- •Введение
- •Лабораторная работа 1 локальные вычислительные сети на базе управляемых коммутаторов ethernet
- •1.1.Краткие теоретические сведения
- •1.2.Порядок проведения работы
- •Сетевые утилиты операционной системы Windows
- •Команды операционной системы ios
- •1.3.Содержание отчета
- •1.4.Контрольные вопросы
- •Виртуальные локальные сети
- •1.5.Краткие теоретические сведения
- •1.6.Порядок проведения работы
- •Команды операционной системы ios
- •1.10.Порядок проведения работы
- •1.11.Содержание отчета
- •Команды операционной системы ios
- •1.12.Контрольные вопросы
- •Основы маршрутизируемых сетей
- •1.13.Краткие теоретические сведения
- •1.14.Порядок проведения работы
- •Команды операционной системы ios
- •1.18.Порядок проведения работы
- •Команды операционной системы ios
- •1.19.Содержание отчета
- •1.20.Контрольные вопросы
- •Управление сетевым оборудованием фирмы cisco
- •1.21.Краткие теоретические сведения
- •1.22.Порядок проведения работы
- •1.23.Содержание отчета
- •Команды операционной системы ios
- •1.24.Контрольные вопросы
- •Лабораторная работа 2 брандмауэр cisco secure pix 515
- •2.1.Краткие теоретические сведения
- •2.2.Порядок проведения работы
- •2.3.Содержание отчета
- •2.4.Контрольные вопросы
- •Библиографический список
- •Приложение 1
- •Приложение 2
- •644046, Г. Омск, пр. Маркса, 35
1.24.Контрольные вопросы
Какие способы управления сетевым оборудованием существуют?
Что такое линия маршрутизатора?
Какие настройки необходимо выполнить, чтобы сетевым устройством можно было управлять по сети?
Какие файлы конфигурации существуют?
Для чего используется протокол SNMP?
Для чего можно использовать TFTP-сервер?
Какие основные MIB применяются в сетевом оборудовании?
Лабораторная работа 2 брандмауэр cisco secure pix 515
Цель работы: изучение методов повышения безопасности компьютерных сетей с помощью брандмауэров фирмы Cisco.
2.1.Краткие теоретические сведения
В настоящее время огромное количество компьютерных сетей объединено посредством Интернета, что позволяет получить удаленный доступ с любого компьютера к сети любой организации. Для безопасной работы необходимо ограничивать доступ к компьютерной сети организации и разделять объединенную сеть на изолированные сегменты, доступ в которые для посторонних лиц запрещен. Эту функцию обычно выполняют специализированные устройства – сетевые экраны или брандмауэры.
Брандмауэр – это система или комбинация систем, позволяющая разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Как правило, эта граница проводится между локальной сетью предприятия и Интернетом, хотя ее можно провести и внутри локальной сети предприятия. Брандмауэр пропускает через себя весь трафик и для каждого проходящего пакета принимает решение, пропускать его или отбросить.
По способу обработки пакетов все брандмауэры можно разделить на три типа: пакетные фильтры, фильтры, учитывающие состояние соединения и брандмауэры с серверами прикладного уровня (прокси-фильтры).
Пакетные фильтры осуществляют фильтрацию пакетов TCP/IP на транспортном или сетевом уровне на основе анализа IP-адресов и номеров портов отправителя и получателя, сравнивая их с правилами фильтрации, определяемыми в списках доступа. При этом каждый пакет анализируется отдельно, и после его обработки вся информация о нем теряется.
Фильтры пакетов, учитывающие состояние соединения, сохраняют информацию о каждом обработанном пакете данных. Каждый раз при создании нового соединения информация о нем сохраняется в специальной таблице контроля состояния потока данных. Пакет, поступающий вне установленного соединения, отбрасывается, что обеспечивает более высокую безопасность, чем использование списков доступа в обычных пакетных фильтрах.
Брандмауэры с серверами прикладного уровня используют сервера конкретных сервисов – терминалы (telnet), web (http), электронная почта (SMTP, POP3), передача файлов (ftp) и т.д., запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения. Использование серверов прикладного уровня позволяет скрыть от внешних пользователей структуру локальной сети. Другим положительным качеством является возможность аутентификации пользователей.
Брандмауэры серии Cisco Secure PIX сочетают в себе функции всех трех типов брандмауэров, поэтому они обладают достоинствами, характерными для каждого типа, и обеспечивают максимальный уровень безопасности. Основной брандмауэра PIX является разработанный фирмой Cisco адаптивный алгоритм безопасности (ASA), который является частью операционной системы и автоматически подстраивает параметры проверки соединений в процессе анализа проходящего трафика.
Адаптивный алгоритм безопасности основан на концепции уровней безопасности интерфейсов. Уровень безопасности – это значение от 0 до 100, назначаемое администратором на интерфейсе брандмауэра. Уровень безопасности определяет, более или менее защищен данный интерфейс относительно другого интерфейса. Интерфейс считается более защищенным по сравнению с другим интерфейсом, если его уровень безопасности выше. Интерфейс с более высоким уровнем безопасности может без ограничений обмениваться данными с интерфейсом, чей уровень безопасности ниже. В отличие от этого, передача трафика от менее защищенного интерфейса к более защищенному невозможна без задания дополнительных правил доступа.
Уровень безопасности интерфейса может принимать значения от 0 до 100. Уровень 100 – максимальный уровень безопасности, назначаемый внутреннему интерфейсу брандмауэра, подключенному к доверенной сети. Уровень 0 – самый низкий уровень безопасности. Он присваивается внешнему интерфейсу и используется для подключения потенциально опасных сетей, например, Интернета.
Уровни безопасности от 1 до 99 могут использоваться в брандмауэрах с тремя и более интерфейсами для подключения изолированных сетей, доступных пользователям из внешней сети. Такие сети называют демилитаризованными зонами, в них обычно устанавливают корпоративные сервера, предоставляющие публичные сервисы (web, передача файлов). Соответствующие интерфейсы брандмауэра в таком случае называют пограничными.
При передаче данных из внутренней сети во внешнюю брандмауэр использует трансляцию адресов, когда локальные адреса, имеющие смысл только внутри корпоративной сети, заменяются глобальными адресами, зарегистрированными в Интернете. Трансляция сетевых адресов позволяет пользователю не раскрывать внутренние сетевые адреса при обращении к внешним сетям.
При создании нового подключения информация о соответствии локального и глобального адреса сохраняется в слоте трансляции – отдельной записи в таблице контроля состояния соединений. Существует несколько способов трансляции сетевых адресов.
Статическая трансляция адресов используется в том случае, когда определенному локальному узлу при установлении исходящих соединений всегда назначается один и тот же внешний адрес. Динамическая трансляция адресов используется для трансляции определенных диапазонов локальных адресов в заданный диапазон глобальных адресов (Network Address Translation – NAT) или в один глобальный с использованием разных портов (Port Address Translation – PAT). Технологию трансляции портов удобно использовать, когда доступен только один внешний IP-адрес. Использование метода PAT позволяет создать несколько исходящих сеансов связи с одним IP-адресом.
Иногда после настройки трансляции адресов возникает необходимость обеспечить доступ пользователей из внешней сети к некоторым службам, находящимся во внутренней сети. Например, доступ ко внутренней сети требуется при удаленном сетевом администрировании. В этом случае необходимо определить особые правила для разрешения прохождения потока данных от интерфейса с более низким уровнем безопасности к интерфейсу с более высоким уровнем безопасности.
Для настройки таких правил используется списки доступа, формируемые с помощью команды «conduit». Эта команда разрешает устанавливать соединения из внешней сети, но только для ограниченного числа адресов и портов приложений. Так как любое разрешение доступа из внешней сети во внутреннюю содержит в себе потенциальную угрозу, к составлению разрешающих правил следует подходить обдуманно.