systemy¾zp sieciowego WykÅ‚ad SBS( 10 2010

Wykład 1

Router Brzegowy i zapora sieciowa

Router – pierwsza osłona sieci;

Zapora sieciowa – uwierzytelnianie użytkowników i szczegółowa filtracja pakietów;

Możliwość konstruowania stref zdemilitaryzowanej;

Alternatywa

Router brzegowy, zapora sieciowa router wewnętrzny;

Router wewnętrzny –zaawansowane funkcje ochrony sieci

Możliwość stosowania różnych strategii ochrony dla różnych elementów sieci;

Możliwość zastosowania przełączników warstwy 2-3-4 oraz specyficznych modułów np. ids sss vpn

Drogi dostępu do routera i przełącznika

Zabezpieczenie nieużywanych linii -> przy konfiguracji linii podać komendę login, a nie podawać komendy password

FIZYCZNE ZABEZPIECZENIE!!!!

Port konsolowy

przywilej – kilka sekund po uruchomienia routera można zastosować CTRL-BREAK -> możliwość ustanowienia nowego hasła

Użytkownik który potrafi spowodować wyłączenie zasilania lub upadek systemu może przejąć router nie mając do niego bezpośredniego dostępu

Router (config) #line console 0

Router (config-line) #login

Router (config-line) #password abcd123

Router (config-line) # exec-timeout 3 30 – Skrócenie do 3 minut I 30 sekund czasu zamknięcia sesji (domyślnie 10 minut)

Port aux

Router (config) # Line aux 0

Router (config-line) # login

Router (config-line) # password auxpass

Router (config-line) # transport input none ---- Port modemowy nie będzie obsługiwał ruchu wchodzącego

Port vty

Router (config)# Line vty 0 4

Router (config-line) # login

Router (config-line) # password vty-pas

Router (config-line) # transport input ssh – możliwość wykorzystania tylko łącza szyfrowanego

Router (config-line) # ip access-class 101 – Ograniczenie dostępu tylko dla numerów IP określonych w liście dostępu

Protokół ssh

Klient

Serwer

Konfigurowanie ssh

Roiter (config) # hostname R2

R2(config)# ip domain-name cisco.com

R2(config)# cypto key generate rsa

: - Zaakceptować domyślny rozmiar klucza

R2(config)# ip ssh time-out 15

R2(config)# ip ssh authentication-retires 3

Konfigurowanie lokalnego uwierzytelniania

R2(config)# username student password Cisco

R2(config)# line vty 0 4

R2(config-line)# transport input ssh

R2(config-line)# login local

R2(config-line)# exit

R2(config)# logging on

R2(config)# logging console

Usługa ssh przydatne koment

R2 # show ssh - Listowanie aktywnych sesji ssh

R2 # show ip ssh listowanie parametrów konfiguracji ssh

R2 # disconnect ssh 0 Zamykanie wskazanej (0) sesji ssh

R2 # ssh –c des –l student 172.16.10.2 – otwieranie sesji ssh

Zalecenia dotyczące haseł

Przywileje i konta

R2 (config) # privilege exec level 15 show ip access-lists

R2 (config) # username John password Wars123

R2 (config) # username John privilege 1

Dodać komendy do dodatkowych poziomów

Blokowanie niepotrzebnych usług

Zabezpieczenia przełączników

Większość zasad dotyczących routerów obowiązuje

Ponadto:

Listy Kontroli Dostępu

ACL (Access Control List) – lista kontroli dostępu. Lista wykorzystywana przez router do sterowania dostępem na wejściu do interfejsu routera lub na wyjściu z interfejsu routera

Sposoby instalowania list kontroli dostępu

IP IP

IPX Router IPX

Apple Talk Apple Talk

Jak funkcjonują listy kontroli dostępu?

Przejścia kilka wzorców

Jak spełnia warunki to przepuszczam a blokuje pozostałe

Lub

Blokuje które chce a przepuszczam pozostałe

Typy list kontroli dostępu

Standardowe Listy kontroli dostępu

IP 1-99 1300-1999 standardowe

Extender IP 100-199, 2000-2699 Rozrzeżona

Ethernet typed code 200-299

Przykład

WAŻNA JEST KOLEJNOŚĆ

Access-list 2 deny 192.168.10.1

Access-list 2 permit 192.168.10.0 0.0.0.255 Dowolny adres można się bawić

Access-list 2 deny 192.168.0.0 0.0.255.255

Access-list 2 permit 192.0.0.0 0.255.255.255

Standardowe listy kontroli dostępu – słowa kluczowe

R1(config) # Access-list 1 permit 0.0.0.0 255.255.255.255

R1(config) # Access-list 1 permit any

R1(config) # Access-list 1 permit 192.168.10.10 0.0.0.0

R1(config) # Access-list 1 host 172.168.10.10

Standardowe listy kontroli dostępu – instalowanie

R1(config) # no Access-list 1

R1(config) # Access-list 1 deny 192.168.10.10 0.0.0.0

R1(config) # Access-list 1 pertmit 192.168.10.0 0.0.0.255

R1(config) # interface S0/0/0

R1(config-if) # ip access-group 1 out

Kontrolowanie dostępu do terminal wirtualnego

R1(config) # Access-list 21 permit 192.168.10.0 0.0.0.255

R1(config) # Access-list 21 permit 192.168.11.0 0.0.0.255

R1(config) # Access-list 21 deny any

R1(config) # line vty 0 4

R1(config) # login

R1(config) # password secret

R1(config) # Access-class 21 in

Rozszerzone listy kontroli dostępu

R1(config) # Access-list 101 deny tcp 192.168.11.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 21

R1(config) # Access-list 101 deny tcp 192.168.11.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 21

R1(config) # Access-list 101 any any

R1(config) # interface Fa0/1

R1(config-if) # ip access-group 101 in

Rozszerzone listy kontroli dostępu instalujemy ją najbliżej źródła danych.

A standardowe najbliżej chronionej sieci

Nazwane listy kontroli dostępu

R1(config) # ip access-list [standard|extender] nazwa

R1(config-std-nacl) # [deny|permit|remark] źródłowy_ip źródłowa_maska]

.

.

.

R1(config-ext-nacl)# [deny|permit|remark] protokół źródłowy_IP [źródłowa_maska] [operator port] docelowy_iP [docelowa_maska] [operator port] [established]

.

.

Przykład 1:

R1(config) # ip access-list standard NO_access

R1(config-std-nacl) # deny host 192.168.11.10

R1(config-std-nacl) # permit 192.168.11.0 0.0.0.255

R1(config-std-nacl) # interface Fa0/0

R1(config-std-nacl) # ip access-group NO_access

Przykład 2:

R1(config) # ip access-list extender SURFING

Techniki filtrowania pakietów

Filtrowanie pakietów

Niedostatki:

Serwer Proxy

Niedostatki:

Kontekstowe Filtrowanie pakietów

Zalecenia filtrowania na wejściu routera brzegowego

Zalecenia filtrowania na wyjściu routera brzegowego

Analiza przypadku – filtrowanie ruchu wejściowego

Analiza przypadku – filtrowanie ruchu wyjściowego

Analiza przypadku – blokada ataku SYN Flood

Access-list 109 permit tcp Any 16.2.1.0 0.0.0.255 established

Blokowanie IP blokuje ICMP

Ip tcp intercept list 110 sprawdza czy jest połączenie jeśli brak to ucina pakiety

Analiza przypadku – unikanie ataku Smurf

Analiza przypadku – filtrowanie wejściowego ruchu ICMP

Analiza przypadku – filtrowanie wejściowego ruchu ICMP

Access-list 114 permit icmp 16.2.1.0 0.0.0.255 any echo

Access-list 114 permit icmp 16.2.1.0 0.0.0.255 any parameter-problem

Access-list 114 permit icmp 16.2.1.0 0.0.0.255 any packet-too-big

Access-list 114 permit icmp 16.2.1.0 0.0.0.255 any source quench

Access-list 114 permit icmp any any log

Analiza przypadku – blokoda komendy TRACE

R2(config) # Access-list 120 deny udp Any Any range 33400 34400 log

R2(config) # interface e0/0

R2(config) # ip access-group 120 in

R2(config) # end

R2(config) # access-list 121 permit udp 16.2.1.0 0.0.0.255 any range 33400 34400 log

R2(config) # interface e0/1

R2(config-if) # ip access-group 121 in

R2(config-if) # end

Zaawansowane listy Kontroli dostępu

  1. Dynamiczne listy dostępu

  2. Listy dostępu obsługujące harmonogramy

  3. Zwrotne listy dostępu

  4. Listy dostępu turbo

  5. Listy dostępu oparte na zawartości

AD1.

Procedura:

Komenda telnet przesyła dane jawnym tekstem istnieje możliwość przechwycenia hasła logowania

Access-list numer dynamic nazwa [timeout n] [permit|deny] protokół Any docelowy_IP docelowa_maska

Numer – numer listy dostępu

Nazwa – nazwa listy

N – absolutny limit czasu istnienia dynamicznego wpisu

Protokół – IP, tcp ,udp ,icmAdreś źródłowy jest zastępowany adresem uwierzytelnionego komputera

Dynaiczne listy dostępu – przykład

Username uzyt password Cisco

Interface Serial 0

Ip address 172.16.0.1 255.255.255.0

Ip Access-group 101 in

Access-list 101 permit tcp Any host 172.16.0.1 eq telnet

Access-list 101 dynamic test 30 permit ip any any

Line vty 0 2

Login local

Autocommand access-enable host timeout 5

Line vty 3 4

Login local

Rotary 1

SHOW IP Access-list !!!!! pokazuje obowiÄ…zujÄ…ce access-listy na routerze

Dynamiczne listy dostępu niedostatki

AD 2.

Obsługujące harmonogramy

Absolute start pocz end koniec

Absolute start 17:00 end 7:00

Ablostute start 13:00 23 December 2006 end 7:30 2 January 2007

Absolute end 7:30 2 January 2007

Określenie przedziału powtarzalnego

Periodic dz_tyg GG:mm to dz_tyg gg:mm

Format godzin : 24 godziny

Format dz_tyg

Angielska nazwa dnia tygodnia kombinacja dni tygodnia

Daily Codziennie

Username uzyt password Cisco

Interface Serial 0

Ip address 172.16.0.1 255.255.255.0

Ip Access-group 101 in

Access-list 101 permit tcp Any host 172.16.0.1 eq telnet

Time –range mój_czas

Absolute start &:00 1 October 2006 end 30 June 2007

Periodic weekdays *:00 to 15:30

Access-list 101 dynamic test 30 permit ip any any time-range moj_czas log

Line vty 0 2

Login local

Autocommand access-enable host timeout 5

Line vty 3 4

Login local

Rotary 1


Wyszukiwarka