КЕРУВАННЯ ТРАФІКОМ З ВИКОРИСТАННЯМ СПИСКІВ ДОСТУПУ. Лабораторна робота з Інформаційно-аналітичне забезпечення безпеки. Робота № 527230

Перехід до торгівельного партнера Binance

КЕРУВАННЯ ТРАФІКОМ З ВИКОРИСТАННЯМ СПИСКІВ ДОСТУПУ

Інформація про навчальний заклад

ВУЗ:

Національний університет Львівська політехніка

Інститут:

Інститут комп’ютерних технологій, автоматики та метрології

Факультет:

КН

Кафедра:

Захист інформації

Інформація про роботу

Рік:

2015

Тип роботи:

Лабораторна робота

Предмет:

Інформаційно-аналітичне забезпечення безпеки

Група:

УІ 31

Варіант:

Завантажити

Частина тексту файла (без зображень, графіків і формул):

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА» ІКТА кафедра ЗІ З В І Т до лабораторної роботи №5 з курсу «ІНФОРМАЦІЙНО-АНАЛІТИЧНЕ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ» на тему: «КЕРУВАННЯ ТРАФІКОМ З ВИКОРИСТАННЯМ СПИСКІВ ДОСТУПУ» Мета роботи – ознайомитися зі системою команд інтерпретатора команд Exec маршратизатора Cisco, набути практичні навики стосовно формування списків доступу з використанням вказаного інтерпретатора для керування потоком вхідних та вихідних пакетів для будь-якого інтерфейсу маршрутизатора об’єднаної мережі. 1. Теоретичні відомості Основні правила стосовно взаємодії з системою Cisco IOS На маршрутизаторах Cisco виконується високопродуктивна операційна система IOS (Cisco Internetworking Operating System), створена на базі ОС UNIX, яка фізично розміщена в енергонезалежній пам'яті маршрутизатора (FLASH). Взаємодія з системою Cisco IOS відбувається при посередництві інтерфейсу командного рядка (CLI –Command Line Interface). В загальному випадку формат команди виглядає наступним чином: Команда [параметри або опції] Параметри або опції, залежно від команди, можуть бути обов'язковими, необов'язковими або відсутніми взагалі. Для орієнтування в системі команд в Cisco IOS передбачена залежна від контексту система допомоги. Допомога може знадобитися при необхідності отримання переліку команд, які розпочинаються попередньо введеною послідовністю символів. В цьому випадку пропонується завершити введену послідовність символом "?"(знак питання) – у відповідь Cisco IOS надасть перелік команд, які починаються шуканою послідовністю символів. Наступний приклад демонструє використання допомоги слова: Router# co? configure connect copy Допомога синтаксису надає перелік допустимих ключових слів та команд даного контексту або перелік допустимих параметрів команди. Для використання допомоги синтаксису необхідно одразу після ключового слова через пробіл ввести символ "?" (знак питання). В результаті буде видано перелік можливих команд чи параметрів команди. Наступний приклад демонструє використання допомоги синтаксису: Router# configure ? memory Configure from NV memory network Configure from a TFTP network host overwrite-network Overwrite NV memory from TFTP network host=20 terminal Configure from the terminal У випадку введення невірної команди (помилка в слові, недопустима в даному контексті команда або невірно заданий параметр) Cisco IOS видасть відповідне повідомлення і вказівку імовірного місцезнаходження помилки в командному рядку. Ключове слово або невірний параметр в цьому випадку позначаються символом "^" (тильда). Наступний приклад демонструє реакцію системи на невірно введене ключове слово "Ethernet" Router(config)#interface ethernat ^ % Invalid input detected at '^' marker. Команди та ключові слова можна скорочувати до мінімально можливого –необхідно набрати кількість символів, яка є достатньою для однозначного трактування ключового слова чи команди. Якщо введена послідовність недостатня для однозначного трактування команди чи ключового слова –реакцією Cisco IOS спробу виконати таку команду буде повідомлення, типу: cisco(config)#i % Ambiguous command: "i" Автозавершення – клавішею TAB можна завершити ввід команди, якщо кількість попередньо набраних символів команди задовольняє умову 2. Для усунення необхідності повторного набору команд передбачено буфер історії команд, який надає можливість повторного використання введених раніше команд. Способи редагування командного рядка: Попередня/наступна команда: Ctrl-P/Ctrl-N або стрілки((. Символ вперед/назад: Ctrl-F/Ctrl-B або стрілки ((. На початок/в кінець рядка: Ctrl-A/Ctrl-E Наступне слово/попереднє слово: Esc F/Esc B Авто завершення команди: Tab або Ctrl-I Вставити з буфера/вставити наступний: Ctrl-Y/Esc Y Видалити символ зліва від курсора / під курсором: Delete/Ctrl-D Видалити всі символи до початку рядка/кінця рядка: Ctrl-U/Ctrl-K Видалити слово ліворуч курсора / праворуч курсора: Ctrl-W/Esc D Перевід рядка: Ctrl-L/Ctrl-R Поміняти символи місцями: Ctrl-T Екранування символу: Ctrl-V або Esc Q Коментарі починаються зі знаку оклику, але у NVRAM не зберігаються. При роботі з командним рядком Cisco IOS передбачено декілька контекстів (режимів вводу команд). Поточний контекст ідентифікується символом запрошення вводу команди, який виводиться вслід за іменем маршрутизатора, наприклад Router> - контекст користувача; Router# – контекст адміністратора. Замість сигнатури "Router" виводиться назва маршрутизатора, якщо вона була специфікована. Контекст користувача –відкривається при підключенні до маршрутизатора і допускає виконання лише обмеженого набору основних контрольних команд, що не впливають на конфігурацію маршрутизатора. Якщо на протязі тривалого часу відсутні будь-які дії в контексті адміністратора, Cisco IOS автоматично переходить в контекст користувача. Контекст адміністратора –відкривається командою enable, поданою в контексті користувача. Контекст адміністратора надає доступ до всіх без винятку команд (команди, що дозволяють отримати повну інформацію про конфігурацію маршрутизатора та його поточний стан, команди переходу в режим конфігурування, команди збереження та завантаження конфігурації). Зворотній перехід до контексту користувача відбувається по команді disable або по закінченні встановленого часу неактивності. Контексти користувача та адміністратора можуть бути захищені паролями з метою запобігання несанкціонованого доступу незареєстрованих операторів, тому при вході до одного з цих контекстів може відбуватися запит пароля (Password:). При вводі пароля останній із міркувань безпеки на екрані терміналу не відображається. При роботі через сеанс TELNET пароль передається мережею у відкритому форматі; TELNET не вживає жодних засобів по забезпеченню захисту пароля від можливого перехоплення. Завершення сеансу роботи відбувається по команді exit. Формування списків доступу Списки доступу – це списки умов для управління доступом. Вони є могутнім інструментом для управління доступом як до сегменту мережі, так і до зовнішніх, по відношенню до сегменту ресурсів, зсередини цього сегменту. Списки доступу дозволяють відсівати небажані пакети і тому застосовуються для реалізації стратегій безпеки. Шляхом правильного підбору списків доступу адміністратор мережі може розробити практично будь-яку потрібну йому стратегію безпеки. Списки доступу IP і IPX аналогічні за способом застосування – і ті і інші є фільтрами для порівняння, класифікації і обробки пакетів. Їх можна застосовувати для контролю потоку вхідних або вихідних пакетів для будь-якого інтерфейсу. Застосування списків доступу виражається в тому, що маршрутизатор аналізує кожен пакет, що проходить через даний інтерфейс і у вказаному напрямі, та виконує відповідні дії. Правила порівняння пакету із списком доступу: Пакет завжди порівнюється з кожним рядком списку доступу в порядку розташування рядків – спочатку виконується порівняння з рядком 1, потім з рядком 2, з рядком 3 і так далі. Порівняння виконується до тих пір, поки не буде виявлено відповідність пакету шаблону, що міститься в черговому рядку. Після цього порівняння закінчується і пакет обробляється. В кінці кожного списку доступу міститься неявна операція deny – це означає, що, якщо пакет не задовольняє жодному з шаблонів списку доступу, він відхиляється. Кожне з цих правил реалізується при фільтрації пакетів відповідно до списків доступу. Стандартні списки доступу IP Налаштування стандартних списків доступу IP складається з двох етапів Створення списку доступу. Зв'язування списку доступу з інтерфейсом. Створення списку доступу Стандартні списки доступу IP дозволяють аналізувати початкові IP-адреси пакетів TCP/IP і робити певні дії на підставі результату аналізу. Кожен рядок стандартного списку доступу IP має наступний формат : access-list номер списку доступу {pernit | deny} {адреса джерела [мета символи джерела] | any} Для створення списків доступу необхідно ввести команду access-list в режимі конфігурації. Кожному списку доступу привласнюється унікальний номер. Стандартним спискам доступу IP привласнюються номери від 1 до 99; номери списків доступу інших типів також знаходяться в певних діапазонах: Router#config t Enter configuration commands, one per line End with CNTL/Z RouterA(config) access-list ? <1-99> IP standard access list // Стандартний список IP <100-l99> IP extended access list // Розширений список IP <1000-1099> IPX SAP access list // Список IPX SAP <1100-1199> Extended 48-bit MAC address access list // Розширений 48-розрядний список доступу по Мас-адресі <1200-1299> IPX summary address access list // Список доступу за повною цілковитою адресою IPX <200-299> Protocol type-code access list // Список доступу за кодом типу протоколу <300-399> DECnet access list // Список доступу DECnet <600-699> Appletalk access list // Список доступу AppleTalk <700-799> 48-bit MAC address access list // 48-розрядний список доступу no Мас-адресу <800-899> IPX standard access list // Стандартний список IPX <900-999> IPX extended access list // Розширений список IPX Ключове слово permit або deny вказує, чи слід дозволити (permit) проходження пакету, що задовольняє шаблону, або заборонити (deny) його; параметр «початкова адреса» застосовується для визначення початкової IP-адреси пакетів що потребують особливої обробки. (Ключове слово access-list слугує для редагування списків доступу; access-group — для пов'язання списку доступу з інтерфейсом). Параметр out вказує, що список повинен використовуватися для фільтрації вихідних пакетів (для вхідних пакетів був би вказаний параметр in). Слід зазначити, що команда фільтрації відноситься до маршрутизатора, а не до мережі, так що вхідний і вихідний напрями розглядаються з погляду маршрутизатора, а не вузлів мережі. Для маршрутизатора вихідними (out) будуть пакети, передані його інтерфейсом(ами) в мережу, вхідними (in) – пакети, які надходять з мережі на його інтерфейс(и). Рядок deny any неявно присутній в кінці кожного списку доступу. Маршрутизатор не виводить його на екран, але слід пам'ятати, що він обробляє пакети так, якби цей рядок був би явно вказаний. Для кожного протоколу на інтерфейс може бути призначений тільки один список доступу. Для більшості протоколів можна задати роздільні списки для різних напрямів трафіку. Якщо список доступу призначений на вхідний через інтерфейс трафік, то при отриманні пакету, маршрутизатор перевіряє критерії, задані в списку. Якщо пакет дозволений даним списком, то він передається для подальшої обробки. Якщо пакет заборонений, то він відкидається. Якщо список доступу призначений на трафік, що виходить через інтерфейс, то після прийняття рішення про передачу пакету через даний інтерфейс маршрутизатор перевіряє критерії, задані в списку. Якщо пакет дозволений даним списком, то він передається в інтерфейс. Якщо пакет заборонений, то він відкидається. Маски шаблонів Метасимволи є аналогом маски. Двійковий нуль у полі метасимволів джерела означає, що вимагається співпадіння значення цього розряду в адресі прийнятого пакету і в адресі, заданої у списку доступу. Двійкова одиниця означає, що спів падіння у цьому розряді не вимагається. Розширені списки доступу IP Перейдемо до розширених списків доступу IP. Їх функція та ж, що і у стандартних списків, відмінність полягає тільки в критеріях фільтрації. Стандартні списки доступу дозволяють фільтрувати пакети тільки на основі їх початкової адреси, тоді як розширені списки дозволяють застосовувати наступні критерії фільтрації: Початкова адреса Цільова адреса Протокол IP (TCP, udp, icmp і так далі) Порт (www, dns, ftp і т. д.) Таким чином, розширені списки доступу володіють збільшеним набором можливостей, що дозволяє створювати докладніші списки доступу. Синтаксис рядків розширеного списку доступу схожий з синтаксисом стандартного списку. Перші три поля — access-list, номер і ключове слово permit/deny – ті ж самі що і в стандартних списках. Проте перед полем початкової адреси можна вказати протокол, а після початкової адреси — цільова адреса і порт. Всі ці поля є необов'язковими. Формат рядка розширеного списку доступу IP : access-list номер списку доступу {permit | deny} { протокол | ключове слово протоколу} {адреса джерела [метасимволи джерела] [порт джерела] | any} [адреса приймача [метасимволи приймача]] [порт приймача] Необхідно, наприклад, дозволити одній робочій станції інженерного відділу доступ до проксі-сервера мережі адміністративного відділу з IP-адресою 192.168.1.10 і адресою порту 8080. Крім того, потрібно дозволити всім комп'ютерам відділу мережі продажів доступ до того ж проксі-серверу і до web-серверів, що знаходяться в мережі адміністративного відділу. Це можна зробити таким чином: RouterA#config t Enter configuration commands one per line End with CNTL/Z RouterA(config-if) #access-list 110 permit tcp host 192.168.3.2 host 192.168.1.10 eq 8080 RouterA(config-if) #access-list 11 permit tcp 192.168.2.0 0.0.0.255 host 192.168.1.10 eq 8080 RouterA(config) #access-list 110 permit tcp any any eq www RouterA(config-if)#int Fastethernet0/1 RouterA(config-if) #ip access-group 110 out RouterA(config-if)#^Z Як вже наголошувалося, перші три поля ті ж самі, що і в стандартному списку доступу IP, але номер списку змінений на 110 (оскільки номери розширених списків доступу IP повинні знаходитися в діапазоні 100-199). Тому розглянемо чотири останні поля списку і відповідні поля шаблону розширених списків доступу IP : протокол початкова адреса цільова адреса порт tcp host 192.168.3.2 host 192.168.1.10 eq 8080 tcp 192.168.2.0 0.0.0.255 host 192.168.1.10 eq 8080 tcp any any eq www З'явилося поле протоколу, в ньому вказаний протокол TCP. Це означає, що ми дозволили зв'язок по протоколу TCP з проксі-сервером через порт 8080. Замість TCP можна було вказати будь-який інший протокол як показано нижче : RouterA#config t Enter configuration commands, one per line End with CNTL/Z ROUTERA(config) #access-list 110 permit ? <0-255> An IP protocol number ahp Authentication Header Protocol eigrp Cisco s EIGRP routing protocol esp Encapsulation Security Payload gre Cisco's 6RE tunneling icmp Internet Control Message Protocol igmp Internet Gateway Message Protocol igrp Cisco's IGRP routing protocol ip Any Internet Protocol ipinip IP in IP tunneling nos KA90 N0S compatible IP over IP tunneling ospf 0SPF routing protocol pep Payload Compression Protocol tcp Transmission Control Protocol udp User Datagram Protocol 2.Завдання В 14 14а. Мережа 192.168.0.0/24 поділена на 4 підмережі. Створити списки доступу, які дозволяють проходження IP-пакетів усіх вузлів першої підмережі, а для решти вузлів мережі проходження IP-пакетів забороняють! 14б. Створити списки доступу, які дозволяють проходження IP-пакетів у підмережу 192.168.38.0/29 від інтерфейсу 172.23.30.5, а для решти вузлів мережі 172.23.0.0/16 проходження IP-пакетів у підмережу 192.168.38.0/29 забороняють! 14в. Створити список доступу, який дозволяє лише трафік SMTP в підмережу 192.168.24.0/26 3.Результати роботи Створені списки доступу: Зв’язуємо інтрефейси FastEthernet1/0, FastEthernet2/0, FastEthernet3/0 зі списком доступу access-list 1: Router#config Router(config)#int Fastethernet1/0 Router(config-if)#ip access-group 1 in Router# Router#config Router(config)#int Fastethernet2/0 Router(config-if)#ip access-group 1 in Router# Router#config Router(config)#int Fastethernet3/0 Router(config-if)#ip access-group 1 in Router# Зв’язуємо інтрефейс FastEthernet5/0,зі списком доступу access-list 100: Router#config Router(config)#int Fastethernet5/0 Router(config-if)#ip access-group 100 out Router# Зв’язуємо інтрефейс FastEthernet6/0,зі списком доступу access-list 110: Router#config Router(config)#int Fastethernet6/0 Router(config-if)#ip access-group 110 out Router# Тестування зв’язку: 4.Висновки Отже,під час виконання даної лабораторної роботи ми ознайомилися із системою команд CLI маршрутизатора Cisco та отримали навики стосовно формування списків доступу з використанням вказаного інтерпретатора для керування потоком вхідних та вихідних пакетів для будь-якого інтерфейсу маршрутизатора об’єднаної мережі. На основі отриманих знань була розроблена модель мережі та створені списки доступу для керуванням трафіку.

Лабораторна робота Інформаційно-аналітичне забезпечення безпеки

ui11

20.06.2015 10:06-

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, або зареєструйтесь.

Ділись своїми роботами та отримуй миттєві бонуси!

Маєш корисні навчальні матеріали, які припадають пилом на твоєму комп'ютері? Розрахункові, лабораторні, практичні чи контрольні роботи — завантажуй їх прямо зараз і одразу отримуй бали на свій рахунок! Заархівуй всі файли в один .zip (до 100 МБ) або завантажуй кожен файл окремо. Внесок у спільноту – це легкий спосіб допомогти іншим та отримати додаткові можливості на сайті. Твої старі роботи можуть приносити тобі нові нагороди!

поділитись