Глобальные сети
Покупка
Новинка
Тематика:
Глобальные компьютерные сети
Авторы:
Захаров Михаил Александрович, Митьковский Алексей Александрович, Пономарев Андрей Дмитриевич, Пролетарский Андрей Викторович
Год издания: 2019
Кол-во страниц: 80
Дополнительно
Вид издания:
Учебно-методическая литература
Уровень образования:
ВО - Бакалавриат
ISBN: 978-5-7038-4918-7
Артикул: 842074.01.99
Рассмотрены базовые протоколы и функции, обеспечивающие работоспособность и безопасность сетей; вопросы, относящиеся к основным настройкам коммутаторов Cisco и способам управления ими; команды настройки маршрутизации и ограничений доступа; принципы обеспечения безопасности пользователей и управления виртуальными сетями; технологии защиты от атак и фильтрации трафика. Приведены материалы для подготовки к выполнению лабораторных работ, даны примеры пошагового решения задач, а также задания для самостоятельной работы. Для студентов МГТУ им. Н.Э. Баумана, обучающихся по специальности 220100 «ЭВМ, системы, комплексы и сети» и изучающих дисциплину «Глобальные сети».
Скопировать запись
Фрагмент текстового слоя документа размещен для индексирующих роботов
Федеральное государственное бюджетное образовательное учреждение высшего образования «Московский государственный технический университет имени Н.Э. Баумана (национальный исследовательский университет)» Глобальные сети Учебно-методическое пособие
УДК 004.7 ББК 32.973.202 Г54 Издание доступно в электронном виде по адресу ebooks.bmstu.press/catalog/255/book1817.html Факультет «Информатика и системы управления» Кафедра «Компьютерные системы и сети» Рекомендовано Научно-методическим советом МГТУ им. Н.Э. Баумана в качестве учебно-методического пособия Авторы: М.А. Захаров, А.А. Митьковский, А.Д. Пономарев, А.В. Пролетарский Глобальные сети : учебно-методическое пособие / [М. А. Захаров Г54 и др.]. — Москва : Издательство МГТУ им. Н. Э. Баумана, 2019. — 77, [3] с. : ил. ISBN 978-5-7038-4918-7 Рассмотрены базовые протоколы и функции, обеспечивающие работоспособность и безопасность сетей; вопросы, относящиеся к основным настройкам коммутаторов Cisco и способам управления ими; команды настройки маршрутизации и ограничений доступа; принципы обеспечения безопасности пользователей и управления виртуальными сетями; технологии защиты от атак и фильтрации трафика. Приведены материалы для подготовки к выполнению лабораторных работ, даны примеры пошагового решения задач, а также задания для самостоятельной работы. Для студентов МГТУ им. Н.Э. Баумана, обучающихся по специальности 220100 «ЭВМ, системы, комплексы и сети» и изучающих дисциплину «Глобальные сети». УДК 004.7 ББК 32.973.202 МГТУ им. Н.Э. Баумана, 2019 Оформление. Издательство ISBN 978-5-7038-4918-7 МГТУ им. Н.Э. Баумана, 2019
Предисловие Сети и телекоммуникации в настоящее время из чисто научного и узкоспециализированного направления превратились в мощное средство развития. Поскольку компьютерные сети и Интернет проникают в самые разные и порой крайне ответственные области человеческой деятельности, возрастает актуальность решения вопросов безопасности. Учебно-методическое пособие подготовлено для студентов, изучающих дисциплину «Глобальные сети». Учебной программой предусмотрено выполнение лабораторных работ, посвященных вопросам обеспечения безопасности при работе в современных компьютерных сетях с помощью межсетевых экранов компании D-Link — одного из лидеров на рынке современного сетевого оборудования. Основной целью лабораторных работ является формирование у обучающихся новых компетенций в области базовых протоколов и средств обеспечения безопасности компьютерных сетей. После выполнения лабораторных работ в соответствии с рекомендациями, содержащимися в настоящем учебно-методическом пособии, студент должен: знать • • принципы построения и функционирования современных локальных и глобальных компьютерных сетей, примеры их реализации; • • основные средства и способы обеспечения информационной безопасности и принципы построения систем защиты информации; • • основные правила выбора и последующей эффективной эксплуатации необходимых программных и технических средств обеспечения безопасности информации; уметь • • формулировать и разрабатывать концепции и политики безопасности, необходимые для эффективного функционирования комплексных систем защиты информации; • • анализировать и оценивать угрозы информационной безопасности объекта; • • осуществлять меры противодействия нарушениям сетевой безопасности с использованием различных программных и аппаратных средств защиты; • • проводить мониторинг угроз безопасности компьютерных сетей; • • проводить аудит журналов для выявления попыток несанкционированного доступа и прочих нарушений безопасности информации; • • применять средства криптографической защиты; • • использовать средства защиты от несанкционированного доступа, системы обнаружения и устранения уязвимостей, межсетевые экраны; владеть навыками • • выявления уязвимостей компьютерных систем и сетей; • • проверки правильности функционирования подсистемы управления доступом пользователей к защищаемым информационным ресурсам организации; • • администрирования программно-аппаратных средств обеспечения безопасности компьютерных систем и сетей. 3
Лабораторная работа № 1 Списки контроля доступа ACL Цель работы — изучение списков контроля доступа ACL. Продолжительность работы 2 ч. Краткая теоретическая часть Access Control List (ACL) — это список текстовых выражений, которые разрешают (permit) или запрещают (deny) какое-либо действие. Обычно ACL разрешает или запрещает продвижение IP-пакетов, но он также позволяет просматривать содержимое IP-пакета, определять его тип, проверять TCP/UDP-порты. Существуют ACL для различных сетевых протоколов — IP, IPX, AppleTalk и т. д. В основном ACL применяют для пакетной фильтрации, которая необходима в тех ситуациях, когда оборудование стоит на границе Интернет — частная сеть и требуется отфильтровать нежелательный трафик. Обработка пакетов ведется строго в том порядке, в котором заданы выражения в ACL. Когда пакет попадает на интерфейс, проверяется первое условие из списка. Если оно выполняется, пакет обрабатывается и дальнейшее условие не проверяется. Если обработки не происходит, пакет уничтожается. Чтобы блокировать избыточные виды трафика, ACL следует разместить на входящем направлении. Функционально ACL предназначены для классификации трафика и используются на интерфейсе (пакетная фильтрация), на линии Telnet (ограничения доступа к маршрутизатору). Кроме того, они могут применяться для различных технологий: VPN (тип трафика для шифрования); QoS (приоритетность обработки трафика); NAT (правила трансляции адресов). Механизм работы ACL При пакетной фильтрации ACL создают независимо, а затем присоединяют их к интерфейсу. Устройство начинает просматривать трафик (входящий и исходящий), как только ACL присоединен к интерфейсу. Трафик, который входит в устройство, называется входящим, тот, который из него выходит, — исходящим. Таким образом, ACL применяются на входящем или исходящем направлении. Типы ACL Выделяют два типа ACL: • • стандартные (Standard) — могут проверять только адреса источников; • • расширенные (Extended) — могут проверять адреса источников и адреса получателей, а в случае применения IP-протокола еще тип протокола и TCP/ UDP-порты. Стандартные ACL следует размещать как можно ближе к получателю, расширенные — как можно ближе к источнику. Это необходимо для того, чтобы не пересылать пакеты по всей сети. 4
Списки доступа обозначают номерами или символьными именами. Нумерованные списки доступа, в свою очередь, обозначают следующим образом: • • стандартные — от 1 до 99; • • расширенные — от 100 до 199. Символьные ACL также подразделяют на стандартные и расширенные. Однако вследствие того, что расширенные ACL могут проверять гораздо больше параметров, чем стандартные, они работают медленнее, так как просматривают содержимое пакета, в отличие от стандартных, просматривающих только поле Source Address (Адрес отправителя). При создании ACL каждую запись списка доступа обозначают порядковым номером, по умолчанию кратным десяти (10, 20, 30 и т. д.). Нельзя разместить более одного списка доступа на интерфейсе, на протоколе и на направлении. Следует отметить, что ACL не действуют на трафик, сгенерированный данным маршрутизатором. Для фильтрации адресов в ACL используется WildCard-маска. При определении обратной WildCard-маски ACL следует вычесть обычную маску из маски 255.255.255.255. Ниже приведен пример определения обратной маски для сетевого адреса 192.168.1.0 с обычной маской 255.255.255.0: 255.255.255.255 – 255.255.255.0 (обычная маска) = = 0.0.0.255 (обратная маска). Таким образом, для правильной настройки списков доступа необходимо помнить следующее: • • обработка ведется строго в том порядке, в котором записаны условия; • • если пакет совпал с условием, далее он не обрабатывается; • • в конце каждого списка доступа стоит неявный запрет deny any (запретить все); • • стандартные ACL следует размещать как можно ближе к получателю, расширенные — как можно ближе к источнику; • • нельзя размещать более одного ACL на интерфейсе, на протоколе и на направлении; • • ACL не проверяет трафик, который сгенерирован самим устройством; • • для фильтрации адресов используется WildCard-маска. Приведем команды управления списками контроля доступа на оборудовании Cisco. Стандартный ACL Router(config)#access-list <номер списка от 1 до 99> {permit | deny | remark} {address | any | host} [source-wildcard] [log] • • permit: разрешить; • • deny: запретить; • • remark: комментарий о списке контроля доступа; • • address: разрешаем или запрещаем сеть; • • any: разрешаем или запрещаем все; • • host: разрешаем или запрещаем устройство; • • source-wildcard: WildCard-маска сети; • • log: включить журналирование пакетов, проходящих через данную запись ACL. 5
Расширенный ACL Router(config)#access-list <номер списка от 100 до 199> {permit | deny | remark} protocol source [source-wildcard] [operator operand] [port <порт или название протокола> [established] • • permit: разрешить; • • deny: запретить; • • remark: комментарий о списке контроля доступа; • • protocol source: тип протокола, который разрешен или запрещен (ICMP, TCP, UDP, IP, OSPF и т. д.); • • source-wildcard: WildCard-маска сети; • • operator operand: A.B.C.D — адрес получателя; any — любое конечное устройство; eq — только пакеты на этом порте; gt — только пакеты с большим номером порта; host — единственное конечное устройство; lt — только пакеты с более низким номером порта; neq — только пакеты не с данным номером порта; range — диапазон портов; • • port: номер TCP/UDP-порта (можно указать имя); • • established: разрешить прохождение TCP-сегментов, которые являются частью уже созданной TCP-сессии. Присоединение к интерфейсу Router(config-if)#ip access-group <номер списка или имя ACL> {in | out} • • in: входящее направление; • • out: исходящее направление. Именованные ACL Router(config)#ip access-list {standard | extended} {<номер ACL> | <имя ACL>} Router(config-ext-nacl)# {default | deny | exit | no | permit | remark} • • standard: стандартный ACL; • • extended: расширенный ACL; • • default: установка параметров команды по умолчанию; • • deny: запретить; • • exit: выход; • • no: нет. Поиск проблем show access-lists — информация обо всех списках контроля доступа на устройстве; show access-lists {ACL номер | имя} — информация о списке контроля доступа. 6
Удаление ACL из интерфейса Для удаления ACL из интерфейса необходимо перейти в режим настройки и ввести no перед командой access-group, как показано ниже: interface <interface> no ip access-group #in|out Практическая часть Схема лабораторной работы. На рис. 1.1 приведена схема, которую необходимо реализовать в процессе выполнения лабораторной работы. Рис. 1.1. Схема сети для выполнения лабораторной работы № 1 Оборудование. Ниже приведен перечень оборудования, необходимого для выполнения лабораторной работы: 1) коммутатор Cisco Catalist 3560; 2) коммутатор Cisco Catalist 2960 (далее в обозначениях коммутаторов слово Cisco опускаем); 3) четыре рабочие станции с сетевой картой 10/100/1000 Base-T; 4) пять патч-кордов cat.5e. Список команд. В табл. 1.1 приведено описание команд для Cisco IOS. 7
Таблица 1.1 Описание команд для Cisco IOS Команда Описание Создание стандартного ACL access-list <номер списка от 1 до 99> {permit | deny | remark} {address | any | host} [source-wildcard] [log] Создание расширенного ACL access-list <номер списка от 100 до 199> {permit | deny | remark} protocol source [source-wildcard] [operator operand] [port <порт или название протокола>] [established] ip access-group <номер списка или имя ACL> {in | out} Привязка ACL к интерфейсу (выполняется в режиме конфигурирования интерфейса) Задание 1. Собрать схему, показанную на рис. 1.1, и настроить списки контроля доступа таким образом, чтобы не проходили пакеты по команде ping с коммутатора Catalist 2960 на рабочую станцию № 4. Выполнение задания 1. Выполните следующие операции по шагам. Шаг 1. Настройте IP-адреса на устройствах в соответствии с рис. 1.1. Зайдите в режим глобальной конфигурации коммутатора Catalist 2960, затем в режим конфигурации интерфейса виртуальной сети VLAN 1 и задайте на нем IP-адрес. Catalyst 2960 Switch>enable //переход в привилегированный режим. Switch#configure terminal //переход в режим глобальной конфигурации. Switch(config)#interface vlan 1 //переход в режим конфигурации интерфейса. Switch(config-if)#ip address 192.168.0.10 255.255.255.0 //задание IP-адреса. Switch(config-if)#no shutdown //включение интерфейса. Switch(config-if)#exit //выход из привилегированного режима. Перейдите теперь в меню «Сетевые подключения» → «Подключение по локальной сети» → «Свойства». Выберите пункт «Протокол Интернета (TCP/IP)» и назначьте требуемый IP-адрес. Шаг 2. Создайте на коммутаторе Catalist 3560 ACL, запрещающий прохождение ICMP-трафика от коммутатора Catalist 2960 к рабочей станции № 4. Там же создайте правило, разрешающее прохождение остального трафика по данному маршруту. Catalyst 3560 Switch(config)#access-list 101 deny icmp host 192.168.0.10 host 192.168.0.4 //где 101 - номер списка доступа, 192.168.0.10 – IP-адрес //коммутатора Catalist 2960 (адресат-отправитель), 192.168.0.4 – IP-адреса рабочей станции № 4 (получатель). Switch(config)#access-list 101 permit ip any any //разрешение прохождения // остального трафика по данному маршруту. 8