Мы поможем в написании ваших работ!
ЗНАЕТЕ ЛИ ВЫ?
|
Настройка запрета обработки маршрутов, указанных в обновлениях
| Кроме запрета отправления маршрутной информации, необходимо еще запретить обработку обновлений маршрутов, которые могут оказаться фиктивными. Надо установить список доступа, который разрешает использовать обновления маршрутизации, исходящие только от маршрутизаторов сети, информация о которых имеется в таблице маршрутизации данного маршрутизатора.
Для обеспечения этого необходимо:
1. Сформировать список доступа разрешающий получение обновлений от надежного внешнего источника.
2. Применение этого списка в подрежиме конфигурации протокола маршрутизации к входящему интерфейсу.
Замечание. Протоколы маршрутизации OSPF и IS-IS эту функцию не поддерживают.
| Картинка из 3-2-10.
R1(config)#access-list 10 permit host 200.1.1.2
R1(config)#router eigrp 100
R1(config-router)# distribute-list 10 in serial 0/1/0
R1(config-router)#exit
Рис 3-2-11.
|
3-2-12 Настройка фильтрации входящего сетевого трафика
| Для предотвращения атак с использованием фальсифицированных внутренних адресов сети необходимо настроить маршрутизатор так, чтобы он не принимал на внешний интерфейс пакеты с адресами от внутренних источников. Кроме этого можно запретить адреса из диапазонов 10., 172.16 – 31, 192.168.
Но при этом необходимо разрешить трафик для внутренних сетей, если он был инициирован из самой сети (протокол TCP). Если в строке списка доступа установить опцию established, то заголовки пакетов TCP будут проверяться по битам ACK и RST.
| Картинка из 3-2-10.
Фильтрация входящего сетевого трафика
R1(config)#access-list 110 deny ip 10.0.0.0 0.255.255.255 any
R1(config)#access-list 110 deny ip 172.16.0.0 0.15.255.255 any
R1(config)#access-list 110 deny ip 192.168.0.0 0.0.255.255 any
R1(config)#access-list 110 permit ip any any
R1(config)#interface serial 0/1/0
R1(config-if)# ip access-group 110 in
Разрешение сеансов TCP, установленных из внутренней сети
R1(config)#access-list 120 permit tcp 10.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 established
R1(config)#access-list 120 permit tcp 172.16.1.0 0.0.0.255 172.16.1.0 0.0.0.255 established
Рис 3-2-12.
|
3-2-13 Демонстрационный пример настройки фильтрации трафика
| Настроить фильтрацию трафика с помощью списков доступа, которые обеспечивают следующую политику защиты:
- разрешить весь исходящий трафик;
- разрешить входящий трафик, установленный изнутри;
- запретить остальной входящий трафик с регистрацией попыток несанкционированного доступа.
| Картинка из 3-2-10.
R1(config)#access-list 10 permit 10.1.1.0 0.0.0.255
R1(config)#access-list 10 permit 172.16.1.0 0.0.0.255
R1(config)#access-list 110 permit tcp any any established
R1(config)#access-list 110 deny ip any any log
R1(config)#interface serial 0/1/0
R1(config-if)# ip access-group access 10 out
R1(config-if)# ip access-group access 110 in
Рис 3-2-13
|
3-2-14 Упражнение понастройке фильтрации трафика
| Настроить фильтрацию трафика с помощью списков доступа, которые обеспечивают следующую политику защиты:
- разрешить весь исходящий трафик;
- разрешить входящий трафик, установленный изнутри;
- запретить остальной входящий трафик с регистрацией попыток несанкционированного доступа.
Выполнить только с использованием служебного слова «any».
Стандартный список номер 1, расширенный – 101.
| симуляция
Router(config)#access-list 1 permit any
Router(config)#access-list 101 permit tcp any any established
Router(config)#access-list 101 deny ip any any
|
3.3.Технология защиты ААА
Задачи и концепции ААА
| При построении системы безопасности сети важно знать, кто имеет доступ к сетевым ресурсам, какими ресурсами ему разрешено пользоваться и какими ресурсами он действительно пользовался. Такую возможность обеспечивает технология аутентификации, авторизации и аудита (ААА).
· Аутентификация (Authentication) - определяет - является ли пользователь тем, за кого себя выдает. Для этого при входе в сеть пользователь должен ввести имя и пароль.
· Авторизация (Authorization) – при успешном прохождении процедуры аутентификации определяется, к каким ресурсам сети данному пользователю разрешено иметь доступ.
· Аудит (Audit или Accounting) – фиксирует действия пользователя в сети. К каким ресурсам и в течении какого времени пользователь имел доступ. К каким ресурсам пытался доступ получить. Это позволяет определить попытки несанкционированного доступа.
|
Концепции ААА
Аутентификация – Кто?
Авторизация – что может делать?
Аудит – что делал?
Рис 3-3-1
|
|
Археология
Биология
Генетика
География
Информатика
История
Логика
Маркетинг
Математика
Менеджмент
Механика
Педагогика
Религия
Социология
Технологии
Физика
Философия
Финансы
Химия
Экология
