Методическое пособие 560
.pdfb.Маршрутизатору Router0, межсетевому экрану ASA0, коммутаторам Switch0 – Switch2, компьютерам PC0 и PC1 и серверу Server0 назначьте сетевые имена в соответствии со схемой сети.
c.На маршрутизаторе Router0 и межсетевом экране ASA0 назначьте соединяющим их между собой интерфейсам IP-адреса из диапазона IP-адресов вида 100.100.[N].169/29.
d.На межсетевом экране ASA0 и компьютере PC0 назначьте интерфейсам, входящим согласно схеме сети в одну подсеть, IP-адреса из диапазона
IP-адресов вида 192.168.[N].0/24.
Коммутатор Switch0 и компьютер PC0 моделируют внутреннюю подсеть.
e.На межсетевом экране ASA0 и сервере Server0 назначьте интерфейсам, входящим согласно схеме сети в одну подсеть, IP-адреса из диапазона IP-
адресов вида 192.168.[N+1].0/24.
Коммутатор Switch1 и сервер Server0 моделируют подсеть, являющую «демилитаризованной зоной».
f.На маршрутизаторе Router0 и компьютере PC1 назначьте интерфейсам, входящим согласно схеме сети в одну подсеть, IP-адреса из диапазона
IP-адресов вида 192.168.[N+2].0/24.
Маршрутизатор Router0 моделирует внешнюю подсеть.
g.На межсетевом экране ASA0 с помощью команды вида
ciscoasa(config)#route [имя] [IP-адрес] [маска] [IP-адрес]
сформируйте статический маршрут для всего исходящего сетевого трафика через соответствующий внешний интерфейс.
h.Во всей сети обеспечьте возможность маршрутизации после соответствующих настроек межсетевого экрана ASA0.
Что и на каких устройствах для этого необходимо настроить?
i.На маршрутизаторе Router0, межсетевом экране ASA0, коммутаторах Switch0 – Switch2, компьютерах PC0 и PC1 и сервере Server0 получите ин-
формацию о MAC-адресах и(или) IP-адресах активных интерфейсов, проанализируйте ее и запишите в отчет в виде таблицы со столбцами «Название ус т- ройства | Тип и номер интерфейса | MAC-адрес интерфейса | IP-адрес интерфейса».
2.Настройка технологии DMZ
a. На межсетевом экране ASA0 с помощью команд вида
ciscoasa(config)#interface [тип] [номер] ciscoasa(config-if)#nameif [имя] ciscoasa(config-if)#security-level [уровень]
настройте интерфейс для работы с внутренней подсетью (уровень безопасности 100), интерфейс для работы с подсетью «демилитаризованной зоны» (уровень безопасности 50) и интерфейс для работы с внешней подсетью (уровень безопасности 0).
Целесообразно установить интерфейсам имена, указывающие на направление их работы.
b.На межсетевом экране ASA0 с помощью команды
50
ciscoasa#show interface ip brief
получите информацию о статусе интерфейсов и проанализируйте ее.
c.На межсетевом экране ASA0 с помощью команды
ciscoasa#show ip address
получите информацию об IP-адресах интерфейсов, проанализируйте ее и за-
пишите в отчет.
d.На межсетевом экране ASA0 с помощью команд вида
ciscoasa(config)#object network [имя] ciscoasa(config-network-object)#subnet [IP-адрес] [маска] ciscoasa(config-network-object)#nat ([имя],[имя]) dynamic interface
создайте сетевой объект, ассоциируйте его с диапазоном IP-адресов подсети «демилитаризованной зоны», и установите динамическое правило трансляции сетевых адресов с интерфейса, через который подключена подсеть «демилитаризованной зоны», на внешний интерфейс.
e.На межсетевом экране ASA0 с помощью команды
ciscoasa#show nat
получите информацию о политике и счетчиках NAT, проанализируйте ее и за-
пишите в отчет.
f.На межсетевом экране ASA0 с помощью команд вида
ciscoasa(config)#class-map [имя] ciscoasa(config-cmap)#match default-inspection-traffic
создайте класс трафика и установите критерий для отнесения сетевого трафика к этому класса.
g.На межсетевом экране ASA0 с помощью команд вида
ciscoasa(config)#policy-map [имя] ciscoasa(config-pmap)#class [имя] ciscoasa(config-pmap-c)#inspect [протокол] ciscoasa(config-pmap-c)#exit ciscoasa(config)#service-policy [имя] global
создайте политику работы с классом трафика, настройте инспектирование трафика сетевых служб, использующих протоколы ICMP и HTTP, и активируйте эту политику глобально.
h. На компьютерах PC0 и PC1 и сервере Server0 используя утилиту «Command Prompt», с помощью команды вида
PC>ping [IP-адрес]
проверьте доступность компьютеров PC0 и PC1 и сервера Server0, проанализируйте результаты, обобщите их и запишите в отчет в виде таблицы:
Таблица
|
Получатель |
|
|
Отправитель |
PC0 |
Server0 |
PC1 |
PC0 |
- |
|
|
Server0 |
|
- |
|
PC1 |
|
|
- |
51
Почему получился именно такой результат выполнения команд?
3.Настройка доступа к сети DMZ из внешней подсети a. На межсетевом экране ASA0 с помощью команд вида
ciscoasa(config)#object network [имя] ciscoasa(config-network-object)#host [IP-адрес] ciscoasa(config-network-object)#nat ([имя],[имя]) static [IP-
адрес]
создайте сетевой объект, ассоциируйте его с IP-адресом сервера Server0 из подсети «демилитаризованной зоны» и установите статическое правило трансляции сетевого адреса с интерфейса, через который подключена подсеть «демилитаризованной зоны», на свободный IP-адрес внешней подсети через внешний интерфейс.
b.На межсетевом экране ASA0 с помощью команды
ciscoasa#show nat
получите информацию о политике и счетчиках NAT, проанализируйте ее и за-
пишите в отчет.
c.На межсетевом экране ASA0 с помощью команды вида
ciscoasa(config)#access-list extended [имя] permit tcp any host [IP-адрес] eq [протокол]
создайте именованный расширенный ACL, разрешающий сетевой трафик для сетевых служб, использующих протоколы HTTP и FTP, на сервер Server0.
В качестве IP-адреса сервера Server0 необходимо указать его фактический IP-адрес, а не IP-адрес, указанный в статическом правиле трансляции, так как для входящего трафика Cisco ASA применяет ACL после обратной замены IP-адресов службой NAT.
d.На межсетевом экране ASA0 с помощью команд вида
ciscoasa(config)#access-group [имя] in interface [имя]
примените именованный расширенный ACL к соответствующему интерфейсу. e. На компьютере PC1, используя утилиту «Web Browser», используя
адрес вида
http://[IP-адрес]
проверьте доступность содержимого HTTP-сервера Server0 (веб-сайта), обратившись к нему.
Почему получился именно такой результат выполнения команды?
f. На компьютере PC1, используя утилиту «Command Prompt», с помощью команды вида
PC>ftp [IP-адрес]
проверьте доступность FTP-сервера Server0, подключившись к нему. Почему получился именно такой результат выполнения команды?
g.На межсетевом экране ASA0 с помощью команды
ciscoasa#show access-lists
получите информацию о ACL, проанализируйте ее и запишите в отчет.
52
Контрольные вопросы
1.Какое назначение и принципы работы у технологии DMZ?
2.Для чего с точки зрения безопасности информации в компьютерных сетях используется технология DMZ?
3.Какие существуют варианты применения технологии DMZ в ко м- пьютерных сетях с различными структурными и функциональными характеристиками?
4.Что определяет уровень безопасности интерфейса, какие значения он может принимать?
ПРАКТИЧЕСКАЯ РАБОТА № 12 IPS
Цель работы
Изучить настройку IPS (англ. Intrusion Prevention System, система предотвращения вторжений).
Теоретические сведения
1.Cisco IOS Intrusion Prevention System Configuration GuideСайт//
компании Cisco Systems. URL: https://www.cisco.com/c/en/us/td/docs/ ios- xml/ios/sec_data_ios_ips/configuration/15-mt/sec-data-ios-ips-15-mt-book/sec-ips5- sig-fs-ue.html (дата обращения: 20.05.2021).
Порядок выполнения работы
1.Подготовка схемы сети
a. Соберите модель сети в соответствии со схемой на рисунке:
Схема модели сети
53
b.Маршрутизаторам Router0 – Router2, коммутаторам Switch0 и Switch1, компьютерам PC0 и PC1 и серверу Server0 назначьте сетевые имена в соответствии со схемой сети.
c.На маршрутизаторах Router0 – Router2 назначьте соединяющим их между собой интерфейсам IP-адреса из диапазонов IP-адресов подсетей c мас-
кой |
/30, |
полученных |
путем |
распределения |
одного |
диапазона |
IP-адресов вида 100.100.[N].0/24 на все требуемые подсети. |
|
d.На маршрутизаторе Router0, компьютере PC0 и сервере Server0 назначьте интерфейсам, входящим согласно схеме сети в одну подсеть, IP-адреса из диапазона IP-адресов вида 192.168.[N].0/24.
e.На маршрутизаторе Router2 и компьютере PC1 назначьте интерфейсам, входящим согласно схеме сети в одну подсеть, IP-адреса из диапазона
IP-адресов вида 192.168.[N+1].0/24.
f.Во всей сети настройте динамическую маршрутизацию по протоколу EIGRP или по протоколу OSPF.
g.На маршрутизаторах Router0 – Router2, коммутаторах Switch0 и Switch1, компьютерах PC0 и PC1 и сервере Server0 получите информацию о MAC-адресах и(или) IP-адресах активных интерфейсов, проанализируйте ее и
запишите в отчет в виде таблицы со столбцами «Название устройства | Тип и номер интерфейса | MAC-адрес интерфейса | IP-адрес интерфейса».
h.На маршрутизаторах Router0 – Router2 установите пароль на привилегированный режим CLI Cisco IOS и пароль на подключение по линиям vty.
i.На маршрутизаторах Router0 – Router2 получите информацию о пароле на привилегированный режим CLI Cisco IOS и пароле на подключение по линиям vty и запишите в отчет в виде таблицы со столбцами «Название уст-
ройства | Пароль на привилегированный режим CLI Cisco IOS | Пароль на по д- ключение по линиям vty».
2.Настройка IPS
a. На маршрутизаторе Router0 с помощью команды вида
Router#mkdir flash:[имя]
Router(config)#ip ips config location flash:[имя]
создайте во flash-памяти каталог и установите его для хранения служебных файлов IPS.
Имя каталога указывается без добавления знака пробела после команды.
b.На маршрутизаторе Router0 с помощью команд вида
Router(config)#service timestamps debug datetime msec Router(config)#logging [IP-адрес]
Router(config)#ip ips notify log
активируйте добавление штампа времени в сообщения о системных событиях, установите IP-адрес Syslog-сервера Server0 и активируйте регистрацию уведомлений от IPS.
c.На маршрутизаторе Router0 с помощью команды вида
Router(config)#ip ips name [имя]
создайте правило IPS.
54
IPS может анализировать как весь сетевой трафик, так и выборочный сетевой трафик.
d.На маршрутизаторе Router0 с помощью команд
Router(config)#ip ips signature-category Router(config-ips-category)#category all Router(config-ips-category-action)#retired true Router(config-ips-category-action)#exit Router(config-ips-category)#category ios_ips basic Router(config-ips-category-action)#retired false Router(config-ips-category-action)#exit Router(config-ips-cateogry)#exit
Do you want to accept these changes? [confirm]
выведите из использования категорию сигнатур all, а затем верните в использование категорию сигнатур ios_ips basic.
Все сигнатуры предварительно разбиты по категориям с иерархической структурой. Категория сигнатур all содержит все сигнатуры в выпуске сигнатур. Не следует использовать категорию all, так как IPS из-за нехватки памяти не сможет одновременно скомпилировать и использовать все сигнатуры.
e.На маршрутизаторе Router0 с помощью команд вида
Router(config)#interface [тип] [номер] Router(config-if)#ip ips [имя] [in|out]
примените правило IPS к соответствующему интерфейсу и установите необходимое направление анализируемого трафика.
f.На маршрутизаторе Router0 с помощью команды
Router#show flash:
получите информацию о файлах, хранящихся во flash-памяти, проанализируйте ее и запишите в отчет.
g.На маршрутизаторе Router0 с помощью команды
Router#show ip ips all
получите информацию о конфигурации IPS, проанализируйте ее и запишите в отчет.
h. На сервере Server0 получите информацию о зарегистрированных системных событиях и проанализируйте ее.
3.Проверка IPS
a. На компьютере PC1, используя утилиту «Command Prompt», с помощью команды вида
PC>ping [IP-адрес]
проверьте доступность компьютера PC0.
b.На сервере Server0 получите информацию о зарегистрированных системных событиях и проанализируйте ее.
c.На маршрутизаторе Router0 с помощью команд
Router(config)#ip ips signature-definition
Router(config-sigdef)#signature 2004 0
Router(config-sigdef-sig)#status
Router(config-sigdef-sig-status)#retired false
Router(config-sigdef-sig-status)#enabled true
55
Router(config-sigdef-sig-status)#exit Router(config-sigdef-sig)#engine Router(config-sigdef-sig-engine)#event-action produce-alert Router(config-sigdef-sig-engine)#event-action deny-packet-inline Router(config-sigdef-sig-engine)#exit Router(config-sigdef-sig)#exit
Router(config-sigdef)#exit
Do you want to accept these changes? [confirm]
d.верните в использования сигнатуру обнаружения echoсканирования
сномером 2004 и идентификатором 0, активируйте оповещение об обнаружении события и установите запрет на передачу соответствующих сетевых пакетов.
e.На компьютере PC1, используя утилиту «Command Prompt», с по-
мощью команды вида
PC>ping [IP-адрес]
проверьте доступность компьютера PC0.
f. На сервере Server0 получите информацию о зарегистрированных системных событиях и проанализируйте ее.
Контрольные вопросы
1.Какое назначение и принципы работы у IPS?
2.Для чего с точки зрения безопасности информации в компьютерных сетях используется IPS?
3.Что такое сигнатура IPS, что она описывает и какой синтаксис имеет?
4.Какие существуют общие правила и рекомендации по применению IPS в компьютерных сетях?
5.Какое событие позволяет регистрировать сигнатура Cisco IPS с номером 2004 и идентификатором 0 и какой синтаксис она имеет?
ПРАКТИЧЕСКАЯ РАБОТА № 13 SITE-TO-SITE VPN
Цель работы
Изучить настройку технологии VPN (англ. Virtual Private Network, виртуальная частная сеть) по модели Site-to-Site (сеть-сеть).
Теоретические сведения
1.Поговорим о VPN-ах? Типы VPN соединений. Масштабирование
VPN // Блог «Хабр». URL: https://habr.com/ru/post/246281/ (дата обращения: 20.05.2021).
56
2.Сети для самых маленьких. Часть седьмая. VPN // Блог «Хабр». URL: https://habr.com/ru/post/170895/ (дата обращения: 20.05.2021).
3.Cisco IOS Site-to-Site VPN // Точка обмена знаниями по
UNIX/Linux-системам и системам с открытым исходным |
кодом |
URL: http://xgu.ru/wiki/Cisco_IOS_Site-to-Site_VPN (дата обращения: |
20.05. |
2021). |
|
4.Настройка GRE туннеля на Cisco // ИТ база знаний Мерион Не-
творкс. URL: https://wiki.merionet.ru/seti/22/nastroyka-gre-tunnelya-na-cisco/ (дата обращения: 20.05.2021).
5.Настройка Site-to-Site IPSec VPN на Cisco // ИТ база знаний Мерион Нетворкс. URL: https://wiki.merionet.ru/seti/20/nastrojka-site-to-site-ipsec-vpn-na- cisco/ (дата обращения: 20.05.2021).
6.CLI Book 3: Cisco ASA Series Firewall CLI Configuration Guide,9.6 //
Сайт компании Cisco Systems. URL: https://www.cisco.com/c/en/us/td/ docs/security/asa/asa96/configuration/vpn/asa-96-vpn-config.html (дата обращения: 20.05.2021).
7. Настройка туннелей IKEv1 IPsec типа «сеть-сеть» на ASA с помощью ASDM или интерфейса командной строки // Сайт компании Cisco Systems URL: https://www.cisco.com/c/ru_ru/support/docs/security/asa-5500-x-series-next- generation-firewalls/119141-configure-asa-00.html (дата обращения: 20.05.2021).
Порядок выполнения работы
1.Подготовка схемы сети
a. Соберите модель сети в соответствии со схемой на рис. 13.1:
Рис. 13.1. Схема модели сети
b. Маршрутизаторам Router0 – Router2, коммутаторам Switch0 и Switch1, компьютерам PC0 и PC1 назначьте сетевые имена в соответствии со схемой сети.
57
c.На маршрутизаторах Router0 – Router2 назначьте соединяющим их между собой интерфейсам IP-адреса из диапазонов IP-адресов подсетей c маской /30, полученных путем распределения одного диапазона IP-адресов вида 100.100.[N].0/24 на все требуемые подсети.
d.На маршрутизаторе Router0 и компьютере PC0 назначьте интерфейсам, входящим согласно схеме сети в одну подсеть, IP-адреса из диапазона
IP-адресов вида 192.168.[N].0/24.
e.На маршрутизаторе Router2 и компьютере PC1 назначьте интерфейсам, входящим согласно схеме сети в одну подсеть, IP-адреса из диапазона
IP-адресов вида 192.168.[N+1].0/24.
f.Во всей сети настройте динамическую маршрутизацию по протоколу EIGRP или по протоколу OSPF.
g.На маршрутизаторах Router0 – Router2, коммутаторах Switch0 и
Switch1, компьютерах PC0 и PC1 получите информацию о MAC-адресах и(или) IP-адресах активных интерфейсов, проанализируйте ее и запишите в отчет в виде таблицы со столбцами «Название устройства | Тип и номер интерфейса | MAC-адрес интерфейса | IP-адрес интерфейса».
2.Настройка туннеля по протоколу GRE
a. На компьютерах PC0 и PC1, используя утилиту «Command Prompt»,
спомощью команды вида
PC>tracert [IP-адрес]
получите информацию о маршрутах передачи сетевого трафика между собой и проанализируйте ее.
b.На маршрутизаторах Router0 и Router2 с помощью команд вида
Router(config)#interface tunnel [номер] Router(config-if)#ip address [IP-адрес] [маска] Router(config-if)#tunnel mode gre ip Router(config-if)#tunnel source [тип] [номер] Router(config-if)#tunnel destination [IP-адрес]
создайте интерфейс туннеля, установите режим работы туннеля по протоколу GRE, установите внутренний IP-адрес туннеля из диапазона IP-адресов вида [N].[N].[N].0/24, установите начальный интерфейс для туннеля и установите IPадрес назначения для туннеля.
Номер интерфейса позволяет идентифицировать его только на том устройстве, на котором он создан. В качестве внутренних IP-адресов концов туннеля необходимо использовать IP-адреса из одного диапазона IP-адресов. В качестве интерфейса для туннеля необходимо использовать интерфейс для отправки (получения) сетевого трафика в сторону (со стороны) другого конца туннеля. В качестве IP-адреса назначения для туннеля необходимо использовать IP-адрес соответствующего интерфейса на другом конце туннеля.
c.На маршрутизаторах Router0 и Router2 с помощью команды вида
Router(config)#ip route [IP-адрес] [маска] [IP-адрес]
58
создайте статические маршруты до локальных сетей, в которые входят компьютеры PC0 и PC1, установив в качестве IP-адресов следующих узлов внутренние IP-адреса соответствующих концов туннеля.
d.На компьютерах PC0 и PC1, используя утилиту «Command Prompt»,
спомощью команды вида
PC>tracert [IP-адрес]
получите информацию о маршрутах передачи сетевого трафика между собой, проанализируйте ее и запишите в отчет.
e.На маршрутизаторах Router0 и Router2 с помощью команды
Router#show ip route
получите информацию о таблице маршрутизации, проанализируйте ее и запи-
шите в отчет.
3.Подготовка схемы сети
a. Соберите модель сети в соответствии со схемой на рис. 13.2:
Рис. 13.2. Схема модели сети
b.Маршрутизаторам Router3 – Router5, коммутаторам Switch2 и Switch3, компьютерам PC2 и PC3 назначьте сетевые имена в соответствии со схемой сети.
c.На маршрутизаторах Router3 – Router5 назначьте соединяющим их между собой интерфейсам IP-адреса из диапазонов IP-адресов подсетей c маской /30, полученных путем распределения одного диапазона IP-адресов вида 100.100.[N].0/24 на все требуемые подсети.
d.На маршрутизаторе Router3 и компьютере PC2 назначьте интерфейсам, входящим согласно схеме сети в одну подсеть, IP-адреса из диапазона
IP-адресов вида 192.168.[N].0/24.
e.На маршрутизаторе Router5 и компьютере PC3 назначьте интерфейсам, входящим согласно схеме сети в одну подсеть, IP-адреса из диапазона
IP-адресов вида 192.168.[N+1].0/24.
59