Cablaggio Armadi e Relativa Composizione. Cablaggio Tabella delle Permutazioni

Transcript

1 Testo del Problema Un istituto scolastico di nuova costruzione deve pianificare la realizzazione di una rete locale di computer per lo scambio delle informazioni interne (materiali didattici, materiali amministrativi, ecc.) tra la direzione, i dipendenti amministrativi, gli insegnanti e gli studenti. L'istituto prevede le seguenti stanze: 6 Aule 2 laboratori adiacenti una presidenza, un ufficio personale ed un ufficio didattico La collocazione dei computer dovrà essere la seguente: due PC in ciascun ufficio. Tali pc potranno comunicare solo tra di loro e solo con un server amministrativo 2 pc in ogni aula (uno per il registro elettronico, uno per la didattica) 1 in ciascun laboratorio ( di cui due riservati ai docenti) L'accesso alla rete internet da parte dei diversi client è possibile rispettando le seguenti limitazioni: I pc degli studenti dei laboratori possono accedere alla rete internet solo per il servizio web (porta 8) e solo per un ristretto numero di siti contenuti nel file di testo white-list.txt i pc dei docenti nei laboratori hanno libero accesso alla rete internet cosi come i pc ad uso didattico delle aule i pc degli uffici non possono accedere ad internet i pc del registro elettronico non hanno accesso ad internet Si tenga inoltre in conto il fatto che i laboratori dovranno poter comunicare solo al loro interno e che i pc dei docenti dovranno poter accedere al registro elettronico L'istituto dispone inoltre di un server web pubblico che contiene le notizie generali sulla scuola, le circolari, l'orario, i progetti avviati, ecc. All'interno dell'istituto è presente, inoltre, un altro server web raggiungibile solo da un pc per ognuna delle classi per la gestione del registro elettronico. I dati del registro elettronico Ipotesi aggiuntive La scuola si trova al centro di una grande area metropolitana non soggetta a particolari disturbi elettromagnetici La scuola è disposta su tre piani; al piano terra terra si trovano tutti gli uffici, al primo piano le aule e al secondo piano i due laboratori. Al piano terra ed al primo piano si trova anche un locale tecnico. Non è presente alcuna rete preesistente. Si realizza quindi l intera cablatura in cavo UTP cat.5. secondo i criteri del cablaggio strutturato (EIA/TIA 569 B) La rete interna è basata sullo standard 82.3u (fast ethernet) a livello 1 e 2 ISO/OSI e sullo standard TCP/ a livello 3 e 4 ISO/OSI. Il collegamento ad internet avviene attraverso una connessione ADSL fornita da un ISP La Scuola si fa assegnare l'indirizzo pubblico La Scuola ha registrato, inoltre, il dominio istitutoxyz.eu. Il servizio DNS e mail sono affidati in hosting. L unico servizio in housing è il servizio web per il sito dell istituto. I materiali amministrativi da condividere tra gli uffici sono file di diverso formato. I materiali vengono dunque condivisi tramite un server FTP Il server web contiene anche l'interprete php in quanto, la gestione delle assenze viene gestita da script php. Il server Web ha anche integrato il DBMS mysql e, di conseguenza, funge anche da server di database Si sceglie di raggruppare i PC in questo modo DMZ

2 Nodi: Server web, Interfacce dei router Registro elettronico Nodi: Un pc per aula, router reg elettronico eth1 Richieste. Isolate da tutto Rete laboratori Sottorete docenti Nodi: pc docenti, router Richieste: accesso ai soli laboratori e registro elettronico. Accesso libero ad internet Sottorete alunni Nodi: pc alunni, router Richieste. Accesso solo ai laboratori e accesso limitato ad internet Rete uffici Nodi: uffici e router Richieste: Isolate da tutto Cablggio Schema Logico del Cablaggio Cablaggio Armadi e Relativa Composizione MC TC-AULE TC-LAB-GEN PP-Principale PP-Aule PP-Lab-GEN SW-Principale SW-Aule-Did SW-lab-GEN SW-uffici SW-Aule-Registro RLab1 Server Uffici Server-webregistro RLab2 Server Web Sito RAule RUffici TC-LAB-1 TC-LAB-2 PP-LAB-1 PP-LAB-2 SW-LAB-1-ST SW-LAB-2_DOC Cablaggio Tabella delle Permutazioni

3 PERMUTAZIONI MC DA A Patch PP-Principale#1 TO-pres#A sw-uffici#1 PP-Principale#2 TO-pres#B sw-uffici#2 PP-Principale#3 TO-UP#A sw-uffici#3 PP-Principale#4 TO-UP#B sw-uffici#4 PP-Principale#7 PP-Aule#1 sw-principale#1 PP-Principale#8 PP-LAB-GEN sw-principale#1 Sw-uffici#7 Ruffici#eth1 Sw-principale#3 Ruffici#eth Modem#rj11 Linea ADSL PERMUTAZIONI AULE DA A Patch PP-Aule#1 PP-Principale#7 RAule#eth PP-Aule#2 To-Aula1#A Sw-aule-did#2 PP-Aule#3 To-Aula1#B Sw-aule-reg#1 PP-Aule#4 To-Aula2#A Sw-aule-did#2 PP-Aule#5 To-Aula2#B Sw-aule-reg#2 PP-Aule#6 To-Aula3#A Sw-aule-did#3 PP-Aule#7 To-Aula3#B Sw-reg-3#7 PP-Aule#8 To-Aula4#A Sw-aule-did#4 PP-Aule#9 To-Aula4#B Sw-aule-reg#4 Server-webregistro#eth Sw-aule-reg#6 RAule#eth1 Sw-aule-did#5 RAule#eth2 Sw-aule-reg#5 PERMUTAZIONI LAB GEN DA A Patch PP-LAB-GEN#1 PP-Principale#8 sw-lab-gen#1 PP-LAB-GEN#2 PP-LAB-1#1 Rlab1#eth1 PP-LAB-GEN#3 PP-LAB-1#1 Rlab2#eth1 Rlab1#eth sw-lab-gen#2 Rlab2#eth sw-lab-gen#3 PERMUTAZIONI LAB-1 DA A Patch PP-LAB-1#1 PP-LAB-GEN#2 sw-lab-1#1 PP-LAB-1#2 TOLAB1DOC#A sw-lab-1#2

4 PP-LAB-1#3 TOLAB1DOC#B sw-lab-1#3 PP-LAB-1#4 TO-LAB1ST1#A sw-lab-1#4 PP-LAB-1#5 TO-LAB1ST1#B sw-lab-1#5 PERMUTAZIONI LAB-2 DA A Patch PP-LAB-2#1 PP-LAB-GEN#3 sw-lab-2#1 PP-LAB-2#2 TOLAB2DOC#A sw-lab-2#2 PP-LAB-2#3 TOLAB2DOC#B sw-lab-2#3 PP-LAB-2#4 TO-LAB2ST1#A sw-lab-2#4 PP-LAB-2#5 TO-LAB2ST1#B sw-lab-2#5 Cablaggio Schema Logico Componenti Attivi

5 Livello di rete Decisione divisione in reti/sottoreti Come già ipotizzato in precedenza si andranno ad implementare le seguenti reti Rete Collegamento-DMZ Rete registro elettronico Rete didattica Aule Rete Uffici Rete laboratorio 1 Rete laboratorio 2 Si ipotizza di utilizzare la rete 1.../8 per la dmz-collegamento e di suddividere la rete /16 in sottoreti per le altre 5 reti Livello di rete Scegliere la maschera di sottorete e dividere gli indirizzi nei gruppi da assegnare alle sottoreti La rete DMZ non richiede sottoreti quindi avrà: Indirizzo di rete 1.../8 Indirizzo di BC Range da a La rete /16 va divisa in 5 sottoreti con al massimo una ventina di host. Per la scelta della maschera di sottorete ci sono diverse possbilità; per semplicità si scheglie come maschera in modo da avere il terzo ottetto che indica la rete ed il quarto che indica l host Avremo quindi La rete didattica aule Indirizzo di rete Indirizzo di BC Range da a La rete registro elettronico Indirizzo di rete Indirizzo di BC Range da a La rete Uffici Indirizzo di rete Indirizzo di BC Range da a La rete lab1 Indirizzo di rete Indirizzo di BC Range da a La rete lab2 Indirizzo di rete Indirizzo di BC Range da a

6 Livello di rete schema della Rete

7 Livello di rete Tabella indirizzi Tabella indirizzi Rete Rete CollegamentoDMZ Rete didattica Aule Rete registro elettronico Rete Uffici Rete laboratorio 1 Rete laboratorio 2 Indirizzo 1.../ Host Nome host Server Web Raule#eth Ruffici#eth Rlab1#eth Rlab2#eth Rmain#eth1 Raule#eth1 PcdidAula1... PcdidAula6 Indirizzo Raule#eth Server R-Elet PcRegAula PcRegAula Ruffici#eth PcPres ServerUffici Rlab1#eth PcDoc Pcstud Rlab2#eth PcDoc Pcstud

8 Livello di rete - Tabelle di instradamento statico dei router Tabella Router Aule Destinazione/SNM Prossimo nodo Interfaccia 1.../ default Tabella Router Uffici Destinazione/SNM Prossimo nodo Interfaccia 1.../ default Tabella Router LAB1 Destinazione/SNM Prossimo nodo Interfaccia 1.../ default Tabella Router LAB2 Destinazione/SNM Prossimo nodo Interfaccia 1.../

9 default Livello di rete - Indicazioni per la configurazione di un nodo e di un router e/o comandi per la configurazione di un nodo e di un router Di seguito si riportano i comandi per la configurazione del primo pc del primo laboratorio ifconfig eth up route add -net default netmask... gw dev eth Di seguito i comandi per la tabella di instradamento del router aule Le prime tre righe vengono configurate in automatico impostando gli indirizzi route add -net gw dev eth route add -net gw dev eth route add -net gw dev eth route add -net default netmask... gw dev eth Servizi di sistema Firewall Impostazioni NAT, PAT Impostiamo sul Rmain la traduzione di tutti gli indirizzi sorgente in uscita nell unico indirizzo pubblico iptables -t nat -A POSTROUTING -o eth1 -j SNAT to Giriamo tutte le richieste che arrivano sulla porta 8 dell indirizzo pubblico all effettivo indirizzo del serrver web (1...1) iptables -t nat -A PREROUTING -i eth1 -j DNAT to Servizi di sistema Firewall Filtaggio pacchetti Le politiche da implementare possono essere così riassunte: Richeste da garantire per la dmz (rete 1.../8) Bloccare richieste provenienti da siti inseriti in black list Bloccare il traffico in provenienza dalla wan con indirizzo ip privato re richieste solo aventi porta destinazione relativa ai servizi offerti (in questo caso si offre solo il servizio web e quindi si accettano in entrata verso la DMZ solo pacchetti con porta destinazione 8.) Far uscire dalla DMZ solo pacchetti che hanno porta sorgente collegata ai servizi offerti re (a differenza di quanto visto per la LAN client ) pacchetti con flag syn pari a 1 Preveire attacchi di tipo DoS (deny of Service) Richieste da garantire per la lan (rete /16) bloccare il traffico in provenienza dalla wan con indirizzo ip privato bloccare i pacchetti provenienti dalla wan con porta sorgente non standard e porta destinazione standard bloccare i pacchetti provenienti dalla lan e diretti verso la wan con porta sorgente standard e porta destinanzione non standard bloccare i pacchetti provenienti dalla wan con flag syn a 1 vengano bloccatti tutti i pacchetti con ip sorgente inserito in una lista nera. Il Testo, inoltre, richiede esplicitamente le seguenti limitazioni: I pc degli studenti dei laboratori possono accedere alla rete internet solo per il servizio web (porta 8) e solo per un ristretto numero di siti contenuti nel file di testo whitelist.txt i pc dei docenti nei laboratori hanno libero accesso alla rete internet cosi come i pc ad uso didattico delle aule i pc degli uffici non possono accedere ad internet i pc del registro elettronico non hanno accesso ad internet Si sceglie di suddividere i filtri tra i diversi router/firewall applicando le regole nel router/firwall più vicino alla rete per cui sono richiesti i filtri. La scelta è del tutto arbitraria è, in alternativa, si

10 potrebbe implementare tutti i filtri nel router main. Questa implementazione è lasciata per esercizio. Le richiesste verranno così suddivise: Sul router Main ciò che riguarda la DMZ Bloccare richieste provenienti da siti inseriti in black list (questa richiesta proteggerà anche la LAN e, quindi non servirà ripeterla sugli altri router firewall) Bloccare il traffico in provenienza dalla wan con indirizzo ip privato (questa richiesta proteggerà anche la LAN e, quindi non servirà ripeterla sugli altri router firewall) re in entrata dalla wan solo pacchetti con porta destinazione la porta 8 e indirizzo destinazione il server web. Far uscire dalla DMZ solo pacchetti che hanno porta sorgente collegata ai servizi offerti (porta 8) re (a differenza di quanto visto per la LAN client ) pacchetti con flag syn pari a 1 Preveire attacchi di tipo DoS (deny of Service) Sul router Uffici non servirà applicare le politiche di sicurezza minime in quanto tutto il traffico da/verso la wan va scartato. Di conseguenza il router uffici dovrà permettere solo la comunicazione con le altre sottoreti. Sul router Aule bisogna distinguere il discorso tra le due interfacce Sull interfaccia collegata alla rete registro elettronico (eth2) non servirà applicare le politiche di sicurezza minime in quanto tale rete sarà scollegata dalla rete internet. Tale rete dovrà solo poter comunicare con le altre sottoreti Sull interfaccia collegata alla rete didattica aule (eth1) bisognerà applicare solo le politiche di sicurezza minima. bloccare il traffico in provenienza dalla wan con indirizzo ip privato (non serve: tali pacchetti sono stati già filtrati nel router main) bloccare i pacchetti provenienti dalla wan con porta sorgente non standard e porta destinazione standard bloccare i pacchetti provenienti dalla lan e diretti verso la wan con porta sorgente standard e porta destinanzione non standard bloccare i pacchetti provenienti dalla wan con flag syn a 1 vengano bloccatti tutti i pacchetti con ip sorgente inserito in una lista nera (non serve: tali pacchetti sono stati già filtrati nel router main) Sui router dei laboratori bisognerà: Applicare le politiche di sicurezza minima per la lan (elencate precedentemente) Permettere qualsiasi tipo di navigazione ai pc docenti (supponiamo il primo indirizzo di ogni rete) Permettere solo il servizio web e solo verso alcuni siti agli altri PC Conseguentemente Sul router Main andranno impostate le seguenti regole. DEFAULT: ACCETTA Sorgente Destinazione sorgente destinazione Interfaccia Interfaccia Ingresso Uscita Syn/Dos Comportamento Inseriti in black list tutte 1.../8 Eth / 12 Eth Eth

11 / Non standard 8 (NOTA IL PAT è fatto in prerouting) Limite di tempo (se n al secondo n+1 non si applica questa regola e si applica la successiva si scarta Eth (NAT in postrouting ) 8 Eth (NAT in postrouting ) Eth Risulta semplice trasformare ogni riga della tabella in comandi iptabels. Tale trasformazione è lasciata per esercizio. Sul router Uffici andranno impostate le seguenti regole. DEFAULT: RIFIUTA Sorgente Destinazione sorgente destinazione Interfaccia Interfaccia Ingresso Uscita Syn/Dos Comportamento / /8 Risulta semplice trasformare ogni riga della tabella in comandi iptabels. Tale trasformazione è lasciata per esercizio. Sul Router aule andranno impostate le seguenti regole. DEFAULT: ACCETTA Sorgente Destinazione sorgente destinazione Interfaccia Interfaccia Ingresso Uscita Syn/Dos Comportamento /16 Eth2 (registro elettronico) /8 Eth2 (registro elettronico) Eth2 (registro elettronico) Non standard Eth Standard Eth Eth SYN Risulta semplice trasformare ogni riga della tabella in comandi iptabels. Tale trasformazione è lasciata per esercizio.

12 Sul router laboratotio 1andranno impostate le seguenti regole. DEFAULT: ACCETTA Sorgente Destinazione sorgente destinazione Interfaccia Interfaccia Ingresso Uscita Syn/Dos Comportamento Non standard Eth Standard Eth Eth Eth Inclusi in white list 8 Eth Eth (pc docente) SYN Risulta semplice trasformare ogni riga della tabella in comandi iptabels. Tale trasformazione è lasciata per esercizio. Le regole da impostare sul Router laboratorio 2 sono uguali a quelle appena esposte per il pc laboratorio 1