Security (Лекции по информационной безопасности), страница 33
Описание файла
Файл "Security" внутри архива находится в папке "Лекции по информационной безопасности". PDF-файл из архива "Лекции по информационной безопасности", который расположен в категории "". Всё это находится в предмете "информационное обеспечение разработок" из 11 семестр (3 семестр магистратуры), которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "лекции и семинары", в предмете "информационное обеспечение разработок и исследований" в общих файлах.
Просмотр PDF-файла онлайн
Текст 33 страницы из PDF
ÑËÁ‡ÈÌ Í‡ÏÔÛÒÌÓ„Ó ÏÓ‰ÛÎflПриведенная ниже конфигурация детализирует контроль доступа на коммутаторе Уровня 4, которыйконтролирует доступ в виртуальной локальной сети управления, фильтрацию сегмента публичных серверов и т. п. VLAN 10 используется для корпоративных пользователей. VLAN 11 используется для корпоративных серверов интранет. VLAN 12 и 13 подключены к модулям Интернет и территориальных сетей.В VLAN 99 размещены станции сетевого управления.mCAT-6Корпоративные пользователи:interface Vlan10ip address 10.3.1.1 255.255.255.0ip access-group 101 inno ip redirectsno cdp enableКорпоративные серверы:interface Vlan11ip address 10.3.2.1 255.255.255.0ip access-group 102 inno ip redirectsno cdp enable!!interface Vlan12ip address 10.3.3.1 255.255.255.0no ip redirectsip ospf authentication message-digestip ospf message-digest-key 1 md5 7 134E031F4158140119no cdp enable!interface Vlan13ip address 10.3.9.1 255.255.255.0no ip redirectsip ospf authentication message-digestip ospf message-digest-key 1 md5 7 024D105641521F0A7Eno cdp enable!Сегмент управления:interface Vlan99ip address 10.3.8.1 255.255.255.0ip access-group 103 outno ip redirectsno cdp enableФильтрация в соответствии с RFC 2827 на пользовательском сегменте:access-list 101 permit ip 10.3.1.0 0.0.0.255 anyaccess-list 101 deny ip any anyФильтрация в соответствии с RFC 2827 на сегменте корпоративных серверов:access-list 102 permit ip 10.3.2.0 0.0.0.255 anyaccess-list 102 deny ip any any logПример фильтрации для сегмента сетевого управления (неполный):access-list 103 permit udp host 10.3.2.50 eq domain host 10.3.8.253access-list 103 permit udp host 10.3.2.50 eq domain host 10.3.8.25485access-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-list!103103103103103103103103103103103103103103103103permit tcp hostpermit tcp hostpermit tcp hostpermit tcp hostpermit tcp hostpermit tcp hostpermit tcp hostpermit udp hostpermit udp hostpermit tcp hostpermit udp hostpermit udp hostpermit udp hostpermit tcp hostpermit tcp hostdeny ip any any10.3.2.50 eq www host 10.3.8.253 established10.3.2.50 eq www host 10.3.8.254 established10.3.2.50 eq ftp host 10.3.8.253 established10.3.2.50 eq ftp host 10.3.8.254 established10.3.2.50 eq ftp-data host 10.3.8.25310.3.2.50 eq ftp-data host 10.3.8.25410.3.2.50 host 10.3.8.253 eq 500010.3.1.4 host 10.3.8.253 eq syslog10.3.1.4 host 10.3.8.254 eq syslog10.3.1.4 host 10.3.8.253 eq tacacs10.3.1.4 host 10.3.8.254 eq tftp10.3.1.4 host 10.3.8.254 gt 102310.3.1.4 eq snmp host 10.3.8.25410.3.1.4 eq telnet host 10.3.8.253 established10.3.1.4 eq telnet host 10.3.8.254 establishedÉ·‚̇fl ÒÂÚ¸ ËÎË ÒÂÚ¸ ÙËΡ·Приведенная ниже конфигурация добавляется в том случае, когда необходимо разрешить трафик управления от удаленных подразделений.access-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-list86103103103103103103103103103103103103103103103103permitpermitpermitpermitpermitpermitpermitpermitpermitpermitpermitpermitpermitpermitpermitpermitudpudptcpudpudptcptcptcptcpudpudptcpudpudptcptcphosthosthosthosthosthosthosthosthosthosthosthosthosthosthosthost172.16.128.5172.16.128.5172.16.128.5172.16.128.5172.16.128.5172.16.128.5172.16.128.5172.16.128.5172.16.128.5172.16.128.2172.16.128.2172.16.128.2172.16.128.2172.16.128.2172.16.128.2172.16.128.2host 10.3.8.253 eq sysloghost 10.3.8.254 eq sysloghost 10.3.8.253 eq tacacshost 10.3.8.254 eq tftphost 10.3.8.254 gt 1023eq 22 host 10.3.8.253 establishedeq 22 host 10.3.8.254 establishedeq 443 host 10.3.8.253 establishedeq 443 host 10.3.8.254 establishedhost 10.3.8.253 eq sysloghost 10.3.8.254 eq sysloghost 10.3.8.253 eq tacacshost 10.3.8.254 eq tftphost 10.3.8.254 gt 1023eq 22 host 10.3.8.253 establishedeq 22 host 10.3.8.254 establishedmCAT-5Приведенная ниже конфигурация показывает некоторые настройки виртуальных локальных сетей(VLAN) на коммутаторе уровня 2.
Неиспользуемые порты должны быть заблокированы. Частные виртуальные локальные сети (PVLAN) настроены на всех портах кроме идущих на центральный коммутатор.Пользовательские порты:interface FastEthernet0/1port protectedswitchport access vlan 99no cdp enable!interface FastEthernet0/2port protectedswitchport access vlan 99no cdp enableНеиспользуемые порты:interface FastEthernet0/3port protectedshutdownno cdp enable!interface FastEthernet0/4port protectedshutdownno cdp enableПорты, подключенные к центральному коммутатору:interface GigabitEthernet0/1switchport access vlan 99no cdp enableУправляющий VLAN:interface VLAN99ip address 10.3.1.4 255.255.255.0no ip directed-broadcastno ip route-cache!åÓ‰Ûθ ÚÂËÚÓˇθÌ˚ı ÒÂÚÂÈИспользуемые продукты●Маршрутизатор Cisco IOS (mIOS-4)êËÒÛÌÓÍ 88.
ÑËÁ‡ÈÌ ÏÓ‰ÛÎfl ÚÂËÚÓˇθÌ˚ı ÒÂÚÂÈèÓ‰Íβ˜ÂÌË ۉ‡ÎÂÌÌ˚ı ÔÓθÁÓ‚‡ÚÂÎÂÈИспользуемые продукты●●●●●●Маршрутизатор Cisco IOS Router с поддержкой ВЧС (rIOS-1)Аппаратный клиент ВЧС Cisco VPN 3002Hardware Client (rVPN3002-1)Межсетевой экран Cisco Secure PIXFirewall (rPIX-1)Программный клиент ВЧС Cisco VPN3000Концентратор Ethernet (внешний или интегрированный)Персональный межсетевой экран ZoneAlarm Pro Personal FirewallНиже приведены примеры настройки устройств, используемых для удаленного доступа пользователей.rIOS-1 (Удаленное подразделение)êËÒÛÌÓÍ 89. ÑËÁ‡ÈÌ Û‰‡ÎÂÌÌÓ„Ó ÔÓ‰Íβ˜ÂÌËfl ÔÓθÁÓ‚‡ÚÂÎÂÈПример настройки при подключении к головному офису.crypto isakmp policy 1encr 3desauthentication pre-sharegroup 2crypto isakmp key 7Q!r$y$+xE address 172.16.240.1!!crypto ipsec transform-set 3dessha esp-3des esp-sha-hmac!crypto map remote1 10 ipsec-isakmpset peer 172.16.240.1set transform-set 3desshamatch address 101Первая запись указывает на то, что весь трафик между сетями 10.5.0.0 и 10.3.0.0 должен быть зашифрован.Последние две записи указывают что трафик управления тоже должен шифроватьсяaccess-list 101 permit ip 10.5.0.0 0.0.255.255 10.3.0.0 0.0.255.255access-list 101 permit ip host 172.16.128.2 host 172.16.240.151access-list 101 permit ip host 172.16.128.2 host 172.16.240.152!Здесь показан контроль доступа на публичном (FastEthernet0/1) и частном (FastEthernet0/0) интерфейсахмаршрутизатора, так же, как и использование встроенного межсетевого экрана IOS Firewall.interface FastEthernet0/0ip address 10.5.1.2 255.255.255.0ip access-group 105 inip nat insideip inspect remote_fw in!interface FastEthernet0/1ip address 172.16.128.2 255.255.255.0ip access-group 102 inip nat outsidecrypto map remote1Трафик протоколов IKE и ESP от корпоративного шлюза ВЧС должен быть разрешен.
Весь трафик междусетями 10.5.0.0 и 10.3.0.0 тоже должен быть разрешен так же как и трафик управления.access-listaccess-listaccess-listaccess-listaccess-listaccess-list102102102102102102permit ip 10.3.0.0 0.0.255.255 10.5.0.0 0.0.255.255deny ip 10.0.0.0 0.255.255.255 anydeny ip 192.168.0.0 0.0.255.255 anypermit icmp any host 172.16.128.2 echo-replypermit icmp any host 172.16.128.2 unreachablepermit esp host 172.16.240.1 host 172.16.128.287access-listaccess-listaccess-listaccess-listaccess-listaccess-list102102102102102102permit udp hostpermit tcp hostpermit tcp hostpermit tcp hostpermit udp hostdeny ip any any172.16.240.1 host 172.16.128.2 eq isakmp172.16.240.151 host 172.16.128.2 eq 22172.16.240.152 host 172.16.128.2 eq 22172.16.240.152 eq tacacs host 172.16.128.2172.16.240.151 host 172.16.128.2 gt 1023logФильтрование в соответствии с RFC 2827 позволяет только сети с адресом 10.5.0.0 получить доступ как к головномуофису, так и к Интернет.access-list 105 permit ip 10.5.0.0 0.0.255.255 anyaccess-list 105 deny ip any any log!Здесь показана настройка трансляции адресов множества внутренних устройств в один внешний адресIP (PAT).
Все внутренние устройства будут использовать адрес самого маршрутизатора для выхода вИнтернет.ip nat pool remote_pool 172.16.128.2 172.16.128.2 netmask 255.255.255.0ip nat inside source route-map nat_internet pool remote_pool!route-map nat_internet permit 10match ip address 104!access-list 104 deny ip 10.5.0.0 0.0.255.255 10.0.0.0 0.255.255.255access-list 104 permit ip 10.5.0.0 0.0.255.255 anyrPIX-1 (Межсетевой экран удаленного офиса)Пример настройки ВЧС при подключении к головному офису.88cryptocryptocryptocryptocryptocryptoisakmpisakmpisakmpisakmpisakmpisakmpisakmpisakmpipsec transform-set 3dessha esp-3des esp-sha-hmacmap remote1 10 ipsec-isakmpmap remote1 10 match address remote1map remote1 10 set peer 172.16.240.1map remote1 10 set transform-set 3desshamap remote1 interface outsideenable outsidekey 7Q!r$y$+xE address 172.16.240.1 netmask 255.255.255.255identity addresspolicy 10 authentication pre-sharepolicy 10 encryption 3despolicy 10 hash shapolicy 10 group 2policy 10 lifetime 86400Первая запись указывает на то, что весь трафик между сетями 10.6.0.0 и 10.3.0.0 должен быть зашифрован.Последние две записи указывают на то, что трафик управления тоже должен шифроваться.access-list remote1 permit ip 10.6.0.0 255.255.0.0 10.3.0.0 255.255.0.0access-list remote1 permit ip host 172.16.128.5 host 172.16.240.151access-list remote1 permit ip host 172.16.128.5 host 172.16.240.152!Здесь приведена настройка контроля доступа на внешнем (outside) и внутреннем (inside) интерфейсах.nameif ethernet0 outside security0nameif ethernet1 inside security100!ip address outside 172.16.128.5 255.255.255.0ip address inside 10.6.1.1 255.255.255.0!access-group out in interface outsideaccess-group in in interface insideФильтрование в соответствии с RFC 2827 позволяет только сети с адресом 10.6.0.0 получить доступ как к головномуофису, так и к Интернет.access-list in permit ip 10.6.0.0 255.255.0.0 anyРазрешение трафика ВЧС от головного офиса:access-list out permit ip 10.3.0.0 255.255.0.0 10.6.0.0 255.255.0.0Фильтрование в соответствии с RFC 1918.
Примечание: сеть 172.16.x.x не включена в список, потому что использовалась как сеть Интернет-провайдера в данном примере.access-list out deny ip 10.0.0.0 255.0.0.0 anyaccess-list out deny ip 192.168.0.0 255.255.0.0 anyРазрешение протокола ICMP для использования ping и path MTU discovery (PMTU):access-list out permit icmp any host 172.16.128.5 echo-replyaccess-list out permit icmp any host 172.16.128.5 unreachableРазрешение протоколов ESP и IKE от головного офиса:access-list out permit esp host 172.16.240.1 host 172.16.128.5access-list out permit udp host 172.16.240.1 host 172.16.128.5 eq isakmpЗдесь показана настройка трансляции адресов множества внутренних устройств в один внешний адрес IP (PAT). Всевнутренние устройства будут использовать адрес публичного интерфейса самого межсетевого экрана для выхода вИнтернет.global (outside) 100 interfacenat (inside) 0 access-list nonatnat (inside) 100 10.6.1.0 255.255.255.0 0 0Этот список доступа предотвращает трансляцию адресов трафика, направленного в головной офис.access-list nonat permit ip 10.6.0.0 255.255.0.0 10.0.0.0 255.0.0.0access-list nonat deny ip 10.6.0.0 255.255.0.0 anyèËÎÓÊÂÌË Ç.