Методическое пособие 560
.pdff.Во всей сети настройте динамическую маршрутизацию по протоколу EIGRP или по протоколу OSPF.
g.На маршрутизаторах Router3 – Router5, коммутаторах Switch2 и Switch3, компьютерах PC2 и PC3 получите информацию о MAC-адресах и(или) IP-адресах активных интерфейсов, проанализируйте ее и запишите в отчет в
виде таблицы со столбцами «Название устройства | Тип и номер интерфейса | MAC-адрес интерфейса | IP-адрес интерфейса».
4.Настройка туннеля по протоколу IPSec на маршрутизаторах a. На компьютерах PC2 и PC3, используя утилиту «Command Prompt»,
спомощью команды вида
PC>tracert [IP-адрес]
получите информацию о маршрутах передачи сетевого трафика между собой и проанализируйте ее.
b.На маршрутизаторах Router3 и Router5 с помощью команд вида
Router(config)#crypto isakmp policy [номер] Router(config-isakmp)#encryption [алгоритм] Router(config-isakmp)#hash [алгоритм] Router(config-isakmp)#authentication pre-share Router(config-isakmp)#group [номер] Router(config-isakmp)#lifetime [время]
создайте политику работы протокола ISAKMP, установите алгоритм шифрования AES с длиной блока 128 бит, установите алгоритм хеширования SHA, установите способ аутентификации по заранее заданному криптографическому ключу, установите номер группы алгоритма Дифии-Хеллмана 2 и установите время жизни для сеансового ключа 12 часов.
Номер группы алгоритма Дифии-Хеллмана фактически определяет длину криптографического ключа.
c.На маршрутизаторах Router3 и Router5 с помощью команды вида
Router(config)#crypto isakmp key [ключ] address [IP-адрес]
установите криптографический ключ и установите IP-адрес другого конца туннеля для подключения с использованием указанного криптографического ключа.
d.На маршрутизаторах Router3 и Router5 с помощью команд вида
Router(config)#ip access-list extended [имя] Router(config-ext-nacl)#permit [протокол] [IP-адрес] [wildcardмаска] [IP-адрес] [wildcard-маска]
создайте именованный расширенный ACL, разрешающий сетевой трафик для сетевых служб, использующих протоколы IP, ICMP и TCP, из внутренней сети маршрутизатора на котором создается именованный расширенный ACL во внутреннюю сеть другого маршрутизатора.
e.На маршрутизаторах Router3 и Router5 с помощью команды вида
Router(config)#crypto ipsec transform-set [имя] [алгоритм] [длина] [алгоритм]
создайте правило криптографического преобразования сетевого трафика, установите алгоритм шифрования AES с длиной блока 128 бит и установите алгоритм хеширования SHA.
60
f.На маршрутизаторах Router3 и Router5 с помощью команд вида
Router(config)#crypto map [имя] [номер] ipsec-isakmp Router(config-crypto-map)#set peer [IP-адрес] Router(config-crypto-map)#set transform-set [имя] Router(config-crypto-map)#match address [имя]
создайте криптографическую карту для набора протоколов IPSec , создайте пир для другого конца туннеля, примените созданное криптографическое правило преобразования сетевого трафика и примените созданный именованный расширенный ACL.
g.На маршрутизаторах Router3 и Router5 с помощью команд вида
Router(config)#interface [тип] [номер] Router(config-if)#crypto map [имя]
примените криптографическую карту к интерфейсу, который будет началом туннеля.
h.На компьютерах PC2 и PC3, используя утилиту «Command Prompt»,
спомощью команды вида
PC>tracert [IP-адрес]
получите информацию о маршрутах передачи сетевого трафика между собой, проанализируйте ее и запишите в отчет.
i.На маршрутизаторах Router3 и Router5 с помощью команды
Router#show crypto isakmp policy
получите информацию о политике работы протокола ISAKMP, проанализируй-
те ее и запишите в отчет.
j.На маршрутизаторах Router3 и Router5 с помощью команды
Router#show crypto ipsec transform-set
получите информацию о криптографическом преобразования сетевого трафика, проанализируйте ее и запишите в отчет.
5.Подготовка схемы сети
a. Соберите модель сети в соответствии со схемой на рис. 13.3:
Рис. 13.3. Схема модели сети
61
b.Маршрутизатору Router6, межсетевым экранам ASA0 и ASA1, коммутаторам Switch4 и Switch5, компьютерам PC4 и PC5 назначьте сетевые имена в соответствии со схемой сети.
c.На маршрутизаторе Router6 и межсетевых экранах ASA0 и ASA1 назначьте соединяющим их между собой интерфейсам IP-адреса из диапазонов IP-адресов подсетей c маской /30, полученных путем распределения одного диапазона IP-адресов вида 100.100.[N].0/24 на все требуемые подсети.
d.На межсетевом экране ASA0 и компьютере PC4 назначьте интерфейсам, входящим согласно схеме сети в одну подсеть, IP-адреса из диапазона
IP-адресов вида 192.168.[N].0/24.
e.На межсетевом экране ASA1 и компьютере PC5 назначьте интерфейсам, входящим согласно схеме сети в одну подсеть, IP-адреса из диапазона
IP-адресов вида 192.168.[N+1].0/24.
f.Между маршрутизатором Router6 и межсетевыми экранами ASA0 и ASA1 настройте динамическую маршрутизацию по протоколу EIGRP или по протоколу OSPF или статическую маршрутизацию.
g.На маршрутизаторе Router6, межсетевых экранах ASA0 и ASA1, коммутаторах Switch4 и Switch5, компьютерах PC4 и PC5 получите информацию о MAC-адресах и(или) IP-адресах активных интерфейсов, проанализируйте ее и запишите в отчет в виде таблицы со столбцами «Название устройства |
Тип и номер интерфейса | MAC-адрес интерфейса | IP-адрес интерфейса».
6. Настройка туннеля по протоколу IPSec на устройствах безопасности
a.На компьютерах PC4 и PC5, используя утилиту «Command Prompt»,
спомощью команды вида
PC>tracert[IP-адрес]
получите информацию о маршрутах передачи сетевого трафика между собой и проанализируйте ее.
Почему получился именно такой результат выполнения команды?
b.На межсетевых экранах ASA0 и ASA1 с помощью команд вида
ciscoasa(config)#crypto ikev1 enable [имя] ciscoasa(config)#crypto ikev1 policy [номер] ciscoasa(config-ikev1-policy)#encryption [алгоритм] ciscoasa(config-ikev1-policy)#hash [алгоритм] ciscoasa(config-ikev1-policy)#authentication pre-share ciscoasa(config-ikev1-policy)#group [номер] ciscoasa(config-ikev1-policy)#lifetime [время]
активируйте протокол IKEv1 на внешнем интерфейсе, создайте политику работы протокола IKEv1, установите алгоритм шифрования AES c длиной блока 128 бит, установите алгоритм хеширования SHA, установите способ аутентификации по заранее заданному криптографическому ключу, установите номер группы алгоритма Дифии-Хеллмана 2 и установите время жизни для сеансового ключа 12 часов.
c.На межсетевых экранах ASA0 и ASA1 с помощью команд вида
62
ciscoasa(config)#tunnel-group [имя] type ipsec-l2l ciscoasa(config)#tunnel-group [имя] ipsec-attributes ciscoasa(config-ipsec)#ikev1 pre-shared-key [ключ]
создайте туннельную группу для работы набора протоколов IPSec и установите криптографический ключ.
В качестве имени туннельной группы необходимо использовать IP-адрес другого конца туннеля.
d.На межсетевых экранах ASA0 и ASA1 с помощью команд вида
ciscoasa(config)#object network [имя] ciscoasa(config-network-object)#subnet [IP-адрес] [маска]
создайте по два сетевых объекта, соответствующих IP-адресам сетей, внутренних по отношению к межсетевым экранам.
e.На межсетевых экранах ASA0 и ASA1 с помощью команды вида
ciscoasa(config)#access-list [имя] extended permit [протокол] object [имя] object [имя]
создайте именованный расширенный ACL, разрешающий сетевой трафик для сетевых служб, использующих протоколы IP, ICMP и TCP, из внутренней сети межсетевого экрана, на котором создается именованный расширенный ACL, во внутреннюю сеть другого межсетевого экрана.
f.На межсетевых экранах ASA0 и ASA1 с помощью команды вида
ciscoasa(config)#crypto ipsec ikev1 transform-set [имя] [алгоритм] [алгоритм]
создайте правило криптографического преобразования сетевого трафика, установите алгоритм шифрования AES с длиной блока 128 бит и установите алгоритм хеширования SHA.
g.На межсетевых экранах ASA0 и ASA1 с помощью команд вида
ciscoasa(config)#crypto map [имя] [номер] match address [имя] ciscoasa(config)#crypto map [имя] [номер] set peer [IP-адрес] ciscoasa(config)#crypto map [имя] [номер] set ikev1 transform-set [имя]
ciscoasa(config)#crypto map [имя] interface [имя]
создайте криптографическую карту для набора протоколов IPSec, примените ее к созданному именованному расширенному ACL, создайте пир для другого конца туннеля, примените созданное криптографическое правило преобразования сетевого трафика и примените созданную криптографическую карту к внешнему интерфейсу.
h.На межсетевых экранах ASA0 и ASA1 с помощью команды вида
ciscoasa(config)#access-list [имя] extended permit [протокол] object [имя] object [имя]
создайте именованный расширенный ACL, разрешающий сетевой трафик для сетевых служб, использующих протоколы IP, ICMP и TCP, из внутренней сети другого межсетевого экрана во внутреннюю сеть межсетевого экрана, на котором создается именованный расширенный ACL.
i.На межсетевых экранах ASA0 и ASA1 с помощью команды вида
ciscoasa(config)#access-group [имя] [in|out] interface [имя]
63
примените именованный расширенный ACL к внутреннему интерфейсу и установите необходимое направление контролируемого трафика.
j.На компьютерах PC2 и PC3, используя утилиту «Command Prompt»,
спомощью команды вида
PC>tracert [IP-адрес]
получите информацию о маршрутах передачи сетевого трафика между собой, проанализируйте ее и запишите в отчет.
Почему получился именно такой результат выполнения команды?
k.На межсетевых экранах ASA0 и ASA1 с помощью команды вида
Router#show crypto isakmp sa
получите информацию об ISAKMP SA (ассоциациях безопасности ISAKMP), проанализируйте ее и запишите в отчет.
l.На маршрутизаторах Router3 и Router5 с помощью команд вида
Router#show crypto ipsec sa
получите информацию об IPSec SA (ассоциациях безопасности IPSec) и проанализируйте ее.
Контрольные вопросы
1.Какое назначение и принципы работы у технологии VPN?
2.Для чего с точки зрения безопасности информации в компьютерных сетях используется технология VPN?
3.Какие существуют виды технологии VPN, различающиеся степенью защищенности формируемого туннеля, какие у них особенности?
4.Какие существуют виды технологии VPN, различающиеся назначением, какие у них особенности?
5.Какие существуют виды технологии VPN, различающиеся способом реализации, какие у них особенности?
6.Какие существуют виды технологии VPN, различающиеся используемым протоколом или технологией, какие у них особенности?
7.Какое назначение, принципы работы и настройки у протокола
GRE?
8.Для чего с точки зрения безопасности информации в компьютерных сетях используется протокол GRE?
9.Как формируется туннель по протоколу GRE?
10.Как туннель, сформированный по протоколу GRE, изменяет заголовки и содержимое сетевых пакетов?
11.Какое назначение у набора протокола IPSec, какие протоколы в не-
го входят?
12.Для чего с точки зрения безопасности информации в компьютерных сетях используется набор протоколов IPSec?
13.Какое назначение, принципы работы и настройки у протокола IKE?
14.Какие существуют фазы работы протокола IKE?
64
15.Какие существуют режимы работы протокола IKE?
16.Какие методы аутентификации применяются в протоколе IKE?
17.Какое назначение, принципы работы и настройки у протокола
Oakley?
18.Какое назначение, принципы работы и настройки у протокола
SKEME?
19.Как формируется туннель при использовании набора протоколов
IPSec?
20.Как туннель, сформированный по набору протоколов IPSec, изменяет заголовки и содержимое сетевых пакетов?
21.Какие схемы совместного использования протокола GRE и набора протоколов IPSec существуют, какие у них особенности?
22.Как формируется туннель по схеме GRE over IPSec?
23.Как туннель, сформированный по схеме GRE over IPSec, изменяет заголовки и содержимое сетевых пакетов?
24.Как формируется туннель по схеме IPSec over GRE?
25.Как туннель, сформированный по схеме IPSec over GRE, изменяет заголовки и содержимое сетевых пакетов?
26.Какое назначение, принципы работы и настройки у технологии
VTI?
27.Какое назначение, принципы работы и настройки у технологии
DMVPN?
28.Какое назначение, принципы работы и настройки у технологии
DMVPN?
29.Как формируется туннель по технологии DMVPN?
ЗАКЛЮЧЕНИЕ
Выполнение практических работ позволяет сформировать у специалиста по защите информации компетенции, позволяющие ему проектировать глобальные компьютерные сети с учетом безопасности их архитектуры, а также администрировать программные и программно-аппаратные (программнотехнические) средства защиты информации, применяемые в глобальных компьютерных сетях.
К числу таких технологий относятся: технологии и механизмы обеспечения безопасности протоколов сетевого и вышележащих уровней модели OSI, технологии межсетевого экранирования, обнаружения и предотвращения вторжений, построения туннелей и шифрования трафика и многие другие.
Созданная система защиты информации в результате должна полностью нейтрализовать или существенно снижать вероятность реализации актуальных угроз безопасности информации в глобальной компьютерной сети.
65
Учебное издание
Куликов Сергей Сергеевич
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ГЛОБАЛЬНЫХ КОМПЬЮТЕРНЫХ СЕТЕЙ
Практикум
Редактор Е. А. Четвертухина
Подписано в печать 16.08.2021.
Формат 60х84 1/16. Бумага для множительных аппаратов. Уч.-изд. л. 4,1. Усл. печ. л. 3,9. Тираж 350 экз. Заказ № 149.
ФГБОУ ВО «Воронежский государственный технический университет» 394026 Воронеж, Московский проспект, 14
Участок оперативной полиграфии издательства ВГТУ 394026 Воронеж, Московский проспект, 14