ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

Podobne dokumenty
ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

ZADANIE.05 Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing) 2,5h

ZADANIE.10 DHCP (Router, ASA) 1,5h

ZADANIE.05 Cisco.&.Juniper Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing)

ZADANIE.10 Cisco.&.Juniper DHCP (Router, Firewall)

ZADANIE.05 Cisco.&.Juniper Tworzenie sieci VLAN (VLAN, trunk, inter-vlan routing) 2,5h

Zadanie OUTSIDE /24. dmz. outside security- level /24. inside security- level /16 VLAN

ZADANIE.08 RADIUS (authentication-proxy, IEEE 802.1x) 2h

OUTSIDE /24. dmz. outside /24. security- level 50. inside security- level /16 VLAN /

ZADANIE.09 Syslog, SNMP (Syslog, SNMP) 1,5h

ZADANIE.04 Cisco.&.Juniper Translacja adresów (NAT, PAT) 1,5h

ZADANIE.03 Routing dynamiczny i statyczny (OSPF, trasa domyślna) 1,5h

ZiMSK NAT, PAT, ACL 1

ZADANIE.02 Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h

ZADANIE.08 Cisco.&.Juniper RADIUS (authentication-proxy, IEEE 802.1x)

ZADANIE.08. RADIUS (authentication-proxy, IEEE 802.1x) 2h

ZADANIE.03 Cisco.&.Juniper Routing dynamiczny i statyczny (OSPF, trasa domyślna) 1,5h

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

ZADANIE.06 Zarządzanie konfiguracją urządzeń (tryb tekstowy i graficzny) 2,5h

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

ZADANIE.02 Cisco.&.Juniper Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami

OUTSIDE /24. dmz. outside /24. security- level /16 TRUNK 0/1 VLAN2 0/2 VLAN10 0/3-0/10 VLAN20 0/11-0/24

ZADANIE.02 Cisco.&.Juniper Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h

Budowa i konfiguracja sieci komputerowej cz.2

ZADANIE.06 Zarządzanie konfiguracją urządzeń (tryb tekstowy i graficzny)

Zarządzanie i Monitorowanie Sieci Komputerowych v.2010b ZADANIE.01

Lab 2 ĆWICZENIE 2 - VLAN. Rodzaje sieci VLAN

ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 ZADANIE.02. VPN L2L Virtual Private Network site-to-site (ASA) - 1 -

Administracja sieciami LAN/WAN Komunikacja między sieciami VLAN

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -


Wprowadzenie do obsługi systemu IOS na przykładzie Routera

dr inż. Łukasz Sturgulewski, Zagrożenia w sieciach komputerowych

WOJSKOWA AKADEMIA TECHNICZNA

VLAN-Cisco. 1. Login/Hasło. 2. Połączenie z Cisco: Cisco: admin admin. Jest możliwe połączyć się za pomocą polecania minicom lub telnet.

ZADANIE.01 Prewencja w Systemach Informatycznych v.2014 ZADANIE.01. NIPS (Network Intrusion Prevention System) - 1 -

Bezpieczeństwo Systemów Sieciowych

7. ACL, NAT, PAT, DHCP

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

ZADANIE.05. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.05 IDS / IPS - 1 -

Ćwiczenie Rozwiązywanie problemów z konfiguracją i miejscem ustawienia listy ACL w sieci Topologia

Ćwiczenie Konfiguracja i weryfikacja rozszerzonych list kontroli dostępu (ACL) Topologia

Zarządzanie Jakością Usług w Sieciach Teleinformatycznych

ZADANIE.01 Cisco.&.Juniper Wprowadzenie do ZiMSK (budowa sieci, połączenie konsolowe, usuwanie konfiguracji urządzeń)

1. Zgodnie z poniższym schematem ustanów połączenia: konsolowe i ethernetowe z urządzeniem

Listy dostępu systemu Cisco IOS

LABORATORIUM SIECI. Zakład Cyberbezpieczeństwa IT PW. Instrukcja do ćwiczenia: Switching, VLAN & Trunking Przedmiot: Sieci Lokalne (LAN)

ZADANIE.01 Prewencja w Systemach Informatycznych v.2014 ZADANIE.01 IDS / IPS - 1 -

pasja-informatyki.pl

dopełnienie wystarczy wpisać początek polecenia, np: en i nacisnąć klawisz TAB na klawiaturze, a system dopełni nam poleceni do enable,

NAT. Zakres adresów IP adresów. liczba bitów maski 24-bit block

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Konfigurowanie sieci VLAN

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Sieci Komputerowe Laboratorium 11. VLAN i VTP

Budowa i konfiguracja sieci komputerowej cz.3

Zaawansowana konfiguracja przełącznika TP-Link TL-SG3224

Adresy w sieciach komputerowych

Lab 9 Konfiguracja mechanizmu NAT (Network Address Translation)

ZiMSK. dr inż. Łukasz Sturgulewski dr inż. Artur Sierszeń

PODSTAWOWA OBSŁUGA PROGRAMU PROGRAMU PACKET TRACER TRYB REAL TIME

Interfejsy: Ethernet do połączenia z siecią LAN Serial do połączenia z siecią WAN. pełną konfigurację urządzenia. Zadanie

CLI TELNET SSH HTTP SNMP

Ćwiczenie Rozwiązywanie problemów związanych z konfiguracją NAT)

ZADANIE.01 Cisco.&.Juniper Wprowadzenie do ZiMSK (budowa sieci, połączenie konsolowe, usuwanie konfiguracji urządzeń) 1h

Sieci VLAN. Podstawy konfiguracji. Paweł Malak malak.eu Spotkanie koła naukowego AEGIS, Poznao, wrzesieo 2013r.

Sieci Komputerowe Translacja adresów sieciowych

KROK 1. KONFIGURACJA URZĄDZEŃ KOŃCOWYCH (SERWERÓW)

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Ćwiczenie Konfiguracja aspektów bezpieczeństwa przełącznika

Systemy bezpieczeństwa sieciowego

Zakład Teleinformatyki i Telekomutacji LABORATORIUM SIECI

1) Skonfiguruj nazwę hosta na ruterze zgodną z przyjętą topologią i Tabelą adresacji.

Nazwa kwalifikacji: Projektowanie lokalnych sieci komputerowych i administrowanie sieciami Oznaczenie kwalifikacji: E.13 Numer zadania: 20

ZiMSK. mgr inż. Artur Sierszeń mgr inż. Łukasz Sturgulewski ZiMSK 1

Ćwiczenie Konfiguracja statycznych oraz domyślnych tras routingu IPv4

Co w sieci siedzi. Warstwa 2 - konfiguracja sieci VLAN. Routing między sieciami VLAN.

Ćwiczenie Konfiguracja dynamicznej i statycznej translacji NAT

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

Ćwiczenie Konfiguracja routingu między sieciami VLAN

PBS. Wykład Organizacja zajęć. 2. Podstawy obsługi urządzeń wykorzystywanych podczas laboratorium.

ZiMSK. VLAN, trunk, intervlan-routing 1

Instalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia

Tworzenie maszyny wirtualnej

Instrukcja do laboratorium 1

Router programowy z firewallem oparty o iptables

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ

Laboratorium 2 Sieci Komputerowe II Nazwisko Imię Data zajęd

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Laboratorium nr 4 Ataki aktywne

Topologia sieci. Cele nauczania.

Switching czyli przełączanie. Sieci komputerowe Switching. Wstęp. Wstęp. Bridge HUB. Co to jest? Po co nam switching? Czym go zrealizować?

Filtrowanie ruchu w sieci

Konfigurowanie modułu BK9050 firmy Beckhoff wprowadzenie

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat adresu sprzętowego MAC.

GPON Huawei HG8245/HG8245T/HG8245H

Laboratorium Projektowanie i implementowanie schematu adresowania z zastosowaniem zmiennych masek podsieci

Transkrypt:

Imię Nazwisko ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h 1. Zbudować sieć laboratoryjną 2. Czynności wstępne 3. Filtrowanie pakietów 4. Ustawienie portów przełącznika (tryb graficzny) 5. DNAT (tryb tekstowy i graficzny) 6. Bezpieczeństwo portów 7. Czynności końcowe - 1 -

1. Zbudować sieć laboratoryjną Zadanie Zbudować sieć laboratoryjną zgodnie z przedstawioną poniżej topologią. Topologia sieci laboratoryjnej 79.96.21.160 / 28 OUTSIDE dmz security-level 50 outside security-level 0 212.191.89.128 / 25 subinterfaces, trunk 172.18.0.0 / 16 10.2.0.0 / 16 VLAN Admin sec.lev.95 10.10.0.0 / 16 VLAN Dyrekcja sec.lev.85 10.20.0.0 / 16 VLAN Pracownicy sec.lev.80-2 -

2. Czynności wstępne Usunąć, jeśli istnieją, hasła i konfiguracje urządzeń. Przywrócić konfiguracje urządzeń z poprzedniego zadania. Sprawdzić za pomocą programu ping działanie interfejsów: o z hosta w sieci inside_admin adres podinterfejsu inside_admin ASA: o z hosta w sieci inside_dyrekcja adres podinterfejsu inside_dyrekcja ASA: o z hosta w sieci inside_pracownicy adres podinterfejsu inside_pracownicy ASA: o z hosta wewnątrz sieci dmz adres interfejsu dmz ASA: o z hosta wewnątrz sieci outside adres interfejsu Routera: o z hosta wewnątrz sieci outside adres interfejsu outside ASA: Zainstalować w strefie dmz, outside i inside_pracownicy po jednym serwerze FTP i HTTP (np. TYPSoft FTP Server oraz Apache). Utworzyć na każdym serwerze FTP przynajmniej jedno konto z uprawnieniami do dowolnego folderu na dysku. Utworzyć na każdym serwerze HTTP prostą stronę WWW z informacją o położeniu serwera. Przeprowadzić testy: o Czy można połączyć się z sieci inside_admin do serwera FTP w dmz? o Czy można połączyć się z sieci inside_pracownicy do serwera HTTP w outside? o Czy można połączyć się z sieci inside_pracownicy do serwera HTTP w dmz? o Czy można połączyć się z sieci inside_dyrekcja do serwera HTTP w outside? o Czy można połączyć się z sieci inside_dyrekcja do serwera FTP w inside_pracownicy? o Czy można połączyć się ze strefy dmz do serwera FTP w strefie outside? o Czy można połączyć się ze strefy outside do serwera FTP w strefie dmz? - 3 -

3. Filtrowanie pakietów (Listy kontroli dostępu (ang. Access Control List)) Zadanie Skonfigurować filtrację pakietów zgodnie z poniższą tabelą: Urządzenie Zasady ruchu o z sieci OUTSIDE ma być zabroniona możliwość testowania sieci łączącej ASA z Routerem za pomocą ping o cały pozostały ruch jest dozwolony o z sieci inside_pracownicy ma być możliwy dostęp do dowolnego serwera FTP w sieci dmz o z sieci inside_pracownicy ma być możliwy dostęp do dowolnego serwera HTTP w dowolnej sieci o pozostałe połączenia z sieci inside_pracownicy mają być zabronione Materiał pomocniczy Idea działania list dostępu - 4 -

Definiowanie listy dostępu Definicja warunku (dopasowania) rozszerzonej listy dostępu: ASA(config)# access-list <nr_listy> extended <permit deny> <protokół> <adres_źródła> <maska_źródła> <adres_celu> <maska_celu> eq <nr_portu> Definicja warunku (dopasowania) rozszerzonej listy dostępu: Router(config)# access-list <nr_listy> <permit deny> <protokół> <adres_źródła> <maska_źródła> <adres_celu> <maska_celu> eq <nr_portu> nr_listy numer listy dostępu; dla list rozszerzonych od 100 do 199. permit lista będzie zezwalała na zdefiniowany ruch. deny lista będzie zabraniała zdefiniowanego ruchu. protokół nazwa protokołu jakiego będzie dotyczyła lista (jeśli nie korzysta z numerów portów należy podać ip, jeśli zaś lista będzie korzystać z portów należy podać tcp albo udp, jeśli zaś lista będzie dotyczyć ICMP należy podać icmp). adres_źródła adres IP hosta albo sieci źródła pakietu. maska_źródła maska hosta albo sieci źródła pakietu (ASA maska zwykła, Router maska blankietowa). adres_celu adres IP hosta albo sieci docelowej pakietu. maska_celu maska hosta albo sieci docelowej pakietu (ASA maska zwykła, Router maska blankietowa). nr_portu numer portu, którego będzie dotyczyła lista. - 5 -

Uwagi: o jeśli chcemy określić każdy, dowolny adres i maskę sieci można podać słowo any (any = 0.0.0.0 0.0.0.0); o jeśli chcemy do listy dostępu dodać wiele warunków (dopasowań) należy w następnym poleceniu access-list podać ten sam numer listy; o kolejność wprowadzania warunków (dopasowań) jest ważna, zgodnie z nią będą sprawdzane kolejne dopasowania. Kasowanie listy dostępu hostname(config)# no access-list <nr_listy> Uwaga: Na ASA kasuje się konkretny wpis a nie całą listę dostępu. Dodanie listy dostępu do interfejsu ASA(config)# access-group <nr_listy> <in out> interface <nazwa_interfejsu> Router(config-if)# ip access-group <nr_listy> <in out> nr_listy numer listy dostępu, która zostanie dodana do interfejsu. in lista będzie działała na ruch wchodzący do interfejsu. out lista będzie działała na ruch wychodzący z interfejsu. nazwa_interfejsu nazwa interfejsu, do którego zostanie dodana lista dostępu. - 6 -

Usunięcie listy dostępu z interfejsu ASA(config)# no access-group <nr_listy> <in out> interface <nazwa_interfejsu> Router(config-if)# no ip access-group <nr_listy> <in out> Weryfikacja listy dostępu Router# show ip interface Router# show access-list ASA# show interface ASA# show access-list - 7 -

Sprawozdanie Sprawdzić za pomocą programu ping działanie interfejsów: o z hosta wewnątrz sieci outside adres interfejsu Routera: o z hosta wewnątrz sieci outside adres interfejsu outside ASA: Przeprowadzić testy: o Czy można połączyć się z sieci inside_ pracownicy do serwera FTP w dmz? o Czy można połączyć się z sieci inside_pracownicy do serwera FTP w outside? o Czy można połączyć się z sieci inside_pracownicy do serwera HTTP w dmz? o Czy można połączyć się z sieci inside_ pracownicy do serwera HTTP w outside?. o Czy można połączyć się z sieci inside_dyrekcja do serwera FTP w outside?. o Czy można połączyć się z sieci inside_dyrekcja do serwera HTTP w outside?. 4. Ustawienie portów przełącznika (tryb graficzny) Zadanie Skonfigurować porty przełącznika z użyciem trybu graficznego zgodnie z poniższą tabelą: Urządzenie trunk inside_admin inside_dyrekcja inside_pracownicy Szybkość: 100Mbit/s Szybkość: 100Mbit/s Szybkość: 10Mbit/s Szybkość: 10Mbit/s Duplex: auto Duplex: auto Duplex: auto Duplex: auto Opis: trunk Opis: inside_admin Opis: inside_dyrekcja Opis: inside_pracownicy - 8 -

Materiał pomocniczy Zakładka trybu graficznego (HTTP Device Manager) umożliwiająca konfigurację parametrów portów Switch: Sprawozdanie Sprawdzić w danych dotyczących karty sieciowej szybkość pracy interfejsu Ethernet: o hosta wewnątrz sieci inside_admin: o hosta wewnątrz sieci inside_dyrekcja: o hosta wewnątrz sieci inside_pracownicy: - 9 -

5. DNAT (ang. Destination Network Address Translation) (tryb tekstowy i graficzny) Zadanie W trybie tekstowym: Dodać DNAT z przekierowaniem portów tak aby było możliwe połączenie z sieci outside do serwera HTTP w sieci dmz. Dodać DNAT z przekierowaniem portów tak aby było możliwe połączenie z sieci outside do serwera FTP w sieci dmz. W trybie graficznym: Dodać DNAT z przekierowaniem portów tak aby było możliwe połączenie z sieci dmz do serwera FTP w sieci inside_pracownicy. Materiał pomocniczy Idea DNAT z przekierowaniem portów Konfiguracja DNAT (tryb tekstowy) - 10 -

DNAT + przekierowanie portów: ASA(config)# static (<sieć_docelowa>,<sieć_źródłowa>) <tcp udp> <adres_źródłowy> <port_źródłowy> <adres_docelowy> <port_docelowy> netmask 255.255.255.255 Uwaga: Aby możliwa była komunikacja z interfejsu o mniejszym poziomie bezpieczeństwa do interfejsu o wyższym poziomie bezpieczeństwa należy dodać odpowiednią listę dostępu ACL (ang. access-list). Lista ta powinna pozwalać na połączenia na wybranym adresie i porcie oraz musi być dodana na ruch wejściowy na interfejs o mniejszym poziomie bezpieczeństwa. Konfiguracja DNAT (tryb graficzny) Zakładka trybu graficznego (ASDM) umożliwiająca konfigurację translacji adresów (NAT): - 11 -

Sprawozdanie Przeprowadzić testy: o czy można połączyć się z sieci dmz do serwera HTTP w strefie outside? o czy można połączyć się z sieci dmz do serwera FTP w strefie outside? o czy można połączyć się z sieci outside do serwera HTTP w strefie dmz? o czy można połączyć się z sieci outside do serwera FTP w strefie dmz? o czy można połączyć się z sieci dmz do serwera FTP w strefie inside_pracownicy? 6. Bezpieczeństwo portów (ang. port-security) Zadanie Ograniczyć liczbę hostów na każdym porcie Switch należącym do sieci inside_pracownicy do jednego (pierwszy podłączony). W przypadku naruszenia tej zasady bezpieczeństwa port ma być wyłączony. Materiał pomocniczy Konfiguracja bezpieczeństwa portów Ustalenie zasad bezpieczeństwa dla wybranego portu: Switch(config)# interface fastethernet <nr_portu> Ustalenie roli portu: Switch(config-if)# switchport mode <access trunk> Ograniczenie dostępu hostów do Switch: Switch(config-if)# switchport port-security - 12 -

Działanie w przypadku naruszenia reguły bezpieczeństwa: Switch(config-if)# switchport port-security violation <protect restrict shutdown> Ograniczenie liczby hostów na porcie: Switch(config-if)# switchport port-security maximum <liczba_hostów> Adresów MAC hostów Switch nauczy się automatycznie (pierwsze podłączone): Switch(config-if)# switchport port-security mac-address sticky Weryfikacja bezpieczeństwa portów Switch# show port-security Switch# show mac-address-table Switch# show running-config Uwaga: Jeśli nastąpi naruszenie zasad bezpieczeństwa i port zostanie wyłączony, konieczne będzie użycie polecenia shutdown a następnie no shutdown w celu dokonania reaktywacji tego portu. Sprawozdanie Przeprowadzić testy: o Czy MAC hosta podłączonego do bezpiecznego portu jest typu STATIC? o Czy MAC hosta podłączonego jest zapisany w bieżącej konfiguracji? o Czy po podłączeniu do portu innego hosta port został wyłączony? 7. Czynności końcowe Zapisać konfiguracje urządzeń na serwer TFTP. Zgrać konfiguracje na pendrive. - 13 -

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres