ФЕДЕРАЛЬНОЕ АГЕНТСТВО СВЯЗИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
ФАКУЛЬТЕТ ИНФОКОММУНИКАЦИОННЫХ СЕТЕЙ И СИСТЕМ (ИКСС)
КАФЕДРА ПРОГРАММНОЙ ИНЖЕНЕРИИ И ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ (ПИ И ВТ)
ДИСЦИПЛИНА: «Безопасность компьютерных систем»
«Настройка списков ACL IP для смягчения атак».
Выполнили студенты группы ИКПИ-92:
Козлов Н. С.
Смирнов Д. А.
Тюришев М. А.
Пурин И. К.
Принял:
Петрив Р. Б.
Подпись____________
«_____»________ 2021
Цели
• Проверьте подключение между устройствами перед настройкой брандмауэра. • Используйте ACL, чтобы гарантировать, что удаленный доступ к маршрутизаторам доступен только от станции управления PC-C. • Настройте ACL на R1 и R3 для смягчения атак. • Проверьте функциональность ACL.
Фон/Сценарий
Доступ к маршрутизаторам R1, R2 и R3 должен быть разрешен только с PC-C, станции управления. PC-C также используется для тестирования подключения к PC-A, который является сервером, предоставляющим услуги DNS, SMTP, FTP и HTTPS.
Стандартная операционная процедура заключается в применении ACL на пограничных маршрутизаторах для смягчения распространенных угроз на основе исходного и целевого IP-адреса. В этом упражнении вы создадите списки ACL на пограничных маршрутизаторах R1 и R3 для достижения этой цели. Затем вы проверите функциональность ACL с внутренних и внешних хостов.
Маршрутизаторы были предварительно сконфигурированы следующим образом:
• Включить пароль: ciscoenpa55 • Пароль для консоли: ciscoconpa55 • SSH logon имя пользователя и пароль: SSHadmin/ciscosshpa55 • IP-адресация • Статическая маршрутизация
Часть 1: Проверка Базового Сетевого Подключения
Проверьте сетевое подключение перед настройкой списков управления доступом IP.
Шаг 1: От PC-A проверьте подключение к PC-C и R2.
a. Из командной строки ping PC-C (192.168.3.3).
b. Из командной строки установите сеанс SSH для интерфейса R2 Lo0 (192.168.2.1), используя имя пользователя SSHadmin и пароль ciscosshpa55. По завершении закройте сеанс SSH.
SERVER> ssh -l SSHadmin 192.168.2.1
Шаг 2: От PC-C проверьте подключение к PC-A и R2.
a. Из командной строки ping ПК-А (192.168.1.3).
b. Из командной строки установите сеанс SSH, чтобы Интерфейс R2 Lo0 (192.168.2.1) с использованием имени пользователя SSHadmin и пароль ciscosshpa55. Закройте сеанс SSH по завершении.
PC> ssh -l SSHadmin 192.168.2.1
в) Откройте веб-браузер, чтобы ПК-А сервер (192.168.1.3) для отображения веб-страницы. После этого закройте браузер.
Часть 2: Безопасный доступ к маршрутизаторам
Шаг 1: Настройте ACL 10 так, чтобы блокировать весь удаленный доступ к маршрутизаторам, кроме как с ПК-С.
Используйте список доступа команда для создания нумерованного IP ACL на R1, R2, и R3.
R1(config)# access-list 10 permit host 192.168.3.3
R2(config)# access-list 10 permit host 192.168.3.3
R3(config)# access-list 10 permit host 192.168.3.3
Шаг 2:Примените ACL 10 к входящему трафику на линиях VTY.
Используйте класс доступа команда для применения списка доступа к входящему трафику на линиях VTY.
R1(config-line)# access-class 10 in
R2(config-line)# access-class 10 in
R3(config-line)# access-class 10 in
Шаг 3: Проверьте эксклюзивный доступ со станции управления PC-C.
а) Установите SSH-сеанс на 192.168.2.1 с PC-C (должно быть успешным).
PC> ssh –l SSHadmin 192.168.2.1
b. Установите сеанс SSH до 192.168.2.1 с PC-A (должен потерпеть неудачу).
Часть 3: Создайте пронумерованный IP ACL 120 на R1
Создайте IP ACL под номером 120 со следующими правилами:
• Разрешить любому внешнему хосту доступ к службам DNS, SMTP и FTP на сервере PC-A. • Запретить любому внешнему хосту доступ к службам HTTPS на PC-A. • Разрешите PC-C получить доступ к R1 через SSH.
Примечание: Результаты проверки не покажут правильную конфигурацию ACL 120 до тех пор, пока вы не измените ее в части 4.
Шаг 1: Убедитесь, что PC-C может получить доступ к PC-A через HTTPS с помощью веб-браузера.
Обязательно отключите HTTP и включите HTTPS на сервере PC-A.
Шаг 2: Настройте ACL 120 так, чтобы он специально разрешал и запрещал указанный трафик.
Используйте команду access-list для создания нумерованного списка ACL IP.
R1(config)# access-list 120 permit udp any host 192.168.1.3 eq domain
R1(config)# access-list 120 permit tcp any host 192.168.1.3 eq smtp
R1(config)# access-list 120 permit tcp any host 192.168.1.3 eq ftp
R1(config)# access-list 120 deny tcp any host 192.168.1.3 eq 443
R1(config)# access-list 120 permit tcp host 192.168.3.3 host 10.1.1.1 eq 22
Шаг 3:Примените ACL к интерфейсу S0/0/0.
Используйте команду ip access-group для применения списка доступа к входящему трафику на интерфейсе S0/0/0.
R1(config)# interface s0/0/0
R1(config-if)# ip access-group 120 in
Шаг 4:Убедитесь, что PC-C не может получить доступ к PC-A через HTTPS с помощью веб-браузера.
Часть 4: Измените существующий ACL на R1
Разрешить эхо-ответы ICMP и недостижимые сообщения назначения из внешней сети (относительно R1). Запретить все остальные входящие ICMP-пакеты.
Шаг 1: Убедитесь, что PC-A не может успешно пинговать интерфейс обратной связи на R2.
Шаг 2: Внесите все необходимые изменения в ACL 120, чтобы разрешить и запретить указанный трафик.
Используйте команду access-list для создания нумерованного списка ACL IP.
R1(config)# access-list 120 permit icmp any any echo-reply
R1(config)# access-list 120 permit icmp any any unreachable
R1(config)# access-list 120 deny icmp any any
R1(config)# access-list 120 permit ip any any
Шаг 3: Проверьте, что PC-A может успешно пропинговать интерфейс замыкания на себя на R2.
Часть 5: Создание пронумерованного IP ACL 110 на R3
Запретить все исходящие пакеты с исходным адресом вне диапазона внутренних IP-адресов на R3.
Шаг 1: Настройте ACL 110 для разрешения только трафика из внутренней сети.
Используйте команду access-list для создания нумерованного списка ACL IP.
R3(config)# access-list 110 permit ip 192.168.3.0 0.0.0.255 any
Шаг 2:Примените ACL к интерфейсу G0/1.
Используйте ip-доступ-группа команда для применения списка доступа к входящему трафику на интерфейсе G0/1.
R3(config)# interface g0/1
R3(config-if)# ip access-group 110 in
Часть 6: Создайте пронумерованный IP ACL 100 на R3
На R3, блокирует все пакеты, содержащие исходный IP-адрес из следующего пула адресов: любые частные адреса RFC 1918, 127.0.0.0/8 и любой многоадресный IP-адрес. С PC-C используется для удаленного администрирования, позволяет SSH-трафику из сети 10.0.0.0/8 возвращаться на хост PC-C
Шаг 1: Настройте ACL 100 для блокировки всего указанного трафика из внешней сети.
Вы также должны блокировать трафик, поступающий из вашего собственного внутреннего адресного пространства, если это не адрес RFC 1918. В этом действии ваше внутреннее адресное пространство является частью частного адресного пространства, указанного в RFC 1918.
Используйте команду access-list для создания нумерованного списка ACL IP.
R3(config)# access-list 100 permit tcp 10.0.0.0 0.255.255.255 eq 22 host 192.168.3.3
R3(config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any
R3(config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any
R3(config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any
R3(config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any
R3(config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any
Шаг 2: Примените ACL к последовательному интерфейсу 0/0/1.
Используйте ip-доступ-группа команда для применения списка доступа к входящему трафику на интерфейсе Serial 0/0/1.
R3(config)# access-list 100 permit ip any any
R3(config)# interface s0/0/1
R3(config-if)# ip access-group 100 in
Шаг 3: Убедитесь, что указанный трафик, поступающий в последовательный интерфейс 0/0/1, обрабатывается правильно.
a. Из командной строки PC-C выполните пинг сервера PC-A. Эхо-ответы ICMP блокируются ACL, поскольку они получены из адресного пространства 192.168.0.0/16.
b. Установите сеанс SSH на 192.168.2.1 с PC-C (должно быть успешным).