ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

Podobne dokumenty
ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

ZADANIE.05 Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing) 2,5h

ZADANIE.05 Cisco.&.Juniper Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing)

ZADANIE.10 Cisco.&.Juniper DHCP (Router, Firewall)

ZADANIE.05 Cisco.&.Juniper Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing) 2,5h

ZADANIE.08 RADIUS (authentication-proxy, IEEE 802.1x) 2h

Zadanie OUTSIDE /24. dmz. outside security- level /24. inside security- level /16 VLAN

OUTSIDE /24. dmz. outside /24. security- level 50. inside security- level /16 VLAN /

ZADANIE.09 Syslog, SNMP (Syslog, SNMP) 1,5h

ZADANIE.04 Cisco.&.Juniper Translacja adresów (NAT, PAT) 1,5h

ZADANIE.03 Routing dynamiczny i statyczny (OSPF, trasa domyślna) 1,5h

ZiMSK NAT, PAT, ACL 1

ZADANIE.08 Cisco.&.Juniper RADIUS (authentication-proxy, IEEE 802.1x)

ZADANIE.08. RADIUS (authentication-proxy, IEEE 802.1x) 2h

ZADANIE.03 Cisco.&.Juniper Routing dynamiczny i statyczny (OSPF, trasa domyślna) 1,5h

ZADANIE.02 Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

ZADANIE.06 Zarządzanie konfiguracją urządzeń (tryb tekstowy i graficzny) 2,5h

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

ZADANIE.02 Cisco.&.Juniper Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami

OUTSIDE /24. dmz. outside /24. security- level /16 TRUNK 0/1 VLAN2 0/2 VLAN10 0/3-0/10 VLAN20 0/11-0/24

ZADANIE.02 Cisco.&.Juniper Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h

Budowa i konfiguracja sieci komputerowej cz.2

ZADANIE.06 Zarządzanie konfiguracją urządzeń (tryb tekstowy i graficzny)

ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 ZADANIE.02. VPN L2L Virtual Private Network site-to-site (ASA) - 1 -

Zarządzanie i Monitorowanie Sieci Komputerowych v.2010b ZADANIE.01

Lab 2 ĆWICZENIE 2 - VLAN. Rodzaje sieci VLAN

Administracja sieciami LAN/WAN Komunikacja między sieciami VLAN

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -


dr inż. Łukasz Sturgulewski, Zagrożenia w sieciach komputerowych

Wprowadzenie do obsługi systemu IOS na przykładzie Routera

WOJSKOWA AKADEMIA TECHNICZNA

VLAN-Cisco. 1. Login/Hasło. 2. Połączenie z Cisco: Cisco: admin admin. Jest możliwe połączyć się za pomocą polecania minicom lub telnet.

ZADANIE.01 Prewencja w Systemach Informatycznych v.2014 ZADANIE.01. NIPS (Network Intrusion Prevention System) - 1 -

Bezpieczeństwo Systemów Sieciowych

7. ACL, NAT, PAT, DHCP

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

ZADANIE.01 Cisco.&.Juniper Wprowadzenie do ZiMSK (budowa sieci, połączenie konsolowe, usuwanie konfiguracji urządzeń)

ZADANIE.05. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.05 IDS / IPS - 1 -

LABORATORIUM SIECI. Zakład Cyberbezpieczeństwa IT PW. Instrukcja do ćwiczenia: Switching, VLAN & Trunking Przedmiot: Sieci Lokalne (LAN)

Ćwiczenie Konfiguracja i weryfikacja rozszerzonych list kontroli dostępu (ACL) Topologia

Zarządzanie Jakością Usług w Sieciach Teleinformatycznych

Ćwiczenie Rozwiązywanie problemów z konfiguracją i miejscem ustawienia listy ACL w sieci Topologia

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

dopełnienie wystarczy wpisać początek polecenia, np: en i nacisnąć klawisz TAB na klawiaturze, a system dopełni nam poleceni do enable,

ZADANIE.01 Prewencja w Systemach Informatycznych v.2014 ZADANIE.01 IDS / IPS - 1 -

pasja-informatyki.pl

Listy dostępu systemu Cisco IOS

Interfejsy: Ethernet do połączenia z siecią LAN Serial do połączenia z siecią WAN. pełną konfigurację urządzenia. Zadanie

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

NAT. Zakres adresów IP adresów. liczba bitów maski 24-bit block

Sieci VLAN. Podstawy konfiguracji. Paweł Malak malak.eu Spotkanie koła naukowego AEGIS, Poznao, wrzesieo 2013r.

Konfigurowanie sieci VLAN

Sieci Komputerowe Laboratorium 11. VLAN i VTP

Zaawansowana konfiguracja przełącznika TP-Link TL-SG3224

Budowa i konfiguracja sieci komputerowej cz.3

Adresy w sieciach komputerowych

1. Zgodnie z poniższym schematem ustanów połączenia: konsolowe i ethernetowe z urządzeniem

PODSTAWOWA OBSŁUGA PROGRAMU PROGRAMU PACKET TRACER TRYB REAL TIME

ZiMSK. dr inż. Łukasz Sturgulewski dr inż. Artur Sierszeń

Zakład Teleinformatyki i Telekomutacji LABORATORIUM SIECI

CLI TELNET SSH HTTP SNMP

ZADANIE.01 Cisco.&.Juniper Wprowadzenie do ZiMSK (budowa sieci, połączenie konsolowe, usuwanie konfiguracji urządzeń) 1h

Ćwiczenie Rozwiązywanie problemów związanych z konfiguracją NAT)

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Sieci Komputerowe Translacja adresów sieciowych

KROK 1. KONFIGURACJA URZĄDZEŃ KOŃCOWYCH (SERWERÓW)

Systemy bezpieczeństwa sieciowego

Instalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia

Co w sieci siedzi. Warstwa 2 - konfiguracja sieci VLAN. Routing między sieciami VLAN.

Router programowy z firewallem oparty o iptables

Lab 9 Konfiguracja mechanizmu NAT (Network Address Translation)

1) Skonfiguruj nazwę hosta na ruterze zgodną z przyjętą topologią i Tabelą adresacji.

Nazwa kwalifikacji: Projektowanie lokalnych sieci komputerowych i administrowanie sieciami Oznaczenie kwalifikacji: E.13 Numer zadania: 20

ZiMSK. mgr inż. Artur Sierszeń mgr inż. Łukasz Sturgulewski ZiMSK 1

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Ćwiczenie Konfiguracja statycznych oraz domyślnych tras routingu IPv4

Ćwiczenie Konfiguracja aspektów bezpieczeństwa przełącznika

Ćwiczenie Konfiguracja routingu między sieciami VLAN

Ćwiczenie Konfiguracja dynamicznej i statycznej translacji NAT

Instrukcja do laboratorium 1

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

Bezpieczeństwo systemów komputerowych. Laboratorium 1

Laboratorium nr 4 Ataki aktywne

PBS. Wykład Organizacja zajęć. 2. Podstawy obsługi urządzeń wykorzystywanych podczas laboratorium.

ZiMSK. VLAN, trunk, intervlan-routing 1

Telefon IP 620 szybki start.

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ

Telefon AT 530 szybki start.

Topologia sieci. Cele nauczania.

Laboratorium 2 Sieci Komputerowe II Nazwisko Imię Data zajęd

Switching czyli przełączanie. Sieci komputerowe Switching. Wstęp. Wstęp. Bridge HUB. Co to jest? Po co nam switching? Czym go zrealizować?

Filtrowanie ruchu w sieci

Ćwiczenie Konfiguracja routingu inter-vlan 802.1Q opartego na łączach trunk

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat adresu sprzętowego MAC.

Konfigurowanie modułu BK9050 firmy Beckhoff wprowadzenie

Konwerter RS-485->Ethernet [TCP/IP] CN-ETH-485 INSTRUKCJA [konfiguracja urządzenia do współpracy z programem MeternetPRO]

Transkrypt:

Imię Nazwisko ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h 1. Zbudować sieć laboratoryjną 2. Czynności wstępne 3. Filtrowanie pakietów 4. Ustawienie portów przełącznika (tryb graficzny) 5. DNAT (tryb tekstowy i graficzny) 6. Bezpieczeństwo portów 7. Czynności końcowe - 1 -

1. Zbudować sieć laboratoryjną Zadanie Zbudować sieć laboratoryjną zgodnie z przedstawioną poniżej topologią. Topologia sieci laboratoryjnej 79.96.21.160 / 28 OUTSIDE dmz security-level 50 outside security-level 0 212.191.89.128 / 25 subinterfaces, trunk 172.18.0.0 / 16 10.2.0.0 / 16 VLAN Admin sec.lev.95 10.10.0.0 / 16 VLAN Dyrekcja sec.lev.85 10.20.0.0 / 16 VLAN Pracownicy sec.lev.80-2 -

2. Czynności wstępne Usunąć, jeśli istnieją, hasła i konfiguracje urządzeń. Przywrócić konfiguracje urządzeń z poprzedniego zadania. Sprawdzić za pomocą programu ping działanie interfejsów: o z hosta w sieci inside_admin adres podinterfejsu inside_admin ASA: o z hosta w sieci inside_dyrekcja adres podinterfejsu inside_dyrekcja ASA: o z hosta w sieci inside_pracownicy adres podinterfejsu inside_pracownicy ASA: o z hosta wewnątrz sieci dmz adres interfejsu dmz ASA: o z hosta wewnątrz sieci outside adres interfejsu Routera: o z hosta wewnątrz sieci outside adres interfejsu outside ASA: Zainstalować w strefie dmz, outside i inside_pracownicy po jednym serwerze FTP i HTTP (np. TYPSoft FTP Server oraz Apache). Utworzyć na każdym serwerze FTP przynajmniej jedno konto z uprawnieniami do dowolnego folderu na dysku. Utworzyć na każdym serwerze HTTP prostą stronę WWW z informacją o położeniu serwera. Przeprowadzić testy: o Czy można połączyć się z sieci inside_admin do serwera FTP w dmz? Jeśli tak - z jakiego adresu nastąpiło połączenie? o Czy można połączyć się z sieci inside_pracownicy do serwera HTTP w outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? o Czy można połączyć się z sieci inside_pracownicy do serwera HTTP w dmz? Jeśli tak - z jakiego adresu nastąpiło połączenie? o Czy można połączyć się z sieci inside_dyrekcja do serwera HTTP w outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? o Czy można połączyć się z sieci inside_dyrekcja do serwera FTP w inside_pracownicy? Jeśli tak - z jakiego adresu nastąpiło połączenie? o Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? Jeśli tak - z jakiego adresu nastąpiło połączenie? o Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? Jeśli tak - z jakiego adresu nastąpiło połączenie? - 3 -

3. Filtrowanie pakietów (Listy kontroli dostępu (ang. Access Control List)) Zadanie Skonfigurować filtrację pakietów zgodnie z poniższą tabelą: Urządzenie Zasady ruchu o brak wymagań o z sieci inside_pracownicy ma być możliwy dostęp do dowolnego serwera FTP w sieci dmz o z sieci inside_pracownicy ma być możliwy dostęp do dowolnego serwera HTTP w dowolnej sieci o pozostałe połączenia z sieci inside_pracownicy mają być zabronione Materiał pomocniczy Idea działania list dostępu - 4 -

Definiowanie listy dostępu Definicja warunku (dopasowania) rozszerzonej listy dostępu: ASA(config)# access-list <nr_listy> extended <permit deny> <protokół> <adres_źródła> <maska_źródła> <adres_celu> <maska_celu> eq <nr_portu> Definicja warunku (dopasowania) rozszerzonej listy dostępu: Router(config)# access-list <nr_listy> <permit deny> <protokół> <adres_źródła> <maska_źródła> <adres_celu> <maska_celu> eq <nr_portu> nr_listy numer listy dostępu; dla list rozszerzonych od 100 do 199. permit lista będzie zezwalała na zdefiniowany ruch. deny lista będzie zabraniała zdefiniowanego ruchu. protokół nazwa protokołu jakiego będzie dotyczyła lista (jeśli nie korzysta z numerów portów należy podać ip, jeśli zaś lista będzie korzystać z portów należy podać tcp albo udp, jeśli zaś lista będzie dotyczyć ICMP należy podać icmp). adres_źródła adres IP hosta albo sieci źródła pakietu. maska_źródła maska hosta albo sieci źródła pakietu (ASA maska zwykła, Router maska blankietowa). adres_celu adres IP hosta albo sieci docelowej pakietu. maska_celu maska hosta albo sieci docelowej pakietu (ASA maska zwykła, Router maska blankietowa). nr_portu numer portu, którego będzie dotyczyła lista. - 5 -

Uwagi: o jeśli chcemy określić każdy, dowolny adres i maskę sieci można podać słowo any (any = 0.0.0.0 0.0.0.0); o jeśli chcemy do listy dostępu dodać wiele warunków (dopasowań) należy w następnym poleceniu access-list podać ten sam numer listy; o kolejność wprowadzania warunków (dopasowań) jest ważna, zgodnie z nią będą sprawdzane kolejne dopasowania. Kasowanie listy dostępu hostname(config)# no access-list <nr_listy> Uwaga: Na ASA kasuje się konkretny wpis a nie całą listę dostępu. Dodanie listy dostępu do interfejsu ASA(config)# access-group <nr_listy> <in out> interface <nazwa_interfejsu> Router(config-if)# ip access-group <nr_listy> <in out> nr_listy numer listy dostępu, która zostanie dodana do interfejsu. in lista będzie działała na ruch wchodzący do interfejsu. out lista będzie działała na ruch wychodzący z interfejsu. nazwa_interfejsu nazwa interfejsu, do którego zostanie dodana lista dostępu. - 6 -

Usunięcie listy dostępu z interfejsu ASA(config)# no access-group <nr_listy> <in out> interface <nazwa_interfejsu> Router(config-if)# no ip access-group <nr_listy> <in out> Weryfikacja listy dostępu Router# show ip interface Router# show access-list ASA# show interface ASA# show access-list - 7 -

Proszę wykonać ograniczenie dostępu zgodnie z tabelą za pomocą polityk ruchu pomiędzy strefami. Sprawozdanie Sprawdzić za pomocą programu ping działanie interfejsów: o z hosta wewnątrz sieci outside adres interfejsu Routera: o z hosta wewnątrz sieci outside adres interfejsu outside ASA: Przeprowadzić testy: o Czy można połączyć się z sieci inside_ pracownicy do serwera FTP w dmz? o Czy można połączyć się z sieci inside_pracownicy do serwera FTP w outside? o Czy można połączyć się z sieci inside_pracownicy do serwera HTTP w dmz? o Czy można połączyć się z sieci inside_ pracownicy do serwera HTTP w outside?. o Czy można połączyć się z sieci inside_dyrekcja do serwera FTP w outside?. o Czy można połączyć się z sieci inside_dyrekcja do serwera HTTP w outside?. 4. Ustawienie portów przełącznika (tryb graficzny) Zadanie Skonfigurować porty przełącznika z użyciem trybu graficznego zgodnie z poniższą tabelą: Urządzenie trunk inside_admin inside_dyrekcja inside_pracownicy - 8 -

Szybkość: 100Mbit/s Szybkość: 100Mbit/s Szybkość: 10Mbit/s Szybkość: 10Mbit/s Duplex: auto Duplex: auto Duplex: auto Duplex: auto Opis: trunk Opis: inside_admin Opis: inside_dyrekcja Opis: inside_pracownicy Materiał pomocniczy Zakładka trybu graficznego (HTTP Device Manager) umożliwiająca konfigurację parametrów portów Switch: Sprawozdanie Sprawdzić w danych dotyczących karty sieciowej szybkość pracy interfejsu Ethernet: - 9 -

o hosta wewnątrz sieci inside_admin: o hosta wewnątrz sieci inside_dyrekcja: o hosta wewnątrz sieci inside_pracownicy: 5. DNAT (ang. Destination Network Address Translation) (tryb tekstowy i graficzny) Zadanie W trybie tekstowym: Dodać DNAT z przekierowaniem portów tak aby było możliwe połączenie z sieci outside do serwera HTTP w sieci dmz. Dodać DNAT z przekierowaniem portów tak aby było możliwe połączenie z sieci outside do serwera FTP w sieci dmz. W trybie graficznym: Dodać DNAT z przekierowaniem portów tak aby było możliwe połączenie z sieci dmz do serwera FTP w sieci inside_pracownicy. Materiał pomocniczy Idea DNAT z przekierowaniem portów - 10 -

Konfiguracja DNAT (tryb tekstowy) DNAT + przekierowanie portów: ASA(config)# static (<sieć_docelowa>,<sieć_źródłowa>) <tcp udp> <adres_źródłowy> <port_źródłowy> <adres_docelowy> <port_docelowy> netmask 255.255.255.255 Uwaga: Aby możliwa była komunikacja z interfejsu o mniejszym poziomie bezpieczeństwa do interfejsu o wyższym poziomie bezpieczeństwa należy dodać odpowiednią listę dostępu ACL (ang. access-list). Lista ta powinna pozwalać na połączenia na wybranym adresie i porcie oraz musi być dodana na ruch wejściowy na interfejs o mniejszym poziomie bezpieczeństwa. Konfiguracja DNAT (tryb graficzny) Zakładka trybu graficznego (ASDM) umożliwiająca konfigurację translacji adresów (NAT): - 11 -

- 12 -

Proszę pamiętać o ruchu pomiędzy strefami! Czy nie jest zablokowany? Jak go odblokować? Proszę nie odblokować zbyt dużo! Definiowanie address-book, w konfiguracji strefy: address-book { address ftp-serv 172.18.0.2/32; } - 13 -

Sprawozdanie Przeprowadzić testy: o czy można połączyć się z sieci dmz do serwera HTTP w strefie outside? o czy można połączyć się z sieci dmz do serwera FTP w strefie outside? o czy można połączyć się z sieci outside do serwera HTTP w strefie dmz? o czy można połączyć się z sieci outside do serwera FTP w strefie dmz? o czy można połączyć się z sieci dmz do serwera FTP w strefie inside_pracownicy? 6. Bezpieczeństwo portów (ang. port-security) Zadanie Ograniczyć liczbę hostów na każdym porcie Switch należącym do sieci inside_pracownicy do jednego (pierwszy podłączony). W przypadku naruszenia tej zasady bezpieczeństwa port ma być wyłączony. Materiał pomocniczy Konfiguracja bezpieczeństwa portów Ustalenie zasad bezpieczeństwa dla wybranego portu: Switch(config)# interface fastethernet <nr_portu> Ustalenie roli portu: Switch(config-if)# switchport mode <access trunk> Ograniczenie dostępu hostów do Switch: Switch(config-if)# switchport port-security - 14 -

Działanie w przypadku naruszenia reguły bezpieczeństwa: Switch(config-if)# switchport port-security violation <protect restrict shutdown> Ograniczenie liczby hostów na porcie: Switch(config-if)# switchport port-security maximum <liczba_hostów> Adresów MAC hostów Switch nauczy się automatycznie (pierwsze podłączone): Switch(config-if)# switchport port-security mac-address sticky - 15 -

Weryfikacja bezpieczeństwa portów Switch# show port-security Switch# show mac-address-table Switch# show running-config Uwaga: Jeśli nastąpi naruszenie zasad bezpieczeństwa i port zostanie wyłączony, konieczne będzie użycie polecenia shutdown a następnie no shutdown w celu dokonania reaktywacji tego portu. - 16 -

Sprawozdanie Przeprowadzić testy: o Czy MAC hosta podłączonego do bezpiecznego portu jest typu STATIC? o Czy MAC hosta podłączonego jest zapisany w bieżącej konfiguracji? o Czy po podłączeniu do portu innego hosta port został wyłączony? 7. Czynności końcowe Zapisać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje na pendrive. - 17 -

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres