Escolar Documentos
Profissional Documentos
Cultura Documentos
1. Objectivo
A presente etapa tinha como objectivo integrar as vrias componentes da rede, montadas individualmente na fase anterior. Nesta fase foram crticos certos procedimentos para garantir o sucesso da interaco de cada parte com a restante rede. Os prximos tpicos descrevero as medidas tomadas durante a fase de planeamento, as configuraes finais necessrias integrao dos routers e as metodologias adoptadas para garantir o cumprimento tanto dos prazos como dos objectivos.
1. 2. 3. 4. 5. 6.
Utilizao de proxies para reduo dos acessos Internet; Cobertura WiFi na loja de Oeiras para os funcionrios a presentes; Garantir o suporte IPv4; Usar apenas o domnio alfaomega.pt disponvel; Utilizar o nmero reduzido de IPs pblicos existentes. O sistema telefnico existente no para ser alterado.
Alm destes requisitos de negcio e de tecnologia convm mencionar os que resultaram do nosso levantamento inicial e que so funcionais: 1. Segurana na rede contra ataques externos; 2. Segurana interna (cybercafe); 3. Bom desempenho e monitorizao nos pontos crticos da rede; 4. Escalabilidade da soluo; 5. Redundncia. 6. Proteco contra contedos indesejados; 7. A alterao do servidor web e servio de nomes para a delegao de Oeiras no dever demorar mais de 48 horas.
3. Caracterizao da rede
Comeando a anlise da rede com uma perspectiva de alto nvel a nossa soluo pode ser apresentada conceptualmente como:
Figura 1 Representao de alto nvel da rede pretendida. Podemos considerar que a rede se resume a duas redes de menores dimenses ligadas Internet. Existe uma VPN para possibilitar a comunicao entre ambas de forma segura. A rede da sede no Porto no est no mbito do projecto. Seguidamente analisaremos com mais detalhe a delegao de Oeiras, foco do nosso trabalho.
2 / 22
Figura 2 Representao lgica da rede da delegao de Oeiras. O desenho da rede teve em conta os requisitos levantados na fase inicial do trabalho. A Figura seguinte ilustra detalhadamente a rede desenhada.
A rede ento dividida em 3 VLANs (cybercafe, office e datacenter) feitas num switch de nvel 3 e uma outra VLAN que ter todos os servidores pblicos, representada por um switch de nvel 2. Os switches so ligados a dois routers que logicamente so apenas um. Usando o software keepalived foi possvel construir esta estrutura de redundncia. Nos sub-pontos seguintes avaliaremos em que medida o desenho escolhido satisfaz os requisitos.
empresa tanto para o email como para o Web Server. O DNS (Domain Name System), atravs do uso de alias, consegue resolver os nomes e desta forma temos um uso mais eficiente do domnio da empresa. Resta apenas referir que a rede deveria, toda ela, suportar IPv4, dado que a delegao do Porto tambm usa. Desta forma no h nenhum servio ou componente que apenas permitia IPv6. Alm disso o sistema telefnico e a sua integrao com a rede digital no estavam no mbito deste projecto pelo que nada deveria ser mudado.
5 / 22
O streaming tem como principais funcionalidades poder bloquear IP, restringir a qualidade por gamas de IP e especificar o servidor de DNS e proxy a utilizar. O DNS utiliza um master, um caching e um slave. O servio tem como qualidades principais o maior isolamento da informao garantindo menor dependncia de uma mquina. O uso do caching aumenta a performance da soluo. O servidor de DHCP permite estabelecer um tempo para as sesses (cybercafe tem sesses de 1 hora e para o office so 24horas). Os endereos MAC (Media Access Control) a que so atribudos os IP so guardados para permitir atribuir sempre o mesmo IP, quando possvel. Por fim, a VPN usa o protocolo poptop com protocolo de encriptao mppe. Oferece comunicao em trs semnticas diferentes (cliente cliente, cliente lan e lan lan).
destacar o syn flooding, o ip spoofing e o tcp fragments attack. Definimos regras de restrio para as comunicaes entre a zona interna e a DMZ. A firewall faz NAT e marca pacotes com o objectivo de lhes dar maior prioridade na rede ( sada e entrada), sendo o QoS (Quality of Service) garantido pela mesma.
6. Plano de integrao
O plano de integrao definido pelo grupo foi o presente na figura abaixo:
Figura 4 Grfico de PERT referente ao planeamento da integrao. Decidimos que deveriam existir gestores de projecto (Daniel e Lus) e que uma das pessoas de cada grupo deveria ser o porta-voz do grupo a cada momento (existiria sempre uma pessoa por grupo que dominava a sua componente para esclarecimento de dvidas com outros grupos e para reportar aos gestores). Dado alguns problemas a configurar o servidor de Radius terem surgido durante a fase de integrao com os APs, o Lus no pode assumir esse cargo, tendo focado a sua ateno a resolver esse problema. A partir deste momento o Daniel ficou responsvel por organizar a integrao segundo o plano estipulado pela equipa. Para apoiar o processo de gesto da integrao e dar ao gestor de projecto meios de guiar o seu trabalho, a equipa construiu um grafo de dependncias. Na imagem seguinte ele apresentado.
7 / 22
Figura 5 Grfico de dependncias das tarefas de integrao. O processo de integrao contava com um modelo de dois fluxos de integrao em paralelo (zona pblica e privada) e dentro de cada um s se avanava para a fase seguinte quando se tivesse resultado positivo em todos os testes para essa fase e anteriores. Nvel de integrao Sem integrao Milestone Cartes de teste Configurao individual Para os routers so os dos equipamentos cartes de teste: 1, 2 e 3 Routers + Switches Ter a rede principal Carto de teste n 4 + Servidores Ter servios disponveis Carto de teste n 5 + DNS Conseguir resolver nomes Carto de teste n 6 + VPN Comunicao segura com a Carto de teste n 7 sede do Porto + APs + DHCP + Radius Ter autenticao nos APs Carto de teste n 8 e atribuio dinmica de endereos na rede Tabela 1 Testes e Milestones para cada fase de integrao. 8 / 22
A tabela supra indicada revela o que era esperado no final de cada tarefa de integrao, bem como os cartes de teste correspondentes. No decorrer da montagem optmos por correr todos os testes que precediam cada milestone e no apenas o seu correspondente. Desta forma, garantimos que aps integrarmos mais um componente toda a integrao anterior continuava a funcionar. Avaliando o planeamento, detectamos que dois pontos eram optimistas demais. A fase de integrao dos routers com os switches falhou claramente as 2 horas previstas, bem como a fase de integrao da DMZ com a zona interna. A falha do DNS verificou-se nesta altura e a tarefa excedeu as 7 horas previstas. Estes atrasos comprometeram a preparao da apresentao e so algo a ter em quanto em futuras demonstraes. No final do prazo estava tudo funcional excepo do DNS porque no foi possvel resolver os problemas resultantes da integrao. O nosso grupo decidiu dividir o trabalho pelas trs pessoas da seguinte forma: o Antnio ficaria com a parte do routing, o Hugo com a redundncia e o Daniel com a Firewall. Durante o processo de integrao foi preciso auxiliar outros colegas (exemplo dos switches) e houve parte do tempo dispendido tanto pelo Hugo como pelo Daniel neste sentido.
9 / 22
8. Demonstrao
A demonstrao das funcionalidades assentou num guio que se encontra na prxima figura:
Tabela 2 Guio usado na apresentao. A escolha da sequncia de apresentao foi um best-effort porque tivemos restries ao nvel da presena dos elementos da equipa. Sendo assim escolheu-se um sequncia que apresentasse alguma lgica mas que libertasse os membros da equipa que tinham de sair mais cedo. Desta forma optou-se por comear pelo baixo nvel at chegar aos servios.
9. Bibliografia
[1] http://focalinux.cipsga.org.br/guia/avancado/ch-fw-iptables.htm [2] http://tools.ietf.org/html/draft-ietf-vrrp-spec-v2-10 [3] http://www.keepalived.org/ [4] http://www.netfilter.org/
10 / 22
11 / 22
/sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp echo "Enabling IP forwarding" echo "1" > /proc/sys/net/ipv4/ip_forward echo "1" > /proc/sys/net/ipv4/ip_dynaddr echo "External interface: $EXTIF" echo "External interface IP address is: $EXTIP" echo "Loading firewall server rules..." # Clear any existing rules and setting default policy to ACCEPT iptables iptables iptables iptables iptables iptables iptables -P -F -P -F -P -F -t INPUT ACCEPT INPUT OUTPUT ACCEPT OUTPUT FORWARD ACCEPT FORWARD nat -F
# Flush the user chain.. if it exists if [ "`iptables -L | grep drop-and-log-it`" ]; then iptables -F drop-and-log-it fi # Delete all User-specified chains iptables -X # Reset all IPTABLES counters iptables -Z #Creating an external chain iptables -N external # Creating a DROP chain iptables -N drop-and-log-it iptables -A drop-and-log-it -j LOG --log-level info --log-prefix "PACKET_REJECTED: " iptables -A drop-and-log-it -j REJECT echo -e "Loading INPUT rule sets" # Bloquear todos os acessos a web que venham da int mas no do proxy iptables -A FORWARD ! -d 192.168.1.7 -o $EXTIF -p tcp --sport 80 -j drop-and-log-it iptables -A FORWARD ! -d 192.168.1.7 -o $EXTIF -p tcp --sport 3128 -j drop-and-log-it # Bloquear o interior sem ser a VPN e DMZ iptables -A INPUT -i $EXTIF -d 192.168.3.2 -j ACCEPT iptables -A INPUT -i $EXTIF -d 192.168.4.0/24 -j ACCEPT iptables -A FORWARD -d 192.168.3.2 -j ACCEPT iptables -A FORWARD -d 192.168.4.0/24 -j ACCEPT iptables -A FORWARD -d 192.168.0.0/24 -j DROP iptables -A FORWARD -d 192.168.1.0/24 -j DROP
12 / 22
iptables -A FORWARD -d 192.168.2.0/24 -j DROP iptables -A FORWARD -d 192.168.3.0/24 -j DROP # SYN-Flooding Protection chain iptables -N syn-flood iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN iptables -A syn-flood -j drop-and-log-it ###chain #ping da iptables 2/s external### morte -A external -p icmp --icmp-type echo-request -m limit --limit -j ACCEPT
#syn flood iptables -A external -i $EXTIF -p tcp --syn -j syn-flood # Make sure that new TCP connections are SYN packets iptables -A external -p tcp ! --syn -m state --state NEW -j drop-andlog-it # Drop fragments iptables -A external -f -j drop-and-log-it # Refuse spoofed packets claiming to be the loopback iptables -A external -d 127.0.0.0/8 -j drop-and-log-it # Remote interface, claiming to be local machines, IP spoofing, get lost #iptables -A external -s $INTNET -d 0.0.0.0/0 -j drop-and-log-it #handler do exterior iptables -A INPUT -i EXTIF -j external # Windows NetBIOS iptables -A INPUT DROP iptables -A INPUT DROP iptables -A INPUT DROP noise, drop -i $EXTIF -p udp -s 0.0.0.0/0 --sport 137:139 -j -i $DMZIF -p udp -s 0.0.0.0/0 --sport 137:139 -j -i $INTIF -p udp -s 0.0.0.0/0 --sport 137:139 -j
# outgoing to local net on remote interface, stuffed routing, deny iptables -A OUTPUT -o $EXTIF -s 0.0.0.0/0 -d $INTNET -j drop-and-logit # Enable SNAT (MASQUERADE) functionality on $EXTIF iptables -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP #Tabela mangle iptables -t mangle -A OUTPUT -p tcp --dport 80 -j TOS --set-tos 0x10 iptables -t mangle -A OUTPUT -p udp --dport 53 -j TOS --set-tos 0x10 iptables -t mangle -A FORWARD -p tcp --dport 80 -j TOS --set-tos 0x10 iptables -t mangle -A FORWARD -p udp --dport 53 -j TOS --set-tos 0x10 echo -e "Firewall server rules loading complete\n\n"
13 / 22
interfaces # lo auto lo iface lo inet loopback # DMZIF iface eth1 inet static address 192.168.1.2 netmask 255.255.255.0 # INTIF iface eth2 inet static address 192.168.0.2 netmask 255.255.255.0 # EXTIF iface eth3 inet dhcp keepalived.conf vrrp_instance int { state MASTER interface eth2 virtual_router_id 1 priority 100 authentication { auth_type PASS auth_pass monday } track_interface { eth2 eth3 } virtual_ipaddress { 192.168.0.1/24 brd 192.168.1.255 dev eth2 } } vrrp_instance dmz { state BACKUP interface eth1 virtual_router_id 1 priority 50 authentication { auth_type PASS auth_pass monday } track_interface { eth1 eth3 } virtual_ipaddress { 192.168.1.1/24 brd 192.168.1.255 dev eth1 } }
14 / 22
CARTO DE TESTE N1
Objectivo do teste Testar a conectividade dos routers.
Cenrio de teste
Lista de material
- 2 computadores com o sistema operativo Kubuntu e 3 placas de ethernet instaladas - Cabos ethernet necessrios
A montagem dever corresponder ao desenho da rede.
Montagem
Topologia da rede Rede com trs zonas: Internet, Zona Interna e DMZ.
Procedimentos de teste
Lista de procedimentos
Seguir 5.Configurao final dos routers Executar o comando ping <ip destino> desde a origem e destino em que se pretende verificar a conectividade.
Resultados
Resultados esperados O comando ping retornar sempre o tempo que levou a executar-se e nunca dar host unreachable ou timeout.
15 / 22
CARTO DE TESTE N2
Objectivo do teste Testar redundncia dos routers.
Cenrio de teste
Lista de material
- 2 computadores com o sistema operativo Kubuntu e 3 placas de ethernet instaladas - Cabos ethernet necessrios
A montagem dever corresponder ao desenho da rede.
Montagem
Topologia da rede Rede com trs zonas: Internet, Zona Interna e DMZ.
Procedimentos de teste
Lista de procedimentos
Seguir 5.Configurao final dos routers Executar o comando ping <ip destino>. Retirar o cabo que liga a origem ao router master. Executar o comando ping <ip destino>.
Resultados
Resultados esperados No ecr dos logs do router dever aparecer que o router master est down e passado alguns segundos o router que estava em slave state dever assumir o papel de master.
16 / 22
CARTO DE TESTE N3
Objectivo do teste Testar a firewall dos routers.
Cenrio de teste
Lista de material
- 2 computadores com o sistema operativo Kubuntu e 3 placas de ethernet instaladas - Cabos ethernet necessrios
A montagem dever corresponder ao desenho da rede.
Montagem
Topologia da rede Rede com trs zonas: Internet, Zona Interna e DMZ.
Procedimentos de teste
Lista de procedimentos
Seguir 5.Configurao final dos routers Gerar trfego que no cumpra as regras. Exemplo: ping f <ip destino>.
Resultados
Resultados esperados No ecr dos logs do router dever aparecer a descrio dos pacotes de ICMP ou outros que esto a ser descartados.
17 / 22
CARTO DE TESTE N4
Objectivo do teste Testar o encaminhamento certo das VLAN do switch para o router.
Cenrio de teste
Lista de material
- 2 computadores com o sistema operativo Kubuntu e 3 placas de ethernet instaladas - Cabos ethernet necessrios - Switch Passport da Nortel (L3) e Switch Nortel (L2)
Montar os routers e lig-los apenas ao switch e este com um computador ligado por cada VLAN.
Montagem
Topologia da rede Rede com trs zonas: Internet, Zona Interna e DMZ.
Procedimentos de teste
Lista de procedimentos
Seguir 4.Configurao final dos routers Seguir o procedimento de configurao do switch descrito no relatrio da sub-equipa correspondente. Executar o comando ping <ip destino> desde a origem e destino em que se pretende verificar a conectividade. Repetir este ltimo passo para vrios pares de origem-destino, de preferncia a passar por todas as combinaes de VLANs possveis.
Resultados
Resultados esperados O comando ping retornar sempre o tempo que levou a executar-se e nunca dar host unreachable ou timeout.
18 / 22
CARTO DE TESTE N5
Objectivo do teste Testar os vrios servios.
Cenrio de teste
Lista de material
- 2 computadores com o sistema operativo Kubuntu e 3 placas de ethernet instaladas - Cabos ethernet necessrios - Switch Passport da Nortel (L3) e Switch Nortel (L2) - Servidores (streaming, email, proxy e web server)
Montar os routers e lig-los apenas ao switch e este com um computador ligado por cada VLAN. Ligar os servidores nas VLANs correctas de acordo com a especificao da rede.
Montagem
Topologia da rede Rede da delegao de Oeiras com trs zonas: Internet, Zona Interna e DMZ.
Procedimentos de teste
Lista de procedimentos
Seguir 4.Configurao final dos routers Seguir o procedimento de configurao do switch e servidores descrito no relatrio da sub-equipa correspondente. Tentar aceder aos vrios servios de cada servidor.
Resultados
Resultados esperados Resultados obtidos Os resultados obtidos foram os esperados. Obter a execuo correcta do servio.
19 / 22
CARTO DE TESTE N6
Objectivo do teste Testar resoluo de nomes.
Cenrio de teste
Lista de material
- 2 computadores com o sistema operativo Kubuntu e 3 placas de ethernet instaladas - Cabos ethernet necessrios - Switch Passport da Nortel (L3) e Switch Nortel (L2) - Servidores - Clientes e servidor de VPN - Computadores na rede com o software de packet sniffing wireshark - Vrios computadores com os servidores de DNS necessrios
Montar os routers e lig-los apenas ao switch e este com um computador ligado por cada VLAN. Ligar os clientes da VPN nos locais correspondentes. Ligar os servidores nas VLANs correctas de acordo com a especificao da rede. Ligar o DNS.
Montagem
Topologia da rede Rede da delegao de Oeiras com trs zonas: Internet, Zona Interna e DMZ. Rede do Porto ligada por VPN rede de Oeiras.
Procedimentos de teste
Lista de procedimentos
Seguir 4.Configurao final dos routers Seguir o procedimento de configurao do switch, servidores, DNS e VPN descrito no relatrio da sub-equipa correspondente. Tentar aceder a todos os servios anteriores, mas desta vez especificando nomes em vez de endereos IP.
Resultados
Resultados esperados Resultados obtidos Os resultados obtidos mudaram ao longo do tempo. Inicialmente foram obtidos os resultados esperados depois deixou de o ser possvel. Uma mensagem de erro era passada para os clientes dos servios. Dever ser possvel executar correctamente os servios.
20 / 22
CARTO DE TESTE N7
Objectivo do teste Testar o normal funcionamento da VPN na rede montada.
Cenrio de teste
Lista de material
- 2 computadores com o sistema operativo Kubuntu e 3 placas de ethernet instaladas - Cabos ethernet necessrios - Switch Passport da Nortel (L3) e Switch Nortel (L2) - Servidores - Clientes e servidor de VPN - Computadores na rede com o software de packet sniffing wireshark
Montar os routers e lig-los apenas ao switch e este com um computador ligado por cada VLAN. Ligar os clientes da VPN nos locais correspondentes. Ligar os servidores nas VLANs correctas de acordo com a especificao da rede
Montagem
Topologia da rede Rede da delegao de Oeiras com trs zonas: Internet, Zona Interna e DMZ. Rede do Porto ligada por VPN rede de Oeiras.
Procedimentos de teste
Lista de procedimentos
Seguir 4.Configurao final dos routers Seguir o procedimento de configurao do switch, servidores e VPN descrito no relatrio da sub-equipa correspondente. Executar comunicao ligando os clientes VPN e passando informao entre eles. Ligar software de captura dos pacotes em vrios pontos da rede.
Resultados
Resultados esperados O software de captura dos pacotes mostra que passam por l os pacotes que tm a informao mas esta ininteligvel.
21 / 22
CARTO DE TESTE N8
Objectivo do teste Testar a ligao autenticada ao cybercafe por wireless e a atribuio de endereos dinamicamente.
Cenrio de teste
Lista de material
- 2 computadores com o sistema operativo Kubuntu e 3 placas de ethernet instaladas - Cabos ethernet necessrios - Switch Passport da Nortel (L3) e Switch Nortel (L2) - Servidores - Clientes e servidor de VPN - Computadores na rede com o software de packet sniffing wireshark - Vrios computadores com os servidores de DNS necessrios - Servidor Radius e AP da Nortel - Servidores DHCP
Montar os routers e lig-los apenas ao switch e este com um computador ligado por cada VLAN. Ligar os clientes da VPN nos locais correspondentes. Ligar os servidores nas VLANs correctas de acordo com a especificao da rede. Ligar o DNS. Ligar o AP VLAN do cybercafe Ligar o Radius VLAN do datacenter Ligar um servidor de DHCP ao office e outro ao cybercafe Rede da delegao de Oeiras com trs zonas: Internet, Zona Interna e DMZ. Rede do Porto ligada por VPN rede de Oeiras.
Montagem
Topologia da rede
Procedimentos de teste
Lista de procedimentos
Seguir 4.Configurao final dos routers Seguir o procedimento de configurao do switch, servidores, DNS, DHCP, Radius, APs e VPN descrito no relatrio da subequipa correspondente. Tentar ligar-se rede wireless sem uma autenticao vlida. Repetir o processo para uma autenticao vlida. No final ligar-se por cabo s VLANs com .
Resultados
Resultados esperados A tentativa de autenticao no bem sucedida. Depois de trocar as credenciais para uma autenticao vlida deve ser possvel. A ligao por cabo deve receber um IP atribudo dinamicamente. Os resultados obtidos foram os esperados.
Resultados obtidos
22 / 22