Главная страница
Навигация по странице:

  • Packet Tracer

  • Методические указания к выполнению лабораторного практикума по дисциплине « Сетевая безопасность»

  • Несколько простых советов студентам

  • Лабораторная работа 1 Н астройка расширенных списков ACL Цель работы

  • Access Control List

  • Исходные данные Addressing

  • Device Interface IP

  • Порядок выполнения работы

  • Шаг 2: Примените ACL к правильному интерфейсу для фильтрации трафика.

  • Часть 2. Настройка, применение и проверка расширенного именованного ACL

  • Предполагаемый результат

    		•

    1 работа. Методические указания к выполнению лабораторного практикума по дисциплине Сетевая безопасность


    Скачать 59.93 Kb.
    НазваниеМетодические указания к выполнению лабораторного практикума по дисциплине Сетевая безопасность
    Анкорcisco acl
    Дата09.03.2022
    Размер59.93 Kb.
    Формат файлаdocx
    Имя файла1 работа.docx
    ТипМетодические указания
    #388275

    ВВЕДЕНИЕ
    Это учебное пособие содержит комплекс лабораторных работ по Сетевой безопастности для выполнения на симуляторе Cisco Packet traker и других программ. Практикум по лабораторным работам является обязательным компонентом для усвоения теоретической информации, полученной на лекциях. Это учебное пособие не призвано заменить традиционный практикум, а создано для дополнения практического обучения. Использование компьютерных технологий позволяет внедрять возможности, недоступные для некоторых лабораторных классов: неограниченное количество деталей, составных приборов – все это стирает традиционные препятствия при проектировании сетей

    Packet Tracer — симулятор сети передачи данных, выпускаемый фирмой Cisco Systems. Позволяет делать работоспособные модели сети, настраивать (командами Cisco IOSмаршрутизаторы и коммутаторы, взаимодействовать между несколькими пользователями (через облако). Успешно позволяет создавать даже сложные макеты сетей, проверять на работоспособность топологию сети. Однако реализованная функциональность устройств ограничена и не предоставляет всех возможностей реального оборудования. Cisco Packet Tracer доступен бесплатно для участников Программы Сетевой Академии Cisco.

    Методические указания к выполнению лабораторного практикума по дисциплине «Сетевая безопасность»

    Предлагаемые лабораторные работы по дисциплине «Сетевая безопасность» помимо выработки профессиональных знаний по теории, умений и навыков созданию топологий и настройки виртуальных оборудований, также способствуют формированию навыков работы с учебной литературой. В методических указаниях и лабораторной работе содержатся сведения не только по теоретическому обоснованию работы, но и о том, какие вопросы нужно разрабатывать по учебнику, на какие вопросы уметь ответить. Вопросы и задания для самоконтроля призваны способствовать выделению из текста главной информации.

    В процессе выполнения лабораторного практикума студенты постепенно готовятся к самостоятельному проектированию т.е. студенты должны уметь выделять структурные элементы установок, определять необходимые характеристики и вести расчет параметров. Цельб данного курса является: приобретение знаний о сетевых технологиях и навыков, которые можно применить в начале работы в качестве специалиста по сетям.

    По окончанию курса студенты будут подготовлены к работе на следующих должностях: установщик домашних сетей начального уровня, сетевой техник, ассистент администратора сети, компьютерный техник, монтажник кабелей, специалист службы технической поддержки и др.

    Задачи курса:

    в результате изучения дисциплины, обучающиеся должны:

    - знать базовые технологии обеспечения защиты и безопасности информации в телекоммуникационных системах, основные методы защиты информации, их возможности;

    - уметь применять на практике базовые технологии защиты информации в телекоммуникационных системах

    -формирование систематизированного представления о принципах, методах и средствах реализации защиты данных

    Несколько простых советов студентам:

    • Не спешите начинать делать «точные» измерения, сначала проведите качественные, оценочные опыты. Здесь важно убедиться, что работа вообще идет нормально: установка работает, а экспериментальные данные по порядку величин правильно описывают изучаемое явление (подставьте первую измеренную величину в расчетную формулу и на черновике оцените порядок определяемой величины).

    • Чтобы облегчить подготовку к занятиям, в Методических указания приведены необходимые теоретические материалы, которые содержат конкретные определения.. Это послужит «путеводителем» студенту для изучения конкретного материала конкретных параграфов в учебнике.

    • Необходимо иметь при себе тетрадь для лабораторных работ

    • Обработку результатов измерений – создание топологии, настройка виртуальных оборудований, использование команд – необходимо производить внеурочное время, самостоятельно, а на следующих занятиях представлять полные отчеты с последующей их защитой.

    • Лабораторная работа считается завершенной только в том случае, если, в довершение всем предыдущим пунктам, студент защищает данную лабораторную работу перед преподавателем (о чем выставляется соответствующая оценка в журнал учета выполнения работ).

    Предлагаемые лабораторные работы отражают основное содержание изучаемого раздела, тем самым их выполнение и оформление будет способствовать повышению качества знаний студентов.

    Лабораторная работа 1

    Настройка расширенных списков ACL
    Цель работы: изучение устройств, с помощью необходимых команд научиться защищать сеть

    Теоретические сведения


    Access Control List или ACL — список управления доступом, который определяет, кто или что может получать доступ к объекту (программе, процессу или файлу), и какие именно операции разрешено или запрещено выполнять субъекту (пользователю, группе пользователей).
    Используемые приборы


    • Коммутатор (Switch)

    • Маршрутизатор (Router)

    • Соединение

    • Сервер


    Исходные данные



    Addressing Table


    Device
    Interface
    IP Address
    Subnet Mask
    Default Gateway



    R1
    G0/0
    172.22.34.65
    255.255.255.224
    N/A

    G0/1
    172.22.34.97
    255.255.255.240
    N/A

    G0/2
    172.22.34.1
    255.255.255.192
    N/A

    Server
    NIC
    172.22.34.62
    255.255.255.192
    172.22.34.1

    PC1
    NIC
    172.22.34.66
    255.255.255.224
    172.22.34.65

    PC2
    NIC
    172.22.34.98
    255.255.255.240
    172.22.34.97



    Цели
    Часть 1. Настройка, применение и проверка расширенного нумерованного ACL
    Часть 2. Настройка, применение и проверка расширенного именованного ACL
    Предыстория/сценарий
    Двум сотрудникам необходим доступ к услугам, предоставляемым сервером. ПК1 нужен только доступ к FTP, а ПК2 нужен только доступ в Интернет. Оба компьютера могут пинговать сервер, но не друг друга.
    Часть 1. Настройка, применение и проверка расширенного нумерованного ACL
    Порядок выполнения работы
    В режиме глобальной конфигурации на маршрутизаторе R1 введите следующую команду, чтобы определить первый допустимый номер для расширенного списка доступа.
    R1(config)# access-list ?

    <1-99> IP standard access list

    <100-199> IP extended access list

    Добавьте 100 к команде, а затем знак вопроса

    R1(config)# access-list 100 ?

    deny Specify packets to reject

    permit Specify packets to forward remark Access list entry comment
    а. Чтобы разрешить FTP-трафик, введите разрешение, а затем знак вопроса.

    R1(config)# access-list 100 permit ?
    б. Этот ACL разрешает FTP и ICMP. ICMP указан выше, а FTP — нет, так как FTP использует TCP. Поэтому введите tcp для дальнейшего уточнения справки ACL.

    R1(config)# access-list 100 permit tcp ?

    A.B.C.D Source address

    any Any source host

    host A single source host
    с. Обратите внимание, что мы можем фильтровать только для ПК1, используя ключевое слово хоста, или мы можем разрешить любой хост. В этом случае разрешено любое устройство, имеющее адрес, принадлежащий сети 172.22.34.64/27. Введите сетевой адрес, а затем знак вопроса.

    R1(config)# access-list 100 permit tcp 172.22.34.64 ?

    A.B.C.D Source wildcard bits

    д. Вычислите подстановочную маску, определяющую двоичную противоположность маске подсети.

    11111111.11111111.11111111.11100000 = 255.255.255.224

    00000000.00000000.00000000.00011111 = 0.0.0.31

    е. Введите подстановочную маску, а затем знак вопроса.

    R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 ?

    к. Настройте адрес назначения. В этом сценарии мы фильтруем трафик для одного пункта назначения, которым является сервер. Введите ключевое слово хоста, а затем IP-адрес сервера.

    R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host

    172.22.34.62 ?
    g. Обратите внимание, что одна из опций — (возврат каретки). Другими словами, вы можете нажать Enter, и оператор разрешит весь TCP-трафик. Однако мы разрешаем только FTP-трафик; поэтому введите ключевое слово eq, а затем знак вопроса, чтобы отобразить доступные параметры. Затем введите ftp и нажмите Enter.

    R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host

    172.22.34.62 eq ?

    R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host

    172.22.34.62 eq ftp

    Создайте второй оператор списка доступа, чтобы разрешить трафик ICMP (ping и т. д.) от ПК1 к серверу. Обратите внимание, что номер списка доступа остается прежним, и не требуется указывать какой-либо конкретный тип трафика ICMP.

    R1(config)# access-list 100 permit icmp 172.22.34.64 0.0.0.31 host

    172.22.34.62

    Весь остальной трафик запрещен по умолчанию.
    Шаг 2: Примените ACL к правильному интерфейсу для фильтрации трафика.
    С точки зрения маршрутизатора R1 трафик, к которому применяется ACL 100, является входящим из сети, подключенной к интерфейсу Gigabit Ethernet 0/0. Войдите в режим конфигурации интерфейса и примените ACL.

    R1(config)# interface gigabitEthernet 0/0

    R1(config-if)# ip access-group 100 in
    Шаг 3: Проверьте реализацию ACL.
    а. Пинг с ПК1 на сервер. Если проверка связи не удалась, проверьте IP-адреса, прежде чем продолжить.
    б. FTP с ПК1 на сервер. И имя пользователя, и пароль — cisco.
    PC> ftp 172.22.34.62

    в. Выйдите из службы FTP Сервера.

    фтп> выйти
    д. Пинг с ПК1 на ПК2. Хост назначения должен быть недоступен, так как трафик не был явно разрешен.
    Часть 2. Настройка, применение и проверка расширенного именованного ACL
    Шаг 1: Настройте ACL, чтобы разрешить доступ по HTTP и ICMP.
    а. Именованные ACL начинаются с ключевого слова ip. В режиме глобальной конфигурации маршрутизатора R1 введите следующую команду со знаком вопроса.
    R1(config)# ip access-list ?

      extended  Extended Access List

      standard  Standard Access List
    б. Вы можете настроить именованные стандартные и расширенные ACL. Этот список доступа фильтрует IP-адреса источника и получателя; следовательно, он должен быть продлен. Введите HTTP_ONLY в качестве имени. (Для оценки Packet Tracer имя чувствительно к регистру.)

    R1(config)# ip access-list extended HTTP_ONLY


    в. Подсказка меняется. Теперь вы находитесь в режиме конфигурации расширенного именованного ACL. Все устройства в локальной сети PC2 нуждаются в TCP-доступе. Введите сетевой адрес, а затем знак вопроса.
    R1(config-ext-nacl)# permit tcp 172.22.34.96 ?

      A.B.C.D  Source wildcard bits

    д. Альтернативный способ вычисления подстановочного знака — вычесть маску подсети из 255.255.255.255.
     255.255.255.255

    - 255.255.255.240

    -----------------

    =   0.  0.  0. 15

    R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 ?

    е. Завершите утверждение, указав адрес сервера, как вы это делали в части 1, и отфильтровав www-трафик.
    R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www
    ф. Создайте второй оператор списка доступа, чтобы разрешить трафик ICMP (ping и т. д.) от ПК2 к серверу. Примечание. Приглашение остается прежним, и указывать конкретный тип ICMP-трафика не требуется.

    R1(config-ext-nacl)# permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62
    г. Весь остальной трафик запрещен по умолчанию. Выйдите из режима настройки расширенного именованного ACL.

    Шаг 2: Примените ACL к правильному интерфейсу для фильтрации трафика.

    С точки зрения маршрутизатора R1 трафик, к которому применяется список доступа HTTP_ONLY, является входящим из сети.

    подключен к интерфейсу Gigabit Ethernet 0/1. Войдите в режим настройки интерфейса и примените ACL.
    R1(config)# interface gigabitEthernet 0/1

    R1(config-if)# ip access-group HTTP_ONLY in
    Предполагаемый результат

    Шаг 3: Проверьте реализацию ACL.
    а. Пинг с ПК2 на сервер. Проверка связи должна быть успешной, если проверка связи не удалась, проверьте IP-адреса, прежде чем продолжить.
    б. FTP с ПК2 на сервер. Соединение должно завершиться неудачно.
    в. Откройте веб-браузер на ПК2 и введите IP-адрес сервера в качестве URL-адреса. Соединение должно пройти успешно.

    Отчет

    Отчет должен содержать:

    1. Исследуемые схемы, рабочие задания, скрины заданий.

    2. Скрины результатов

    3. Выводы.
    Контрольные вопросы:

    1. Что аксес лист? Какие виды знаете?

    2. Базовые команды?
    Литература

    1.



    написать администратору сайта