Sieci komputerowe laboratorium



Pobieranie 40.03 Kb.
Data02.05.2016
Rozmiar40.03 Kb.
© Michał Turek, AGH Kraków
SIECI KOMPUTEROWE – LABORATORIUM.


CZEŚĆ II

Tematyka:

Analiza podstawowych protokołów komunikacyjnych ze śledzeniem pakietów w sieci.

Narzędzia do diagnozowania sieci.

NAT, sprzętowy Firewall.

Konfiguracja Wirtualnych Sieci Prywatnych

Routing IP statyczny i dynamiczny.


Zadanie A: Analiza pakietów w sieci Ethernet


1. Należy zapoznać się z konfiguracją i działaniem typowego programu do śledzenia ruchu pakietów (tzw. sniffera) w sieci lokalnej:



  • Zainstalować program

  • Po uruchomieniu skonfigurować śledzony interfejs sieciowy

  • Włączyć śledzenie i analizę pakietów.

  • Zapoznać się z obrazowaniem przez program mechanizmu enkapsulacji protokołów w przechwytywanej ramce

2. Ramka Ethernetu.

  • Na dowolnym przykładzie zanalizować ramkę ethernetu.

  • Zwrócić uwagę na pole adresu MAC źródłowego, docelowego,

3. Pakiety ARP i odpowiedzi na zapytanie ARP.

  • Poczekać, aż program przechwyci pakiet ARP z sieci.

  • Zwrócić uwagę na pola adresów, oraz to które i kiedy są wypełnione.

  • Zwrócić uwagę na cechy charakterystyczne ramki ethernetu w trybie BROADCAST (taka ramka jest wysyłana przy zapytaniu ARP)

4. Pakiet IP

  • Zlokalizować w dowolnym przykładzie pakietu IP pola:

  • Wersja IP (4?)

  • Fragmentacja i przesunięcie fragmentacji

  • TTL (time to live)

  • Numer protokołu

  • Adres źródła

  • Adres przeznaczenia

  • Długość pakietu

  • Dane w pakiecie

  • Zwrócić uwagę na typ protokołu w ramce ethernetu: w przypadku ramki IP i w przypadku ARP

5. TCP/IP



  • Do inicjowania połączeń użyj programu telnet. Składnia wywołania: telnet [:numer portu]. Standardowy port telnet to 23 (gdy nie podano innego parametrem)

  • Zaobserwuj działanie protokołu ARP:

  • W przypadku gdy nastąpi wywołanie adresu IP nieznanego w sieci (akcję taką można spowodować używając np. właśnie programu telnet)

  • W przypadku gdy komputer znajduje się w sieci

  • Sprawdź numer protokołu w pakiecie IP (dla TCP)

  • Zlokalizuj w pakiecie TCP pola:

  • Port źródłowy

  • Port docelowy

  • Numer sekwencji

6. ICMP

  • Pakiet Internet Control Message Protocol jest wysyłany przykładowo przez program diagnostyczny ping.

  • Wyślij na znany adres IP pakiety, zaczekaj na odpowiedzi

  • Sprawdź numer protokołu w pakiecie IP (dla ICMP)

  • Zlokalizuj w pakiecie ICMP pola:

  • Typ, zwróć uwagę na różnicę pomiędzy zapytaniem i odpowiedzią

  • Dane testowe

7. Analiza komunikacji z bramą domyślną

  • zdefiniować domyślną bramę jako jeden z komputerów w sieci

  • na pozostałych komputerach ustawić wskazanie na zdefiniowaną bramę ( w konfiguracji TCP/IP)

  • włączyć śledzenie interfejsów sieciowych

  • zainicjować próbę komunikacji z hostem znajdującym się poza zasięgiem lokalnego węzła sieci – np. przy pomocy programu ping (pakiet ICMP)

  • zanalizować jak przebiegła komunikacja z ramą wobec niemożności bezpośredniego połączenia się z żądanym hostem poza siecią. Jaką wartość posiada docelowy adres MAC w pakiecie wysyłanym przez ping?

8. Analiza działania programu traceroute ze śledzeniem pakietów

  • uruchomić traceroute z rozkazem śledzenia odległego hosta

  • zaobserwować, jakie wartości otrzymuje pole TTL w wysyłanych przez traceroute pakietach

  • zanalizować treść pakietu odpowiedzi routerów (jaki to pakiet?)

9. Skaner portów

  • Zapoznać się z działaniem typowego skanera portów TCP. Jakie korzyści daje program?

  • Namierzyć przy pomocy skanera porty aktywne na zdalnej maszynie


Zadanie B: Routing NAT





  1. Przygotować dwa węzły sieci lokalnej z przeznaczeniem na strefę publiczną i prywatną, ustalić adresację oraz maski obydwu stref

  2. Uruchomić ruter brzegowy EUSSO UIS1400. Ruter posiada interfejs sieci publicznej WAN (RJ45) oraz podłączony do switcha interfejs LAN. Switch wyprowadza 4 porty RJ45 na zewnątrz urządzenia. Podłączyć segment sieci publicznej do interfejsu WAN, segment sieci prywatnej do WAN.

  3. Wykonać reset rutera do ustawień fabrycznych, trzymając przez 5 sekund wciśnięty przycisk reset w obudowie. Następnie wyłączyć i włączyć ponownie zasilanie urządzenia.

  4. Zalogować się na ruter z sieci LAN (w tym celu będzie konieczne przekonfigurowanie IP jednego z komputerów w LAN i dostosowanie go do domyślnych ustawień LAN rutera (IP:192.168.123.254, MASKA:255.255.255.0). Aby się zalogować należy wpisać następujące dane:

  • Login: „admin”

  • Hasło: „”

  1. Zaprogramować interfejsy WAN i LAN rutera tak, aby ruter znalazł się w zasięgu zdefiniowanych wcześniej sieci (Basic Settings->Primary Setup). W tym celu należy włączyć opcję Static IP Addres.

  2. Włączyć opcję NAT (Network Address Translation)

  3. Zresetować ruter i zalogować się na nim ponownie po przejściu na adresację właściwą dla sieci prywatnej.

  4. Z komputera wewnątrz sieci sprawdzić komunikację (PING) z interfejsem WAN rutera, oraz komputerami znajdującymi się w sieci publicznej.

  5. Na komputerze w strefie publicznej uruchomić program Sniffera.

  6. Do komputera wysłać pakiety z maszyn sieci prywatnej (o znanych IP). Sprawdzić przy użyciu sniffera, z jakiego adresu napłynęły pakiety.


Zadanie C: Firewall, serwery wirtualne, strefa zdemilitaryzowana





  1. Serwer wirtualny:

  • Utrzymując konfigurację z poprzedniego zadania uruchom jakąkolwiek usługę TCP/IP (na przykład serwer HTTP) na dowolnym komputerze wewnątrz sieci.

  • W menu rutera zdefiniuj serwer wirtualny (Forwarding Rules->Virtual Server), definiując IP serwera w sieci wewnętrznej i numer portu TCP usługi.

  • Z komputera na zewnątrz sieci (strefa publiczna) spróbuj skorzystać ze skonfigurowanej usługi. Pod jakim adresem IP będzie ona dostępna?

  1. Wirtualne IP:

  • Funkcja Polega na translacji konkretnego adresu IP w sieci publicznej na adres IP w sieci prywatnej.

  • Zdefiniuj mapowanie wybranych dwóch adresów w ruterze NAT (Basic Settings -> Primary Setup -> przycisk Virtual Computers)

  • Sprawdź funkcjonowanie ustawienia

  1. Filtrowanie pakietów IP:

  • Włącz filtrowanie pakietów wychodzących i przychodzących (Secutity Setting -> Packet Filters)

  • Wybierz strategie filtrowania (blokowanie konkretnych pakietów przepuszczając inne, lub przepuszczanie konkretnych pakietów blokując pozostałe)

  • Zdefiniuj kilkakrotnie różne reguły kontrolujące dostęp do sieci dla konkretnych maszyn. Sprawdź działanie reguł. Precyzuj w kolejno testowanych regułach zarówno adresy w sieci wewnętrznej jak i zewnętrznej

  • Aby zdefiniować przedział adresów lub portów, należy użyć notacji: początkowy_adres-końcowy_adres, aby wymienić wszystkie adresy lub porty należy odpowiednie pole pozostawić niewypełnione.

  1. Filtrowanie pakietów na poziomie adresów MAC:

  • Włącz filtrowanie pakietów MAC (Secutity Setting -> MAC Control)

  • Zdefiniuj reguły dostępu do sieci bazujące na MAC.

  • Przetestuj działanie funkcji filtrowania pakietów na poziomie adresów MAC.

  1. Filtrowanie zapytań URL:

  • Włącz filtrowanie URL (Secutity Setting -> URL Blocking)

  • Zdefiniuj regułę blokowania. Jako URL wpisz słowo kluczowe. Zostaną zablokowane wszystkie ścieżki URL, zawierające w sobie słowo kluczowe.

  • Sprawdź funkcjonowanie filtrowania URL.

  1. Strefa zdemilitaryzowana

  • Usuń z konfiguracji rutera definicje serwerów wirtualnych i wirtualnych komputerów

  • Ustaw strefę zdemilitaryzowaną jako jeden z adresów komputerów w sieci prywatnej (Forwarding Rules -> Miscellaneous Items -> IP Address of DMZ Host)

  • Na komputerze wyznaczonym jako strefa zdemilitaryzowana uruchom usługi TCP/IP

  • Skorzystaj z uruchomionych usług, będąc w sieci publicznej


Zadanie D: Serwer DHCP





  1. Serwer DHCP służy do dynamicznego przydzielania adresów IP maszynom w sieci lokalnej.

  2. Konfiguracja klienta:

  • w ustawieniach połączenia sieciowego wybierz protokół TCP/IP

  • ustaw automatyczne pobieranie adresów IP i adresów DNS

  1. Konfiguracja serwera:

  • Włącz serwer DHCP (Basic Settings -> DHCP Server -> Enable)

  • Zdefiniuj pulę adresów, jakie będą przypisywane klientom (przedział od IP Pool Starting Address do IP Pool Ending Address)

  • Wykonaj reboot serwera

  1. Dołącz dowolny komputer do sieci i sprawdź czy uzyskał on adres IP (ipconfig). Sprawdź także, czy figuruje on w rejestrze serwera (przycisk „Clients list”)

  2. Zdefiniuj sztywne przypisanie wybranego adresu MAC do IP (przycisk Fixed Mapping). Sprawdź działanie przypisania.

  3. Zdefiniuj reguły zabraniające przydziału IP dla wybranych komputerów (na bazie adresów MAC) (checkbox Connection Control). Sprawdź działanie reguł.

Zadanie E: Wirtualne Sieci Prywatne – tunelowanie komunikacji między sieciami





  1. Dynamiczne tunele VPN można zestawiać pomiędzy różnymi sieciami LAN znajdującymi się w sieci rozległej. Tunele sprawiają, iż sieci lokalne z punktu widzenia ich użytkowników łączą się w jedną sieć, a komunikacja pomiędzy komputerami znajdującymi się fizycznie w różnych pierwotnie sieciach jest realizowana przy pomocy szyfrowanego tunelu w sieci rozległej.

  2. Tunele są realizowane pomiędzy dwoma tzw. bramkami VPN (ruterami)

  3. Aby utworzyć tunel jedna bramka musi stać się serwerem Dynamicznego Tunelowania VPN. Drugi koniec tunelu jest bramką logującą się na serwerze VPN jako klient.

  4. Przygotowanie sieci:

  • przygotować trzy segmenty sieci: jeden dla sieci publicznej, dwa dla sieci prywatnych. W każdym segmencie zdefiniować inna adresację.

  • Podłączyć sieci prywatne do dwóch ruterów po stronie LAN

  • Podłączyć obydwa interfejsy WAN ruterów do wspólnej sieci publicznej. Pakiety przechodząc z jednej sieci prywatnej do drugiej będą musiały pokonać drogą przez sieć publiczną.

  • Do sieci prywatnych podłączyć przynajmniej po dwa komputery

  1. Konfiguracja serwera dla Dynamic VPN Tunneling:

  • Wybrać ruter, który będzie bramką z serwerem tunelowania

  • W ruterze zdefiniować sieci ustawienia sieci WAN i LAN. Włączyć NAT. Konieczne jest także zdefiniowanie następnej bramki (w sieci WAN), prowadzącej do przeciwległych stron przyszłych kanałów.

  • W ruterze tym włączyć opcję Wirtualnych sieci prywatnych (Security Settings -> VPN Settings)

  • W ustawieniach Dynamic VPN Tunneling (Security Settings -> VPN Settings -> przycisk Dynamic VPN Tunnel);

  • Włączyć serwer (opcja Enable)

  • Ustalić parametry sieci lokalnej

  • Ustawić tzw. Preshare key, czyli łańcuch będący podstawą dla wymiany kluczy szyfrowania

  • Ustawić przynajmniej jedną konfigurację IKE (Internet Key Exchange).
    Jedynym ograniczeniem w konfiguracji jest tu czas życia kluczy szyfrujących, wynoszący 300 sekund lub 1000 kB danych. Pozostałe wartości można zdefiniować dowolnie.

  • Ustawić przynajmniej jedną konfigurację IPSec

  1. Konfiguracja bramki-klienta dla Dynamic VPN Tunneling:

  • W drugim ruterze także zdefiniować parametry LAN i WAN, włączyć opcję Wirtualnych sieci prywatnych i w tym samym oknie konfiguracji zdefiniować tunel VPN:

  • Zdefiniować maksymalną liczbę jednocześnie otwartych tuneli (2)

  • Wybrać metodę wymiany kluczy jako IKE

  • W dalszej części konfiguracji (przycisk More) zdefiniować nazwę tunelu i wpisać dane obydwu sieci

  • Podać adres zdalnej bramki VPN (w sieci publicznej)

  • Podać Preshare key (dokładnie ten sam, jakim dysponuje serwer!)

  • Wybrać przynajmniej po jednej konfiguracji IKE i IPSec (uwaga: przy łączeniu tunelu nastąpi próba dopasowania dostępnych konfiguracji serwera i klienta. Połączenie nie nastąpi jeśli klient i serwer nie będą dysponowały identycznymi parami konfiguracji zarówno w przypadku IKE jak i IPSec)

  1. Wysłać jakikolwiek pakiet z dowolnego komputera sieci prywatnej do innego komputera drugiej sieci prywatnej. W tym momencie dynamiczny tunel VPN zostanie utworzony.

  2. Sprawdzić obustronną komunikację przez tunel VPN

  3. W przypadku problemów sprawdzić logi ruterów (Status->przycisk Log files)

Zadanie F: Wirtualne Sieci Prywatne – połączenia Point-to-Point





  1. Protokół PPTP (Point-to-Point Tunneling Protocol) zapewnia tunelowanie typu klient-serwer. Jedna ze stron (serwer) utrzymuje bazę kont, stanowiących kryteria weryfikacji zdalnych klientów i włączania ich do sieci prywatnej. Serwer przyporządkowuje nowej stacji w sieci wirtualny adres IP, którym stacja posługuje się wewnątrz VPN (posiadając oprócz tego swój fizyczny IP do komunikacji poza VPN). Istnieje także możliwość statycznego przypisywania adresów VPN.

  2. Konfiguracja serwera dla PPTP:

  • Wybrać ruter, który będzie bramką z serwerem tunelowania

  • W ruterze tym włączyć opcję Wirtualnych sieci prywatnych (Security Settings -> VPN Settings)

  • W ustawieniach PPTP Server Setting (Security Settings -> VPN Settings -> przycisk PPTP Server Setting ...):

  • Włączyć serwer (opcja Enable)

  • Ustalić wirtualny adres IP serwera PPTP (serwer ten będzie pełnił rolę bramki z tworzonej podsieci wirtualnej, więc posiada adres z końcówką 1. Kolejne wirtualne adresy klientów będą generowane tak, aby znalazły się w jednej podsieci z bramką). Uwaga: tworzona podsieć wirtualna powinna zostać odróżniona od sieci prywatnej po stronie LAN bramki fizycznej

  • Ustalić protokół wymiany haseł (PAP (nieszyfrowany), CHAP, MSCHAP)

  • Zdefiniować konto dla klientów serwera PPTP (login + hasło)

  1. Konfiguracja klienta dla PPTP (komputer/Windows):

  • W połączeniach sieciowych utworzyć (Create a new connection) połączenie z przeznaczeniem „Connect to the network at my workspace”

  • Wybrać ustawienie „VPN connection” i podać IP bramki PPTP (po stronie WAN)

  • W utworzonym połączeniu zapisać stosowny loginname i hasło

  • W Properties-> zakładka Security-> wybór Advanced -> Settings -> wybór Allow these protocols wybierz protokół szyfrowania haseł, którym posługuje się serwer PPTP

  • Połącz z serwerem PPTP

  • Sprawdź (ipconfig) jaki adres IP został przydzielony interfejsowi połączenia wirtualnego

  • Sprawdź czy istnieje obustronna komunikacja pomiędzy wirtualną siecią utrzymywaną przez serwer PPTP a prywatną siecią fizyczną w VPN.



Zadanie G: Routing statyczny i dynamiczny





  1. Routing statyczny bazuje na ręcznie tworzonych tablicach trasowania pakietów w sieci. Możliwe jest maskowanie przedziału adresacji IP i wysyłanie ich na określoną bramkę w sieci.

  2. Przygotuj trzy fizyczne podsieci, połączone dwoma ruterami EUSSO UIS1400. W podsieciach wprowadź różną adresację. W razie konieczności zastosuj dodatkowo urządzenia switch.

  3. Skonfiguruj rutery do pracy z sieciami. Koniecznie wyłącz NAT – trasowanie dotyczy pakietów od wszystkich stacji w sieci.

  4. W przejdź do konfiguracji routingu (Advaced Settings ->Routing)

  5. Włącz routing statyczny (Static Routing) i zdefiniuj reguły rutowania:

  • w Polu Destination wpisz adres sieci docelowej dla pakietu (za drugim ruterem)

  • w polu Subnet Mask wpisz maskę tej sieci

  • w polu Gateway wpisz adres IP interfejsu rutera brzegowego dla docelowej sieci. Interfejs ten powinien znajdować się po stronie sieci łączącej dwie sieci skrajne – czyli tej, przez którą pakiet musi przejść aby osiągnąć cel

  1. Wykonaj powyższe czynności w przypadku drugiego rutera.

  2. Programem traceroute sprawdź trasę pomiędzy dwoma sieciami zewnętrznymi, startując zarówno z jednej skrajnej sieci jak i drugiej. Śledzenie zajmie dłuższą chwilę, gdyż konieczna będzie aktualizacja tablica ARP w urządzeniach, którą śledzenie przy okazji spowoduje.

  3. Programem ping sprawdź ostatecznie komunikację pomiędzy maszynami w sieciach

  4. Aby uruchomić ruting dynamiczny, w obydwu ruterach należy wyłączyć routing statyczny i włączyć RIP. Rutery ustalą automatycznie trasy dla pakietów po kilkudziesięciu sekundach.

  5. Rozbudować sieć o kolejny segment, stosując trzeci ruter. Do trasowania pakietów użyć routingu statycznego. Segmenty połączyć w dwóch konfiguracjach:

  • Segmenty ustawione są w jednej linii

  • Jeden segment posiada trzy bramy do trzech sąsiadujących z nim bezpośrednio podsieci

: ~mitu -> data -> 2006 -> sieci




©absta.pl 2019
wyślij wiadomość

    Strona główna