Файл: Практикум по теме Технологии обеспечения безопасности локальных сетей.rtf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.11.2023
Просмотров: 225
Скачиваний: 15
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
.1. Назначение и функции коммутаторов D-Link
.2. Классификация угроз сетевой безопасности
.3.Возможности коммутаторов D-Link по обеспечению сетевой безопасности
Глава 2. Лабораторный практикум по теме «Технологии обеспечения безопасности локальных сетей»
2.1. Лабораторная работа 1 «Базовые механизмы безопасности коммутаторов »
2.2. Лабораторная работа 2 «Функция Port Security»
2.3. Лабораторная работа 3 «Функция IP-MAC-Port Binding»
2.4. Лабораторная работа 4 «Безопасность на основе сегментации трафика»
;
- Strict mode - порт по умолчанию открыт.
Цель работы: научиться управлять подключением узлов к портам коммутатора и изучить настройку функции IP-MAC-Port Binding на коммутаторах D-Link.
Оборудование: коммутатор D-Link 3200-10, рабочая станция, консольный кабель, кабель Ethernet.
Настройка функции IMPB в режиме ARP.
Рисунок 12 - Функция IMPB в режиме ARP
Верните настройки коммутатора к заводским (по умолчанию) командой:
reset config
Замените указанные в командах MAC-адреса на реальные MAC-адреса компьютеров, подключенных к коммутатору.
Создайте запись IP-MAC-Port Binding, связывающую IP- и MAC-адрес ПК 1 с портом 2 (по умолчанию режим работы функции ARP):
address_binding ip_mac ipaddress 10.90.90.101 mac_address 00-50-ba-00-00-01 port 2
Создайте запись IP-MAC-Port Bindnig, связывающую IP- и MAC-адрес ПК 2 с портом 8:
create address_binding ip_mac ipaddress 10.90.90.102 mac_address 00-50-ba-00-00-02 port 8
Активизируйте функцию на портах 2 и 8 (по умолчанию режим работы портов Strict):
config address_binding ip_mac ports 2, 8 state enable
Проверьте созданные записи IP-MAC-Port Binding:
show address_binding ip_mac all
Проверьте порты, для которых настроена функция, и их режим работы:
address_binding ports
Подключите рабочие станции ПК 1 и ПК 2 к коммутатору как показано на рисунке (см. рисунок 12).
Проверьте доступность соединения между рабочим станциями командой:
ping
Включите запись в log-файл и отправку сообщений SNTP Trap в случае несоответствия ARP-пакета связки IP-MAC:
enable address_binding trap_log
Подключите ПК 1 к порту 8, а ПК 2 к порту 2.
Повторите тестирование соединения между рабочими станциями командой ping.
Проверьте заблокированные рабочие станции
show address_binding blocked all
Проверьте наличие заблокированных станций в log-файле.
show log
Какой вы сделаете вывод?
Удалите адрес из списка заблокированных адресов:
delete address_binding blocked vlan_name System mac_address 00-50-ba-00_00-01
Удалите IP-MAC-Port Binding:
address_binding ip_mac ipaddress 192.168.1.12 mac_address 00-50-ba-00-00-01
Отключите функцию IP-MAC-Port-Binding на портах 2 и 8:
config address_binding ip_mac ports 2, 8 state disable
Настройка функции IP-MAC-Port Binding в режиме ACL
Создайте запись IP-MAC-PortBinding , связывающую IP- и MAC-адрес станции ПК 1 с портом 2:
create address_binding ip_mac ipaddress 10.90.90.101 mac_address 00-50-ba-00-00-01 ports 2
Создайте запись IP-MAC-Port Bindnig, связывающую IP- и MAC-адрес станции ПК 2 с портом 8:
create address_binding ip_mac ipaddress 10.90.90.102 mac_address 00-50-ba-00-00-02 ports 8
Активируйте функцию на портах 2 и 8 (по умолчанию режим работы портов Strict), включите режим allow_zeroip, благодаря которому коммутатор не будет блокировать узлы, отправляющие ARP-пакеты с IP-адресом источника 0.0.0.0, и установите режим работы функции IMPB в режиме ACL (команда вводится в одну строку):
config address_binding ip_mac ports 2, 8 state enable allow_zeroip enable mode acl
Проверьте созданные записи IP-MAC-PortBinding:
show address_binding ip_mac
Проверьте порты, на которых настроена функция и режим их работы:
show address_binding ports
Проверьте созданные профили доступа ACL:
access_profile
Подключите рабочие станции к коммутатору, как показано на рисунке (см. рисунок 12).
Повторите доступность соединения между станциями командой ping.
ping
Подключите ПК 1 к порту 8, а ПК 2 к порту 2.
Повторите тестирование соединения между станциями командой ping.
Проверьте заблокированные рабочие станции:
show address_binding blocked all
Какой вы сделаете вывод?
Удалите адрес из списка заблокированных адресов:
delete address_binding blocked vlan_name System mac_address 00-50-ba-00-00-01
Удалите все заблокированные адреса:
address_binding blocked all
Удалите все записи IP-MAC-Port Binding:
address_binding ip_mac ipaddress 10.90.90.102 mac_address
00-50-ba-00-00-02address_binding ip_mac ipaddress 10.90.90.101 mac_address
00-50-ba-00-00-01
Отключите функцию IP-MAC-Port Binding на портах 2 и 8:
config address_binding ip_mac ports 2, 8 state disable
Какой можно сделать вывод о функции IP-MAC-Port Binding в режиме ACL?
Функция Traffic Segmentation (сегментация трафика) служит для разграничения доменов на канальном уровне. Она позволяет настраивать порты или группы портов коммутатора таким образом, чтобы они были полностью изолированы друг от друга, но имели доступ к разделяемым портам, которые используются, например, для подключения серверов или магистрали сети. Функция сегментация трафика может использоваться с целью сокращения трафика внутри сетейVLAN802.1q, позволяя разбивать их на меньшие группы. При этом правила VLAN имеют более высокий приоритет при передаче трафика, правила Traffic Segmentation применяются после них.
Используя функцию Traffic Segmentation, настройте порты коммутатора 9 - 16 коммутатора 1, находящиеся во VLAN v3, таким образом, чтобы рабочие станции, подключенные к ним, не могли обмениваться данными между собой, но при этом могли передавать их через магистральный канал.
Цель работы: изучить функцию сегментации трафика и ее настройку на коммутаторах D-Link.
Рисунок 13 - Пример использования функции Traffic Segmentation
Оборудование: коммутатор D-Link DES 3810-28, рабочая станция, консольный кабель, кабель Ethernet.
Перед выполнением работы лабораторной работы необходимо вернуть настройки коммутатора к заводским командой:
reset config
Примечание: перед созданием новой VLAN используемые в ней порты необходимо удалить VLAN по умолчанию, т. к. в соответствии со стандартом IEEE 802.1q немаркированные порты не могут одновременно принадлежать нескольким VLAN.
Настройка коммутатора 1
Удалите порты коммутатора из VLAN по умолчанию для их использования в других VLAN:
config vlan default delete 1-16
Настройте порт 25 маркированным во vlan default:
vlan default add tagged 25
Создайте VLAN v2 и v3, добавьте соответствующие VLAN порты, которые необходимо настроить немаркированными. Настройте порт 25 маркированным:
create vlan v2 и v3vlan v2 add untagged 1-8vlan v3 add tagged 25vlan v3 tag 3vlan v3 add untagged 9-16
Проверьте настройку VLAN:
show vlan
Проверьте доступность соединения между рабочими станциями командой ping:
ping
от ПК 1 к ПК 3
от ПК 2 к ПК 4
от ПК 1 к ПК 2 и ПК 4
от ПК 2 к ПК 1 и ПК 3
Настройте сегментацию трафика:
config traffic_segmentation 9-16 forward_list 25
Проверьте выполненные настройки:
show traffic_segmentation
Подключите ПК 1 к порту 9 коммутатора.
Проверьте доступность соединения между рабочими станциями командой ping:
ping
От ПК 1 к ПК 2
От ПК 1 к ПК 4
Запишите, что вы наблюдаете.
Списки контроля доступа являются средством фильтрации потоков данных без потери производительности, т. к. проверка содержимого пакетов данных выполнятся аппаратно. Фильтруя потоки данных, администратор может ограничить типы приложений разрешенных для использования в сети, контролировать доступ пользователей к сети и определять устройства, к которым они могут подключаться.
Списки контроля доступа (Access Control list, ACL) представляют собой последовательность условий проверки параметров пакетов данных. При поступлении сообщения на входной интерфейс, коммутатор проверяет параметры пакетов данных на совпадение с критериями фильтрации, определенными в ACL и выполняет над пакетами одно из действий: permit (разрешить) или deny (запретить).
Списки контроля доступа (Access Control list, ACL) состоят из профилей доступа (Access Profile) и правил (Rule). Профили доступа определяют типы критериев, которые должны проверяться в пакете данных (MAC-адрес, IP-адрес, номер порта, VLAN и т. д.), а в правилах указываются непосредственно значения их параметров. Каждый профиль может состоять из множества правил. Цель работы: настроить списки контроля доступа на коммутаторе D-Link, используя в качестве критериев фильтрации MAC и IP-адреса. Оборудование: коммутатор DES-3200-10, рабочая станция консольный кабель.
Настройка ограничения доступа пользователей к серверу по IP-адресам
Рисунок 14 - Ограничение доступа к серверу по IP-адресам
Разрешить доступ к серверу компьютерам с IP-адресами в диапазоне от 10.90.90.101/24 до 10.90.90.104/24. Остальным компьютерам сети 10.90.90.105/24 до 10.90.90.108/24 доступ к серверу запретить.
Правило 1
Если IP-адрес источника попадает в диапазон от 10.90.90.101 до 10.90.90.104 (подсеть 10.90.90.91/24) - доступ разрешить (permit).
Правило 2
Если IP-адрес источника попадает в диапазон 10.90.90.105 до 10.90.90.108 доступ запретить.
Правило 3
Иначе, разрешить доступ всем узлам.
Настройка коммутатора 1
Перед выполнением задания необходимо вернуть настройки коммутатора к заводским командой:
reset config
Удалите порты коммутатора из VLAN по умолчанию для их использования в других VLAN:
vlan default delete 1-8
Создайте VLAN v2 и добавьте соответствующие порты, которые необходимо настроить немаркированными. Настройте порт 2 маркированным:
create vlan v2 tag 2vlan v2 add untagged 1-8vlan v2 add tagged 2
Проверьте настройки VLAN:
vlan
Повторите процедуру настройки для коммутатора 2.
Проверьте доступность соединения между ПК 1 и ПК 2 командой ping:
Правило 1
Создать профиль доступа с номером 1, разрешающий доступ для подсети 10.90.90.91/24 (узлам с 101 по 104):
create access_profile profile_id 1 profile_name 1 ip source_ip_mask 255.255.255.0
Создать правило для профиля доступа 1:
config access_profile profile_id 1 add access_id 1 ip source_ip 10.90.90.91 port 2 permit
Правило 2
Создать профиль доступа с номером 2, запрещающий остальным станциям доступ к серверу:
create access_profile profile_id 2 profile_name 2 ip source_ip_mask 255.255.255.0
Создайте правило для профиля доступа 2:
config access_profile profile_id 2 add access_id 1 ipsource_ip 10.90.90.91 port 2 deny
Созданное правило запрещает прохождение через порт 25 трафика, который принадлежит сети 10.90.90.91/24, но не входит в разрешенный диапазон.
Правило 3
Иначе, разрешить доступ всем узлам.
Проверьте созданные профили:
show access_profile
1) Что вы наблюдаете? Сколько профилей создано, сколько в них правил?
) Подключите рабочую станцию, как показано на рисунке (с адресом из диапазона 10.90.90.101 до 10.90.90.104) к коммутатору 2. Протестируйте командой ping соединение с сервером 10.90.90.91/24. Запишите, что вы наблюдаете.
) Измените IP-адрес рабочей станции ПК 1 (задайте адрес из диапазона 10.90.90.105/24 - 10.90.90.108/24) Протестируйте соединение с сервером 10.90.90.91/24. Запишите, что вы наблюдаете.
Удалите профиль ACL (например, профиль 2):
delete access_profile profile_id 2
Проверьте соединение с сервером командой ping:
ping 10.90.91.91
Запишите, что вы наблюдаете.
Настройка фильтрации кадров по MAC-адресам
Настроить профиль доступа так, чтобы кадры, принимаемые на любой порт коммутатора от ПК3 (с MAC-адресом 00-50-ba-22-22-22) зеркалировались (копировались) на целевой порт коммутатора, к которому подключено устройство мониторинга сети.
Рисунок 15 - Фильтрация кадров по MAC-адресам
Замените MAC-адреса, указанные в командах на реальные MAC-адреса рабочих станций, подключаемых к коммутатору.
Формулировка правила: если MAC-адрес источника равен MAC-адресу ПК 3 (00-50-ba-22-22-22) , то следует копировать кадры на целевой порт.
Создать профиль доступа 3:
create access_profile profile_id 3 profile_name 3 ethernet source_mac 00-50-ba-22-22-22
Создать правило для профиля доступа 3, в результате выполнения которого кадры, принимаемые на порт коммутатора с ПК 3, будут зеркалироваться на любой порт.
config access_profile profile_id 3 add access_id 1 ethernet source_mac 00-50-ba-22-22-22 port all mirror
Включите функцию зеркалирования портов глобально на коммутаторе:
enable mirror
Укажите целевой порт:
config mirror port 8
Захватите и проанализируйте пакеты с помощью анализатора протоколов. Запишите наблюдения.
Подключите рабочую станцию ПК 3 к порту 8 на коммутаторе.
Проверьте доступность соединения между ПК 2 и ПК 3 командой ping.
Захватите и проанализируйте пакеты с помощью анализатора протоколов. Запишите наблюдения.
Удалите все профили ACL:
access_profile all
Отключите функцию зеркалирования портов:
disable mirror
Коммутатор является сложным техническим устройством и требует соблюдения ряда мер предосторожности при работе.
Питание прибора осуществляется от сети напряжением 220 В, которое может быть опасным для жизни, поэтому:
- не открывайте крышку включенного прибора - все необходимые элементы управления и коммутационные разъемы вынесены на переднюю и заднюю сторону прибора;
- не подвергайте прибор воздействию избыточного тепла и влажности. После перевозки в зимних условиях перед включением в сеть необходимо дать ему прогреться в течение 2 - 3 часов;
- для чистки корпуса используйте сухую или слегка влажную салфетку. Не пользуйтесь растворителями, не допускайте попадания внутрь корпуса влаги, кислот и щелочей.
Особое внимание следует уделить заземлению. Пожалуйста, придерживайтесь следующих рекомендаций:
- сделайте в рабочем помещении надежную земляную шину;
- используйте трехпроводную сеть 220 В (фаза, «ноль», «земля») для питания прибора и других устройств, оснащенных европейскими розетками;
- подключите все устройства, имеющие клемму «земля», к шине заземления, для каждого устройства используйте отдельный провод;
- используйте отдельную силовую сеть для подключения мощных потребителей электроэнергии.
Заключение
Защита информации в компьютерных сетях является важным фактором, поэтому ее потеря или разглашение недопустимо. Нужно помнить, что злоумышленники ведут охоту за конфиденциальными данными. При этом личные данные сотрудников им не всегда интересны, а вот секретная информация предприятия, разглашение которой может принести непоправимый урон развитию бизнеса и чревато большими убытками,
В ходе данной дипломной работы были рассмотрены теоретические аспекты обеспечения безопасности компьютерных сетей на базе коммутаторов D-Link. Рассмотрены назначения и функции коммутаторов, а так же рассмотрены, используемые в данной работе коммутаторы D-Lnk. Дана классификация угрозам сетевой безопасности и приведены возможности коммутаторов D-Link по обеспечению сетевой безопасности.
Разработаны методические указания к лабораторному практикуму для студентов НТГМК по следующим направлениям: базовые настройки коммутаторов по обеспечению сетевой безопасности, функция Trusted Hosts, Port Security и IP-MAC-Port Binding, списки контроля доступа (Access Control List, ACL) и сегментация трафика.
Рассмотрены основные меры безопасности при работе с коммутационным оборудованием.
Печатные издания:
. Борисенко А.А. Локальная сеть. Просто как дважды два. ‒ Москва, 2007.
. Гольдштейн Б., Соколов В. Автоматическая коммутация. ‒ Москва, 2007.
3. Григорьев В.М. Виртуальная лаборатория по компьютерным сетям. ‒ Днепропетровск, 2011.
4. Кузин А.В. Компьютерные сети: - 3-е изд. Москва, 2009.
. Крейг Хант. Сетевое администрирование: - 3-е изд. - СПб - Москва, 2008.
. Лимончелли Т., Хоган К., Чейлап С. Системное и сетевое администрирование. ‒ СПб: Питер, 2010.
. Олифер В.Г., Олифер Н.А. Компьютерные сети, принципы, протоколы, технологии: - 2-е изд. - СПб: Питер, 2010.
. Олифер В.Г., Олифер Н.А. Основы компьютерных сетей. ‒ СПб: Питер, 2009.
. Олифер В.Г., Олифер Н.А. Сетевые операционные системы. - 2-е изд. - СПб: Питер, 2009.
. Палмер М. Проектирование и внедрение компьютерных сетей. ‒ СПб: Питер, 2004.
. Пескова С.А., Кузин А.В., Волков А.Н. Сети и телекоммуникации. ‒ Москва, 2008.
. Руденков Н.А., Долинер Л.И. Основы сетевых технологий. ‒ Екатеринбург, 2011.
. Смирнова Е., Козик П. Технологии современных сетей Ethernet. Методы коммутации и управления потоками данных. ‒ СПб: Питер, 2012.
. Смирнова Е., Пролетарский А., Ромашкина Е. Технологии коммутации и маршрутизации в локальных компьютерных сетях. ‒ Москва: Издательство МГТУ им. Н.Э. Баумана, 2013.
- Strict mode - порт по умолчанию открыт.
Цель работы: научиться управлять подключением узлов к портам коммутатора и изучить настройку функции IP-MAC-Port Binding на коммутаторах D-Link.
Оборудование: коммутатор D-Link 3200-10, рабочая станция, консольный кабель, кабель Ethernet.
Настройка функции IMPB в режиме ARP.
Рисунок 12 - Функция IMPB в режиме ARP
Верните настройки коммутатора к заводским (по умолчанию) командой:
reset config
Замените указанные в командах MAC-адреса на реальные MAC-адреса компьютеров, подключенных к коммутатору.
Создайте запись IP-MAC-Port Binding, связывающую IP- и MAC-адрес ПК 1 с портом 2 (по умолчанию режим работы функции ARP):
address_binding ip_mac ipaddress 10.90.90.101 mac_address 00-50-ba-00-00-01 port 2
Создайте запись IP-MAC-Port Bindnig, связывающую IP- и MAC-адрес ПК 2 с портом 8:
create address_binding ip_mac ipaddress 10.90.90.102 mac_address 00-50-ba-00-00-02 port 8
Активизируйте функцию на портах 2 и 8 (по умолчанию режим работы портов Strict):
config address_binding ip_mac ports 2, 8 state enable
Проверьте созданные записи IP-MAC-Port Binding:
show address_binding ip_mac all
Проверьте порты, для которых настроена функция, и их режим работы:
address_binding ports
Подключите рабочие станции ПК 1 и ПК 2 к коммутатору как показано на рисунке (см. рисунок 12).
Проверьте доступность соединения между рабочим станциями командой:
ping
Включите запись в log-файл и отправку сообщений SNTP Trap в случае несоответствия ARP-пакета связки IP-MAC:
enable address_binding trap_log
Подключите ПК 1 к порту 8, а ПК 2 к порту 2.
Повторите тестирование соединения между рабочими станциями командой ping.
Проверьте заблокированные рабочие станции
show address_binding blocked all
Проверьте наличие заблокированных станций в log-файле.
show log
Какой вы сделаете вывод?
Удалите адрес из списка заблокированных адресов:
delete address_binding blocked vlan_name System mac_address 00-50-ba-00_00-01
Удалите IP-MAC-Port Binding:
address_binding ip_mac ipaddress 192.168.1.12 mac_address 00-50-ba-00-00-01
Отключите функцию IP-MAC-Port-Binding на портах 2 и 8:
config address_binding ip_mac ports 2, 8 state disable
Настройка функции IP-MAC-Port Binding в режиме ACL
Создайте запись IP-MAC-PortBinding , связывающую IP- и MAC-адрес станции ПК 1 с портом 2:
create address_binding ip_mac ipaddress 10.90.90.101 mac_address 00-50-ba-00-00-01 ports 2
Создайте запись IP-MAC-Port Bindnig, связывающую IP- и MAC-адрес станции ПК 2 с портом 8:
create address_binding ip_mac ipaddress 10.90.90.102 mac_address 00-50-ba-00-00-02 ports 8
Активируйте функцию на портах 2 и 8 (по умолчанию режим работы портов Strict), включите режим allow_zeroip, благодаря которому коммутатор не будет блокировать узлы, отправляющие ARP-пакеты с IP-адресом источника 0.0.0.0, и установите режим работы функции IMPB в режиме ACL (команда вводится в одну строку):
config address_binding ip_mac ports 2, 8 state enable allow_zeroip enable mode acl
Проверьте созданные записи IP-MAC-PortBinding:
show address_binding ip_mac
Проверьте порты, на которых настроена функция и режим их работы:
show address_binding ports
Проверьте созданные профили доступа ACL:
access_profile
Подключите рабочие станции к коммутатору, как показано на рисунке (см. рисунок 12).
Повторите доступность соединения между станциями командой ping.
ping
Подключите ПК 1 к порту 8, а ПК 2 к порту 2.
Повторите тестирование соединения между станциями командой ping.
Проверьте заблокированные рабочие станции:
show address_binding blocked all
Какой вы сделаете вывод?
Удалите адрес из списка заблокированных адресов:
delete address_binding blocked vlan_name System mac_address 00-50-ba-00-00-01
Удалите все заблокированные адреса:
address_binding blocked all
Удалите все записи IP-MAC-Port Binding:
address_binding ip_mac ipaddress 10.90.90.102 mac_address
00-50-ba-00-00-02address_binding ip_mac ipaddress 10.90.90.101 mac_address
00-50-ba-00-00-01
Отключите функцию IP-MAC-Port Binding на портах 2 и 8:
config address_binding ip_mac ports 2, 8 state disable
Какой можно сделать вывод о функции IP-MAC-Port Binding в режиме ACL?
2.4. Лабораторная работа 4 «Безопасность на основе сегментации трафика»
Функция Traffic Segmentation (сегментация трафика) служит для разграничения доменов на канальном уровне. Она позволяет настраивать порты или группы портов коммутатора таким образом, чтобы они были полностью изолированы друг от друга, но имели доступ к разделяемым портам, которые используются, например, для подключения серверов или магистрали сети. Функция сегментация трафика может использоваться с целью сокращения трафика внутри сетейVLAN802.1q, позволяя разбивать их на меньшие группы. При этом правила VLAN имеют более высокий приоритет при передаче трафика, правила Traffic Segmentation применяются после них.
Используя функцию Traffic Segmentation, настройте порты коммутатора 9 - 16 коммутатора 1, находящиеся во VLAN v3, таким образом, чтобы рабочие станции, подключенные к ним, не могли обмениваться данными между собой, но при этом могли передавать их через магистральный канал.
Цель работы: изучить функцию сегментации трафика и ее настройку на коммутаторах D-Link.
Рисунок 13 - Пример использования функции Traffic Segmentation
Оборудование: коммутатор D-Link DES 3810-28, рабочая станция, консольный кабель, кабель Ethernet.
Перед выполнением работы лабораторной работы необходимо вернуть настройки коммутатора к заводским командой:
reset config
Примечание: перед созданием новой VLAN используемые в ней порты необходимо удалить VLAN по умолчанию, т. к. в соответствии со стандартом IEEE 802.1q немаркированные порты не могут одновременно принадлежать нескольким VLAN.
Настройка коммутатора 1
Удалите порты коммутатора из VLAN по умолчанию для их использования в других VLAN:
config vlan default delete 1-16
Настройте порт 25 маркированным во vlan default:
vlan default add tagged 25
Создайте VLAN v2 и v3, добавьте соответствующие VLAN порты, которые необходимо настроить немаркированными. Настройте порт 25 маркированным:
create vlan v2 и v3vlan v2 add untagged 1-8vlan v3 add tagged 25vlan v3 tag 3vlan v3 add untagged 9-16
Проверьте настройку VLAN:
show vlan
Проверьте доступность соединения между рабочими станциями командой ping:
ping
от ПК 1 к ПК 3
от ПК 2 к ПК 4
от ПК 1 к ПК 2 и ПК 4
от ПК 2 к ПК 1 и ПК 3
Настройте сегментацию трафика:
config traffic_segmentation 9-16 forward_list 25
Проверьте выполненные настройки:
show traffic_segmentation
Подключите ПК 1 к порту 9 коммутатора.
Проверьте доступность соединения между рабочими станциями командой ping:
ping
От ПК 1 к ПК 2
От ПК 1 к ПК 4
Запишите, что вы наблюдаете.
2.5. Лабораторная работа 5 «Списки контроля доступа (Access Control List, ACL)»
Списки контроля доступа являются средством фильтрации потоков данных без потери производительности, т. к. проверка содержимого пакетов данных выполнятся аппаратно. Фильтруя потоки данных, администратор может ограничить типы приложений разрешенных для использования в сети, контролировать доступ пользователей к сети и определять устройства, к которым они могут подключаться.
Списки контроля доступа (Access Control list, ACL) представляют собой последовательность условий проверки параметров пакетов данных. При поступлении сообщения на входной интерфейс, коммутатор проверяет параметры пакетов данных на совпадение с критериями фильтрации, определенными в ACL и выполняет над пакетами одно из действий: permit (разрешить) или deny (запретить).
Списки контроля доступа (Access Control list, ACL) состоят из профилей доступа (Access Profile) и правил (Rule). Профили доступа определяют типы критериев, которые должны проверяться в пакете данных (MAC-адрес, IP-адрес, номер порта, VLAN и т. д.), а в правилах указываются непосредственно значения их параметров. Каждый профиль может состоять из множества правил. Цель работы: настроить списки контроля доступа на коммутаторе D-Link, используя в качестве критериев фильтрации MAC и IP-адреса. Оборудование: коммутатор DES-3200-10, рабочая станция консольный кабель.
Настройка ограничения доступа пользователей к серверу по IP-адресам
Рисунок 14 - Ограничение доступа к серверу по IP-адресам
Разрешить доступ к серверу компьютерам с IP-адресами в диапазоне от 10.90.90.101/24 до 10.90.90.104/24. Остальным компьютерам сети 10.90.90.105/24 до 10.90.90.108/24 доступ к серверу запретить.
Правило 1
Если IP-адрес источника попадает в диапазон от 10.90.90.101 до 10.90.90.104 (подсеть 10.90.90.91/24) - доступ разрешить (permit).
Правило 2
Если IP-адрес источника попадает в диапазон 10.90.90.105 до 10.90.90.108 доступ запретить.
Правило 3
Иначе, разрешить доступ всем узлам.
Настройка коммутатора 1
Перед выполнением задания необходимо вернуть настройки коммутатора к заводским командой:
reset config
Удалите порты коммутатора из VLAN по умолчанию для их использования в других VLAN:
vlan default delete 1-8
Создайте VLAN v2 и добавьте соответствующие порты, которые необходимо настроить немаркированными. Настройте порт 2 маркированным:
create vlan v2 tag 2vlan v2 add untagged 1-8vlan v2 add tagged 2
Проверьте настройки VLAN:
vlan
Повторите процедуру настройки для коммутатора 2.
Проверьте доступность соединения между ПК 1 и ПК 2 командой ping:
Правило 1
Создать профиль доступа с номером 1, разрешающий доступ для подсети 10.90.90.91/24 (узлам с 101 по 104):
create access_profile profile_id 1 profile_name 1 ip source_ip_mask 255.255.255.0
Создать правило для профиля доступа 1:
config access_profile profile_id 1 add access_id 1 ip source_ip 10.90.90.91 port 2 permit
Правило 2
Создать профиль доступа с номером 2, запрещающий остальным станциям доступ к серверу:
create access_profile profile_id 2 profile_name 2 ip source_ip_mask 255.255.255.0
Создайте правило для профиля доступа 2:
config access_profile profile_id 2 add access_id 1 ipsource_ip 10.90.90.91 port 2 deny
Созданное правило запрещает прохождение через порт 25 трафика, который принадлежит сети 10.90.90.91/24, но не входит в разрешенный диапазон.
Правило 3
Иначе, разрешить доступ всем узлам.
Проверьте созданные профили:
show access_profile
1) Что вы наблюдаете? Сколько профилей создано, сколько в них правил?
) Подключите рабочую станцию, как показано на рисунке (с адресом из диапазона 10.90.90.101 до 10.90.90.104) к коммутатору 2. Протестируйте командой ping соединение с сервером 10.90.90.91/24. Запишите, что вы наблюдаете.
) Измените IP-адрес рабочей станции ПК 1 (задайте адрес из диапазона 10.90.90.105/24 - 10.90.90.108/24) Протестируйте соединение с сервером 10.90.90.91/24. Запишите, что вы наблюдаете.
Удалите профиль ACL (например, профиль 2):
delete access_profile profile_id 2
Проверьте соединение с сервером командой ping:
ping 10.90.91.91
Запишите, что вы наблюдаете.
Настройка фильтрации кадров по MAC-адресам
Настроить профиль доступа так, чтобы кадры, принимаемые на любой порт коммутатора от ПК3 (с MAC-адресом 00-50-ba-22-22-22) зеркалировались (копировались) на целевой порт коммутатора, к которому подключено устройство мониторинга сети.
Рисунок 15 - Фильтрация кадров по MAC-адресам
Замените MAC-адреса, указанные в командах на реальные MAC-адреса рабочих станций, подключаемых к коммутатору.
Формулировка правила: если MAC-адрес источника равен MAC-адресу ПК 3 (00-50-ba-22-22-22) , то следует копировать кадры на целевой порт.
Создать профиль доступа 3:
create access_profile profile_id 3 profile_name 3 ethernet source_mac 00-50-ba-22-22-22
Создать правило для профиля доступа 3, в результате выполнения которого кадры, принимаемые на порт коммутатора с ПК 3, будут зеркалироваться на любой порт.
config access_profile profile_id 3 add access_id 1 ethernet source_mac 00-50-ba-22-22-22 port all mirror
Включите функцию зеркалирования портов глобально на коммутаторе:
enable mirror
Укажите целевой порт:
config mirror port 8
Захватите и проанализируйте пакеты с помощью анализатора протоколов. Запишите наблюдения.
Подключите рабочую станцию ПК 3 к порту 8 на коммутаторе.
Проверьте доступность соединения между ПК 2 и ПК 3 командой ping.
Захватите и проанализируйте пакеты с помощью анализатора протоколов. Запишите наблюдения.
Удалите все профили ACL:
access_profile all
Отключите функцию зеркалирования портов:
disable mirror
Глава 3. Меры безопасности при работе с коммутаторами
Коммутатор является сложным техническим устройством и требует соблюдения ряда мер предосторожности при работе.
Питание прибора осуществляется от сети напряжением 220 В, которое может быть опасным для жизни, поэтому:
- не открывайте крышку включенного прибора - все необходимые элементы управления и коммутационные разъемы вынесены на переднюю и заднюю сторону прибора;
- не подвергайте прибор воздействию избыточного тепла и влажности. После перевозки в зимних условиях перед включением в сеть необходимо дать ему прогреться в течение 2 - 3 часов;
- для чистки корпуса используйте сухую или слегка влажную салфетку. Не пользуйтесь растворителями, не допускайте попадания внутрь корпуса влаги, кислот и щелочей.
Особое внимание следует уделить заземлению. Пожалуйста, придерживайтесь следующих рекомендаций:
- сделайте в рабочем помещении надежную земляную шину;
- используйте трехпроводную сеть 220 В (фаза, «ноль», «земля») для питания прибора и других устройств, оснащенных европейскими розетками;
- подключите все устройства, имеющие клемму «земля», к шине заземления, для каждого устройства используйте отдельный провод;
- используйте отдельную силовую сеть для подключения мощных потребителей электроэнергии.
Заключение
Защита информации в компьютерных сетях является важным фактором, поэтому ее потеря или разглашение недопустимо. Нужно помнить, что злоумышленники ведут охоту за конфиденциальными данными. При этом личные данные сотрудников им не всегда интересны, а вот секретная информация предприятия, разглашение которой может принести непоправимый урон развитию бизнеса и чревато большими убытками,
В ходе данной дипломной работы были рассмотрены теоретические аспекты обеспечения безопасности компьютерных сетей на базе коммутаторов D-Link. Рассмотрены назначения и функции коммутаторов, а так же рассмотрены, используемые в данной работе коммутаторы D-Lnk. Дана классификация угрозам сетевой безопасности и приведены возможности коммутаторов D-Link по обеспечению сетевой безопасности.
Разработаны методические указания к лабораторному практикуму для студентов НТГМК по следующим направлениям: базовые настройки коммутаторов по обеспечению сетевой безопасности, функция Trusted Hosts, Port Security и IP-MAC-Port Binding, списки контроля доступа (Access Control List, ACL) и сегментация трафика.
Рассмотрены основные меры безопасности при работе с коммутационным оборудованием.
Список литературы
Печатные издания:
. Борисенко А.А. Локальная сеть. Просто как дважды два. ‒ Москва, 2007.
. Гольдштейн Б., Соколов В. Автоматическая коммутация. ‒ Москва, 2007.
3. Григорьев В.М. Виртуальная лаборатория по компьютерным сетям. ‒ Днепропетровск, 2011.
4. Кузин А.В. Компьютерные сети: - 3-е изд. Москва, 2009.
. Крейг Хант. Сетевое администрирование: - 3-е изд. - СПб - Москва, 2008.
. Лимончелли Т., Хоган К., Чейлап С. Системное и сетевое администрирование. ‒ СПб: Питер, 2010.
. Олифер В.Г., Олифер Н.А. Компьютерные сети, принципы, протоколы, технологии: - 2-е изд. - СПб: Питер, 2010.
. Олифер В.Г., Олифер Н.А. Основы компьютерных сетей. ‒ СПб: Питер, 2009.
. Олифер В.Г., Олифер Н.А. Сетевые операционные системы. - 2-е изд. - СПб: Питер, 2009.
. Палмер М. Проектирование и внедрение компьютерных сетей. ‒ СПб: Питер, 2004.
. Пескова С.А., Кузин А.В., Волков А.Н. Сети и телекоммуникации. ‒ Москва, 2008.
. Руденков Н.А., Долинер Л.И. Основы сетевых технологий. ‒ Екатеринбург, 2011.
. Смирнова Е., Козик П. Технологии современных сетей Ethernet. Методы коммутации и управления потоками данных. ‒ СПб: Питер, 2012.
. Смирнова Е., Пролетарский А., Ромашкина Е. Технологии коммутации и маршрутизации в локальных компьютерных сетях. ‒ Москва: Издательство МГТУ им. Н.Э. Баумана, 2013.