich in die Praxis umzusetzen. Als die Konfiguration abgeschlossen war, kam die Frage auf, ob das Netz auch wirklich sicher ist. Darum fhrten wir eine Reihe Tests durch, die dann letztendlich ergaben dass es sicher ist, was uns dann besttigte eine gute Arbeit gemacht zu haben. Besonders mit Stolz erfllte uns die Prsentation unserer fertig gestellten und funktionierenden Technikerarbeit, die wir am 3. Mai vor der Schulleitung und der Netzwerkgruppe vorfhren durften.
Seite 12
Seite 13
Seite 14
Terminal
Terminal
VLAN 1
VLAN 2
Terminal
VLAN 3
Terminal
Workgroup Switch
VLAN 4
Terminal
Terminal Terminal
Terminal Terminal
VLAN 2
VLAN 4
Terminal Terminal
VLAN 3
Workgroup Switch
Terminal
VLAN 1
Terminal
Terminal
Seite 15
Seite 16
Technikerarbeit Sommer 2005 Flexibilitt: Standortunabhngige und individuelle Zugriffsmglichkeiten auf Netzwerkressourcen und Peripheriegerte erhebliche Erleichterung durch Einsatzmglichkeit eigener Notebooks der Netzwerkteilnehmer Innovation: Bessere Netzinfrastruktur durch Zuordnung der Abteilungen und Klassen in unterschiedliche VLANs Erweiterung der Netztopologie durch weitere Gerte und Ports
6.2.2 Nachteile
hohe Migrationskosten, da ein Switching Network sowie ein leistungsfhiges Management bentigt werden hohe Kosten fr schnellen Backbone mangelnde Standardisierung und daraus resultierende Inkompatibilitten.
Seite 17
Seite 18
Vorspann
802.3
802.3
IP
802.3
IEEE 802.1q IEEE 802.1q Priority Canonical Field Format Indicator 3 Bit 1 Bit
Seite 19
8.0.0 Ethernet-Port-Trunking
Ethernet-Port-Trunking physikalischen bezeichnet eines die sogenannte zu Aggregation einer von Ethernet Links(Logische Zusammenlagerung der Verbindungen). Beim Trunking werden mehrere Verbindungen Switches logischen Verbindung zusammengeschaltet. Den Endpunkt eines derart gebildeten virtuellen Trunk bezeichnet man auch als virtuellen Port. Daraus leitet sich die synonyme Bezeichnung Port Trunking ab. Das Verfahren ermglicht die kostengnstige berfhrung von Fast Ethernet (100 Mbit/s) zum Gigabit Ethernet (1000 Mbit/s), bei der die Bitrate in kleinen Schritten an den aktuellen Bedarf angepasst werden kann. Damit ist es mglich, stark belastete Verbindungen im Netz zu erweitern, ohne auf die Komponenten fr Gigabit Ethernet umsteigen zu mssen.
Terminal
Terminal
Terminal
Abb. 8: Trunk-Verbindung
Seite 20
Seite 21
Technikerarbeit Sommer 2005 Autorisierung Ist der Vorgang der berprfung, ob bestimmte (Zugriffs-) Rechte einem (authentifizierten) Benutzer zugesprochen werden knnen oder nicht. Dabei kann es sich z.B. um Zugriffsrechte fr Netzlaufwerke handeln. Accounting Beschreibt den Vorgang der Sammlung von Daten bzgl. Resourcenverbrauch fr Abrechnungszwecke, Kapazittsplanungen, Statistiken etc.. Authenticator Die Einheit, die die Authentisierung des Gertes am anderen Ende der Verbindung anfordert. Supplicant Die Einheit, die Zugang zum LAN sucht und dafr durch den Authenticator berprft wird. Port Access Entity (PAE) Die Protokoll-Instanz, die mit einem kontrollierten Port verbunden ist. Die Instanz kann die Funktionalitt eines Authenticators, eines Supplicant oder auch beides gemeinsam umfassen. Authentication Server Eine Einheit, die die Authentisierung durchfhrt und das Ergebnis der Authentisierung dem Authenticator mitteilt. Diese Einheit kann mit dem Authenticator integriert sein, ist aber meistens ein externer Server. IEEE 802.1x Das Protokoll dient zur Kontrolle der Benutzer-Identitt beim Zugriff auf das Ethernet und ist zustndig zwischen Gerten, die den Zugang zum LAN suchen, und zwischen Gerten, die den Zugang zum LAN verwalten. Also die Anforderungen an ein Protokoll zwischen dem Authenticator (Zugangspunkt zum LAN) und einen Authentisierungs-Server (z.B. RADIUS).
Seite 22
Quelle: http://www.id.ethz.ch
Technikerarbeit Sommer 2005 Die verwendete Authentifizierungsmethode wird durch IEEE 802.1X nicht festgelegt. IEEE 802.1X basiert auf dem Extensible Authentication Protocol (EAP), welches ursprnglich fr die Verwendung im Point-to-Point Protocol (PPP) entwickelt wurde und eine Vielzahl von Authentifizierungsmethoden untersttzt. Die Autorisation findet bei IEEE 802.1X auf der Grundlage von Ports statt. Ein Port wird in zwei logische Ports unterteilt, einen kontrollierten und einen unkontrollierten. Der kontrollierte Port kann nur zur Kommunikation benutzt werden, wenn er sich in einem autorisierten Zustand befindet. Eine Kommunikation ber den unkontrollierten Port ist zwar stets mglich, jedoch ist diese eingeschrnkt. Quelle: http://einstein.informatik.uni-oldenburg.de
Technikerarbeit Sommer 2005 Protokoll bernimmt die Authentifizierung und Verschlsselung sowie das Accounting. Vom TACACS+-Server wird der Anfang und das Ende der Benutzung einer Leistung protokolliert und kann zu Abrechnungszwecken herangezogen werden. TACACS ist in gewissen Bereichen dem RADIUS hnlich. So stellt ein Client eine Authentifizierungsanfrage an einen NAS (Network Access Server), der diese Anfrage an den zentralen TACACS-Server weiterleitet. Cisco hat zwei Erweiterungen, das Extended TACACS (XTACACS) und TACACS erarbeitet. Das TACACS+ Subsystem (Authenticator) stellt eine TCP-Verbindung zum Host (TACACS+-Server, Authentication Server) her und sendet ein Start-Paket. Der Host reagiert mit einem Replay-Paket, das entweder direkt den Zugriff gestattet oder verweigert, einen Fehler meldet oder an den Supplicant eine Anfrage stellt. Der User wird also nach Username und Password gefragt, welches durch das Subsystem wieder an den Host bertragen wird. Der Host reagiert entsprechend und die Verbindung wird geschlossen. tac_plus ist Cisco's freier TACACS+-Server fr Unix, welcher auch mit Debian GNU/Linux mitgeliefert wird. Eine volle Implemation wird von Cisco kommerziell vertrieben. Da TACACS+ ein properitres Protokoll der Firma Cisco ist, verliert es gegenber RADIUS immer mehr an Bedeutung und konnte sich nur wegen der groen Verbreitung der Cisco-Produkte bis heute halten. Ein Vorteil von TACACS+ gegenber RADIUS ist unter Umstnden, das TACACS+ das ganze Paket verschlsselt, RADIUS hingegen nur das Passwort, was aber bei den meisten Einsatzbereichen keine Rolle spielt.
9.4.2 Fazit
Der IEEE 802.1x Standard legt unter anderem fest, wie das Authentifizierungsprotokoll EAP (Extensible Authentication Protokoll) ber Kabel oder Funknetzwerk in Ethernet Frames verpackt. Deshalb heit 802.1.x auch EAPOL (EAP over LAN). Das Protokoll wird auer bei portbasierender Authentifikation auch bei Wireless Lan Gerten angewendet, um die Kommunikation zum Gert ber den Access-Point zu ermglichen. Neben EAP, basiert 802.1x zustzlich auf PPP (Point to Point Protokoll). PPP und EAP sind Internetstandards (in RFCs definiert), whrend 802.1.x von der IEEE (Institute of Electrical and Electronics Engineers) stammt. Die RFCs sind durchnummerierte Serien von Dokumenten die verffentlicht werden. Das TACACS+ Protokoll bernimmt die Authentifizierung und Verschlsselung sowie das Accounting. Whrend IEEE 802.1x nur ein Authentisierungsprotokoll darstellt, ist das Seite 25
(Authorisation) oder zu Abrechnungszwecken (Accounting). TACACS+ spielt auch die Bindegliedrolle zwischen der zentralen Benutzerverwaltung und dem RAS (Remote Access Service). RAS ist ein Dienst, ber den man sich beispielsweise zwecks Fernsteuerung auf einen anderen PC oder in ein internes LAN einwhlen kann. Bei der Auswahl eines Authentification-Servers sprechen Folgende Vorteile fr TACACS+: TACACS+ verschlsslet das ganze Paket, RADIUS hingegen nur das Passwort. Die Passwort-Konfigurationen sind nicht mehr physikalisch auf den Gerten und mssen dadurch auch nicht mehr einzeln gepflegt werden. Skalierbarkeit. Beim editieren von Usern werden smtliche nderungen nur in einer Datenbank nachgefhrt. Dadurch ist die bersicht besser gewhrleistet. Die Passwrter werden verschlsselt auf einem AAA-Server gespeichert (z.B. auf einem Unix System). Der starke Algorithmus bei Unix verschlsselten Passwrter bietet so wesentlich mehr Sicherheit. Jeder Zugriff auf die Gerte wird beim AAA-Server geloggt und kann ausgewertet werden. Damit hat man ein gutes Tool zur berwachung smtlicher Aktivitten in den Hnden. Zustzlich knnen damit auch Abrechnungsinformationen in Bezug auf Sicherheits-Audits oder Kontenabrechnungen aufgezeichnet werden Dagegen stehen folgende Nachteile: Da auf dem Markt keine gnstigen Switches verfgbar sind, die mit TACACS+ umgehen knnen, und weil TACACS+ ein properitres Protokol der Firma Cisco ist, verliert es gegenber RADIUS immer mehr an Bedeutung und konnte sich nur wegen der groen Verbreitung der Cisco-Produkte bis heute halten. Die frei erhltliche Version von TACACS+ unterschttzt viele wichtige Funktionen wie z.B. die Anwendung der Zertfikate wie EAP/TLS bei Authententifikation nicht. Somit msste die Authentifizierung ber die MAC-Adresse erfolgen. Allerdings wre dann die Sicherheit beeintrchtigt, da die MAC-Adresse leicht geflscht werden knnte. Die Umstrukturierung eines Netzes auf WLAN wre bei TACACS+ nur mit Gerten von Cisco mglich. Diese Nachteile besttigen den Verdacht, dass die Zukunft des TACACS+ als Authentifizierungsservers ungewiss ist.
Seite 26
Technikerarbeit Sommer 2005 Modustaste bettigt werden und gleichzeitig das wieder eingesteckt werden. Stromversorgungskabel entfernt und
System LED: Ist aus, wenn der Switch ausgeschaltet, bzw. grn, wenn der Switch eingeschaltet ist. Gelber Zustand der LED deutet auf ein Problem hin, das sich durch POST ergeben hat
RPS LED: Signalisiert die Existenz und Status der redundanten Stromversorgung (RPS) und den Status der Hauptstromversorgung Port-LEDs: Haben eine Bedeutung, die vom akitven Modus des Switches abhngt Stat-LED: Bei diesem Modus zeigt die Port-LED den Status des Ports an. Grn steht fr bereit, Aus fr nicht bereit und grnes Blinken zeigt Aktivitt an Util-LED: Dieser Modus verwendet die kombinierten Port-LEDs als Anzeige fr die Gesamtauslastung des Switches. Je mehr Port-LEDs leuchten, desto strker ist der Switch ausgelastet
Dublex-LED: In diesem Modus ist die Port-LED an, wenn es sich um einen Vollduplex-Port, bzw. aus, wenn es sich um einen Halbduplex-Port handelt Speed-LED: In diesem Modus ist die Port-LED an, wenn es sich um einen 100 MBit/s Port bzw. aus, wenn es sich um einen 10 MBit/s Port handelt
Auf der Rckseite des Switches befinden sich eine RJ45 Konsole-Schnittstelle und ein Anschluss fr Stromversorgung 110/230V Wechselspannung 110/220 +/- 10% (50/60 Hz). Seite 28
Die hier genannten Infos ber die Bedienung der CLI ist nur ein kurzer Auszug, die aber fr die weitere Bedienung des Switches erforderlich sein knnen. Weitere Informationen knnen in den Dokumentationen nachgeschlagen werden.
Seite 29
Bildquelle: HP procurve series 2300 and 2500 switches Installation and getting started guide.pdf
Der HP Procurve 2524 Switch besitzt auf der Frontseite Taster, mit denen entsprechende Funktionen ausgelst werden knnen, und verschiedene Indikator-LEDs, die den aktuellen Betriebszustand des Gertes signalisieren. Seite 30
Technikerarbeit Sommer 2005 Taster: Mode Select Taster: Dient zum Umschalten der verschiedenen Moden Reset Taster: Lst einen Neustart des Switches aus Clear Taster: Lscht alle gesetzten Konsole Zugangspasswrter
Port LEDs: Link LED: leuchtet, wenn entsprechender Port aktiviert ist und eine Verbindung zu dem angeschlossenem Gert besteht. Leuchtet LED nicht, ist Port deaktiviert oder es besteht keine Verbindung. Blinkt LED simultan mit der Fault LED, weist der entsprechende Port einen Fehler auf Mode LED: Zeigt an, ob ein Port fr den Voll Duplex Modus oder fr den Max. Geschwindigkeits Modus aktiviert ist, bzw. ob ein Port Netzwerkaktivitt anzeigt oder Netzwerkereignisse signalisiert, die das Einschreiten des Administrators erfordern, abhngig vom Modus, der ausgewhlt wurde. Switch LEDs: Power LED: Ist aus, wenn der Switch ausgeschaltet, bzw. grn, wenn der Switch eingeschaltet ist. Fault LED: LED signalisiert nach dem Start bzw. nach Abschluss des Selbsttests, ob ein Fehler vorliegt. Bei nicht leuchtender LED liegt kein Fehler vor, bei blinkender LED liegt ein Fehler auf einem der Switch Ports oder des Lfters vor und bei leuchtender LED wird ein schwerer Hardwarefehler signalisiert Self Test LED: LED leuchtet whrend der Durchfhrung des Selbsttests, LED blinkt, wenn eine Komponente einen Fehler aufwies Fan Status LED: Leuchtet wenn Lfter ordnungsgem funktioniert und blinkt simultan mit der Fault LED, wenn ein Fehler des Lfters vorliegt. Mode Select LEDs: Act LED: Signalisiert, dass die Port Mode LEDs Information ber die Netzwerkaktivitt anzeigen FDx LED: Signalisiert, dass die Port Mode LEDs fr Ports, die im Voll Duplex Modus sind, leuchten
Seite 31
Technikerarbeit Sommer 2005 Max LED: Signalisiert, dass die Port Mode LEDs fr die Ports leuchten, die in ihrer max. mglichen Geschwindigkeit arbeiten. Z.B. fr die 10/100TX Ports wre es 100Mbps ! LED: Signalisiert dass die Port Mode LEDs Netzwerkereignisse anzeigen, die das Einschreiten des Administrators erfordern.
Auf der Rckseite des Gertes befindet sich ein Anschluss fr die Stromversorgung, 110/230V Wechselspannung (50/60 Hz) sowie ein Lfter, der fr die notwendige Khlung des Gertes sorgt und demzufolge nicht abgedeckt werden darf.
Seite 32
Die hier genannten Infos ber die Bedienung der CLI ist nur ein kurzer Auszug, die aber fr die weitere Bedienung des Switches erforderlich sein knnen. Weitere Informationen knnen im Benutzerhandbuch bzw. im command-line-interface-reference-guide nachgeschlagen werden.
Seite 33
Schritt 2: Serial aktivieren und entsprechende COM-Schnittstelle auswhlen, an der das Rolloverkabel mit dem PC verbunden ist, anschlieend mit OK Button besttigen
Seite 34
Seite 35
Danach mssen fr beide Zugangsarten (Intranet der GWS-Lrrach oder Internet) folgende Schritte im Terminal-Fenster gettigt werden, um eine Verbindung vom GWS-Lrrach SSH-Server auf den Debrad SSH-Server und somit auf Minicom herzustellen. Minicom stellt ein Interface auf die COM Schnittstelle des Rechners dar, an dem der entsprechende Switch ber ein Rollover-Kabel angeschlossen ist.
Benutzername und Passwort eingeben, um sich ber den GWS-Lrrach SSH-Server auf den Debrad SSH-Server anzumelden: Schritt 3: Schritt 4: [Benutzername]@sshserver:~$ Password: ssh [Benutzername]@debrad **********
Seite 36
Technikerarbeit Sommer 2005 Mit folgendem Befehl kann man sich ber Minicom auf dem entsprechenden Switch (Cisco Catalyst 2950 bzw. HP Procurve 2524) einloggen: Schritt 5: oder Schritt 5: [Benutzername]@debvl:~$ [Benutzername]@debvl:~$ minicom hp minicom cisco
Um nach einer Sitzung Minicom zu beenden, wird folgendermaen vorgegangen: Schritt 6: Schritt 7: Schritt 8: Schritt 9: Leave Minicom: [Benutzername]@debvl:~$ [Benutzername]@sshserver:~$ Strg + A, Z X Yes exit exit
Seite 37
Seite 38
Technikerarbeit Sommer 2005 Vor dem Updaten des Switches mssen mehrere ziemlich wichtige Informationen mit bercksichtigt werden: Wie lauten IP Adresse oder Hostname des TFTP-Servers? Wie heit die Datei? Ist der Flash-Speicher fr diese Datei gro genug? Liegt auf dem Server berhaupt eine Datei mit diesem Namen? Soll die alte Datei wirklich gelscht werden?
Seite 39
3.
Catalyst#del flash:c2950-i6q4l2mz.121-14.EA1a.bin
Seite 40
Technikerarbeit Sommer 2005 4. Catalyst#copy tftp flash Address or name of remote host []? 192.168.0.10 Source filename[c2950-i6q4l2mz.121-22.EA3.bin]? Destination filename [c2950i6q4l2-mz.121-22.EA3.bin]? Laden des gewnschten IOS Version von PC auf Flash ber TFTP - Angabe des TFTP Servers - Name der Quelldatei - Name der Zieldatei
Seite 41
Technikerarbeit Sommer 2005 Datenverkehr zwischen Switch und TFTP-Server whrend des Updatevorgangs
5. 6. 7. 8.
Catalyst#config terminal Catalyst(config)# boot system flash: c2950-i6q4l2mz.121-22.EA3.bin Catalyst(config)#exit Catalyst#show boot
Wechselt in den Konfigurationsmodus Name des neuen IOS von dem der Switch booten soll Zurck in Privilegierten EXEC-Modus Zeigt Boot Einstellungen an
Seite 42
10.
Catalyst#show version
3.
Seite 43
Technikerarbeit Sommer 2005 Nachdem das gewnschte OS auf den Switch geladen wurde, lst Switch einen Neustart aus und wird mit neuem OS gestartet. 4. Switch#show version Zeigt die aktuelle OS an
Seite 44
Seite 45
6. 7. 8. 9.
Catalyst(config)#aaa new-model Catalyst(config)# aaa authentication dot1x default group radius Catalyst(config)# aaa authorization network default group radius Catalyst(config)# dot1x system-auth-control
Aktivierung von AAA Aktivierung der Authentifikation ber Radius-Server Switch wird fr alle Anfragen ber Netzwerkverbindungen durch RadiusAutorisierung aktiviert Aktivierung von IEEE 802.1x Authentifikation
Seite 46
Catalyst(config)#interface range fastEthernet 0/1 - 23 Catalyst(config-if-range)# switchport mode access Catalyst(config-if-range)# dot1x port-control auto Catalyst(config-if-range)# spanning-tree portfast Catalyst(config-if-range)#exit Catalyst(config)# Radius-server host 192.168.0.1 key test123
14. 15.
Legt fr die weitere Konfiguration einen Interfacebereich von Port 1-23 fest Der gewhlte Portbereich wird fr VLANs definiert Automatische Aktivierung von IEEE 802.1x auf dem gewhltem Portbereich Der gewhlte Portbereich wird aktiviert um bei bestehender Verbindung direkt das Forwarding zu nutzen Fhrt zurck in den Konfigurationsmodus Konfiguration der Parameter des Radius-Servers (IP und Passwort)
16. 17. 18. 19. 20. 21. 22. 23. 24. 25.
Catalyst(config)#vlan 2 Catalyst(config-vlan)# name Gast Catalyst(config-vlan)#exit Catalyst(config)#vlan 3 Catalyst(config-vlan)# name Lehrer_1 Catalyst(config-vlan)#exit Catalyst(config)#vlan 4 Catalyst(config-vlan)# name Lehrer_2 Catalyst(config-vlan)#exit Catalyst(config)#vlan 5
Erzeugt ein zweites VLAN Benennung des VLAN 2 in Gast Zurck in den Konfigurationsmodus Erzeugt ein drittes VLAN Benennung des VLAN 3 in Lehrer_1 Zurck in den Konfigurationsmodus Erzeugt ein viertes VLAN Benennung des VLAN 4 in Lehrer_2 Zurck in den Konfigurationsmodus Erzeugt ein fnftes VLAN Seite 47
Technikerarbeit Sommer 2005 26. 27. 28. 29. 30. Catalyst(config-vlan)# name Schueler_1 Catalyst(config-vlan)#exit Catalyst(config)#vlan 6 Catalyst(config-vlan)# name Schueler_2 Catalyst(config-vlan)#exit Benennung des VLAN 5 in Schueler_1 Zurck in den Konfigurationsmodus Erzeugt ein sechstes VLAN Benennung des VLAN 6 in Schueler_2 Zurck in den Konfigurationsmodus
Catalyst(config)#interface vlan1 Catalyst(config-if)# ip address 192.168.0.6 255.255.255.0 Catalyst(config-if)#exit Catalyst(config)#interface vlan2 Catalyst(config-if)# ip address 192.168.1.1 255.255.255.0 Catalyst(config-if)#exit Catalyst(config)#interface vlan3 Catalyst(config-if)# ip address 192.168.2.1 255.255.255.0 Catalyst(config-if)#exit
Wechselt zu Interface VLAN 1 Vergabe der IP 192.168.0.6 / 24 an VLAN 1 Zurck in den Konfigurationsmodus Wechselt zu Interface VLAN 2 Vergabe der IP 192.168.1.1 / 24 an VLAN 2 Zurck in den Konfigurationsmodus Wechselt zu Interface VLAN 3 Vergabe der IP 192.168.2.1 / 24 an VLAN 3 Zurck in den Konfigurationsmodus Seite 48
Technikerarbeit Sommer 2005 40. 41. 42. 43. 44. 45. 46. 47. 48. Catalyst(config)#interface vlan4 Catalyst(config-if)# ip address 192.168.3.1 255.255.255.0 Catalyst(config-if)#exit Catalyst(config)#interface vlan5 Catalyst(config-if)# ip address 192.168.4.1 255.255.255.0 Catalyst(config-if)#exit Catalyst(config)#interface vlan6 Catalyst(config-if)# ip address 192.168.5.1 255.255.255.0 Catalyst(config-if)#exit Wechselt zu Interface VLAN 4 Vergabe der IP 192.168.3.1 / 24 an VLAN 4 Zurck in den Konfigurationsmodus Wechselt zu Interface VLAN 5 Vergabe der IP 192.168.4.1 / 24 an VLAN 5 Zurck in den Konfigurationsmodus Wechselt zu Interface VLAN 6 Vergabe der IP 192.168.5.1 / 24 an VLAN 6 Zurck in den Konfigurationsmodus
Legt fr die weitere Konfiguration einen Interfacebereich von Port 1-23 fest Ordnet unauthorisierte Clients in VLAN 2 (Gast-VLAN) ein Zurck in den privilegierten EXEC-Modus Seite 49
Technikerarbeit Sommer 2005 52. Catalyst#show vlan Zeigt berblick ber VLANs
53. 54.
Catalyst#write memory Catalyst#copy config.text tftp Address or name of remote host []? 192.168.0.10 Destination filename [config.text]? config.text
Sichert die Einstellungen in der config.text Datei Sichern der config.text von Flash auf PC ber TFTP - Angabe des TFTP Servers - Name der Zieldatei
Seite 50
Procurve(config)# vlan 1 Procurve(vlan-1)# name Admin_VLAN Procurve(vlan-1)# ip address 192.168.0.5 255.255.255.0 Procurve(vlan-1)# exit Procurve(config)# vlan 2 Procurve(vlan-2)# name Gast Procurve(vlan-2)# ip address 192.168.1.1 255.255.255.0 Procurve(vlan-2)# exit Procurve(config)# vlan 3 Procurve(vlan-3)# name Lehrer_1
Wechselt in erstes VLAN Benennung des VLAN 1 Admin_VLAN Vergabe der IP 192.168.0.5 / 24 an VLAN 1 Zurck in den Konfigurationsmodus Erzeugt ein zweites VLAN Benennung des VLAN 2 Gast Vergabe der IP 192.168.1.1 / 24 an VLAN 2 Zurck in den Konfigurationsmodus Erzeugt ein drittes VLAN Benennung des VLAN 3 Lehrer_1 Seite 51
Technikerarbeit Sommer 2005 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. Procurve(vlan-3)# ip address 192.168.2.1 255.255.255.0 Procurve(vlan-3)# exit Procurve(config)# vlan 4 Procurve(vlan-4)# name Lehrer_2 Procurve(vlan-4)# ip address 192.168.3.1 255.255.255.0 Procurve(vlan-4)# exit Procurve(config)# vlan 5 Procurve(vlan-5)# name Schueler_1 Procurve(vlan-5)# ip address 192.168.4.1 255.255.255.0 Procurve(vlan-5)# exit Procurve(config)# vlan 6 Procurve(vlan-6)# name Schueler_2 Procurve(vlan-6)# ip address 192.168.5.1 255.255.255.0 Procurve(vlan-6)# exit Vergabe der IP 192.168.2.1 / 24 an VLAN 3 Zurck in den Konfigurationsmodus Erzeugt ein viertes VLAN Benennung des VLAN 4 Lehrer_2 Vergabe der IP 192.168.3.1 / 24 an VLAN 4 Zurck in den Konfigurationsmodus Erzeugt ein fnftes VLAN Benennung des VLAN 5 Schueler_1 Vergabe der IP 192.168.4.1 / 24 an VLAN 5 Zurck in den Konfigurationsmodus Erzeugt ein sechstes VLAN Benennung des VLAN 6 Schueler_2 Vergabe der IP 192.168.5.1 / 24 an VLAN 6 Zurck in den Konfigurationsmodus
Seite 52
Technikerarbeit Sommer 2005 30. 31. 32. 33. 34. 35. Procurve(config)# radius-server host 192.168.0.1 key test123 Procurve(config)# aaa authentication port-access eapradius Procurve(config)# aaa portaccess authenticator active Procurve(config)# aaa portaccess authenticator ethernet 123 Procurve(config)# aaa portaccess authenticator ethernet 123 unauth-vid 2 Procurve(config)# aaa portaccess authenticator 1-11 authvid 3 Procurve(config)# port-security ethernet 1-11 learn-mode portaccess Procurve(config)# management-vlan 1 Procurve(config)# primary-vlan 2 Konfiguration der Parameter des Radius-Servers (IP und Passwort) Aktivierung des EAP kompatiblen Radius-Server fr die IEEE 802.1x Authentifikation Aktivierung von IEEE 802.1x Konfiguriert die Ports 1-23 als IEEE 802.1x Authentifizierungsports Legt Portbereich welche die unauthentifizierte Clients nach VLAN 2 Gast verbinden Legt Portbereich welche die authentifizierte Clients ab VLAN 3 verbinden (die Auswahl der VLANs wird ber Radius durchgefhrt) Aktiviert Sicherheitsfunktion, dass sich gleichzeitig nur ein Client ber den Port authentifizieren kann Definiert VLAN 1 als ManagementVLAN Definiert VLAN 2 als Primr-VLAN
39. 40.
Sichert die Running-Config in Startup-Config Sichern der Startup-Config von Flash auf PC ber TFTP
Seite 53
14.1.0 Netzwerkdiagnosesoftware
14.1.1 Broadcom Advanched Control Suite 2
Das Programm Advanched Control Suite 2 von Broadcom ist ein spezielles Software-Tool mit dem man von der Netzwerkkarte, zustzliche weitere virtuelle Netzadapter erstellen kann. Durch diese erstellten virtuellen Netzadapter kann man wiederum VLANs erzeugen und an das Netz, Ethernetframes senden die IEEE 802.1q Felder enthalten (also tagged). Downloadlink: http://www.broadcom.com/ Installation: Bei der Installation mssen folgende Komponenten ausgewhlt werden: - Advanced Suite - BASP Benutzung der Software: Schritt 1: Um ein VLAN zu erstellen auf den entsprechenden Netzwerkadapter klicken (VLAN erstellen)
Seite 54
Netzadapter auswhlen
VLAN erstellen
Schritt 2: Eigenschaften des neuen VLANs angeben: - VLAN-ID angeben - VLAN Name angeben - Auswhlen markiertes VLAN / unmarkiertes VLAN: Unmarkiertes VLAN aktiviert: es werden ganz normale Ethernetframes aus diesem virtuellen Netzweradapter gesendet (untagged) Unmarkiertes VLAN deaktiviert: es wird das 802.1q zu dem Frame hinzugefgt (tagged)
VLAN-ID
Auswahl:unmarkiert/markiert
VLAN Name Abb. 39: Broadcom Advanched Control Suite 2, Eigenschaften VLANs
Schritt 3: Mit OK Button besttigen und mit bernehmen Button die Erstellung des Virtuellen Netzadapters besttigen
Seite 55
Seite 56
Technikerarbeit Sommer 2005 Schritt 2: Das folgende Fenster zeigt eine prozentuale bersicht, welche Art von Ethernet Paketen zu dieser Zeit gerade ber den Netzwerkadapter fliesen. Mit dem Stop Button wird die Aufzeichnung durch Ethereal beendet
Seite 57
Terminal
Test 2: Client A besitzt kein bzw. kein gltiges Zertifikat und ist in der Lage, nach IEEE 802.1q getaggte Pakte zu senden. Frage: Kann der Client, obwohl er nicht authentifiziert ist, mit irgendeinem VLAN kommunizieren?
Seite 58
Technikerarbeit Sommer 2005 Test 3: Client A besitzt ein gltiges Zertifikat fr VLAN 4 und ist ber einen Hub an den Switch angeschlossen. Client A wurde erfolgreich nach VLAN 4 authentifiziert. Client B ist in der Lage getaggte Frames durch benutzen von IEEE 802.1q zu senden, und wird kurze Zeit, nachdem Client A authentifiziert wurde, an denselben Hub angeschlossen. Frage: Kann der Client B ber den bereits fr Client A authentifizierten Switch-Port in irgendein VLAN kommunizieren?
Client A - Zertifikat fr VLAN 4 - IEEE 802.1q Terminal
Workgroup Switch
Hub
Seite 59
Ergebnisse Test 1.2: Client A wurde in VLAN 4 erfolgreich authentifiziert Client X wurde in VLAN 5 authentifiziert anschlieend wurde TCP/IP deaktiviert und ein virtueller Netzadapter durch Broadcom erstellt. Client A: Zertifikat fr VLAN 4 IP: 192.168.3.3 Client X: Virtueller_Netzadapter: TCP/IP akt. 802.1x akt. EAP-TLS_CA Zertifikat akt.
Abb. 48: Sicherheitstest 1, Cisco, Bild 3
IP: 192.168.3.5
Seite 60
Clients A und X knnen miteinander nicht kommunizieren, da sie sich in unterschiedlichen VLANs befinden.
Technikerarbeit Sommer 2005 Client A besitzt kein bzw. kein gltiges Zertifikat und ist in der Lage, nach IEEE 802.1q getaggte Pakte zu senden. Um zu berprfen, ob der Client A mit VLAN 4 kommunizieren kann, obwohl er nicht authentifiziert ist, lauscht Client X mittels Ethereal den Datenverkehr dieses VLANs. Pingversuch von Client A an Client X ist erfolglos. Client A : ohne Zertifikat IEEE 802.1q Client X: Zertifikat fr VLAN 4 IP: 192.168.3.3
Abb. 53: Sicherheitstest 2, Cisco, Bild 1
Client A kann den Client X nicht erreichen. Hiermit ist gewhrleistet, dass die VLANs vllig abgetrennt sind. Bei der Aufzeichnung auf Client X (Ethereal) kommen keine Ping-Pakete von Client A an. Daher ist die Sicherheit hier gewhrleistet.
Technikerarbeit Sommer 2005 Client A: Zertifikat fr VLAN 4 / IP: 192.168.3.3 Client B: ohne Zertifikat / IP: 192.168.3.4 IEEE 802.1q Client X: Zertifikat fr VLAN 3 / IP: 192.168.2.2 Client A besitzt ein gltiges Zertifikat fr VLAN 4 und ist ber einen Hub an den Switch angeschlossen. Client A wurde erfolgreich nach VLAN 4 authentifiziert. Client B ist in der Lage, getaggte Frames durch Benutzen von IEEE 802.1q zu senden, und wird kurze Zeit, nachdem Client A authentifiziert wurde, an denselben Hub angeschlossen. Der ClientB kann den Client B anpingen, weil er am gleichen Hub angeschlossen ist.
Seite 63
Client A: Zertifikat fr VLAN 4 IP: 192.168.3.3 Client B: Zertifikat fr VLAN 3 IP: 192.168.2.2
Seite 64
Technikerarbeit Sommer 2005 Client A konnte den Client B im VLAN 3 nicht anpingen.
Ergebnisse des Test 1.2: Client A: Zertifikat fr VLAN 4 IP: 192.168.3.3 802.1x akt. Authentifiziert Virtueller_Netzadapter Zertifikat akt. IP: 192.168.3.4 802.1x akt. nicht authentifiziert Client B Zertifikat fr VLAN 3 IP: 192.168.2.2
Seite 65
Technikerarbeit Sommer 2005 Ping von virtuellen_Netzadapter an Client A in VLAN 4, keine Antwort.
Von Switch konnte der Client B in VLAN3 angepingt werden, richtiger Weise konnte weder der Client A noch der Virtuelle_Netzadapter angepingt werden
Seite 66
Technikerarbeit Sommer 2005 Ergebnisse des Test 2: Client A besitzt kein bzw. kein gltiges Zertifikat und ist in der Lage, nach IEEE 802.1q getaggte Pakte zu senden, und versucht, durch Benutzung von IEEE 802.1q mit dem VLAN 3 zu kommunizieren. Client A kann VLAN 3 nicht erreichen.
Client A : ohne Zertifikat IEEE 802.1q VLAN 3: IP: 192.168.2.1 Client X: Zertifikat fr VLAN 4 IP: 192.168.3.3 Client X kann mit VLAN 4 erfolgreich kommunizieren
Seite 67
Technikerarbeit Sommer 2005 Der Versuch zeigt, was passieren wrde, wenn es nicht sicher wre, also wenn die Pings den Zielrechner erreicht htte.
Ergebnisse des Test 3: Client A: Zertifikat fr VLAN 4 IP: 192.168.3.3 Client B: ohne Zertifikat IP: 192.168.3.4 IEEE 802.1q Client A: Zertifikat fr VLAN 3 IP: 192.168.2.2
Client A besitzt ein gltiges Zertifikat fr VLAN 4 und ist ber einen Hub an den Switch angeschlossen. Client A wurde erfolgreich nach VLAN 4 authentifiziert. Client B ist in der Lage getaggte Frames durch Benutzen von IEEE 802.1q zu senden, und wird kurze Zeit, nachdem Client A authentifiziert wurde, an denselben Hub angeschlossen.
Seite 68
Technikerarbeit Sommer 2005 Der Client B kann den Client B anpingen, weil er am gleichen Hub angeschlossen ist.
14.2.3 Fazit
Viele Netzwerkbesitzer trsten sich ber ihre Sicherheitslcken mit dem Satz Eindringlinge kommen ja doch berall hinein hinweg und ziehen es daher vor, keinerlei Sicherungen anzubringen und darauf zu hoffen dass alles gut wird. Anders, wie bei smtlichen Angelegenheiten im Leben, durchlief dieses funktionierende Projekt alle erdenklichen Sicherheitstests um mgliche Sicherheitslcken festzustellen und sie gegebenenfalls zu beseitigen. Dadurch hat sich herausgestellt, dass einige Nachverbesserungen unternommen werden mussten. An dieser Stelle ist zu erwhnen dass gerade die Sicherheit eines Netzes eine Eigenschaft ist, an der ein Stillstand einem Rckschritt gleich wre. Daher sind diese Tests keine Garantie fr die zuknftigen Anwendungen. Sicherheit muss kontinuierlich verbessert werden.
Seite 69
15.0.0 Schlusswort
Nach erfolgreicher Beendigung unserer Technikerarbeit knnen wir rckblickend sagen, trotz der Hhen und Tiefen die wir erlebt haben, dass wir uns sehr glcklich schtzen diese umfangreiche und anspruchsvolle Technikerarbeit gemeistert zu haben. Durch die Arbeit an diesem Projekt hatten wir die Gelegenheit viele Erfahrungen ber Netzwerktechnik und Hardwarekonfigurationen zu sammeln, die wir gerne in der weiteren Laufbahn unserer Kariere einsetzen werden. Daher mchten wir mit gutem Gewissen betonen, dass wir uns bestimmt wieder fr diese Technikerarbeit entscheiden wrden, wenn wir es uns noch einmal aussuchen drften. Darber hinaus haben wir die Mglichkeit gehabt, uns gegenseitig, und die anderen die an diesem Projekt beteiligt waren, besser kennen zu lernen.
Seite 70
16.0.0 Abbildungsverzeichnis
Abb. 1: VLAN Schema ................................................................................................8 Abb. 2: Wikipedia ......................................................................................................11 Abb. 3: Layer 1 VLAN................................................................................................15 Abb. 4: Layer 2 VLAN................................................................................................15 Abb. 5: Ethernet Framing-Fields vor dem Tagging....................................................18 Abb. 6: Ethernet Framing-Fields nach dem Tagging .................................................18 Abb. 7: Ausschnitt eines VLAN-Tags ........................................................................19 Abb. 8: Trunk-Verbindung .........................................................................................20 Abb. 9: IEEE 802.1x-Authentifizierung ......................................................................23 Abb. 10: Indikatoren Cisco Catalyst 2950 .................................................................28 Abb. 11: Front des HP Procurve 2524 Switch ...........................................................30 Abb. 12: Indikatoren HP Procurve 2524 ....................................................................32 Abb. 13: Tera Term Serial port setup ........................................................................34 Abb. 14: Tera Term New connection.........................................................................34 Abb. 15: PuTTY Verbindung ber das Intranet der GWS-Lrrach.............................35 Abb. 16: PuTTY Verbindung ber das Internet..........................................................36 Abb. 17: Einstellungen 3CDaemon ...........................................................................38 Abb. 18: IOS-Update Cisco Catalyst 2950, Bild1 ......................................................40 Abb. 19: IOS-Update Cisco Catalyst 2950, Bild2 ......................................................40 Abb. 20: IOS-Update Cisco Catalyst 2950, Bild3 ......................................................41 Abb. 21: IOS-Update Cisco Catalyst 2950, TFTP-Server..........................................42 Abb. 22: IOS-Update Cisco Catalyst 2950, Bild4 ......................................................42 Abb. 23: OS-Update HP Procurve 2524, Bild 1 .........................................................43 Abb. 24: OS-Update HP Procurve 2524, Bild 2 .........................................................43 Abb. 25: OS-Update HP Procurve 2524, Bild 3 .........................................................44 Abb. 26: OS-Update HP Procurve 2524, TFTP-Server .............................................44 Abb. 27: Konfiguration Cisco Procurve 2950, Bild 1..................................................46 Abb. 28: Konfiguration Cisco Procurve 2950, Bild 2..................................................46 Abb. 29: Konfiguration Cisco Procurve 2950, Bild 3..................................................47 Abb. 30: Konfiguration Cisco Procurve 2950, Bild 4..................................................48 Abb. 31: Konfiguration Cisco Procurve 2950, Bild 5..................................................49 Abb. 32: Konfiguration Cisco Procurve 2950, Bild 6..................................................50 Seite 71
Technikerarbeit Sommer 2005 Abb. 33: Konfiguration Cisco Procurve 2950, Bild 7..................................................50 Abb. 34: Konfiguration des HP Procurve 2524, Bild 1 ...............................................51 Abb. 35: Konfiguration des HP Procurve 2524, Bild 2 ...............................................52 Abb. 36: Konfiguration des HP Procurve 2524, Bild 3 ...............................................53 Abb. 37: Konfiguration des HP Procurve 2524, Bild 4 ...............................................53 Abb. 38: Broadcom Advanched Control Suite 2, Erstellung eines VLANs.................55 Abb. 39: Broadcom Advanched Control Suite 2, Eigenschaften VLANs ...................55 Abb. 40: Ethereal, Auswahl des Netzadapters ..........................................................56 Abb. 41: Ethereal, Aufzeichnung Datenverkehr.........................................................57 Abb. 42: Ethereal, Netzanalyse .................................................................................57 Abb. 43: Sicherheitsprfung 1 ...................................................................................58 Abb. 44: Sicherheitsprfung 2 ...................................................................................58 Abb. 46: Sicherheitstest 1, Cisco, Bild 1....................................................................59 Abb. 47: Sicherheitstest 1, Cisco, Bild 2....................................................................60 Abb. 48: Sicherheitstest 1, Cisco, Bild 3....................................................................60 Abb. 49: Sicherheitstest 1, Cisco, Bild 4....................................................................60 Abb. 50: Sicherheitstest 1, Cisco, Bild 5....................................................................61 Abb. 51: Sicherheitstest 1, Cisco, Bild 6....................................................................61 Abb. 52: Sicherheitstest 1, Cisco, Bild 7....................................................................61 Abb. 53: Sicherheitstest 2, Cisco, Bild 1....................................................................62 Abb. 54: Sicherheitstest 2, Cisco, Bild 2....................................................................62 Abb. 55: Sicherheitstest 3, Cisco, Bild 1....................................................................63 Abb. 56: Sicherheitstest 3, Cisco, Bild 2....................................................................63 Abb. 57: Sicherheitstest 1, HP, Bild 1........................................................................64 Abb. 58: Sicherheitstest 1, HP, Bild 2........................................................................64 Abb. 59: Sicherheitstest 1, HP, Bild 3........................................................................65 Abb. 60: Sicherheitstest 1, HP, Bild 4........................................................................65 Abb. 61: Sicherheitstest 1, HP, Bild 5........................................................................66 Abb. 62: Sicherheitstest 1, HP, Bild 6........................................................................66 Abb. 63: Sicherheitstest 1, HP, Bild 7........................................................................66 Abb. 64: Sicherheitstest 1, HP, Bild 8........................................................................66 Abb. 65: Sicherheitstest 2, HP, Bild 1........................................................................67 Abb. 66: Sicherheitstest 2, HP, Bild 2........................................................................67 Abb. 67: Sicherheitstest 2, HP, Bild 3........................................................................68 Seite 72
Technikerarbeit Sommer 2005 Abb. 68: Sicherheitstest 3, HP, Bild 1........................................................................69 Abb. 69: Sicherheitstest 3, HP, Bild 2........................................................................69
Seite 73
17.0.0 Anhang
Im Anhang befinden sich folgende Dokumente: Konfigurationstext von Cisco Catalyst 2950 Konfigurationstext von HP Procurve 2524 Debug Radius Kommunikation Cisco Catalyst 2950 CD-Rom
Seite 74