Диплом. Пузырев МИ

РОССИЙСКАЯ ФЕДЕРАЦИЯ
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ
ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
Институт математики, естественных наук и информационных
технологий
Кафедра информационной безопасности
СБОРНИК ЛАБОРАТОРНЫХ РАБОТ ПО ЗАЩИТЕ
КОМПЬЮТЕРНЫХ СЕТЕЙ.
Научный руководитель:
старший преподаватель
/К.А.Бажин/
(подпись)
(оценка)
Автор работы:
/М.И.Пузырев/
(подпись)
Тюмень, 2014
ОГЛАВЛЕНИЕ
1. ОБЩИЕ СВЕДЕНИЯ О ЗАЩИТЕ СЕТЕЙ .................................................... 6
1.1. Причины возникновения проблем защиты ................................................. 6
1.1.1. Технологические недостатки ................................................................. 6
1.1.2. Недостатки конфигурации...................................................................... 7
1.1.3. Недостатки политики защиты сети ....................................................... 8
1.2. Типы атак ........................................................................................................ 8
1.2.1. Атаки на конфиденциальность .............................................................. 9
1.2.2. Атаки на целостность ............................................................................ 11
1.2.3. Атаки на доступность ........................................................................... 14
1.3. Политика защиты ......................................................................................... 18
1.3.1. Цикл защиты .......................................................................................... 18
2. ПРАКТИЧЕСКАЯ ЧАСТЬ ............................................................................. 20
ЗАКЛЮЧЕНИЕ ..................................................................................................... 79
СПИСОК ЛИТЕРАТУРЫ..................................................................................... 80
ВВЕДЕНИЕ
Актуальность темы. В связи со стремительным развитием и
распространением сети интернет, большей доступностью его для широкого
круга лиц, представления о том, как следует вести дела, изменились.
Особенно сильно это коснулось способов ведения бизнеса и управления на
глобальном уровне. Ни одна сфера бизнеса теперь не обходится без
информационных систем. Обработка персональных данных, электронная
коммерция, хранение информации и удаленный доступ к ней стали
неотъемлемой частью современного бизнеса. Потребители и конечные
пользователи хотят иметь надежно защищенные средства коммуникаций и
ведения электронной торговли. Но, так как сеть интернет изначально
основана на открытых стандартах, обеспечивающих простоту связи,
упущены некоторые ключевые компоненты защиты, к которым, например,
можно отнести контроль удаленного доступа, тайну коммуникаций и защиту
от помех в предоставлении сервиса.
Перед деловыми кругами встала пугающая проблема: как реализовать
и совершенствовать средства и методы защиты, чтобы уменьшить
уязвимость бизнеса в условиях постоянного роста угрозы нарушения защиты,
вызванного развитием методов получения несанкционированного доступа к
закрытой информации.
Доступ в сеть интернет создает дополнительную угрозу безопасности
в связи с тем, что сетевой злоумышленник получает потенциальную
возможность доступа к инфраструктуре данных компании. Необходимость
защиты коммуникаций в сети интернет, вызвала бурное развитие технологий
защиты сетей вообще.
Подходящее для всех решение проблемы сетевой безопасности
предложить трудно, поскольку для локальной сети учебного заведения
эффективными могут оказаться одни решения, а для распределенной
корпоративной сети совсем другие.
Проблема защиты, стоящая перед современным бизнесом, сводится к
задаче рассмотрения всего спектра имеющихся решений и выбора
правильной их комбинации. Сегодня предлагается немало технологий и
соответствующих средств защиты. Трудность реализации защиты сети
заключается не в отсутствии подходящей технологии защиты, а в выборе из
множества решений такого, которое лучше всего подойдет для вашей
конкретной сети и требований вашего бизнеса, при котором затраты на
поддержку
и
сопровождение
средств
защиты,
предлагаемых
соответствующим поставщиком, окажутся минимальными.
После того как сетевой инженер или администратор выберет
подходящий набор средств защиты для сетевой среды, потребуются также и
средства, интегрирующие все это в рамках соответствующего предприятия и
обеспечивающие осуществление целостной и согласованной политики
защиты, что в сегодняшних условиях является совсем непростым делом.
Компания Cisco уже сегодня предлагает широкий спектр средств сетевой
защиты, а еще больше аппаратных и программных средств находится в
процессе разработки и должны появиться в недалеком будущем. Средства
защиты Cisco разрабатываются в рамках архитектуры Cisco SAFE,
представляющей собой динамический каркас защиты для сетей электронного
бизнеса.
Для того чтобы подготовить квалифицированного специалиста,
отвечающего всем требованиям в области обеспечения информационной
безопасности корпоративных сетей, необходимо на стадии обучения
получить представления по видам угроз и средствам для их нейтрализации.
Цель
дипломной
работы
состоит
в
разработке
сборника
лабораторных работ по защите сетей для студентов специальностей
«Компьютерная
Безопасность»
и
«Комплексное
Обеспечение
Информационной Безопасности Автоматизированных Систем».
Поставленная цель обусловила следующие задачи дипломной
работы:
 Изучение имеющихся в свободном доступе материалов по
защите сетей;
 Подготовка теоретической базы;
 Разработка лабораторных работ в помощь учебному процессу
для выполнения в программной среде Packet Tracer.
1.
ОБЩИЕ СВЕДЕНИЯ О ЗАЩИТЕ СЕТЕЙ
Ниже представлены общие сведения о защите компьютерных сетей.
Причины возникновения проблем защиты, самые распространенные виды
угроз и атак.
1.1.
Причины возникновения проблем защиты
Существует, по крайней мере, три основные причины возникновения
угроз защиты сети:
1.
Технологические недостатки;
2.
Недостатки конфигурации;
3.
Недостатки политики зашиты.
1.1.1. Технологические недостатки
Недостатки TCP/IP. Протокол TCP/IP разрабатывался как открытый
стандарт, чтобы упростить связь в сети. Службы, средства и утилиты,
построенные на его основе, тоже разрабатывались с целью поддержки
открытых коммуникаций. Рассмотрим некоторые особенности TCP/IP и
соответствующих сервисов, характеризующие их внутреннюю уязвимость.

Заголовки пакетов IP, TCP и UDP и их содержимое могут быть
прочитаны, изменены и посланы повторно так, чтобы это не было
обнаружено.

Сетевая
файловая
система
(NFS)
позволяет
получить
незащищенный доверительный доступ к хостам. NFS не обеспечивает
аутентификацию пользователей и использует случайные номера портов UDP
для сеансов связи, что практически не дает возможности ограничить
протокольный и пользовательский доступ.

Telnet
является
мощным
средством,
предоставляющим
пользователю возможность доступа ко многим утилитам и Интренетслужбам, которые иначе оказываются недоступными. Используя Telnet и
указывая номер порта вместе с именем хоста или IP-адресом, хакеры могут
начать интерактивный диалог с сервисами, которые считаются недостаточно
защищенными.

В системе UNIX демон sendmail может позволить доступ к
корневому уровню UNIX, в результате чего возможен нежелательный доступ
ко
всей
системе.
Сервис
sendmail
представляет
собой
программу,
используемую для обмена электронной почтой в UNIX. Эта сложная
программа имеет длинную историю проблем защиты. Вот некоторые из них:

уровню
sendmail можно использовать для получения доступа к корневому
путем
UNIX
внедрения
соответствующих
команд
в
фальсифицированные сообщения электронной почты;

sendmail позволяет выяснить тип операционной системы, в
которой выполняется эта программа (по номеру версии, возвращаемой
фальсифицированными
сообщениями);
эта
информация
может
использоваться для того, чтобы начать атаку точек уязвимости конкретной
операционной системы;

sendmail можно использовать для того, чтобы выяснить, какие
узлы принадлежат домену с данным именем;
Недостатки сетевого оборудования. Примерами таких недостатков
являются ненадежная защита пароля, отсутствие средств аутентификации,
незащищенность протоколов маршрутизации и бреши брандмауэров.
Выявленные недостатки защиты сетевого оборудования большинство
производителей исправляют достаточно быстро. Обычно такие недостатки
исправляются с помощью программной "заплаты" или путем обновления
операционной системы оборудования.
1.1.2. Недостатки конфигурации
Недостатки
конфигурации
конфигурации
сетевого
возникают
оборудования,
вследствие
используемого
неправильной
для
решения
выявленных или потенциальных проблем защиты. Следует заметить, что
если недостатки конфигурации известны, их обычно можно легко исправить
с
минимальными
затратами.
Несколько
примеров
недостатков
конфигурации:

Недостаточная
защита,
обеспечиваемая
установками
по
умолчанию.

Неправильная конфигурация сетевого оборудования.

Незащищенные учетные записи пользователей.

Учетные записи пользователей, использующих слишком простые
пароли.

Неправильная настройка служб Интернет.
1.1.3. Недостатки политики защиты сети
Документированная и объявленная персоналу политика защиты
является существенным компонентом защиты сети. Но некоторые проблемы
защиты могут быть вызваны недостатками самой политики защиты, и к
таким проблемам можно отнести следующие.

Отсутствие документированной политики защиты.

Внутренние политические противоречия.

Отсутствие преемственности.

Отсутствие
логичного
контроля
доступа
к
сетевому
оборудованию.

Небрежность администрирования, мониторинга и контроля.

Неосведомленность о возможности атаки.

Несоответствие программного обеспечения и аппаратных средств
принятой политике защиты.

Отсутствие процедур обработки инцидентов защиты и плана
восстановления системы.
1.2.
Типы атак
В зависимости от цели, всевозможные атаки разделяют на три вида:

Атаки на конфиденциальность

Атаки на целостность

Атаки на доступность
1.2.1. Атаки на конфиденциальность
С помощью атак на конфиденциальность нарушитель пытается
просмотреть конфиденциальную информацию такую как персональные
записи, логины, пароли, номера кредитных карточек, адреса электронной
почты и т.д. Так как во время этих атак нарушитель часто предпочитает
просто скопировать нужную информацию, а не нарушать работу системы,
атаки на конфиденциальность часто бывают не замечены.
Рис.1.Атака на конфиденциальность
На рис.1. Database Server и Web Server компании А имеют
доверительные отношения. Database Server содержит конфиденциальную
информацию о покупателях, такую как номера кредитных карт, имена и т.д.
Поэтому Компания А решила защитить Database Server (например
пропатчили известные уязвимости операционной системы) лучше чем Web
Server. Однако используя доверительные отношения между Database Server и
Web Server нарушитель получает конфиденциальную информацию о
покупателях, например, номера кредитных карт, затем осуществляет покупку
в Компании В.
Процедура такая:
1.
Нарушитель используя уязвимости веб-сервера компании А
получает полный контроль над этим сервером.
2.
Нарушитель
используя
доверительные
отношения
между
Database Server и Web Server получает информацию о номерах кредитных
карт с Database Server`a.
3.
Нарушитель, используя украденную кредитную карту совершает
покупку в компании В.
Некоторые
методы
используемы
нарушителями
для
атак
на
конфиденциальность:

Packet capture. Утилита для просмотра пакетов (такая как
Wireshark) может ловить пакеты которые видит сетевая карта компьютера.
Некоторые протоколы, например, HTTP и Telnet, посылают пакеты с
открытым,
незашифрованным
текстом.
Поэтому
нарушитель
может
просматривать эти пакеты и получает возможность доступа к некоторым
конфиденциальным данным.

Ping sweep and port scan. Атаки на конфиденциальность могут
начинаться со сканирования ресурсов сети, для определения цели атаки. Ping
sweep может быть использован для пинга серии IP адресов. Сообщения echoreply говорят нарушителю что ресурс с данным адресом достижим. Как
только все IP адреса ресурсов сети будут определены, нарушитель может
начать сканировать TCP и UDP порты для того, чтобы определить какие
приложения доступны на каждом из хостов с заданным IP адресом. Также
сканирование портов помогает нарушителю узнать какая операционная
система запущена на каждом хосте.

Dumpster diving. Так как многие компании не уничтожают
должным образом конфиденциальную информацию, нарушитель может
“покопаться в мусорной корзине” с надеждой найти информацию способную
скомпрометировать компанию.

Electromagnetic
interference
(EMI)
interception.
Так
как
информация часто передается по проводам (например, неэкранированная
витая пара), нарушитель может перехватить электромагнитное излучение от
этих проводов, тем самым перехватывая информацию.

Wiretapping.
Если
у
нарушителя
имеется
доступ
к
коммутирующему центру он может подключить сетевой концентратор к
нужному проводу и получать копии пакетов.

технику
Social engineering. Нарушители часто используют социальную
для
получения
конфиденциальной
информации.
Например,
нарушитель может представиться как член Информационного Отдела и
спросить у работника его логин и пароль для “проверки соединения”.

Sending information over overt channels. Нарушитель может
получать и отправлять конфиденциальную информацию через открытые
каналы. Пример использования открытого канала это использование одного
протокола внутри другого (например, пересылка трафика мгновенных
сообщений через HTTP). Стеганография – другой пример использования
открытых каналов. Пример стеганографии это отправка файла изображения с
миллионами пикселов с секретной текстовой информацией зашифрованной в
некоторых пикселах. Только отправитель и получатель знают в каких
пикселах представлена секретная информация.

Sending information over covert channels. Нарушитель может
получать и отправлять конфеденциальную информацию через сеть используя
скрытые каналы. Например двоичная информация может быть представлена
последовательностью пингов, один пинг в течении определенного периода
времени представляет двоичный ноль, два таких пинга за этот же период
двоичную еденицу.
1.2.2. Атаки на целостность
Используя атаки на целостность, нарушитель пытается изменить
информацию, то есть подорвать ее целостность, рис.2. показывает атаку на
целостность.
Рис.2.Атака man-in-the-middle
На рис.2. нарушитель использует атаку man-in-the-middle. Эта атака
заставляет проходить поток трафика между клиентом банка и банковским
сервером через компьютер нарушителя. Теперь нарушитель не только может
вмешаться в транзакцию, но и манипулировать информацией. На рисунке
показано, что клиент банка хочет положить на свой аккаунт 5000 долларов,
но нарушитель, манипулируя информацией, меняет номер аккаунта, таким
образом у нарушителя +5000 долларов на счете.
Некоторые
методы
используемы
нарушителями
для
атак
на
целостность:

Salami attack. Это набор маленьких атак, которые при соединении
превращаются в большую атаку. Например, если нарушитель имеет набор
украденных номеров кредитных карточек, он может снять небольшое
количество средств с каждой карты (владельцы, возможно даже не заметят
этого). Хотя средства снятые с каждой карты малы, соединенные вместе они
представляют неплохую сумму для нарушителя.

Data diddling. Процесс data diddling`a изменяет информацию
перед тем как она сохраняется в компьютерной системе. Вредоносный код
внутри приложения, или вирус могут выполнять data diddling. Например
вирус, Троянский конь, или червь может быть написан для перехвата
события нажатия клавиш на клавиатуре. Пользователь начинает печатать
пароль или логин и не замечает как печатаемый текст отправляется через
сеть к нарушителю, или сохраняется где-то в системе.

Trust relationship exploitation. Различные устройства в сети могут
иметь доверительные отношения между собой. Например, некий хост может
доверительно общаться с брэндмауэром, используя определенный порт, в то
время как остальные хосты не могут передавать информацию через
брэндмауэр
используя
этот
же
порт.
Если
нарушитель
сможет
скомпрометировать хост, который имеет доверительные отношения с
брэндмауэром, нарушитель может использовать скомпрометированный хост
для того чтобы посылать трафик через брэндмауэр, который в другой
ситуации был бы заблокирован.

Password attack. Парольная атака, как видно из названия,
пытается определить пользовательские пароли. Как только нарушитель узнал
пароль и логин пользователя, он может войти в систему как данный
пользователь, затем унаследовать пользовательские разрешения. Различные
подходы используются для определения паролей:
o
Trojan horse. Программа которая используется для записывания
пользовательских паролей и затем делает их доступными для нарушителя.
o
Packet capture. Программа ловли пакетов может ловить пакеты,
которые видит сетевая карта компьютера. Поэтому, если пароль посылается
открытым текстом, эти программы могут прочитать пароль.
o
Keylogger. Keylogger это программа которая запускается в
фоновом режиме на компьютере. После того как пользователь вводит свои
логин и пароль, она хранит их в логах, нарушитель затем копирует этои логи
и узнает пароль.
o
Brute
force.
Brute-force
атака
подразумевает
перебор
всевозможных паролей пока совпадение не будет найдено. Например, bruteforce атака может начинаться с буквы a и заканчиваться буквой z.
Использование паролей со специальными символами и цифрами могут
избежать взлома пароля brute-force атакой.
o
Dictionary attack. Dictionary attack похожа на атаку brute-force, но
здесь для перебора используются часто употребляемые слова из словаря.

Botnet. Программный “робот” на машине, которая может
контролироваться удаленно (например, Троянский конь, или задняя дверь в
системе). Если набор компьютеров инфицирован этими программным
роботами, называемыми “bots”, этот набор компьютеров (каждый из кторых
называется зомби) известен как “botnet”. Из за потенциального большого
размера такой сети, может быть подорвана целостность большого количества
информации.

Hijacking a session. Перехват сессии (например, завершение
третьего шага процесса three-way TCP handshake между авторизированным
клиентом и защищенным сервером) . Если нарушитель перехватил сессию
авторизирующего устройства, он может манипулировать информацией
защищеного сервера.
1.2.3. Атаки на доступность
Атаки
на
функционирование
доступность
системы.
пытаются
Например,
ограничить
если
доступность
нарушитель
и
займет
процессорные ресурсы или ресурсы памяти на целевой системе, эта система
будет недоступна для легитимных пользователей.
Нарушители могут использовать следующие атаки на доступность:

Denial of service (DoS). Нарушитель может начать атаку
блокирования сервиса на систему с помощью отправления этой системе
множество запросов, которые займут ресурсы этой системы. Еще некоторые
операционные системы и приложения могут рушиться, если получат
специфическую строку, нарушитель может использовать данные уязвимости
для нарушения работы всей системы. Нарушиители часто используют IP
spoofing чтобы спрятать свой IP адресс при проведении DoS атаки как
показано на рис.3.
Рис.3.DoS атака

Distributed denial of service (DDoS). DDoS атаки могут увеличить
количество траффика, наводняющего целевую систему. В особенности, если
нарушитель скомпрометировал несколько систем. Нарушитель может
заставить
эти
скомпрометированные
системы,
называемые
“зомби”
одновременно начать DDoS атаку на целевую систему.

TCP SYN flood. Инициализация большого числа ТСР-соединений
с ложным IP адресом с некоторым портом без завершения процесса
инициализации, в результате чего легальные пользователи не имеют
возможности открыть новое соединение. Такая атака изображена на рис.4.
Рис.4.TCP SYN flood атака

ICMP attacks. Многие сети разрешают ICMP трафик, потому что
это полезно для устранения неполадок в сети (например, команда ping), но
нарушители могут использовать это для проведения DoS атак. Один из
вариантов ICMP DoS атаки называется “ping of death”, она использует пакеты
слишком большого размера. Другой вариант это посылать ICMP трафик
фрагментарно, чтобы переполнить фрагментарные буферы на целевой
системе. Также существует “smurf” атака она посылает большое число
запросов ICMP Echo Request по широковещательному адресу, указывая в
качестве адреса отправителя адрес "узла-жертвы". Когда пакет с запросом
отклика достигает сети назначения, все узлы сети посылают пакеты ICMP
Echo Reply (ответ на запрос отклика ICMP) по фальсифицированному адресу.
При этом каждый запрос порождает множество ответов. Генерируемый
поток сообщений в адрес соответствующего узла создает перегрузку
вычислительных ресурсов и может вызвать прекращение работы всей
системы. На рис.5. показана “smurf” атака.
Рис.5.Smurf атака

Electrical disturbances. На физическом уровне нарушитель может
начать атаку на доступность с помощью прерывания или нарушения
электроснабжения
системы.
Например,
если
нарушитель
получил
физический доступ к дата-центру, он может сделать следующие действия,
нарушающие электорснабжение.
o
Power
spike.
Нарушение
питания
системы
на
короткий
промежуток времени.
o
Electrical
surge.
Нарушение
продолжительный промежуток времени.
питания
системы
на
o
Power fault. Кратковременная утечка энергии.
o
Blackout. Продолжительная утечка энергии.
o
Power sag. Кратковременное падение напряжения.
o
Brownout. Продолжительное падение напряжения.
Для противостояния этим электрическим угрозам Cisco рекомендует
подключать
ваши
стратегически
важные
устройства
к
блокам
бесперебойного питания (UPS) и проводить тесты этих блоков.

Attacks on a system’s physical environment. Нарушитель также
может намеренно испортить оборудоване, с помощью условий внешней
среды. Например, нарушитель может манипулировать такими факторами
внешней среды как:
o
Temperature. Из-за того, что компьютерное оборудование
вырабатывает
тепло,
нарушитель
может
вмешаться
в
систему
кондиционирования, и оборудование может перегреться.
o
Humidity. Нарушитель может причинить ущерб компьютерному
оборудованию, повысив влажность в помещении.
o
Gas. Так как газ может легко воспламенятся, нарушитель может
использовать газ для возникновения пожара в помещении с оборудованием.
Некоторые рекомендации для предотвращения такого вида угроз:
o
Помещения с оборудованием должны быть закрыты.
o
Доступ должен быть по верительным данным (например
магнитные карты, сканирование отпечатков пальцев)
o
Точка
доступа
должна
визуально
наблюдаться(например
видеокамерой)
o
Климат-контроль должен наблюдать за состоянием температуры
и влажности и подавать сигнал тревоги при изменениях режима.
o
Должна присутствовать пожарная сигнализация.
1.3.
Политика защиты
При анализе политики зашиты сети и средств реализации ее директив,
необходимо выяснить стоимость ее реализации и поддержки, а затем
сравнить планируемые расходы с потенциальными преимуществами,
получаемыми в результате внедрения такой политики. Нужно оценить объем
ресурсов, как человеческих, так и денежных, необходимых для реализации
политики защиты, и сравнить их с риском нарушения системы защиты, как
схематически показано на рис.6. Инвестиции в дело защиты сети должны
быть оправданы в сравнении с потенциальными экономическими потерями
из-за возможных брешей в системе защиты.
Рис.6.Сравнение потерь от нарушений защиты с затратами на построение
и содержание системы защиты
1.3.1. Цикл защиты
Специалисты Cisco разработали цикл защиты (соответствующая
диаграмма показана на рис.7.), чтобы формализовать процесс внедрения и
использования средств защиты сети. Процесс, изображаемый диаграммой,
называется оценкой состояния защиты. Он представляет собой постоянные
циклично повторяющиеся мероприятия компании, направленные на защиту
ее жизненно важных активов при наименьших затратах, позволяющих
снизить риск потерь до приемлемого уровня.
Рис.7.Цикл защиты, иллюстрирующий процесс, который должен
поддерживаться предприятием в рамках реализации системы защиты.
Указанный цикл включает следующие четыре фазы.

Защита.
На
этой
стадии
организации
обычно
начинают
применение технологий защиты (например, брандмауэров и систем
аутентификации), повышающих степень защиты сети.

Мониторинг. Наблюдение за активностью (как внешней, так и
внутренней) в критических точках доступа к сети.

Тестирование. Проверка того, что меры защиты являются
достаточными для успешного противостояния различным хакерским атакам.

Совершенствование. Внедрение новых и обновление имеющихся
средств защиты.
2.
ПРАКТИЧЕСКАЯ ЧАСТЬ
Ниже представлены лабораторные работы, предлагаемые для обучения
студентов специальностей «Компьютерная Безопасность» и «Комплексное
Обеспечение Информационной Безопасности Автоматизированных Систем»
по предмету «Системы и Сети Передачи Информации».
Данный сборник охватывает следующие темы:
 Безопасный удаленный доступ к активному оборудованию Cisco;
 Ведение журнала событий;
 Конфигурирование AAA и RADIUS сервера;
 Листы доступа ACL;
 Настройка CBAC;
 Настройка ZPF;
 Безопасность 2-го уровня модели OSI;
 Конфигурирование IPSec VPN.
Лабораторная работа №1. Сконфигурируйте маршрутизаторы Cisco
для Syslog, NTP, и SSH доступа.
Схема топологии:
Таблица адресации:
Устройс
тво
R1
R2
R3
PC-A
PC-B
PC-C
Интерфейс
IP Адрес
Маска подсети
FA0/1
S0/0/0 (DCE) 10.1.1.1
S0/0/0
S0/0/1 (DCE) 10.2.2.2
FA0/1
S0/0/1
NIC
NIC
NIC
192.168.1.1
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.0
255.255.255.0
10.1.1.2
192.168.3.1
10.2.2.1
192.168.1.5
192.168.1.6
192.168.3.5
Шлюз по
Порт
умолчанию коммутатора
N/A
S1 FA0/5
N/A
N/A
N/A
N/A
N/A
N/A
N/A
S3 FA0/5
N/A
N/A
192.168.1.1
S1 FA0/6
192.168.1.1
S2 FA0/18
192.168.3.1
S3 FA0/6
Цели лабораторной работы:

Сконфигурируйте маршрутизаторы как клиенты NTP;

Сконфигурируйте маршрутизаторы, чтобы обновить аппаратные
часы, используя NTP;

Сконфигурируйте маршрутизаторы для журналирования на
сервере системного журнала. (syslog сервер);

Сконфигурируйте
маршрутизаторы,
чтобы
добавить
метку
времени к логам журнала;

Сконфигурируйте локальных пользователей;

Сконфигурируйте линии VTY, чтобы принять только SSH
соединения;

Сконфигурируйте ключевую пару RSA на сервере SSH;

Проверьте связь SSH от клиента PC и клиента маршрутизатора.
Введение
Сетевая
топология
показывает
три
маршрутизатора.
Вы
сконфигурируете NTP и Syslog на всех маршрутизаторах, сконфигурируете
SSH на R3.
Сетевой Протокол Времени (NTP) позволяет маршрутизаторам в сети
синхронизировать свои настройки времени с NTP сервером. Группа NTPклиентов, которая получает информацию о времени и дате из единственного
источника,
имеет
менее
противоречивые
настройки
времени,
а
сгенерированные логи Syslog могут быть легче проанализированы. Это
может помочь при поиске и устранении неисправностей сети и атаках на нее.
Когда NTP реализуется в сети, он может быть настроен так, чтобы
синхронизироваться с личным тактовым генератором (master clock) или с
публично доступным сервером NTP в Интернете.
Сервер NTP – это основной сервер NTP в этой работе. Вы
сконфигурируете маршрутизаторы, чтобы позволить часам программного
обеспечения синхронизироваться по NTP с сервером времени. Кроме того,
вы сконфигурируете маршрутизаторы так, чтобы периодически обновлять
аппаратные часы согласно времени, полученному из NTP. Иначе, аппаратные
часы будут иметь тенденцию постепенно спешить или отставать по времени
(дрейфовать), и часы софта и аппаратные часы будут терять синхронизацию
друг с другом.
Сервер Syslog обеспечит журналирование в этой работе. Вы
сконфигурируете маршрутизаторы, чтобы идентифицировать удаленный
хост (сервер Syslog), который получит логи для журнала.
Вы должны будете сконфигурировать службу метки времени для
отправки логов на маршрутизаторы. Отображение корректного времени и
даты в логах Syslog жизненно важно при использовании Syslog для
мониторинга сети. Если корректные время и дата сообщения неизвестны,
возможно, будет трудно определить, какое сетевое событие вызвало
сообщение.
R2 – это ISP, соединенный с двумя удаленными сетями: R1 и R3. На R3
локальный администратор может выполнить большинство конфигураций
маршрутизатора и максимально устранить неисправности; однако, так как R3
- управляемый маршрутизатор, ISP нуждается в доступе к R3 для случайного
поиска неисправностей или обновлений. Чтобы обеспечить этот доступ
безопасным способом, администраторы согласованы для использования
Secure Shell (SSH).
Вы
используете
CLI,
чтобы
сконфигурировать
маршрутизатор,
который будет безопасно управляем, используя SSH вместо Telnet. SSH – это
сетевой протокол, который устанавливает безопасное соединение эмуляции
терминала с маршрутизатором или другим сетевым устройством. SSH
шифрует всю информацию, которая передается по сетевой ссылке и
обеспечивает аутентификацию удаленного компьютера.
Среди специалистов по сетевым технологиям SSH быстро вытесняет
Telnet в качестве удаленного инструмента для входа в систему.
Серверы были предварительно сконфигурированы для служб NTP и
Syslog
соответственно.
NTP
не
будет
требовать
аутентификации.
Маршрутизаторы были предварительно сконфигурированы следующим
образом:



Пароль включения: ciscoenpa55
Пароль для линий vty: ciscovtypa55
Статическая маршрутизация
Задача 1: Сконфигурируйте маршрутизаторы как клиенты NTP.
Шаг 1. Тестовая Связь.




Пинг от PC-C до R3
Пинг от R2 до R3
Telnet от PC-C до R3
Telnet от R2 до R3
Шаг 2. Сконфигурируйте R1, R2 и R3 как клиенты NTP.
Проверьте клиентскую конфигурацию, используя команду show ntp
status.
Шаг
3.
Сконфигурируйте
маршрутизаторы,
чтобы
обновить
аппаратные часы. Сконфигурируйте R1, R2 и R3, чтобы периодически
обновлять аппаратные часы по времени, полученному из NTP. Убедитесь,
что аппаратные часы были обновлены, используя команду show clock.
Шаг 4. Сконфигурируйте маршрутизаторы, чтобы добавить метку
времени к логам журнала.
Шаг 5. Сконфигурируйте службу метки времени для отправки логов на
маршрутизаторы.
Задача 2: Сконфигурируйте маршрутизаторы для журналирования
на сервере Syslog.
Шаг 1. Сконфигурируйте маршрутизаторы, чтобы идентифицировать
удаленный
хост
(сервер
Syslog),
который
получит
логи.
Консоль
маршрутизатора отобразит сообщение, что журналирование началось.
Шаг 2. Проверьте конфигурацию журналирования, используя команду
show logging.
Шаг 3. Исследуйте журналы сервера Syslog.
Во вкладке Config диалогового окна сервера Syslog нажмите кнопку
Syslog services. Наблюдайте, за журналированием сообщений полученных от
маршрутизаторов.
Примечание: Сообщения журнала могут быть сгенерированы на
сервере выполнением команд на маршрутизаторе. Например, вход и выход из
глобального
режима
конфигурации
сгенерируют
информационное
сообщение конфигурации.
Задача 3: Сконфигурируйте R3 для поддержки соединений SSH.
Шаг 1. Сконфигурируйте доменное имя.
Сконфигурируйте доменное имя ccnasecurity.com на R3.
Шаг 2. Сконфигурируйте пользователей для входа в систему через
клиент SSH на R3. Создайте идентификатор пользователя SSHadmin с
максимально возможным уровнем полномочий и секретным паролем
ciscosshpa55.
Шаг 3. Сконфигурируйте входящие линии VTY на R3.
Используйте
локальные
учетные
записи
пользователя
для
обязательного входа в систему и проверки допустимости. Допускайте только
соединения SSH.
Шаг 4. Сотрите существующие ключевые пары на R3.
Любые существующие пары ключа RSA должны быть стерты на
маршрутизаторе.
Примечание: Если никаких ключей не существует, вы должны
получить сообщение:
%No Signature RSA Keys found in configuration.
Шаг 5. Сгенерируйте пару ключа шифрования RSA для R3.
Маршрутизатор использует пару ключа RSA для аутентификации и
шифрования переданных данных SSH. Сконфигурируйте RSA ключи с
модулем 1024. Значение по умолчанию 512, с диапазоном от 360 до 2048.
R3(config)# crypto key generate rsa [Enter]
The name for the keys will be: R3.ccnasecurity.com
Choose the size of the key modulus in the range of 360 to
2048 for your
General Purpose Keys. Choosing a key modulus greater than
512 may take
a few minutes.
How many bits in the modulus [512]:1024
% Generating 1024 bit RSA keys, keys will be nonexportable...[OK]
Примечание: Команда для генерирования пар ключа шифрования RSA
для R3 в Packet Tracer отличается от тех, что используются в работе.
Шаг 6. Проверьте конфигурацию SSH.
Используйте команду show ip ssh, чтобы видеть текущие настройки.
Проверьте что тайм-аут аутентификации и повторения находятся в своих
значениях по умолчанию 120 и 3.
Шаг
7.
Сконфигурируйте
тайм-ауты
SSH
и
параметры
аутентификации.
Тайм-ауты SSH по умолчанию и параметры аутентификации могут
быть изменены, чтобы быть более ограничивающими. Установите тайм-аут в
90 секунд, число повторений аутентификации - 2, и версию в значение 2.
Запустите команду show ip ssh снова, чтобы подтвердить, что значения
были изменены.
Шаг 8. Попытайтесь соединиться с R3 через Telnet от PC-C.
Откройте Рабочий стол PC-C. Выберите значок Command Prompt.
Введите команду от PC-C, чтобы соединиться с R3 через Telnet.
PC> telnet 192.168.3.1
Эта связь должна прерваться, так как R3 был сконфигурирован так,
чтобы принимать только соединения SSH на виртуальных линиях терминала.
Шаг 9. Соединитесь с R3, используя SSH на PC-C.
Откройте Рабочий стол PC-C. Выберите значок Command Prompt.
Введите команду от PC-C, чтобы соединиться с R3 через SSH. Когда будет
запрошен пароль, введите пароль, сконфигурированный для администратора:
ciscosshpa55.
PC> ssh-l SSHadmin 192.168.3.1
Шаг 10. Соединитесь с R3, используя SSH на R2.
Чтобы
диагностировать
администратор
в
ISP
должен
и
поддерживать
использовать
маршрутизатор
SSH
для
доступа
R3,
к
маршрутизатору CLI. От CLI на R2 введите команду, чтобы соединиться с R3
через SSH версии 2, используя учетную запись пользователя SSHadmin.
Когда будет запрошен пароль, введите пароль, сконфигурированный для
администратора: ciscosshpa55.
R2# ssh-v 2-l SSHadmin 10.2.2.1
Шаг 11. Проверьте результаты.
Ваш процент завершения должен составить 100 %. Щелкните по Check
Results, чтобы увидеть обратную связь и то, какие необходимые компоненты
были проверены.
Контрольные вопросы:
1.
Какую команду создания пароля для привилегированного режима
предпочтительнее использовать?
2.
С помощью какой команды можно зашифровать все
существующие и будущие пароли методом шифрования Cisco.
3.
Почему следует настроить протокол SSH для удаленного доступа
к маршрутизатору? С помощью какой команды?
4.
Зачем используются списки доступа для удаленного доступа?
5.
С помощью какой команды можно настроить привилегии для
пользователей и зачем это нужно?
6.
Для чего нужно ведение логов, с помощью каких команд это
осуществляется?
Лабораторная работа №2. Настройте AAA аутентификацию на
маршрутизаторах Cisco.
Схема топологии:
Таблица адресации:
Устройство
R1
R2
R3
TACACS+ Server
RADIUS Server
PC-A
PC-B
PC-C
Интерфейс
IP адрес
Маска подсети
Fa0/0
S0/0/0
S0/0/0
Fa0/0
S0/0/1
S0/0/1
Fa0/0
NIC
NIC
NIC
NIC
NIC
192.168.1.1
10.1.1.2
10.1.1.1
192.168.2.1
10.2.2.1
10.2.2.2
192.168.3.1
192.168.2.2
192.168.3.2
192.168.1.3
192.168.2.3
192.168.3.3
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
Цели лабораторной работы:

Сконфигурируйте локальную учетную запись пользователя на R1
и пройдите аутентификацию на консоли и линиях VTY, используя
локальный AAA.

Проверьте локальную AAA-аутентификацию от консоли R1 и PC-
A клиента.

TACACS+.
Сконфигурируйте серверную AAA-аутентификацию, используя

Проверьте серверную AAA-аутентификацию от PCB клиента.

Сконфигурируйте серверную AAA-аутентификацию, используя
RADIUS.

Проверьте серверную AAA-аутентификацию от PC-C клиента.
Введение
Сетевая топология показывает маршрутизаторы R1, R2 и R3. В
настоящий момент вся административная безопасность основана на знании
секретного пароля включения. Ваша задача состоит в том, чтобы
сконфигурировать и протестировать локальные и серверные решения AAA.
Вы
создадите
сконфигурируете
локальную
локальный
AAA
учетную
на
запись
пользователя
маршрутизаторе
R1,
и
чтобы
протестировать входы в систему VTY и консоль.

Учетная запись пользователя: Admin1 и пароль admin1pa55
Затем вы сконфигурируете маршрутизатор R2, чтобы поддерживать
серверную аутентификацию, используя протокол TACACS+.
Сервер TACACS+ был предварительно сконфигурирован следующим
образом:

Клиент: R2 использует ключевое слово tacacspa55

Учетная запись пользователя: Admin2 и пароль admin2pa55
Наконец, Вы сконфигурируете маршрутизатор R3, чтобы поддерживать
серверную аутентификацию, используя протокол RADIUS. Сервер RADIUS
был предварительно сконфигурирован следующим образом:

Клиент: R3 использует ключевое слово radiuspa55

Учетная запись пользователя: Admin3 и пароль admin3pa55
Маршрутизаторы были также предварительно сконфигурированы
следующим образом:

Включите секретный пароль: ciscoenpa55

RIP версии 2
Примечание: Консоль и линии VTY не были предварительно
сконфигурированы.
Задача 1: Сконфигурируйте локальную AAA-аутентификацию для
доступа к консоли на R1
Шаг 1. Тестовая связь.



Ping от PC-A до PC-B.
Ping от PC-A до PC-C.
Ping от PC-B до PC-C.
Шаг 2. Сконфигурируйте локальное имя пользователя на R1.
Сконфигурируйте имя пользователя Admin1 и секретный пароль
admin1pa55.
Шаг 3. Сконфигурируйте локальную AAA-аутентификацию для
доступа к консоли на R1.
Включите AAA на R1 и сконфигурируйте AAA-аутентификацию для
входа в консоль, чтобы использовать локальную базу данных.
Шаг 4. Сконфигурируйте консольные линии, чтобы использовать
определенный метод AAA-аутентификации.
Включите AAA на R1 и сконфигурируйте AAA-аутентификацию для
входа в консоль, чтобы использовать список методов по умолчанию.
Шаг 5. Проверьте метод AAA-аутентификации.
Проверьте вход в систему пользователя EXEC, используя локальную
базу данных.
Задача 2: Сконфигурируйте локальную AAA-аутентификацию для
линий VTY на R1
Шаг 1. Сконфигурируйте именованный список методов AAAаутентификации для линий VTY на R1.
Сконфигурируйте именованный список под названием TELNETLOGIN, чтобы аутентифицировать входы в систему, используя локальный
AAA.
Шаг
2.
Сконфигурируйте
линии
определенный метод AAA-аутентификации.
VTY,
чтобы
использовать
Сконфигурируйте линии VTY, чтобы использовать именованный AAA
метод.
Шаг 3. Проверьте метод AAA-аутентификации.
Проверьте конфигурацию Telnet. В командной строке на PC-A, начните
сеанс Telnet к R1.
Задача 3: Сконфигурируйте серверную AAA-аутентификацию,
используя TACACS+ на R2
Шаг 1. Сконфигурируйте резервную локальную запись базы данных
под названием Admin.
В резервных целях сконфигурируйте локальное имя пользователя
Admin и секретный пароль adminpa55.
Шаг 2. Проверьте конфигурацию TACACS+ сервера.
Выберите TACACS+ сервер. На вкладке Config щелкните по AAA и
заметьте,
что
есть
запись
Конфигурации
сети
для
R2
и
запись
Пользовательской установки для Admin2.
Шаг 3. Сконфигурируйте специфические особенности TACACS+
сервера на R2.
Сконфигурируйте IP-адрес сервера AAA TACACS и секретный ключ
на R2.
Шаг 4. Сконфигурируйте AAA аутентификацию входа в систему для
входа в консоль на R2.
Включите AAA на R2 и сконфигурируйте все входы в систему, чтобы
запускать аутентификацию, используя AAA TACACS+ сервер, а если это
невозможно, то использовать локальную базу данных.
Шаг 5. Сконфигурируйте консольные линии, чтобы использовать
определенный метод AAA-аутентификации.
Сконфигурируйте AAA-аутентификацию для входа в консоль, чтобы
использовать метод AAA-аутентификации по умолчанию.
Шаг 6. Проверьте метод AAA-аутентификации.
Проверьте вход в систему пользователя EXEC, используя AAA
TACACS+ сервер.
Задача 4: Сконфигурируйте серверную AAA-аутентификацию
используя RADIUS на R3
Шаг 1. Сконфигурируйте резервную локальную запись базы данных
под названием Admin.
В резервных целях сконфигурируйте локальное имя пользователя
Admin и секретный пароль adminpa55.
Шаг 2. Проверьте конфигурацию сервера RADIUS.
Выберите сервер RADIUS. Во вкладке Config щелкните по AAA и
заметьте, что есть запись Сетевой конфигурации для R3 и запись
Пользовательской Установки для Admin3.
Шаг
3.
Сконфигурируйте
специфические
особенности
сервера
RADIUS R3.
Сконфигурируйте IP-адрес сервера RADIUS AAA и секретный ключ на
R3.
Шаг 4. Сконфигурируйте AAA аутентификацию входа в систему для
входа в консоль на R3.
Включите AAA на R3 и сконфигурируйте все входы в систему, чтобы
запускать аутентификацию, используя AAA RADIUS сервер, а если это
невозможно, то использовать локальную базу данных.
Шаг 5. Сконфигурируйте консольные линии, чтобы использовать
определенный метод AAA-аутентификации.
Сконфигурируйте AAA-аутентификацию для входа в консоль, чтобы
использовать метод AAA-аутентификации по умолчанию.
Шаг 6. Проверьте метод AAA-аутентификации.
Проверьте вход в систему пользователя EXEC, используя AAA
TACACS+ сервер.
Шаг 7. Проверьте результаты.
Ваш процент завершения должен составить 100 %. Щелкните по Check
Results, чтобы увидеть обратную связь и то, какие необходимые компоненты
были проверены.
Контрольные вопросы:
1.
Для чего нужно настраивать сервисы ААА на маршрутизаторе?
2.
Как глобально активизировать ААА?
3.
С помощью каких команд настраивается аутентификация ААА, и
как её применить на различные линии маршрутизатора?
4.
Как создать профили аутентификации?
5.
Каким
образом
маршрутизаторе?
настраивается
авторизация
ААА
на
Лабораторная работа №3. Настройка IP ACL для снижения опасности
атак.
Схема топологии:
Таблица адресации:
Устройство
R1
R2
R3
PC-A
PC-C
Интерфейс
IP адрес
Маска подсети
Fa0/1
S0/0/0 (DCE)
S0/0/0
S0/0/1(DCE)
Lo0
Fa0/1
S0/0/1
NIC
NIC
192.168.1.1
10.1.1.1
10.1.1.2
10.2.2.2
192.168.2.1
192.168.3.1
10.2.2.1
192.168.1.3
192.168.3.3
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.0
Шлюз по
умолчанию
N/A
N/A
N/A
N/A
N/A
N/A
N/A
192.168.1.1
192.168.3.1
Цели лабораторной работы:

Проверьте
подключение
между
устройствами
до
конфигурирования брандмауэра.

Используйте ACL для обеспечения удаленного доступа к
маршрутизаторам, который возможен только со станции управления PC-C.

Настройте ACL на R1 и R3, чтобы снизить опасность атак.

Проверьте функциональность ACL.
Введение
Доступ к маршрутизаторам R1, R2, и R3 должен быть разрешен только
от станции управления PC-C. PC-C также используется для тестирования
связи с PC-A, обеспечения сервера DNS, SMTP, FTP, и HTTPS службами.
Стандартный режим работы должен применить ACL на пограничных
маршрутизаторах, чтобы снизить общие угрозы, направленные на источник
и/или целевой IP-адрес.
В этом действии вы создаете ACL на пограничных маршрутизаторах
R1
и
R3,
чтобы
достигнуть
этой
цели.
Затем
вы
проверяете
функциональность ACL с внутренних и внешних узлов.
Маршрутизаторы были предварительно сконфигурированы следующим
образом:

Пароль включения: ciscoenpa55

Пароль для консоли: ciscoconpa55

Имя пользователя для линий VTY: SSHadmin

Пароль для линий VTY: ciscosshpa55

Адресация IP

Статическая маршрутизация
Задача 1: Проверьте основную сетевую связь. Проверьте сетевую
связь до конфигурирования IP ACLs.
Шаг 1. С помощью командной строки PC-C проверьте ping до сервера
PC-A.
Шаг 2. С помощью командной строки PC-C, проверьте SSH к
интерфейсу Lo0 маршрутизатора R2. Выйдите из сеанса SSH.
Шаг 3. На PC-C, откройте веб-браузер, чтобы отобразить веб-страницу
с сервера PC-A. Закройте браузер на PC-C.
Шаг 4. С помощью командной строки сервера PC-A проверьте ping до
PC-C.
Задача 2: Безопасный Доступ к Маршрутизаторам
Шаг 1. Сконфигурируйте ACL 10, чтобы блокировать весь удаленный
доступ к маршрутизаторам, кроме доступа от PC-C.
Используйте команду access-list, чтобы создать пронумерованный ACL
IP на R1, R2, и R3.
Шаг 2. Примените ACL 10 к входному трафику на линиях VTY.
Используйте команду access-class, чтобы применить список доступа к
входящему трафику на линиях VTY.
Шаг 3. Проверьте эксклюзивный доступ от станции управления PC-C.
SSH к 192.168.2.1 от PC-C (должно быть успешным). SSH к 192.168.2.1
от PC-A (не должен работать).
Задача 3: Создайте пронумерованный ACL IP 100
На R3 блокируйте все пакеты, содержащие исходный IP-адрес от
следующего пула адресов: 127.0.0.0/8, любые частные адреса RFC 1918, и
любой многоадресный адрес IP.
Шаг 1. Сконфигурируйте ACL 100, чтобы блокировать весь указанный
трафик от внешней сети.
Следует также блокировать трафик, полученный от источника из
вашего собственного внутреннего адресного пространства, если это не адрес
RFC 1918 (в этом задании, ваше внутреннее адресное пространство - часть
частного адресного пространства, определенного в RFC 1918).
Используйте команду access-list, чтобы создать пронумерованный ACL
IP.
Шаг 2. Примените ACL к интерфейсу Serial 0/0/1.
Используйте команду ip access-group, чтобы применить список
доступа к входящему трафику на интерфейсe Serial 0/0/1.
Шаг 3. Подтвердите, что указанный трафик, входящий в интерфейс
Serial 0/0/1, отбрасывается.
В командной строке PC-C проверьте с помощью ping-запросов сервер
PC-A. Эхо-ответы ICMP блокируются ACL с тех пор, как они получаются
от адресного пространства 192.168.0.0/16.
Шаг 4. Удалите ACL из интерфейса Serial 0/0/1.
Удалите ACL. Иначе, весь трафик от внешней сети (адресуемый к
частным исходным IP-адресам) будет отрицаться.
Используйте команду no ip access-group, чтобы удалить список
доступа из интерфейса Serial 0/0/1.
Задача 4: Создайте пронумерованный ACL IP 110
Отрицайте все исходящие пакеты с исходным адресом вне диапазона
внутренних IP-адресов.
Шаг 1. Сконфигурируйте ACL 110, чтобы разрешить трафик только от
внутренней сети.
Используйте команду access-list, чтобы создать пронумерованный ACL
IP.
Шаг 2. Примените ACL к интерфейсу F0/1.
Используйте команду ip access-group, чтобы применить список
доступа к входящему трафику на интерфейсе F0/1.
Задача 5: Создайте пронумерованный ACL IP 120
Разрешите любому внешнему узлу доступ к DNS, SMTP и FTP
службам на сервере PC-A, запретите доступ любых внешних узлов к службам
HTTPS на PC-A, и разрешите PC-C доступ к R1 через SSH.
Шаг 1. Проверьте, что PC-C может получить доступ к PC-A через
HTTPS, используя веб-браузер.
Убедитесь, что отключили HTTP и включили HTTPS на сервере PC-A.
Шаг 2. Сконфигурируйте ACL 120, чтобы отдельно разрешать и
запрещать указанный трафик.
Используйте команду access-list, чтобы создать пронумерованный ACL
IP.
Шаг 3. Примените ACL к интерфейсу S0/0/0.
Используйте команду ip access-group, чтобы применить список
доступа к входящему трафику в интерфейсе S0/0/0.
Шаг 4. Проверьте, что PC-C не может получить доступ к PC-A через
HTTP, используя веб-браузер.
Задача 6: Измените существующий ACL
Разрешите эхо-ответы ICMP и место назначения недоставленных
сообщений от внешней сети (относительно R1); запретите все другие
входящие пакеты ICMP.
Шаг 1. Проверьте, что PC-A не может успешно проверить с помощью
ping-запросов петлевой интерфейс на R2.
Шаг 2. Измените ACL 120, чтобы разрешать и запрещать указанный
трафик.
Используйте команду access-list, чтобы создать пронумерованный ACL
IP.
Шаг 3. Проверьте, что PC-A может успешно проверить с помощью
ping-запросов петлевой интерфейс на R2.
Шаг 4. Проверьте результаты.
Ваш процент завершения должен составить 100 %. Щелкните по Check
Results, чтобы увидеть обратную связь и то, какие необходимые компоненты
были проверены.
Контрольные вопросы:
1.
Что такое ACL?
2.
Где применяются ACL?
3.
Как роутер обрабатывает элементы ACL?
4.
Как ACL применить к интерфейсу и затем его отменить?
5.
Чем отличается входной ACL от выходного?
6.
Где в сети рекомендуется размещать ACL ?
Лабораторная работа №4. Конфигурирование Context-Based Access
Control (CBAC)
Схема топологии:
Таблица адресации:
Устройство Интерфейс
R1
R2
R3
PC-A
PC-C
Fa0/1
S0/0/0
S0/0/0
S0/0/1
Fa0/1
S0/0/1
NIC
NIC
IP адрес
Маска подсети
192.168.1.1
10.1.1.1
10.1.1.2
10.2.2.2
192.168.3.1
10.2.2.1
192.168.1.3
192.168.3.3
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.0
Шлюз по
умолчанию
N/A
N/A
N/A
N/A
N/A
N/A
192.168.1.1
192.168.3.1
Цели лабораторной работы:

Проверьте возможность соединения среди устройств перед
конфигурацией брандмауэра.

Сконфигурируйте брандмауэр IOS с CBAC на маршрутизаторе

Проверьте функциональность CBAC, используя ping, Telnet, и
R3
HTTP.
Введение
Context-Based Access Control (CBAC) используется, чтобы создать
брандмауэр IOS. В этом задании вы создадите основную конфигурацию
CBAC на пограничном маршрутизаторе R3. R3 обеспечивает доступ к
ресурсам за пределами сети для узлов внутри сети. R3 блокирует внешние
узлы от доступа к внутренним ресурсам. После того, как конфигурация
выполнена, вы проверите функциональность брандмауэра с внутренних и
внешних узлов.
Маршрутизаторы были предварительно сконфигурированы следующим
образом:

Пароль включения: ciscoenpa55

Пароль для консоли: ciscoconpa55

Пароль для линий vty: ciscovtypa55

Адресация IP

Статическая маршрутизация

Все порты коммутатора находятся в VLAN 1 для коммутаторов
S1 и S3.
Задача 1: Блокировка трафика извне
Шаг 1. Проверьте основную сетевую связь.
Проверьте сетевую связь до конфигурирования брандмауэра IOS.
В командной строке PC-C проверьте с помощью ping-запросов сервер
PC-A.
В командной строке PC-C, откройте сеанс Telnet к интерфейсу S0/0/1
маршрутизатора R2: IP-адрес 10.2.2.2. Выйдите из сеанса Telnet.
На PC-C откройте веб-браузер чтобы отобразить веб-страницу с
сервера PC-A. Закройте браузер на PC-C.
В командной строке сервера PC-A проверьте с помощью ping-запросов
PC-C.
Шаг 2. Сконфигурируйте именованный ACL IP на R3, чтобы
блокировать весь трафик, производимый вне сети.
Используйте
команду
ip
access-list
extended,
именованный ACL IP.
Шаг 3. Примените ACL к интерфейсу S0/0/1.
чтобы
создать
Шаг 4. Подтвердите, что трафик, вводимый в интерфейс S0/0/1,
отбрасывается.
В командной строке PC-C проверьте с помощью ping-запросов сервер
PC-A. Эхо-ответы ICMP блокируются ACL.
Задача 2: Создайте инспекционное правило CBAC
Шаг 1. Создайте инспекционное правило осмотра трафика ICMP,
Telnet и HTTP.
Шаг 2. Включите журналирование, к которому добавляют метку
времени, и сообщения контрольного журнала CBAC.
Используйте команду ip inspect audit-trail, чтобы включить сообщения
аудита CBAC для обеспечения записи доступа к сети через брандмауэр,
включая незаконные попытки доступа. Включите журналирование на syslogсервере,
192.168.1.3,
командой
logging.
Удостоверьтесь,
что
к
зарегистрированным сообщениям добавляют метку времени.
Шаг 3. Примените инспекционное правило к выходящему трафику в
интерфейсе S0/0/1.
Шаг
4.
Проверьте,
что
сообщения
контрольного
журнала
зарегистрированы в syslog-сервере.
На PC-C, протестируйте связь с PC-A через ping, Telnet, и HTTP. Все
тесты должны быть успешными. Помните, что PC-A отклонит сеанс Telnet.
На PC-A, протестируйте связь с PC-C через ping и Telnet. Оба должны
быть блокированы.
Рассмотрите сообщения syslog на сервере PC-A: щелкните по вкладке
Config и затем щелкните по опции SYSLOG
Задача 3: Проверьте Функциональность Брандмауэра
Шаг 1. Откройте сеанс Telnet от PC-C до R2.
Telnet должен успешно выполниться. В то время как сеанс Telnet
является активным, введите команду show ip inspect sessions на R3. Эта
команда отображает существующие сеансы, которые в настоящий момент
прослеживаются и осматриваются CBAC.
Каков исходный IP-адрес и номер порта?_______________________
Каков целевой IP-адрес и номер порта?____________________
Выйдите из сеанса Telnet.
Шаг 2. На PC-C, откройте веб-браузер к веб-странице сервера PC-A,
используя IP-адрес сервера.
Сеанс HTTP должен успешно выполниться. В то время как сеанс HTTP
является активным, введите команду show ip inspect sessions на R3.
R3# show inspect sessions ip
Каков исходный IP-адрес и номер порта?_______________________
Каков целевой IP-адрес и номер порта?_________________________
Закройте браузер на PC-C.
Шаг
3.
Просмотрите
конфигурацию
интерфейса
и
таймеры
инспекционных правил.
Введите команду show ip inspect interfaces на R3.
Вывод показывает существующие сеансы, которые в настоящий
момент прослеживаются и осматриваются CBAC.
Задача 4: Рассмотрите конфигурацию CBAC
Шаг 1. Выведите на экран конфигурацию CBAC.
Введите команду show ip inspect config на R3, чтобы отобразить
полную конфигурацию инспекции CBAC.
Шаг 2. Включите отображение в реальном времени, которое может
использоваться для диагностики.
Введите команду debug ip inspect detailed на R3, чтобы отобразить
детализированные сообщения о программных событиях CBAC, включая
информацию о пакетной обработке CBAC.
На PC-C откройте веб-браузер; введите IP-адрес PC-A (сервера):
192.168.1.3.
Шаг 3. Проверьте Результаты.
Ваш процент завершения должен составить 100 %. Щелкните по Check
Results, чтобы увидеть обратную связь и то, какие необходимые компоненты
были проверены.
Контрольный вопросы:
1.
Что такое CBAC?
2.
Где и когда следует применять CBAC?
3.
Какое правило инспектирования необходимо прописать, для
проверки FTP траффика?
4.
Для чего используется команда ip inspect audit-trail?
5.
Как просмотреть все отслеживаемые CBAC сеансы?
Лабораторная работа №5. Настройка Zone-Based Policy Firewall (ZPF)
Схема топологии:
Таблица адресации:
Устройство Интерфейс
Fa0/1
S0/0/0
S0/0/0
S0/0/1
Fa0/1
S0/0/1
NIC
NIC
R1
R2
R3
PC-A
PC-C
IP адрес
Маска подсети
192.168.1.1
10.1.1.1
10.1.1.2
10.2.2.2
192.168.3.1
10.2.2.1
192.168.1.3
192.168.3.3
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.0
Шлюз по
умолчанию
N/A
N/A
N/A
N/A
N/A
N/A
192.168.1.1
192.168.3.1
Цели лабораторной работы:

Проверьте
связь
среди
устройств
перед
конфигурацией
брандмауэра.

Сконфигурируйте
основанную
на
зоне
политику
(ZPF)
брандмауэра на маршрутизаторе R3

Проверьте функциональность брандмауэра ZPF, используя ping,
Telnet и веб-браузер.
Введение
Основанная на зоне политика (ZPF) брандмауэра является последним
достижением в развитии технологии брандмауэров Cisco. В этом задании вы
сконфигурируете основной ZPF на пограничном маршрутизаторе R3,
который дает доступ внутренним узлам к внешним ресурсам и блокирует
внешние узлы от доступа к внутренним ресурсам. Затем вы проверите
функциональность брандмауэра с внутренних и внешних узлов.
Маршрутизаторы были предварительно сконфигурированы следующим
образом:

Пароль для консоли: ciscoconpa55

Пароль для линий vty: ciscovtypa55

Пароль включения: ciscoenpa55

Имена хоста и IP адресация

Статическая маршрутизация
Задача 1: Проверьте основную сетевую связь
Проверьте сетевую связь до конфигурирования основанной на зоне
политики брандмауэра.
Шаг 1. В командной строке PC-A проверьте с помощью ping-запросов
PC-C в 192.168.3.3.
Шаг 2. В командной строке PC-C запустите сеанс Telnet к интерфейсу
S0/0/1 маршрутизатора R2 на 10.2.2.2. Выйдите из сеанса Telnet.
Шаг 3. На PC-C, откройте веб-браузер к серверу PC-A.
Щелкните по вкладке Desktop и щелкните по приложению Web
Browser. Введите IP-адрес PC-A 192.168.1.3 как URL. Начальная страница
PT 5.x должна быть отражена на веб-сервере.
Закройте браузер на PC-C.
Задача 2: Создайте Зоны Брандмауэра на Маршрутизаторе R3
Примечание:
Для
всех
задач
конфигурации
убедитесь,
что
использовали точные имена, как они были определены.
Шаг 1. Создайте внутреннюю зону.
Используйте команду zone security, чтобы создать зону под названием
IN-ZONE.
Шаг 2. Шаг 2. Создайте внешнюю зону.
Используйте команду zone security, чтобы создать зону под названием
OUT-ZONE.
Задача 3: Определите Список Класса и Доступа Трафика
Шаг 1. Создайте ACL, который определяет внутренний трафик.
Используйте команду access-list, для создания расширенного ACL 101,
чтобы разрешить все IP протоколы от 192.168.3.0/24 исходной сети к любому
месту назначения.
Шаг 2. Создайте карту классов, ссылающуюся на внутренний трафик
ACL.
Используйте команду class map type inspect с match-all опцией, чтобы
создать карту классов под названием IN-NETCLASS-MAP. Используйте
команду match access-group, чтобы соответствовать ACL 101.
Примечание: Хотя отдельные протоколы (HTTP, FTP, и т.д.) не
поддерживаются в этом упражнении по PT, они могут быть определенным
образом сопоставлены, используя опцию match-any, чтобы обеспечить более
точный контроль над тем, какой тип трафика проинспектирован.
Задача 4: Определите политику Брандмауэра
Шаг 1. Создайте карту политики, чтобы определить, что сделать с
соответствующим трафиком.
Используйте команду policy-map type inspect и создайте карту
политики под названием IN-2-OUT-PMAP.
Шаг 2. Укажите тип класса для инспектирования и сделайте отсылку к
карте классов IN-NET-CLASS-MAP.
Шаг 3. Укажите действие при инспекции для этой карты политики
Использование команды inspect вызывает основанное на окружении
управление доступом (другие опции включают передачу и отбрасывание).
R3(config-pmap-c)# inspect
%No specific protocol configured in class IN-NET-CLASS-MAP
for inspection. All protocols will be inspected.
Введите команду exit дважды, чтобы покинуть режим config-pmap-c и
возвратиться в режим config.
R3(config-pmap-c)# exit
R3(config-pmap)# exit
Задача 5: Примените политику брандмауэра
Шаг 1. Создайте пару зон.
Используя команду zone-pair security, создайте зональную пару под
названием IN-2-OUT-ZPAIR. Укажите источник и целевые зоны, которые
создавались в Задаче 1.
Шаг 2. Укажите карту политики для того, чтобы регулировать трафик
между двумя зонами.
Присоедините карту политики, и ассоциированные с ней действия к
зональной паре, используя команду service-policy type inspect и ссылку на
ранее созданную карту политики, IN-2-OUT-PMAP.
Шаг 3. Присвойте интерфейсы подходящим зонам безопасности.
Используйте команду zone-member security в режиме конфигурации
интерфейса, чтобы присвоить Fa0/1 IN-ZONE и S0/0/1 OUT-ZONE.
Шаг 4. Скопируйте рабочую конфигурацию в конфигурацию запуска.
Задача 6: Тест функциональности брандмауэра
от IN-ZONE в
OUT-ZONE
Проверьте, что внутренние узлы все еще могут получить доступ к
внешним ресурсам после конфигурирования основанной на зоне политики
брандмауэра.
Шаг 1. С внутреннего PC-C проверьте с помощью ping-запросов
внешний сервер PC-A.
В командной строке PC-C проверьте с помощью ping-запросов PC-A в
192.168.1.3.
Ping должен успешно выполниться.
Шаг 2. С внутреннего PC-C, начните сеанс Telnet к интерфейсу S0/0/1
маршрутизатора R2.
В командной строке PC-C, начните сеанс Telnet к R2 в 10.2.2.2 и
установите пароль vty ciscovtypa55. Сеанс Telnet должен успешно
выполниться. В то время как сеанс Telnet активен, введите команду show
policy-map type inspect zone-pair sessions на R3, чтобы просмотреть
установленные сеансы.
Каков исходный IP-адрес и номер порта?____________
Каков целевой IP-адрес и номер порта?________________
Шаг 3. С PC-C, выйдите из сеанса Telnet на R2 и закройте окно
Командной строки.
Шаг 4. С внутреннего PC-C откройте веб-браузер к веб-странице
сервера PC-A.
Введите IP-адрес 192.168.1.3 сервера в браузерной строке URL и
щелкните по Go. Сеанс HTTP должен успешно выполниться. В то время как
сеанс HTTP активен, введите команду show policy-map type inspect zone-pair
sessions для установленных сеансов на R3.
Каков исходный IP-адрес и номер порта?____________
Каков целевой IP-адрес и номер порта?____________
Шаг 5. Закройте Браузер на PC-C.
Задача 7: Тест функциональности брандмауэра от OUT-ZONE до
IN-ZONE
Проверьте, что внешние узлы НЕ МОГУТ обратиться к внутренним
ресурсам
после
конфигурирования
основанной
на
зоне
политики
брандмауэра.
Шаг 1. В командной строке сервера PC-A проверьте с помощью pingзапросов PC-C.
В командной строке сервера PC-A проверьте с помощью ping-запросов
PC-C в 192.168.3.3.
Ping не должен работать.
Шаг 2. С маршрутизатора R2 проверьте с помощью ping-запросов PCC.
С маршрутизатора R2 проверьте с помощью ping-запросов PC-C в
192.168.3.3. Ping не должен работать.
Контрольные вопросы:
1.
Что такое Zone-Based Policy Firewall?
2.
Какая характерная черта при настройки ZPF?
3.
Какой командой создаются пары зон?
4.
Что такое C3PL?
5.
Что такое policy-map?
6.
Как добавляются интерфейсы в зону?
Лабораторная
работа
№6.
Сконфигурируйте
Систему
Предотвращения Вторжений (IPS) IOS, используя CLI
Схема топологии:
Таблица адресации:
Устройство
R1
R2
R3
Syslog Server
PC-A
PC-C
Интерфейс
FA0/0
S0/0/0
S0/0/0 (DCE)
S0/0/1 (DCE)
FA0/0
S0/0/0
NIC
NIC
NIC
IP адрес
192.168.1.1
10.1.1.1
10.1.1.2
10.2.2.1
192.168.3.1
10.2.2.2
192.168.1.50
192.168.1.2
192.168.3.2
Маска подсети
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
Шлюз по умолчанию
N/A
N/A
N/A
N/A
N/A
N/A
192.168.1.1
192.168.1.1
192.168.3.1
Цели лабораторной работы:

Включите IPS IOS.

Сконфигурируйте журналирование.

Измените подпись IPS.

Проверьте IPS.
Введение
Ваша задача состоит в том, чтобы сконфигурировать маршрутизатор
R1 для IPS, с целью отсканировать трафик, входящий в сеть 192.168.1.0.
Сервер,
маркированный
зарегистрировать
сообщения
‘Сервер
IPS.
Syslog’,
используется,
Необходимо
чтобы
сконфигурировать
маршрутизатор, чтобы идентифицировать сервер syslog, с целью получить
сообщения журналирования. Отображение корректного времени и даты в
сообщениях syslog крайне важно при использовании syslog для контроля
сети. Установите часы и сконфигурируйте службу метки времени для
журналирования на маршрутизаторах. Наконец, позвольте IPS сообщать
предупреждения и отбрасывать встроенные пакеты эхо-ответов ICMP.
Сервер
и
Маршрутизаторы
PC
были
были
предварительно
также
сконфигурированы.
предварительно
сконфигурированы
следующим образом:

Пароль включения: ciscoenpa55

Пароль консоли: ciscoconpa55

Пароль линии VTY: ciscovtypa55

EIGRP 101
Задача 1: Включите IPS IOS
Примечание:
В
PT
маршрутизаторам
уже
импортировали
и
установили файлы подписи. Это xml-файлы по умолчанию во флэш-памяти.
Поэтому не обязательно конфигурировать публичный крипто-ключ и
выполнять ручной импорт файлов подписи.
Шаг 1. Проверьте сетевую связь.
Ping от PC-C до PC-A. Ping должен быть успешным.
Ping от PC-A до PC-C. Ping должен быть успешным.
Шаг 2. Создайте каталог конфигурации IPS IOS во флэш-памяти.
На R1 создайте каталог во флэш-памяти, используя команду mkdir .
Назовите каталог ipsdir.
Шаг 3. Сконфигурируйте расположение хранения подписи IPS.
На R1 сконфигурируйте расположение хранения подписи IPS, чтобы
это был каталог, который вы только что создали.
Шаг 4. Создайте правило IPS.
На R1 создайте имя правила IPS, используя команду ip ips name name в
глобальном режиме конфигурации. Назовите правило IPS iosips.
Шаг 5. Включите журналирование.
IPS IOS поддерживает использование syslog, чтобы отправить
уведомление о событии. Уведомление Syslog включено по умолчанию. Если
журналирование консоли включено, Вы видите IPS syslog сообщения.
Включите syslog, если он не включен.
Используйте команду clock set в привилегированном режиме EXEC,
чтобы сбросить часы при необходимости.
Проверьте, что служба метки времени включена для журналирования
на маршрутизаторе, используя команду show run . Включите службу метки
времени, если она не включена.
Отправьте
сообщения
журнала
серверу
Syslog
по
IP-адресу
192.168.1.50.
Шаг 6. Сконфигурируйте IPS IOS, чтобы использовать категории
подписи.
Удалите все категории подписи командой retired true (все подписи в
выпуске подписи).
Отмените удаление категории IOS_IPS Basic командой retired false.
Шаг 7. Примените правило IPS к интерфейсу.
Примените правило IPS к интерфейсу командой ip ips name direction в
режиме конфигурации интерфейса.
Примените правило, исходящее на интерфейс Fa0/0 на R1. После того,
как Вы включите IPS, некоторые сообщения журнала будут отправлены на
консольную строку, указывающую, что механизмы IPS инициализируются.
Примечание: Направление in значит, что IPS инспектирует только
входящий в интерфейс трафик. Точно так же out означает только выходящий
из интерфейса трафик.
Задача 2: Измените Подпись
Шаг 1. Измените действие события подписи.
Отмените удаление подписи эхо-запроса (подпись 2004, subsig ID 0),
включите ее и измените действие подписи на предупреждение и
отбрасывание.
Шаг 2. Используйте команды show, чтобы проверить IPS.
Используйте команду show ip ips all, чтобы видеть сводку состояния
конфигурации IPS.
К каким интерфейсам и в каком направлении применяется правило
iosips?
Шаг 3. Проверьте, что IPS работает должным образом.
C PC-C проверьте с помощью ping-запросов PC-A. Действительно ли
ping были успешны? Почему?
C PC-A проверьте с помощью ping-запросов PC-C. Действительно ли
ping были успешны? Почему?
Шаг 4. Просмотрите сообщения Syslog
Щелкните по серверу Syslog. Выберите вкладку Config. В левом
навигационном меню выберите SYSLOG, чтобы просмотреть файл журнала.
Шаг 5. Проверьте результаты.
Ваш процент завершения должен составить 100%. Щелкните по Check
Results, чтобы увидеть обратную связь и то, какие необходимые компоненты
были проверены.
Контрольные вопросы:
1.
Что такое IPS?
2.
Какой командой создается правило IPS на маршрутизаторе ?
3.
Как применить правило IPS к интерфейсу?
4.
Какой командой можно увидеть состояние конфигурации IPS?
5.
Что означают атрибуты In/Out во время создания правила IPS?
Лабораторная работа №7. Безопасность Уровня 2.
Схема топологии:
Цели лабораторной работы:

Обозначьте центральный коммутатор как корневой мост.

Защитите параметры связующего дерева, чтобы предотвратить
атаки манипулирования STP.

Позвольте
штормовому
управлению
предотвратить
"широковещательные штормы".

Позвольте службе безопасности порта предотвратить атаки
переполнения MAC-адресной таблицы.
Введение
В последнее время происходит много атак на сеть. Поэтому
администратор сети имеет задачу конфигурирования безопасности Уровня 2.
Для оптимальной производительности и безопасности, администратор
должен быть уверен, что корневой мост - это Центральный коммутатор 3560.
Чтобы
предотвратить
атаки
манипулирования
связующим
деревом,
администратор должен быть уверен, что параметры STP безопасны. Кроме
того, администратор сети должен включить штормовое управление для
предотвращения
"широковещательных
штормов".
Наконец,
чтобы
предотвратить предотвратить атаки переполнения MAC-адресной таблицы,
сетевой администратор должен сконфигурировать безопасность порта, с
целью ограничить число MAC-адресов, которые могут быть назначены в
каждом порту коммутатора. Если число MAC-адресов превышает предел
набора, администратор должен завершить работу порта.
Все
устройства
переключения
были
предварительно
сконфигурированы следующим образом:

Пароль включения: ciscoenpa55

Пароль консоли: ciscoconpa55

Пароль линии VTY: ciscovtypa55
Задача 1: Сконфигурируйте Корневой Мост
Шаг 1. Определите текущий корневой мост.
На Центральном мосту, введите команду show spanning-tree, чтобы
определить текущий корневой мост и видеть порты в использовании и их
состояние.
Какой из коммутаторов - текущий корневой мост?
На основе текущего корневого моста, каким получается связующее
дерево? (Нарисуйте топологию связующего дерева.)
Шаг 2. Присвойте Центральному мосту значение основного корневого
моста.
Используя команду spanning-tree vlan 1 root primary, присвойте
Центральному коммутатору 3560 значение корневого моста.
Шаг 3. Присвойте SW-1 значение вторичного корневого моста.
Присвойте SW-1 значение вторичного корневого моста, используя команду
spanning-tree vlan 1 root secondary .
Шаг 4. Проверьте конфигурацию spanning-tree.
Введите
команду
show
spanning-tree,
чтобы
проверить,
что
Центральный коммутатор 3560 - корневой мост.
Какой из коммутаторов - текущий корневой мост?
На основе нового корневого моста, каким получается связующее
дерево? (Нарисуйте топологию связующего дерева.)
Задача 2: Защита от STP атак
Защитите
параметры
STP,
чтобы
предотвратить
атаки
манипулирования STP.
Шаг 1. Включите PortFast на всех портах доступа.
PortFast конфигурируется на портах доступа, которые соединяются с
единственной рабочей станцией или сервером, чтобы позволить им
активизироваться быстрее. На соединенных портах доступа коммутаторов
SW-A и SW-B используйте команду spanningtree portfast.
Шаг 2. Включите защиту BPDU на всех портах доступа.
Защита BPDU - функция, которая может помочь предотвратить
подмены коммутаторов и имитации на портах доступа. Включите защиту
BPDU на портах доступа SW-A и SW-B.
Примечание: BPDU-защита связующего дерева может быть включена
на каждом индивидуальном порту командой spanning-tree bpduguard
enable, или в глобальном режиме конфигурации командой spanning-tree
portfast bpduguard default. Для того, чтобы градуировать цели в этом
задании, пожалуйста, используйте команду spanning-tree bpduguard enable.
Шаг 3. Включите корневую защиту.
Корневая защита может быть включена на всех портах коммутатора,
которые не являются корневыми портами. Это лучше всего осуществляется
на
портах,
соединенных
с
другими
некорневыми
коммутаторами.
Используйте команду show spanning-tree, чтобы определить расположение
корневого порта на каждом коммутаторе.
На коммутаторе SW-1 включите корневую защиту на портах Fa0/23 и
Fa0/24. На коммутаторе SW-2 включите корневую защиту на портах Fa0/23 и
Fa0/24.
Задача 3: Включите Штормовое управление.
Шаг 1. Включите штормовое управление для широковещательных
сообщений.
Включите штормовое управление для широковещательных сообщений
на всех портах, соединенных с коммутаторами (магистральные порты).
Установите 50-процентное повышение уровня подавления, используя
команду storm-control broadcast . Включите штормовое управление в
интерфейсах соединенных с Центральным коммутатором, SW-1 и SW-2.
Шаг 2. Проверьте конфигурацию штормового управления.
Проверьте
свою
конфигурацию
командой
show
storm-control
broadcast и
командой show run.
Задача
4:
Сконфигурируйте
службу
безопасности
порта
и
отключение неиспользованных портов
Шаг 1. Сконфигурируйте основную службу безопасности порта на
всех портах, соединенных с устройствами узлов.
Эта процедура должна быть выполнена на всех портах доступа на SWA и SW-B. Установите максимальное количество назначаемых MAC адресов
в 2, позвольте MAC адресу быть назначенным динамически и установите
уровень нарушения для завершения работы порта.
Следует иметь в виду, что порт коммутатора должен быть
сконфигурирован как порт доступа, чтобы включить службу безопасности
порта.
Почему вы не должны включать службу безопасности порта на портах,
соединенных с другими коммутаторами или маршрутизаторами?
Шаг 2. Проверьте безопасность порта.
На SW-A дайте команду show port-security interface fa0/1, чтобы
проверить, что служба безопасности порта сконфигурирована.
Шаг 3. Отключите неиспользованные порты.
Отключите все порты, которые в настоящее время не использованы. В
целях эффективности, "Мастер Задания" будет градуировать только Fa0/5 и
Fa0/6 на SW-A и SW-B.
Шаг 4. Проверьте результаты.
Ваш процент завершения должен составить 100%. Щелкните по Check
Results, чтобы увидеть обратную связь и то, какие необходимые компоненты
были проверены.
Лабораторная работа №8. Безопасность VLAN Уровня 2
Схема топологии:
Цели лабораторной работы:

Установите новую резервную линию между SW 1 и SW 2.

Включите магистральное соединение и сконфигурируйте службу
безопасности на новой магистральной линии между SW 1 и SW 2.

Создайте новое VLAN управления (VLAN 20) и присоедините PC
управления к этому VLAN.

Реализуйте ACL для препятствования тому, чтобы внешние
пользователи получили доступ к VLAN управления.
Введение
В настоящее время сеть компании устанавливается, используя два
отдельных VLAN: VLAN 5 и VLAN 10. Кроме того, все магистральные
порты конфигурируются с собственным VLAN 15. Администратор сети
должен добавить резервную линию между коммутаторами SW 1 и SW 2. У
линии должно быть включенным магистральное соединение, и все
требования к защите должны осуществляться.
Кроме того, администратор сети должен соединить PC управления с
коммутатором SW-A. Администратор должен позволить PC управления быть
в состоянии соединиться со всеми коммутаторами и маршрутизатором, но не
требовать, чтобы любые другие устройства были в состоянии соединиться с
PC управления или коммутаторами. Администратор должен создать новый
VLAN 20 в целях управления.
Все устройства были предварительно сконфигурированы следующим
образом:

Пароль включения: ciscoenpa55

Пароль консоли: ciscoconpa55

Пароль линии VTY: ciscovtypa55
Задача 1: Проверьте связь
Шаг 1. Проверьте связь между C2 (VLAN 10) и C3 (VLAN 10).
Шаг 2. Проверьте связь между C2 (VLAN 10) и D1 (VLAN 5).
Примечание: Используя простой пакет GUI PDU, обязательно
проведите проверку с помощью ping-запросов дважды, чтобы допустить
ARP.
Задача 2: Создайте резервную линию между SW-1 и SW-2
Шаг 1. Соедините SW-1 и SW-2.
Используя перекрестный кабель, соедините порт Fa0/23 на SW-1 с
портом Fa0/23 на SW-2.
Шаг
2.
Разрешите
магистральное
соединение,
включая
все
магистральные механизмы безопасности на линии между SW-1 и SW-2.
Магистральное соединение уже было сконфигурировано во всех
существующих ранее магистральных интерфейсах. Новая линия должна быть
сконфигурирована
для
магистрального
соединения,
включая
все
магистральные механизмы безопасности. И на SW-1 и на SW-2, настройте
порты так, чтобы соединить их магистралью, присвойте собственный VLAN
15 магистральному порту и отключите автосогласование.
Задача 3: Включите VLAN 20 как VLAN управления
Администратор сети должен иметь возможность получить доступ ко
всем
коммутаторам
и
устройствам
маршрутизации,
используя
PC
управления. Для безопасности администратор должен сделать так, чтобы все
управляемые устройства работали на раздельных VLAN.
Шаг 1. Включите VLAN управления (VLAN 20) на SW-A.
Включите VLAN 20 на SW-A и используйте имя по умолчанию
VLAN0020.
Создайте интерфейс VLAN 20 и присвойте ему IP-адрес в сети между
192.168.20.0/24.
Шаг 2. Включите такую же VLAN управления на всех других
коммутаторах.
Обязательно создайте VLAN на всех коммутаторах: SW-B, SW-1, SW-2
и Центральном.
Шаг 3. Сконфигурируйте PC управления и соедините его с портом
Fa0/1 на SW-A.
Удостоверьтесь, что PC управления присваивается IP-адрес в сети
между 192.168.20.0/24. Соедините PC управления с портом Fa0/1 на SW-A.
Шаг 4. На SW-A удостоверьтесь, что PC управления - часть VLAN 20
Интерфейс Fa0/1 должен быть частью VLAN 20.
Шаг 5. Проверьте связь PC управления со всеми коммутаторами.
PC управления должен быть в состоянии проверить с помощью pingзапросов SW-A, SW-B, SW-1, SW-2 и Центральный коммутатор.
Задача
4:
Позвольте
PC
управления
Получить
доступ
к
Маршрутизатору R1
Шаг 1. Включите новый суб-интерфейс на маршрутизаторе R1.
Создайте суб-интерфейс Fa0/0.3 и присвойте IP-адрес в сети между
192.168.20.0/24. Обязательно установите инкапсуляцию к dot1q 20, чтобы
учесть VLAN 20.
Шаг 2. Проверьте связь между PC управления и R1.
Обязательно сконфигурируйте шлюз по умолчанию на PC управления,
чтобы допустить связь.
Шаг 3. Включите службу безопасности.
В то время как PC управления должен быть в состоянии получить
доступ к маршрутизатору, никакой другой PC не должен получить доступ к
управлению VLAN.
Создайте ACL(s), который отклоняет любую сеть от доступа к сети
192.168.20.0/24, но разрешает всем другим сетям доступ друг к другу.
Примените ACL к надлежащему интерфейсу(ам).
Примечание: Есть много способов, которыми ACL может быть создан,
чтобы обеспечить необходимую безопасность. По этой причине, оценка этой
части задания основывается на корректных требованиях связи.
PC управления должен быть в состоянии соединиться со всеми
коммутаторами и маршрутизаторами. Все другие PC не должны иметь
возможности соединиться с любыми устройствами во VLAN управления.
Шаг 4. Проверьте Безопасность.
С PC управления проверьте с помощью ping-запросов SW-A, SW-B и
R1. Действительно ли ping был успешен?
С
D1
проверьте
с
помощью
ping-запросов
PC
управления.
Действительно ли ping был успешен?
Шаг 5. Проверьте результаты.
Ваш процент завершения должен составить 100%. Щелкните по Check
Results, чтобы увидеть обратную связь и то, какие необходимые компоненты
были проверены.
Следует иметь в виду: если кажется, что все компоненты в порядке, а
задание все еще выглядит незавершенным, это может иметь отношение к
тестам связи, которые проверяют операцию ACL.
Контрольные вопросы:
1.
С помощью каких команд можно защитится от атак VLAN
hopping?
2.
Как защитить коммутаторы, на которых работает протокол STP
от атак с использованием слабостей этого протокола?
3.
С помощью каких команд можно защитится от DHCP и ARP
атак?
4.
Объясните возможности защиты портов коммутатора.
5.
От атак какого уровня мы защищались в этой лабораторной
работе?
Лабораторная работа №9. Сконфигурируйте и Проверьте Site-to-Site
VPN IPsec, используя CLI.
Схема топологии:
Таблица адресации:
Устройство
R1
R2
R3
PC-A
PC-B
PC-C
Интерфейс
Fa0/0
S0/0/0
S0/0/0
Fa0/0
S0/0/1
S0/0/1
Fa0/0
NIC
NIC
NIC
IP адрес
192.168.1.1
10.1.1.2
10.1.1.1
192.168.2.1
10.2.2.1
10.2.2.2
192.168.3.1
192.168.1.3
192.168.2.3
192.168.3.3
Маска подсети
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
Цели лабораторной работы:

Проверьте связь по всей сети.

Сконфигурируйте маршрутизатор R1, чтобы поддерживать VPN
IPsec от сайта к сайту с R3.
Введение
Сетевая топология показывает три маршрутизатора. Ваша задача
состоит в том, чтобы сконфигурировать маршрутизаторы R1 и R3, с целью
поддерживать VPN IPsec от сайта к сайту, когда трафик выходит из их
соответствующей LAN. Туннель VPN IPsec идет от маршрутизатора R1 к
маршрутизатору R3 через R2. R2 действует как передатчик и не имеет
никаких сведений о VPN. IPsec обеспечивает безопасную передачу уязвимой
информации по незащищенным сетям, таким как Интернет. IPsec действует
на сетевом уровне, защищая и аутентифицируя пакеты IP между
участвующими
IPsec устройствами (пиры), такими как маршрутизаторы
Cisco.
Параметры политики ISAKMP Фазы 1
Параметры
R1
Согласно Руководству или
Метод распределения ключей
ISAKMP
ISAKMP
Алгоритм шифрования
DES, 3DES, или AES
AES
Алгоритм хеша
MD5 или SHA-1
SHA-1
Предсовместно используемые
Метод аутентификации
Предсовместно
ключи или RSA
Ключевой обмен
DH Group 1, 2, или 5
DH 2
Время жизни IKE SA
86400 секунд или меньше
86400
Ключ ISAKMP
vpnpa55
R3
ISAKMP
AES
SHA-1
Предсовместно
DH 2
86400
vpnpa55
Параметры политики IPsec Фазы 2
Параметры
Комплект преобразования
Имя хоста пира
IP Адрес пира
Сеть, которая будет зашифрована
Имя карты шифрования
Учреждение SA
R1
VPN-SET
R3
10.2.2.2
192.168.1.0/24
VPN-MAP
ipsec-isakmp
R3
VPN-SET
R1
10.1.1.2
192.168.3.0/24
VPN-MAP
ipsec-isakmp
Маршрутизаторы были предварительно сконфигурированы следующим
образом:

Пароль включения: ciscoenpa55

Пароль для консоли: ciscoconpa55

Пароль для линий vty: ciscovtypa55

RIP версии 2
Задача 1: Сконфигурируйте параметры IPsec на R1
Шаг 1. Тестовая связь.
Ping от PC-A до PC-C.
Шаг 2. Идентифицируйте интересный трафик на R1.
Сконфигурируйте ACL 110, чтобы идентифицировать трафик от LAN
на R1 к LAN на R3 как интересный. Этот интересный трафик инициирует
VPN IPsec, которая будет реализована каждый раз, когда есть трафик между
R1 к LAN R3. Весь прочий трафик, полученный от LAN, не будет
зашифрован. Помните, что из-за неявного отрицания всего, нам не требуется
конфигурировать отрицание любого заявления.
Шаг 3. Сконфигурируйте свойства ISAKMP Фазы 1 на R1.
Сконфигурируйте свойства крипто ISAKMP политика 10 на R1 вместе
с совместно используемым крипто-ключом vpnpa55. Обратитесь к таблице
ISAKMP Фазы 1 для определенных параметров, чтобы выполнить
конфигурацию. Значения по умолчанию не должны быть затронуты поэтому
сконфигурируйте только шифрование, ключевой метод обмена и метод DH.
Шаг 4. Сконфигурируйте свойства ISAKMP Фазы 2 на R1.
Создайте набор преобразования VPN-SET, чтобы использовать esp3des и esp-sha-hmac. Затем создайте крипто карту VPNMAP, которая
связывает все параметры Фазы 2. Используйте порядковый номер 10 и
идентифицируйте его как карту ipsecisakmp.
Шаг 5. Сконфигурируйте крипто карту в выходном интерфейсе.
Наконец, привяжите крипто карту VPN-MAP к выходному интерфейсу
Serial 0/0/0.
Примечание: Этот шаг не оценивается.
R1(config)# interface S0/0/0
R1(config-if)# crypto map VPN-MAP
Задача 2: Сконфигурируйте параметры IPsec на R3
Шаг 1. Сконфигурируйте маршрутизатор R3, чтобы поддерживать
VPN от сайта к сайту с R1.
Теперь сконфигурируйте параметры обмена на R3. Сконфигурируйте
ACL 110 для идентификации трафика от LAN на R3 к LAN на R1 как
интересного.
Шаг 2. Сконфигурируйте свойства ISAKMP Фазы 1 на R3.
Сконфигурируйте свойства крипто ISAKMP политика 10 на R3 вместе
с совместно используемым крипто ключом vpnpa55.
Шаг 3. Сконфигурируйте свойства Фазы 2 ISAKMP на R3.
Так же, как вы сделали на R1, создайте набор преобразования VPNSET, чтобы использовать esp-3des и esp-sha-hmac. Затем создайте крипто
карту VPNMAP, которая связывает все параметры Фазы 2. Используйте
порядковый номер 10 и идентифицируйте ее как карту ipsecisakmp.
Наконец, привяжите крипто карту VPN-MAP к выходному интерфейсу
Serial 0/0/0.
Примечание: Этот шаг не оценивается.
R1(config)# interface S0/0/1
R1(config-if)# crypto map VPN-MAP
Задача 3: Проверьте VPN IPsec
Шаг 1. Проверьте туннель до интересного трафика.
Введите команду show crypto ipsec sa на R1. Заметьте, что число
пакетов, которые инкапсулированы, зашифрованы, декапсулированы и
дешифрованы. установлено в 0.
Шаг 2. Создайте интересный трафик.
С PC-A, проверьте ping до PC-C.
Шаг 3. Проверьте туннель после интересного трафика.
На R1, снова введите команду show crypto ipsec sa. Теперь заметьте,
что число пакетов, больше чем 0, указывает, что туннель VPN IPsec работает.
Шаг 4. Создайте неинтересный трафик.
С PC-A, проверьте ping до PC-B.
Шаг 5. Проверьте туннель.
На R1, снова введите команду show crypto ipsec sa. Наконец, заметьте:
то, что число пакетов не изменилось, подтверждает, что неинтересный
трафик не шифруется.
Шаг 6. Проверьте результаты.
Ваш процент завершения должен составить 100%. Щелкните по Check
Results, чтобы увидеть обратную связь и то, какие необходимые компоненты
были проверены.
Контрольные вопросы:
1.
Опишите работу IPsec.
2.
На каких уровнях модели OSI может работать IPsec?
3.
Чем отличаются туннельный и транспортные режимы IPsec?
4.
Опишите протокол IKE.
5.
Где используется IPsec VPN?
Лабораторная работа №10. Сконфигурируйте сеть для безопасной
работы
Схема топологии:
Таблица адресации:
Устройство
Интерфейс
IP адрес
Маска подсети
R1
FA0/1
S0/0/0 (DCE)
S0/0/0
S0/0/1 (DCE)
FA0/1
S0/0/1
NIC
NIC
NIC
192.168.1.1
10.1.1.1
10.1.1.2
10.2.2.2
192.168.3.1
10.2.2.1
192.168.1.5
192.168.1.6
192.168.3.5
255.255.255.0
255.255.255.252
255.255.255.252
255.255.255.252
255.255.255.0
255.255.255.252
255.255.255.0
255.255.255.0
255.255.255.0
R2
R3
PC-A
PC-B
PC-C
Шлюз по
умолчанию
N/A
N/A
N/A
N/A
N/A
N/A
192.168.1.1
192.168.1.1
192.168.3.1
Порт коммутатора
S1 FA0/5
N/A
N/A
N/A
S3 FA0/5
N/A
S1 FA0/6
S2 FA0/18
S3 FA0/6
Цели лабораторной работы:

Защитите маршрутизаторы сложными паролями, шифрованием
пароля и баннером входа в систему.

Защитите консоль и линии VTY паролями.

Сконфигурируйте локальную AAA-аутентификацию.

Сконфигурируйте сервер SSH.

Сконфигурируйте маршрутизатор для syslog.

Сконфигурируйте маршрутизатор для NTP.

Защитите маршрутизатор от атак входа в систему.

Сконфигурируйте брандмауэры ZPF и CBAC .

Обезопасьте сетевые коммутаторы.
Введение
В этом всестороннем практическом задании вы примените комбинацию
мер безопасности, которые были представлены в курсе. Эти меры
перечислены в целях.
В топологии, R1 - пограничный маршрутизатор для Компании A, R3 пограничный маршрутизатор для Компании B. Эти сети соединяются через
маршрутизатор R2, который представляет ISP. Вы сконфигурируете
различные
функции
службы
безопасности
на
маршрутизаторах
и
коммутаторах для Компании A и Компании B. Не все средства защиты будут
сконфигурированы на R1 и R3.
Следующие предварительные конфигурации были установлены:

Имена узлов на всех устройствах

IP-адреса на всех устройствах

Пароль консоли R2: ciscoconpa55

Пароль R2 на линиях VTY: ciscovtypa55

Пароль включения на R2: ciscoenpa55

Статическая маршрутизация

Службы Syslog на PC-B

Поиск DNS был отключен

IP по умолчанию для шлюзов всех коммутаторов
Задача 1: Тестовая связь и проверка конфигурации
Шаг 1. Проверьте IP-адреса.
Шаг 2. Проверьте таблицы маршрутизации.
Шаг 3. Тестовая связь.
С PC-A, ping до PC-C по IP-адресу 192.168.3.5.
Задача 2: Защитите маршрутизаторы
Шаг 1. Установите минимальную длину пароля в 10 символов на
маршрутизаторах R1 и R3.
Шаг
2.
Сконфигурируйте
секретный
пароль
включения
на
маршрутизаторах R1 и R3.
Используйте секретный пароль включения ciscoenpa55.
Шаг 3. Зашифруйте незашифрованные пароли.
Шаг 4. Сконфигурируйте консольные линии на R1 и R3.
Сконфигурируйте консольный пароль ciscoconpa55 и включите вход в
систему. Установите exec-timeout , чтобы выйти из системы после 5 минут
неактивности. Препятствуйте тому, чтобы консольные сообщения прерывали
ввод команд.
Шаг 5. Сконфигурируйте линии vty на R1.
Сконфигурируйте пароль линии vty ciscovtypa55 и включите вход в
систему. Установите exec-timeout , чтобы выйти из системы после 5 минут
неактивности. Установите аутентификацию входа в систему, чтобы
использовать список AAA по умолчанию, который будет определен позже.
Примечание: линии vty на R3 будут сконфигурированы для SSH в
следующей задаче.
Шаг 6. Сконфигурируйте баннер входа в систему на R1 и R3.
Сконфигурируйте предупреждение неавторизованным пользователям с
баннером
"сообщения
дня"
(MOTD),
который
говорит:
“Нет!
Несанкционированный доступ!”.
Задача 3: Сконфигурируйте локальную аутентификацию на R1 и
R3
Шаг 1. Сконфигурируйте локальную пользовательскую базу данных.
Создайте локальную учетную запись пользователя Admin01 с
секретным паролем Admin01pa55.
Шаг 2. Включите службы AAA.
Шаг 3. Реализуйте работу служб AAA, используя локальную базу
данных.
Создайте список методов аутентификации входа в систему по
умолчанию, используя локальную аутентификацию без резервного метода.
Задача 4: Сконфигурируйте NTP
Шаг 1. Включите NTP аутентификацию на PC-A.
На PC-A выберите вкладку Config, и затем кнопку NTP. Выберите On
для службы NTP. Включите аутентификацию и введите Ключ 1 и пароль
ciscontppa55.
Шаг 1. Сконфигурируйте R1 как клиент NTP.
Сконфигурируйте
Ключ
NTP
аутентификации
с
1
паролем
ciscontppa55. Сконфигурируйте R1, чтобы синхронизироваться с сервером
NTP и проходить аутентификацию, используя Ключ 1.
Шаг
2.
Сконфигурируйте
маршрутизаторы,
чтобы
обновлять
аппаратные часы.
Сконфигурируйте маршрутизаторы, чтобы периодически обновлять
аппаратные часы со временем, полученным из NTP.
Задача 5: Сконфигурируйте R1 как клиент Syslog
Шаг 1. Сконфигурируйте R1, чтобы добавить метку времени к
сообщениям журнала.
Сконфигурируйте службу метки времени для того, чтобы включить
журналирование на маршрутизаторах.
Шаг 2. Сконфигурируйте R1, чтобы отправлять сообщения на syslog
сервер.
Сконфигурируйте
удаленный
узел
маршрутизаторы,
(syslog
сервер),
чтобы
который
идентифицировать
получит
сообщения
сообщениями
подобными
журналирования.
Заметьте,
что
консоль
обменивается
следующему:
SYS-6-LOGGINGHOST_STARTSTOP:
port 514 started
- CLI initiated
Logging
to
host
192.168.1.6
Шаг 3. Проверьте сообщения syslog на PC-B.
На R1, выйдите из режима конфигурации, чтобы генерировать
сообщение syslog. Откройте syslog сервер на PC-B, чтобы просмотреть
сообщение, отправленное с R1. Вы должны увидеть сообщение, подобное
следующему сообщению на syslog сервере:
%SYS-5-CONFIG_I: Configured from console by console
Задача 6: Обезопасьте маршрутизатор от атак входа в систему
Шаг 1. Журналируйте неуспешные попытки входа в систему на R1.
Шаг 2. Начните сеанс Telnet к R1 от PC-A.
Начните сеанс Telnet от PC-A до R1 и установите имя пользователя
Admin01 и пароль Admin01pa55. Сеанс Telnet должен быть успешным.
Шаг 3. Начните сеанс Telnet к R1 от PC-A и проверьте сообщения
syslog на syslog сервере.
Выйдите из текущего сеанса Telnet и снова запустите Telnet к R1,
используя имя пользователя baduser и любой пароль.
Проверьте syslog сервер на PC-B. Необходимо видеть сообщение об
ошибке, подобное следующему, которое сгенерировано при неудавшейся
попытке входа в систему.
SEC_LOGIN-4-LOGIN_FAILED:Login
failed
[user:baduser]
[Source:192.168.1.5]
[localport:23] [Reason:Invalid login] at 15:01:23 UTC Wed
June 17 2009
Задача 7: Сконфигурируйте SSH на R3
Шаг 1. Сконфигурируйте доменное имя.
Сконфигурируйте доменное имя ccnasecurity.com на R3.
Шаг 2. Сконфигурируйте входящие линии vty на R3.
Используйте
локальные
учетные
записи
пользователя
для
обязательного входа в систему и проверки допустимости и примите только
соединения SSH.
Шаг 3. Сконфигурируйте пару ключа шифрования RSA для R3.
Любые существующие пары ключа RSA должны быть стерты на
маршрутизаторе.
Если
на
данный
момент
никаких
ключей
не
сконфигурировано, то отобразится сообщение, указывающее на это.
Сконфигурируйте ключи RSA с модулем 1024.
Шаг
4.
Сконфигурируйте
тайм-ауты
SSH
и
параметры
число
повторений
аутентификации.
Установите
тайм-аут
SSH
в
90
секунд,
аутентификации в 2 и номер версии 2.
Задача 8: Сконфигурируйте CBAC на R1
Шаг 1. Сконфигурируйте именованный ACL IP.
Создайте ACL IP под названием OUT-IN, чтобы блокировать весь
трафик, приходящий из внешней сети.
Примените список доступа к входящему трафику в интерфейсе Serial
0/0/0.
Шаг 2. Подтвердите, что трафик, входящий в интерфейс Serial 0/0/0,
отбрасывается.
В командной строке PC-A проверьте с помощью ping-запросов PC-C.
Эхо-ответы ICMP блокируются ACL.
Шаг 3. Создайте инспекционное правило для инспекции ICMP, Telnet и
HTTP трафика.
Создайте инспекционное правило, названное IN-OUT-IN, чтобы
инспектировать ICMP, Telnet и HTTP трафик.
Шаг 4. Примените инспекционное правило к внешнему интерфейсу.
Примените инспекционное правило IN-OUT-IN к интерфейсу, в
котором трафик выходит к внешним сетям.
Шаг 5. Тестовая работа инспекционного правила.
В командной строке PC-A проверьте с помощью ping-запросов PC-C.
Эхо-ответы ICMP должны быть проинспектированы и пропущены дальше.
Задача 9: Сконфигурируйте ZPF на R3
Шаг 1. Тестовая связь.
Убедитесь, что внутренний узел может получить доступ к внешним
ресурсам.
На PC-C протестируйте связь с помощью ping и Telnet с R2; все
попытки должны быть успешными.
На R2 проверьте с помощью ping-запросов PC-C. Ping-запросы должны
быть разрешены.
Шаг 2. Создайте зоны брандмауэра.
Создайте внутреннюю зону под названием IN-ZONE.
Создайте внешнюю зону под названием OUT-ZONE.
Шаг 3. Создайте ACL, который определяет внутренний трафик.
Создайте расширенный, пронумерованный ACL, который разрешает
все протоколы IP от 192.168.3.0/24 исходной сети до любого места
назначения. Для номера ACL используйте 101.
Шаг 4. Создайте карту классов, ссылающуюся на внутренний трафик
ACL.
Создайте карту классов под названием IN-NET-CLASS-MAP, чтобы
соответствовать ACL 101.
Шаг 5. Определите политику брандмауэра.
Создайте карту политики под названием IN-2-OUT-PMAP, чтобы
определить, что сделать с соответствующим трафиком.
Определите тип класса для инспектирования и отсылки к карте классов
IN-NET-CLASS-MAP.
Определите действие при инспектировании для этой карты политики
Вы должны увидеть следующее сообщение консоли:
%No specific protocol configured in class IN-NET-CLASS-MAP
for inspection.
All protocols will be inspected.
Выйдите к строке глобальной конфигурации.
Шаг 6. Примените политику брандмауэра.
Создайте
зональную
пару
под
названием
IN-2-OUT-ZPAIR.
Определите источник и целевые зоны, которые были созданы ранее.
Присоедините карту политики и действия к зональной паре,
ссылающейся на ранее созданную карту политики IN-2-OUT-PMAP.
Выйдите к строке глобальной конфигурации и присвойте внутренние и
внешние интерфейсы зонам безопасности.
Шаг 7. Тест функциональности брандмауэра.
Проверьте, что внутренний узел все еще может получить доступ ко
внешним ресурсам.
На PC-C, протестируйте связь через ping и Telnet к R2; все попытки
должны быть успешными.
На R2 проверьте с помощью ping-запросов PC-C. Теперь ping-запросы
должны быть блокированы.
Задача 10: Защитите коммутаторы
Шаг 1. Сконфигурируйте секретный пароль включения на всех
коммутаторах.
Используйте секретный пароль включения ciscoenpa55.
Шаг 2. Зашифруйте незашифрованные пароли.
Шаг 3. Сконфигурируйте консольные линии на всех коммутаторах.
Сконфигурируйте консольный пароль ciscoconpa55 и включите входу в
систему. Установите exec-timeout, чтобы выйти из системы после 5 минут
неактивности. Препятствуйте тому, чтобы консольные сообщения прерывали
ввод команд.
Шаг 4. Сконфигурируйте линии vty на всех коммутаторах.
Сконфигурируйте пароль линии vty ciscovtypa55 и включите входу в
систему. Установите exec-timeout, чтобы выйти из системы после 5 минут
неактивности. Установите основной параметр входа в систему.
Шаг 5. Безопасные магистральные порты на S1 и S2.
Сконфигурируйте порт Fa0/1 на S1 как магистральный порт.
Сконфигурируйте порт Fa0/1 на S2 как магистральный порт.
Проверьте, что порт Fa0/1 на S1 находится в магистральном режиме.
Установите собственный VLAN на магистральных портах S1 и S2 к
неиспользованному VLAN 99.
Установите магистральные порты на S1 и S2 так, чтобы они не
согласовывались друг с другом при выключении генерации фреймов DTP.
Включите штормовое управление для широковещательных сообщений
на магистральных портах S1 и S2 с 50-процентным повышением уровня
подавления.
Шаг 6. Обезопасьте порты доступа.
Отключите магистральные линии на портах доступа в S1, S2 и S3.
Включите PortFast на портах доступа в S1, S2 и S3.
Включите
защиту
BPDU
на
портах
коммутатора,
ранее
сконфигурированных только для доступа.
Включите основную службу безопасности порта по умолчанию на всех
портах доступа конечного пользователя, которые используются. Используйте
липкую опцию. Повторно включите
каждый
порт
доступа,
к
которому
была
применена
служба
безопасности порта.
Отключите любые неиспользуемые порты на каждом коммутаторе.
Задача 11: Проверка
Шаг 1. Протестируйте конфигурацию SSH.
Попытайтесь соединиться с R3 через Telnet от PC-C.
На PC-C введите команду, чтобы соединиться с R3 через Telnet по IPадресу 192.168.3.1.
Эта связь должна прерваться, так как R3 был сконфигурирован, чтобы
принимать только соединения SSH на виртуальных линиях терминала.
На PC-C введите команду ssh -l Admin01 192.168.3.1, чтобы
соединиться с R3 через SSH.
Когда будет запрошен пароль, введите пароль Admin01pa55,
сконфигурированный для локального администратора.
Используйте команду show ip ssh, чтобы увидеть сконфигурированные
настройки.
Шаг 2. Проверьте метки времени, состояние NTP для R1 и PC-A.
Шаг 3. Протестируйте брандмауэр CBAC на R1.
Ping от PC-A до R2 в 10.2.2.2 (должен успешно выполниться),
Telnet от PC-A до R2 в 10.2.2.2 (должен успешно выполниться),
Ping от R2 до PC-A в 192.168.1.3 (не должен работать),
Шаг 4. Протестируйте брандмауэр ZPF на R3.
Ping от PC-C до R2 в 10.2.2.2 (должен успешно выполниться),
Telnet от PC-C до R2 в 10.2.2.2 (должен успешно выполниться),
Ping от R2 до PC-C в 192.168.3.5 (не должен работать),
Telnet от R2 до R3 в 10.2.2.1 (не должен работать - позволяется только
SSH),
Шаг 5. Проверьте безопасность порта.
На S2 используйте команду show run, чтобы подтвердить, что S2
добавил «липкий» MAC-адрес для Fa0/18. Это должен быть MAC-адрес PCB. Запишите MAC-адрес для дальнейшего использования. Выберите PC-B.
Перейдите к вкладке Config. Выберите FastEthernet под разделом Interface.
Отредактируйте поле MAC-address.
Это должно вызвать нарушение защиты порта, и S2 должен закрыть
порт Fa0/18.
Используйте команду
show interface Fa0/18 , чтобы просмотреть
состояние порта. Порт должен быть в состоянии отключения из-за ошибки.
На PC-B перейдите к вкладке Config. Выберите FastEthernet под
разделом Interface. Измените MAC-адрес на другой. В режиме конфигурации
интерфейса на коммутаторе S2 для Fa0/18 используйте команду no
switchport port-security macaddress sticky address , чтобы удалить исходный
полученный PC-B адрес.
Завершите работу и затем повторно включите интерфейс Fa0/18.
На S2 используйте show run, чтобы подтвердить, что порт подходит и
что новый MAC-адрес был получен.
Примечание: Если требуется повторно соединить PC с исходным
MAC-адресом, можно просто изменить MAC-адрес на PC назад к исходному
и ввести команды shutdown и no shutdown для порта Fa0/18. Если PC или
NIC заменяются и будут иметь новый MAC-адрес, вы должны сначала
удалить старый полученный адрес.
Шаг 6. Проверьте результаты.
Ваш процент завершения должен составить 100%. Щелкните по Check
Results, чтобы увидеть обратную связь и то, какие необходимые компоненты
были проверены.
ЗАКЛЮЧЕНИЕ
В ходе работы был разработан сборник лабораторных работ для
подготовки специалистов по защите сетей, охватывающий широкий спектр
проблем безопасности корпоративных сетей.
Поставленные задачи были выполнены, а именно было изучено
большое количество имеющейся в общем доступе информации по защите
сетей, подготовлены общие сведения по защите сетей и в итоге разработан
сборник лабораторных работ в помощь учебному процессу для выполнения в
программной среде Packet Tracer.
По прохождению курса Системы и сети передачи информации, для
которого был разработан данный сборник, студенты получат широкое
представление
о
возможных
опасностях
и
уязвимостях
оборудовании и методах нейтрализации большинства из них.
в
сетевом
СПИСОК ЛИТЕРАТУРЫ
1.
Биячуев Т.А. Безопасность корпоративных сетей. Учебное
пособие / под ред. Л.Г.Осовецкого - СПб.: СПбГУ ИТМО, 2004. - 161 с.
2.
Федотов А.М. Информационная безопасность в корпоративной
сети // Проблемы безопасности и чрезвычайных ситуаций / ВИНИТИ. - М.:
ВИНИТИ, 2008. - N 2. - С.88-101
3.
Cisco systems. Решения компании Cisco Systems по обеспечению
безопасности корпоративных сетей (издание II)/Cisco systems / Cisco
NetAcad, -2012. N 4. – С.55-100
4.
Поляков В. П. Практическое занятие по изучению вопросов
информационной безопасности/В.П.Поляков //Информатика и образование.2006.-№11.-С.75-80.
5.
Поляков
В.П.
Информационная
безопасность
в
курсе
информатики /В.П.Поляков //Информатика и образование.-2006.-№10.С.116-119.
6.
Попов
В.Б.
Основы
информационной
безопасности.
Информационные технологии и право //Попов В.Б. Основы компьютерных
технологий /В.Б.Попов.-М.,2002.-С.175-187.
7.
Семенова З. В. Углубленное изучение темы "Защита данных в
информационных системах" //Информатика и образование.-2004.-№1.- С.3239.
8.
Столлингс, В. Криптография и защита сетей: принципы и
практика : пер. с англ. / В. Столлингс. – 2-е изд.. – М. : Издательский дом
"Вильямс", 2001. – 672 с.
9.
Скляров, Д.В. Искусство защиты и взлома информации / Д.В.
Скляров. – СПб. : БХВ-Петербург, 2004. – 288 с.