
ФЕДЕРАЛЬНОЕ АГЕНТСТВО СВЯЗИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
ФАКУЛЬТЕТ ИНФОКОММУНИКАЦИОННЫХ СЕТЕЙ И СИСТЕМ (ИКСС)
КАФЕДРА ПРОГРАММНОЙ ИНЖЕНЕРИИ И ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ (ПИ И ВТ)
ДИСЦИПЛИНА: «Безопасность компьютерных систем»
«Настройка списков ACL IPv6»
Выполнили студенты группы ИКПИ-92:
Козлов Н. С.
Смирнов Д. А.
Тюришев М. А.
Пурин И. К.
Принял:
Петрив Р. Б.
Подпись____________
«_____»________ 2021
Цели
Часть 1: Настройка, применение и проверка ACL IPv6
Часть 2: Настройка, применение и проверка второго ACL IPv6
Часть 1: Настройка, применение и проверка ACL IPv6
Журналы показывают, что компьютер в сети 2001:DB8:1:11::0/64 неоднократно обновляет веб-страницу. Это вызывает атаку типа "Отказ в обслуживании" (DoS) на Сервер3. До тех пор, пока клиент не будет идентифицирован и очищен, вы должны заблокировать доступ HTTP и HTTPS к этой сети с помощью списка доступа.
Шаг 1: Настройте ACL, который будет блокировать доступ по протоколу HTTP и HTTPS.
Настройте ACL с именем BLOCK_HTTP на R1 со следующими инструкциями.
a. Блокируйте HTTP-и HTTPS-трафик от достижения Server3.
R1(config)# deny tcp any host 2001:DB8:1:30::30 eq www
R1(config)# deny tcp any host 2001:DB8:1:30::30 eq 443
b. Разрешите пропускать весь остальной трафик IPv6.
R1(config)# permit ipv6 any any
Шаг 2: Примените ACL к правильному интерфейсу.
Примените ACL к интерфейсу, ближайшему к источнику блокируемого трафика.
R1(config)# interface GigabitEthernet0/1
R1(config-if)# ipv6 traffic-filter BLOCK_HTTP in
Шаг 3: Проверьте реализацию ACL.
Убедитесь что ACL работает должным образом проведя следующие тесты:
• Откройте веб-браузер от PC1 чтобы http://2001:DB8:1:30::30 или https://2001:DB8:1:30::30... Сайт должен появиться. • Откройте веб-браузер от PC2 чтобы http://2001:DB8:1:30::30 или https://2001:DB8:1:30::30... Сайт должен быть заблокирован. • Пинг от PC2 до 2001 года:DB8:1:30:: 30. Пинг должен быть успешным.
Часть 2: Настройка, применение и проверка второго ACL IPv6
Журналы теперь показывают, что ваш сервер получает пинг с множества различных IPv6-адресов в ходе распределенной атаки типа "Отказ в обслуживании" (DDoS). Вы должны отфильтровать ICMP ping-запросы к вашему серверу.
Шаг 1: Создайте список доступа для блокировки ICMP.
Настройте ACL с именем BLOCK_ICMP на R3 со следующими инструкциями:
а) Заблокируйте весь ICMP-трафик с любых хостов в любой пункт назначения.
R3(config)# deny icmp any any
b. Разрешите пропускать весь остальной трафик IPv6.
R3(config)# permit ipv6 any any
Шаг 2: Примените ACL к правильному интерфейсу.
В этом случае ICMP-трафик может поступать из любого источника. Чтобы гарантировать, что трафик ICMP заблокирован, независимо от его источника или любых изменений, которые происходят в топологии сети, примените ACL, ближайший к назначению.
R3(config)# interface GigabitEthernet0/0
R3(config-if)# ipv6 traffic-filter BLOCK_ICMP out
Шаг 3: Убедитесь, что работает правильный список доступа.
a. Пинг с PC2 по 2001 год:DB8:1:30::30. Пинг должен потерпеть неудачу.
б. Пинг с PC1 по 2001 год:DB8:1:30::30. Пинг должен потерпеть неудачу.
Откройте веб-браузер PC1, чтобы http://2001:DB8:1:30::30 или https://2001:DB8:1:30::30... Сайт должен отображаться.