====== Organisation ======= ===== Projekt-Auftrag ===== Ziel dieses Projektes ist die Bereitstellung von drei OpenVPN-Servern mit jeweils drei Clients. Diese Clients müssen in der Lage sein, sich netzwerkmäßig per //ping//-Kommando zu erreichen. Zusätzlich ist eine Dokumentation mit einem Umfang von ca. 30 Seiten pro Gruppe zu erstellen. Diese ist als PDF-Dokument am 20.08.2010 per E-Mail dem Betreuer Herrn Ralf Naues zur Verfügung zu stellen. Die Dokumentation soll die Organisation der Arbeit, die Kommunikation innerhalb der Gruppe und mit den anderen Gruppen dokumentieren. Darüber hinaus müssen ein Ausblick, Kritikpunkte an der Umsetzung bzw. der Projektdurchführung wie auch Verbesserungsvorschläge enthalten sein. Am 20.08.2010 ist ebenfalls eine Präsentation abzugeben. Diese ist am 27.08.2010 zu halten. Hierbei gibt es eine Präsentation pro Gruppe, die von einer Person vorgetragen wird. Die Dauer der Präsentation beträgt 45 min. Hierbei soll die Arbeit der eigenen Gruppe wie auch des Projektes vorgestellt werden. {{:fernuni:gruppenarbeit_im_praktikum_1599_ss10.pdf|PDF-Dokument mit dem Arbeitsauftrag}} ===== Projekt-Kommunikation ===== Für die Kommunikation innerhalb des Projektes standen zwei Möglichkeiten offen. Dies war zum einen die Kommunikation per E-Mail und zum anderen per Mailingliste. Für die Übermittlung sensibler Informationen wurde eine Verschlüsselung per S/MIME genutzt. Die folgenden Informationen standen für die E-Mail-Kommunikation zur Verfügung: - E-Mail * Dennis Günnewig * E-Mail-Adresse: * Zertifikat: * Peter Palsbroeker * E-Mail-Adresse: * Zertifikat: * Robert Saunders * E-Mail-Adresse: * Martin Bley * E-Mail-Adresse: * Zertifikat: * Niklas Nordhausen: * E-Mail-Adresse: * Zertifikat: * Sven Claussen * E-Mail-Adresse: * Zertifikat: * Matthias Pump * E-Mail-Adresse: * Zertifikat: * Timo Dobberphul * E-Mail-Adresse: * Zertifikat: * Thomas Rudolf * E-Mail-Adresse: Thomas Rudolf * Zertifikat: - Mailingliste * TBD ===== Projekt-Struktur ===== Ingesamt wurde das Projekt in übergreifende und gruppenspezifische Arbeitspakete aufgeteilt. Die übergreifenden Themen wurden in einer Arbeitsgruppe diskutiert. Die spezifischen Themen wurden innerhalb der Gruppe geklärt. ==== Gruppen-übergreifende Themen ==== Zu den übergreifenden Themen gehören - IP-Adress-Konzept * Welche IP-Adressen werden von welcher Gruppe verwendet? * Wie muss damit das Routing aussehen? - Authentifizierung der OpenVPN-Server untereinander * Zertifikate ==== Arbeitspakete Gruppe 2 (Übersicht) ==== Innerhalb der Gruppe 2 wurden die folgenden fünf Arbeitspakete definiert. Eine detailliertere Beschreibung findet sich im Anschluss. - Projekt-Planung * Verantwortlich: peter, robert, dennis * Status: in Arbeit - Grund-Installation, Einrichtung und Härtung des Systems * Verantwortlich: dennis * Status: erledigt - Installation und Einrichtung des OpenVPN-Servers für Client-To-Server-VPN-Verbindungen * Verantwortlich: dennis * Status: in Arbeit - Einrichtung des OpenVPN-Server für Server-To-Server-Verbindung * Verantwortlich: peter, robert * Status: in Arbeit - Test, Aufarbeitung der Dokumentation, Vorbereiten der Präsentation * Verantwortlich: peter, robert * Status: offen ==== Arbeitspakte Gruppe 2 (Details) ==== === Projekt-Planung === * Überblick verschaffen * Dokumentation heraussuchen * Sichere Konfiguration Ubuntu Server * Einrichtung OpenVPN * Planung * Notwendigen Schritte planen * Zeitplanung vornehmen === Grund-Installation, Einrichtung und Härtung des Systems === * Dokumentation lesen * Sichere Konfiguration Ubuntu Server * Absicherung Ubuntu Server (HowTos) * Betriebssystem installieren * Betriebssystem Auswahl * Server-Installation * Zugang zum System einrichten * Einrichtung Benutzer peter, robert * Generierung SSH-Keys für Benutzer * Versand SSH-Keys an Benutzer * Autorisierung der Benutzer vornehmen * Einrichtung Gruppe für kurs1599 * Konfiguration der sudoer-Datei * Härtung des Systems * Absicherung Benutzer * Prüfung installierter Programme * Prüfung Berechtigungen Benutzer * Test via nmap * Datensicherung vornehmen * VMware Snapshot erstellen (lassen) * Konzept zur Datensicherung überlegen * Skript zur Datensicherung erstellen === Installation und Einrichtung des OpenVPN-Servers für Client-To-Server-VPN-Verbindungen === * Dokumentation lesen * Einrichtung OpenVPN * Installation Ausführbare Dateien OpenVPN * Einrichtung Certificate Authority * Zertifikate erstellen * Zertifikate abstimmen * Einrichtung Netzwerkkonfiguration OpenVPN * IP-Adress-Konzept erarbeiten * IP-Konfiguration vornehmen * Härtung der Anwendung === Einrichtung des OpenVPN-Server für Server-To-Server-Verbindung === TBD === Test, Aufarbeitung der Dokumentation, Vorbereiten der Präsentation === TBD ====== Grundlagen ====== ===== Betriebssystem ===== Bereitgestellte Dienste, Aufgabe... ===== Netzwerk ===== ==== An diesem Text wird zur Zeit nicht weiter gearbeitet. Die Dokumentation wird nicht im Wiki erstellt. ==== Dieses Kapitel soll einen Überblick über die Grundlagen der Netzwerktechnik geben, die in diesem Fachpraktikum Verwendung finden. ====Internetadressen==== Rechner die über Netzwerke miteinander verbunden sind, müssen in diesen Netzwerken gefunden werden können. Analog zum Briefversand von Postdiensten werden auch hier Adressen benötigt. Diese Adressen müssen, wie auch die Adressen für Briefe, ein gemeinsames Aussehen haben. Die Adresse muss ebenfalls eindeutig sein. Diese Eindeutigkeit wird über die Vergabe einer eindeutigen Nummer für jeden Rechner realisiert. Diese sogenannt Media Access Control (MAC) Adresse ist die physische Adresse der Netzwerkkarte, mit der der Rechner mit dem Netz verbunden ist. Diese Adresse wird der Schicht 2 (Sicherungsschicht) des ISO/OSI Referenzmodells zugeordnet. Die MAC Adresse hat eine Größe von 48 bit und wird in hexadezimaler Schreibweise dargestellt. 01-ff-09-7e-00-20. Diese Adressen sollen weltweit eindeutig sein und die Hersteller von Netzwerkkarten müssen die Adressbereiche beim Institut of Electrical and Electronicle Engineers (IEEE) erworben werden. Im Internet, dem größten und verbreitetsten Netzwerk, sind die Adressen in Protokollen festgelegt. Derzeit gibt es Adressen im IPv4 (Internet Protokoll Version 4) und IPv6 (Internet Protokoll Version 6) Format festgelegt. Diese Adressen sind der Schicht 3 des ISO/OSI Referenzmodells zugeordnet und werden auch logische Adressen genannt. Der Header einer IPv4 Adresse hat folgendes Aussehen: ---- ^ bit 0 - 15 ^ bit 16 - 31 ^ | source port | destination port | | sequenz number || | acknowledgment number || ---- Der vollständige Header ist hier zu sehen: {{:fernuni:ipv4_header.xls|}} Im Feld source port ist die Absenderadresse, im Feld destination port die Empfängeradresse zu finden. Beide Adressen nutzen ein 32 bit Format. Dabei werden die Adressen in 4 Teile zerlegt und in Deimalschreibweise notiert. Bsp: 192.168.14.0 Die maximale Größe der einzelnen Zahlen ist auf 255 (2^8) beschränkt, der maximale Adressbereich auf 2^32 (4.294.967.296) Adressen beschränkt. Die Adresse ist durch die 4-Teilung der 32 bit in unterschiedliche Netze aufgeteilt. Jeder Adressbereich unterteilt sich in Netzwerk- und Hostteil. Bei gleichem Netzwerkteil befinden sich die Rechner im selben Netz und Nachrichten können direkt verschickt, bei unterschiedlichen Netzwerkadressen müssen Nachrichten zwischen Rechnern geroutet werden. Hostadressen im selben Netzwerk müssen eindeutig sein. Da der Adressraum begrenzt ist und die Zahl der benötigten Adressen stark steigt, wurden verschiedene Möglichkeiten entwickelt, den zur Verfügung stehenden Adressraum besser auszunutzen, bzw. zu erweitern. Auf eine bessere Ausnutzung zielt das Dynamic Host Configuration Protokoll (DHCP) Bei diesem Verfahren wird die IP Adresse eines Clients nicht mehr statisch vergeben, sondern bei Einwahl in das Netzwerk vom angewählten Server dynamisch vergeben. Das heißt, die IP Adresse des Clients kann sich von EInwahl zu Einwahl ändern. Der Telekommunikationsanbieter über den die Einwahl erfolgt bekommt so unter anderem die Möglichkeit den ihm zugwiesenen Adressbereich besser auszunutzen, da nicht alle Nutzer gleichzeitig eingewählt sein werden. Die Entwicklung des Internet Protokols Version 6 (IPv6) geht einen anderen Weg. Hier ist die Erweiterung des Adressraumes auf 2^128 Adressen, statt 2^32 Adressen im IPv4. Nach Schätzungen der Internet Assigned Numbers Authority (IANA) werden die letzten IPv4 Adressen 2011 vergeben. Die Erweiterung des Adressraumes erforderte auch die Entwicklung eines neuen Headers. Der Adressteil des IPv6 Headers hat folgendes Aussehen: ---- ^bit|^ 0 - 32 ^ ^0 | || ^64 | source adress || ^128| || ^192| destination adress || ^256| || ---- Weiterhin besteht die Möglichkeit mehrere Folgeheader für verschiedene Bedarfe einzufügen. Zum Beispiel könnte dort das routing durch das Netz beeinflußt werden. IP-Adressen, IPv4, Netzwerkmaske, CIDR, Routing, Routing Protokolle, Router, Topologien ===== VPN ===== Begriffsdefinition: Virtual Private Network CIAA: Confidentiality Integrity Availability Authenticity Möglichkeiten der Realisierung, SSLVPN, IPsec ====== Infrastruktur ====== Bild ===== Netzwerk ===== ==== Server ==== === Server Gruppe 1 === * Öffentliche IP-Adresse: * Interne IP-Adresse: * Netzwerk-Maske: === Server Gruppe 2 === * Öffentliche IP-Adresse: * Interne IP-Adresse: * Netzwerk-Maske: === Server Gruppe 3 === * Öffentliche IP-Adresse: * Interne IP-Adresse: * Netzwerk-Maske: ==== Clients ==== bla === Clients Gruppe 1 === * IP-Adresse: * Netzwerk-Maske: === Clients Gruppe 2 === * IP-Adresse: * Netzwerk-Maske: === Clients Gruppe 3 === * IP-Adresse: * Netzwerk-Maske: ==== Betriebssystem ==== === Benutzer === Benutzer 1: robert Benutzer 2: peter Benutzer 3: dennis === Berechtigungen === ==== Anwendungen ==== ==== SSH === * Zweck: Administration === Konfiguration === ==== OpenVPN === * Zweck: Fernzugang === Konfiguration ===