ФЕДЕРАЛЬНОЕ АГЕНТСТВО СВЯЗИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
ФАКУЛЬТЕТ ИНФОКОММУНИКАЦИОННЫХ СЕТЕЙ И СИСТЕМ (ИКСС)
КАФЕДРА ПРОГРАММНОЙ ИНЖЕНЕРИИ И ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ (ПИ И ВТ)
ДИСЦИПЛИНА: «Безопасность компьютерных систем»
«Настройка расширенных списков управления доступом - Сценарий 2»
Выполнили студенты группы ИКПИ-92:
Козлов Н. С.
Смирнов Д. А.
Тюришев М. А.
Пурин И. К.
Принял:
Петрив Р. Б.
Подпись____________
«_____»________ 2021
Цели
Часть 1: Настройка, применение и проверка расширенного нумерованного ACL
Часть 2: Вопросы Рефлексии
Предыстория / Сценарий
В этом случае устройства в одной локальной сети могут удаленно обращаться к устройствам в другой локальной сети с помощью протокола SSH. Кроме ICMP, весь трафик из других сетей запрещен.
Коммутаторы и маршрутизатор также были предварительно сконфигурированы следующим образом:
• Включить секретный пароль: ciscoenpa55 • Пароль консоли: ciscoconpa55 • Локальное имя пользователя и пароль: Admin / Adminpa55
Часть 1: Настройка, применение и проверка расширенного нумерованного ACL
Настройте, примените и проверьте ACL в соответствии со следующей политикой:
• SSH-трафик с устройств в сети 10.101.117.32/28 разрешен устройствам в сетях 10.101.117.0/27. • ICMP-трафик разрешен из любого источника в любой пункт назначения. • Весь остальной трафик до 10.101.117.0/27 заблокирован.
Шаг 1: Настройте расширенный ACL.
a. В соответствующем режиме конфигурации на RTA используйте последний допустимый номер списка расширенного доступа для настройки ACL. Используйте следующие шаги для построения первого оператора ACL:
1) Последний расширенный номер списка-199.
2) Протокол TCP.
3) Исходная сеть 10.101.117.32.
4) Подстановочный знак можно определить путем вычитания 255.255.255.240 из 255.255.255.255.
5) Сеть назначения 10.101.117.0.
6) Подстановочный знак может быть определен путем вычитания 255.255.255.224 из 255.255.255.255.
7) Протокол SSH (порт 22).
Что такое первый оператор ACL?
access-list 199 permit tcp 10.101.117.32 0.0.0.15 10.101.117.0 0.0.0.31 eq 22
b. ICMP разрешен, и требуется второй оператор ACL. Используйте один и тот же номер списка доступа для разрешения всего ICMP-трафика, независимо от адреса источника или назначения. Что такое второе утверждение ACL? (Подсказка: Используйте любые ключевые слова)
access-list 199 permit icmp any any
в) Весь остальной IP-трафик по умолчанию запрещен.
Шаг 2: Примените расширенный ACL.
Общее правило заключается в размещении расширенных списков ACL близко к источнику. Однако, поскольку список доступа 199 влияет на трафик, исходящий из обеих сетей 10.101.117.48/29 и 10.101.117.32/28, лучшим местом для этого ACL может быть интерфейс Gigabit Ethernet 0/2 в исходящем направлении. Какова команда для применения ACL 199 к интерфейсу Gigabit Ethernet 0/2?
ip access-group 199 out
Шаг 3: Проверьте расширенную реализацию ACL.
а) Пинг с печатной платы на все остальные IP-адреса в сети. Если пинг не удался, проверьте IP-адреса, прежде чем продолжить.
b. SSH от PC-B до SWC. Имя пользователя-Admin, а пароль-Adminpa55.
PC> ssh -l Admin 10.101.117.2
c. Выйдите из сеанса SSH в SWC.
d. Ping от PC-A ко всем другим IP-адресам в сети. Если пинг не удался, проверьте IP-адреса, прежде чем продолжить.
e. SSH от PC-A до SWC. Список доступа заставляет маршрутизатор отклонить соединение.
f. SSH от PCA до SWB. Список доступа находится на G0/2 и не влияет на это соединение. Имя пользователя-Admin, а пароль-Adminpa55.
g. После входа в SWB не выходите из системы. SSH в SWC в привилегированном режиме EXEC.
SWB# ssh -l Admin 10.101.117.2
Часть 2: Вопросы для размышления
1. Как PC-A удалось обойти список доступа 199 и SSH к SWC?
Сначала PCA использовал SSH для доступа к SWB. Из SWB SSH был разрешен SWC.
2. Что можно было сделать, чтобы предотвратить косвенный доступ PC-A к SWC, одновременно разрешая доступ PC-B SSH к SWC?
Поскольку было предложено заблокировать весь трафик до 10.101.117.0/27, за исключением SSH-трафика, исходящего из 10.101.117.32/28, список доступа может быть записан как есть. Вместо того чтобы применять ACL к исходящему G0/2, примените один и тот же ACL как к входящему G0/0, так и к входящему G0/1.