Bewertung 5


Die Kandidaten sollten in der Lage sein, Netzwerkgeräte für die Verbindung zu lokalen Netzwerken und Wide-Area-Netzwerken zu konfigurieren. Dieses Lernziel beinhaltet die Fähigkeit, zwischen verschiedenen Subnetzen eines einzelnen Netzwerkes zu kommunizieren, Einwahlverbindungen mittels mgetty einzurichten, Einwahlverbindungen über Modem oder ISDN, Authentisierungsprotokolle wie PAP und CHAP und TCP/IP-Logging zu konfigurieren.

Schlüsseldateien, Begriffe und Hilfsmittel beinhalten:

  • /sbin/route
  • /sbin/ifconfig
  • /sbin/arp
  • /usr/sbin/arpwatch
  • /etc/

route und ifconfig sind klar

arp

Der Befehl dient zur Manipulation des ARP-Cache im Kernelspace. Es ist möglich, einzelne ARP-Einträge zu löschen oder manuell neue zu erstellen. Auch die Ausgabe des gesamten Caches ist möglich.

Folgende Aktionen sind üblich:

  • Anzeige des ARP-Cache
    Entweder mit dem Befehl arp alleine, dann entspricht die Ausgabe fast vollständig dem Inhalt der Datei /proc/net/arp. Alternativ kann mit arp -a die Ausgabe im BSD-Format erfolgen. In beiden Fällen kann auch ein Rechnername (oder eine IP-Adresse) angehängt werden, dann wird nur die Angabe zu diesem Rechner ausgegeben. Die Option -n zwingt zur Ausgabe der IP-Adresse statt des Namens.
  • Löschen eines Eintrags im Cache
    Mit arp -d Hostname oder arp –delete Hostname wird der Eintrag des entsprechend angegebenen Rechners aus dem Cache entfernt. Statt Hostnamen können auch IP-Adressen angegeben werden.
  • Setzen eines Cache-Eintrags
    Mit dem Befehl arp -s Hostname MAC-Adresse bzw. arp –set Hostname MAC-Adresse wird ein Eintrag manuell dem Cache zugefügt. Die MAC-Adresse wird im Format xx:xx:xx:xx:xx:xx angegeben, statt Hostnamen dürfen auch IP-Adressen angegeben werden.
  • Setzen von Cache-Einträgen aus einer Datei
    Mit der Option -f Dateiname bzw. –file Dateiname werden die Angaben aus einer Datei gelesen und in den Cache gehängt. Die Datei hat das Format Hostname MAC-Adresse Zusätzlich können noch die Flags temp und pub gesetzt werden. Wird die Angabe der Datei weggelassen, so wird die Datei /etc/ethers angenommen.

Jeder komplette Eintrag enthält den Flag C, permanente Einträge haben zusätzlich den Flag M und veröffentlichte Einträge (published) tragen zusätzlich noch P.

arpwatch

arpwatch ist ein Daemon, der den Netzwerktransfer überwacht und auftauchende BOGONs (verfälschte Pakete) meldet. Die Meldung erfolgt per Mail an den Systemverwalter oder die Adresse, die via -m emailadresse Parameter angegeben wurde.

Wichtig ist, dass arpwatch nicht funktioniert, wenn die Datei /var/lib/arpwatch/arp.dat nicht existiert. Vor dem ersten Aufruf muß diese Datei also angelegt werden. Es reicht, sie als leere Datei anzulegen.

Gemeldet werden neue Rechner, die im Netz auftauchen, sowie alle Mehrdeutigkeiten (MAC-Adressen, die plötzlich unter anderer IP Adresse auftauchen oder ähnliches).

Einwahlmöglichkeit über mgetty

Um sich via Modem auf einem Rechner einloggen zu können, muß ein bestimmter Getty-Prozeß auf der Modemschnittstelle liegen. Normalerweise wird hierfür der spezielle Modem-Getty (mgetty) verwendet, der den Vorteil hat, automatisch zu erkennen, ob ein Anruf ein Daten- oder Faxanruf ist. Der normale Datenanruf führt zu einer ganz normalen Loginmeldung.

Um einen solchen Getty-Prozeß für eine bestimmte Schnittstelle zu starten, muß für jede Schnittstelle auf der das gewünscht ist, ein Eintrag in /etc/inittab vorliegen. Dieser Eintrag hat die Form

  m1:123:respawn:/usr/sbin/mgetty Optionen

mgetty kennt einige wichtige Parameter, die üblichen sind -x Debuglevel Stellt die Menge der Diagnoseinformationen ein. Mögliche Werte für Debuglevel sind die Zahlen von 0 (keine Meldungen) bis 9 (maßlos viele Meldungen). -n Zahl mgetty nimmt nach Zahl mal Klingeln ab -s Geschwindigkeit Stellt die Portgeschwindigkeit der Schnittstelle ein, z.B. -s 3840. -m ‚Erwarte Sende …‘ Setzt die Chat-Sequenz, um das Modem zu initialisieren. Wenn nichts erwartet wird, muss ein Leerstring durch zwei direkt aufeinanderfolgende doppelte Anführungszeichen („“) verwendet werden. Da die Sequenz selbst Leerzeichen enthält, muß sie in einfachen Hochkommas dargestellt werden. Gerätedatei Zwingend muss als letzter Parameter (bzw. als vorletzter vor eventuellen Gettydefs) die Gerätedatei der Schnittstelle angegeben werden, an der das Modem hängt.

Damit nun auch die Einwahl via PPP möglich ist, muß eine der beiden folgenden Punkte erfüllt sein:

  1. Ein spezieller Username muss angegeben sein, der in /etc/passwd als Startshell den pppd angegeben hat (veralterte Methode) oder
  2. mgetty muß mit der Option -DAUTO_PPP kompiliert sein. Dann kann in der Datei /etc/mgetty&sendfax/login.config die Zeile /AutoPPP/ – ppp /usr/sbin/pppd auth login +pap -chap modem crtscts lock angegeben sein, die entsprechend den pppd startet wenn es sich um einen PPP-Anruf handelt.

Wenn der PPP-Daemon pppd von mgetty gestartet wurde, dann wird er die Datei /etc/ppp/options.server als Optionsdatei benutzen. In dieser Datei sind dann alle Optionen des PPP-Daemons angegeben.

Konfiguration von PAP

PAP (Password Authentication Protocol) ist eine der beiden Möglichkeiten, die PPP benutzen kann, um die Gegenstelle zu authentifizieren. Weil PPP technisch gesehen ein Peer-to-Peer Protokoll ist, werden Authentifizierungen in beide Richtungen ermöglicht, auch wenn das nicht immer verwendet werden muß.

In der Datei /etc/ppp/options.server sollte die Anweisung

  +pap

oder

  require-pap

stehen. Dadurch überprüft der pppd Usernamen und Passwörter über die Einträge in der Datei /etc/ppp/pap-secrets. Diese Datei hat die folgende Syntax:

  #client         server       secret          addrs

Um nur die Authentifizierung der Clients zu ermöglichen, kann unter Server einfach ein Sternchen angegeben werden. Auch unter addrs kann ein Sternchen stehen. Sind hier aber keine Wildcards, so wird der Zugriff nur gewährt, wenn die Anfrage von der entsprechenden Adresse kommt.

Soll stattdessen ein Eintrag in /etc/passwd Verwendung finden, so muß als Option für pppd zusätzlich das Wort login angegeben werden. Dann muß die Datei /etc/ppp/pap-secrets nicht existieren, stattdessen wird über das normale Unix-Login die Identität des Users überprüft.

Konfiguration von CHAP

IP-Adresszuweisung mit PPP

Damit ppp funktioniert, muß dem Client eine dynamische Adresse zugewiesen werden. Die Angabe dieser Adresse kann entweder in der Datei /etc/ppp/options.server oder in einer vergleichbaren Datei /etc/ppp/options.ttySn stehen. Die Form ist einfach

  Server_IP:Client_IP

Die erste Adresse ist die IP-Adresse des Servers, also unsere eigene, die zweite ist die, die wir der Schnittstelle (und damit dem Client) zuweisen. Es ist absolut notwendig, dass die zweite IP-Adresse eine gültige IP-Adresse des lokalen Netzes ist, die noch von keinem anderen Gerät benutzt wird.