практическая работа. работа. Практическая работа No 5 Обеспечение безопасности сети изучение угроз сетевой безопасности доступ к сетевым устройствам по протоколу ssh обеспечение безопасности сетевых устройств
 Скачать 107.69 Kb.
|
|
Практическая работа No 5 «Обеспечение безопасности сети: изучение угроз сетевой безопасности; доступ к сетевым устройствам по протоколу SSH ; обеспечение безопасности сетевых устройств» Цель работы: изучить угрозы сетевой безопасности; включить SSH - сервер на маршрутизаторе, после чего подключиться к этому маршрутизатору, используя ПК с установленным клиентом SSH ; научиться настроить сетевые устройства в топологии таким образом, чтобы разр ешать SSH - соединения для удаленного управления. 5 .1 Из у ч е ние у гроз се т е вой б е з о п ас но с ти Зада ние 1. Изучение веб - сайта SANS 2. Определение новых угроз сетевой безопасности 3. Подробное описание отдельной угрозы сетевой безопасности Исходные данные/сценарий Чтобы защитить сеть от атак, администратор должен определить, какие внешние угрозы представляют опасность для сети. Для определения возникающих угроз и способов их устранения можно пользоваться специализированными веб - сайтами. Одним из наиболее известных и проверенных ресурсов для защиты компьютера и сети является веб - сайт SANS (системное администрирование, проверка, сеть, безопасность). На веб - сайте SANS доступны несколько разных ресурсов, включая список 20 основных средств кон троля безопасности для эффективной киберзащиты и еженедельную новостную рассылку по вопросам безопасности @ Risk : The Consensus Security Alert . В рассылке подробно рассказывается о новых сетевых атаках и уязвимостях. В ходе лабораторной работы вам необходимо открыть и изучить веб - сайт SANS , определить новые угрозы сетевой безопасности с его помощью, посетить другие аналогичные веб - ресурсы и подготовить подробное описание отдельной сетевой атаки. Необходимые ресурсы • Устройс тво с выходом в Интернет • Компьютер для презентации с установленной программой PowerPoint или другой программой для презентаций. Порядок выполнения: 1: Изучение веб - сайта SANS В ам нужно открыть веб - сайт SANS и изучить предлагаемые ресурсы. a ) Найдите ресурсы SANS . Откройте веб - сайт www . sans . org в браузере. На главной странице наведите указатель мыши на меню Resources (Ресурсы). Назовите три доступных ресурса. ____________________ ______________________________ ___________________________________________________ __________________________ b ) Выберите пункт меню Top 20 Critical Controls (20 основных средств контроля безопасности). Список 20 основных средств контроля безопасности на веб - сайте SANS был составлен в результате совместной работы государственных и частных компаний при участии Министерства обороны, Ассоциации национальной безопасности, Центра интернет - безопасности и Института SANS . Его задачей было определение приоритетност и средств контроля кибербезопасности и связанных с ними расходов для Министерства обороны. На основе этого списка правительство США разработало эффективные программы обеспечения безопасности. В меню Resources (Ресурсы) выберите пункт Top 20 Critical Contro ls (20 основных средств контроля безопасности). Выберите одно из 20 средств и назовите три предложения по его реализации. ____________ ______________________________________________________________________________ c ) Выберите меню « Newsletters » (Новостные рассылки). Откройте меню Resources (Ресурсы) и выберите пункт Newsletters (Новостные рассылки). Кратко опишите каждую из трёх предлагаемых рассылок. 2: Определение новых угроз сетевой безопасности В ам нужно изучить новые угрозы сетевой безопасности, польз уясь веб - сайтом SANS , и узнать, на каких других сайтах можно найти информацию по этой теме. a ) Выберите раздел « Archive » (Архив) новостной рассылки @ Risk : Consensus Security Alert . Откройте страницу Newsletters (Новостные рассылки) и выберите раздел Archive (Архив) рядом с название м @ Risk : Consensus Security Alert . Прокрутите страницу вниз до раздела Archives Volumes (Тома архива) и выберите последний выпуск еженедельной новостной рассылки. Ознакомьтесь с информацией в разделах Notable Recent Security Issues (Последние важные проблемы безопасности) и Most Popular Malware Files (Наиболее распространённые файлы вредоносных программ). Назовите некоторые из новых атак. При необходимости просмотрите несколько последних выпусков рассылки. ___________________________________________________________________ ______________________________________________________________________________ b ) Найдите веб - сайты, которые содержат информацию о новых угрозах безопасности. Выясните, на каких ещё сайтах, помимо SANS , можно ознакомиться с информацией о новых угрозах сетевой безопасности. ____________________________________________________ ________________________________________________ ______________________________ Назовите некоторые новые угрозы безопасности, подробно описанные на этих веб - сайтах. _ ______________________________________________________________________________ ______________________________________________________________________________ 3: Подробное описание отдельной угрозы сетевой безопасности Используя полученные результаты, заполните приведённую ниже форму. Заполните приведённую ниже форму данными выбранно й сетевой атаки. Имя атаки: Тип атаки: Даты атак: Пострадавшие компьютеры или организации: Механизм атаки и её последствия: Способы устранения: Источники и ссылки на информационные ресурсы: Контрольные в опросы : 1. Какие меры можно предпринять для защиты собственного компьютера? 2. Какие важные меры могут предпринимать компании для защиты своих ресурсов? 5 .2 . Доступ к сетевым устройствам через протокол SSH Задание 1. Настройка основных параметров устройства 2. Настройка маршрутизатора для доступа по протоколу SSH 3 . Настройка коммутатора для доступа по протоколу SSH 4 . Настройка протокола SSH в интерфейсе командной строки коммутатора Таблица адресации Устройство Интерфейс IP - адрес Маска подсети Шлюз по умолчанию R1 G0/1 192.168.1.1 255.255.255.0 Недоступно S1 VLAN 1 192.168.1.11 255.255.255.0 192.168.1.1 ПК - А Сетевой адаптер 192.168.1.3 255.255.255.0 192.168.1.1 О б щие с в едения/сцена р ий Рань ш е дл я у да л енной настройки с е т е в ых у с т ро й с т в в о с нов н ом п рименя л с я про т окол Telnet . Од на ко он не о б е с п е чивает ши ф ро в ан и е и н ф ор м а ции, п ер е д а в а е м ой м е жду к л иен т ом и с ерве р ом, ч т о п о з вол я ет а на л изатор а м с етевых па к етов п ер е хв атыва т ь па р оли и да н н ы е ко нф иг у р а ции. Sec u re Shell ( SSH ) — э т о с ете в ой про т окол, у с т анавливаю щ ий б е з опас н ое п одк л ючен и е с э му л яци е й т ер м и н ала к м а р ш ру т из ат ору и л и и н о му с ете в о м у у с т рой с т ву. Протокол S S H ши ф рует в с е с в е д ения, ко т орые п оступ ают по с е т е в ому кан ал у, и п ред у с матрив а ет ау т ен т и ф икацию уд ален н ого компь юте ра. Протокол S S H все б о льш е за м ен я ет Telnet — име н но его в ы б и р ают с етев ы е специал и с т ы в кач е с т ве с ре д с т ва уд ален н ого в х ода в си с тем у. Ча щ е в с е г о п ротокол S S H п римен я ется д ля входа в у да л енное у с т рой с тв о и выпо л нен и я команд, но может т акже передавать ф ай л ы п о с в язанным п р от околам S F T P и л и SCP . Ч т о б ы п рот о кол S S H мог ра б ота т ь, на сете в ых у с т рой с тв ах, взаимоде й с т ву ющ их между с о б ой, до л жна быть наст ро ена п од д ерж к а S SH . В этой л а б ор а то рной рабо т е н ео б х од им о вк л юч ит ь S S H - с е р в е р н а ма р ш ру т из ат оре, после чего п одк л юч ит ь с я к э т ому м а ршру т и з атору, исп ол ь з у я ПК с ус т ановлен н ы м к л иен т ом S S H . В л окаль н ой с ети п одк л ючен и е о б ычно у с т ан а вливае т с я с п о м ощью E t he r n et и I P Н е обход и мые ре с у рсы • 1 мар ш ру т изатор ( C is c o 1 941 с оп е р ац ион н ой с ис т ем о й C is c o I OS 15.2( 4 ) M 3 ( у н и в е р с а л ьный о б р а з) и л и аналог и чная модель) • 1 комму т а то р ( C i s c o 29 6 0 с ПО C is c o I OS в е р с ии 15.0( 2 ) с о б р а з о м lan b as e k 9 и ли анал о гич н ая модель) • 1 ПК ( W i n d o ws 7 и л и 8 с прогр а м м ой эм у л я ции т ер м и н ала, н ап ример, Te r a Term , и у с т ановленной п рог р а м м ой Wi r e s h a r k ) • Консольн ы е к а б ели д л я настройки у с т рой с т в Cisco I OS через к онс о л ьн ы е п орты • Каб е л и E t herne t , ра с по ло ж е нные в с о о т в е т с т вии с т опо л огией. Порядок выполнения работы 1:Основные настройки устройства a ) П отребуется настройка топологии сети и основных параметров, таких как IP - адреса интерфейсов, доступ к устройствам и пароли на маршрутизаторе. b ) Создайте сеть в соответствии с изображенной на схеме топологией. c ) Выполните инициализацию и перезагрузку маршрутизатора и коммутатора. d ) Настройте маршрутизатор. e ) Подключите консоль к маршрутизатору и активируйте привилегированный режим. f ) Войдите в режим конфигурации. g ) Отключите поиск в DNS , чтобы предотвратить попытки маршрутизатора преобразовывать неверно введённые команды таким образом, как будто они являются именами узлов. h ) Назначьте class в качестве пароля привилегированного режима. i ) Назначьте cisco в качестве пароля консоли и включите вход по паролю. j ) Назначьте cisco в качестве пароля виртуального терми нала и включите вход по паролю. k ) Зашифруйте пароли. l ) Создайте баннер, который предупреждает о запрете несанкционированного доступа. m ) Настройте и активируйте интерфейс маршрутизатора G 0/1 с помощью сведений, содержащихся в таблице адресации. n ) Сохраните текущую конфигурацию в файл загрузочной конфигурации. o ) Настройте ПК - A . p ) Настройте на ПК - A IP - адрес и маску подсети. q ) Настройте на ПК - A шлюз по умолчанию. r ) Проверьте подключение к сети. s ) Отправьте эхо - запрос с помощью команды ping с ПК - A на маршрутизатор R 1. Если эхо - запрос с помощью команды ping не проходит, найдите и устраните неполадки подключения. 2:Настройка маршрутизатора для доступа по протоколу SSH a ) Подключение к сетевым устройствам по протоколу Telnet сопряжено с риском для безопасности, поскольку вся информация передаётся в виде открытого текста. Протокол SSH шифрует данные сессии и требует аутентификации устройств, поэтому для удалённых подключений рекомендуется использ овать именно его. В части 2 вам нужно настроить маршрутизатор для приёма соединений по протоколу SSH по линиям VTY . b ) Настройте аутентификацию устройств. c ) При гене р а ц ии к л юча ши ф ро в ания в кач е с т ве е г о ча с т и испо л ьзу ют с я имя у с т рой с тв а и д о м ен.Поэ т ому э т и имена не о бхо д имо у ка з ат ь перед в в о дом ком а н д ы c r y pto k e y . a . Задай т е и мя у с т рой с т ва. Ro u te r ( c o nf i g )# ho s tn a me R 1 b . Задай т е д о м ен д л я у с т рой с т ва. R1 ( co n fi g )# ip d o ma i n - na m e cc n a - la b . c om d ) Созд а й т е к л ю ч ш и ф р ования с у к аза н и ем е го д л ины. R1 ( co n fi g )# cr y p t o k ey ge n er a te rsa m od u lus 1 0 24 The name for the keys will be: R1.ccna - lab.com % The key modulus size is 1 024 bits % Generating 1024 bit RSA keys, keys will be non - exporta b le... [OK] (elapsed time was 1 s econds) R1(config)# *Jan 28 21:09:29.867: %SS H - 5 - ENA BLED: SSH 1.99 has been e nabled e ) Созд а й т е имя п о льз о в а т е ля в л о к ал ь н о й базе у ч е т н ых за п и с е й. R1 ( co n fi g )# us e r n ame a d min p r iv i le g e 15 se c ret a dm i np a ss Пр и м е ч ание . Уро в ень п риви л егий 1 5 д ает по л ь з ов а т елю пр а ва адми н ис т ратора. f ) А к т и в и р у й т е п р о т о ко л SSH н а л и ниях V T Y . a . Ак т ивир у й т е п ротоко л ы T elnet и S S H на вхо д я щ их л и н и я х VTY с п о м ощью к о м ан д ы t r a n sport i npu t . R1 ( co n fi g )# li n e vty 0 4 R1 ( co n fi g - li n e)# t ra n sp o rt i n put t e l n et ssh b . Из м ени т е спо с о б вхо д а в с истему т а к им о б р а з о м, ч т о б ы испо л ь з о вал а с ь п ро в е рка п о л ьз о в а т елей п о л окаль н ой б а зе у че тн ых зап и с ей. R1 ( co n fi g - li n e)# l og i n l o c al R1 ( co n fi g - li n e)# e nd R 1# g ) Сохра ни т е т е к у щ у ю к о н ф и г у р а цию в ф а й л заг р у з о ч н ой к он фи г у р а ц ии. R1# c o p y r un n in g - co n fig s t a rt u p - co n f i g Destination filename [sta r tup - |