Глобальные сети
Глобальные сети: Учебно-методическое пособие для студентов МГТУ им. Баумана
Данное учебно-методическое пособие, разработанное для студентов МГТУ им. Баумана, изучающих дисциплину "Глобальные сети", представляет собой практическое руководство по настройке и обеспечению безопасности компьютерных сетей. Пособие охватывает широкий спектр тем, от базовых сетевых протоколов до продвинутых механизмов защиты.
Основы и безопасность сетей
В начале пособия рассматриваются базовые концепции, необходимые для понимания работы глобальных сетей. Особое внимание уделяется вопросам безопасности, учитывая растущую роль компьютерных сетей в различных сферах деятельности. Рассматриваются основные протоколы и функции, обеспечивающие работоспособность и безопасность сетей.
Практическое руководство по настройке оборудования Cisco
Основная часть пособия посвящена практической работе с сетевым оборудованием Cisco. Рассматриваются основные настройки коммутаторов Cisco, включая настройку списков контроля доступа (ACL), базовые механизмы безопасности, такие как IP-MAC Binding и Port Security, а также технологии сегментации трафика с использованием VLAN и Private VLAN Edge. Подробно описаны команды настройки маршрутизации и ограничения доступа, а также принципы обеспечения безопасности пользователей и управления виртуальными сетями.
Лабораторные работы и практические задания
Пособие включает в себя восемь лабораторных работ, каждая из которых направлена на закрепление теоретических знаний и приобретение практических навыков. Лабораторные работы охватывают следующие темы:
- Списки контроля доступа (ACL): изучение и применение ACL для фильтрации трафика и ограничения доступа.
- Базовые механизмы безопасности коммутаторов: настройка Port Security и IP-MAC Binding для защиты от несанкционированного доступа.
- Безопасность на основе сегментации трафика (VLAN): создание и настройка VLAN для разделения сети и повышения безопасности.
- Безопасность на основе сегментации трафика с использованием Private VLAN Edge: изучение и применение PVLAN для изоляции портов и повышения безопасности.
- Настройка маршрутизации между VLAN: настройка маршрутизации между различными VLAN с использованием коммутаторов и маршрутизаторов Cisco.
- Настройка технологии STP: изучение и применение протокола STP для предотвращения петель в сети.
- Настройка и средства защиты DHCP-сервера: настройка DHCP-сервера и применение DHCP Snooping для защиты от атак.
- Использование технологии DHCP Relay Agent: изучение и применение DHCP Relay Agent для централизованного управления DHCP-серверами.
Каждая лабораторная работа содержит краткую теоретическую часть, практические задания с пошаговыми инструкциями, примеры решения задач, а также задания для самостоятельной работы.
Подготовка к практической работе
В пособии приведены материалы для подготовки к выполнению лабораторных работ, даны примеры пошагового решения задач, а также задания для самостоятельной работы. Для каждой лабораторной работы указано необходимое оборудование, список команд и контрольные вопросы для самопроверки.
Заключение
Данное учебно-методическое пособие является ценным ресурсом для студентов, изучающих глобальные сети. Оно предоставляет необходимые знания и практические навыки для настройки, администрирования и обеспечения безопасности компьютерных сетей на базе оборудования Cisco.
Текст подготовлен языковой моделью и может содержать неточности.
Федеральное государственное бюджетное образовательное учреждение высшего образования «Московский государственный технический университет имени Н.Э. Баумана (национальный исследовательский университет)» Глобальные сети Учебно-методическое пособие
УДК 004.7 ББК 32.973.202 Г54 Издание доступно в электронном виде по адресу ebooks.bmstu.press/catalog/255/book1817.html Факультет «Информатика и системы управления» Кафедра «Компьютерные системы и сети» Рекомендовано Научно-методическим советом МГТУ им. Н.Э. Баумана в качестве учебно-методического пособия Авторы: М.А. Захаров, А.А. Митьковский, А.Д. Пономарев, А.В. Пролетарский Глобальные сети : учебно-методическое пособие / [М. А. Захаров Г54 и др.]. — Москва : Издательство МГТУ им. Н. Э. Баумана, 2019. — 77, [3] с. : ил. ISBN 978-5-7038-4918-7 Рассмотрены базовые протоколы и функции, обеспечивающие работоспособность и безопасность сетей; вопросы, относящиеся к основным настройкам коммутаторов Cisco и способам управления ими; команды настройки маршрутизации и ограничений доступа; принципы обеспечения безопасности пользователей и управления виртуальными сетями; технологии защиты от атак и фильтрации трафика. Приведены материалы для подготовки к выполнению лабораторных работ, даны примеры пошагового решения задач, а также задания для самостоятельной работы. Для студентов МГТУ им. Н.Э. Баумана, обучающихся по специальности 220100 «ЭВМ, системы, комплексы и сети» и изучающих дисциплину «Глобальные сети». УДК 004.7 ББК 32.973.202 МГТУ им. Н.Э. Баумана, 2019 Оформление. Издательство ISBN 978-5-7038-4918-7 МГТУ им. Н.Э. Баумана, 2019
Предисловие Сети и телекоммуникации в настоящее время из чисто научного и узкоспециализированного направления превратились в мощное средство развития. Поскольку компьютерные сети и Интернет проникают в самые разные и порой крайне ответственные области человеческой деятельности, возрастает актуальность решения вопросов безопасности. Учебно-методическое пособие подготовлено для студентов, изучающих дисциплину «Глобальные сети». Учебной программой предусмотрено выполнение лабораторных работ, посвященных вопросам обеспечения безопасности при работе в современных компьютерных сетях с помощью межсетевых экранов компании D-Link — одного из лидеров на рынке современного сетевого оборудования. Основной целью лабораторных работ является формирование у обучающихся новых компетенций в области базовых протоколов и средств обеспечения безопасности компьютерных сетей. После выполнения лабораторных работ в соответствии с рекомендациями, содержащимися в настоящем учебно-методическом пособии, студент должен: знать • • принципы построения и функционирования современных локальных и глобальных компьютерных сетей, примеры их реализации; • • основные средства и способы обеспечения информационной безопасности и принципы построения систем защиты информации; • • основные правила выбора и последующей эффективной эксплуатации необходимых программных и технических средств обеспечения безопасности информации; уметь • • формулировать и разрабатывать концепции и политики безопасности, необходимые для эффективного функционирования комплексных систем защиты информации; • • анализировать и оценивать угрозы информационной безопасности объекта; • • осуществлять меры противодействия нарушениям сетевой безопасности с использованием различных программных и аппаратных средств защиты; • • проводить мониторинг угроз безопасности компьютерных сетей; • • проводить аудит журналов для выявления попыток несанкционированного доступа и прочих нарушений безопасности информации; • • применять средства криптографической защиты; • • использовать средства защиты от несанкционированного доступа, системы обнаружения и устранения уязвимостей, межсетевые экраны; владеть навыками • • выявления уязвимостей компьютерных систем и сетей; • • проверки правильности функционирования подсистемы управления доступом пользователей к защищаемым информационным ресурсам организации; • • администрирования программно-аппаратных средств обеспечения безопасности компьютерных систем и сетей. 3
Лабораторная работа № 1 Списки контроля доступа ACL Цель работы — изучение списков контроля доступа ACL. Продолжительность работы 2 ч. Краткая теоретическая часть Access Control List (ACL) — это список текстовых выражений, которые разрешают (permit) или запрещают (deny) какое-либо действие. Обычно ACL разрешает или запрещает продвижение IP-пакетов, но он также позволяет просматривать содержимое IP-пакета, определять его тип, проверять TCP/UDP-порты. Существуют ACL для различных сетевых протоколов — IP, IPX, AppleTalk и т. д. В основном ACL применяют для пакетной фильтрации, которая необходима в тех ситуациях, когда оборудование стоит на границе Интернет — частная сеть и требуется отфильтровать нежелательный трафик. Обработка пакетов ведется строго в том порядке, в котором заданы выражения в ACL. Когда пакет попадает на интерфейс, проверяется первое условие из списка. Если оно выполняется, пакет обрабатывается и дальнейшее условие не проверяется. Если обработки не происходит, пакет уничтожается. Чтобы блокировать избыточные виды трафика, ACL следует разместить на входящем направлении. Функционально ACL предназначены для классификации трафика и используются на интерфейсе (пакетная фильтрация), на линии Telnet (ограничения доступа к маршрутизатору). Кроме того, они могут применяться для различных технологий: VPN (тип трафика для шифрования); QoS (приоритетность обработки трафика); NAT (правила трансляции адресов). Механизм работы ACL При пакетной фильтрации ACL создают независимо, а затем присоединяют их к интерфейсу. Устройство начинает просматривать трафик (входящий и исходящий), как только ACL присоединен к интерфейсу. Трафик, который входит в устройство, называется входящим, тот, который из него выходит, — исходящим. Таким образом, ACL применяются на входящем или исходящем направлении. Типы ACL Выделяют два типа ACL: • • стандартные (Standard) — могут проверять только адреса источников; • • расширенные (Extended) — могут проверять адреса источников и адреса получателей, а в случае применения IP-протокола еще тип протокола и TCP/ UDP-порты. Стандартные ACL следует размещать как можно ближе к получателю, расширенные — как можно ближе к источнику. Это необходимо для того, чтобы не пересылать пакеты по всей сети. 4
Списки доступа обозначают номерами или символьными именами. Нумерованные списки доступа, в свою очередь, обозначают следующим образом: • • стандартные — от 1 до 99; • • расширенные — от 100 до 199. Символьные ACL также подразделяют на стандартные и расширенные. Однако вследствие того, что расширенные ACL могут проверять гораздо больше параметров, чем стандартные, они работают медленнее, так как просматривают содержимое пакета, в отличие от стандартных, просматривающих только поле Source Address (Адрес отправителя). При создании ACL каждую запись списка доступа обозначают порядковым номером, по умолчанию кратным десяти (10, 20, 30 и т. д.). Нельзя разместить более одного списка доступа на интерфейсе, на протоколе и на направлении. Следует отметить, что ACL не действуют на трафик, сгенерированный данным маршрутизатором. Для фильтрации адресов в ACL используется WildCard-маска. При определении обратной WildCard-маски ACL следует вычесть обычную маску из маски 255.255.255.255. Ниже приведен пример определения обратной маски для сетевого адреса 192.168.1.0 с обычной маской 255.255.255.0: 255.255.255.255 – 255.255.255.0 (обычная маска) = = 0.0.0.255 (обратная маска). Таким образом, для правильной настройки списков доступа необходимо помнить следующее: • • обработка ведется строго в том порядке, в котором записаны условия; • • если пакет совпал с условием, далее он не обрабатывается; • • в конце каждого списка доступа стоит неявный запрет deny any (запретить все); • • стандартные ACL следует размещать как можно ближе к получателю, расширенные — как можно ближе к источнику; • • нельзя размещать более одного ACL на интерфейсе, на протоколе и на направлении; • • ACL не проверяет трафик, который сгенерирован самим устройством; • • для фильтрации адресов используется WildCard-маска. Приведем команды управления списками контроля доступа на оборудовании Cisco. Стандартный ACL Router(config)#access-list <номер списка от 1 до 99> {permit | deny | remark} {address | any | host} [source-wildcard] [log] • • permit: разрешить; • • deny: запретить; • • remark: комментарий о списке контроля доступа; • • address: разрешаем или запрещаем сеть; • • any: разрешаем или запрещаем все; • • host: разрешаем или запрещаем устройство; • • source-wildcard: WildCard-маска сети; • • log: включить журналирование пакетов, проходящих через данную запись ACL. 5
Расширенный ACL Router(config)#access-list <номер списка от 100 до 199> {permit | deny | remark} protocol source [source-wildcard] [operator operand] [port <порт или название протокола> [established] • • permit: разрешить; • • deny: запретить; • • remark: комментарий о списке контроля доступа; • • protocol source: тип протокола, который разрешен или запрещен (ICMP, TCP, UDP, IP, OSPF и т. д.); • • source-wildcard: WildCard-маска сети; • • operator operand: A.B.C.D — адрес получателя; any — любое конечное устройство; eq — только пакеты на этом порте; gt — только пакеты с большим номером порта; host — единственное конечное устройство; lt — только пакеты с более низким номером порта; neq — только пакеты не с данным номером порта; range — диапазон портов; • • port: номер TCP/UDP-порта (можно указать имя); • • established: разрешить прохождение TCP-сегментов, которые являются частью уже созданной TCP-сессии. Присоединение к интерфейсу Router(config-if)#ip access-group <номер списка или имя ACL> {in | out} • • in: входящее направление; • • out: исходящее направление. Именованные ACL Router(config)#ip access-list {standard | extended} {<номер ACL> | <имя ACL>} Router(config-ext-nacl)# {default | deny | exit | no | permit | remark} • • standard: стандартный ACL; • • extended: расширенный ACL; • • default: установка параметров команды по умолчанию; • • deny: запретить; • • exit: выход; • • no: нет. Поиск проблем show access-lists — информация обо всех списках контроля доступа на устройстве; show access-lists {ACL номер | имя} — информация о списке контроля доступа. 6
Удаление ACL из интерфейса Для удаления ACL из интерфейса необходимо перейти в режим настройки и ввести no перед командой access-group, как показано ниже: interface <interface> no ip access-group #in|out Практическая часть Схема лабораторной работы. На рис. 1.1 приведена схема, которую необходимо реализовать в процессе выполнения лабораторной работы. Рис. 1.1. Схема сети для выполнения лабораторной работы № 1 Оборудование. Ниже приведен перечень оборудования, необходимого для выполнения лабораторной работы: 1) коммутатор Cisco Catalist 3560; 2) коммутатор Cisco Catalist 2960 (далее в обозначениях коммутаторов слово Cisco опускаем); 3) четыре рабочие станции с сетевой картой 10/100/1000 Base-T; 4) пять патч-кордов cat.5e. Список команд. В табл. 1.1 приведено описание команд для Cisco IOS. 7
Таблица 1.1 Описание команд для Cisco IOS Команда Описание Создание стандартного ACL access-list <номер списка от 1 до 99> {permit | deny | remark} {address | any | host} [source-wildcard] [log] Создание расширенного ACL access-list <номер списка от 100 до 199> {permit | deny | remark} protocol source [source-wildcard] [operator operand] [port <порт или название протокола>] [established] ip access-group <номер списка или имя ACL> {in | out} Привязка ACL к интерфейсу (выполняется в режиме конфигурирования интерфейса) Задание 1. Собрать схему, показанную на рис. 1.1, и настроить списки контроля доступа таким образом, чтобы не проходили пакеты по команде ping с коммутатора Catalist 2960 на рабочую станцию № 4. Выполнение задания 1. Выполните следующие операции по шагам. Шаг 1. Настройте IP-адреса на устройствах в соответствии с рис. 1.1. Зайдите в режим глобальной конфигурации коммутатора Catalist 2960, затем в режим конфигурации интерфейса виртуальной сети VLAN 1 и задайте на нем IP-адрес. Catalyst 2960 Switch>enable //переход в привилегированный режим. Switch#configure terminal //переход в режим глобальной конфигурации. Switch(config)#interface vlan 1 //переход в режим конфигурации интерфейса. Switch(config-if)#ip address 192.168.0.10 255.255.255.0 //задание IP-адреса. Switch(config-if)#no shutdown //включение интерфейса. Switch(config-if)#exit //выход из привилегированного режима. Перейдите теперь в меню «Сетевые подключения» → «Подключение по локальной сети» → «Свойства». Выберите пункт «Протокол Интернета (TCP/IP)» и назначьте требуемый IP-адрес. Шаг 2. Создайте на коммутаторе Catalist 3560 ACL, запрещающий прохождение ICMP-трафика от коммутатора Catalist 2960 к рабочей станции № 4. Там же создайте правило, разрешающее прохождение остального трафика по данному маршруту. Catalyst 3560 Switch(config)#access-list 101 deny icmp host 192.168.0.10 host 192.168.0.4 //где 101 - номер списка доступа, 192.168.0.10 – IP-адрес //коммутатора Catalist 2960 (адресат-отправитель), 192.168.0.4 – IP-адреса рабочей станции № 4 (получатель). Switch(config)#access-list 101 permit ip any any //разрешение прохождения // остального трафика по данному маршруту. 8