InhaltWeiter

11. Erweiterte Konfigurationen

Das nächste Beispiel zeigt eine erweiterte Konfiguration die vielen genügen wird und einige Fragen klärt.

11.1 Ein grosses Netzwerk mit Sicherheit als Schwerpunkt

Als Beispiel sei angenommen ein Netzwerk mit 50 Computern und ein Subnetz von 32 IP-Adressen (5 Bits). Benötigt werden unterschiedliche Zugangsstufen und Teile des Netzwerkes sollen vom Rest geschützt sein.

Die Stufen wären:

  1. Die externe Zugangsstufe. Diese Stufe bekommt jeder zu sehen.
  2. Mitarbeiter. Dies ist die Stufe für alle die aus der externen Stufe aufgestiegen sind.
  3. Experten. Hier werden die wichtigsten Daten verwaltet.

Die Netzwerk Konfiguration

Die IP-Adressen sind folgendermaßen eingeordnet:

Es werden außer dem externen öffentlichen noch 2 separate Netzwerke gebildet, jedes in verschiedenen Räumen. Sie werden mit Ethernet verbunden.

Diese Netzwerke werden jeweils an einen Linux-Computer mit eigener IP-Adresse angebunden.

Ein Daten-Server wird mit beiden Netzwerke vebunden, damit einige aus der restlichen Mitarbeiter-Gruppe Zugriff auf die wichtigen Daten haben. Der Daten-Server hat die IP-Adressen 192.168.2.17 für das Mitarbeiter-Netzwerk und 192.168.2.23 für das Experten-Netzwerk. Er hat 2 IP-Adressen weil er 2 Ethernetkarten hat, eine jeweils für das Mitarbeiter- und das Experten-Netzwerk. IP-Forwarding ist ausgeschaltet.

IP-Forwarding ist auch an den Linux-Computern ausgeschaltet. Der Router wird keine IP-Pakete für 192.168.2.xxx weiterleiten, solange ihm das nicht erlaubt wird, somit kann niemand aus dem Internet rein. Der Grund für das Ausschalten von IP-Forwarding besteht darin, daß keine Daten-Pakete aus dem Mitarbeiter-Netzwerk in das Experten-Netzwerk geraten und ebenso umgekehrt.

Der Daten-Server kann so konfiguriert werden um beide Netzwerke mit unterschiedlichen Daten zu bedienen. Mit symbolischen Verweisen kann man allgemeine Daten beiden Netzwerken zugänglich machen.

Die Proxy-Konfiguration

Alle 3 Stufen wünschen eine Überwachung des Netzwerkes über eventuelle falsche Absichten. Das externe öffentliche Netzwerk wird direkt mit dem Internet verbunden somit gibt es hier keine Probleme mit dem Proxy-Server. Die Experten- und Mitarbeiter-Netzwerke sind hinter dem Firewall, somit ist es wichtig hier einen Proxy-Server zu installieren.

Beide Netzwerke werden ungefähr gleich konfiguriert. Beide bekommen die selbe IP-Adresse zugewiesen um es ein hier ein wenig interessanter zu machen.

  1. Keiner kann den Daten-Server für den Internet-Zugnang benützen. Dies schützt den Daten-Server vor Viren und anderen üblen Dingen und ist somit sehr wichtig.
  2. Den Mitarbeitern wird kein Zugriff aufs World Wide Web gestattet.

Die sockd.conf Datei im Mitarbeiter-Linux-Computer hat folgenden Eintrag:

    deny 192.168.2.17 255.255.255.255

Der Experten-Computer folgenden:

    deny 192.168.2.23 255.255.255.255

Der Mitarbeiter-Linux-Computer hat noch diesen Eintrag:

    deny 0.0.0.0 0.0.0.0 eq 80

Dies verbietet den Zugriff aller Computer auf den Port gleich (eq) 80, dem http Port. Es erlaubt jeden anderen Dienst, nur eben nicht den Web-Zugriff.

Die Datei auf beiden Computern hat noch jenen Eintrag:

    permit 192.168.2.0 255.255.255.0

damit allen Computern aus dem 192.168.2.xxx Netzwerk erlaubt wird den Proxy-Server zu benützen außer den schon Abgewiesenen (den Daten-Server und der Web-Zugriff aus dem Mitarbeiter-Netzwerk).

Die Mitarbeiter sockd.conf sieht demnach so aus:

    deny 192.168.2.17 255.255.255.255
    deny 0.0.0.0 0.0.0.0 eq 80
    permit 192.168.2.0 255.255.255.0

und die Experten sockd.conf so:

    deny 192.168.2.23 255.255.255.255
    permit 192.168.2.0 255.255.255.0

Dies sollte alles korrekt konfigurieren. Jedes Netzwerk sollte entsprechend dem Maß an Wichtigkeit isoliert sein.


InhaltWeiter