Применение межсетевого экрана D-Link DFL-860E для безопасности компьютерных сетей
Покупка
Авторы:
Пролетарский Андрей Викторович, Пономарев Андрей Дмитриевич, Митьковский Алексей Александрович, Смирнова Елена Викторовна, Ромашкина Екатерина Александровна, Захаров Михаил Александрович
Год издания: 2019
Кол-во страниц: 244
Дополнительно
Вид издания:
Учебно-методическая литература
Уровень образования:
ВО - Бакалавриат
ISBN: 978-5-7038-5022-0
Артикул: 803778.01.99
Рассмотрены программно-аппаратные средства обеспечения безопасности компьютерных сетей на примере межсетевых экранов и интернет-маршрутизаторов D-Link, а также обзор базовых протоколов и функций, обеспечивающих работоспособность и безопасность сетей. Приведено описание основных элементов управления межсетевых экранов D-Link серии NetDefend.
Для студентов, обучающихся по специальностям, связанным с сетевыми технологиями.
Тематика:
ББК:
УДК:
ОКСО:
- ВО - Бакалавриат
- 09.03.01: Информатика и вычислительная техника
- 09.03.02: Информационные системы и технологии
- 10.03.01: Информационная безопасность
- ВО - Специалитет
- 10.05.01: Компьютерная безопасность
ГРНТИ:
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов
Применение межсетевого экрана D-Link DFL-860E для безопасности компьютерных сетей Учебно-методическое пособие Федеральное государственное бюджетное образовательное учреждение высшего образования «Московский государственный технический университет имени Н.Э. Баумана (национальный исследовательский университет)»
МГТУ им. Н.Э. Баумана, 2019 Оформление. Издательство ISBN 978-5-7038-5022-0 МГТУ им. Н.Э. Баумана, 2019 УДК 621.3.038 ББК 32.973.202 П76 Издание доступно в электронном виде по адресу ebooks.bmstu.press/catalog/255/book1953.html Факультет «Информатика и системы управления» Кафедра «Компьютерные системы и сети» Рекомендовано Научно-методическим советом МГТУ им. Н.Э. Баумана в качестве учебно-методического пособия Авторы: А.В. Пролетарский, А.Д. Пономарев, А.А. Митьковский, Е.В. Смирнова, Е.А. Ромашкина, М.А. Захаров Применение межсетевого экрана D-Link DFL-860E для безопасно- П76 сти компьютерных сетей : учебно-методическое пособие / [А. В. Проле- тарский и др.]. — Москва : Издательство МГТУ им. Н. Э. Баумана, 2019. — 241, [3] с. : ил. ISBN 978-5-7038-5022-0 Рассмотрены программно-аппаратные средства обеспечения безопасности компьютерных сетей на примере межсетевых экранов и интернет-маршрутизаторов D-Link, а также обзор базовых протоколов и функций, обеспечивающих работоспособность и безопасность сетей. Приведено описание основных элементов управления межсетевых экранов D-Link серии NetDefend. Для студентов, обучающихся по специальностям, связанным с сетевыми технологиями. УДК 621.3.038 ББК 32.973.202
Предисловие Настоящее учебно-методическое пособие соответствует программе изучения дисциплины «Глобальные сети». В издании рассмотрены программно-аппаратные средства обеспечения безопасности компьютерных сетей на примере межсетевых экранов D-Link и приведен обзор базовых протоколов и функций, обеспечивающих работоспособность и безопасность сетей. Целью данного учебного издания является формирование практических навыков у обучающихся для самостоятельного конфигурирования межсетевых экранов D-Link. В каждой лабораторной работе приведены краткие теоретические сведения, указан порядок выполнения работы и даны контрольные вопросы. Лабораторные работы выполняют последовательно. Перед началом работ необходимо ознакомиться с информацией, представленной в приложениях. В приложении 1 приведены требования к содержанию отчета о лабораторной работе, в приложении 2 дана инструкция по возврату к заводским настройкам по умолчанию межсетевого экрана D-Link. После изучения материала методических указаний студенты будут знать основные принципы построения и эксплуатации защищенных компьютерных сетей на базе межсетевых экранов D-Link, овладеют навыками по настройке.
Работа № 1 Подключение и основные настройки межсетевого экрана D-Link DFL-860E Цель работы — ознакомление пользователей с основными командами для настройки, контроля и управления межсетевым экраном D-Link с помощью Web- и CLI-интерфейсов. Объем работы: 4 ч. Основные теоретические сведения По мере того как бизнес-процессы становятся все более зависимыми от сетевой инфраструктуры, капиталовложения в решения по безопасности становятся все более значимыми. D-Link представляет межсетевые экраны (МСЭ) серии NetDefend нового поколения, являющиеся комплексным решением по обеспечению безопасности сетей предприятий. Серия NetDefend учитывает растущие требования, предъявляемые к сетевой безопасности, защите от атак хакеров, вирусным угрозам и повышению конфиденциальности информации. Каждый МСЭ этой серии обеспечивает высокий процент возврата инвестиций благодаря поддержке широкого набора функций, гибкой настройке и высокому уровню защиты сетевой инфраструктуры. Устройства серии NetDefend представляют собой законченное решение в области безопасности, включающее встроенную поддержку МСЭ, балансировки нагрузки, функций отказоустойчивости, механизма Zone-Defense, фильтрации содержимого, аутентификации пользователей, блокировки «мгновенных» сообщений и приложений Р2Р, защиты от атак «отказ в обслуживании» DoS. Межсетевые экраны D-Link предоставляют администраторам сетей решение безопасности «все в одном» business-класса, обеспечивая высокий уровень защиты. Для того чтобы минимизировать влияние аварийной ситуации на всю сеть, МСЭ серии NetDefend поддерживают специальную функцию Zone-Defense. Она представляет собой механизм, позволяющий работать с коммутаторами локальных сетей D-Link и обеспечивающий активную сетевую безопасность. Функция Zone-Defense автоматически изолирует инфицированные компьютеры сети и предотвращает распространение ими вредоносного трафика. Все МСЭ серии NetDefend поддерживают удаленное управление через Web-интерфейс или выделенное соединение. Они включают набор функций для мониторинга и поддержания состояния и безопасности сети, в том числе отправку уведомлений по e-mail, ведение журнала системных событий и предоставление статистики в режиме реального времени. Эти функции наряду с возможностью обновления программного обеспечения гарантируют, что МСЭ сможет предоставить максимальную производительность и безопасность для сети. Операционная система D-Link NetDefendOS является основным программным обеспечением, которое используется для управления МСЭ D-Link
с расширенным функционалом. Разработанная как сетевая операционная система, NetDefendOS обеспечивает широкую полосу пропускания с высокой надежностью и малым шагом изменения полосы. В отличие от продуктов, использующих стандартную операционную систему, например Unix или Microsoft Windows, NetDefendOS обеспечивает бесшовную интеграцию всех подсистем, подробный контроль над всеми функциями и снижение риска атак. Web-интерфейс Система NetDefendOS поддерживает встроенный Web-интерфейс, также известный как Web-интерфейс пользователя (WebUI). Данный интерфейс графического управления доступен через стандартный Web-браузер (рекомендуется Internet Explorer, Chrome или Firefox). Браузер подключается к одному из Ethernet-интерфейсов оборудования с помощью протокола HTTP или HTTPS, и система NetDefendOS выступает в роли Web-сервера, позволяя использовать Web-страницы в качестве интерфейса управления. Главная страница Web-интерфейса состоит из трех основных разделов: 1) строка меню — расположена в верхней части Web-интерфейса, содержит кнопки и выпадающее меню, предназначенные для выполнения задач настроек, а также для использования различных инструментов и просмотра страниц статуса. Строка меню включает в себя следующие компоненты: • Home — возврат на главную страницу Web-интерфейса; • Configuration — изменение настроек МСЭ; • Tools — инструменты для обслуживания системы; • Status — страницы различного статуса, используемые для диагностики системы; • Maintenance — опции по обслуживанию МСЭ; 2) навигатор — расположен в левой части Web-интерфейса, содержит настройки системы, отображенные в виде древовидного меню. Меню состоит из разделов, каждый из которых соответствует основным структурным блокам настроек. Меню может быть расширено при добавлении дополнительных разделов; 3) главное окно — содержит настройки и детали статуса в соответствии с разделом, выбранным в навигаторе или строке меню. Консольный интерфейс Система NetDefendOS предоставляет интерфейс командной строки (CLI) администраторам, которые предпочитают или которым требуется использование командной строки или более тщательное управление системными настройками. Интерфейс командной строки CLI доступен локально через серийный консольный порт или удаленно через Ethernet-интерфейс с применением протокола Secure Shell (SSH) клиента SSH. CLI предоставляет комплексный набор команд, обеспечивающих отображение и изменение информации по настройкам, а также отображение данных работы системы и выполнение задач обслуживания системы.
Наиболее часто используемые команды CLI: • add — добавление объекта, например IP-адреса, или правила в настройки межсетевого экрана; • set — установка какого-либо свойства объекта в качестве значения. Например, установка может использоваться для настройки интерфейса источника в IP-правиле; • show — отображение текущих категорий или значений объекта; • delete — удаление определенного объекта. Как правило, команды CLI обычно начинаются со структуры <command> <object_type> <object_name> где <object_type> определяет тип объекта, что необходимо для идентификации категории объекта, к которой относится имя объекта. Например, для отображения IP-адреса объекта my_address используется команда DFL-860E:/> show Address IP4Address my_address Кроме того, МСЭ D-Link предоставляют функцию tab completion, преимуществом которой является отображение автоматического завершения команды или параметра данных возможными значениями. Это выполняется нажатием клавиши «tab» после ввода начального символа. Например, если при наборе незаконченной команды set Add нажать клавишу «tab», в командной строке автоматически отобразится set Address. Если при наборе любой команды необходимо уточнить возможности ввода значений IP-адресации, нужно ввести символ «=» (равно) и нажать «tab»: set Address IP4Address lan_ip Address= В командной строке отобразится: add Address IP4Address lan_ip Address= Type: IP4Address Description: IP address, e.g. "172.16.50.8", "192.168.30.7,192.168.30.11", "192.168.7.0/24" or "172.16.25.10-172.16.25.50". Для некоторых категорий сначала необходимо выбрать элемент данной категории (например, тип IP4Address принадлежит категории Address) с помощью команды cc (change category — изменение категории) до того, как отдельные объекты могут быть обработаны. Например, если существует более одной таблицы маршрутизации, то при добавлении или управлении маршрутом прежде всего необходимо использовать команду cc для идентификации именно той таблицы маршрутизации, которая требуется. Предположим, что main — таблицa маршрутизации, в которую необходимо добавить маршрут. Для этого необходимо выполнить команду cc RoutingTable main. После выполнения команды в командной строке отобразится выбранная категория: DFL-860E:/main> Для отмены категории применяется команда cc: DFL-860E:/main> cc DFL-860E:/> Иногда определенным параметрам присваивается несколько значений. Например, некоторые команды используют параметр AccountingServers, и данно
му параметру можно присвоить более одного значения, разделяя их запятой. Например, если необходимо определить три сервера server1, server2, server3, назначение параметра в команде будет следующим: AccountingServers=server1,server2,server3 Порядок правил, определенный в списках, например набор IP-правил, является крайне важным. С помощью команды add, используемой CLI, по умолчанию добавляется новое правило в конец списка. Если размещение правила на определенной позиции в списке является критичным, команда add может включить параметр Index= в качестве опции. Вставка на первую позицию в списке определяется с помощью параметра Index=1 в команде add, на вторую позицию — с помощью параметра Index=2 и т. д. Следует обратить внимание на то, что если в текущих настройках с помощью CLI выполнены какие-либо изменения, данные изменения не будут загружены в МСЭ, пока не будет выполнена команда activate. Через 3–5 с после ввода команды activate должна быть выполнена команда commit для применения изменений. Если в течение 30 с (время по умолчанию) не выполнена команда commit, сделанные изменения автоматически отменяются и происходит восстановление прежней конфигурации. Для отображения списка проблем, связанных с изменениями настроек, используется команда show-errors. Характеристика межсетевого экрана D-Link DFL-860E Межсетевой экран D-Link DFL-860E оснащен двумя WAN-портами, одним DMZ-портом, восемью LAN-портами и одним портом подключения к консольному интерфейсу. Использование двух WAN-портов, как правило, применяется в случае обеспечения доступа в Интернет через двух интернет-провайдеров. В табл. 1.1 приведены настройки по умолчанию для всех интерфейсов МСЭ. Таблица 1.1 Интерфейс Имя интерфейса по умолчанию Тип интерфейса по умолчанию IP-адрес интерфейса по умолчанию Статус DHCP по умолчанию WAN1 WAN1 DHCP-клиент 0.0.0.0/0 Включен WAN2 WAN2 Статический IP 192.168.120.254/24 Выключен DMZ dmz Статический IP 172.17.100.254/24 Выключен Ports: 1~8 lan Статический IP 192.168.10.1/24 Выключен В целях безопасности по умолчанию Web-управление включено только на LAN-интерфейсе (192.168.10.1), через который может быть осуществлен доступ к Web-интерфейсу посредством Web-браузера с использованием протокола HTTPS. Эти настройки могут быть изменены после входа в Web-интерфейс. Также стоит отметить, что интерфейсы WAN1 и WAN2 не поддерживают автоматическое определение полярности кабеля MDI/MDI-X (тип кабеля Straightthrough или Crossover).
Настройка времени и даты Мир разделен на часовые пояса. Городом со средним временем по Грин вичу (Greenwich Mean Time, GMT) считается Лондон, где проходит нулевой меридиан, принимаемый в качестве основного часового пояса. Все остальные часовые пояса расположены к востоку и западу от нулевого меридиана и в зависимости от этого к GMT прибавляется или отнимается определенное целое число часов. Все объекты, расположенные в данном часовом поясе, будут иметь одно местное время, смещенное от GMT на целое число. Установка часового пояса в системе NetDefendOS происходит с учетом физического расположения МСЭ NetDefend. Многие регионы переходят на летнее время (Daylight Saving Time, DST), т. е. часы переводятся на летний период. Проблемой является то, что переход на летнее время в каждой стране, а иногда и в одной стране, осуществляется по разным правилам. По этой причине система NetDefendOS не может автоматически переходить на летнее время. Данная информация вводится вручную при условии, что будет использоваться переход на летнее время. Существует два параметра, определяющих переход на летнее время: DST-период и DST-смещение. DST-период отвечает за начало и окончание летнего времени, а DST-смещение определяет, на какое количество часов смещено летнее время. Настройка удаленного доступа по SSH Протокол SSH используется для организации безопасного входа в удаленную систему и организации иных безопасных служб через сети, которые не обеспечивают безопасность. Протокол включает три основных компонента: 1) [SSH-TRANS]-протокол транспортного уровня — обеспечивает аутен ти фикацию серверов, конфиденциальность и целостность, а также сжатие информации. Транспортный уровень работает в основном с использованием соединений TCP/IP, но может быть реализован и на базе иных потоков данных с гарантированной доставкой; 2) [SSH-USERAUTH]-протокол аутентификации пользователей — используется на серверах для проверки полномочий клиентов. Этот протокол работает на основе протокола транспортного уровня; 3) [SSH-CONNECT]-протокол соединений — обеспечивает мультиплексирование шифрованного туннеля в несколько логических каналов и работает поверх протокола аутентификации пользователей. Клиент передает один запрос на обслуживание в процессе организации защищенного соединения на транспортном уровне. Другой запрос на обслуживание передается после успешной проверки полномочий клиента. Такое решение дает возможность создания новых протоколов и их совместного применения с перечисленными выше протоколами. Протокол соединений поддерживает каналы, которые могут использоваться для решения целого ряда задач, а также стандартные методы для организации защищенных shell-сессий и перенаправления («туннелирования») произвольных портов TCP/IP.
Настройка управления МСЭ с помощью протоколов HTTP и HTTPS Для получения информации с Web-сайтов используется протокол HTTP (HyperText Transfer Protocol). Это протокол прикладного уровня передачи данных, который повсеместно применяется в World Wide Web (WWW). Протокол HTTP функционирует по принципу запрос — ответ. При этом предполагается наличие клиентов, которые инициируют соединение и посылают запрос, а также серверов, которые ожидают соединения для получения запроса, выполняют необходимые действия и возвращают обратно сообщение с результатом. Протокол HTTP обладает рядом особенностей, так как существует большое количество различных Web-сайтов и типов файлов, которые можно загрузить с его помощью. Для повышения безопасности при передаче данных применяется протокол HTTPS (HTTP Secure — защищенный HTTP), в котором для шифрования данных используются транспортные механизмы SSL и TLS. Протокол HTTPS обеспечивает защиту от снифферских атак и атак типа man-in-the-middle при условии, что будут применяться шифрующие средства, сертификат сервера проверен и ему доверяют. В МСЭ D-Link протокол HTTPS используется для обеспечения защиты коммуникации. Порядок выполнения лабораторной работы и задания Лабораторная работа состоит из трех частей. Часть 1 посвящена базовой настройке МСЭ с использованием Web-интерфейса, часть 2 — с использованием CLI-интерфейса, часть 3 — выполнению самостоятельных заданий. Часть 1. Базовые настройки межсетевого экрана с использованием Web-интерфейса Задание 1. Настройка времени и даты на МСЭ Соберите схему, представленную на рис. 1.1. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ. Настройте сетевое подключение на рабочей станции. Получите доступ к Web-интерфейсу МСЭ. Установите актуальные дату и время. Рис. 1.1. Схема подключения рабочей станции к МСЭ
Порядок выполнения задания 1. Шаг 1. Подключение МСЭ. Подключите МСЭ к розетке питания. Для первоначальной конфигурации устройства подсоедините рабочую станцию (компьютер) к одному из LAN-интерфейсу МСЭ. Шаг 2. Настройка рабочей станции для управления МСЭ. По умолчанию Web-управление МСЭ включено только на LAN-интер фейсе с адресом 192.168.10.1. Именно через этот интерфейс оператор с рабочей станции может получить доступ к Web-оболочке МСЭ. Очевидно, что для успешного подключения к Web-интерфейсу рабочая станция и МСЭ должны находиться в одной подсети. Так как изначальный адрес LAN-интерфейса МСЭ уже задан (192.168.10.1), необходимо присвоить рабочей станции адрес в диапазоне 192.168.10.2– 192.168.10.255. Задайте сетевые настройки. Для операционной системы Microsoft Windows XP: Пуск → Настройка → Сетевые подключения → Подключение по локальной сети → Свойства → Протокол интернета TCP/IP → Свойства → → Использовать следующий IP-адрес. Для операционной системы Microsoft Windows Vista/Windows 7: Пуск → Панель управления → Центр управления сетями и общим досту пом → Изменение параметров адаптера → Подключение по локальной сети → → Свойства → Протокол интернета TCP/IPv4 → Свойства → Использовать следующий IP-адрес. Для удобства выберите следующие значения статического IP-адреса: IP-адрес: 192.168.10.2 Маска подсети: 255.255.255.0 Основной шлюз: 192.168.10.1 Результат корректных сетевых настроек показан на рис. 1.2. Рис. 1.2. Сетевые настройки рабочей станции для управления МСЭ