Praktikum IT-Sicherheit 2015: Unterschied zwischen den Versionen
[unmarkierte Version] | [gesichtete Version] |
Kostt (Diskussion | Beiträge) (→Projektleitung) |
(→NTP) |
||
(79 dazwischenliegende Versionen von 6 Benutzern werden nicht angezeigt) | |||
Zeile 2: | Zeile 2: | ||
Bitte versucht, den Wiki Syntax sinnvoll zu verwenden, damit man sich zurecht findet. | Bitte versucht, den Wiki Syntax sinnvoll zu verwenden, damit man sich zurecht findet. | ||
+ | |||
+ | |||
+ | <p style="text-align: center;">'''Beachtet die [[Praktikum IT-Sicherheit 2015/Netzwerkkonfiguration|Netzwerkkonfiguration]]!!!'''</p> | ||
+ | |||
+ | |||
+ | __TOC__ | ||
+ | |||
+ | |||
+ | = Helpers = | ||
+ | * [[Praktikum IT-Sicherheit 2015/Netzwerkkonfiguration|Netzwerkkonfiguration]] | ||
+ | * [[Praktikum IT-Sicherheit 2015/Tcpdump Daemon|Tcpdump Daemon]] | ||
+ | |||
+ | |||
+ | = Gruppenübung 2 = | ||
+ | Zweite Gruppenübung, ITSEC Teil | ||
+ | |||
+ | Das Standardpasswort für die jeweiligen Benutzer(RZ-Kennung) ist: infra2015 | ||
+ | |||
+ | |||
+ | |||
+ | == Projektleitung == | ||
+ | :zugeordnet: ''[[Benutzer:Kostt|Kost]], Mertes'' | ||
+ | |||
+ | {| class="listTable" | ||
+ | |- | ||
+ | ! Nr.!!Nutzer!! IP-Client!! Hostname-Client!! IP-Server!! Hostname-Server | ||
+ | |- | ||
+ | | 1 || albertm|| 10.192.2.233 || albertm.ip || 10.192.1.239 || webmail.ip | ||
+ | |- | ||
+ | | 2 || claarp|| 10.192.4.233 || claarp.ip || 10.192.3.235 || ldap.ip | ||
+ | |- | ||
+ | | 3 || emmesbef || 10.192.3.237 || emmesbef.ip || 10.192.2.239 || wiki.ip | ||
+ | |- | ||
+ | | 4 || grunertm || 10.192.4.228 || grunertm.ip || 10.192.1.238 || snmp.ip | ||
+ | |- | ||
+ | | 5 || knorr || 10.192.4.239 || knorr.ip || 10.192.1.244 || s.knorr.ip | ||
+ | |- | ||
+ | | 6 || koppera || 10.192.3.236 || koppera.ip || 10.192.2.238 || sql.ip | ||
+ | |- | ||
+ | | 7 || kostt|| 10.192.2.237|| kostt.ip|| 10.192.2.241 || s.kostt.ip | ||
+ | |- | ||
+ | | 8 || littya || 10.192.3.229 || littya.ip || 10.192.2.231 || scp.ip | ||
+ | |- | ||
+ | | 9 || mertesb || 10.192.1.236 || mertesb.ip || 10.192.3.232 || s.mertesb.ip | ||
+ | |- | ||
+ | | 10 || metznec|| 10.192.1.240 || metznec.ip || 10.192.4.237|| samba.ip | ||
+ | |- | ||
+ | | 11 || ochmannm || 10.192.1.242 || ochmannm.ip || 10.192.3.239 || dns.ip | ||
+ | |- | ||
+ | | 12 || rollesa|| 10.192.4.232 || rolles.ip || 10.192.4.234 || mail.ip | ||
+ | |- | ||
+ | | 13 || schnitzd || 10.192.2.232 || schnitzd.ip || 10.192.4.229 || ntp.ip | ||
+ | |- | ||
+ | |} | ||
+ | |||
+ | === Changelog === | ||
+ | * '''25.06.2015 21:29 Uhr''' – Hostname von chat.ip auf scp.ip geändert | ||
+ | * '''24.06.2015 18:36 Uhr''' – Start ITS-Gruppenübung! Hostname von ftp.ip auf ldap.ip geändert | ||
+ | |||
+ | |||
+ | |||
+ | == DNS == | ||
+ | :zugeordnet: ''[[Benutzer:Ochmannm|Ochmann]]'' | ||
+ | |||
+ | |||
+ | === Domains === | ||
+ | Hier eine '''aktuelle''' Liste der geschalteten Domains. | ||
+ | |||
+ | {| class="listTable" | ||
+ | | style="width: 30%;" | '''Domain''' | ||
+ | | style="width: 30%;" | '''IP''' | ||
+ | | '''Nutzer''' | ||
+ | |- | ||
+ | | dns.ip | ||
+ | | 10.192.3.239 | ||
+ | | ochmannm | ||
+ | |- | ||
+ | | sql.ip | ||
+ | | 10.192.2.238 | ||
+ | | koppera | ||
+ | |- | ||
+ | | samba.ip | ||
+ | | 10.192.4.237 | ||
+ | | metznec | ||
+ | |- | ||
+ | | ntp.ip | ||
+ | | 10.192.4.229 | ||
+ | | schnitzd | ||
+ | |- | ||
+ | | mail.ip | ||
+ | | 10.192.4.234 | ||
+ | | rollesa | ||
+ | |- | ||
+ | | snmp.ip | ||
+ | | 10.192.1.238 | ||
+ | | grunertm | ||
+ | |- | ||
+ | | chat.ip | ||
+ | | 10.192.2.231 | ||
+ | | littya | ||
+ | |- | ||
+ | | ftp.ip | ||
+ | | 10.192.3.235 | ||
+ | | claarp | ||
+ | |- | ||
+ | | s.vongaesm.ip | ||
+ | | 10.192.1.241 | ||
+ | | vongaesm | ||
+ | |- | ||
+ | | s.knorr.ip | ||
+ | | 10.192.1.244 | ||
+ | | Prof. Dr. Knorr | ||
+ | |- | ||
+ | | s.hofmanna.ip | ||
+ | | 10.192.3.233 | ||
+ | | hofmanna | ||
+ | |- | ||
+ | | s.mertesb.ip | ||
+ | | 10.192.3.232 | ||
+ | | mertesb | ||
+ | |- | ||
+ | | wiki.ip | ||
+ | | 10.192.2.239 | ||
+ | | emmesbef | ||
+ | |- | ||
+ | | webmail.ip | ||
+ | | 10.192.1.239 | ||
+ | | albertm | ||
+ | |- | ||
+ | | s.kostt.ip | ||
+ | | 10.192.2.241 | ||
+ | | kostt | ||
+ | |} | ||
+ | |||
+ | Die GUI VMs werden diesmal keine Domains erhalten. | ||
+ | |||
+ | === Changelog === | ||
+ | * '''28.06.2015 11:50 Uhr''' – Beginn der ITSec-Gruppenübung, der DNS-Server läuft. Die IP-Adresse lautet <code>10.192.3.239</code> | ||
+ | |||
+ | |||
+ | |||
+ | |||
= Gruppenübung 1 = | = Gruppenübung 1 = | ||
Zeile 10: | Zeile 152: | ||
== Projektleitung == | == Projektleitung == | ||
− | :zugeordnet: ''Kost, Mertes'' | + | :zugeordnet: ''[[Benutzer:Kostt|Kost]], Mertes'' |
− | |||
− | |||
{| class="listTable" | {| class="listTable" | ||
Zeile 18: | Zeile 158: | ||
! Nr.!!Nutzer!! IP-Client!! Hostname-Client!! IP-Server!! Hostname-Server | ! Nr.!!Nutzer!! IP-Client!! Hostname-Client!! IP-Server!! Hostname-Server | ||
|- | |- | ||
− | | 1 || albertm|| 10.192.2.233 || albertm.ip || 10.192.1.239 || | + | | 1 || albertm|| 10.192.2.233 || albertm.ip || 10.192.1.239 || webmail.ip |
− | |||
− | |||
|- | |- | ||
− | | | + | | 2 || claarp|| 10.192.4.233 || claarp.ip || 10.192.3.235 || ldap.ip |
|- | |- | ||
− | | | + | | 3 || emmesbef || 10.192.3.237 || emmesbef.ip || 10.192.2.239 || wiki.ip |
|- | |- | ||
− | | | + | | 4 || grunertm || 10.192.4.228 || grunertm.ip || 10.192.1.238 || snmp.ip |
|- | |- | ||
− | | | + | | 5 || knorr || 10.192.4.239 || knorr.ip || 10.192.1.244 || s.knorr.ip |
|- | |- | ||
− | | | + | | 6 || koppera || 10.192.3.236 || koppera.ip || 10.192.2.238 || sql.ip |
|- | |- | ||
− | | | + | | 7 || kostt|| 10.192.2.237|| kostt.ip|| 10.192.2.241 || s.kostt.ip |
|- | |- | ||
− | | | + | | 8 || littya || 10.192.3.229 || littya.ip || 10.192.2.231 || scp.ip |
|- | |- | ||
− | | | + | | 9 || mertesb || 10.192.1.236 || mertesb.ip || 10.192.3.232 || s.mertesb.ip |
|- | |- | ||
− | | | + | | 10 || metznec|| 10.192.1.240 || metznec.ip || 10.192.4.237|| samba.ip |
|- | |- | ||
− | | | + | | 11 || ochmannm || 10.192.1.242 || ochmannm.ip || 10.192.3.239 || dns.ip |
|- | |- | ||
− | | | + | | 12 || rollesa|| 10.192.4.232 || rolles.ip || 10.192.4.234 || mail.ip |
|- | |- | ||
− | | | + | | 13 || schnitzd || 10.192.2.232 || schnitzd.ip || 10.192.4.229 || ntp.ip |
|- | |- | ||
− | |||
|} | |} | ||
=== Changelog === | === Changelog === | ||
− | * ''' | + | * '''25.06.2015 21:29 Uhr''' – Hostname von chat.ip auf scp.ip geändert |
+ | * '''24.06.2015 18:36 Uhr''' – Start ITS-Gruppenübung! Hostname von ftp.ip auf ldap.ip geändert | ||
== FTP == | == FTP == | ||
:zugeordnet: ''Claar'' | :zugeordnet: ''Claar'' | ||
+ | '''FTP-Server ist online.''' | ||
+ | |||
+ | Bitte wie in der Aufgabenstellung beschrieben, mit "r/ft-Kennung" und dem Passwort <code>infra2015</code> einloggen und eine Datei mit dem Titel <code>vorname_nachname.txt</code> erstellen. | ||
+ | |||
+ | === Changelog === | ||
+ | * '''11.05.2015 18:31 Uhr''' – Server Online und von kostt getestet | ||
== DNS == | == DNS == | ||
− | :zugeordnet: ''Ochmann'' | + | :zugeordnet: ''[[Benutzer:Ochmannm|Ochmann]]'' |
<blockquote> | <blockquote> | ||
Zeile 89: | Zeile 233: | ||
| 10.192.4.229 | | 10.192.4.229 | ||
| schnitzd | | schnitzd | ||
+ | |- | ||
+ | | mail.ip | ||
+ | | 10.192.4.234 | ||
+ | | rollesa | ||
+ | |- | ||
+ | | snmp.ip | ||
+ | | 10.192.1.238 | ||
+ | | grunertm | ||
+ | |- | ||
+ | | chat.ip | ||
+ | | 10.192.2.231 | ||
+ | | littya | ||
+ | |- | ||
+ | | ftp.ip | ||
+ | | 10.192.3.235 | ||
+ | | claarp | ||
|- | |- | ||
| s.vongaesm.ip | | s.vongaesm.ip | ||
Zeile 106: | Zeile 266: | ||
| mertesb | | mertesb | ||
|- | |- | ||
− | | | + | | wiki.ip |
| 10.192.2.239 | | 10.192.2.239 | ||
| emmesbef | | emmesbef | ||
|- | |- | ||
− | | | + | | webmail.ip |
| 10.192.1.239 | | 10.192.1.239 | ||
| albertm | | albertm | ||
+ | |- | ||
+ | | s.kostt.ip | ||
+ | | 10.192.2.241 | ||
+ | | kostt | ||
|} | |} | ||
Zeile 133: | Zeile 297: | ||
| 10.192.1.240 | | 10.192.1.240 | ||
| metznec | | metznec | ||
+ | |- | ||
+ | | schnitzd.ip | ||
+ | | 10.192.2.232 | ||
+ | | schnitzd | ||
+ | |- | ||
+ | | rollesa.ip | ||
+ | | 10.192.4.232 | ||
+ | | rollesa | ||
+ | |- | ||
+ | | grunertm.ip | ||
+ | | 10.192.4.228 | ||
+ | | grunertm | ||
+ | |- | ||
+ | | littya.ip | ||
+ | | 10.192.3.229 | ||
+ | | littya | ||
+ | |- | ||
+ | | claarp.ip | ||
+ | | 10.192.4.233 | ||
+ | | claarp | ||
|- | |- | ||
| vongaesm.ip | | vongaesm.ip | ||
Zeile 157: | Zeile 341: | ||
| 10.192.2.233 | | 10.192.2.233 | ||
| albertm | | albertm | ||
+ | |- | ||
+ | | kostt.ip | ||
+ | | 10.192.2.237 | ||
+ | | kostt | ||
|} | |} | ||
=== Changelog === | === Changelog === | ||
+ | * '''11.05.2015 22:31 Uhr''' – Die Domain <code>s.albertm.ip</code> wurde zu <code>webmail.ip</code> geändert, die Domain <code>s.emmesbef.ip</code> zu <code>wiki.ip</code> | ||
+ | * '''09.05.2015 12:05 Uhr''' – <code>schnitzd</code> hinzugefügt. Alle IPs haben nun eine Domain. | ||
+ | * '''08.05.2015 19:45 Uhr''' – <code>littya:chat</code> und <code>claarp:ftp</code> hinzugefügt -- ''schnitzd fehlt'' | ||
+ | * '''08.05.2015 16:30 Uhr''' – <code>grunertm:snmp</code> und <code>rollesa:mail</code> hinzugefügt | ||
* '''08.05.2015 13:00 Uhr''' – <code>emmesbef</code>, <code>albertm</code> und <code>schnitzd:ntp</code> hinzugefügt | * '''08.05.2015 13:00 Uhr''' – <code>emmesbef</code>, <code>albertm</code> und <code>schnitzd:ntp</code> hinzugefügt | ||
* '''07.05.2015 11:37 Uhr''' – Client IP-Adresse koppera.ip korrigiert | * '''07.05.2015 11:37 Uhr''' – Client IP-Adresse koppera.ip korrigiert | ||
Zeile 165: | Zeile 357: | ||
== NTP == | == NTP == | ||
− | :zugeordnet: ''Schnitzius'' | + | :zugeordnet: ''[[Benutzer:Captaindan|Schnitzius]]'' |
+ | |||
+ | Das Programm "ntpd" fungiert sowohl als Client, als auch als Server. | ||
+ | |||
+ | === Einrichtung des Servers: === | ||
+ | Auf den Servern muss der snmp-daemon installiert werden und die zugehörige Config angepasst werden. | ||
+ | ==== ntpd installieren. ==== | ||
+ | sudo apt-get install ntp | ||
+ | |||
+ | ntpd ist veraltet und kann gelöscht werden. | ||
+ | |||
+ | sudo apt-get remove ntpdate | ||
+ | |||
+ | ==== Konfiguration: ==== | ||
+ | In der Konfigurationsdatei <code>sudo vi /etc/ntp.conf</code> folgenden Teil umändern in: | ||
+ | |||
+ | # Use servers from the NTP Pool Project. Approved by Ubuntu Technical Board | ||
+ | # on 2011-02-08 (LP: #104525). See http://www.pool.ntp.org/join.html for | ||
+ | # more information. | ||
+ | server ntp.ip | ||
+ | |||
+ | #Use Ubuntu's ntp Server as a fallback. | ||
+ | ''Server rauslöschen'' | ||
+ | |||
+ | |||
+ | Wegen der von uns verwendeten Infrastruktur in der Gruppenarbeit, es es notwendig in <code>dhclient.conf</code> eine kleine Veränderung vorzunehmen: | ||
+ | |||
+ | sudo vi /etc/dhcp/dhclient.conf | ||
+ | |||
+ | <code>ntp-servers</code> auskommentieren: | ||
+ | |||
+ | request subnet-mask, broadcast-address, time-offset, routers, | ||
+ | domain-name, domain-name-servers, domain-search, host-name, | ||
+ | netbios-name-servers, netbios-scope, interface-mtu, | ||
+ | rfc3442-classless-static-routes; #ntp-servers; | ||
+ | dhcp6.domain-search, dhcp6.fqdn, | ||
+ | dhcp6.name-servers, dhcp6.sntp-server; | ||
+ | |||
+ | Abschließend den Netzwerkdienst mit <code>sudo /etc/init.d/ntp restart</code> neustarten. | ||
+ | |||
+ | ==== Probleme: ==== | ||
+ | Bei einigen Teilnehmern der Gruppenübung kam es komischerweise zu Problemen. Diese holten sich die Zeit trotz Beachtung der obigen Konfiguration von pisa.fh-trier.de statt ntp.ip. | ||
+ | |||
+ | Lösung: | ||
+ | Mit <code>sudo apt-get remove ntp –purge</code> ntpd komplett entfernen. | ||
+ | Anschließend mit <code>install apt-get ntp</code> ntpd neu installieren. | ||
+ | Dies löste das Problem. | ||
+ | |||
+ | ==== Schutz des NTP: ==== | ||
+ | === Einrichtung des Servers: === | ||
+ | Zuerst erstellen wir ein Verzeichnis ntp in /etc. | ||
+ | |||
+ | Anschließend wechseln wir zu diesem Verzeichnis und erstellen einen Schlüssel mit: | ||
+ | ntp-keygen -T -I -p serverpassword | ||
+ | |||
+ | Nun erstellen wir einen Gruppen-Schlüssel für die Clients mit: | ||
+ | ntp-keygen -e -q serverpassword -p clientpassword | ||
+ | |||
+ | Kommentar: serverpassword und clientpassword sind nur Platzhalter für beliebige Passwörter. | ||
+ | |||
+ | Anschließend befindet sich eine Datei ntpkey_host_ubuntu | ||
+ | |||
+ | Zuletzt öffnen wir die Confi Datei ntp.conf und tragen folgende Zeilen ein. | ||
+ | crypto pw serverpassword | ||
+ | keysdir /etc/ntp | ||
+ | Anschließend mit sudo server ntp restart den NTP-Dienst neustarten. | ||
+ | |||
+ | === Einrichtung des Clients: === | ||
+ | Zuerst erstellen wir ein Verzeichnis ntp in /etc. | ||
+ | |||
+ | Anschließend wechseln wir zu diesem Verzeichnis und erstellen ein Zertifikat mit: | ||
+ | ntp-keygen -H -p clientpassword | ||
+ | |||
+ | Nun laden wir uns vom Server den Schlüssel für den Client herunter mit: | ||
+ | sudo scp notroot@IP_Adresse:ntpkey_host_ubuntu | ||
+ | |||
+ | Kommentar: ntpkey_host_ubuntu ist der default name es wäre auch möglich diese anderes zu bennen. | ||
+ | |||
+ | Zuletzt öffnen wir die Confi Datei ntp.conf und tragen folgende Zeilen ein. | ||
+ | |||
+ | Hinter dem Server muss das Schlüsselwort "autokey" stehen. Also: | ||
+ | Server.ip autokey | ||
+ | crypto pw clientpassword | ||
+ | keysdir /etc/ntp | ||
+ | Anschließend mit sudo server ntp restart den NTP-Dienst neustarten. | ||
+ | |||
+ | === Changelog === | ||
+ | * '''18.05.2015 09:29 Uhr''' - Ergänzungen zu Problemen wurde hinzugefügt | ||
+ | * '''12.05.2015 23:36 Uhr''' – NTP-Wikiseite erstellt | ||
+ | * '''12.05.2015 18:39 Uhr''' – NTP-Server funktioniert | ||
+ | * '''07.07.2015 03:31 Uhr''' – NTP-Server Integritätsschutz im Wiki eingetragen | ||
== Samba == | == Samba == | ||
:zugeordnet: ''Metzner, von Gässler'' | :zugeordnet: ''Metzner, von Gässler'' | ||
+ | Samba-Server ist online, bitte eine Datei herunterladen und eine Datei mit RZ-Kennung erstellen. | ||
+ | Auf den Samba-Server kommt man über den Linux-Client, indem man den Filemanager öffnet dann anschließend auf die Schaltfläche go klicken. Danach Network Drives auswählen und dann auf Ubuntu. | ||
+ | |||
+ | === Changelog === | ||
+ | * '''12.05.2015 19:52 Uhr''' – Post erstellt | ||
== Mailserver == | == Mailserver == | ||
Zeile 177: | Zeile 464: | ||
== Webserver mit Wiki und DB-Server == | == Webserver mit Wiki und DB-Server == | ||
− | :zugeordnet: ''Emmesberger, Kopper, Litty'' | + | :zugeordnet: ''[[Benutzer:Emmesbef|Emmesberger]], [[Benutzer:Koppera|Kopper]], Litty'' |
=== Webserver === | === Webserver === | ||
=== Datenbankserver === | === Datenbankserver === | ||
+ | |||
+ | SQL-Server ist mit allen Benutzern(RZ-Kennung und StdPassword&Berechtigungen) auf die Datenbank "ip" eingerichtet. | ||
=== Wiki === | === Wiki === | ||
Zeile 190: | Zeile 479: | ||
:zugeordnet: ''Grunert'' | :zugeordnet: ''Grunert'' | ||
+ | Der Server betreibt einen Munin-Master und lokalen Node-Service der die SNMP Abfragen durchfuehrt. | ||
+ | |||
+ | Die GUI ist unter http://snmp.ip ueber die Client-VM's zu erreichen. | ||
+ | |||
+ | Getracked werden: | ||
+ | * Interface Traffic | ||
+ | * Interface Errors | ||
+ | * CPU Load | ||
+ | * Load | ||
+ | * Memory | ||
+ | * Swap | ||
+ | * Disk Space (Free) | ||
+ | * Uptime | ||
+ | |||
+ | === Einrichtung der Server === | ||
+ | |||
+ | Auf den Servern muss der snmp-daemon installiert werden und die zugehoerige Config angepasst werden. | ||
+ | |||
+ | ==== Installation snmpd ==== | ||
+ | <nowiki>sudo apt-get install snmpd</nowiki> | ||
+ | |||
+ | ==== Config-File ==== | ||
+ | Hier ein abgespecktes snmpd-config file. Um Platz zu sparen habe ich alle Kommentare herausgeloescht. Nur die zwei Zeilen mit dem Kommentar ''(# Ich bin ein Kommentar)'' wurden veraendert. | ||
+ | |||
+ | <nowiki> | ||
+ | # /etc/snmp/snmpd.conf | ||
+ | |||
+ | agentAddress udp:161,udp6:[::1]:161 # Allow Access from non-localhost | ||
+ | |||
+ | view systemonly included .1.3.6.1.2.1.1 | ||
+ | view systemonly included .1.3.6.1.2.1.25.1 | ||
+ | |||
+ | rocommunity public default # allow access to public comstring from anywhere | ||
+ | |||
+ | rouser authOnlyUser | ||
+ | |||
+ | sysLocation Sitting on the Dock of the Bay | ||
+ | sysContact Me <me@example.org> | ||
+ | sysServices 72 | ||
+ | |||
+ | proc mountd | ||
+ | proc ntalkd 4 | ||
+ | proc sendmail 10 1 | ||
+ | |||
+ | disk / 10000 | ||
+ | disk /var 5% | ||
+ | includeAllDisks 10% | ||
+ | |||
+ | load 12 10 5 | ||
+ | |||
+ | trapsink localhost public | ||
+ | |||
+ | iquerySecName internalUser | ||
+ | rouser internalUser | ||
+ | defaultMonitors yes | ||
+ | linkUpDownNotifications yes | ||
+ | |||
+ | extend test1 /bin/echo Hello, world! | ||
+ | extend-sh test2 echo Hello, world! ; echo Hi there ; exit 35 | ||
+ | |||
+ | master agentx | ||
+ | </nowiki> | ||
== Dokumentation, Netzwerkplans == | == Dokumentation, Netzwerkplans == | ||
Zeile 196: | Zeile 547: | ||
== Chatserver == | == Chatserver == | ||
− | :zugeordnet: ''Litty'' | + | : zugeordnet: ''[[Benutzer:Littya|Litty]]'' |
+ | '''Einrichtung Chat-Server'''<br /> | ||
+ | |||
+ | Der Chat-Server ist mit ejabberd eingerichtet. | ||
+ | Die automatische Benutzerregistrierung ist, beabsichtigter Weise, abgeschaltet. | ||
+ | Jeder Teilnehmer des Kurses ist jedoch von mir registriert worden. | ||
+ | Die Zugangsdaten sind wie folgt: | ||
+ | Name: RZ-Kennung | ||
+ | PW: RZ-Kennung | ||
+ | |||
+ | '''Einrichtung Chat-Clients'''<br /> | ||
+ | |||
+ | Um den Chat-Server benutzen, bzw. chatten zu können, müssen auf den Clients noch Messenger-Clients installiert werden. | ||
+ | Da ejabberd das Protokoll XMPP verwendet, muss bei den Clients darauf geachtet werden, dass diese dieses Format ebenfalls "sprechen". | ||
+ | |||
+ | Für Pidgin sind folgende Schritte durchzuführen. | ||
+ | |||
+ | sudo apt-get install pidgin | ||
+ | |||
+ | Nach dem Starten von Pidgin muss zunächst ein Account hinzugefügt werden, dazu einfach über den Reiter "Accounts" -> "Manage Accounts" -> "Add"<br /> | ||
+ | |||
+ | In den Basic-Einstellungen wählt man als Protocol XMPP. | ||
+ | Nun folgen die Eingaben des Benutzernamens (RZ-Kennung), der Domain (chat.ip), einer Ressource (Beliebig) und das Passwort (RZ-Kennung).<br /> | ||
+ | |||
+ | In den Advanced-Einstellungen ist nur noch der Server anzugeben, sprich in diesem Fall | ||
+ | 10.192.2.231.<br /> | ||
+ | |||
+ | |||
+ | [[Datei:pidgin_basic.png]] | ||
+ | [[Datei:pidgin_advanced.png]] |
Aktuelle Version vom 7. Juli 2015, 01:34 Uhr
Hier soll der Status der Projekte für die Gruppenarbeit erfasst werden. Bitte aktuelle Informationen in die entsprechende Sektion eintragen, Probleme können im Diskussionsbereich besprochen werden.
Bitte versucht, den Wiki Syntax sinnvoll zu verwenden, damit man sich zurecht findet.
Beachtet die Netzwerkkonfiguration!!!
Inhaltsverzeichnis
Helpers
Gruppenübung 2
Zweite Gruppenübung, ITSEC Teil
Das Standardpasswort für die jeweiligen Benutzer(RZ-Kennung) ist: infra2015
Projektleitung
- zugeordnet: Kost, Mertes
Nr. | Nutzer | IP-Client | Hostname-Client | IP-Server | Hostname-Server |
---|---|---|---|---|---|
1 | albertm | 10.192.2.233 | albertm.ip | 10.192.1.239 | webmail.ip |
2 | claarp | 10.192.4.233 | claarp.ip | 10.192.3.235 | ldap.ip |
3 | emmesbef | 10.192.3.237 | emmesbef.ip | 10.192.2.239 | wiki.ip |
4 | grunertm | 10.192.4.228 | grunertm.ip | 10.192.1.238 | snmp.ip |
5 | knorr | 10.192.4.239 | knorr.ip | 10.192.1.244 | s.knorr.ip |
6 | koppera | 10.192.3.236 | koppera.ip | 10.192.2.238 | sql.ip |
7 | kostt | 10.192.2.237 | kostt.ip | 10.192.2.241 | s.kostt.ip |
8 | littya | 10.192.3.229 | littya.ip | 10.192.2.231 | scp.ip |
9 | mertesb | 10.192.1.236 | mertesb.ip | 10.192.3.232 | s.mertesb.ip |
10 | metznec | 10.192.1.240 | metznec.ip | 10.192.4.237 | samba.ip |
11 | ochmannm | 10.192.1.242 | ochmannm.ip | 10.192.3.239 | dns.ip |
12 | rollesa | 10.192.4.232 | rolles.ip | 10.192.4.234 | mail.ip |
13 | schnitzd | 10.192.2.232 | schnitzd.ip | 10.192.4.229 | ntp.ip |
Changelog
- 25.06.2015 21:29 Uhr – Hostname von chat.ip auf scp.ip geändert
- 24.06.2015 18:36 Uhr – Start ITS-Gruppenübung! Hostname von ftp.ip auf ldap.ip geändert
DNS
- zugeordnet: Ochmann
Domains
Hier eine aktuelle Liste der geschalteten Domains.
Domain | IP | Nutzer |
dns.ip | 10.192.3.239 | ochmannm |
sql.ip | 10.192.2.238 | koppera |
samba.ip | 10.192.4.237 | metznec |
ntp.ip | 10.192.4.229 | schnitzd |
mail.ip | 10.192.4.234 | rollesa |
snmp.ip | 10.192.1.238 | grunertm |
chat.ip | 10.192.2.231 | littya |
ftp.ip | 10.192.3.235 | claarp |
s.vongaesm.ip | 10.192.1.241 | vongaesm |
s.knorr.ip | 10.192.1.244 | Prof. Dr. Knorr |
s.hofmanna.ip | 10.192.3.233 | hofmanna |
s.mertesb.ip | 10.192.3.232 | mertesb |
wiki.ip | 10.192.2.239 | emmesbef |
webmail.ip | 10.192.1.239 | albertm |
s.kostt.ip | 10.192.2.241 | kostt |
Die GUI VMs werden diesmal keine Domains erhalten.
Changelog
- 28.06.2015 11:50 Uhr – Beginn der ITSec-Gruppenübung, der DNS-Server läuft. Die IP-Adresse lautet
10.192.3.239
Gruppenübung 1
Erste Gruppenübung ohne IPSEC
Das Standardpasswort für die jeweiligen Benutzer(RZ-Kennung) ist: infra2015
Projektleitung
- zugeordnet: Kost, Mertes
Nr. | Nutzer | IP-Client | Hostname-Client | IP-Server | Hostname-Server |
---|---|---|---|---|---|
1 | albertm | 10.192.2.233 | albertm.ip | 10.192.1.239 | webmail.ip |
2 | claarp | 10.192.4.233 | claarp.ip | 10.192.3.235 | ldap.ip |
3 | emmesbef | 10.192.3.237 | emmesbef.ip | 10.192.2.239 | wiki.ip |
4 | grunertm | 10.192.4.228 | grunertm.ip | 10.192.1.238 | snmp.ip |
5 | knorr | 10.192.4.239 | knorr.ip | 10.192.1.244 | s.knorr.ip |
6 | koppera | 10.192.3.236 | koppera.ip | 10.192.2.238 | sql.ip |
7 | kostt | 10.192.2.237 | kostt.ip | 10.192.2.241 | s.kostt.ip |
8 | littya | 10.192.3.229 | littya.ip | 10.192.2.231 | scp.ip |
9 | mertesb | 10.192.1.236 | mertesb.ip | 10.192.3.232 | s.mertesb.ip |
10 | metznec | 10.192.1.240 | metznec.ip | 10.192.4.237 | samba.ip |
11 | ochmannm | 10.192.1.242 | ochmannm.ip | 10.192.3.239 | dns.ip |
12 | rollesa | 10.192.4.232 | rolles.ip | 10.192.4.234 | mail.ip |
13 | schnitzd | 10.192.2.232 | schnitzd.ip | 10.192.4.229 | ntp.ip |
Changelog
- 25.06.2015 21:29 Uhr – Hostname von chat.ip auf scp.ip geändert
- 24.06.2015 18:36 Uhr – Start ITS-Gruppenübung! Hostname von ftp.ip auf ldap.ip geändert
FTP
- zugeordnet: Claar
FTP-Server ist online.
Bitte wie in der Aufgabenstellung beschrieben, mit "r/ft-Kennung" und dem Passwort infra2015
einloggen und eine Datei mit dem Titel vorname_nachname.txt
erstellen.
Changelog
- 11.05.2015 18:31 Uhr – Server Online und von kostt getestet
DNS
- zugeordnet: Ochmann
Eine einfache Art um den DNS zum System hinzuzufügen ist das Editieren der Datei
/etc/resolv.conf
. Einfachnameserver 10.192.3.239
an oberste Stelle packen, dann sollten die Domains aufgelöst werden können.Anschließend muss mit
sudo service networking restart
noch die Netzwerkschnittstelle neugestartet werden.
Domains
Hier eine aktuelle Liste der geschalteten Domains.
- [Server]
Domain | IP | Nutzer |
dns.ip | 10.192.3.239 | ochmannm |
sql.ip | 10.192.2.238 | koppera |
samba.ip | 10.192.4.237 | metznec |
ntp.ip | 10.192.4.229 | schnitzd |
mail.ip | 10.192.4.234 | rollesa |
snmp.ip | 10.192.1.238 | grunertm |
chat.ip | 10.192.2.231 | littya |
ftp.ip | 10.192.3.235 | claarp |
s.vongaesm.ip | 10.192.1.241 | vongaesm |
s.knorr.ip | 10.192.1.244 | Prof. Dr. Knorr |
s.hofmanna.ip | 10.192.3.233 | hofmanna |
s.mertesb.ip | 10.192.3.232 | mertesb |
wiki.ip | 10.192.2.239 | emmesbef |
webmail.ip | 10.192.1.239 | albertm |
s.kostt.ip | 10.192.2.241 | kostt |
- [GUI]
Domain | IP | Nutzer |
ochmannm.ip | 10.192.1.242 | ochmannm |
koppera.ip | 10.192.3.236 | koppera |
metznec.ip | 10.192.1.240 | metznec |
schnitzd.ip | 10.192.2.232 | schnitzd |
rollesa.ip | 10.192.4.232 | rollesa |
grunertm.ip | 10.192.4.228 | grunertm |
littya.ip | 10.192.3.229 | littya |
claarp.ip | 10.192.4.233 | claarp |
vongaesm.ip | 10.192.3.238 | vongaesm |
knorr.ip | 10.192.4.239 | Prof. Dr. Knorr |
hofmanna.ip | 10.192.4.231 | hofmanna |
mertesb.ip | 10.192.1.236 | mertesb |
emmesbef.ip | 10.192.3.237 | emmesbef |
albertm.ip | 10.192.2.233 | albertm |
kostt.ip | 10.192.2.237 | kostt |
Changelog
- 11.05.2015 22:31 Uhr – Die Domain
s.albertm.ip
wurde zuwebmail.ip
geändert, die Domains.emmesbef.ip
zuwiki.ip
- 09.05.2015 12:05 Uhr –
schnitzd
hinzugefügt. Alle IPs haben nun eine Domain. - 08.05.2015 19:45 Uhr –
littya:chat
undclaarp:ftp
hinzugefügt -- schnitzd fehlt - 08.05.2015 16:30 Uhr –
grunertm:snmp
undrollesa:mail
hinzugefügt - 08.05.2015 13:00 Uhr –
emmesbef
,albertm
undschnitzd:ntp
hinzugefügt - 07.05.2015 11:37 Uhr – Client IP-Adresse koppera.ip korrigiert
- 06.05.2015 18:30 Uhr – Der DNS-Server läuft. Die IP-Adresse lautet
10.192.3.239
NTP
- zugeordnet: Schnitzius
Das Programm "ntpd" fungiert sowohl als Client, als auch als Server.
Einrichtung des Servers:
Auf den Servern muss der snmp-daemon installiert werden und die zugehörige Config angepasst werden.
ntpd installieren.
sudo apt-get install ntp
ntpd ist veraltet und kann gelöscht werden.
sudo apt-get remove ntpdate
Konfiguration:
In der Konfigurationsdatei sudo vi /etc/ntp.conf
folgenden Teil umändern in:
# Use servers from the NTP Pool Project. Approved by Ubuntu Technical Board # on 2011-02-08 (LP: #104525). See http://www.pool.ntp.org/join.html for # more information. server ntp.ip #Use Ubuntu's ntp Server as a fallback. Server rauslöschen
Wegen der von uns verwendeten Infrastruktur in der Gruppenarbeit, es es notwendig in dhclient.conf
eine kleine Veränderung vorzunehmen:
sudo vi /etc/dhcp/dhclient.conf
ntp-servers
auskommentieren:
request subnet-mask, broadcast-address, time-offset, routers, domain-name, domain-name-servers, domain-search, host-name, netbios-name-servers, netbios-scope, interface-mtu, rfc3442-classless-static-routes; #ntp-servers; dhcp6.domain-search, dhcp6.fqdn, dhcp6.name-servers, dhcp6.sntp-server;
Abschließend den Netzwerkdienst mit sudo /etc/init.d/ntp restart
neustarten.
Probleme:
Bei einigen Teilnehmern der Gruppenübung kam es komischerweise zu Problemen. Diese holten sich die Zeit trotz Beachtung der obigen Konfiguration von pisa.fh-trier.de statt ntp.ip.
Lösung:
Mit sudo apt-get remove ntp –purge
ntpd komplett entfernen.
Anschließend mit install apt-get ntp
ntpd neu installieren.
Dies löste das Problem.
Schutz des NTP:
Einrichtung des Servers:
Zuerst erstellen wir ein Verzeichnis ntp in /etc.
Anschließend wechseln wir zu diesem Verzeichnis und erstellen einen Schlüssel mit: ntp-keygen -T -I -p serverpassword
Nun erstellen wir einen Gruppen-Schlüssel für die Clients mit: ntp-keygen -e -q serverpassword -p clientpassword
Kommentar: serverpassword und clientpassword sind nur Platzhalter für beliebige Passwörter.
Anschließend befindet sich eine Datei ntpkey_host_ubuntu
Zuletzt öffnen wir die Confi Datei ntp.conf und tragen folgende Zeilen ein. crypto pw serverpassword keysdir /etc/ntp Anschließend mit sudo server ntp restart den NTP-Dienst neustarten.
Einrichtung des Clients:
Zuerst erstellen wir ein Verzeichnis ntp in /etc.
Anschließend wechseln wir zu diesem Verzeichnis und erstellen ein Zertifikat mit: ntp-keygen -H -p clientpassword
Nun laden wir uns vom Server den Schlüssel für den Client herunter mit: sudo scp notroot@IP_Adresse:ntpkey_host_ubuntu
Kommentar: ntpkey_host_ubuntu ist der default name es wäre auch möglich diese anderes zu bennen.
Zuletzt öffnen wir die Confi Datei ntp.conf und tragen folgende Zeilen ein.
Hinter dem Server muss das Schlüsselwort "autokey" stehen. Also: Server.ip autokey crypto pw clientpassword keysdir /etc/ntp Anschließend mit sudo server ntp restart den NTP-Dienst neustarten.
Changelog
- 18.05.2015 09:29 Uhr - Ergänzungen zu Problemen wurde hinzugefügt
- 12.05.2015 23:36 Uhr – NTP-Wikiseite erstellt
- 12.05.2015 18:39 Uhr – NTP-Server funktioniert
- 07.07.2015 03:31 Uhr – NTP-Server Integritätsschutz im Wiki eingetragen
Samba
- zugeordnet: Metzner, von Gässler
Samba-Server ist online, bitte eine Datei herunterladen und eine Datei mit RZ-Kennung erstellen. Auf den Samba-Server kommt man über den Linux-Client, indem man den Filemanager öffnet dann anschließend auf die Schaltfläche go klicken. Danach Network Drives auswählen und dann auf Ubuntu.
Changelog
- 12.05.2015 19:52 Uhr – Post erstellt
Mailserver
- zugeordnet: Albert, Rolles
Webserver mit Wiki und DB-Server
- zugeordnet: Emmesberger, Kopper, Litty
Webserver
Datenbankserver
SQL-Server ist mit allen Benutzern(RZ-Kennung und StdPassword&Berechtigungen) auf die Datenbank "ip" eingerichtet.
Wiki
Changelog
SNMP
- zugeordnet: Grunert
Der Server betreibt einen Munin-Master und lokalen Node-Service der die SNMP Abfragen durchfuehrt.
Die GUI ist unter http://snmp.ip ueber die Client-VM's zu erreichen.
Getracked werden:
- Interface Traffic
- Interface Errors
- CPU Load
- Load
- Memory
- Swap
- Disk Space (Free)
- Uptime
Einrichtung der Server
Auf den Servern muss der snmp-daemon installiert werden und die zugehoerige Config angepasst werden.
Installation snmpd
sudo apt-get install snmpd
Config-File
Hier ein abgespecktes snmpd-config file. Um Platz zu sparen habe ich alle Kommentare herausgeloescht. Nur die zwei Zeilen mit dem Kommentar (# Ich bin ein Kommentar) wurden veraendert.
# /etc/snmp/snmpd.conf agentAddress udp:161,udp6:[::1]:161 # Allow Access from non-localhost view systemonly included .1.3.6.1.2.1.1 view systemonly included .1.3.6.1.2.1.25.1 rocommunity public default # allow access to public comstring from anywhere rouser authOnlyUser sysLocation Sitting on the Dock of the Bay sysContact Me <me@example.org> sysServices 72 proc mountd proc ntalkd 4 proc sendmail 10 1 disk / 10000 disk /var 5% includeAllDisks 10% load 12 10 5 trapsink localhost public iquerySecName internalUser rouser internalUser defaultMonitors yes linkUpDownNotifications yes extend test1 /bin/echo Hello, world! extend-sh test2 echo Hello, world! ; echo Hi there ; exit 35 master agentx
Dokumentation, Netzwerkplans
- zugeordnet: Hofman
Chatserver
- zugeordnet: Litty
Einrichtung Chat-Server
Der Chat-Server ist mit ejabberd eingerichtet. Die automatische Benutzerregistrierung ist, beabsichtigter Weise, abgeschaltet. Jeder Teilnehmer des Kurses ist jedoch von mir registriert worden. Die Zugangsdaten sind wie folgt: Name: RZ-Kennung PW: RZ-Kennung
Einrichtung Chat-Clients
Um den Chat-Server benutzen, bzw. chatten zu können, müssen auf den Clients noch Messenger-Clients installiert werden. Da ejabberd das Protokoll XMPP verwendet, muss bei den Clients darauf geachtet werden, dass diese dieses Format ebenfalls "sprechen".
Für Pidgin sind folgende Schritte durchzuführen.
sudo apt-get install pidgin
Nach dem Starten von Pidgin muss zunächst ein Account hinzugefügt werden, dazu einfach über den Reiter "Accounts" -> "Manage Accounts" -> "Add"
In den Basic-Einstellungen wählt man als Protocol XMPP.
Nun folgen die Eingaben des Benutzernamens (RZ-Kennung), der Domain (chat.ip), einer Ressource (Beliebig) und das Passwort (RZ-Kennung).
In den Advanced-Einstellungen ist nur noch der Server anzugeben, sprich in diesem Fall
10.192.2.231.