МОИС_451_Лялин_Пр5. Применение технологии трансляции сетевых адресов
 Скачать 316.57 Kb.
|
|
Лялин А.С МОИС-451 Практическая работа 5 Тема: Применение технологии трансляции сетевых адресов. Цель: Изучить применения технологии трансляции сетевых адресов. Ход работы Network Address Translation (NAT) — это механизм в сетях TCP/IP, позволяющий изменять IP адрес в заголовке пакета, проходящего через устройство маршрутизации трафика. Принимая пакет от локального компьютера, маршрутизатор смотрит на IP-адрес назначения. Если это локальный адрес, то пакет пересылается другому локальному компьютеру. Если нет, то пакет надо переслать наружу в интернет. Маршрутизатор подменяет обратный IP-адрес пакета на свой внешний (видимый из интернета) IP-адрес и меняет номер порта (чтобы различать ответные пакеты, адресованные разным локальным компьютерам). Комбинацию, нужную для обратной подстановки, маршрутизатор сохраняет у себя во временной таблице. Через некоторое время после того, как клиент и сервер закончат обмениваться пакетами, маршрутизатор сотрет у себя в таблице запись об n-ом порте за сроком давности. Основная функция NAT - сохранение публичных адресов, однако дополнительной функцией является конфиденциальность сети, путем скрытия внутренних IPv4 адресов от внешней. 1. Подключение функции NAT для внешнего сетевого устройства. С учетом сказанного возникает вопрос, как открыть NAT для своего роутера. В большинстве случаев опция включена по умолчанию. Если это не так, необходима ее активация и дополнительная настройка. Алгоритм действий, следующий: Войдите в любой веб-проводник на ПК, после чего в поисковой строке введите адрес роутера (к примеру, 192.168.1.1.). Авторизуйтесь для входа в настройки путем ввода слов Admin и Admin. Войдите в Настройки, а там Сеть и Маршрутизация. Жмите на Новое правило. Таким способом удается задать условия маршрутизации. Здесь доступно пять направлений — с помощью имени DNS, через порт или трансляцию по пользователю, через подмену адреса или сетевой интерфейс. Задайте условия трафика путем выбора одного из вариантов. На выбор доступны следующие решения — Auto, Interface, Gateway, Trunk. На следующем этапе жмите «Далее», а после «Закрыть». Д  ля каждого роутера принципы включения NAT могут отличаться. К примеру, в Zyxel необходимо войти в настройки маршрутизатора, перейти в раздел Network — Routing, а там в Policy routing, здесь будет тумблер, позволяющий включить службу. Далее задаются настройки в группе Criteria. Если необходимо отключить NAT в роутере, проделайте рассмотренные выше шаги и деактивируйте службу. В качестве альтернативы отключению можно перевести маршрутизатор в другой режим работы.Если возникает необходимость изменения типа NAT, войдите в настройки роутера, посмотрите IP и настройки сетевого подключения. После этого звоните провайдеру для получения помощи в перенастройке на нужный тип. 2. Проверить, что для внутренних клиентов существует возможность доступа к внешним серверам out1 и out2. Сетевая среда лабораторной работы, эмулируемая в программе VMware Workstation, представлена на рис. 3.11. Компьютер рабочего места (на рисунке — «PC») и виртуальный компьютер «IN» являются внутренними узлами защищаемой сети 192.168.20.0/24 (VMnet1 Host only). Два виртуальных компьютера «OUT1» и «OUT2» представляют «неизвестную» внешнюю сеть 10.0.0.0/8 (VMnet2). Виртуальный компьютер «FW-W98» представляет собой узел с программным обеспечением МЭ и используется для защиты периметра внутренней сети. Все IP-адреса сетевых интерфейсов виртуальных узлов назначены вручную, поэтому необходимо отключить DHCP-сервер VMware Workstation и настроить стек TCP/IP интерфейса «VMnet1 Host only» рабочего места. Для настройки IP-адресов и проверки доступности сетевых узлов используйте информацию, приведенную на рис. 3.11. На виртуальных компьютерах «IN», «OUT1» и «OUT2» установлены ОС Windows 98 и ПО, необходимое для выполнения заданий: программа E-Serv (серверы HTTP, FTP и электронной почты), клиентские приложения Internet Explorer и Outlook Express. На виртуальном компьютере «FW-W98» установлены ОС Windows 98, простейший прокси-сервер AnalogX Proxy Server (также установлен на «IN» для реализации схемы на основе экранирующего узла), статический пакетный фильтр WinRoute Pro и анализатор сетевого трафика Ethereal. Захват и анализ сетевого трафика можно использовать в процессе настройки и диагностики МЭ, а также для изучения информационного обмена между узлами в рамках того или иного сетевого сервиса. 3. Проверить что для внешних клиентов отсутствует возможность к внутреннему серверу Необходимо предоставить клиентам внутренней сети только лишь web-сервис. В качестве экранирующего шлюза используйте виртуальный компьютер «IN», в составе которого имеется приложение AnalogX Proxy Server, а в качестве клиента — компьютер рабочего места  Рисунок 1 - Схема информационного обмена по условию задачи 4. Одновременно на двух клиентах внутренней сети запустить команду Ping с параметром -t к одному и тому же внешнему узлу Трансляция сетевых адресов (NAT) — технология, которая позволяет маршрутизатору выполнять функцию прокси-сервера по сокрытию информации об узлах внутренней сети. В целях сокрытия информации о внутренней сети, маршрутизатор с NAT функционирует следующим образом: при передаче запросов клиентов защищаемой сети во внешнюю сеть заменяет их IP-адреса на IP-адрес своего внешнего интерфейса (может использоваться и диапазон IP-адресов); при возврате ответов серверов клиентам производит обратную замену: свой адрес в поле получателя меняет на адрес клиента, отправившего исходный запрос Преимущество использования трансляции сетевых адресов состоит в том, что при подключении внутренней сети к сети Интернет технология NAT позволяет существенно увеличить адресное пространство за счет использования IP-адресов из диапазона частных сетей, не обрабатываемых маршрутизаторами Интернет. Существует несколько методов реализации NAT. Одни трансляторы адресов осуществляют это посредством статического присваивания адресов (static address assignment), при этом адрес клиента внутренней сети связывается с фиксированным внешним IP-адресом. Другие трансляторы, функционирующие по принципу динамического присваивания адресов (dynamic address assignment), выделяют клиентам внутренней сети внешний IP-адрес по мере поступления запросов. После освобождения клиентом внешнего IP-адреса он возвращается маршрутизатором в список свободных адресов и может быть предоставлен другому клиенту. 5. Выполнить описание как создается адресная группа для веб сервера включив в него узел OUT1 Технология, называемая векторизацией адресов («address vectoring») или перенаправлением портов («port mapping»), по сути, является обратной NAT и служит для обеспечения возможности доступа извне к некоторым узлам защищаемой с помощью NAT сети. МЭ с включенной функцией перенаправления портов принимает запрос на соединение от внешнего клиента и в случае допустимости поступившего запроса переадресовывает его во внутреннюю сеть на указанный в таблице перенаправления узел, причем порт назначения внутреннего узла не обязательно должен совпадать с портом назначения в запросе внешнего узла.  Рисунок 2 - Технология векторизации адресов Пусть при начальных условиях предыдущей задачи необходимо дополнительно предоставить доступ внешних клиентов «OUT1» и «OUT2» к серверам Web и FTP на внутреннем узле «IN» соответственно. 6. Выполнить описание как создается алресная группа для FTP сервера включив в него узел OUT2 В программе WinRoute функция векторизации адресов включается после добавления записей в таблицу переназначения портов посредством диалогового окна, которое вызывается командой меню Settings Advanced Port Mapping... Прослушиваемый IP-адрес (Listen IP) можно оставить в значении по умолчанию, а для указания узлов, которым разрешен доступ во внутреннюю сеть (поле «Allow access only from»), необходимо предварительно создать адресную группу.  Рисунок 3 - Создание таблицы векторизации адресов 7. Выполнить описание как создавать соответствующие задачи записи таблицы перезназначения портов. Порт — это логический адрес, область памяти системы, через которую происходит обмен информацией. Брандмауэры, файерволы и роутеры ограничивают доступ к портам, делают их закрытыми для приема или передачи данных. Из-за этого некоторые программы или игры не могут установить соединение и в итоге не работают. Чтобы исправить эту ситуацию, нужно переназначить порт в роутере. Запустите браузер и откройте сайт http://www.simpleportforwarding.com/download. В разделе загрузок вы найдете ссылку на скачивание программы Simple Port Forwarding — это простой и удобный инструмент для переназначения портов. Щелкните по одной из ссылок с надписью Download. После этого начнется загрузка приложения. Дважды щелкните на скачанном файле, чтобы начать установку программы. Отвечайте на вопросы мастера, нажимая на кнопку Next. Запустите Simple Port Forwarding двойным щелчком по ярлыку на рабочем столе. Откроется главное окно программы и дополнительное окно настройки. В нижнем левом углу основного окна программы выберите из списка языков русский (russian). Выберите вашу модель роутера из списка программы. Нажмите на кнопку в верхней строке и выберите подходящую модель. Ее название вы найдете на нижней стороне вашего модема или роутера. Можете нажать кнопку «Поиск» и ввести название и модель вручную. Таким образом вы укажете приложению, какое оборудование используете. Признаком правильного определения будет то, что в полях «IP-адрес», «Имя пользователя» и «Пароль» появятся записи. Если вы меняли имя пользователя или пароль, введите в соответствующие поля правильные данные. Нажмите маленькую кнопку с знаком «плюс» в нижней части окна. Откроется окно, в котором активируйте кнопку «Добавить нестандартный». Появится меню переназначения портов. Впишите название правила, например, название программы, для которой создается правило. Выберите тип протокола, если это нужно. В поле «Начальный порт» и «Конечный порт» впишите номера портов для переназначения. После этого нажмите кнопку «Добавить» и закройте диалоговое окно5 Примените созданное правило переназначения. Щелкните по кнопке «Выполнить». Введите имя пользователя и пароль от роутера в окно запроса. По умолчанию это слово admin в обоих полях. Программа сама проведет изменения в настройках, вам нужно будет только сохранить изменения и перезагрузиться. Для этого нажмите кнопку Reboot или Save/Apply в окне утилиты настройки. Подождите, пока связь не восстановится. Этих действий достаточно, чтобы переназначить порт. 8. Описать как проверяется для клиента OUT1 существование возможности доступа к веб серверу на внутренном узле IN Обычная проверка подлинности является широко используемым стандартным методом получения сведений об имени пользователя и пароле. Обычная проверка подлинности проходит следующим образом: В веб-обозревателе пользователя открывается диалоговое окно, в которое пользователь должен ввести ранее назначенные ему имя учетной записи пользователя Windows 2000 и пароль. После этого веб-обозреватель предпринимает попытку установить подключение с использованием введенных данных. (Перед передачей через сеть пароль зашифровывается по схеме Base64). Если сервер отвергает эту информацию, веб-обозреватель продолжает отображать диалоговое окно до тех пор, пока пользователь не введет действительное имя пользователя и пароль или не закроет диалоговое окно. Веб-сервер проверяет, что имя пользователя и пароль соответствуют действительной учетной записи Windows, и устанавливает соединение. Для получения дополнительной информации об установке обычной проверки подлинности см. раздел Включение и конфигурирование проверки подлинности. Преимуществом обычной проверки подлинности является то, что она является частью спецификации HTTP и поддерживается большинством обозревателей. К недостаткам относится то, что веб-обозреватели при использовании этого метода передают пароли в незашифрованном виде. Наблюдая за передачей информации в сети, можно легко перехватить и расшифровать эти пароли с помощью общедоступных средств. Следовательно, обычный способ проверки подлинности не рекомендуется использовать, за исключением тех случаев, когда есть полная уверенность в безопасности соединения пользователя и веб-сервера (например, прямое кабельное соединение или выделенная линия). Дополнительные сведения см. в разделе Шифрование. 9. Описать как проверяется для клиента OUT2 существование возможности доступа к FTP серверу на внутренном узле IN Для двух типов проверки подлинности можно также использовать возможности защиты по протоколу SSL (Secure Sockets Layer) для веб-сервера. Можно использовать сертификат сервера для выполнения пользователями проверки подлинности сервера до передачи персональной информации, например номера кредитной карты. Также можно использовать сертификаты клиентов для проверки подлинности пользователей, запрашивающих информацию с веб-узла. SSL проверяет подлинность по содержимому зашифрованного цифрового идентификатора, который отправляется веб-обозревателем пользователя в процессе входа в систему. (Пользователи получают сертификаты клиента от независимой организации, доверенной для обеих сторон.) Сертификаты сервера обычно содержат сведения о компании и об организации, выдавшей сертификат. Сертификаты клиентов обычно содержат подробные сведения о пользователе и об организации, выдавшей сертификат. Дополнительные сведения см. в разделе О сертификатах. Контрольные вопросы 1. Что такое NAT? - Network Address Translation (NAT это механизм в сетях TCP/IP, позволяющий изменять IP адрес в заголовке пакета, проходящего через устройство маршрутизации трафика. 2. Опишите суть работы NAT. - Принимая пакет от локального компьютера, маршрутизатор смотрит на IP-адрес назначения. Если это локальный адрес, то пакет пересылается другому локальному компьютеру. Если нет, то пакет надо переслать наружу в интернет. 3. Основная функция NAT - сохранение публичных адресов, однако дополнительной функцией является конфиденциальность сети, путем скрытия внутренних IPv4 адресов от внешней. 4. Как настроить NAT на роутере? Войдите в любой веб-проводник на ПК, после чего в поисковой строке введите адрес роутера (к примеру, 192.168.1.1.). Авторизуйтесь для входа в настройки путем ввода слов Admin и Admin. Войдите в Настройки, а там Сеть и Маршрутизация. Жмите на Новое правило. Таким способом удается задать условия маршрутизации. Здесь доступно пять направлений — с помощью имени DNS, через порт или трансляцию по пользователю, через подмену адреса или сетевой интерфейс. Задайте условия трафика путем выбора одного из вариантов. На выбор доступны следующие решения — Auto, Interface, Gateway, Trunk. На следующем этапе жмите «Далее», а после «Закрыть». 5. Как начинает функционировать маршрутизатор с NAT? - маршрутизатор с NAT функционирует следующим образом: при передаче запросов клиентов защищаемой сети во внешнюю сеть заменяет их IP-адреса на IP-адрес своего внешнего интерфейса (может использоваться и диапазон IP-адресов); при возврате ответов серверов клиентам производит обратную замену: свой адрес в поле получателя меняет на адрес клиента, отправившего исходный запрос Преимущество использования трансляции сетевых адресов состоит в том, что при подключении внутренней сети к сети Интернет технология NAT позволяет существенно увеличить адресное пространство за счет использования IP-адресов из диапазона частных сетей, не обрабатываемых маршрутизаторами Интернет. 6. Назовите методы NAT. - Существует несколько методов реализации NAT. Одни трансляторы адресов осуществляют это посредством статического присваивания адресов (static address assignment), при этом адрес клиента внутренней сети связывается с фиксированным внешним IP-адресом. Другие трансляторы, функционирующие по принципу динамического присваивания адресов (dynamic address assignment), выделяют клиентам внутренней сети внешний IP-адрес по мере поступления запросов. 7. Какая технология служит для перенаправления портов? - Технология, называемая векторизацией адресов («address vectoring») или перенаправлением портов («port mapping»), по сути, является обратной NAT и служит для обеспечения возможности доступа извне к некоторым узлам защищаемой с помощью NAT сети. 8. Что такое порт? - Порт — это логический адрес, область памяти системы, через которую происходит обмен информацией. 9. Преимущества проверки подлинности? - Преимуществом обычной проверки подлинности является то, что она является частью спецификации HTTP и поддерживается большинством обозревателей. К недостаткам относится то, что веб-обозреватели при использовании этого метода передают пароли в незашифрованном виде. 10. Когда не следует использовать обычную проверку подлинности? - Следовательно, обычный способ проверки подлинности не рекомендуется использовать, за исключением тех случаев, когда есть полная уверенность в безопасности соединения пользователя и веб-сервера |