НАЛАШТУВАННЯ МІЖМЕРЕЖЕВОГО ЕКРАНУ НА ОСНОВІ IOS CISCO. Лабораторна робота з Комп ютерні методи високорівневого проектування систем захисту. Робота № 529346

Перехід до торгівельного партнера Binance

НАЛАШТУВАННЯ МІЖМЕРЕЖЕВОГО ЕКРАНУ НА ОСНОВІ IOS CISCO

Інформація про навчальний заклад

ВУЗ:

Національний університет Львівська політехніка

Інститут:

Не вказано

Факультет:

ЗІ

Кафедра:

Не вказано

Інформація про роботу

Рік:

2016

Тип роботи:

Лабораторна робота

Предмет:

Комп ютерні методи високорівневого проектування систем захисту

Завантажити

Частина тексту файла (без зображень, графіків і формул):

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА» Кафедра ЗІ / Звіт до лабораторної роботи № 3 З курсу: «Комп`ютерні методи високорівневого проектування систем захисту» На тему: “НАЛАШТУВАННЯ МІЖМЕРЕЖЕВОГО ЕКРАНУ НА ОСНОВІ IOS CISCO” Варіант № 8 Мета роботи – ознайомитися з принципом функціонування міжмережевих екранів на відповідних рівнях моделі OSI, типовими схемами їх підключень у корпоративній мережі, набути практичні навички щодо налаштування міжмережевого екрану на основі IOS маршрутизатора CISCO для захисту від несанкціонованих мережевих віддалених підключень до вузлів локальної мережі. 1.Теоретичні відомості Міжмережевий екран (також зустрічається як брандмауер і firewall) називають локальний або функціонально розподілений програмний (програмно-апаратний) засіб (комплекс), який реалізує контроль за інформацією, що надходить в автоматизовану систему і/або виходить з автоматизованої системи. Типовими завданнями МЕ, як правило, є: контроль всього трафіку, що входять у внутрішню корпоративну мережу; контроль всього трафіку, що виходить з внутрішньої корпоративної мережі. Контроль інформаційних потоків полягає в їх фільтрації та перетворені у відповідності зі заданим набором правил. Оскільки в сучасних МЕ фільтрація може здійснюватися на різних рівнях еталонної моделі взаємодії відкритих систем (OSI), МЕ зручно представити у вигляді системи фільтрів. Кожен фільтр на основі аналізу даних, які проходять повз нього, приймає рішення ( пропустити їх далі, перекинувши за екран, блокувати або перетворити (рис. 2). Невід'ємною функцією МЕ є протоколювання інформаційного обміну. Ведення журналів реєстрації дозволяє адміністратору виявити підозрілі дії, помилки в конфігурації МЕ і прийняти рішення про зміну правил МЕ. / Рис. 1. Схема фільтрації в МЕ Завдання міжмережевого екрану, який захищає значну кількість вузлів внутрішньої мережі, полягає у вирішенні двох основних задач: Обмеження доступу зовнішніх (по відношенні до мережі, яка захищається) користувачів до внутрішніх ресурсів корпоративної мережі. До таких користувачів, зазвичай, відносять віддалених користувачів, партнерів, зловмисників (хакерів) і навіть співробітників організації, які, наприклад, намагаються отримати доступ до серверів баз даних, що перебувають під захистом брандмауера. Розмежування доступу користувачів, внутрішньої мережі до зовнішніх ресурсів. Вирішення цього завдання робить можливим, наприклад, регулювання доступу до серверів, які не є необхідними для виконання службових обов’язків. На сьогодні не сформовано повної та комплексної загальноприйнятої класифікації міжмережевих екранів. Проте, МЕ можна класифікувати за такими основними ознаками у відповідності до функціонування на різних рівнях моделі OSI чи стеку TCP/IP: • комутатори, що функціонують на канальному рівні (мостові МЕ); • мережеві чи пакетні фільтри, які функціонують на мережевому рівні (stateless firewall filter); • шлюзи сеансового рівня (circuit-level proxy); • посередники прикладного рівня (application proxy чи application gateway); • інспектори стану або комплексні екрани (stateful inspection) Схема єдиного захисту локальної мережі Найбільш простим є рішення, при якому міжмережевий екран просто екранує локальну мережу від глобальної. При цьому WWW-сервер, FTP-сервер, поштовий сервер та інші сервера, виявляються також захищені фаєрволом. При цьому потрібно виділити багато уваги на запобігання проникнення на захищені станції локальної мережі за допомогою засобів легкодоступних WWW-серверів. Схема єдиного захисту локальної мережі зображено на рисунку 2. / Рис. 2. Схема єдиного захисту локальної мережі Схема захищена закритою і не захищена відкритою підмережами. Для запобігання доступу в локальну мережу, використовуючи ресурси WWW-сервера, рекомендується загально доступні сервери підключати перед міжмережевим екраном. Такий спосіб підключення надає більш високу захищеність локальної мережі, проте рівень захищеності WWW-і FTP-серверів є низьким. Схема захищена закритою і не захищена відкритою підмережами зображена на рисунку 3. / Рис. 3. Схема захищена закритою і не захищена відкритою підмережами Схема з роздільним захистом закритою і відкритою підмережею. Дана схема підключення має найвищу захищеність в порівнянні з розглянутими вище. Схема заснована на застосуванні двох МЕ, які захищають окремо закриту і відкриту підмережі (рис 4). Ділянка мережі між МЕ також називається екранованою підмережею або демілітаризованою зоною (DMZ, demilitarized zone). / Рис. 4. Схема з роздільним захистом закритою і відкритою під мережею Context-Based Access Control (CBAC) ( технологія, яка дозволяє маршрутизатору одночасно виконувати функції міжмережевого екрану зі збереженням стану і міжмережевого екрану, який може здійснювати фільтрацію трафіку на мережевому рівні (IP-адреси і протоколи), транспортному рівні (порти, TCP та UDP сесії), сеансовому рівні (стан обміну даними) і прикладному рівні (протоколи для конкретних додатків, а також багатоканальних додатків, таких як FTP). Працюючи на кількох рівнях моделі OSI, а також зі стандартом Syslog, технологія CBAC забезпечує: фільтрацію трафіку, інспектування трафіку, виявлення вторгнень, а також генерування аудиту та сповіщень. У порівнянні з попередніми реалізаціями міжмережевих екранів Cisco зі збереженням стану, CBAC набагато прогресивніший МЕ, оскільки має можливість перевіряти інші протоколи, такі як UDP і ICMP, а також досліджувати такі сервіси як DNS, SMTP і протоколи, що покладаються на контроль прикладного рівня. Принцип роботи CBAC полягає в наступному: На вхідний мережевий інтерфейс маршрутизатора надходить пакет від одного з вузлів внутрішньої мережі, що захищається, який намагається встановити сесію з вузлом зі зовнішньої мережі. Якщо на маршрутизаторі налаштовано правила МЕ і пакет відповідає цим правилам, то при передачі пакету в зовнішню мережу маршрутизатор зберігає детальну інформацію про нього (наприклад ( IP-адреса джерела і пункту призначення, TCP/UDP порти та ін.). Якщо на цей пакет, відправлений вузлу з зовнішньої мережі, приходить пакет у відповідь, він також пропускається, навіть якщо мережевому інтерфейсу призначено правило deny any, оскільки запис про сесію зберігається в пам’яті маршрутизатора. Крім того, CBAC відслідковує стан встановлених сесій. Якщо на протязі визначеного часу в рамках однієї з встановлених сесій не відбувається обміну пакетами, то МЕ перестає обслуговувати таку сесію і запис про неї видаляється з пам’яті маршрутизатора. Це слугує додатковим захистом від зловмисників, які можуть сканувати мережу та маршрутизатор на наявність відкритих портів. Існує п’ять кроків по налаштуванню CBAC на маршрутизаторі Ciscо: Визначити перелік послуг, до яких користувачам з мережі, що захищається необхідно отримати доступ зі зовнішньої ненадійної мережі. Вибрати мережевий інтерфейс ( зовнішній або внутрішній. Налаштувати IP списки доступу на вибраному інтерфейсі. Визначити правило інспектування мережевого трафіку. Застосувати правило інспектування до мережевого інтерфейсу. 2.Завдання 1. Побудувати мережу в середовищі Packet Tracer згідно індивідуального завдання. 2. Розробити текстові описи налаштувань мережевого обладнання. 3. Використовуючи інтерфейс командного рядка ввести команди налаштувань для мережевого обладнання та задати мережеві параметри вузлам мережі. 4. Продемонструвати роботу МЕ з використанням CBAC для захисту від несанкціонованих мережевих віддалених підключень до вузлів локальної мережі. Network1 ІР: 172.30.25.0/24 ( Web доступ до INTERNET та Web доступ до DMZ-servera; Network2 ІР:10.0.0.0/24 ( Web доступ до INTERNET; Network3 ІР: 192.168.15.0/24 ( доступ лише за протоколом ICMP до DMZ-servera. 3.Результати роботи Схема мережі: / R1 Маршрутизація Router(config)# Router(config)#ip route 172.30.25.0 255.255.255.0 192.168.0.2 Router(config)#ip route 10.0.0.0 255.255.255.0 192.168.0.3 Router(config)#ip route 192.168.15.0 255.255.255.0 192.168.0.4 Router(config)#ip route 0.0.0.0 0.0.0.0 210.210.0.2 Налаштовуємо інтерфейс R1 Router(config)#interface fast0/1 Router(config-if)#ip nat outside Router(config-if)#interface fast0/0 Router(config-if)#ip nat inside Надаємо дозвіл вузлам Intranet право виходу в Інтернет через PAT: Router(config-if)#ip access-list standard FOR-NAT Router(config-std-nacl)#permit 172.30.25.0 0.0.0.255 Router(config-std-nacl)#permit 10.0.0.0 0.0.0.255 Router(config-std-nacl)#exit Router(config)#ip nat inside source list FOR-NAT int fast0/1 overload Дозволяємо лише www трафік з зовнішньої мережі до DMZ сервера, та забороняємо доступ до локальної мережі: Router(config)#ip access-list extended FOR-OUT Router(config-ext-nacl)#permit tcp any host 210.210.2.2 eq www Router(config-ext-nacl)#deny ip any any Router(config-ext-nacl)#exit Router(config)#int fast0/1 Router(config-if)#ip access-group FOR-OUT in Вибираємо трафік який дозволений користувачам LAN і який необхідно інспектувати: Router(config)#ip inspect name IN-OUT http Router(config)#ip inspect name IN-OUT icmp Router(config)#ip inspect name IN-OUT tcp Router(config)#int fast0/0 Router(config-if)#ip inspect IN-OUT in Обмеження трафіку з внутрішньої мережі згідно завдання: Router(config)#ip access-list extended FOR-INTRANET Router(config-ext-nacl)#permit tcp 172.30.25.0 0.0.0.255 host 210.210.2.2 eq www Router(config-ext-nacl)#deny ip 172.30.25.0 0.0.0.255 host 210.210.2.2 Router(config-ext-nacl)#permit tcp 172.30.25.0 0.0.0.255 any eq www Router(config-ext-nacl)#deny ip 10.0.0.0 0.0.0.255 host 210.210.2.2 Router(config-ext-nacl)#permit tcp 10.0.0.0 0.0.0.255 any eq www Router(config-ext-nacl)#permit icmp 192.168.15.0 0.0.0.255 host 210.210.2.2 Router(config-ext-nacl)#deny ip any any Router(config-ext-nacl)#ex Router(config)#int fast0/0 Router(config-if)#ip access-group FOR-INTRANET in Обмеження трафіку з DMZ в локальну мережу: Router(config)#ip access-list extended FOR-DMZ Router(config-ext-nacl)#deny ip host 210.210.2.2 172.30.25.0 0.0.0.255 Router(config-ext-nacl)#deny ip host 210.210.2.2 10.0.0.0 0.0.0.255 Router(config-ext-nacl)#deny ip host 210.210.2.2 192.168.15.0 0.0.0.255 Router(config-ext-nacl)#permit ip any any Router(config-ext-nacl)#ex Router(config)#int fast1/0 Router(config-if)#ip access-group FOR-DMZ in Тестування зв’язку від зовнішніх користувачів: / / Тестування зв’язку з DMZ: / Тестування зв’язку з мережі Network1: / / З Network 3: / 4. Висновки В даній роботі досліджено роботу мережевих екранів. Для заданої мережі розроблено систему фільтрації трафіку за допомогою списків доступу та технології Context-Based Access Control. В результаті мережа стала захищеною від мережевих віддалених підключень до вузлів мережі.

Лабораторна робота Комп ютерні методи високорівневого проектування систем захисту

ui11

28.04.2017 22:04-

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, або зареєструйтесь.

Ділись своїми роботами та отримуй миттєві бонуси!

Маєш корисні навчальні матеріали, які припадають пилом на твоєму комп'ютері? Розрахункові, лабораторні, практичні чи контрольні роботи — завантажуй їх прямо зараз і одразу отримуй бали на свій рахунок! Заархівуй всі файли в один .zip (до 100 МБ) або завантажуй кожен файл окремо. Внесок у спільноту – це легкий спосіб допомогти іншим та отримати додаткові можливості на сайті. Твої старі роботи можуть приносити тобі нові нагороди!

поділитись