Unterschiede zwischen den Revisionen 1 und 4 (über 3 Versionen hinweg)
Revision 1 vom 2016-03-03 16:38:33
Größe: 1401
Autor: BodoBellut
Kommentar:
Revision 4 vom 2016-09-02 17:19:10
Größe: 1581
Autor: DanielHess
Kommentar:
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 3: Zeile 3:
secure.ping.de ('''83.97.42.250''') existiert als eine Reihe von NAT-Regeln auf dem PING-Router. Sinn ist es, Dienste auf multiplen Servern unter einem Namen zusammenzufassen, um so nur ein SSL-Zertifikat zu benötigen. Das für PING bei einer verbreiteten CA gekaufte Zertifikat dient zur Absicherung einiger zentraler Dienst.
Zeile 5: Zeile 5:
Aktuell gibt es auf dem PING-Router diese NAT-Regeln: secure.ping.de ({{{83.97.42.25}}}) als IPv4-Host existiert dabei als Alias-Interface auf lucy.ping.de.

Die abzusichernden Dienste laufen dabei Verteilt auf Lucy und Lilly und müssen über eine IP-Adresse ansprechbar sein. Hierfür „leitet“ Lucy entsprechende Anfragen, die an {{{83.97.42.25}}} ankommen an lokal auf Lucy laufende Dienste oder an Lilly weiter.

Aufgrund der alten OpenSSL-Version auf Lilly, die sich auch nicht ohne großen Aufwand aktualisieren lässt, übernimmt Lucy dabei die Verschlüsslung der Daten. Hierdurch ist die Kommunikation der auf Lilly laufenden Dienste zwischen Lucy und Lilly unverschlüsselt. Hierdurch ist es dringend erforderlich, dass die unverschlüsselten Daten nicht von Dritten mitgelesen werden können. Dies wird dadurch ermöglicht, dass Lucy und Lilly über eine private Ethernet-Verbindung kommunizieren. Dabei ist auf dem Host-System PING09, auf den beide VMs ausgeführt werden, eine private Bridge mit dem Namen {{{lillysslnetz}}} angelegt.

== Bridge lillysslnetz auf DOM0 ==

Auf der DOM0, auf der Lucy und Lilly ausgeführt werden, muss ein Bridge-Interface angelegt werden. Dies geschieht über die Konfigurationsdatei {{{/etc/network/interfaces}}} wie folgt:
Zeile 8: Zeile 16:
ip nat inside source static tcp 83.97.47.195 25 83.97.42.250 25 extendable
ip nat inside source static tcp 83.97.47.194 80 83.97.42.250 80 extendable
ip nat inside source static tcp 83.97.47.194 110 83.97.42.250 110 extendable
ip nat inside source static tcp 83.97.47.195 119 83.97.42.250 119 extendable
ip nat inside source static tcp 83.97.47.194 143 83.97.42.250 143 extendable
ip nat inside source static tcp 83.97.47.194 443 83.97.42.250 443 extendable
ip nat inside source static tcp 83.97.47.195 465 83.97.42.250 465 extendable
ip nat inside source static tcp 83.97.47.194 541 83.97.42.250 541 extendable
ip nat inside source static tcp 83.97.47.195 563 83.97.42.250 563 extendable
ip nat inside source static tcp 83.97.47.194 993 83.97.42.250 993 extendable
ip nat inside source static tcp 83.97.47.194 995 83.97.42.250 995 extendable
ip nat inside source static tcp 83.97.47.194 4242 83.97.42.250 4242 extendable		 auto lillysslnetz
iface lillysslnetz inet manual
        bridge_ports none
        bridge_stp off
        bridge_fd 0
Zeile 22: Zeile 23:
|| '''IP''' || '''Server''' ||
|| 83.97.42.250 || secure.ping.de ||
|| 83.97.47.194 || lilly.ping.de/eth1 ||
|| 83.97.47.195 || lucy.ping.de/eth1 ||		 /!\ : Nach dem anlegen hinzufügen mit {{{ifup lillysslnetz}}} auch hochfahren.

secure.ping.de

Das für PING bei einer verbreiteten CA gekaufte Zertifikat dient zur Absicherung einiger zentraler Dienst.

secure.ping.de (83.97.42.25) als IPv4-Host existiert dabei als Alias-Interface auf lucy.ping.de.

Die abzusichernden Dienste laufen dabei Verteilt auf Lucy und Lilly und müssen über eine IP-Adresse ansprechbar sein. Hierfür „leitet“ Lucy entsprechende Anfragen, die an 83.97.42.25 ankommen an lokal auf Lucy laufende Dienste oder an Lilly weiter.

Aufgrund der alten OpenSSL-Version auf Lilly, die sich auch nicht ohne großen Aufwand aktualisieren lässt, übernimmt Lucy dabei die Verschlüsslung der Daten. Hierdurch ist die Kommunikation der auf Lilly laufenden Dienste zwischen Lucy und Lilly unverschlüsselt. Hierdurch ist es dringend erforderlich, dass die unverschlüsselten Daten nicht von Dritten mitgelesen werden können. Dies wird dadurch ermöglicht, dass Lucy und Lilly über eine private Ethernet-Verbindung kommunizieren. Dabei ist auf dem Host-System PING09, auf den beide VMs ausgeführt werden, eine private Bridge mit dem Namen lillysslnetz angelegt.

Bridge lillysslnetz auf DOM0

Auf der DOM0, auf der Lucy und Lilly ausgeführt werden, muss ein Bridge-Interface angelegt werden. Dies geschieht über die Konfigurationsdatei /etc/network/interfaces wie folgt: 

auto lillysslnetz
iface lillysslnetz inet manual
        bridge_ports none
        bridge_stp off
        bridge_fd 0

/!\ : Nach dem anlegen hinzufügen mit ifup lillysslnetz auch hochfahren.

Systeme/secure.ping.de (zuletzt geändert am 2016-12-21 14:22:10 durch DanielHess)