Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
КЕРУВАННЯ ТРАФІКОМ З ВИКОРИСТАННЯМ СПИСКІВ ДОСТУПУ
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
ІКТА
Факультет:
ЗІ
Кафедра:
Захист інформації
Інформація про роботу
Рік:
2016
Тип роботи:
Лабораторна робота
Предмет:
Інформаційно-аналітичне забезпечення безпеки
Група:
уі 41
Варіант:
7
Частина тексту файла (без зображень, графіків і формул):
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»
ІКТА
кафедра ЗІ
/
З В І Т
до лабораторної роботи №4
з курсу: «Інформаційно-аналітичне забезпечення безпеки»
на тему: «КЕРУВАННЯ ТРАФІКОМ З ВИКОРИСТАННЯМ СПИСКІВ ДОСТУПУ»
Варіант 7
Львів 2016
Мета роботи – ознайомитися зі системою команд інтерпретатора команд Exec маршратизатора Cisco, набути практичні навики стосовно формування списків доступу з використанням вказаного інтерпретатора для керування потоком вхідних та вихідних пакетів для будь-якого інтерфейсу маршрутизатора об’єднаної мережі.
Завдання
7а. Мережа 192.168.0.0/24 поділена на 8 підмереж. Створити списки доступу, які дозволяють проходження IP-пакетів усіх вузлів перших чотирьох підмереж, а для решти вузлів мережі проходження IP-пакетів забороняють!
7б. Створити списки доступу, які забороняють проходження IP-пакетів у підмережу 192.168.35.0/27 від інтерфейсу 172.18.30.5, а для решти вузлів мережі 172.18.0.0/16 проходження IP-пакетів у підмережу 192.168.35.0/27 дозволяють!
Теоретичні відомості
Списки доступу – це списки умов для управління доступом. Вони є могутнім інструментом для управління доступом як до сегменту мережі, так і до зовнішніх, по відношенню до сегменту ресурсів, зсередини цього сегменту. Списки доступу дозволяють відсівати небажані пакети і тому застосовуються для реалізації стратегій безпеки. Шляхом правильного підбору списків доступу адміністратор мережі може розробити практично будь-яку потрібну йому стратегію безпеки.
Списки доступу IP і IPX аналогічні за способом застосування – і ті і інші є фільтрами для порівняння, класифікації і обробки пакетів. Їх можна застосовувати для контролю потоку вхідних або вихідних пакетів для будь-якого інтерфейсу. Застосування списків доступу виражається в тому, що маршрутизатор аналізує кожен пакет, що проходить через даний інтерфейс і у вказаному напрямі, та виконує відповідні дії.
Правила порівняння пакету із списком доступу:
Пакет завжди порівнюється з кожним рядком списку доступу в порядку розташування рядків – спочатку виконується порівняння з рядком 1, потім з рядком 2, з рядком 3 і так далі.
Порівняння виконується до тих пір, поки не буде виявлено відповідність пакету шаблону, що міститься в черговому рядку. Після цього порівняння закінчується і пакет обробляється.
В кінці кожного списку доступу міститься неявна операція deny – це означає, що, якщо пакет не задовольняє жодному з шаблонів списку доступу, він відхиляється.
Кожне з цих правил реалізується при фільтрації пакетів відповідно до списків доступу.
Створення списку доступу
Стандартні списки доступу IP дозволяють аналізувати початкові IP-адреси пакетів TCP/IP і робити певні дії на підставі результату аналізу. Кожен рядок стандартного списку доступу IP має наступний формат :
access-list номер списку доступу {pernit | deny}
{адреса джерела [мета символи джерела] | any}
Для створення списків доступу необхідно ввести команду access-list в режимі конфігурації. Кожному списку доступу привласнюється унікальний номер. Стандартним спискам доступу IP привласнюються номери від 1 до 99;
Ключове слово permit або deny вказує, чи слід дозволити (permit) проходження пакету, що задовольняє шаблону, або заборонити (deny) його; параметр «початкова адреса» застосовується для визначення початкової IP-адреси пакетів що потребують особливої обробки.
Метасимволи є аналогом маски. Двійковий нуль у полі метасимволів джерела означає, що вимагається співпадіння значення цього розряду в адресі прийнятого пакету і в адресі, заданої у списку доступу. Двійкова одиниця означає, що спів падіння у цьому розряді не вимагається.
Стандартні списки доступу дозволяють фільтрувати пакети тільки на основі їх початкової адреси, тоді як розширені списки дозволяють застосовувати наступні критерії фільтрації:
Початкова адреса
Цільова адреса
Протокол IP (TCP, udp, icmp і так далі)
Порт (www, dns, ftp і т. д.)
Таким чином, розширені списки доступу володіють збільшеним набором можливостей, що дозволяє створювати докладніші списки доступу.
Результати виконання роботи
7а
Схема мережі
/
Списки доступу
!
access-list 10 permit 192.168.0.0 0.0.0.127
access-list 10 deny 192.168.0.0 0.0.0.255
access-list 10 permit any
!
Демонстрація проходження IP-пакетів усіх вузлів першої підмережі (ІР: 192.168.0.0/27)
/
Демонстрація заборони проходження IP-пакетів усіх вузлів п’ятої підмережі (ІР: 192.168.0.128/27)
/
7б
Схема мережі
/
Списки доступу
!
access-list 100 deny ip host 172.18.30.5 192.168.35.0 0.0.0.15
access-list 100 permit ip 172.18.0.0 0.0.255.255 192.168.35.0 0.0.0.15
access-list 100 permit ip any any
!
Демонстрація заборони проходження IP-пакетів хоста(ІР: 172.18.30.5)
у підмережу (ІР: 192.168.35.0/27)
/
Демонстрація проходження IP-пакетів хоста(ІР: 172.18.30.5) у інші підмережі мережі (ІР: 192.168.35.0/27)
/
Демонстрація проходження IP-пакетів усіх інших хостів мережі(ІР: 172.21.0.0) у підмережу (ІР: 192.168.35.0/27)
/
Висновки
Отже,під час виконання даної лабораторної роботи я ознайомилася із системою команд CLI маршрутизатора Cisco та отримала навики стосовно формування списків доступу з використанням вказаного інтерпретатора для керування потоком вхідних та вихідних пакетів для будь-якого інтерфейсу маршрутизатора об’єднаної мережі.
На основі отриманих знань була розроблена модель мережі та створені списки доступу для керуванням трафіку.
21.10.2017 14:10-
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора