Security (Лекции по информационной безопасности), страница 32
Описание файла
Файл "Security" внутри архива находится в папке "Лекции по информационной безопасности". PDF-файл из архива "Лекции по информационной безопасности", который расположен в категории "". Всё это находится в предмете "информационное обеспечение разработок" из 11 семестр (3 семестр магистратуры), которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "лекции и семинары", в предмете "информационное обеспечение разработок и исследований" в общих файлах.
Просмотр PDF-файла онлайн
Текст 32 страницы из PDF
Адреса станций управления172.16.240.151 и 172.16.240.152 транслируются на межсетевом экране:access-list 112 permit tcp host 172.16.240.151 host 172.16.240.2 establishedaccess-list 112 permit tcp host 172.16.240.152 host 172.16.240.2 establishedРазрешить доступ по протоколу SSH от станций управления к маршрутизатору:access-list 112 permit tcp host 172.16.240.151 host 172.16.240.2 eq 22access-list 112 permit tcp host 172.16.240.152 host 172.16.240.2 eq 22Необходимо для использования протокола TFTP между станцией управления и маршрутизатором:access-list 112 permit udp host 172.16.240.151 host 172.16.240.2 gt 1024Разрешить синхронизацию сетевого времени в сети 172.16.240.0:access-list 112 permit udp 172.16.240.0 0.0.0.255 host 172.16.240.2 eq ntpРазрешить ping из внутренней сети в Интернет:access-list 112 permit icmp 172.16.240.0 0.0.0.255 anyБлокировать и вести журнал всех других попыток доступа к маршрутизатору:access-list 112 deny ip any host 172.16.240.2 logРазрешить доступ в Интернет из сети 172.16.240.0:!access-list 112 permit ip 172.16.240.0 0.0.0.255 any!!mPIX-1Приведенная ниже конфигурация детализирует настройки межсетевого экрана PIX Firewall, mPIX-1.nameif ethernet0 outside security0nameif ethernet1 inside security100nameif ethernet2 pss security10nameif ethernet3 vpn security15!ip address outside 172.16.240.1 255.255.255.081ip address inside 10.3.4.1 255.255.255.0ip address pss 10.3.6.1 255.255.255.0ip address vpn 10.3.5.1 255.255.255.0Эта часть конфигурации детализирует настройки трансляции сетевых адресов на PIX Firewall.В комбинации со списком доступа nonat конфигурация, приведенная ниже, не позволяет выполняться трансляции между внутренними адресами, но позволяет трансляцию адресов между внутренними устройствами, устройствами удаленного доступа и Интернет:global (outside) 100 172.16.240.101-172.16.240.150 netmask 255.255.255.0global (outside) 200 172.16.240.201-172.16.240.250 netmask 255.255.255.0nat (inside) 0 access-list nonatnat (inside) 100 10.0.0.0 255.0.0.0 0 0nat (pss) 0 access-list nonatnat (vpn) 200 10.3.7.0 255.255.255.0 0 0static (inside,vpn) 10.3.0.0 10.3.0.0 netmask 255.255.0.0 0 0static (inside,pss) 10.3.8.253 10.3.8.253 netmask 255.255.255.255 0 0static (inside,pss) 10.3.8.254 10.3.8.254 netmask 255.255.255.255 0 0Трансляция частных адресов IP публичных серверов в зарегистрированные адреса IP для обеспечения доступа к нимиз Интернет.static (pss,outside) 172.16.240.50 10.3.6.50 netmask 255.255.255.255 0 0Трансляция частных адресов IP станций управления в зарегистрированные адреса IP для обеспечения доступа к нимот управляемых устройств, расположенных за межсетевым экраном.static (inside,outside) 172.16.240.151 10.3.8.254 netmask 255.255.255.255 0 0static (inside,outside) 172.16.240.152 10.3.8.253 netmask 255.255.255.255 0 0!!!access-list nonat permit ip 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0access-list nonat deny ip 10.0.0.0 255.0.0.0 anyПриведенный ниже фрагмент конфигурации описывает контроль доступа на межсетевом экране.
Имя списка доступа (ACL) говорит, где он должен быть применен.Разрешить трафик ВЧС от удаленных подразделений:82access-list out permit ip 10.5.0.0 255.255.0.0 10.3.0.0 255.255.0.0access-list out permit ip 10.6.0.0 255.255.0.0 10.3.0.0 255.255.0.0Фильтрование в соответствии с RFC 1918. Примечание: сеть 172.16.x.x не включена в список, потому что использовалась как сеть Интернет-провайдера в данном примере:access-list out deny ip 10.0.0.0 255.0.0.0 anyaccess-list out deny ip 192.168.0.0 255.255.0.0 anyДоступ внешних устройств к публичным серверам по протоколам HTTP, SSL, FTP, SMTP, и DNS.!access-listaccess-listaccess-listaccess-listaccess-listoutoutoutoutoutpermitpermitpermitpermitpermittcptcptcptcpudpanyanyanyanyanyhosthosthosthosthost172.16.240.50172.16.240.50172.16.240.50172.16.240.50172.16.240.50eqeqeqeqeqwww443ftpsmtpdomainРазрешить ответные пакеты ICMP на инициированные из внутренней сети запросы:access-list out permit icmp any 172.16.240.0 255.255.255.0 echo-replyРазрешить пакеты ICMP, необходимые для работы path MTU discovery (PMTUD):access-list out permit icmp any 172.16.240.0 255.255.255.0 unreachableРазрешить трафик протоколов управления syslog, TFTP и TACACS+ от удаленных подразделений:access-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listoutoutoutoutoutoutoutoutpermitpermitpermitpermitpermitpermitpermitpermitudpudpudptcpudpudpudptcphosthosthosthosthosthosthosthost172.16.128.2172.16.128.2172.16.128.2172.16.128.2172.16.128.5172.16.128.5172.16.128.5172.16.128.5hosthosthosthosthosthosthosthost172.16.240.151172.16.240.152172.16.240.151172.16.240.152172.16.240.151172.16.240.152172.16.240.151172.16.240.152eqeqeqeqeqeqeqeqsyslogsyslogtftptacacssyslogsyslogtftptacacsРазрешить протоколы syslog, TFTP и TACACS+ от маршрутизатора mIOS-1 и коммутатора mCAT-1 на станциисетевого управления:access-list out permit udp host 172.16.240.2 host 172.16.240.151 eq syslogaccess-list out permit udp host 172.16.240.2 host 172.16.240.152 eq syslogaccess-list out permit udp host 172.16.240.2 host 172.16.240.151 eq tftpaccess-listaccess-listaccess-listaccess-listaccess-listoutoutoutoutoutpermitpermitpermitpermitpermittcpudpudpudptcphosthosthosthosthost172.16.240.2172.16.240.4172.16.240.4172.16.240.4172.16.240.4hosthosthosthosthost172.16.240.152172.16.240.151172.16.240.152172.16.240.151172.16.240.152eqeqeqeqeqtacacssyslogsyslogtftptacacsСписок доступа «in» расположен на входе внутреннего интерфейса межсетевого экрана.Разрешить трафик ICMP echo из внутренней сети:access-list in permit icmp any any echoРазрешить внутреннему серверу DNS обращаться к внешним серверам DNS:access-list in permit udp host 10.3.2.50 host 10.3.6.50 eq domainРазрешить внутренним пользователям использовать протоколы HTTP, SSL, и FTP для доступа к внешним серверам:access-list in permit tcp 10.0.0.0 255.0.0.0 host 10.3.6.50 eq wwwaccess-list in permit tcp 10.0.0.0 255.0.0.0 host 10.3.6.50 eq 443access-list in permit tcp 10.0.0.0 255.0.0.0 host 10.3.6.50 eq ftpРазрешить передачу почты между внешним и внутренним почтовыми серверами:access-list in permit tcp host 10.3.2.50 host 10.3.6.50 eq smtpРазрешить доступ по протоколу Telnet от станций управления к коммутатору mCAT-2, который не поддерживает протокол SSH:access-list in permit tcp host 10.3.8.253 host 10.3.6.4 eq telnetaccess-list in permit tcp host 10.3.8.254 host 10.3.6.4 eq telnetЗапретить все остальные типы доступа из внутренней сети к публичным серверам:access-list in deny ip any 10.3.6.0 255.255.255.0Разрешить всем внутренним пользователям доступ в Интернет:access-list in permit ip 10.0.0.0 255.0.0.0 anyСписок доступа «pss» расположен на интерфейсе публичных серверов (DMZ) межсетевого экрана.Разрешить протоколы syslog, TACACS+ и TFTP от коммутатора mCAT-2 к станциям управления:access-listaccess-listaccess-listaccess-listpsspsspsspsspermitpermitpermitpermitudpudptcpudphosthosthosthost10.3.6.410.3.6.410.3.6.410.3.6.4hosthosthosthost10.3.8.25410.3.8.25310.3.8.25310.3.8.254eqeqeqeqsyslogsyslogtacacstftpРазрешить синхронизацию времени между коммутатором mCAT-2 и маршрутизатором mIOS-2:access-list pss permit udp host 10.3.6.4 host 10.3.4.4 eq ntpРазрешить управляющий трафик хостовых систем обнаружения вторжений от публичных серверов к станциямуправления:access-list pss permit tcp host 10.3.6.50 host 10.3.8.253 eq 5000Разрешить передачу почты от публичного почтового сервера к внутреннему почтовому серверу.access-list pss permit tcp host 10.3.6.50 host 10.3.2.50 eq smtpЗапретить все остальные типы трафика во внутреннюю сетьaccess-list pss deny ip any 10.3.0.0 255.255.0.0Разрешить передачу почты и работу службы имен (DNS) между публичными серверами и Интернет:access-list pss permit tcp host 10.3.6.50 any eq smtpaccess-list pss permit udp host 10.3.6.50 any eq domainСписок доступа «vpn» привязан на вход к интерфейсу, за которым расположены устройства ВЧС.Удаленным пользователям ВЧС назначаются адреса из сети 10.3.7.0, настроенной на сервере контролядоступа CiscoSecure ACS.
Удаленным пользователям, подключающимся по коммутируемым линиямсвязи, выдаются адреса из сети 10.3.8.0.Разрешить удаленным пользователям работать с публичными серверами только по протоколам HTTP, SSL и FTP:access-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listvpnvpnvpnvpnvpnvpnvpnvpnpermit tcp 10.3.7.0 255.255.255.0 host 10.3.6.50 eq wwwpermit tcp 10.3.8.0 255.255.255.0 host 10.3.6.50 eq wwwpermit tcp 10.3.7.0 255.255.255.0 host 10.3.6.50 eq 443permit tcp 10.3.8.0 255.255.255.0 host 10.3.6.50 eq 443permit tcp 10.3.7.0 255.255.255.0 host 10.3.6.50 eq ftppermit tcp 10.3.8.0 255.255.255.0 host 10.3.6.50 eq ftpdeny ip 10.3.7.0 255.255.255.0 10.3.6.0 255.255.255.0deny ip 10.3.8.0 255.255.255.0 10.3.6.0 255.255.255.083Разрешить удаленным пользователям доступ в остальную часть внутренней сети и Интернет:access-list vpn permit ip 10.3.7.0 255.255.255.0 anyaccess-list vpn permit ip 10.3.8.0 255.255.255.0 anyРазрешить трафик syslog, TFTP и TACACS+ от концентратора ВЧС к станциям сетевого управления:access-listaccess-listaccess-listaccess-listvpnvpnvpnvpnpermitpermitpermitpermitudpudpudptcphosthosthosthost10.3.5.510.3.5.510.3.5.510.3.5.5hosthosthosthost10.3.8.25410.3.8.25410.3.8.25310.3.8.253eqeqeqeqtftpsyslogsyslogtacacsРазрешить синхронизацию сетевого времени между концентратором ВЧС и маршрутизатором mIOS-2:access-list vpn permit udp host 10.3.5.5 host 10.3.4.4 eq ntpРазрешить протокол аутентификации, авторизации и учета RADIUS от концентратора ВЧС к станциям управления:access-list vpn permit udp host 10.3.5.5 host 10.3.8.253 eq 1645Разрешить syslog, TFTP, и TACACS+ от сервера удаленного доступа mIOS-3 к станциям сетевого управления:access-listaccess-listaccess-listaccess-listvpnvpnvpnvpnpermitpermitpermitpermitudpudpudptcphosthosthosthost10.3.5.210.3.5.210.3.5.210.3.5.2hosthosthosthost10.3.8.25410.3.8.25410.3.8.25310.3.8.253eqeqeqeqtftpsyslogsyslogtacacsРазрешить синхронизацию времени между mIOS-3 и mIOS-2:access-list vpn permit udp host 10.3.5.2 host 10.3.4.4 eq ntpРазрешить syslog, TFTP и TACACS+ от коммутатора mcAT-3 к станциям сетевого управления:access-listaccess-listaccess-listaccess-listvpnvpnvpnvpnpermitpermitpermitpermitudpudpudptcphosthosthosthost10.3.5.410.3.5.410.3.5.410.3.5.4hosthosthosthost10.3.8.25410.3.8.25410.3.8.25310.3.8.253eqeqeqeqtftpsyslogsyslogtacacsРазрешить синхронизацию времени между коммутатором mCAT-3 и маршрутизатором mIOS-2:access-list vpn permit udp host 10.3.5.4 host 10.3.4.4 eq ntp!Виртуальные частные сети84Приведенная ниже конфигурация добавлена для использования ВЧС между головным офисом и удаленными подразделениями.Шифрование пользовательского трафика и трафика управления, направленного на первое удаленноеустройство.access-list remote1 permit ip 10.3.0.0 255.255.0.0 10.5.0.0 255.255.0.0access-list remote1 permit ip host 172.16.240.151 host 172.16.128.2access-list remote1 permit ip host 172.16.240.152 host 172.16.128.2Шифрование пользовательского трафика и трафика управления, направленного на второе удаленноеустройство.access-list remote2 permit ip 10.3.0.0 255.255.0.0 10.6.0.0 255.255.0.0access-list remote2 permit ip host 172.16.240.151 host 172.16.128.5access-list remote2 permit ip host 172.16.240.152 host 172.16.128.5Определение крипто карты и присвоение ее на внешний интерфейс.cryptocryptocryptocryptocryptocryptocryptocryptocryptocryptoipsec transform-set 3dessha esp-3des esp-sha-hmacmap remote1 10 ipsec-isakmpmap remote1 10 match address remote1map remote1 10 set peer 172.16.128.2map remote1 10 set transform-set 3desshamap remote1 20 ipsec-isakmpmap remote1 20 match address remote2map remote1 20 set peer 172.16.128.5map remote1 20 set transform-set 3desshamap remote1 interface outsideОпределение общих ключей.isakmpisakmpisakmpisakmpisakmpisakmpisakmpisakmpisakmp!enable outsidekey 7Q!r$y$+xE address 172.16.128.2 netmask 255.255.255.255key 7Q!r$y$+xE address 172.16.128.5 netmask 255.255.255.255identity addresspolicy 10 authentication pre-sharepolicy 10 encryption 3despolicy 10 hash shapolicy 10 group 2policy 10 lifetime 86400ä‡ÏÔÛÒÌ˚È ÏÓ‰ÛθИспользуемые продукты●●●●●●●●Коммутатор уровня 3 Cisco Catalyst (mCAT-6)Коммутатор уровня 2 Cisco Catalyst (mCAT-5)Сетевая система обнаружения вторженй Cisco Secure IDSSensors (mIDS-3)Хостовая система обнаружения вторжений CiscoSecureHost IDSCisco Secure Access Control ServerCiscoWorks 2000Клиент SSH F-SecureСистема однократных паролей RSA SecureIDêËÒÛÌÓÍ 87.