125 Кібербезпека / 3 Курс / 3.1_3.2_Інформаційно-комунікаційні системи / Курсова робота / Пояснювальна записка / 3 розділ

3 ТЕХНІЧНИЙ ПРОЕКТ

3.1 Вибір активного мережевого обладнання

Згідно вимог до мережі, ДСТУ та плану приміщення (і розміщеної на ньому фізичної топології) для функціонування обчислювальної мережі, що проектується потрібно забезпечити таке мережеве обладнання для корпусів.

Корпус перший:

• 2 комутатори 2 рівня, 24 × 100Мбіт/с;

• 1 комутатор 3 рівня, 20 × 100Мбіт/с, 2 × 1 Ґбіт/с;

• Безпровідна точка доступу для читального залу;

• 1 міжмережевий екран на 4 порти.

Корпус другий:

• 5 комутаторів 2 рівня, 16 × 100Мбіт/с.

Корпус третій:

• 1 комутатор 2 рівня, 24 × 100Мбіт/с;

• 1 комутатор 3 рівня, 8 × 100Мбіт/с, 2 × 1 Ґбіт/с.

Корпус четвертий:

• 5 комутаторів 2 рівня, 16 × 100Мбіт/с.

Корпус п’ятий:

• 1 комутатор 2 рівня, 24 × 100Мбіт/с;

• 1 комутатор 3 рівня, 8 × 100Мбіт/с, 2 × 1 Ґбіт/с.

Корпус шостий:

• 5 комутаторів 2 рівня, 16 × 100Мбіт/с.

В таблиці 3.1 представлено список активного мережевого обладнання, його опис та характеристики.

Таблиця 3.1 – Активне мережеве обладнання комп’ютерної мережі

Назва пристрою	Опис	Модель	Кількість портів
Wi-Fi	Точка доступу	Cisco/ Linksys WAP54G	1 х Мбіт/c
FD-MDF	L3 комутатор 1 корпусу	Cisco SG300-20	20 × 100Мбіт/с 2 × 1 Ґбіт/с
Firewall	Міжмережевий екран	Cisco ASA 5510	5 х 100 Мбіт/c
ER	Комутатор публічних серверів	Cisco Catalyst 3560-8PC	8 × 100Мбіт/с 2 × 1 Ґбіт/с
SW_102	Комутатор класу 102	Cisco Catalyst 2960-24TC-L	24 × 100Мбіт/с
SW_107	Комутатор класу 107	Cisco Catalyst 2960-24TC-L	24 × 100Мбіт/с
SW_201	Комутатор класу 201	Cisco SRW2016-K9	16 × 100Мбіт/с
SW_202	Комутатор класу 202	Cisco SRW2016-K9	16 × 100Мбіт/с
SW_203	Комутатор класу 203	Cisco SRW2016-K9	16 × 100Мбіт/с
SW_204	Комутатор класу 204	Cisco SRW2016-K9	16 × 100Мбіт/с
SW_205	Комутатор класу 205	Cisco SRW2016-K9	16 × 100Мбіт/с
IDF1	L3 комутатор 3 корпусу	Cisco Catalyst 3560-8PC	8 × 100Мбіт/с 2 × 1 Ґбіт/с
SW_301	Комутатор класу 301	Cisco Catalyst 2960-24TC-L	24 × 100Мбіт/с
SW_401	Комутатор класу 401	Cisco SRW2016-K9	16 × 100Мбіт/с
SW_402	Комутатор класу 402	Cisco SRW2016-K9	16 × 100Мбіт/с

Продовження таблиці 3.1

Назва пристрою	Опис	Модель	Кількість портів
SW_403	Комутатор класу 403	Cisco SRW2016-K9	16 × 100Мбіт/с
SW_404	Комутатор класу 404	Cisco SRW2016-K9	16 × 100Мбіт/с
SW_405	Комутатор класу 405	Cisco SRW2016-K9	16 × 100Мбіт/с
IDF2	L3 комутатор 5 корпусу	Cisco Catalyst 3560-8PC	8 × 100Мбіт/с 2 × 1 Ґбіт/с
SW_501	Комутатор класу 601	Cisco Catalyst 2960-24TC-L	24 × 100Мбіт/с
SW_601	Комутатор класу 601	Cisco SRW2016-K9	16 × 100Мбіт/с
SW_602	Комутатор класу 602	Cisco SRW2016-K9	16 × 100Мбіт/с
SW_603	Комутатор класу 603	Cisco SRW2016-K9	16 × 100Мбіт/с
SW_604	Комутатор класу 604	Cisco SRW2016-K9	16 × 100Мбіт/с
SW_605	Комутатор класу 605	Cisco SRW2016-K9	16 × 100Мбіт/с

3.2 Розрахунок логічної адресації

Відповідно до функціональності підрозділів факультету, розподілу на кафедри, наявності в кафедрах ієрархічної організації персоналу, а також з цілями безпеки, логічну мережу 10.13.0.0/16 сегментовано на функціональні блоки під мереж мережу 10.13.16.0, 10.13.32.0, 10.13.48.0, 10.13.64.0, 10.13.80.0, 10.13.96.0/20 відповідно до корпусів факультету. Ці блоки включать в себе ряд під мереж. Також сегментовано і додаткові та службові підмережі. В додатку А представлено логічну сегментацію мережі.

3.3 Комутація

3.3.1 Налаштування комутаторів

Базове налаштування комутатора повинне включати:

• задання ім’я пристрою;

• налаштування годинника;

• включення логів;

• налаштування бази даних користувачів комутатора з відповідними правами та паролями;

• налаштування паролю на конфігураційний режим;

• налаштування доступу по віртуальних лініях зв’язку;

• налаштування доступу по фізичних (консольна) лініях зв’язку;

• вимикання служби пошуку слів як доменного імені (опційно);

• налаштування баннерів: баннера дня, та гостьового баннера;

• включення криптування паролів в конфігураційному файлі на флеші;

• початкове закриття всіх комунікаційних інтерфейсів;

• налаштування безпеки:

а) налаштування безпеки портів;

б) налаштування безпеки паролів, сесій;

в) відключення служби Telnet та включення SSH.

На прикладі комутатора MDF показано, як здійснюється базове налаштування комутатора. Аналогічно можна здійснити таке ж налаштування і на всіх інших комутаторах мережі, змінюючи лише параметри команд (імена, паролі і т.д.). Нижче представлено набір команд (поч. режим: #).

Лістинг 3.1 – Базові налаштування комутатора

enable

!

terminal history

terminal history size 10

!

clock set 01:59:00 18 December 2012

!

conf ter

!

hostname MDF

!

logging on

logging buffered 32000

service timestamps log datetime msec

!

username Igor_Admin password pass

!

enable secret pass

!

line console 0

password pass

login

logg syn

exit

!

line vty 0 15

login local

logg syn

transport input ssh

exec-timeout 3

exit

!

no ip domain-lookup

!

banner motd #MOTD BANNER#

!

banner login #Warning! Authorized persons only#

!

!Налаштування безпеки

!!!!!!!!!!!!!!!!!!!!!

Продовження лістингу 3.1

service password-encryption

!

int range fa 0/1 - 24

shutdown

exit

!Налаштування SSH

!!!!!!!!!!!!!!!!!

ip domain-name facultet-X.net

!

ip ssh version 2

!

crypto key generate rsa

!

ip ssh time-out 15

!

ip ssh authentcation-retries 2

!

exit

!

copy run start

3.3.2 Налаштування VLAN

Оскільки в якості магістральних активних мережевих пристроїв 3 рівня використовуються Layer 3 комутатори, то доцільно організувати свою мережу не на маршрутизації реальних під мереж, а на комутації третього рівня віртуальних локальних під мереж (VLAN). В додатку А представлено список усіх VLAN та їх імен відповідно до розробленої ІР-адресної схеми.

На IDF1 (та усіх комутаторах 2 рівня, що підключені до нього) повинні бути створені такі VLAN:

303, 304, 305, 401, 402, 403, 404, 405

IDF2:

503, 504, 505, 601, 602, 603, 604, 605

MDF:

102, 101, 103, 104, 105, 106, 107, 108, 109, 201, 202, 203, 204, 205

Для того, аби на кожного комутаторі не налаштовувати окремо цілий список VLAN (створюючи їх, на називаючи), можна використати протокол VLAN Trunking Protocol (VTP). Потрібно створити для кожного комутатора 3 рівня окремий VTP домен, призначити кожен комутатор 3 рівня VTP сервером, а всі інші комутатори (2 рівня) – VTP клієнтами. Тоді комутатори 2 рівня отримають інформацію про VLAN’и від своїх відповідних комутаторів 3 рівня. Нижче представлено список команд організації VTP на прикладі комутатора 3 рівня IDF1 та підключеного до нього комутатора SW_301.

На IDF1 (див. лістинг 3.2).

Лістинг 3.2 – Базові налаштування VTP

enable

!

conf ter

!

vtp prunning

vtp mode server

vtp domain IDF1

vtp version 2

!

vtp password vtp_password

!

На коммутаторах 2 рівня 3, 4 корпусів (відносяться до IDF1)

Лістинг 3.3 – Налаштування VTP в режимі кліент

enable

!

conf ter

!

vtp prunning

vtp mode client

vtp domain IDF1

vtp version 2

!

vtp password vtp_password

!

Тепер слід на комутаторах 3 рівня налаштувати відповідні їм VLAN.

Лістинг 3.4 - Налаштування VLAN на IDF1

vlan 303

name CafB303

exit

!

vlan 304

name VukB304

exit

!

vlan 305

name ZavB305

exit

!

vlan 401

name Class401

exit

!

vlan 402

name Class402

exit

!

vlan 403

name Lab403

exit

!

vlan 404

name Lab404

exit

!

vlan 405

name Lab405

exit

!

Лістинг 3.5 - Налаштування VLAN на IDF2

vlan 503

name CafC503

exit

!

vlan 504

name VukC504

exit

Продовження лістингу 3.5

!

vlan 505

name ZavC505

exit

!

vlan 601

name Class601

exit

!

vlan 602

name Class602

exit

!

vlan 603

name Lab603

exit

!

vlan 604

name Lab604

exit

!

vlan 605

name Lab605

exit

!

Лістинг 3.6 - Налаштування VLAN на MDF

vlan 102

name Read102

exit

!

vlan 101

name WiFi101

exit

!

vlan 103

name Lib103

exit

!

vlan 104

name ZavA104

Продовження лістингу 3.6

exit

!

vlan 105

name VukA105

exit

!

vlan 106

name Caf106

exit

!

vlan 107

name Kan107

exit

!

vlan 108

name Dekan108

exit

!

vlan 109

name Dekanat109

exit

!

vlan 201

name Class201

exit

!

vlan 202

name Class202

exit

!

vlan 203

name Lab203

exit

!

vlan 204

name Lab204

exit

!

vlan 205

name Lab205

exit

!

Тепер потрібно налаштувати IP адреси на SVI тих VLAN, які є на комутаторах 3 рівня для того, щоб кінцеві вузли змогли коректно комунікуватись з ними, як з шлюзами за замовчуванням.

Лістинг 3.7 - Налаштуванням ІР адресів інтерфейсів VLAN на MDF

int vlan 102

ip ad 10.13.16.0 255.255.255.224

exit

!

int vlan 101

ip ad 10.13.16.32 255.255.255.240

exit

!

int vlan 103

ip ad 10.13.16.48 255.255.255.240

exit

!

int vlan 104

ip ad 10.13.16.64 255.255.255.240

exit

!

int vlan 105

ip ad 10.13.16.80 255.255.255.240

exit

!

int vlan 106

ip ad 10.13.16.96 255.255.255.240

exit

!

int vlan 107

ip ad 10.13.16.112 255.255.255.240

exit

!

int vlan 108

ip ad 10.13.16.128 255.255.255.240

exit

!

int vlan 109

ip ad 10.13.16.144 255.255.255.240

exit

!

Продовження лістингу 3.7

int vlan 201

ip ad 10.13.32.0 255.255.255.224

exit

!

int vlan 202

ip ad 10.13.32.32 255.255.255.224

exit

!

int vlan 203

ip ad 10.13.32.64 255.255.255.224

exit

!

int vlan 204

ip ad 10.13.32.96 255.255.255.224

exit

!

int vlan 205

ip ad 10.13.32.128 255.255.255.224

exit

!

int vlan 1101

ip ad 10.13.193.0 255.255.255.0

exit

!

Тепер слід налаштувати інтерфейси комутаторів 3 рівня для того, щоб нормально функціонували VLAN’и. Ті інтерфейси, вузли до яких будуть підключатись напряму, слід занести в режим access, а ті інтерфейси, які використовуються як підключення до інших комутаторів (2 рівня), слід позначити як trunk. Також на access портах слід налаштувати безпеку портів, щоб лише 1 пристрій міг підключатися на порт.

Лістинг 3.8 - Налаштування інтерфейсів на комутаторів MDF

int range fa 0/2-4, fa0/5-9

no shutdown

switchport mode access

switchport port-security

switchport port-security maximum 10

switchport port-security mac-address sticky

Продовження лістингу 3.8

switchport port-security violation shutdown

exit

!

int fa 0/2

description WIFI-LAN

switchport access vlan 1101

!

!

int fa 0/3

description SW_102

switchport access vlan 101,102,103

exit

!

int fa 0/4

description SW_107

switchport access vlan 104,105,106,107,108,109

exit

!

int fa 0/5

description Class201

switchport access vlan 201

exit

!

int fa 0/6

description Class202

switchport access vlan 202

exit

!

int fa 0/7

description Lab203

switchport access vlan 203

exit

!

int fa 0/8

description Lab204

switchport access vlan 204

exit

!

int fa 0/9

description Lab205

switchport access vlan 205

exit

!

Відповідно, також потрібно аналогічним чином налаштувати комутатори 2 рівня на призначення VLAN для їх інтерфейсів. В додатку Б представлені конфігурації комутаторів.

3.3.3 Організація протоколу резервування з’єднань

Spanning Tree Protocol – протокол для уникнення петель, що працює на 2 рівні моделі OSI. В Топологіях типу зірка та розширена зірка, де дістатись до третього комутатора заданий може не одним, а двома або й більше шляхами, такий протокол є дуже ефективний, так як налаштовує канали таким чином, що лише один з них буде служити як дієвий на шляху до певного комутатора, а інші (альтернативні), будуть залишатись в стані блокованості доти, поки основний не впаде, тобто будуть резервними. Отже, STP – це протокол резервування. Необхідно на комутаторах 3 рівня задатитакі параметри для STP, щоб отримати топологію резервування, як на рисунку 3.1.

Рисунок 3.1 – Бажана робота STP в мережі

Налаштування STP на MDF:

spanning-tree mode rapid-pvst

spanning-tree vlan 500 priority 8192

Налаштування STP на IDF1:

spanning-tree mode rapid-pvst

spanning-tree vlan 500 priority 12288

Налаштування STP на IDF2:

spanning-tree mode rapid-pvst

spanning-tree vlan 500 priority 12288

int gi 0/1

spanning-tree vlan 500 port-priority 160

exit

!

int gi 0/2

spanning-tree vlan 500 port-priority 32

exit

!

3.4 Організація безпровідного доступу

Для організації безпровідного доступу в корпусі 3, для електронно навчальних ресурсів необхідно:

- Налаштувати DHCP Server на IDF3 в діапазоні 10.13.209.0 /28.

ip dhcp excluded-address 10.13.209.16 10.13.209.17

!

ip dhcp pool ReadHoleAP

network 10.13.209.0 255.255.255.240

default-router 10.13.209.16

!

- Налаштувати точку доступу:

а) вказати SSID “ReadHoleAP”;

б) вибрати тип шифрування WPA2 PSK, встановити ключ.;

в) виключити трансляцію SSID в середовище;

г) встановити канал передачі: 6;

д) налаштувати MAC-фільтрацію (опційно);

е) налаштувати IP управління точкою доступу в 10.13.193.0.

3.5 Маршрутизація

3.5.1 Налаштування маршрутизаторів

Налаштування SSH і Telnet для локального входу і рівня привілеїв 15.

Лістинг 3.9 - Налаштування SSH і Telnet

Router(config)# line vty 0 4

Router(config-line)# privilege level 15

Router(config-line)# login local

Router(config-line)# transport input telnet

Router(config-line)# transport input telnet ssh

Router(config-line)# exit

3.5.2 Між мережева взаємодія

В якості протоколу маршрутизації для VLAN’ів використаємо протокол-власність Cisco – EIGRP.

Лістинг 3.10 - Налаштування EIGRP на комутаторі MDF

router eigrp 10

network 10.13.16.0 0.0.0.255

network 10.13.16.200 0.0.0.3

network 10.13.16.192 0.0.0.7

network 10.13.13.176 0.0.0.7

network 10.13.254.0 0.0.0.7

network 10.13.16.128 0.0.0.7

network 10.13.16.144 0.0.0.3

network 10.13.16.0 0.0.0.3

network 10.13.16.128 0.0.0.127

no auto-summary

exit

!

Лістинг 3.11 - Налаштування EIGRP на комутаторі IDF1

router eigrp 10

network 10.13.48.0 0.0.0.31

network 10.13.48.64 0.0.0.63

network 10.13.48.128 0.0.0.31

network 10.13.48.160 0.0.0.7

network 10.13.48.184 0.0.0.7

network 10.13.48.128 0.0.0.127

no auto-summary

exit

!

Лістинг 3.12 - Налаштування EIGRP на комутаторі IDF2

router eigrp 10

network 10.13.80.0 0.0.0.63

network 10.13.80.64 0.0.0.31

network 10.13.80.112 0.0.0.15

network 10.13.80.148 0.0.0.3

network 10.13.80.128 0.0.0.127

no auto-summary

exit

!

3.5.3 Налаштування маршруту за замовчуванням

На комутаторі MDF налаштовую маршрут за замовчуванням, який буде розсилатись протоколом EIGRP на інші комутатори 3 рівня:

ip route 0.0.0.0 0.0.0.0 fa0/1 10.13.224.0

Також, крім цього, налаштовую порт fa 0/1 комутатора MDF – як портмаршрутизатора, для цього відключаю режим порта комутатора, і встановлюю IP адрес на інтерфейс fa 0/1

int fa 0/1

no switchport

ip address 10.13.224.0 255.255.240.0

description Port_To_Firewall

no shutdown

exit

!

3.6 Організація доступу до Інтернет

3.6.1 Технологія доступу до Інтернет

Для безпечної, надійної та ефективної взаємодії локальної обчислювальної мережі та Інтернет, необхідно налаштувати списки доступу (Access Control Lists) та трансляцію мережевий адрес (Network Address Translation) на між мережевому екрані “Firewall”.

NAT

Публічні сервери повинні використовувати статичний NAT, а весь діапазон 10.13.16.0 /16 – NAT Overload через IP 188.120.209.61 інтерфейсу Ethernet 2 на між мережевому екрані.

Лістинг 3.13 – Налаштування трансляції адресів NAT

ip nat inside source static 10.0.0.2 188.120.209.62

ip nat inside source static 10.0.0.3 188.120.209.63

ip nat inside source static 10.0.0.4 188.120.209.64

!

access-list 1 permit 10.13.0.0 0.0.255.255

ip nat inside source list 1 interface ethernet 2 overload

!

interface ethernet 4

ip nat inside

exit

!

interface ethernet 2

ip nat outside

exit

!

ACL

Оскільки публічні сервери доступні з Інтернету, зловмисник може проникнути на них, і звідти вже пробратись в локальну мережу, і NAT уже не стане в пригоді. Також стандартні ACL та розширені ACL на MDF та Firewall не допоможуть, якщо ми схочемо заблокувати доступ до серверів, тому що він буде заблокований в обидві сторони. Тому слід організувати рефлективні ACL для того, аби для будь-якої взаємодії з публічним сервером ініціатором був не сервер. Нижче представлено налаштування Firewall для рефлективних ACL.

Лістинг 3.14 – Налаштування правил фільтрації

ip access-list extended OUTFILTER

permit tcp 10.13.0.0 0.0.255.255 any reflect TCPTRAFFIC

permit icmp 10.13.0.0 0.0.255.255 any reflect ICMPTRAFFIC

exit

!

ip access-list extended INFILTER

evaluate TCPTRAFFIC

evaluate ICMPTRAFFIC

exit

!

interface ethernet 3

ip access-group INFILTER in

ip access-group OUTFILTER out

exit

!

3.6.2 Апаратні засоби доступу до Інтернет

Для забезпечення доступу до Інтернет, використовуючи 2 інтернет сервіс провайдери, використовувався такий граничний пристрій, як між мережевий екран Cisco ASA 5510.

Cisco ASA (Adaptive Security Appliance) - серія апаратних міжмережевих екранів, розроблених компанією Cisco Systems.

Є спадкоємцем наступних лінійок пристроїв:

- Міжмережевих екранів Cisco PIX.

- Систем виявлення вторгнень Cisco IPS 4200.

- VPN-концентраторів Cisco VPN 3000.

Так само як і PIX, ASA засновані на процесорах x86. Починаючи з версії 7,0 PIX і ASA використовують однакові образи операційної системи (але функціональність залежить від того, на якому пристрої вона запущена).

Функціональність залежить від типу ліцензії, який визначається введеним серійним номером.

Інтерфейс командного рядка нагадує (але не повторює) інтерфейс Cisco IOS. Управляти пристроєм можна через Telnet, SSH, веб-інтерфейс або за допомогою програми Cisco Security Manager.

На між мережевому екрані Firewall налаштовуємо маршрутизацію відповідно до лістингу конфігураційного файла налаштувань.

Лістинг 3.15 – Налаштування маршрутизації на мережевому екрані

route ouside 10.13.0.0 255.255.0.0 ethernet 4 10.13.10.1

route outside 0.0.0.0 0.0.0.0 92.63.102.192

route outside 0.0.0.0 0.0.0.0 188.120.209.65