Ćwiczenie Listy kontroli dostępu acl



Pobieranie 19.52 Kb.
Data30.04.2016
Rozmiar19.52 Kb.
Laboratorium Zaawansowanych Zagadnień Sieci Komputerowych.

Ćwiczenie 3. Listy kontroli dostępu ACL

Zadanie 1


Standardowe listy kontroli dostępu.

Przy użyciu programu Packet Tracert utwórz topologię jak na rysunku:




Sprawdź czy wszystkie komputery mogą się komunikować między sobą.

Na routerze Router1 zaimplementuj ACL w taki sposób, żeby tylko host PC3 mógł się połączyć z hostem PC1. Pozostała komunikacja poprzez router powinna zostać zablokowana. Natomiast Komunikacja wewnątrz sieci LAN2 powinna być dozwolona.


W celu wykonania zadania należy zdefiniować standardową listę kontroli dostępu, wg schematu:
Router (config)#access-list <deny | permit>
Router (config)#access-list 1 permit 192.168.10.3 0.0.0.0
Listy standardowe mają zakres numeracji od 1-99. Należy pamiętać o użyciu numeru z odpowiedniego zakresu.

Następnie utworzoną listę należy dodać do odpowiedniego interfejsu routera.

Listy standardowe należy umieszczać jak najbliżej miejsca docelowego
Router#configure terminal
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip access-group 1 out
Przetestuj działanie listy kontroli dostępu. Czy wybrane komputery zostały zablokowane?
Zadanie 2
Administrator sieci wykrył naruszenie zasad bezpieczeństwa polegające na próbie niedozwolonego dostępu do serwerów organizacji. Adresy hostów z których odnotowano próby ataku to:

87.122.158.238

87.122.158.230

87.122.158.246

87.122.158.254

Zastosuj standardową listę kontroli dostępu aby zabronić całkowicie na dostęp z podanych adresów IP. Do zablokowania ruchu należy użyć pojedynczej reguły ACL z odpowiednią maską blankietową.

Schemat sieci przedstawiono na rysunku:


Przetestuj czy zastosowana reguła nie blokuje innych użytkowników. Sprawdź czy możliwy jest dostęp do serwera1 z hostów PC10 i PC9.
Uwaga:

W celu uproszczenia konfiguracji sieci można użyć pojedynczego routera z odpowiednią ilością interfaceów zamiast chórki symbolizującej Internet.


Zadanie 3

Zadanie dotyczy użycia rozszerzonych list dostępu. Mogą one oprócz adresu źródła filtrować pakiety także po adresie docelowym oraz numerze portu. numeracja list rozszerzonych dla protokołu IP ma zakres 100-199 oraz 2000-2699.

Dla schematu sieci z zadania 2 dodaj listy kontroli dostępu zezwalające tylko na dostęp HTTP i HTTPS do serwera1 oraz na dostęp FTP i TELNET do serwera2 z zewnętrznych adresów. Wydziel sieć 140.20.0.0/16 zewnętrznej firmy zarządzającej serwerami z blokowania ruchu.
Uwaga:

Należy pamiętać, że reguły listy kontroli dostępu są sprawdzane w kolejności wpisania do routera, aż do momentu natrafienia na regułę pasującą do danego pakietu. Jeśli router nie dopasuje żadnej reguły – pakiet jest odrzucany!

W przypadku numerowanej listy kontroli dostępu nie jest możliwa zmiana kolejności, pominięcie, edycja ani usunięcie instrukcji. Z tego powodu warto jest utworzyć listę kontroli dostępu w edytorze tekstu, takim jak Notatnik, a następnie wkleić polecenia do pliku konfiguracji routera, zamiast wpisywać polecenia bezpośrednio na routerze.
Przykładowe użycie komendy dodającej listę kontroli dostępu wygląda następująco:
Router(config)#access-list 101 permit tcp any 192.168.100.1 0.0.0.0 eq 443
Po skonfigurowaniu List należy dołożyć odpowiednie wpisy do interfejsów routera.
Zadanie 4

Dla schematu z poprzedniego zadania zastosuj regułę, która zezwoli na wpuszczanie do sieci ruchu nawiązanego wcześniej. Wykorzystaj parametr established zaawansowanej listy ACL.


Zadanie 5

Poniższe ćwiczenia można zrealizować przy użyciu przygotowanej topologii ACL_STRUCTURE.pkt. Sprawozdaniem z ćwiczenia są odpowiednio opisane projekty sieci (zrzut ekranu z programu Packet Tracer) razem z najważniejszymi częściami konfiguracji routerów.


Zgodnie z polityką firmy tylko pracownicy administracyjni powinni mieć dostęp do sieci LAN_ADM. Grupa pracowników produkcyjnych LAN_PROD nie powinna mieć dostępu do tej sieci.

Skonfiguruj rozszerzoną listę dostępu tak, aby umożliwić pracownikom administracyjnym dostęp do sieci LAN_ADM.

Ponadto wszyscy pracownicy powinni mieć dostęp tylko do wybranych usług serwerów z sieci LAN_SERWER. Serwer1 pełni funkcję serwera FTP, serwer2 jest serwerem WWW oraz poczty, na serwerze0 działa aplikacja PRODUKCJA, która korzysta z portów 1300-1310.

Komputery administratorów sieci powinny mieć dostęp poprzez protokół ssh do wszystkich urządzeń a każdej sieci.

Polecenie ping powinno być możliwe do wykonania tylko z sieci LAN_ADM.

Sieć powinna być zabezpieczona przed dostępem z Internetu. Dostęp z zewnątrz powinien być możliwy tylko do serwera WWW.

Przy wykonaniu topologii można przyjąć dowolny schemat adresowania lokalnego i publicznego.

DODATEK 1

polecenie access-list – wprowadzenie listy kontroli dostępu (tryb konfiguracji)

polecenie ip access-group dodanie listy dostępu do konkretnego interfejsu (w trybie konfiguracji interfejsu)


Składnia poleceń:

Router (config)#access-list <deny | permit>

Router (config-if)#
access-group <in|out>
Przykład poleceń:

Router (config)#access-list 2 deny 10.10.10.0 0.0.0.255

Router (if-config)#ip access-group 117 out
DODATEK 2

O czym należy pamiętać zakładając listę kontroli dostępu:



  • Dla każdego protokołu i kierunku powinna istnieć osobna lista.

  • Standardowe listy kontroli dostępu powinny być stosowane jak najbliżej miejsca docelowego.

  • Rozszerzone listy kontroli dostępu powinny być stosowane jak najbliżej źródła.

  • To, czy interfejs jest przychodzący, czy wychodzący, należy ustalić, patrząc na port „z wnętrza routera".

  • Instrukcje są przetwarzane po kolei od początku listy do jej końca, aż do znalezienia instrukcji pasującej. Jeśli nie znaleziono pasującej instrukcji, pakiet jest odrzucany.

  • Na końcu każdej listy kontroli dostępu znajduje się niejawna instrukcja deny any. Ta instrukcja nie jest wyświetlana na listingu konfiguracji.

  • Pozycje na liście kontroli dostępu powinny dokonywać filtracji w kolejności od szczegółowych do ogólnych. Na początku powinny znajdować się zakazy dostępu dotyczące konkretnych hostów, a na końcu filtry ogólne lub przeznaczone dla grup.

  • Nowe wiersze są zawsze dodawane na końcu listy kontroli dostępu. Całą listę można usunąć przy użyciu polecenia no access-list x. Nie jest możliwe selektywne dodawanie ani usuwanie wierszy z numerowanych list ACL.

DODATEK 3

Numeracja list kontroli dostępu:



<1-99> standardowa lista dostępu IP

<100-199> rozszerzona lista dostępu IP

<1000-1099> lista dostępu IPX SAP

<1100-1199> rozszerzona lista dostępu 48-bitowych adresów MAC

<1200-1299> lista dostępu adresu skonsolidowanego IPX

<1300-1999> standardowa lista dostępu IP (rozszerzony zakres)

<200-299> lista dostępu typu-kodu protokołu

<300-399> lista dostępu DECnet

<600-699> lista dostępu Appletalk

<700-799> lista dostępu 48-bitowych adresów MAC

<800-899> standardowa lista dostępu IPX

<900-999> rozszerzona lista dostępu IPX

<2000-2699> rozszerzona lista dostępu IP (rozszerzony zakres)

rate-limit lista dostępu określająca prosty limit szybkości


DODATEK 4

Maska Blankietowa

Maska blankietowa pomimo podobieństwa do od zwykłej maski podsieci działa w odmienny sposób. Służy ona do ograniczenia bitów adresu, które są porównywane ze wzorcem w zasadzie kontroli dostępu. ze wzorcem porównywane są tylko te bity adresu, które w masce blankietowej mają wartość 0.

Przykład


Dla adresu 192.168.0.1 i maski blankietowej 0.0.0.255 do reguły listy kontroli dostępu będą pasować adresy hostów od 192.168.0.1 do 192.168.0.254.

A dla maski blankietowej 0.255.0.0 będą pasować adresy 192.0.0.1, 192.1.0.1, 192.2.0.1 192.3.0.1 .... 192.255.0.1.


Pobieranie 19.52 Kb.





©absta.pl 2020
wyślij wiadomość

    Strona główna