Netzwerkanalyse und Firewall-Planung
Aufgaben: Netzwerkanalyse und Firewall-Planung
Ziel dieser Übung ist es, das Netz 10.88.213.0/24 systematisch zu analysieren
und anschließend zu entscheiden, welche Dienste von außen erreichbar sein sollen.
Aufgabe: Welche Hosts sind aktiv?
Ermittle alle aktiven Rechner im Netz 10.88.213.0/24 ohne einen Port-Scan durchzuführen.
Wie viele Hosts sind aktiv? Notiere die IP-Adressen und Hostnamen.
Aufgabe: Welche TCP-Ports sind offen?
Scanne alle TCP-Ports aller aktiven Hosts im Netz 10.88.213.0/24.
Erstelle eine Übersicht welcher Host welche TCP-Ports offen hat.
Aufgabe: Welche UDP-Ports sind offen?
Scanne die wichtigsten UDP-Ports aller Hosts. Konzentriere dich auf die Ports 53 (DNS), 67 (DHCP), 123 (NTP) und 161 (SNMP).
Aufgabe: Welche Dienste und Versionen laufen?
Führe eine vollständige Versionserkennung aller Hosts durch. Notiere für jeden Host: Dienst, Version und Betriebssystem.
Diskussion: Was muss von außen erreichbar sein?
Beantworte für jeden Dienst die Frage: Freischalten oder nicht — und warum?
Fülle die folgende Tabelle aus:
| Host | Port | Dienst | Von außen? | Begründung |
|---|---|---|---|---|
| fw.it2XX.int | 22 | SSH | Nur vom Host | Ausnahme wegen Lab |
| mail.it2XX.int | 22 | SSH | nein | Machen wir über JumpHost oder später VPN |
| mail.it2XX.int | 25 | SMTP | any | Um Mails auf jeden Fall zu bekommen |
| mail.it2XX.int | 80 | HTTP | any | Ist zwar Unsicher - aber wegen Redirekt ok |
| mail.it2XX.int | 143 | IMAP | nein | Wir nutzen imaps |
| mail.it2XX.int | 443 | HTTPS | any | Um Mails per Webinterface abzuziehen |
| mail.it2XX.int | 465 | SMTPS | any | Damit unsere Clients Mails verschicken können. |
| mail.it2XX.int | 993 | IMAPS | any | Damit unsere Clients Mails abziehen können. |
| mail.it2XX.int | 6666 | SSH | nein | Es gibt keinen Grund für einen 2. SSH Zugung |
| www.it2XX.int | 25 | SMTP | nein | Es fehlt die Begründung warum dieser Dienst hier läuft |
| www.it2XX.int | 80 | HTTP | nein | Bis wir einen Redirect eingerichet haben, |
| www.it2XX.int | 389 | LDAP | nein | Es fehlt die Begründung warum dieser Dienst hier läuft |
| www.it2XX.int | 443 | HTTPS | ja | Damit man die Webseite verschlüsselt erreicht. |
| ns.it2XX.int | TCP:53 | DNS | Secondärer NS | Damit dieser die Zonen abgleichen kann |
| ns.it2XX.int | UDP:53 | DNS | Any | Damit die Aussenwelt unsere Records abfragen |
| ns.it2XX.int | 22 | SSH | nein | Machen wir über JumpHost oder später VPN |