ФЕДЕРАЛЬНОЕ АГЕНТСТВО СВЯЗИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
ФАКУЛЬТЕТ ИНФОКОММУНИКАЦИОННЫХ СЕТЕЙ И СИСТЕМ (ИКСС)
КАФЕДРА ПРОГРАММНОЙ ИНЖЕНЕРИИ И ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ (ПИ И ВТ)
ДИСЦИПЛИНА: «Безопасность компьютерных систем»
«Настройка расширенных списков управления доступом - Сценарий 1»
Выполнили студенты группы ИКПИ-92:
Козлов Н. С.
Смирнов Д. А.
Тюришев М. А.
Пурин И. К.
Принял:
Петрив Р. Б.
Подпись____________
«_____»________ 2021
Цели
Часть 1: Настройка, применение и проверка расширенного нумерованного ACL
Часть 2: Настройка, применение и проверка расширенного именованного ACL
Предыстория / Сценарий
Два сотрудника нуждаются в доступе к услугам, предоставляемым сервером. PC1 нуждается только в FTP - доступе, а PC2-только в веб-доступе. Оба компьютера могут пинговать сервер, но не друг друга.
Часть 1: Настройка, применение и проверка расширенного нумерованного ACL
Шаг 1: Настройте ACL для разрешения FTP и ICMP.
a. В режиме глобальной конфигурации на R1 введите следующую команду , чтобы определить первый допустимый номер для расширенного списка доступа.
R1(config)# access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
b. Добавить 100 на команду последовал вопросительный знак.
R1(config)# access-list 100 ?
deny Specify packets to reject (Укажите пакеты для отклонения)
permit Specify packets to forward (Укажите пакеты для пересылки)
remark Access list entry comment (Комментарий к записи списка доступа)
c. Чтобы разрешить FTP-трафик, введите разрешать, за которым следовал вопросительный знак.
R1(config)# access-list 100 permit ?
ahp Authentication Header Protocol (Протокол заголовка аутентификации)
eigrp Cisco's EIGRP routing protocol (Протокол маршрутизации EIGRP Cisco)
esp Encapsulation Security Payload (Инкапсуляция Полезной Нагрузки Безопасности)
gre Cisco's GRE tunneling (Туннелирование GRE Cisco)
icmp Internet Control Message Protocol (Протокол управляющих сообщений Интернета)
ip Any Internet Protocol (Любой Интернет-протокол)
ospf OSPF routing protocol (Протокол маршрутизации OSPF)
tcp Transmission Control Protocol (Протокол управления передачей)
udp User Datagram Protocol (Протокол пользовательских дейтаграмм)
d. Этот ACL разрешает использование FTP и ICMP. ICMP указан выше, а FTP-нет, потому что FTP использует TCP. Поэтому введите tcp для дальнейшего уточнения справки ACL.
R1(config)# access-list 100 permit tcp ?
A.B.C.D Source address (Адрес источника)
any Any source host (Любой исходный хост)
host A single source host (Хост с одним источником)
e. Обратите внимание, что мы могли бы фильтровать только для PC1, используя ключевое слово host, или мы могли бы разрешить любой хост. В этом случае допускается любое устройство, имеющее адрес, принадлежащий сети 172.22.34.64/27. Введите сетевой адрес, а затем вопросительный знак.
R1(config)# access-list 100 permit tcp 172.22.34.64 ?
A.B.C.D Source wildcard bits (Исходные подстановочные биты)
f. Вычислите подстановочную маску, определяющую двоичную противоположность маски подсети.
11111111.11111111.11111111.11100000=255.255.255.224
00000000.00000000.00000000.00011111 = 0.0.0.31
g. Введите маску подстановочного знака, за которой следует знак вопроса.
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 ?
A.B.C.D Destination address (Адрес назначения)
any Any destination host (Любой хост назначения)
eq Match only packets on a given port number (Сопоставьте только пакеты с заданным номером порта)
gt Match only packets with a greater port number (Сопоставьте только пакеты с большим номером порта)
host A single destination host (Один хост назначения)
lt Match only packets with a lower port number (Сопоставьте только пакеты с меньшим номером порта)
neq Match only packets not on a given port number (Сопоставлять только пакеты не по заданному номеру порта)
range Match only packets in the range of port numbers (Сопоставьте только пакеты в диапазоне номеров портов)
h. Настройте адрес назначения. В этом сценарии мы фильтруем трафик для одного назначения, которым является сервер. Введите ключевое слово хоста, за которым следует IP-адрес сервера.
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 ?
dscp Match packets with given dscp value (Сопоставьте пакеты с заданным значением dscp)
eq Match only packets on a given port number (Сопоставьте только пакеты с заданным номером порта)
established established (установленный)
gt Match only packets with a greater port number (Сопоставьте только пакеты с большим номером порта)
lt Match only packets with a lower port number (Сопоставьте только пакеты с меньшим номером порта)
neq Match only packets not on a given port number (Сопоставлять только пакеты не по заданному номеру порта)
precedence Match packets with given precedence value (Сопоставьте пакеты с заданным значением приоритета)
range Match only packets in the range of port numbers (Сопоставьте только пакеты в диапазоне номеров портов)
<cr>
i. Обратите внимание, что один из вариантов - <cr><cr> (возврат каретки). Другими словами, вы можете нажать Enter, и оператор разрешит весь TCP-трафик. Однако мы разрешаем только FTP-трафик; поэтому введите ключевое слово eq, а затем вопросительный знак, чтобы отобразить доступные параметры. Затем введите ftp и нажмите клавишу Enter.
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ?
<0-65535> Port number
ftp File Transfer Protocol (21) (Протокол передачи файлов)
pop3 Post Office Protocol v3 (110) (Протокол почтового отделения)
smtp Simple Mail Transport Protocol (25) (Простой Почтовый транспортный протокол)
elnet Telnet (23) (сетевой теледоступ)
www World Wide Web (HTTP, 80) (всемирная компьютерная сеть)
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp
j. Создайте второй оператор списка доступа, чтобы разрешить трафик ICMP (ping и т. Д.) От PC1 к Серверу. Обратите внимание, что номер списка доступа остается прежним, и не требуется указывать конкретный тип ICMP-трафика.
R1(config)# access-list 100 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62
k. По умолчанию весь остальной трафик запрещен.
Шаг 2: Примените ACL на правильном интерфейсе для фильтрации трафика.
С точки зрения R1, трафик, к которому применяется ACL 100, входит из сети, подключенной к интерфейсу Gigabit Ethernet 0/0. Введите режим конфигурации интерфейса и примените ACL.
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# ip access-group 100 in
Шаг 3: Проверьте реализацию ACL.
a. Ping от PC1 к серверу. Если пинг не удался, проверьте IP-адреса, прежде чем продолжить.
б. FTP от PC1 к Серверу. Имя пользователя и пароль-это cisco.
PC> ftp 172.22.34.62
c. Выйдите из FTP-службы Сервера.
ftp> exit
d. Пинг с ПК1 на ПК2. Конечный узел должен быть недоступен, поскольку трафик явно не разрешен.
Часть 2: Настройка, применение и проверка расширенного именованного ACL
Шаг 1: Настройте ACL для разрешения HTTP - доступа и ICMP.
a. Именованные списки ACL начинаются с ключевого слова ip. В режиме глобальной конфигурации R1 введите следующую команду, за которой следует знак вопроса.
R1(config)# ip access-list ?
extended Extended Access List (Расширенный список доступа)
standard Standard Access List (Стандартный список доступа)
b. Вы можете настроить именованные стандартные и расширенные списки ACL. Этот список доступа фильтрует как исходные, так и целевые IP-адреса; поэтому он должен быть расширен. Введите HTTP_ONLY в качестве имени. (Для оценки трассировки пакетов имя чувствительно к регистру.)
R1(config)# ip access-list extended HTTP_ONLY
c. Быстрые изменения. Теперь вы находитесь в режиме расширенной именованной конфигурации ACL. Все устройства в локальной сети PC2 нуждаются в TCP-доступе. Введите сетевой адрес, а затем вопросительный знак.
R1(config-ext-nacl)# permit tcp 172.22.34.96 ?
A.B.C.D Source wildcard bits (Исходные подстановочные биты)
d. Альтернативный способ вычисления подстановочного знака-вычесть маску подсети из 255.255.255.255.
255.255.255.255- 255.255.255.240----------------- = 0. 0. 0. 15
R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 ?
e. Завершите инструкцию, указав адрес сервера, как это было сделано в части 1, и отфильтровав www-трафик.
R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www
f. Создайте второй оператор списка доступа, чтобы разрешить ICMP-трафик (ping и т. Д.) от PC2 к Серверу. Примечание: Приглашение остается прежним, и конкретный тип ICMP - трафика указывать не нужно.
R1(config-ext-nacl)# permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62
g. По умолчанию весь остальной трафик запрещен. Выход из расширенного именованного режима конфигурации ACL.
Шаг 2: Примените ACL на правильном интерфейсе для фильтрации трафика.
С точки зрения R1, трафик, к которому применяется список доступа HTTP_ONLY, поступает из сети, подключенной к интерфейсу Gigabit Ethernet 0/1. Введите режим конфигурации интерфейса и примените ACL.
R1(config)# interface gigabitEthernet 0/1
R1(config-if)# ip access-group HTTP_ONLY in
Шаг 3: Проверьте реализацию ACL.
a. Пинг с ПК2 на сервер. Пинг должен быть успешным, если пинг не удался, проверьте IP-адреса, прежде чем продолжить.
b. FTP от PC2 к Серверу. Соединение должно прерваться.
c. Откройте веб-браузер на PC2 и введите IP-адрес Сервера в качестве URL-адреса. Соединение должно быть успешным.