Kontinent_3
.docxМИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,
СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
Факультет Инфокоммуникационных сетей и систем
Кафедра Защищенных систем связи
Дисциплина Программно-аппаратные средства защиты информации
ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №9
Настройка правила фильтрации, разрешающего прохождение трафика между компьютерами из внутренних сетей, защищаемых разными криптошлюзами
(тема отчета)
Направление/специальность подготовки
10.03.01 Информационная безопасность
(код и наименование направления/специальности)
Студенты:
Преподаватель:
Штеренберг С.И.
(Ф.И.О) (подпись)
Оглавление
Цель лабораторной работы
Создать правила фильтрации, которые разрешают взаимодействие компьютеров из внутренних сетей, защищаемых разными криптошлюзами.
Оборудование
Виртуальные машины с установленным ARM, ЦУС, Роутером, KSH-main и WS1.
Сценарий
Администратору необходимо обеспечить возможность подключаться пользователю из одной защищаемой сети квеб-серверу, который находится в защищаемой сети за другим КШ. На учебном стенде роль веб-сервера будет выполнять виртуальная машина ARM, а роль пользователя – ВМ WS1 (см. рис. ниже).
Администратору комплекса необходимо создать правило фильтрации, позволяющее такому пользователю заходить на этот веб-сервер. Один криптошлюз – с ЦУС, другой – управляемый им криптошлюз.
Настройку описанного сценарием подключения будем проводить в следующем порядке:
1. В ПУ ЦУС создать сетевой объект WS1 с привязкой к криптошлюзуKSH_main.
2. В ПУ ЦУС написать правило фильтрации, обеспечивающее прохождение IP-трафика по протоколу httpот WS1кARM.
3. Убедиться в возможности подключения из одной защищаемой сети к веб-серверу в другой защищаемой сети.
Перед началом выполнения лабораторной работы убедитесь, что:
· на ВМ ARM в папке "C:\inetpub\wwwroot" сохранен файл "Test2.txt";
· в ПУ ЦУС создан сетевой объект ARM(см. лабораторную работу №8).
1. Используя описание п. 1 лабораторной работы №8 в этой главе, создадим в ПУ ЦУСсетевой объект WS1.
Выполнение лабораторной работы
Используя описание пп. 2–3 лабораторной работы №8 в этой главе, напишем правило фильтрациис реквизитами согласнопредставленной ниже таблице, а затем – сохраним сделанные изменения.
Как уже отмечалось в п. 4 предыдущей лабораторной работы, при создании в ПУ ЦУС одного правила фильтрации ПО ЦУСавтоматически формирует правила для входящего и исходящего интерфейсовкаждого КШ. Таким образом, в данном случае создаются четыре правила.
Используя описание п. 4 лабораторной работы №8 в этой главе, просмотрите показанные на рисунке правила:
на ВМ KSH_main – 1-е и 2-е правила фильтрации:
pass in quick on em2 inet proto tcp from 10.0.2.200 to 10.0.1.200 port = 80 flags S/SA keep state label "P0513"
pass out quick on em0 inet proto tcp from 10.0.2.200 to 10.0.1.200 port = 80 flags S/SA keep state label "P0513"
на ВМ CUS – 3-е и 4-е правила фильтрации:
pass in quick on em0 inet proto tcp from 10.0.2.200 to 10.0.1.200 port = 80 flags S/SA keep state label "P0513"
pass out quick on em2 inet proto tcp from 10.0.2.200 to 10.0.1.200 port = 80 flags S/SA keep state label "P0513"
Убедитесь, что правило фильтрации написано верно, и IP-трафик проходит от WS1к ARM.Для этого откройте консоль ВМWS1и в браузере IEвведите адрес:http://10.0.1.200/test2.txt. Если правило написано верно, откроется указанная страница с соответствующим сообщением.
Используя описание пп. 6–7 лабораторной работы №8 в этой главе, отключим созданное правило фильтрации и сохраним изменения.
Вывод: Результатом выполнения лабораторной работы № 9 было создано правило фильтрации, разрешающее прохождение IP-трафика между хостами, находящимися в сегментах сети, защищаемых разными криптошлюзами. Протестировано действие этого правила.
Санкт-Петербург
2021