Microsoft Word - CCNA2_lab_11_2_3c

1 - 9

CCNA 2: Podstawowe wiadomości o routerach i routingu, wersja 3.1 - Ćwiczenie 11.2.3c Copyright

 2003, Cisco Systems, Inc.

Ćwiczenie 11.2.3c Funkcje spełniane przez kilka list kontroli dostępu (laboratorium
problemowe)

Nazwa

routera

Typ

routera

Adres

interfejs

u FA0

Adres

interfejsu

FA1

Adres

interfejsu

Adres

interfejs

u S1

Maska

podsi

eci

Routing

Hasło

dostępu

uprzywilej

owanego

trybu

EXEC

Hasło

konsoli

VTY

2 - 9

CCNA 2: Podstawowe wiadomości o routerach i routingu, wersja 3.1 - Ćwiczenie 11.2.3c Copyright

 2003, Cisco Systems, Inc.

Host Adres

Maska

podsieci

Brama

Cel

Skonfigurowanie i zastosowanie rozszerzonej listy kontroli dostępu w celu kontrolowania ruchu
internetowego przy użyciu jednego lub więcej routerów.

Scenariusz

Firma posiada biuro regionalne, Boaz, które obsługuje dwa oddziały, Gadsden i

Centre. W każdym z tych oddziałów pracuje menedżer oraz kilka osób odpowiedzialnych za
świadczenie usług klientom. Personel odpowiedzialny za świadczenie usług często się zmienia. Po
przeprowadzeniu audytu bezpieczeństwa okazało się, że na komputery używane przez personel nie
są nałożone żadne ograniczenia sieciowe.

Szef grupy zajmującej się infrastrukturą chce sporządzić oraz zaimplementować plan ochrony sieci
przed niepożądanym dostępem.

Infrastruktura

Host 3 reprezentuje Internet. Alternatywą jest użycie interfejsu loopback 0 na routerze Boaz
i wydanie polecenia Boaz(config)#ip http server.

Host 4 reprezentuje wewnętrzny serwer WWW, który zawiera ważne dane dotyczące personelu
i płac.

Host 4 będzie również reprezentował komputer administratora sieci.

Najniższe 4 adresy hostów w każdej podsieci są zarezerwowane dla komputerów menedżerów
oddziałów (hosty 1 i 5).

Interfejsy routera mają najwyższe adresy w podsieciach.

Pozostałe adresy w podsieci każdego oddziału mają być używane przez komputery personelu (hosty
2 i 6).

Krok 1 Podstawowe połączenie routerów

a. Połącz routery w sposób pokazany na rysunku.

3 - 9

CCNA 2: Podstawowe wiadomości o routerach i routingu, wersja 3.1 - Ćwiczenie 11.2.3c Copyright

 2003, Cisco Systems, Inc.

Krok 2 Projektowanie adresów intersieci

a. Używając prywatnych adresów IP klasy C dla sieci wewnętrznej, zaprojektuj i sporządź

dokumentację sieci. Uzupełnij przedstawioną wyżej tabelę oraz dołącz typ i numer interfejsu,
adres IP, maskę podsieci i typ kabla. Sieć „Internet” (chmura) może używać dowolnych adresów
z puli adresów prywatnych. Upewnij się, że zakresy adresów przypisane do routerów i hostów
spełniają kryteria opisane w sekcji poświęconej infrastrukturze.

Krok 3 Podstawowa konfiguracja routera

a. Router

może zawierać konfigurację używaną przy poprzednich ćwiczeniach. Z tego powodu

należy usunąć konfigurację początkową i ponownie załadować router, aby usunąć wszelkie
pozostałości wcześniejszych konfiguracji. Korzystając z podanych uprzednio informacji,
skonfiguruj router, używając protokołu RIP lub IGRP, i sprawdź za pomocą poleceń ping, czy
każdy system ma dostęp do wszystkich routerów oraz do pozostałych systemów.

Aby zasymulować określone lokalizacje w Internecie, do routera Boaz dodaj następującą
konfigurację.

Boaz(config)#interface loopback 1
Boaz(config-if)#ip address 192.168.255.1 255.255.255.255
Boaz(config-if)#exit
Boaz(config)#interface loopback 2
Boaz(config-if)#ip address 192.168.255.2 255.255.255.255
Boaz(config-if)#exit
Boaz(config)#interface loopback 3
Boaz(config-if)#ip address 192.168.255.3 255.255.255.255
Boaz(config-if)#exit
Boaz(config)#interface loopback 4
Boaz(config-if)#ip address 192.168.255.4 255.255.255.255
Boaz(config-if)#exit
Boaz(config)#interface loopback 5
Boaz(config-if)#ip address 192.168.255.5 255.255.255.255
Boaz(config-if)#exit
Boaz(config)#interface loopback 6
Boaz(config-if)#ip address 192.168.255.6 255.255.255.255
Boaz(config-if)#exit
Boaz(config)#interface loopback 7
Boaz(config-if)#ip address 192.168.255.7 255.255.255.255
Boaz(config-if)#exit
Boaz(config)#interface loopback 8
Boaz(config-if)#ip address 192.168.255.8 255.255.255.255
Boaz(config-if)#exit
Boaz(config)#interface loopback 9
Boaz(config-if)#ip address 192.168.255.9 255.255.255.255
Boaz(config-if)#exit
Boaz(config)#interface loopback 10
Boaz(config-if)#ip address 192.168.255.10 255.255.255.255
Boaz(config-if)#exit

Dodaj polecenie network do protokołu routingu routera Boaz, aby ogłosić sieć.

Boaz(config-router)#network 192.168.255.0

4 - 9

CCNA 2: Podstawowe wiadomości o routerach i routingu, wersja 3.1 - Ćwiczenie 11.2.3c Copyright

 2003, Cisco Systems, Inc.

Krok 4 Skonfigurowanie klientów

a. Odpowiednio skonfiguruj hosty, używając uprzednio podanych informacji.

[ ] Sprawdź dostępność urządzeń, wysyłając z każdego systemu pakiety ping do wszystkich
systemów i routerów.

b. Na hostach 3 i 4 zainstaluj i skonfiguruj serwer WWW, taki jak Tiny Web Server.

(

http://www.simtel.net/product.php[id]6948[sekid]0[SiteID]simtel.net

) (Host 3 ma reprezentować

Internet. Host 4 ma reprezentować wewnętrzny serwer WWW, który zawiera ważne dane
dotyczące personelu i płac). (Host 4 może być interfejsem Loopback na routerze Boaz).

[ ] Sprawdź, czy wszystkie systemy mają dostęp do stron WWW na serwerze intranetowym
(host 4) i na serwerze internetowym (host 3) za pomocą przeglądarki WWW.

c. Na

hoście 3 zainstaluj serwer Telnet, taki jak TelnetXQ

(

http://www.datawizard.net/Free_Software/TelnetXQ_Free/telnetxq_free.htm

[ ] Sprawdź, czy wszystkie systemy mogą nawiązać połączenie Telnet z Internetem (host 3).

d. Po

zakończeniu tworzenia infrastruktury nadeszła pora na zabezpieczenie sieci.

Krok 5 Zabezpieczenie serwera intranetowego

a. Host 4 reprezentuje wewnętrzny serwer WWW, który zawiera ważne dane dotyczące personelu

i płac. Informacje z tego serwera powinny być udostępniane WYŁĄCZNIE menedżerom
oddziałów. Należy utworzyć listy kontroli dostępu zabezpieczające serwer, tak aby tylko
komputery menedżerów oddziałów miały dostęp WWW (za pomocą protokołu HTTP) do tego
serwera wewnętrznego

Ile list kontroli dostępu zostanie użytych? ______________________________________________

Gdzie będą zastosowane listy kontroli dostępu? _______________________________________

W jakim kierunku będą stosowane listy kontroli dostępu? _______________________________

Z jakiego powodu byłoby wskazane użycie kilku list kontroli dostępu?

_____________________________________________________________________________________

Z jakiego powodu byłoby wskazane użycie pojedynczych list kontroli dostępu?

_____________________________________________________________________________________

_____________________________________________________________________________________

b. Przy pomocy edytora tekstu, takiego jak Notatnik, utwórz strukturę logiczną list kontroli dostępu,

a następnie wpisz właściwe polecenia. Gdy lista zostanie poprawnie utworzona, należy wkleić ją
w pliku konfiguracji routera i zastosować na właściwych interfejsach.

c. Sprawdź, czy lista ACL działa prawidłowo:

[ ] Sprawdź dostępność urządzeń, wysyłając z każdego systemu pakiety ping do wszystkich
systemów i routerów.

[ ] Sprawdź, czy wszystkie komputery mają dostęp do stron WWW w Internecie (z wyjątkiem
wewnętrznego serwera WWW) za pomocą przeglądarki WWW.

[ ] Upewnij się, że komputery personelu NIE MOGĄ uzyskać dostępu do serwera intranetowego
(protokół HTTP) przy użyciu przeglądarki WWW.

[ ] Upewnij się, że komputery z Internetu (host 3) NIE MOGĄ uzyskać dostępu do serwera
intranetowego (protokół HTTP) przy użyciu przeglądarki WWW.

5 - 9

CCNA 2: Podstawowe wiadomości o routerach i routingu, wersja 3.1 - Ćwiczenie 11.2.3c Copyright

 2003, Cisco Systems, Inc.

Krok 6 Zabezpieczenie dokumentów intranetowych

a. Istnieje

obawa,

że dokumenty dotyczące polityki wewnętrznej firmy oraz jej procedur mogą się

wydostawać poza firmę. Aby uniemożliwić przekazywanie tych dokumentów przez użytkowników
intersieci, nie należy zezwalać na dostęp Telnet lub FTP do Internetu.

Czy należy utworzyć nową listę lub listy ACL, czy też wystarczy zmodyfikować istniejącą listę lub
listy?

_____________________________________________________________________________________

W przypadku nowych list:

Ile nowych list kontroli dostępu trzeba będzie utworzyć?
_______________________________________

Gdzie zostaną zastosowane nowe listy kontroli dostępu?

_____________________________________________________________________________________

W jakim kierunku będą stosowane nowe listy kontroli dostępu?

_____________________________________________________________________________________

b. Ponownie przy pomocy edytora tekstu, takiego jak Notatnik, utwórz strukturę logiczną list kontroli

dostępu, a następnie wpisz właściwe polecenia. Gdy lista zostanie poprawnie utworzona, należy
wkleić ją w pliku konfiguracji routerów i zastosować na właściwych interfejsach.

c. Sprawdź, czy lista ACL działa prawidłowo:

[ ] Sprawdź dostępność urządzeń, wysyłając z każdego systemu pakiety ping do wszystkich
systemów i routerów.

[ ] Sprawdź, czy wszystkie komputery mają dostęp do stron WWW w Internecie (z wyjątkiem
wewnętrznego serwera WWW) za pomocą przeglądarki WWW.

[ ] Upewnij się, że komputery personelu NIE MOGĄ uzyskać dostępu do serwera intranetowego
(protokół HTTP) przy użyciu przeglądarki WWW.

[ ] Upewnij się, że komputery z Internetu (host 3) NIE MOGĄ uzyskać dostępu do serwera
intranetowego (protokół HTTP) przy użyciu przeglądarki WWW.

[ ] Upewnij się, że komputery NIE MOGĄ uzyskać połączenia Telnet z Internetem (host 3
i interfejsy sprzężenia zwrotnego na routerze Boaz), ale mogą uzyskać takie połączenie
z routerami.

Krok 7 Zapobieganie niedozwolonemu korzystaniu z Internetu

a. Pojawiły się skargi, że pracownicy nadużywają dostępu do Internetu. Używają oni Internetu, aby

przeglądać serwisy o kontrowersyjnej zawartości. Aby ukrócić te praktyki, nie należy zezwalać
na ruch IP wychodzący z intersieci pod następujące adresy:

192.168.255.1
192.168.255.4
192.168.255.8
192.168.255.9

Czy należy utworzyć nową listę lub listy ACL, czy też wystarczy zmodyfikować istniejącą listę lub
listy?

_____________________________________________________________________________________

6 - 9

CCNA 2: Podstawowe wiadomości o routerach i routingu, wersja 3.1 - Ćwiczenie 11.2.3c Copyright

 2003, Cisco Systems, Inc.

W przypadku nowych list:

Ile nowych list kontroli dostępu trzeba będzie utworzyć?

_____________________________________________________________________________________

Gdzie zostaną zastosowane nowe listy kontroli dostępu?

_____________________________________________________________________________________

W jakim kierunku będą stosowane nowe listy kontroli dostępu?

_____________________________________________________________________________________

b. Ponownie przy pomocy edytora tekstu, takiego jak Notatnik, utwórz strukturę logiczną list kontroli

dostępu, a następnie wpisz właściwe polecenia. Gdy lista zostanie poprawnie utworzona, należy
wkleić ją w pliku konfiguracji routerów i zastosować na właściwych interfejsach.

c. Sprawdź, czy lista ACL działa prawidłowo:

[ ] Upewnij się, że komputery personelu NIE MOGĄ uzyskać dostępu do serwera intranetowego
(protokół HTTP) przy użyciu przeglądarki WWW.

[ ] Upewnij się, że komputery z Internetu (host 3) NIE MOGĄ uzyskać dostępu do serwera
intranetowego (protokół HTTP) przy użyciu przeglądarki WWW.

[ ] Upewnij się, że komputery NIE MOGĄ uzyskać połączenia Telnet z Internetem (host 3
i interfejsy sprzężenia zwrotnego na routerze Boaz), ale mogą uzyskać takie połączenie
z routerami.

[ ] Upewnij się, że komputery NIE MOGĄ uzyskać połączenia Telnet, używać przeglądarki
WWW ani wysyłać pakietów ping pod adres 192.168.255.1.

[ ] Upewnij się, że komputery NIE MOGĄ uzyskać połączenia Telnet, używać przeglądarki
WWW ani wysyłać pakietów ping pod adres 192.168.255.4.

[ ] Upewnij się, że komputery NIE MOGĄ uzyskać połączenia Telnet, używać przeglądarki
WWW ani wysyłać pakietów ping pod adres 192.168.255.8.

[ ] Upewnij się, że komputery NIE MOGĄ uzyskać połączenia Telnet, używać przeglądarki
WWW ani wysyłać pakietów ping pod adres 192.168.255.9.

[ ] Sprawdź dostępność urządzeń, wysyłając z każdego systemu pakiety ping do wszystkich
pozostałych systemów i routerów.

[ ] Sprawdź, czy wszystkie komputery mają dostęp do stron WWW w Internecie (host 3 oraz
interfejsy sprzężenia zwrotnego routera Boaz) za pomocą przeglądarki WWW.

Krok 8 Ochrona przed atakami DoS (ang. Denial of Service)

a. W

ciągu ostatnich kilku tygodni firmowa intersieć była celem licznych ataków typu DoS (ang.

denial of service, odmowa świadczenia usług). Większość z nich była atakami typu „Ping of
Death” (pakiety ICMP echo o nadmiernej długości) lub była spowodowana rozgłaszaniem
ukierunkowanym (x.x.x.255). Aby zapobiec atakom „Ping of Death”, nie należy dopuszczać do
intersieci żadnych pakietów ICMP echo. Aby zapobiec również atakom przy użyciu
skierowanych pakietów rozgłaszania, należy zatrzymywać wszystkie pakiety IP wysyłane pod
adres rozgłaszania ukierunkowanego.

Czy należy utworzyć nową listę lub listy ACL, czy też wystarczy zmodyfikować istniejącą listę lub
listy?

_____________________________________________________________________________________

7 - 9

CCNA 2: Podstawowe wiadomości o routerach i routingu, wersja 3.1 - Ćwiczenie 11.2.3c Copyright

 2003, Cisco Systems, Inc.

W przypadku nowych list:

Ile nowych list kontroli dostępu trzeba będzie utworzyć?

_____________________________________________________________________________________

Gdzie zostaną zastosowane nowe listy kontroli dostępu?

_____________________________________________________________________________________

W jakim kierunku będą stosowane nowe listy kontroli dostępu?

_____________________________________________________________________________________

b. Ponownie przy pomocy edytora tekstu, takiego jak Notatnik, utwórz strukturę logiczną list kontroli

dostępu, a następnie wpisz właściwe polecenia. Gdy lista zostanie poprawnie utworzona, należy
wkleić ją w pliku konfiguracji routerów i zastosować na właściwych interfejsach.

c. Sprawdź, czy lista ACL działa prawidłowo:

[ ] Upewnij się, że komputery personelu NIE MOGĄ uzyskać dostępu do serwera intranetowego
(protokół HTTP) przy użyciu przeglądarki WWW.

[ ] Upewnij się, że komputery z Internetu (host 3) NIE MOGĄ uzyskać dostępu do serwera
intranetowego (protokół HTTP) przy użyciu przeglądarki WWW.

[ ] Upewnij się, że komputery NIE MOGĄ uzyskać połączenia Telnet z Internetem (host 3
i interfejsy sprzężenia zwrotnego na routerze Boaz), ale mogą uzyskać takie połączenie
z routerami.

[ ] Upewnij się, że komputery NIE MOGĄ uzyskać połączenia Telnet, używać przeglądarki
WWW ani wysyłać pakietów ping pod adres 192.168.255.1.

[ ] Upewnij się, że komputery NIE MOGĄ uzyskać połączenia Telnet, używać przeglądarki
WWW ani wysyłać pakietów ping pod adres 192.168.255.4.

[ ] Upewnij się, że komputery NIE MOGĄ uzyskać połączenia Telnet, używać przeglądarki
WWW ani wysyłać pakietów ping pod adres 192.168.255.8.

[ ] Upewnij się, że komputery NIE MOGĄ uzyskać połączenia Telnet, używać przeglądarki
WWW ani wysyłać pakietów ping pod adres 192.168.255.9.

[ ] Sprawdź, czy wszystkie komputery mają dostęp do stron WWW w Internecie (host 3 oraz
pozostałe interfejsy sprzężenia zwrotnego routera Boaz) za pomocą przeglądarki WWW.

[ ] Upewnij się, że host 3 NIE MOŻE wysyłać pakietu ping pod żaden adres w intersieci.

[ ] Upewnij się, że systemy mogą pomyślnie wysłać pakiety ping do innych hostów w Internecie.

[ ] Sprawdź dostępność urządzeń, wysyłając z każdego systemu pakiety ping do wszystkich
pozostałych systemów i routerów.

Krok 9 Zatrzymanie ruchu Telnet przesyłanego do routerów

a. Zanotowano

również kilka prób dostępu do routerów przy użyciu protokołu Telnet zarówno

z wewnątrz, jak i z zewnątrz sieci. Jedynym hostem, który powinien mieć dostęp Telnet do
routerów, jest komputer administratora sieci. Aby uniemożliwić dostęp Telnet do routerów,
utwórz i zastosuj dla linii VTY routerów listę kontroli dostępu, która umożliwi dostęp Telnet do
nich tylko komputerowi administratora systemu.

Jaki typ listy dostępu zostanie zastosowany?

_____________________________________________________________________________________

Jakie polecenie zostanie użyte w celu zastosowania listy na liniach VTY?

_____________________________________________________________________________________

b. Przy pomocy edytora tekstu, takiego jak Notatnik, utwórz strukturę logiczną list kontroli dostępu,

a następnie wpisz właściwe polecenia. Gdy lista zostanie poprawnie utworzona, wklej ją do pliku
konfiguracji routerów i zastosuj na właściwych liniach VTY.

8 - 9