ФЕДЕРАЛЬНОЕ АГЕНТСТВО СВЯЗИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ

УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»

(СПбГУТ)

ФАКУЛЬТЕТ ИНФОКОММУНИКАЦИОННЫХ СЕТЕЙ И СИСТЕМ (ИКСС)

КАФЕДРА ПРОГРАММНОЙ ИНЖЕНЕРИИ И ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ (ПИ И ВТ)

ДИСЦИПЛИНА: «Безопасность компьютерных систем»

«Настройка списков ACL IPv6»

Выполнили студенты группы ИКПИ-92:

Козлов Н. С.

Смирнов Д. А.

Тюришев М. А.

Пурин И. К.

Принял:

Петрив Р. Б.

Подпись____________

«_____»________ 2021

Цели

Часть 1: Настройка, применение и проверка ACL IPv6

Часть 2: Настройка, применение и проверка второго ACL IPv6

Часть 1: Настройка, применение и проверка ACL IPv6

Журналы показывают, что компьютер в сети 2001:DB8:1:11::0/64 неоднократно обновляет веб-страницу. Это вызывает атаку типа "Отказ в обслуживании" (DoS) на Сервер3. До тех пор, пока клиент не будет идентифицирован и очищен, вы должны заблокировать доступ HTTP и HTTPS к этой сети с помощью списка доступа.

Шаг 1: Настройте ACL, который будет блокировать доступ по протоколу HTTP и HTTPS.

Настройте ACL с именем BLOCK_HTTP на R1 со следующими инструкциями.

a. Блокируйте HTTP-и HTTPS-трафик от достижения Server3.

R1(config)# deny tcp any host 2001:DB8:1:30::30 eq www

R1(config)# deny tcp any host 2001:DB8:1:30::30 eq 443

b. Разрешите пропускать весь остальной трафик IPv6.

R1(config)# permit ipv6 any any

Шаг 2: Примените ACL к правильному интерфейсу.

Примените ACL к интерфейсу, ближайшему к источнику блокируемого трафика.

R1(config)# interface GigabitEthernet0/1

R1(config-if)# ipv6 traffic-filter BLOCK_HTTP in

Шаг 3: Проверьте реализацию ACL.

Убедитесь что ACL работает должным образом проведя следующие тесты:

• Откройте веб-браузер от PC1 чтобы http://2001:DB8:1:30::30 или https://2001:DB8:1:30::30... Сайт должен появиться. • Откройте веб-браузер от PC2 чтобы http://2001:DB8:1:30::30 или https://2001:DB8:1:30::30... Сайт должен быть заблокирован. • Пинг от PC2 до 2001 года:DB8:1:30:: 30. Пинг должен быть успешным.

Часть 2: Настройка, применение и проверка второго ACL IPv6

Журналы теперь показывают, что ваш сервер получает пинг с множества различных IPv6-адресов в ходе распределенной атаки типа "Отказ в обслуживании" (DDoS). Вы должны отфильтровать ICMP ping-запросы к вашему серверу.

Шаг 1: Создайте список доступа для блокировки ICMP.

Настройте ACL с именем BLOCK_ICMP на R3 со следующими инструкциями:

а) Заблокируйте весь ICMP-трафик с любых хостов в любой пункт назначения.

R3(config)# deny icmp any any

b. Разрешите пропускать весь остальной трафик IPv6.

R3(config)# permit ipv6 any any

Шаг 2: Примените ACL к правильному интерфейсу.

В этом случае ICMP-трафик может поступать из любого источника. Чтобы гарантировать, что трафик ICMP заблокирован, независимо от его источника или любых изменений, которые происходят в топологии сети, примените ACL, ближайший к назначению.

R3(config)# interface GigabitEthernet0/0

R3(config-if)# ipv6 traffic-filter BLOCK_ICMP out

Шаг 3: Убедитесь, что работает правильный список доступа.

a. Пинг с PC2 по 2001 год:DB8:1:30::30. Пинг должен потерпеть неудачу.

б. Пинг с PC1 по 2001 год:DB8:1:30::30. Пинг должен потерпеть неудачу.

Откройте веб-браузер PC1, чтобы http://2001:DB8:1:30::30 или https://2001:DB8:1:30::30... Сайт должен отображаться.