Lab 5 - student 20100415 zabielski, Sieci Komputerowe


Wykonawcy:

Tworzenie lokalnych sieci z dostępem do Internetu z wykorzystaniem
routera D-Link DI-604

Instrukcja obsługi routera D-Link DI-604 znajduje się na płycie dostarczonej z routerem. Przed rozpoczęciem zajęć należy wprowadzić fabryczną konfigurację Routera.

Po podłączeniu się przeglądarką internetową do routera należy bez zmieniania czegokolwiek zapoznać się z poszczególnymi ekranami konfiguracyjnymi i odpowiedzieć na pytania:

Jaki adres MAC ma router od strony WAN?

00-0D-88-05-9A-51

Czy włączona jest usługa DHCP?

TAK

Czy poprawnie jest ustalona data
i godzina?

Jeżeli nie to należy dane poprawić.

NIE, z powodu ograniczeń routera ustawiona data i godzina: 15.04.2007 r., godz. 10:10

Czy w dzienniku zdarzeń znajdują się wpisy?

Jeżeli tak, to należy je usunąć.

TAK, wpisy usunięto

Gdzie można sprawdzić ilość przesłanych pakietów?

Menu Status->Stats

Jaka jest wersja Firmware?

3.01, Sep 05 2003

Konfiguracja sieci testowej.

1. Trzy komputery należy podłączyć do gniazd LAN, a do portu WAN kabel łączący z innym routerem (wykorzystać koncentrator lub switch - umożliwi to podłączenie do sieci publicznej (WAN) komputera.

Jakimi kablami należy wykorzystać do połączenia dwóch routerów między sobą, a jakimi komputery do routera?

Odpowiedź: Do połączenia dwóch routerów między sobą należy wykorzystać kabel scrossowany, natomiast dla połączenia między komputerem a routerem - kabel prosty.

2. Interfejs WAN powinien otrzymać adres z sieci 195.112.1.0/24:

3. (a) Dwa komputery w sieci LAN powinny otrzymywać adresy IP dynamicznie z zakresu 192.168.0.20 - 40. Usługa DHCP powinna rezerwować adresy na czas dwóch godzin. Trzeci komputer ma mieć skonfigurowany adres statycznie.

(b) Skonfigurować komputery tak, aby pobierały adresy z puli DHCP. Po otrzymaniu adresów wyłączyć jeden z nich i w jego miejsce podłączyć inny komputer skonfigurowany do dynamicznego pobierania adresu IP. Jaki adres otrzymał? Czy rezerwacja działa poprawnie?

Uwaga: W celu wymuszenia przydziału adresu należy użyć polecenia ipconfig /release (zwolnienie adresu), ipconfig /renew (prośba o nowy adres).

Wnioski: Kolejny podłączony do routera komputer otrzymał adres 192.168.0.34. Ponadto, wcześniej zwolniony adres (192.168.0.35) pozostał w puli adresów zajętych. Wynika to z faktu ustawionego czasu dzierżawienia adresu na dwie godziny.

(c) Adres 192.168.0.23 z puli adresów do dynamicznego przydzielania należy przypisać do konkretnego adresu MAC komputera, który nie jest podłączony do tego routera. Należy przeprowadzić test mający na celu stwierdzenie, czy dany adres IP może być przydzielony innemu komputerowi. Test może polegać na przyłączeniu kolejnych komputerów do sieci LAN. Jakie adresy zostały przydzielone podłączanym komputerom?

Wnioski: W podanym punkcie pula adresów została zawężona do dwóch adresów: 192.168.0.23 oraz 192.168.0.24. Pierwszy adres został dodatkowo zapisany jako adres statyczny. Następnie próbowano podłączyć dwa dowolne komputery do skonfigurowanego w ten sposób routera. O ile jeden z nich otrzymał adres IP, o tyle drugi z komputerów nie dostał przydzielonego przez serwer DHCP adresu. Spowodowane jest to faktem, iż ustawienia statycznych adresów IP mają wyższy priorytet niż ustawienia dynamicznej puli adresów. Tym samym komputer drugi, nie mają c ustalonego konkretnego, statycznego adresu 192.168.0.23 nie mógł dostać żadnego z nich, z racji wyczerpania puli adresów dynamicznych. Należy zatem pamiętać o priorytetach konfiguracji adresów w momencie ustawiania sieci, gdyż nieznajomość tego faktu, może sprawiać problemy w wystarczającym przydzielaniu adresów wszystkim komputerom w sieci.

4. Z komputera 192.168.0.23 należy zrobić strefę zdemilitaryzowaną (DMZ).

Udostępnić na nim serwer FTP lub Telnet. Następnie spróbować połączyć się z udostępnioną usługą z komputera podłączonego do sieci WAN. Na jaki adres IP trzeba się łączyć chcąc skorzystać z udostępnionych usług?

Wnioski: Ponieważ usługa DMZ umożliwia przekierowanie ruchu z adresu routera na skonfigurowany przez usługę adres IP, komunikacja komputerów zewnętrznych, za pośrednictwem routera, następuje w rzeczywistości z komputerem o adresie 192.168.0.23. Pamiętać jednak należy o tym, że komputery zewnętrzne celem połączenia się z serwerem FTP na komputerze należącym do strefy zdemilitaryzowanej wykorzystując adres IP routera.

5. Należy wyłączyć DMZ, a z komputerem ze statycznym adresem skojarzyć wirtualny serwer FTP lub Telnetu. Na routerze należy zrobić przekierowanie portu 21 (lub 23 - zależnie od usługi) do tego komputera. Sprawdzić łączność, jeżeli wszystko działa należy zamienić w konfiguracji wirtualnego serwera przekierowanie portów z 21 → 21 (23 → 23) na 40 → 21 (40 → 23). Sprawdzić łączność z usługą. W jakim celu mogą być wykorzystane tego typu przekierowania?

Wnioski: Wykonując przekierowanie portu 21 na port 21 komputera o adresie IP 192.168.0.23 umożliwiliśmy zewnętrznym komputerom komunikację z usługą FTP na tymże komputerze. Uzyskaliśmy, w sensie połączenia z serwerem FTP, analogiczny efekt jak przy uruchomieniu usługi DMZ. Następnie dokonano przekierowania portu publicznego 40 na port 21 rozpatrywanego komputera. Zewnętrzne komputery mają możliwość podłączenia się do serwera FTP znajdującego się pod adresem 192.168.0.23 dopiero gdy jawnie zdefiniujemy port na 40. Wynika to z faktu, że w poprzednim przypadku komputery zewnętrzne korzystały z domyślnego portu usługi FTP (21).

Przekierowania tego typu mogą pomóc zarówno w ograniczaniu komunikacji z usługami jak i w zapewnieniu bezpieczeństwa sieci. Przekierowując porty, możemy uchronić się przed atakami z zewnątrz, uruchamiając poszczególne usługi na niestandardowych portach. Trzeba mieć jednak na uwadze fakt, że dezorientujemy wtedy nie tylko potencjalnych atakujących, ale również i klientów korzystających z usługi, gdyż muszą oni wtedy posiadać wiedzę o tym, na jakim porcie innym niż domyślny działa pożądana usługa.

5.Poprzez filtrowanie pakietów zablokować jednemu z komputerów LAN dostęp do sieci zewnętrznej.

Wnioski: Wykorzystując MAC Filters w zakładce Filters w menu Advance zablokowaliśmy dostęp jednego komputera do sieci zewnętrznej. Komputer ten ma nadal dostęp do sieci wewnętrznej - potwierdziliśmy to korzystając z polecenia ping.

6. Połączyć systemy dwóch grup ze sobą. Należy sprawdzić komunikację komputerów sieci wew. jednej grupy z usługami uruchomionymi przez drugą grupę. W trakcie przesyłania danych należy na komputerze podłączonym do sieci WAN przechwycić transmisję (np. programem Wireshark) i sprawdzić, jak zaadresowane są pakiety.

Wnioski:......................................................................................................................

Działanie routera skonfigurowanego wg poszczególnych punktów należy przedstawić prowadzącemu zajęcia.