Альтман-11.102
.pdfчерез себя весь трафик и для каждого проходящего пакета принимает решение, пропускать его или отбросить.
По способу обработки пакетов все брандмауэры можно разделить на три типа: пакетные фильтры, фильтры, учитывающие состояние соединения и брандмауэры с серверами прикладного уровня (прокси-фильтры).
Пакетные фильтры осуществляют фильтрацию пакетов TCP/IP на транспортном или сетевом уровне на основе анализа IP-адресов и номеров портов отправителя и получателя, сравнивая их с правилами фильтрации, определяемыми в списках доступа. При этом каждый пакет анализируется отдельно, и после его обработки вся информация о нем теряется.
Фильтры пакетов, учитывающие состояние соединения, сохраняют ин-
формацию о каждом обработанном пакете данных. Каждый раз при создании нового соединения информация о нем сохраняется в специальной таблице контроля состояния потока данных. Пакет, поступающий вне установленного соединения, отбрасывается, что обеспечивает более высокую безопасность, чем использование списков доступа в обычных пакетных фильтрах.
Брандмауэры с серверами прикладного уровня используют сервера кон-
кретных сервисов – терминалы (telnet), web (http), электронная почта (SMTP, POP3), передача файлов (ftp) и т. д., запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения. Использование серверов прикладного уровня позволяет скрыть от внешних пользователей структуру локальной сети. Другим положительным качеством является возможность аутентификации пользователей.
Брандмауэры серии Cisco Secure PIX сочетают в себе функции всех трех типов брандмауэров, поэтому они имеют преимущества, характерные для каждого типа, и обеспечивают максимальный уровень безопасности. Основой брандмауэра PIX является разработанный фирмой Cisco адаптивный алгоритм безопасности (ASA), который является частью операционной системы и автоматически подстраивает параметры проверки соединений в процессе анализа проходящего трафика.
Адаптивный алгоритм безопасности основан на концепции уровней безопасности интерфейсов. Уровень безопасности – это значение от 0 до 100, назначаемое администратором на интерфейсе брандмауэра. Уровень безопасности определяет, более или менее защищен данный интерфейс относительно другого интерфейса. Интерфейс считается более защищенным по сравнению с другим интерфейсом, если его уровень безопасности выше. Интерфейс с более высоким уровнем безопасности может без ограничений обмениваться данными с
30
интерфейсом, чей уровень безопасности ниже. В отличие от этого передача трафика от менее защищенного интерфейса к более защищенному невозможна без задания дополнительных правил доступа.
Уровень безопасности интерфейса может принимать значения от 0 до 100. Уровень 100 – максимальный уровень безопасности, назначаемый внутреннему интерфейсу брандмауэра, подключенному к доверенной сети. Уровень 0 – самый низкий уровень безопасности, он присваивается внешнему интерфейсу и используется для подключения потенциально опасных сетей, например, Интернета.
Уровни безопасности от 1 до 99 могут использоваться в брандмауэрах с тремя и более интерфейсами для подключения изолированных сетей, доступных пользователям из внешней сети. Такие сети называют демилитаризованными зонами, в них обычно устанавливают корпоративные сервера, предоставляющие публичные сервисы (web, передача файлов). Соответствующие интерфейсы брандмауэра в таком случае называют пограничными.
При передаче данных из внутренней сети во внешнюю брандмауэр использует трансляцию адресов, когда локальные адреса, имеющие смысл только внутри корпоративной сети, заменяются глобальными адресами, зарегистрированными в Интернете. Трансляция сетевых адресов позволяет пользователю не раскрывать внутренние сетевые адреса при обращении к внешним сетям.
При создании нового подключения информация о соответствии локального и глобального адресов сохраняется в слоте трансляции – отдельной записи в таблице контроля состояния соединений. Существует несколько способов трансляции сетевых адресов.
Статическая трансляция адресов используется в том случае, когда определенному локальному узлу при установлении исходящих соединений всегда назначается один и тот же внешний адрес. Динамическая трансляция адресов используется для трансляции определенных диапазонов локальных адресов в заданный диапазон глобальных адресов (Network Address Translation – NAT) или в один глобальный с использованием разных портов (Port Address Translation – PAT). Технологию трансляции портов удобно использовать, когда доступен только один внешний IP-адрес. Использование метода PAT позволяет создать несколько исходящих сеансов связи с одним IPадресом.
Иногда после настройки трансляции адресов возникает необходимость обеспечить доступ пользователей из внешней сети к некоторым службам, находящимся во внутренней сети. Например, доступ ко внутренней сети требуется при удаленном сетевом администрировании. В этом случае
31
необходимо определить особые правила для разрешения прохождения потока данных от интерфейса с более низким уровнем безопасности к интерфейсу с более высоким уровнем безопасности.
Для настройки таких правил используется списки доступа, которые разрешают устанавливать соединения из внешней сети, но только для ограниченного числа адресов и портов приложений. Так как любое разрешение доступа из внешней сети во внутреннюю содержит в себе потенциальную угрозу, к составлению разрешающих правил следует подходить обдуманно.
7.2. Порядок проведения работы
Для выполнения лабораторной работы необходимо собрать схему сети, представленную на рис. 7.1. Компьютеры локальной сети 10.2.0.0 / 24 подключаются к коммутатору рабочих групп. К одному из интерфейсов коммутатора подключается интерфейс брандмауэра Ethernet 1. Другой интерфейс Ethernet 0 подключается к пограничному маршрутизатору Router (интернет-шлюзу). Сеть Интернет представлена третьим компьютером с IP-адресом 172.17.0.2 / 16. Для моделирования внешней сети необходимо отключить на стойке соответствующий патч-корд от коммутатора и подключить его к интерфейсу маршрутизатора Router. Кроме того, для выполнения начальной настройки IP-адресов рившрутизатора и брандмауэра используются две консольные линии.
Рис. 7.1. Схема подключения оборудования
32
При выполнении лабораторной работы необходимо произвести следующие действия.
1)Настройте на компьютерах локальной сети IP-адреса из подсети
10.2.0.0c маской 255.255.255.0. Настройте на компьютере внешней сети IPадрес из подсети 172.17.0.0 с маской 255.255.0.0
2)Зайдите на брандмауэр с консоли. Задайте имя устройства, пароль на вход в привилегированный режим, пароль на подключение по линиям telnet. Проверьте имена и уровни безопасности внешнего и внутреннего интерфейсов, задайте IP-адреса, установите скорость и режим передачи.
3)С помощью команды route настройте для внешнего интерфейса брандмауэра статический маршрут по умолчанию к граничному маршрутизатору.
4)Разрешите всем компьютерам локальной сети устанавливать соединения с внешней сетью. Для этого настройте статическую трансляцию адресов на брандмауэре (команда static).
5)На внешнем компьютере выполните команду ping 10.2.0.10. На компьютерах локальной сети выполните команду ping 172.17.0.2. Объясните полученные результаты.
6)Разрешите прохождение ICMP-ответов от внешнего компьютера в локальную сеть (команда conduit). На компьютерах локальной сети выполните команду ping 172.17.0.2. Сравните результаты с п. 5.
7)С помощью программы-снифера во внешней сети найдите пакеты с транслированными адресами внутренней сети.
8)Просмотрите таблицу трансляции адресов. Отмените статическую трансляцию адресов и очистите слоты трансляции. Настройте динамическую трансляцию локальных адресов (технология NAT) во внешние адреса из некоторого пула (команды nat, global).
9)Допустим, что провайдер предоставил нам один внешний IP-адрес. Настройте трансляцию всех локальных адресов в один глобальный адрес (технология PAT).
10)Для внешнего компьютера c адресом 172.17.0.2 разрешите управление коммутатором через telnet (порт 23), оставив при этом запрещенными все остальные внешние подключения от других узлов или приложений (команды static, access-list, access-group).
11)Предположим, в локальной сети находится web-сервер с внешним адресом 172.17.0.3. Отключите трансляцию адресов для этого узла (команда nat 0) и откройте http-доступ (порт 80) к web-серверу для всех пользователей Интернета (команды access-list, access-group), оставив при этом запрещенными внешние подключения для других приложений.
33
Команды операционной системы Cisco PIX OS, необходимые для выполнения работы, приведены в табл. 7.1. Обратите внимание на то, что формат записи некоторых команд в разных версиях операционной системы PIX OS может различаться.
Т а б л и ц а 7.1 Команды операционной системы Cisco PIX OS 8.0
Команда |
Режим |
Описание команды |
|||
1 |
2 |
|
|
3 |
|
enable |
Пользова- |
Переводит в привилегированный ре- |
|||
|
тельский |
жим |
|
|
|
show startup-config |
Привилеги- |
Выводит |
на |
терминал |
начальную |
|
рованный |
конфигурацию брандмауэра |
|
||
show running-config |
То же |
Выводит на терминал текущую кон- |
|||
|
|
фигурацию |
|
|
|
configure terminal |
» |
Переводит в режим глобальной кон- |
|||
|
|
фигурации |
|
|
|
interface {ethernet0 | |
Глобальная |
Переводит |
в |
режим конфигурации |
|
ethernet1} |
конфигурация |
интерфейса |
|
|
|
nameif имя_ интер- |
Конфигура- |
Задает имя для физического интер- |
|||
фейса |
цияинтерфейса |
фейса |
|
|
|
security-level уровень |
То же |
Задает уровень безопасности интер- |
|||
ip address адрес мас- |
|
фейса (от 0 до 100) |
|
||
» |
Назначает интерфейсу IP-адрес и |
||||
ка |
|
маску подсети |
|
|
|
[no] shutdown |
» |
Включает или выключает интерфейс |
|||
route |
Глобальная |
Задает статический маршрут к уда- |
|||
имя_интерфейса |
конфигурация |
ленной сети |
|
|
|
адрес_сети маска |
|
|
|
|
|
шлюз метрика |
|
|
|
|
|
static (inside, outside) |
Глобальная |
Включает |
статическую |
трансляцию |
|
глобальный_адрес |
конфигурация |
адреса отправителя при передаче паке- |
|||
локальный_адрес net- |
|
тов с внутреннего интерфейса inside на |
|||
mask маска |
|
внешний интерфейс outside |
|
||
show xlate [detail] |
Привилеги- |
Выводит на терминал таблицу транс- |
|||
|
рованный |
ляции адресов |
|
|
|
clear xlate |
То же |
Очищает все слоты в таблице транс- |
|||
|
|
ляции |
|
|
|
34
|
|
|
О к о н ч а н и е |
т а б л. |
7.1 |
||
|
|
|
|
|
|
|
|
1 |
2 |
|
|
|
3 |
|
|
nat (inside) id адреса |
Глобальная |
Присваивает |
числовой |
идентифика- |
|||
маска |
конфигурация |
тор id хосту или группе хостов для ди- |
|||||
|
|
намической трансляции. Если id равен |
|||||
|
|
нулю, то для указанных хостов адреса |
|||||
global (outside) id |
|
не транслируются |
|
|
|
||
То же |
Определяет пул глобальных адресов, |
||||||
пул_адресов netmask |
|
которые будут использоваться при ди- |
|||||
маска |
|
намической трансляции адресов хостов |
|||||
access-list номер |
|
из группы с номером id |
|
|
|||
» |
Задает правило в стандартном или |
||||||
{standart | extended} |
|
расширенном списке доступа. Поле но- |
|||||
{permit | deny} |
|
мер используется для группировки пра- |
|||||
протокол |
|
||||||
|
вил и должно совпадать для всех пра- |
||||||
адрес_отправителя |
|
||||||
|
вил, входящих |
в один список доступа. |
|||||
маска [оператор |
|
||||||
|
Ключевые слова |
{permit | deny} опре- |
|||||
порт] ад- |
|
||||||
|
деляют |
действие, |
которое нужно |
со- |
|||
рес_получателя мас- |
|
||||||
|
вершить |
с пакетом, подходящим |
под |
||||
ка [оператор порт] |
|
||||||
|
условие проверки. Следующее поле оп- |
||||||
|
|
||||||
|
|
ределяет протокол сетевого или транс- |
|||||
|
|
портного уровня (tcp, ip, icmp и др.). |
|||||
|
|
Поля адрес_отправителя и маска |
за- |
||||
|
|
дают группу IP-адресов и обратную |
|||||
|
|
маску для отправителя или получателя |
|||||
|
|
пакетов. Вместо обратной маски можно |
|||||
|
|
использовать |
ключевые |
слова |
host |
||
|
|
(0.0.0.0) или any (255.255.255.255). Не- |
|||||
|
|
обязательные поля оператор и порт |
|||||
|
|
задают номера портов протокола транс- |
|||||
|
|
портного уровня и логический оператор |
|||||
|
|
для их объединения (eq, neq, gt, lt, |
|||||
access-group номер |
|
range) |
|
|
|
|
|
» |
Применяет список доступа к входя- |
||||||
{in | out} interface |
|
щему (in) или исходящему (out) трафи- |
|||||
{inside | outside} |
|
ку на внутреннем (inside) или внешнем |
|||||
|
|
||||||
|
|
(outside) интерфейсе |
|
|
|||
35
7.3.Содержание отчета
1)Подробные схемы для всех экспериментов с указанием IP-адресов и номеров портов для компьютеров внешней и внутренней сети.
2)Начальная конфигурация брандмауэра и примеры конфигурации для каждого эксперимента.
3)Выводы по результатам экспериментов и ответы на контрольные вопросы.
7.4.Контрольные вопросы
1)Опишите функции брандмауэра в корпоративной сети.
2)Что такое адаптивный алгоритм безопасности (ASA)?
3)Что такое уровень безопасности интерфейса?
4)Какие интерфейсы брандмауэра называют внутренними, внешними и пограничными?
5)Как настраиваются интерфейсы брандмауэра?
6)Как настроить передачу данных из внутренней сети во внешнюю?
7)В каких случаях необходимо использовать статическую, динамическую трансляцию и трансляцию адресов порта?
8)Как настроить передачу данных из внешней сети во внутреннюю для выбранных служб?
9)Как запретить трансляцию адреса для выбранного хоста из внутренней
сети?
Библиографический список
1.О л и ф е р В. Г. Компьютерные сети. Принципы, технологии, протоколы / В. Г. О л и ф е р, Н. А. О л и ф е р. СПб: Питер, 2010. 918 с.
2.Б о н и Дж. Руководство по Cisco IOS / Дж. Б о н и. СПб: Питер; М.: Русская редакция, 2007. 784 с.
3. Ч е м п е н |
Д. Брандмауэры Cisco Secure PIX: Пер. с англ. / |
Д. Ч е м п е н, Э. Ф |
о к с. М.: Вильямс, 2003. 384 с. |
36
ПРИЛОЖЕНИЕ 1
ОСНОВЫ РАБОТЫ С СЕТЕВЫМ ОБОРУДОВАНИЕМ ФИРМЫ CISCO
Управляются сетевые устройства с помощью различных программ. Наиболее широкие возможности предоставляет интерфейс командной строки
CLI (Command Line Interface) операционной системы IOS (Internetworking Operating System), используемой в устройствах фирмы Cisco.
Для работы с этим интерфейсом применяется программа эмуляции терминала telnet, которая соединяется с управляемым устройством по протоколу telnet. Для того чтобы запустить эту программу, необходимо в командной строке набрать имя программы. Список доступных команд программы telnet можно получить, используя ключ «?». Для того чтобы присоединиться к сетевому устройству, следует набрать команду
open ip_адрес_устройства
При входе в интерфейс командной строки IOS запрашивает пароль. В учебной лаборатории применяется пароль cisco. После правильно введенного пароля на экране появится, например, такое приглашение интерфейса командной строки:
cat2924m-3>
В командной строке можно вводить команды. Например, команда show version выводит информацию о типе устройства и версии операционной системы.
Для настройки различных аспектов работы устройства существуют следующие режимы работы интерфейса командной строки: пользовательский, привилегированный, глобальной конфигурации и др.
Символ «>» в командной строке означает, что система находится в пользовательском режиме. Этот режим предназначен в основном для получения статистики работы устройства.
Для настройки устройства необходимо перейти в привилегированный режим с помощью команды enable:
cat2924m-3>enable Password: cat2924m-3#
Для входа в привилегированный режим требуется указать пароль, в общем случае он отличен от пароля, вводимого при входе. В учебной лаборатории используется пароль cisco.
37
Символ # в командной строке означает, что система находится в привилегированном режиме, в котором доступно большее количество команд, чем в пользовательском. Например, команда show running-config позволяет просмотреть текущую конфигурацию устройства. Вернуться в пользовательский режим можно с помощью команды disable.
Вход в режим глобальной конфигурации осуществляется из привилегированного режима командой configure terminal, возврат из него – командой exit или управляющей комбинацией клавиш CTRL-Z. В режиме глобальной конфигурации выполняются основные настройки устройства. Например, с помощью команды hostname можно сменить имя устройства.
Для настройки параметров интерфейсов применяется режим конфигурации интерфейсов. Вход в этот режим осуществляется из режима глобальной конфигурации командой interface имя_интерфейса (например, fastethernet 0/0), возврат из него – аналогично предыдущему режиму.
Кроме перечисленных режимов существуют и другие, рассматривать их лучше в контексте описания выполняемых в них настройках.
Для облегчения работы с интерфейсом командной строки в операционной системе IOS встроены контекстная справочная система и команды редактирования (таблица).
Вводить команды и их аргументы можно не полностью, а только то количество символов, которых достаточно для однозначного определения команды.
Получить контекстную справку можно с помощью символа «?». Например:
cat2924m-3#? |
|
Exec commands: |
Session number to resume |
<1-99> |
cat2924m-3#c?
cd clear clock cluster configure connect copy
cat2924m-3#clock ?
set Set the time and date
cat2924m-3#clock set ? hh:mm:ss Current Time
Для удаления ранее введенной команды необходимо набрать ее в том же режиме с префиксом no. Например:
cat2924m-3(config)#int fa0/1 cat2924m-3(config-if)#description описание интерфейса cat2924m-3(config-if)#no description описание интерфейса
38
ПРИЛОЖЕНИЕ 2
ОСНОВНЫЕ КОМАНДЫ РЕДАКТИРОВАНИЯ В ИНТЕРФЕЙСЕ КОМАНДНОЙ СТРОКИ IOS
Команда |
Описание команды |
CTRL-B или «←» |
Перемещает курсор на один символ влево |
CTRL-F или «→» |
Перемещает курсор на один символ вправо |
CTRL-A |
Перемещает курсор в начало строки |
CTRL-E |
Перемещает курсор в конец строки |
ESC-B |
Перемещает курсор назад на одно слово |
ESC-F |
Перемещает курсор на одно слово вперед |
TAB |
В том случае, если введены начальные символы, |
|
достаточные для определения команды, вводит |
|
остальные символы названия команды |
Backspace |
Удаляет символ слева от курсора |
CTRL-D |
Удаляет символ над курсором |
CTRL-K |
Удаляет символы от курсора до конца строки |
CTRL-U или CTRL-X |
Удаляет символы от курсора до начала строки |
CTRL-W |
Удаляет слово слева от курсора |
ESC-D |
Удаляет символы начиная с позиции курсора до |
|
конца слова |
Enter |
При выводе информации прокручивает экран на |
|
строку вниз |
Space |
При выводе информации прокручивает экран на |
|
страницу вниз |
39