Sie sind auf Seite 1von 16

-Hochschule Bremen- Informationssicherheit

Prof. Dr. rer. nat. Richard Sethmann

&

Chris Zander

Labor-Protokoll

Wintersemester

2013/14

NAT

von

Noshaba Cheema und Roland Jäger

Labor: 28.10.2013

Abgabedatum: 03.11.2013

Noshaba Cheema und Roland Jäger

Inhaltsverzeichnis

NAT

Abstract

2

Einleitung

3

Materialien und Beschreibung der Versuchsdurchführung

4

Materialien

4

Versuchsbeschreibung

4

Ergebnisse mit Beschreibung und Screen-Shots

5

Vorbereitung

5

NAT Konfiguration

8

Überprüfung der NAT Konfiguration

10

Fazit

12

Anhang

13

Abbildungsverzeichnis

13

Abkürzungsverzeichnis

13

Liteatur- und Quellenverzeichnis

14

Literaturquellen

14

Internetquellen

14

Noshaba Cheema und Roland Jäger

NAT

Abstract

Dieses Protokoll beschreibt wie NAT in einem Firmennetz, konfiguriert wird. Das Firmennetzwerk bestehend aus einem LAN – aufgeteilt in drei Subnetze – und einem DMZ Netz mit einem Server. Es soll zeigen, wie NAT funktioniert und welche Vorteile es bietet.

Noshaba Cheema und Roland Jäger

NAT

Einleitung

NAT („Network Address Translation“) wurde entwickelt, um die Knappheit der IPv4-Adressen zu umgehen [12], zusätzlich sorgt es für erhöhte Sicherheit, da man die Endgeräte nicht identifizieren kann – dies sorgt allerdings im gleichen Zug dafür, dass „Man-in-the-Middel“ 1 Angriffe, bei einer NAT Nutzung, nicht so sehr auffallen bzw. schwerer überprüft werden können [11].

NAT tauscht beim Senden in ein externes Netz die interne Quell-IP-Adresse und Port, gegen eine zuvor im NAT konfigurierte externe IP-Adresse und einen freien Port. Beim Empfangen einer Antwort aus einem externen Netz, werden die externe Ziel-IP-Adresse und Port gegen die – beim Senden ersetzte – interne Quell-IP-Adresse und Port, ausgetauscht. Somit sind Mehrfachnutzungen von IP-Adressen möglich – solange sich diese in LANs befinden, die voneinander getrennt sind [1]. Interne-Adressen sind Adressen, die zu dem verwalteten LAN („Local Area Netowork“) gehört z.B. normale Haushaltsnetzwerke die standardmäßig 192.168.1.1 als IP-Adresse des Routers Konfiguriert haben. Externe-Adressen sind die von dem ISP zugeteilte Adresse an den Haushaltsrouter z.B. 234.13.213.67. [5]

1 Man-in-the-Middle Angriff – Angreifer steht zwischen zwei oder mehr Kommunikationspartnern und vollständige Kontrolle über den Datenverkehr und kann die Informationen nach Belieben einsehen oder manipulieren

Noshaba Cheema und Roland Jäger

NAT

Materialien und Beschreibung der Versuchsdurchführung

Materialien

Für eine virtuelle Versuchsdurchführung: CISCO ® Packet Tracer

Für eine Versuchsdurchführung an realer Hardware: 1 lokales Netz, 1 CISCO ® Router,

der zu einem lokalen Netz gehört, das mit NAT konfiguriert werden soll. Wenn es möglich ist, einen CISCO ® Router aus einem DMZ Netz, dieser ist aber nicht notwendig, da er nur als Kontrolleinheit dient

Hinweis: CISCO ® Hardware ist nicht notwendig, jedoch werden in diesem Protokoll nur Befehle für CISCO ® Geräte verwendet.

Versuchsbeschreibung Das LAN besteht aus drei PCs – die drei Subnetz repräsentieren – und über einen CISCO ® Switch mit einem CISCO ® Router („Router-on-a-Stick“) [8] verbunden sind. Der CISCO ® LAN Router ist mit dem DMZ („Demilitatized Zone“) 2 Netz verbunden, welches aus einem CISCO ® Switch – der mit einem Server verbunden ist – sowie einem weiteren CISCO ® Router, welcher die Verbindung mit dem Internet herstellt.

Router, welcher die Verbindung mit dem Internet herstellt. Abb. 1 | Versuchsaufbau Die Ausgangskonfiguration ist, dass

Abb. 1 | Versuchsaufbau

Die Ausgangskonfiguration ist, dass der DMZ Router das Firmennetz (LAN) als statische Route kennt und somit allen Verkehr „direkt“ an die Endgeräte schicken kann. [5] Gefordert ist eine NAT Konfiguration, die den Datenverkehr aus dem LAN in das DMZ bzw. Internet über eine IP-Adresse aus dem DMZ realisiert, und keine statischen Routen nutzt. Dadurch wird das LAN vom DMZ bzw. Internet „getrennt“, womit eine erhöhte Sicherheit für das LAN besteht. [3]

2 DMZ – Computernetz mit sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten [1]

Noshaba Cheema und Roland Jäger

NAT

Ergebnisse mit Beschreibung und Screen-Shots

Vorbereitung Bevor mit der Konfiguration des NATs begonnen wurde, wurde im DMZ Router untersucht welche Quell- und Ziel-IP-Adresse die Pakte haben, die diesen passieren. Um dies bei einem CISCO ® Router zu untersuchen, wurde folgender „Command Line Interface“ (CLI) eingegeben:

Router_DMZ>enable

Password:

Router_DMZ#debug ip packet Packet debugging is on Router_DMZ#

Das „enable“ dient dazu, um in den „Privileged EXEC“-Modus zu gelangen. In diesem Modus hat man mehr Rechte als im „User EXEC“-Modus. Das # kennzeichnet den privilegierten Modus. Bei einem Router wird oft nach einem Passwort gefragt, um in diesem Modus zu gelangen. [14] Nun wurde ein Ping von einem PC aus dem LAN zum DMZ Router gesendet. Das Ergebnis im CLI des DMZ Routers müsste in etwa so aussehen:

IP: tableid=0, s=192.168.10.11 (FastEthernet0/0), d=204.204.7.4 (FastEthernet0/0), routed via RIB

IP: s=192.168.10.11 (FastEthernet0/0), d=204.204.7.4 (FastEthernet0/0), len 128, rcvd 3

IP: tableid=0, s=204.204.7.4 (local), d=192.168.10.11 (FastEthernet0/0), routed via RIB

IP: s=204.204.7.4 (local), d=192.168.10.11 (FastEthernet0/0), len 128, sending

Die Quell-IP-Adressen sind jeweils durch ein „s“ für „Source“ gekennzeichnet, die Ziel-IP-Adressen durch ein „d“ für „Destination“. Man sieht, dass die Quell- bzw. Ziel-IP-Adressen vom PC stammten, von dem der Ping gesendet wurde (IP-Adresse: 192.168.10.11) bzw. vom Router, der die Pings erhalten hat (IP-Adresse: 204.204.7.4). Dass der Router ebenfalls in den Quell-IP-Adressen auftaucht, hat den Grund, dass der Router eine Antwort an den PC sendet, ob er den Ping erhalten hat. Nach der Analyse wird der Debug Modus am Router ausgeschaltet:

Router_DMZ#undebug all All possible debugging has been turned off Router_DMZ#

Noshaba Cheema und Roland Jäger

NAT

Für eine detailliertere Analyse vom Versand der Pakete kann man – wenn man mit dem Packet Tracer arbeitet – in den Simulations Modus schalten und wieder einen Ping an den Router schicken. Beim Klicken auf eines der gesendeten Pakete kann man sich die Inbound und Outbound Details anzeigen lassen. Die Inbound Details sind die PDU Informationen für eingegangene Pakete und die Outbound Details für herausgegangenen Pakete. [5] Für den Ping könnte das beispielsweise so aussehen:

[5] Für den Ping könnte das beispielsweise so aussehen: Abb. 2 | Inbound PDU Details des

Abb. 2 | Inbound PDU Details des ICMP Paketes von PC1

aussehen: Abb. 2 | Inbound PDU Details des ICMP Paketes von PC1 Abb. 3 | Outbound

Abb. 3 | Outbound PDU Details des ICMP Paketes von PC1

Noshaba Cheema und Roland Jäger

NAT

Nun wurde die Routing Tabelle des DMZ Routers analysiert:

Router_DMZ#show ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP

i

- IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area

*

- candidate default, U - per-user static route, o - ODR

P

- periodic downloaded static route

Gateway of last resort is 204.204.7.14 to network 0.0.0.0

S

192.168.0.0/16 [1/0] via 204.204.7.1 204.204.7.0/29 is subnetted, 2 subnets

C

204.204.7.0 is directly connected, FastEthernet0/0

C

204.204.7.8 is directly connected, FastEthernet0/1

S*

0.0.0.0/0 [1/0] via 204.204.7.14

Router_DMZ#

Die Routing Tabelle zeigte die IP-Adresse des Firmennetzes (192.168.0.0) als statische Route (S) an. Der DMZ Router muss dieses Netz kennen, da er sonst nicht weiß, wohin die Pakete, die als Ziel-IP-Adresse eine Adresse aus diesem Bereich haben, gelangen sollen. [9]

Noshaba Cheema und Roland Jäger

NAT

NAT Konfiguration Der erste Schritt der NAT-Konfiguration bestand darin, zu entscheiden, welche der Inneren-Adressen durch das NAT übersetzt werden. Dies wurde durch eine Standard ACL („Access Control List“) realisiert. ACLs dienen dazu, Hosts bestimmte Zugriffsrechte zu erteilen oder zu verbieten. Für die NAT Konfiguration wurden den Host-Adressen im Firmennetz, also 192.168.0.0 bis 192.168.255.255, mithilfe einer Standard ACL der IP-Datenverkehr erlaubt. [4] Die Standard ACL wurde am Router des Firmennetzes eingerichtet:

Router_LAN>enable

Password:

Router_LAN#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router_LAN(config)#access-list 10 permit 192.168.0.0 0.0.255.255 Router_LAN(config)#

0.0.255.255 ist die Wildcardmaske. Standard ACLs haben die Nummern 1 bis 99. Welche der 99 Nummern man verwendet spielt dabei keine Rolle. Außerdem gibt es Extended ACLs, mit den Nummern 100 bis 199, die Quell- als auch Ziel-IP-Adresse überprüfen [7]. Extended ACLs können des weiteren noch Zugriffe auf bestimmte Ports und andere Protokolle einschränken bzw. erlauben [8]. Wenn man darüber hinaus noch ACLs braucht gibt es für Standard ACLs den erweiterten Bereich 1300-1999 und für Extended ACLs 2000-2699 [7].

Der NAT Pool – aus dem die IP-Adressen stammen, die gegen die internen IP-Adressen ausgetauscht werden – muss außerdem konfiguriert werden, um NAT nutzen zu können:

Router_LAN#configure terminal

Enter configuration commands, one per line. End with CNTL/Z. Router_LAN(config)#ip nat pool NAT_POOL1 204.204.7.1 204.204.7.1 netmask 255.

255.0.0

„NAT_POOL1“ wurde als Name des Pools verwendet. Dieser dient lediglich zur Identifikation und hat sonst keine Bedeutung. Als Start - und als End-IP-Adresse des Pools, wurde 204.204.7.1 verwendet. So wird nur noch diese externe IP-Adresse für den Datenverkehr benutzt. Als Subnetzmaske wird die Subnetzmaske des lokalen Netzes genommen.

Noshaba Cheema und Roland Jäger

NAT

Der nächste Schritt bestand darin zu entscheiden, welche der Interfaces zu welcher Seite des NAT Prozesses gehören – also zu den internen oder externen Interfaces. Da unser lokales Firmennetz VLAN nutzt, werden die Subinterfaces FastEthernet 0/0.10, 0/0.20 und 0/0.30 als interne Interfaces festgelegt. FastEthernet0/1 wird als externes Interface festgelegt, da es zum externen DMZ Netz führt:

Router_LAN(config)#interface fa0/0.10 Router_LAN(config-subif)#ip nat inside Router_LAN(config-subif)#exit Router_LAN(config)#interface fa0/0.20 Router_LAN(config-subif)#ip nat inside Router_LAN(config-subif)#exit Router_LAN(config)#interface fa0/0.30 Router_LAN(config-subif)#ip nat inside Router_LAN(config-subif)#exit Router_LAN(config)#interface fa0/1 Router_LAN(config-if)#ip nat outside Router_LAN(config-if)#exit Router_LAN(config)#

Zu guter Letzt muss die NAT Konfiguration noch aktiviert werden:

Router_LAN(config)#ip nat inside source list 10 pool NAT_POOL1 overload Router_LAN(config)#

Die „10“ steht für die ACL die vorher definiert wurde, damit der NAT Pool nur auf diese Adressen angewandt wird. Das „overload“ am Ende ist wichtig, da es ermöglicht, dass mehrere interne Adresse dieselbe externe Adresse verwenden können [2].

Noshaba Cheema und Roland Jäger

NAT

Überprüfung der NAT Konfiguration Nachdem NAT konfiguriert wurde, wurde überprüft, ob nun tatsächlich die externe IP-Adresse verwendet wird, anstatt der lokalen. Dazu wurde wieder das Debuggen am DMZ Router aktiviert und Pings von PC1 und PC2 zum DMZ Router geschickt. Das Ergebnis sah folgendermaßen für PC1 aus:

IP: tableid=0, s=204.204.7.1 (FastEthernet0/0), d=204.204.7.4 (FastEthernet0/0), routed via RIB

IP: s=204.204.7.1 (FastEthernet0/0), d=204.204.7.4 (FastEthernet0/0), len 128, rcvd 3

IP: tableid=0, s=204.204.7.4 (local), d=204.204.7.1 (FastEthernet0/0), routed via RIB

IP: s=204.204.7.4 (local), d=204.204.7.1 (FastEthernet0/0), len 128, sending

Und folgendermaßen für PC2:

IP: tableid=0, s=204.204.7.1 (FastEthernet0/0), d=204.204.7.4 (FastEthernet0/0), routed via RIB

IP: s=204.204.7.1 (FastEthernet0/0), d=204.204.7.4 (FastEthernet0/0), len 128, rcvd 3

IP: tableid=0, s=204.204.7.4 (local), d=204.204.7.1 (FastEthernet0/0), routed via RIB

IP: s=204.204.7.4 (local), d=204.204.7.1 (FastEthernet0/0), len 128, sending

Wie man gesehen hat, haben beide PCs nun die externe Adresse verwendet, die vom NAT vergeben wurde. Als nächstes wurde mit PC1 und PC2 im Internet gesurft. Beide haben dabei die Adresse des Web Servers 204.204.7.3 aufgerufen. Im Firmenrouter wurde dann die dynamische Übersetzungstabelle für den NAT Prozess angezeigt:

Router_LAN#show ip nat translation

Pro Inside global

Inside local

Outside local

Outside global

tcp 204.204.7.1:1025

192.168.10.11:1025 204.204.7.3:80

204.204.7.3:80

tcp 204.204.7.1:1024

192.168.20.11:1025 204.204.7.3:80

204.204.7.3:80

Die beiden PCs haben dieselbe externe IP-Adresse benutzt („Inside global“). Zur Unterscheidung der beiden PCs wurden unterschiedliche Portnummern verwendet. Die internen IP-Adressen und Portnummern sind gleich geblieben („Inside local“). „Oustside local“ und „Outside global“ zeigen die interne und externe IP-Adresse und Portnummer des Zieles an, an dem die Anfrage gesendet wird. [5]

Noshaba Cheema und Roland Jäger

NAT

Da die Verwendung von NAT erfolgreich war, konnte nun die statische Route 192.168.0.0 auf dem DMZ Router gelöscht werden:

Router_DMZ#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router_DMZ(config)#no ip route 192.168.0.0 255.255.0.0 Router_DMZ(config)#

Zur Kontrolle wurde noch einmal der DMZ Router gepingt und man hat dasselbe Ergebnis erhalten:

IP: tableid=0, s=204.204.7.1 (FastEthernet0/0), d=204.204.7.4 (FastEthernet0/0), routed via RIB

IP: s=204.204.7.1 (FastEthernet0/0), d=204.204.7.4 (FastEthernet0/0), len 128, rcvd 3

IP: tableid=0, s=204.204.7.4 (local), d=204.204.7.1 (FastEthernet0/0), routed via RIB

IP: s=204.204.7.4 (local), d=204.204.7.1 (FastEthernet0/0), len 128, sending

Das hat den Grund, dass nun der Datenverkehr nur zur externen Adresse des Firmennetzes geschickt werden kann und der DMZ Router nicht mehr das gesamte Netz kennen muss, was zu einer erhöhten Sicherheit führt [11].

Noshaba Cheema und Roland Jäger

NAT

Fazit

Nach der Konfiguration ist ist das LAN vom DMZ „getrennt“. Die Trennung beruht auf der Maskierung der eigentlichen IP-Adresse des Endgerätes im LAN. Dies sorgt für mehr Sicherheit im LAN, da man von Außerhalb nicht direkt mit den einzelnen Geräten kommunizieren kann [11]. Zudem ist die Konfiguration von ACLs zentraler zu handhaben, und dient so auch der Sicherheit [6]. Des weiteren können die IP-Adressen, die hinter einem Router mit NAT genutzt werden, auch von anderen Routern mit NAT, die sich im gleichen Netz befinden, verwendet werden, wodurch IP-Adressen „mehrfach“ verwendet werden und IPv4 effizienter genutzt werden kann [13].

Noshaba Cheema und Roland Jäger

Anhang

Abbildungsverzeichnis

NAT

Abb. 1| Versuchsaufbau

4

Abb. 2| Inbound PDU Details des ICMP Paketes von PC1

6

Abb. 3| Outbound PDU Details des ICMP Paketes von PC1

6

Abkürzungsverzeichnis

ACL

Access Control List

CLI

Command Line Interface

DMZ

Demilitatized Zone

ICMP

Internet Control Message Protocol

IP

Internet Protocol

LAN

Local Area Network

MITM

Man-in-the-Middle

NAT

Network Address Translation

PDU

Packet Data Unit

VLAN

Virtual Local Area Network

Noshaba Cheema und Roland Jäger

Liteatur- und Quellenverzeichnis

NAT

Literaturquellen

[1] AMON, C. (2004): Check Point Next Generation with Application Intelligence Security Administration Rockland: Syngress Publishing, Inc. [2] BARNES, D., B. SARKANDER (2005): Cisco LAN Switching Fundamentals Indianapolis: Cisco Press.

[3] CUEVAS, R., Á. CUEVAS, A. CABELLOS-APARICIO, L. JAKAB, C. GUERRERO (2010): A

collaborative P2P scheme for NAT Traversal Server discovery based on topological information

in: Computer Networks Vo

54; S. 2071-2085.

[4] ECKERT, C. (2006 4 ): IT-Sicherheit – Konzepte, Verfahren, Protokolle München: Oldenbourg Wissenschaftsverlag. [5] Edwards, M., R. Fuller, A. McCullough (2000): Building Cisco Remote Access Networks Rockland: Syngress Publishing, Inc. [6] K UROSE, J. F., K. W. R OSS (2008 4 ): Computernetzwerke – Der Top-Down-Ansatz München: Pearson Studium. [7] L EWIS , W. (2009): LAN-Switching und Wireless – CCNA Exploration Companion Guide München: Addison-Wesley Verlag. [8] SCHERRF, J. (2010 2 ): Grundkurs, Computernetzwerke – Eine kompakte Einführung in Netzwerk- und Internet-Technologien Wiesbaden: Vieweg+Teubner Verlag. [9] SCHREINER, R. (2009 3 ): Computernetzwerke – von den Grundlagen zur Funktion und Anwendung München: Carl Hanser Verlag. [10] TANENBAUM, A. S. (2003 4 ): Computernetzwerke München: Pearson Studium. [11] TSENG, C.-C., C.-L. LIN, L.-H. YEN, J.-Y. LIU, C.-Y. HO (2013): Can: A context-aware NAT traversal scheme in: Journal of Computer Network and Computer Applications. [12] YAW-CHUNG, C., J. WEN-KANG (2009): Challenge and solutions of NAT traversal for ubiquitous and pervasive applications on the Internet in: The Journal of Systems and Software Vol. 82; S. 1620-1626.

Internetquellen