Применение межсетевого экрана D-Link DFL-860E для безопасности компьютерных сетей 9785703850220

Рассмотрены программно-аппаратные средства обеспечения безопасности компью- терных сетей на примере межсетевых экранов и

104 53 34MB

Russian Pages 244 Year 2019

Report DMCA / Copyright

DOWNLOAD FILE

Применение межсетевого экрана D-Link DFL-860E для безопасности компьютерных сетей
9785703850220

Author / Uploaded
А.В. Пролетарский
А.Д. Пономарев
А.А. Митьковский
Е.В. Смирнова
Е.А. Ромашкина
М.А. Захаров

Categories
Computers
Networking

Table of contents :
primenenie_mezsetevogo_ekrana_d-link_dfl-860e_dla_bezopasnosti_komputernyh_setej_1-20
primenenie_mezsetevogo_ekrana_d-link_dfl-860e_dla_bezopasnosti_komputernyh_setej_21-40
primenenie_mezsetevogo_ekrana_d-link_dfl-860e_dla_bezopasnosti_komputernyh_setej_41-60
primenenie_mezsetevogo_ekrana_d-link_dfl-860e_dla_bezopasnosti_komputernyh_setej_61-80
primenenie_mezsetevogo_ekrana_d-link_dfl-860e_dla_bezopasnosti_komputernyh_setej_81-100
primenenie_mezsetevogo_ekrana_d-link_dfl-860e_dla_bezopasnosti_komputernyh_setej_101-120
primenenie_mezsetevogo_ekrana_d-link_dfl-860e_dla_bezopasnosti_komputernyh_setej_121-140
primenenie_mezsetevogo_ekrana_d-link_dfl-860e_dla_bezopasnosti_komputernyh_setej_141-160
primenenie_mezsetevogo_ekrana_d-link_dfl-860e_dla_bezopasnosti_komputernyh_setej_161-180
primenenie_mezsetevogo_ekrana_d-link_dfl-860e_dla_bezopasnosti_komputernyh_setej_181-200
primenenie_mezsetevogo_ekrana_d-link_dfl-860e_dla_bezopasnosti_komputernyh_setej_201-222
primenenie_mezsetevogo_ekrana_d-link_dfl-860e_dla_bezopasnosti_komputernyh_setej_223-244

Citation preview

Федеральное государственное бюджетное образовательное учреждение высшего образования «Московский государственный технический университет имени Н.Э. Баумана (национальный исследовательский университет)»

Применение межсетевого экрана D-Link DFL-860E для безопасности компьютерных сетей Учебно-методическое пособие

УДК 621.3.038 ББК 32.973.202 П76 Издание доступно в электронном виде по адресу ebooks.bmstu.press/catalog/255/book1953.html Факультет «Информатика и системы управления» Кафедра «Компьютерные системы и сети» Рекомендовано Научно-методическим советом МГТУ им. Н.Э. Баумана в качестве учебно-методического пособия Авторы: А.В. Пролетарский, А.Д. Пономарев, А.А. Митьковский, Е.В. Смирнова, Е.А. Ромашкина, М.А. Захаров

Применение межсетевого экрана D-Link DFL-860E для безопасноП76 сти компьютерных сетей : учебно-методическое пособие / [А. В. Проле тарский и др.]. — Москва : Издательство МГТУ им. Н. Э. Баумана, 2019. — 241, [3] с. : ил. ISBN 978-5-7038-5022-0 Рассмотрены программно-аппаратные средства обеспечения безопасности компьютерных сетей на примере межсетевых экранов и интернет-маршрутизаторов D-Link, а также обзор базовых протоколов и функций, обеспечивающих работоспособность и безопасность сетей. Приведено описание основных элементов управления межсетевых экранов D-Link серии NetDefend. Для студентов, обучающихся по специальностям, связанным с сетевыми технологиями.

УДК 621.3.038 ББК 32.973.202

 МГТУ им. Н.Э. Баумана, 2019  Оформление. Издательство ISBN 978-5-7038-5022-0 МГТУ им. Н.Э. Баумана, 2019

Предисловие Настоящее учебно-методическое пособие соответствует программе изучения дисциплины «Глобальные сети». В издании рассмотрены программно-аппаратные средства обеспечения безопасности компьютерных сетей на примере межсетевых экранов D-Link и приведен обзор базовых протоколов и функций, обеспечивающих работоспособность и безопасность сетей. Целью данного учебного издания является формирование практических навыков у обучающихся для самостоятельного конфигурирования межсетевых экранов D-Link. В каждой лабораторной работе приведены краткие теоретические сведения, указан порядок выполнения работы и даны контрольные вопросы. Лабораторные работы выполняют последовательно. Перед началом работ необходимо ознакомиться с информацией, представленной в приложениях. В приложении 1 приведены требования к содержанию отчета о лабораторной работе, в приложении 2 дана инструкция по возврату к заводским настройкам по умолчанию межсетевого экрана D-Link. После изучения материала методических указаний студенты будут знать основные принципы построения и эксплуатации защищенных компьютерных сетей на базе межсетевых экранов D-Link, овладеют навыками по настройке.

https://t.me/it_boooks

Работа № 1 Подключение и основные настройки межсетевого экрана D-Link DFL-860E Цель работы — ознакомление пользователей с основными командами для настройки, контроля и управления межсетевым экраном D-Link с помощью Web- и CLI-интерфейсов. Объем работы: 4 ч.

Основные теоретические сведения По мере того как бизнес-процессы становятся все более зависимыми от сетевой инфраструктуры, капиталовложения в решения по безопасности становятся все более значимыми. D-Link представляет межсетевые экраны (МСЭ) серии NetDefend нового поколения, являющиеся комплексным решением по обеспечению безопасности сетей предприятий. Серия NetDefend учитывает растущие требования, предъявляемые к сетевой безопасности, защите от атак хакеров, вирусным угрозам и повышению конфиденциальности информации. Каждый МСЭ этой серии обеспечивает высокий процент возврата инвестиций благодаря поддержке широкого набора функций, гибкой настройке и высокому уровню защиты сетевой инфраструктуры. Устройства серии NetDefend представляют собой законченное решение в области безопасности, включающее встроенную поддержку МСЭ, балансировки нагрузки, функций отказоустойчивости, механизма Zone-Defense, фильтрации содержимого, аутентификации пользователей, блокировки «мгновенных» сообщений и приложений Р2Р, защиты от атак «отказ в обслуживании» DoS. Межсетевые экраны D-Link предоставляют администраторам сетей решение безопасности «все в одном» business-класса, обеспечивая высокий уровень защиты. Для того чтобы минимизировать влияние аварийной ситуации на всю сеть, МСЭ серии NetDefend поддерживают специальную функцию Zone-Defense. Она представляет собой механизм, позволяющий работать с коммутаторами локальных сетей D-Link и обеспечивающий активную сетевую безопасность. Функция Zone-Defense автоматически изолирует инфицированные компьютеры сети и предотвращает распространение ими вредоносного трафика. Все МСЭ серии NetDefend поддерживают удаленное управление через Web-интерфейс или выделенное соединение. Они включают набор функций для мониторинга и поддержания состояния и безопасности сети, в том числе отправку уведомлений по e-mail, ведение журнала системных событий и предоставление статистики в режиме реального времени. Эти функции наряду с возможностью обновления программного обеспечения гарантируют, что МСЭ сможет предоставить максимальную производительность и безопасность для сети. Операционная система D-Link NetDefendOS является основным программным обеспечением, которое используется для управления МСЭ D-Link 4

с расширенным функционалом. Разработанная как сетевая операционная система, NetDefendOS обеспечивает широкую полосу пропускания с высокой надежностью и малым шагом изменения полосы. В отличие от продуктов, использующих стандартную операционную систему, например Unix или Microsoft Windows, NetDefendOS обеспечивает бесшовную интеграцию всех подсистем, подробный контроль над всеми функциями и снижение риска атак. Web-интерфейс Система NetDefendOS поддерживает встроенный Web-интерфейс, также известный как Web-интерфейс пользователя (WebUI). Данный интерфейс графического управления доступен через стандартный Web-браузер (рекомендуется Internet Explorer, Chrome или Firefox). Браузер подключается к одному из Ethernet-интерфейсов оборудования с помощью протокола HTTP или HTTPS, и система NetDefendOS выступает в роли Web-сервера, позволяя использовать Web-страницы в качестве интерфейса управления. Главная страница Web-интерфейса состоит из трех основных разделов: 1) строка меню — расположена в верхней части Web-интерфейса, содержит кнопки и выпадающее меню, предназначенные для выполнения задач настроек, а также для использования различных инструментов и просмотра страниц статуса. Строка меню включает в себя следующие компоненты: •• Home — возврат на главную страницу Web-интерфейса; •• Configuration — изменение настроек МСЭ; •• Tools — инструменты для обслуживания системы; •• Status — страницы различного статуса, используемые для диагностики системы; •• Maintenance — опции по обслуживанию МСЭ; 2) навигатор — расположен в левой части Web-интерфейса, содержит настройки системы, отображенные в виде древовидного меню. Меню состоит из разделов, каждый из которых соответствует основным структурным блокам настроек. Меню может быть расширено при добавлении дополнительных разделов; 3) главное окно — содержит настройки и детали статуса в соответствии с разделом, выбранным в навигаторе или строке меню. Консольный интерфейс Система NetDefendOS предоставляет интерфейс командной строки (CLI) администраторам, которые предпочитают или которым требуется использование командной строки или более тщательное управление системными настройками. Интерфейс командной строки CLI доступен локально через серийный консольный порт или удаленно через Ethernet-интерфейс с применением протокола Secure Shell (SSH) клиента SSH. CLI предоставляет комплексный набор команд, обеспечивающих отображение и изменение информации по настройкам, а также отображение данных работы системы и выполнение задач обслуживания системы. 5

Наиболее часто используемые команды CLI: •• add — добавление объекта, например IP-адреса, или правила в настройки межсетевого экрана; •• set — установка какого-либо свойства объекта в качестве значения. Например, установка может использоваться для настройки интерфейса источника в IP-правиле; •• show — отображение текущих категорий или значений объекта; •• delete — удаление определенного объекта. Как правило, команды CLI обычно начинаются со структуры

где определяет тип объекта, что необходимо для идентификации категории объекта, к которой относится имя объекта. Например, для отображения IP-адреса объекта my_address используется команда DFL-860E:/> show Address IP4Address my_address

Кроме того, МСЭ D-Link предоставляют функцию tab completion, преимуществом которой является отображение автоматического завершения команды или параметра данных возможными значениями. Это выполняется нажатием клавиши «tab» после ввода начального символа. Например, если при наборе незаконченной команды set Add нажать клавишу «tab», в командной строке автоматически отобразится set Address. Если при наборе любой команды необходимо уточнить возможности ввода значений IP-адресации, нужно ввести символ «=» (равно) и нажать «tab»: set Address IP4Address lan_ip Address=

В командной строке отобразится: add Address IP4Address lan_ip Address= Type: IP4Address Description: IP address, e.g. "172.16.50.8", "192.168.30.7,192.168.30.11", "192.168.7.0/24" or "172.16.25.10-172.16.25.50".

Для некоторых категорий сначала необходимо выбрать элемент данной категории (например, тип IP4Address принадлежит категории Address) с помощью команды cc (change category — изменение категории) до того, как отдельные объекты могут быть обработаны. Например, если существует более одной таблицы маршрутизации, то при добавлении или управлении маршрутом прежде всего необходимо использовать команду cc для идентификации именно той таблицы маршрутизации, которая требуется. Предположим, что main — таблицa маршрутизации, в которую необходимо добавить маршрут. Для этого необходимо выполнить команду cc RoutingTable main. После выполнения команды в командной строке отобразится выбранная категория: DFL-860E:/main>

Для отмены категории применяется команда cc: DFL-860E:/main> cc DFL-860E:/>

Иногда определенным параметрам присваивается несколько значений. Например, некоторые команды используют параметр AccountingServers, и данно-

6

му параметру можно присвоить более одного значения, разделяя их запятой. Например, если необходимо определить три сервера server1, server2, server3, назначение параметра в команде будет следующим: AccountingServers=server1,server2,server3

Порядок правил, определенный в списках, например набор IP-правил, является крайне важным. С помощью команды add, используемой CLI, по умолчанию добавляется новое правило в конец списка. Если размещение правила на определенной позиции в списке является критичным, команда add может включить параметр Index= в качестве опции. Вставка на первую позицию в списке определяется с помощью параметра Index=1 в команде add, на вторую позицию — с помощью параметра Index=2 и т. д. Следует обратить внимание на то, что если в текущих настройках с помощью CLI выполнены какие-либо изменения, данные изменения не будут загружены в МСЭ, пока не будет выполнена команда activate. Через 3–5 с после ввода команды activate должна быть выполнена команда commit для применения изменений. Если в течение 30 с (время по умолчанию) не выполнена команда commit, сделанные изменения автоматически отменяются и происходит восстановление прежней конфигурации. Для отображения списка проблем, связанных с изменениями настроек, используется команда show-errors. Характеристика межсетевого экрана D-Link DFL-860E Межсетевой экран D-Link DFL-860E оснащен двумя WAN-портами, одним DMZ-портом, восемью LAN-портами и одним портом подключения к консольному интерфейсу. Использование двух WAN-портов, как правило, применяется в случае обеспечения доступа в Интернет через двух интернет-провайдеров. В табл. 1.1 приведены настройки по умолчанию для всех интерфейсов МСЭ. Таблица 1.1 Интерфейс

Имя интерфейса по умолчанию

Тип интерфейса по умолчанию

IP-адрес интерфейса по умолчанию

0.0.0.0/0

Статус DHCP по умолчанию

WAN1

WAN1

DHCP-клиент

Включен

WAN2

WAN2

Статический IP

192.168.120.254/24 Выключен

DMZ

dmz

Статический IP

172.17.100.254/24

Выключен

Ports: 1~8

lan

Статический IP

192.168.10.1/24

Выключен

В целях безопасности по умолчанию Web-управление включено только на LAN-интерфейсе (192.168.10.1), через который может быть осуществлен доступ к Web-интерфейсу посредством Web-браузера с использованием протокола HTTPS. Эти настройки могут быть изменены после входа в Web-интерфейс. Также стоит отметить, что интерфейсы WAN1 и WAN2 не поддерживают автоматическое определение полярности кабеля MDI/MDI-X (тип кабеля Straightthrough или Crossover). 7

Настройка времени и даты Мир разделен на часовые пояса. Городом со средним временем по Гринвичу (Greenwich Mean Time, GMT) считается Лондон, где проходит нулевой меридиан, принимаемый в качестве основного часового пояса. Все остальные часовые пояса расположены к востоку и западу от нулевого меридиана и в зависимости от этого к GMT прибавляется или отнимается определенное целое число часов. Все объекты, расположенные в данном часовом поясе, будут иметь одно местное время, смещенное от GMT на целое число. Установка часового пояса в системе NetDefendOS происходит с учетом физического расположения МСЭ NetDefend. Многие регионы переходят на летнее время (Daylight Saving Time, DST), т. е. часы переводятся на летний период. Проблемой является то, что переход на летнее время в каждой стране, а иногда и в одной стране, осуществляется по разным правилам. По этой причине система NetDefendOS не может автоматически переходить на летнее время. Данная информация вводится вручную при условии, что будет использоваться переход на летнее время. Существует два параметра, определяющих переход на летнее время: DST-период и DST-смещение. DST-период отвечает за начало и окончание летнего времени, а DST-смещение определяет, на какое количество часов смещено летнее время. Настройка удаленного доступа по SSH Протокол SSH используется для организации безопасного входа в удаленную систему и организации иных безопасных служб через сети, которые не обеспечивают безопасность. Протокол включает три основных компонента: 1) [SSH-TRANS]-протокол транспортного уровня — обеспечивает аутен тификацию серверов, конфиденциальность и целостность, а также сжатие информации. Транспортный уровень работает в основном с использованием соединений TCP/IP, но может быть реализован и на базе иных потоков данных с гарантированной доставкой; 2) [SSH-USERAUTH]-протокол аутентификации пользователей — используется на серверах для проверки полномочий клиентов. Этот протокол работает на основе протокола транспортного уровня; 3) [SSH-CONNECT]-протокол соединений — обеспечивает мультиплексирование шифрованного туннеля в несколько логических каналов и работает поверх протокола аутентификации пользователей. Клиент передает один запрос на обслуживание в процессе организации защищенного соединения на транспортном уровне. Другой запрос на обслуживание передается после успешной проверки полномочий клиента. Такое решение дает возможность создания новых протоколов и их совместного применения с перечисленными выше протоколами. Протокол соединений поддерживает каналы, которые могут использоваться для решения целого ряда задач, а также стандартные методы для организации защищенных shell-сессий и перенаправления («туннелирования») произвольных портов TCP/IP. 8

Настройка управления МСЭ с помощью протоколов HTTP и HTTPS Для получения информации с Web-сайтов используется протокол HTTP (HyperText Transfer Protocol). Это протокол прикладного уровня передачи данных, который повсеместно применяется в World Wide Web (WWW). Протокол HTTP функционирует по принципу запрос — ответ. При этом предполагается наличие клиентов, которые инициируют соединение и посылают запрос, а также серверов, которые ожидают соединения для получения запроса, выполняют необходимые действия и возвращают обратно сообщение с результатом. Протокол HTTP обладает рядом особенностей, так как существует большое количество различных Web-сайтов и типов файлов, которые можно загрузить с его помощью. Для повышения безопасности при передаче данных применяется протокол HTTPS (HTTP Secure — защищенный HTTP), в котором для шифрования данных используются транспортные механизмы SSL и TLS. Протокол HTTPS обеспечивает защиту от снифферских атак и атак типа man-in-the-middle при условии, что будут применяться шифрующие средства, сертификат сервера проверен и ему доверяют. В МСЭ D-Link протокол HTTPS используется для обеспечения защиты коммуникации.

Порядок выполнения лабораторной работы и задания Лабораторная работа состоит из трех частей. Часть 1 посвящена базовой настройке МСЭ с использованием Web-интерфейса, часть 2 — с использованием CLI-интерфейса, часть 3 — выполнению самостоятельных заданий. Часть 1. Базовые настройки межсетевого экрана с использованием Web-интерфейса Задание 1. Настройка времени и даты на МСЭ Соберите схему, представленную на рис. 1.1. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ. Настройте сетевое подключение на рабочей станции. Получите доступ к Web-интерфейсу МСЭ. Установите актуальные дату и время.

Рис. 1.1. Схема подключения рабочей станции к МСЭ

9

Порядок выполнения задания 1. Шаг 1. Подключение МСЭ. Подключите МСЭ к розетке питания. Для первоначальной конфигурации устройства подсоедините рабочую станцию (компьютер) к одному из LAN-интерфейсу МСЭ. Шаг 2. Настройка рабочей станции для управления МСЭ. По умолчанию Web-управление МСЭ включено только на LAN-интер фейсе с адресом 192.168.10.1. Именно через этот интерфейс оператор с рабочей станции может получить доступ к Web-оболочке МСЭ. Очевидно, что для успешного подключения к Web-интерфейсу рабочая станция и МСЭ должны находиться в одной подсети. Так как изначальный адрес LAN-интерфейса МСЭ уже задан (192.168.10.1), необходимо присвоить рабочей станции адрес в диапазоне 192.168.10.2– 192.168.10.255. Задайте сетевые настройки. Для операционной системы Microsoft Windows XP: Пуск → Настройка → Сетевые подключения → Подключение по локальной сети → Свойства → Протокол интернета TCP/IP → Свойства → → Использовать следующий IP-адрес. Для операционной системы Microsoft Windows Vista/Windows 7: Пуск → Панель управления → Центр управления сетями и общим доступом → Изменение параметров адаптера → Подключение по локальной сети → → Свойства → Протокол интернета TCP/IPv4 → Свойства → Использовать следующий IP-адрес. Для удобства выберите следующие значения статического IP-адреса: IP-адрес: 192.168.10.2 Маска подсети: 255.255.255.0 Основной шлюз: 192.168.10.1

Результат корректных сетевых настроек показан на рис. 1.2.

Рис. 1.2. Сетевые настройки рабочей станции для управления МСЭ

10

Шаг 3. Подключение к Web-интерфейсу МСЭ. Для получения доступа к Web-интерфейсу запустите Web-браузер на рабочей станции и введите адрес https://192.168.10.1. При успешной установке соединения с МСЭ появится диалоговое окно аутентификации пользователя. Введите имя пользователя и пароль, затем нажмите кнопку Login. Имя пользователя по умолчанию (Username) — admin, пароль по умолчанию (Password) — admin. Если учетные данные пользователя корректные, выполняется переход на главную страницу Web-интерфейса (рис. 1.3).

Рис. 1.3. Внешний вид Web-интерфейса МСЭ

Шаг 4. Установка времени и даты. Перейдите в меню System → Date and Time → Set Date and Time и установите время и дату, затем выберите актуальный часовой пояс (для Москвы — GMT+3). Выключите переход на летнее время, убрав галочку Enable daylight saving time. В случае необходимости перехода на летнее время настройте параметры Offset (переход на дневное время в минутах), Start Date и End Date (DST-начало и окончание месяца и дня, формат MM-DD). Результат ввода значений представлен на рис. 1.4. Шаг 5. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 6. Проверка результатов. Проверьте, что дата и время на МСЭ были успешно установлены. 11

Рис. 1.4. Меню установки времени, даты и часового пояса

Задание 2. Настройка удаленного управления МСЭ по протоколу SSH Соберите схему, представленную на рис. 1.5. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ, рабочая станция для удаленного управления МСЭ через Интернет — к WAN2-интерфейсу МСЭ. Настройте возможность доступа к МСЭ по протоколу SSH. Подключитесь с рабочей станции к МСЭ по протоколу SSH.

Рис. 1.5. Схема подключения рабочих станций к МСЭ

Порядок выполнения задания 2. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Создание объекта SSH Management. Зайдите в меню System → Remote management → Add → SSH Management и введите параметры, приведенные в табл. 1.2. 12

Таблица 1.2 Имя объекта

Значение

Комментарий

Name

My_ssh_manage Имя для политики удаленного управления по SSH-протоколу Listening Port 22 Прослушивание соединения на TCP-порту 22 Maximum 5 Максимальное количество одновременных Concurrent Users подключений Session Idle Timeout 1800 Время сохранения сессии при неактивности пользователя Login Grace Timeout 30 Время ожидания авторизации Greeting Message Hello! Приветственное сообщение Maximum Authen 3 Максимальное количество попыток аутентиtification Retries фикации Password Использование пароля для аутентификации ✔ Public Key Использование криптосистемы с открытым ✔ ключом для аутентификации Host Key Algorithms Выберите Выбор протокола аутентификации сторон все доступные при SSH-соединении на основе алгоритмов электронно-цифровой подписи RSA или DSA Key Exchange Выберите все Алгоритмы шифрования передаваемых Algorithms доступные данных Integrity Algorithms Выберите все Алгоритмы целостности передаваемых доступные данных User Database AdminUsers База данных, содержащая в себе пользователей, которым разрешен доступ по SSH Access Level Admin Уровень привилегий пользователей, которым разрешен доступ по SSH Interface WAN2 Предоставление удаленного доступа для выбранного интерфейса Network all-nets Предоставление удаленного доступа для выбранной сети

Результаты ввода приведены на рис. 1.6.

Рис. 1.6. Настройка SSH Management на МСЭ

13

Шаг 3. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 4. Проверка результатов. Проверьте работоспособность SSH-соединения. Для этого на рабочей станции для удаленного управления МСЭ (192.168.120.2) запустите программу Putty. В настройках Putty введите параметры, приведенные в табл. 1.3. Таблица 1.3 Имя объекта

Hostname Port Connection Type

Значение

192.168.120.254 22 SSH

Комментарий

Имя или IP-адрес хоста для подключения Номер порта на хосте для подключения Тип подключения

Результаты ввода значений представлены на рис. 1.7. Для подключения по SSH нажмите кнопку Open внизу формы (см. рис. 1.7). После подключения по протоколу SSH зарегистрируйтесь в системе (рис. 1.8). По умолчанию имя пользователя — admin, пароль — admin.

Рис. 1.7. Настройка Putty

14

Рис. 1.8. Успешное подключение к МСЭ по протоколу SSH

Задание 3. Настройка удаленного управления МСЭ с помощью протоколов HTTP/HTTPS Соберите схему, представленную на рис. 1.5. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ, рабочая станция для удаленного управления МСЭ через Интернет — к WAN2-интерфейсу МСЭ. Получите доступ к Web-интерфейсу МСЭ при использовании протоколов HTTP/HTTPS. Порядок выполнения задания 3. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Настройка управления по протоколам HTTP/HTTPS. Зайдите в меню System → Remote Management → Add → HTTP/HTTPS Management и введите параметры настройки объекта my_http_manage, указанные в табл. 1.4. Таблица 1.4

Имя объекта

Name HTTP HTTPS UserDatabase

Значение

Имя объекта

My_http_manage AccessLevel Interface ✔ Network ✔ AdminUsers

Значение

Admin Wan2 All-nets

Результаты ввода параметров представлены на рис. 1.9.

Рис. 1.9. Настройка объекта my_http_manage

15

Следует иметь в виду, что существует два уровня доступа для МСЭ — Admin и Audit. В режиме аудита настройки МСЭ можно просматривать, но нельзя изменять. Шаг 3. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 4. Проверка результатов. Убедитесь, что с рабочей станции, подключенной к WAN2-интерфейсу (192.168.120.2), возможно подключение к МСЭ по протоколу HTTPS. Для проверки перейдите на адрес https://192.168.120.254 (IP-адрес WAN2-интерфейса по умолчанию). Результаты подключения представлены на рис. 1.10.

Рис. 1.10. Успешное подключение к МСЭ по протоколу https

Часть 2. Базовые настройки межсетевого экрана с использованием CLI-интерфейса Задание 1. Установка пароля на консольный интерфейс Соберите схему, представленную на рис. 1.11. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ. Получите доступ к CLI-интерфейсу МСЭ. Установите пароль на консольный интерфейс.

Рис. 1.11. Схема подключения рабочей станции к МСЭ

16

Порядок выполнения задания 1. Шаг 1. Подключение МСЭ. Подключите МСЭ к розетке питания. Для первоначальной конфигурации устройства через CLI-интерфейс подсоедините рабочую станцию к серийному консольному порту МСЭ. Шаг 2. Получение доступа к интерфейсу командной строки МСЭ. Для подключения к интерфейсу командной строки CLI подключите рабочую станцию к серийному консольному порту МСЭ. Затем запустите программу Putty. В открывшемся окне выберите порт COM1 (установлен по умолчанию), скорость 9600 и тип подключения Serial, далее нажмите Open, после чего откроется консоль управления МСЭ. Результаты выполнения этого шага представлены на рис. 1.12.

Рис. 1.12. Настройки Putty

Шаг 3. Установка пароля на консольный интерфейс. По умолчанию авторизация в системе с использованием командной строки отключена. Очень важно задать пароль на консоли в процессе первоначальной конфигурации устройства, иначе при наличии физического доступа к консольному порту любой человек сможет зайти на МСЭ без авторизации. Следует отметить, что пароль, назначенный на консольном интерфейсе, не влияет на авторизацию через Web-интерфейс. 17

Установка пароля на консольный интерфейс осуществляется в меню загрузки (Boot Menu), которое доступно только через консоль устройства, подключенного непосредственно к консольному порту МСЭ. Для перехода в меню загрузки включите МСЭ, затем после вывода сообщения Press any key to abort and load boot menu (нажмите любую кнопку для прерывания или загрузки меню загрузки) выполните это указание. В меню консоли доступны следующие разделы: •• Start firewall — обеспечивает запуск программного обеспечения на МСЭ; •• Reset unit to factory defaults — обеспечивает сброс устройства к заводским настройкам по умолчанию. При выборе данной опции удаляется пароль на доступ к консоли, восстанавливаются параметры по умолчанию в соответствии с конфигурацией по умолчанию; •• Revert to default configuration — восстанавливает только конфигурацию по умолчанию, что не влияет на остальные опции, например безопасность консоли; •• Set console password — устанавливает пароль для доступа к консоли. Для удаления консольного пароля при выборе данной опции оставьте поле пароля незаполненным и нажмите клавишу Enter. Для установки пароля на консоль выберите Set Console Password. Меню консоли и установка пароля представлены на рис. 1.13.

Рис. 1.13. Меню консоли и настройка пароля

Шаг 4. Проверка результатов. После установки пароля консоль выполнит запрос пароля прежде, чем будет разрешен доступ к меню загрузки или интерфейсу командной строки (CLI).

Рис. 1.14. Меню авторизации после установки пароля

18

Убедитесь, что после ввода корректного пароля меню консоли будет доступно. Затем выберите Start firewall (рис. 1.14) для запуска межсетевого экрана. После загрузки системы МСЭ проверьте, что будет запрошен пароль для входа в интерфейс командной строки (CLI) (рис. 1.15).

Рис. 1.15. Запрос пароля для входа в CLI

Задание 2. Настройка удаленного управления МСЭ по протоколу SSH Соберите схему, представленную на рис. 1.16. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ, рабочая станция для удаленного управления МСЭ через Интернет — к WAN2-интерфейсу. Настройте удаленный доступ к МСЭ по протоколу SSH.

Рис. 1.16. Схема подключения МСЭ

Порядок выполнения задания 2. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Настройка доступа к МСЭ по протоколу SSH. Создайте объект удаленного управления (add RemoteManagement) при использовании протокола SSH (RemoteMgmtSSH) с именем My_ssh_manage. Настройка справедлива для всех существующих сетей (Network=all-nets), и 19

удаленное управление будет происходить исключительно через WAN2-интерфейс (Interface=WAN2). Управлять МСЭ смогут только пользователи из группы AdminUsers (LocalUserDatabase=AdminUsers). В командной строке введите: DFL-860E:/> add RemoteManagement RemoteMgmtSSH My_ssh_manage Interface=WAN2 Network = all-nets LocalUserDatabase=AdminUsers

Шаг 3. Активизация и подтверждение новых настроек. В командной строке сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 4. Проверка результатов. Проверьте работоспособность SSH-соединения. Для этого на рабочей станции для удаленного управления МСЭ (192.168.120.2) запустите программу Putty. В настройках Putty введите параметры, приведенные в табл. 1.3. Для подключения по SSH нажмите кнопку Open внизу формы. После подключения по SSH зарегистрируйтесь в системе (рис. 1.17). По умолчанию имя пользователя — admin, пароль — admin.

Рис. 1.17. Успешное подключение к МСЭ по протоколу SSH

Задание 3. Настройка удаленного управления МСЭ с помощью протоколов HTTP/HTTPS Соберите схему, представленную на рис. 1.16. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ, рабочая станция для удаленного управления МСЭ через Интернет — к WAN2-интерфейсу. Настройте удаленное управление МСЭ с помощью HTTP и HTTPS. Порядок выполнения задания 3. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Настройка управления по HTTP/HTTPS. Создайте объект удаленного управления (add RemoteManagement) по протоколу HTTP/HTTPS (RemoteMgmtHTTP) с именем My_http_manage. Удаленное управление будет происходить исключительно через WAN2-интерфейс с указанием всех существующих сетей (Network=all-nets). Управлять МСЭ смогут только пользователи из группы AdminUsers как по протоколу HTTP, так и по HTTPS. 20

Powered by TCPDF (www.tcpdf.org)

В командной строке (CLI) введите: DFL-860E:/> add RemoteManagement RemoteMgmtHTTP My_http_manage Interface=WAN2 Network=all-nets LocalUserDatabase=AdminUsers HTTPS=Yes HTTP=Yes

Шаг 3. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 4. Проверка результатов. Убедитесь, что с рабочей станции, подключенной к WAN2-интерфейсу, возможно подключение к МСЭ по протоколу HTTPS. Для проверки перейдите на адрес https://192.168.120.254 (IP-адрес WAN2-интерфейса по умолчанию). Результаты выполнения этого шага представлены на рис. 1.18.

Рис. 1.18. Успешное подключение к МСЭ по протоколу HTTPS

Часть 3. Задания для самостоятельной работы Все задания могут быть выполнены как через Web-интерфейс, так и с помощью CLI-интерфейса. Выполнения заданий двумя способами не требуется. Задание 1. Ограничение числа подключений по SSH Настройте управление МСЭ по SSH для WAN-интерфейса. В качестве Greeting message установите уникальный идентификатор вашей лабораторной группы. Ограничьте максимальное число одновременных подключений до одного. Попробуйте подключиться по SSH с двух рабочих станций. Задание 2. Изменение прав доступа к МСЭ Настройте новое удаленное управление по HTTPS на WAN-интерфейсе. Установите права доступа уровня Audit. Попробуйте изменить настройки МСЭ, используя это подключение. Задание 3. Сохранение конфигурации МСЭ В меню Maintenance → Backup выполните сохранение конфигурации МСЭ. После сохранения конфигурации осуществите сброс МСЭ к заводским 21

настройкам по умолчанию. Затем загрузите конфигурацию на МСЭ и убедитесь, что предыдущие настройки были успешно восстановлены.

Контрольные вопросы и задания 1. Чем управление через Web-интерфейс отличается от консольного интерфейса (CLI)? 2. Чем отличается WAN-интерфейс МСЭ от LAN-интерфейса? Для какой цели используется DMZ-интерфейс? 3. Перечислите варианты удаленного управления МСЭ. 4. Перечислите основные отличия протокола SSH от Telnet. 5. Как выполнить сброс МСЭ к заводским настройкам по умолчанию?

Литература Руководство по эксплуатации D-Link DFL-210/260/260E/800/860/860E/ 1600/2500/2560/2560G. URL: http:/ftp.dlink.ru/pub/FireWall/DEL-860E/Description/ NetdefendOSРуководство%20пользователям.pdf (дата обращения 14 мая 2018 г.). Технологии защиты информации в компьютерных сетях. Межсетевые экраны и интернет-маршрутизаторы / Е.А. Богданова, Н.А. Руденков, А.В. Пролетарский и др. М.: Нац. открытый ун-т «ИНТУИТ», 2013. IETF Tools: RFC 2616 Hypertext Transfer Protocol. URL: https://tools.ietf.org/ html/rfc2616 (дата обращения 14 мая 2018 г.). IETF Tools: RFC 2818 HTTP Over TLS. URL: https://tools.ietf.org/html/rfc2818 (дата обращения 14 мая 2018 г.). IETF Tools: RFC 4253 The Secure Shell (SSH) Transport Layer Protocol. URL: https://tools.ietf.org/html/rfc4253 (дата обращения 14 мая 2018 г.).

Работа № 2 Настройка логических объектов на межсетевом экране D-Link DFL-860E Цель работы — изучение логических объектов, сервисов, интерфейсов и IP-правил МСЭ. Объем работы: 4 ч.

Основные теоретические сведения Для удобства конфигурации и управления правилами безопасности в МСЭ серии DFL используются логические объекты, позволяющие понятно для пользователя именовать различные базовые сетевые элементы устройства (интерфейсы, правила, сервисы, учетные записи пользователей и т. д.). Сервисы представляют собой программы, применяющие сетевые протоколы для обеспечения различных приложений пользователей сети. В МСЭ DFL представлены как физические, так и некоторые логические интерфейсы (VLAN, PPPoE, ARP). Основные функции фильтрации МСЭ определяются IP-правилами. Address Book — совокупность символьных имен различных видов объектов межсетевого экрана (IP-адресов, групп IP-адресов и др.). Address Book МСЭ D-Link позволяет именовать IP-адреса отдельных хостов, сетей, пары мастер — слейв или группы компьютеров и интерфейсов. Сервисы Services (сервисы, службы) — специальные программы на основе определенных протоколов для предоставления различных приложений сетевым пользователям. Большинство приложений зависит от протоколов 7-го уровня модели OSI (Application Layer), передачу данных обеспечивает связка типа протокол/порт. Например, сервис HTTP функционирует на основе протокола TCP и порта 80. Межсетевой экран позволяет создавать свои нестандартные сервисы. При этом сервис не выполняет никакого действия над проходящим трафиком, для этого служат IP-правила. На МСЭ сервисы могут быть сконфигурированы с помощью трех опций: TCP/UDP Service, ICMP Service и IP Protocol Service. Сервис определяется именем, типом протокола и параметрами протокола. Различные сервисы могут быть объединены в группу (Service Group) для упрощения конфигурации политик. Таким образом, администратору нет необходимости конфигурировать каждый сервис отдельно. Группы сервисов (Service Group) позволяют облегчить конфигурацию политик безопасности. Например, для Web-сервера удобно использовать одну группу для протоколов HTTP и HTTPS. Сервисы на основе TCP и UDP. Большинство приложений работает с протоколами TCP и UDP, связанными с номером порта. В МСЭ такие сервисы 23

определяются типом протокола, используемым приложением, и привязываются к конкретному порту или диапазону портов. Для большинства сервисов достаточно только порта назначения, при этом порты источника могут быть любыми (в диапазоне 0–65535). Примеры: HTTP — TCP:80; Telnet — TCP:23; SMTP — TCP:25. Также допускается диапазон портов назначения и диапазон портов источника одновременно. Например, сервис имеет порты источника 1024–65535, порты назначения 80–82, 90–92, 95. Сервисы на основе ICMP. Это протокол, интегрированный с протоколом IP для сообщения об ошибках и передачи контрольной информации. Например, команда PING использует протокол ICMP для проверки сети. Сообщение ICMP доставляется IP-пакетами, каждое сообщение представляет собой отдельный протокол, имеющий свой собственный формат. Изменения формата содержания сообщения зависят от Message Type&Code. Сервисы IP-протоколов, определенных пользователем. Сервисы IP-протокола, функционирующие на уровне приложений и транспортном уровне, можно определить по номеру IP-протокола. Этот протокол может переносить данные различных протоколов, которые имеют уникальный номер, указываемый в соответствующем поле заголовка IP-пакета. Примеры: ICMP — 1; IGMP — 2; EGP — 8. Текущее соответствие номеров IP-протоколов публикуется организацией Internet Assigned Numbers Authority (IANA). В МСЭ сервису можно поставить в соответствие диапазон номеров IP-протоколов. Интерфейсы Интерфейсы (Interfaces) — физические средства осуществления соединений. Они обеспечивают прохождение трафика в сетях. Для контроля трафика во всех направлениях и защиты локальной сети применяют правила безопасности на всех интерфейсах. Межсетевые экраны D-Link поддерживают несколько типов интерфейсов, которые можно разделить на основные группы. 1. Ethernet-интерфейсы. Каждый Ethernet-интерфейс представляет физический Ethernet-порт МСЭ D-Link. Весь сетевой трафик, который либо возникает, либо поступает в МСЭ, будет проходить через один из физических интерфейсов. В настоящее время в МСЭ D-Link поддерживается только один тип физического интерфейса — Ethernet. Ethernet — одна из архитектур LAN, определяемая стандартом IEEE 802.3. В настоящее время это наиболее широко используемый стандарт. Фактически Ethernet-интерфейс представляет собой физический адаптер, применяемый в сетевых устройствах. Настройка Ethernet-интерфейса заключается в задании IP-адреса и других параметров, необходимых для доступности интерфейса на сетевом уровне. При настройке МСЭ все поддерживаемые Ethernet-адаптеры будут пронумерованы и сконфигурированы в процессе установки. Каждый физический Ethernet-адаптер станет Ethernet-интерфейсом, и ему будет присвоено имя в 24

конфигурации межсетевого экрана. Администраторы могут изменять имя и IP-адрес интерфейса после установки. Обычно настройка Ethernet-интерфейса заключается в присвоении ему имени и IP-адреса. IP-адрес интерфейса может быть использован для удаленного управления и задания адреса источника для динамически преобразуемых соединений (dynamically translated connections). Кроме того, IP-адрес может быть опубликован на интерфейсе с помощью ARP для симуляции эффекта интерфейса, имеющего более одного IP-адреса. IP-адрес может быть получен динамически при разрешении DHCP на интерфейсе. 2. Интерфейсы any и core. В МСЭ существует два специальных логических интерфейса core и any. Интерфейс core обозначает «ядро» МСЭ, весь трафик с физических интерфейсов на интерфейс core будет контролироваться политиками безопасности. Интерфейс any представляет собой любой возможный интерфейс, в том числе и core. 3. Sub-Interfaces. Для передачи данных некоторым интерфейсам требуется привязка к основному физическому интерфейсу. Эта группа интерфейсов называется Physical Sub-Interfaces. Межсетевые экраны D-Link поддерживают два типа физических Sub-Interfaces: Virtual LAN (VLAN) и PPPoE (PPP-over-Ethernet). Технология VLAN позволяет управлять логической топологией сети поверх реальных физических соединений. Виртуальные подсети можно объединять в логические группы. Межсетевой экран полностью поддерживает спецификацию IEEE 802.1Q для VLAN, позволяя определять виртуальные интерфейсы поверх физических Ethernet-интерфейсов. Сети VLAN разделяют единый домен широковещательного трафика сети LAN на несколько виртуальных сетей, тем самым уменьшая обычно излишний трафик в сети и повышая защищенность сети. Технология VLAN по спецификации IEEE 802.1Q построена на использовании тегирования Ethernet-фреймов по принадлежности к определенной VLAN. Четырехбитный тег содержит индикатор типа фрейма VLAN (VLAN frame type indicator — 0x8100), идентификатор VLAN (VLAN identifier — VID), три бита приоритета и контрольную информацию. VID состоит из 12 бит данных и позволяет задать 4096 VLAN-подсетей на основе физической сети. При этом VID со всеми нулями и всеми единицами не используется. Межсетевой экран обеспечивает IEEE 802.1Q посредством назначения одного или более VLAN-интерфейсов с уникальным VID для каждого VLAN. При поступлении Ethernet-фреймов на МСЭ определяется соответствие VID и применяется соответствующее правило доставки пакетов. Технология VLAN может быть использована в МСЭ для разделения трафика разных отделов организации или при необходимости увеличения количества логических интерфейсов. В свою очередь, протокол PPPoE представляет собой объединение протоколов PPP и Ethernet. Позволяет авторизовать пользователей в сети Ethernet, которые выходят в Интернет через общий последовательный интерфейс (DSL-линия, кабельный модем или выделенная линия). Сегодня многие крупные провайдеры применяют эту технологию для работы с пользователями. 25

PPPoE при этом позволяет обеспечить безопасность и аутентификацию (привязать IP-адрес к конкретному пользователю), а также раздавать сетевые настройки пользователям автоматически (аналогично DHCP). IP-адресация может быть создана для групп пользователей. Протокол PPP — двухточечный протокол канального уровня (Data Link) сетевой модели OSI. Обычно используется для установления прямой связи между двумя узлами сети, причем он может обеспечить аутентификацию со единения, шифрование и сжатие данных. Применяется на многих типах физических сетей: нуль-модемный кабель, телефонная линия, сотовая связь и т. д. PPP представляет собой целое семейство протоколов: протокол управления линией связи (LCP), протокол управления сетью (NCP), протоколы аутентификации (PAP, CHAP), многоканальный протокол PPP (MLPPP). На канальном уровне PPP определяет механизм инкапсуляции для поддержки мультипротокольных пакетов в IP-сети. Протокол LCP устанавливает, настраивает и проверяет соединение, затем применяется NCP-протокол для передачи трафика, при этом разнородные по принципу построения передачи протоколы могут работать на одном установленном PPP-соединении (например, IP и IPX). При использовании аутентификации в протоколе одна из участвующих в передаче сторон обязательно должна быть идентифицирована перед тем, как будет применяться NCP-протокол. Так как PPPoE работает на Ethernet-интерфейсе, то МСЭ должен использовать один из обычных Ethernet-интерфейсов для создания PPPoE-туннеля. Каждый PPPoE-туннель интерпретируется МСЭ как логический интерфейс, имеющий такие же функции фильтрации, управления трафиком и возможности настройки, как у обычного аппаратного интерфейса. Сетевой трафик, приходящий из PPPoE-туннеля, будет отправляться для обработки набором правил МСЭ. PPPoE использует автоматическое выделение IP-адресов, похожее на DHCP. Получая информацию об IP-адресе от ISP, МСЭ сохраняет ее в сетевом объекте с символьным именем хоста/сети для установления PPP-соединения. Если ISP требует аутентификацию по логину и паролю, то в МСЭ можно задать логин и пароль для аутентификации на PPPoE-сервере. Опция Dial-on-demand позволяет отключать PPPoE-туннель при отсутствии активности в течение определенного времени. 4. Туннельные интерфейсы. Туннельные интерфейсы применяются, когда сетевой трафик передается по туннелю между системой и другим конечным устройством туннеля в сети, прежде чем он маршрутизируется в пункт назначения. VPN-туннели часто используются для реализации виртуальных частных сетей (VPN), которые могут обеспечить безопасное соединение между двумя МСЭ. При выполнении туннелирования к туннелируемому трафику добавляется дополнительный заголовок. Кроме того, в зависимости от типа туннельного интерфейса к сетевому трафику могут быть применены различные преобразования. Например, при маршрутизации трафика через IPsec-интерфейс полезная информация обычно кодируется для достижения конфиденциальности. В межсетевых экранах D-Link поддерживаются следующие типы туннельных интерфейсов: 26

•• IPsec-интерфейсы в качестве конечных точек для VPN IPsec-туннелей; •• PPTP/L2TP-интерфейсы в качестве конечных точек для PPTP/L2TP-туннелей; •• GRE-интерфейсы для установления GRE-туннелей. IP-правила Политики безопасности МСЭ настраиваются администратором для регулирования правил, в соответствии с которыми трафик может проходить через МСЭ DFL. Такие политики описываются с помощью различных наборов правил на основе сервисов, определяющих тип трафика. Трафик, не соответствующий ни одному правилу в наборе IP-правил, отклоняется по умолчанию. Правило состоит из параметров фильтрации и действий, которые следует предпринимать после фильтрации. К параметрам любого правила МСЭ D-Link, в том числе IP-правила, относятся: •• интерфейс источника (Source Interface); •• сеть источника (Source Network); •• интерфейс назначения (Destination Interface); •• сеть назначения (Destination Network); •• сервис (Service). Когда IP-правило активировано, может быть выполнено одно из перечисленных ниже действий (Action). Allow — разрешает передачу пакета. Применяется к только что открытому соединению, в таблицу состояний осуществляется запись о том, что со единение открыто. Остальные пакеты данного соединения будут подвергаться проверке Stateful engine. NAT — подобно действию Allow, но использует динамическую трансляцию адресов. Forward fast — разрешает передачу пакета через МСЭ без записи его состояния в таблицу состояний. Это означает, что процесс stateful inspection не осуществляется, что менее безопасно, чем действия Allow или NAT. SAT — уведомляет МСЭ о выполнении статического преобразования адреса. Действие SAT всегда требует получения разрешения о прохождении трафика от действий Allow, NAT или Forward fast. Drop — уведомляет МСЭ о том, что пакет необходимо отклонить. Это более строгая версия действия Reject, так как при этом отправителю не посылается ответ. Очень часто данное действие предпочтительнее, так как потенциальные злоумышленники не знают о том, что случилось с их пакетом. Reject — работает примерно так же, как и Drop, но при этом возвращается сообщение TCP RST или ICMP Unreachable, информирующее компьютер отправителя о том, что его пакет был отклонен. Данное действие является более мягкой формой действия Drop. Действие Reject полезно применять в приложениях, где исходящий трафик отклоняется только после наступления тайм-аута. Если пришло уведомление об отказе, то трафик отклоняется, не дожидаясь тайм-аута. 27

Порядок выполнения лабораторной работы и задания Лабораторная работа состоит из трех частей. Часть 1 посвящена настройке логических объектов с использованием Web-интерфейса, часть 2 — с использованием CLI-интерфейса, часть 3 — выполнению заданий для самостоятельной работы. Часть 1. Настройка логических объектов с использованием Web-интерфейса Задание 1. Создание объектов в адресной книге Соберите схему, представленную на рис. 2.1. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ. Создайте объекты в адресной книге.

Рис. 2.1. Схема подключения рабочей станции к МСЭ

Порядок выполнения задания 1. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Создание необходимых объектов. Создайте объект IP-адреса. Для этого зайдите в меню Objects → Address Book → Add → IP4 Address (рис. 2.2, а).

28

а б Рис. 2.2. Меню Address Book (а) и параметры объекта my_ip (б)

На вкладке General введите следующие параметры (рис. 2.2, б): Name: my_ip IP Address: 192.168.0.1

Затем создайте подсеть IPv4. Для этого зайдите в меню Objects → Address Book → Add → IP4 Address. На вкладке General введите следующие параметры: Name: my_net IP Address: 192.168.0.0/24

Шаг 3. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 4. Проверка результатов. Убедитесь, что объект IP-адреса my_ip и объект подсети IPv4 my_net были успешно созданы. Задание 2. Настройка аутентификации для IP-объекта Соберите схему, представленную на рис. 2.1. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ. Настройте аутентификацию для IP-объекта. Порядок выполнения задания 2. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Настройте группу пользователей. Зайдите в меню User Authentication → Local User Databases → Add → → Local User Database. На вкладке General создайте группу пользователей users для адреса локальной сети lannet (рис. 2.3).

Рис. 2.3. Параметры группы пользователей users

Шаг 3. Настройка объекта аутентификации. Создайте объект аутентификации net_users. Для этого зайдите в меню Objects → Address Book → Add → IP4 Group. На вкладке General введите следующие параметры (рис. 2.4): Name: net_users

В Group members переместите группу my_net из списка Available в список Selected. 29

Рис. 2.4. Параметры объекта net_users

Затем перейдите на вкладку User Authentication и введите следующие параметры (рис. 2.5): Comma-separated list of user names and groups: users

Рис. 2.5. Параметры вкладки User Authentication

Шаг 4. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 5. Проверка результатов. Убедитесь, что была успешно настроена аутентификация для IP-объекта. 30

Задание 3. Создание объекта «MAC-адрес» Соберите схему, представленную на рис. 2.1. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ. Задайте MACадрес сетевого адаптера. Порядок выполнения задания 3. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Создание объекта «MAC-адрес». Зайдите в меню Objects → Address Book → InterfaceAddresses → Add → → Ethernet Address. На вкладке General введите следующие параметры (рис. 2.6): Name: MAC_ws MAC Address:

Укажите МАС-адрес рабочей станции, с которой выполняется управление МСЭ, например 00-14-85-8E-E9-C6.

Рис. 2.6. Параметры объекта MAC_ws

Для определения MAC-адреса рабочей станции запустите командную строку, затем введите команду ipconfig /all. Строка «Физический адрес» будет соответствовать MAC-адресу рабочей станции. Шаг 3. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 4. Проверка результатов. Убедитесь, что был успешно создан объект «MAC-адрес». Задание 4. Создание TCP-сервиса HTTP Соберите схему, представленную на рис. 2.1. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ. Создайте TCP-сервис протокола HTTP. 31

Порядок выполнения задания 4. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Создание TCP-сервиса HTTP (рис. 2.7).

Рис. 2.7. Меню Services

Зайдите в меню Objects → Services → Add → TCP/UDP Service. На вкладке General введите параметры TCP-сервиса HTTP из табл. 2.1. Таблица 2.1 Имя объекта

Name Type Source Destination

Значение

my_http TCP 0-65535 80

Комментарий

Имя сервиса Тип сервиса Диапазон портов, которые будут использоваться в качестве источника Порт назначения

Результат введения параметров представлен на рис. 2.8.

Рис. 2.8. Параметры объекта my_htttp

32

Шаг 3. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 4. Проверка результатов. Убедитесь, что был успешно создан TCP-сервис протокола HTTP. Задание 5. Создание ICMP-сервиса Соберите схему, представленную на рис. 2.1. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ. Создайте ICMP-сервис. Порядок выполнения задания 5. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Создание ICMP-сервиса. Зайдите в меню Objects → Services → Add → ICMP Service. На вкладке General введите следующие параметры (рис. 2.9): Name: my_ICMP_service

Рис. 2.9. Параметры объекта my_icmp_service

Шаг 3. Сохранение и активация настроек. На вкладке ICMP Parameters выберите ICMP Message Types, затем в разделе Type — тип ICMP-сообщения Redirect c кодом «1» (рис. 2.10).

Рис. 2.10. Параметры ICMP-сообщения

33

Сообщения перенаправления ICMP (Redirect) используются для того, чтобы известить хост на канале передачи данных о наличии более удобного маршрута, ведущего к определенному пункту назначения. При выборе кода со значением «1» (Code 1. Redirect datagrams for the host) передается информация о перенаправлении датаграмм для хоста. Зайдите в меню Configuration и выберите Save and Activate. Шаг 4. Проверка результатов. Убедитесь, что был успешно создан ICMP-сервис. Задание 6. Создание GRE-сервиса Соберите схему, представленную на рис. 2.1. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ. Создайте GRE-сервис. Порядок выполнения задания 6. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Создание GRE-сервиса. Создайте сервис протокола GRE. Зайдите в меню Objects → Services → → Add → IP Protocol Service. На вкладке General введите параметры сервиса протокола GRE из табл. 2.2. Таблица 2.2

Имя объекта

Name IP Protocol Pass returned ICMP error message from destination

Значение

Комментарий

GRE 47 ✔

Имя Номер протокола в IP Поставьте галочку для разрешения доставки сообщений ICMP об ошибках

Результаты ввода параметров представлены на рис. 2.11. При попытке открыть TCP-соединение приложением пользователя, которое расположено за МСЭ D-Link, и при недоступности удаленного сервера в ответ возвращается ICMP-сообщение об ошибке. Такие сообщения интерпрети-

Рис. 2.11. Параметры объекта GRE

34

руются как новое соединение и отклоняются, если IP-правилами не прописано другое. Опция Pass returned ICMP error messages from destination разрешает таким ICMP-сообщениям автоматически передаваться обратно в запрашивающее приложение. С одной стороны, в некоторых случаях лучше пропускать ICMP-сообщения, например, если ICMP-сообщение quench направлено на уменьшение скорости потока трафика. С другой — отклонение ICMP-сообщений увеличивает безопасность, предотвращая их использование в качестве способа атаки. Шаг 3. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 4. Проверка результатов. Убедитесь, что был успешно создан GRE-сервис. Задание 7. Создание Web-группы сервисов Соберите схему, представленную на рис. 2.1. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ. Создайте Web-группу сервисов. Порядок выполнения задания 7. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Создание Web-группы сервисов. Зайдите в меню Objects → Services → Add → → TCP/UDP Service. На вкладке General введите параметры сервиса http из табл. 2.3. Таблица 2.3 Имя объекта

Name Type Source Destination

Значение

http TCP 0-65535 80

Результаты ввода параметров показаны на рис. 2.12, а. Дополнительно создайте сервис https. Для этого зайдите в меню Objects → Services → → Add → TCP/UDP Service. На вкладке General введите параметры сервиса http из табл. 2.4.

а

Таблица 2.4 Имя объекта

Name Type Source Destination

Значение

https TCP 0-65535 443

Результаты ввода параметров показаны на рис. 2.12, б.

б Рис. 2.12. Параметры объектов http_1 и https_1

35

Затем зайдите в меню Objects → Services → Add → Service Group. На вкладке General введите следующие параметры: Name: Web

В Group members переместите сервисы http_1 и https_1 из списка Available в список Selected (рис. 2.13).

Рис. 2.13. Параметры группы сервисов Web

Шаг 3. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 4. Проверка результатов. Убедитесь, что была успешно создана Web-группа сервисов. Задание 8. Настройка LAN-интерфейса Соберите схему, представленную на рис. 2.1. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ. Настройте LAN-интерфейс. Порядок выполнения задания 8. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Настройка LAN-интерфейса. Для настройки LAN-интерфейса создайте следующие объекты: IP-адрес, маску подсети и основной шлюз. Для этого зайдите в меню Objects → Address Book → Add → IP4 Address. Затем на вкладке General для каждого объекта введите параметры из табл. 2.5. 36

Таблица 2.5 Имя объекта

Name lan_ip_1 lannet_1 lan_gate

Значение

Address 192.168.0.1 192.168.0.0/24 192.168.0.254

Затем зайдите в меню Interfaces → Ethernet. Выберите LAN-интерфейс. На вкладке General введите параметры из табл. 2.6. Таблица 2.6 Имя объекта

Name

IP Address Network Default Gateway

Значение

lan

lan_ip_1 lannet_1 lan_gate

Комментарий

При необходимости можно присвоить новое имя интерфейсу Выберите значение из списка Выберите значение из списка Выберите значение из списка

Результаты ввода показаны на рис. 2.14.

Рис. 2.14. Параметры LAN-интерфейса

ВНИМАНИЕ! При изменении IP-адреса LAN-интерфейса необходимо зай ти на LAN-интерфейс межсетевого экрана по новому IP-адресу в течение 30 с (период времени задан по умолчанию, его можно изменить в меню System → → Remote Management → Advanced Settings → Validation Timeout), иначе настройки LAN-интерфейса останутся прежними. 37

Шаг 3. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 4. Проверка результатов. Убедитесь, что был успешно настроен LAN-интерфейс. Задание 9. Создание IP-правил Соберите схему, представленную на рис. 2.1. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ. Создайте IP-правила. Порядок выполнения задания 9. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Настройка IP-правила для разрешения DNS-запросов. Создайте IP-правило, разрешающее DNS-запросы. Для этого перейдите в меню Rules → IP Rules (рис. 2.15).

Рис. 2.15. Окно «IP Rules»

В разделе IP Rules перейдите в меню Add → IP Rule и создайте новое IP-правило DNS_from_LAN. На вкладке General введите параметры IP-правила DNS_from_LAN из табл. 2.7. Таблица 2.7 Имя объекта

Name Action

Service Source Interface Source Network Destination Interface Destination Network

Значение

DNS_from_LAN NAT dns-all lan lannet any all-nets

Результаты ввода показаны на рис. 2.16. 38

Комментарий

Имя IP-правила Действие, при котором пакеты пропускаются дальше с использованием динамической трансляции адресов (NAT) Сервис Интерфейс источника Сеть источника Интерфейс назначения Сеть назначения

Рис. 2.16. Параметры IP-правила DNS_from_LAN

Шаг 3. Настройка IP-правила для запрета протокола SMB. Создайте IP-правило для запрета протокола SMB (Server Message Block) при выходе за МСЭ. Для этого перейдите в меню Rules → IP Rules → Add → → IP Rule, затем создайте новое IP-правило drop_smb-all. На вкладке General введите параметры IP-правила drop_smb-all из табл. 2.8. Таблица 2.8 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

Комментарий

drop_smb-all Имя IP-правила drop Действие, при котором пакет необходимо отклонить, при этом отправителю не посылается ответ smb-all Сервис lan Интерфейс источника lannet Сеть источника wan2 Интерфейс назначения all-nets Сеть назначения

Результаты ввода показаны на рис. 2.17. Шаг 4. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. 39

Рис. 2.17. Параметры IP-правила drop_smb-all

Шаг 5. Проверка результатов. Убедитесь, что были успешно настроены IP-правила. Задание 10. Настройка PPPoE-клиента Соберите схему, представленную на рис. 2.1. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ. Создайте PPPoE-клиент на WAN-интерфейсе с маршрутизацией всего трафика через PPPoE-туннель. Порядок выполнения задания 10. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Настройка PPPoE-клиента. Зайдите в меню Interfaces → PPPoE → Add → PPPoE Tunnel. Введите параметры PPPoE-клиента из табл. 2.9. Таблица 2.9

Имя объекта

Name Physical Interface Remote Network Username Password Confirm Password Service Name

40

Powered by TCPDF (www.tcpdf.org)

Значение

Комментарий

PPPoE_Client Имя wan1 Физический интерфейс 0.0.0.0/0 Сеть all-nets, так как выбирается маршрутизация всего трафика *** Введите имя пользователя для ISP *** Введите пароль ISP *** Подтвердите пароль *** Введите значение ISP

Рис. 2.18. Параметры объекта pppoe_client

Результаты ввода показаны на рис. 2.18. Шаг 3. Проверка результатов. Убедитесь, что был успешно настроен PPPoE-клиент. Задание 11. Настройка VLAN-интерфейса Соберите схему, представленную на рис. 2.1. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ. Настройте VLAN-интерфейс. Порядок выполнения задания 11. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Настройка VLAN-интерфейса. Зайдите в меню Interfaces → VLAN → Add → VLAN. На вкладке General введите параметры VLAN-интерфейса vlan01, указанные в табл. 2.10. Таблица 2.10 Имя объекта

Name Interface VLAN ID

Значение

vlan01 lan 10

Комментарий

Имя VLAN-интерфейса Физический интерфейс для VLAN Виртуальный идентификатор локальной сети

В разделе Address Settings введите параметры, указанные в табл. 2.11. Таблица 2.11 Имя объекта

Значение

Network Default Gateway

lannet_1 lan_gw

IP Address

lan_ip_1

Комментарий

IP-адрес, который должен быть использован VLAN-интерфейсом Cеть для VLAN-интерфейса Основной шлюз для VLAN-интерфейса

Результаты ввода показаны на рис. 2.19. 41

Рис. 2.19. Параметры объекта vlan01

Шаг 3. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 4. Проверка результатов. Убедитесь, что был успешно настроен VLAN-интерфейс. Задание 12. Настройка группы интерфейсов Соберите схему, представленную на рис. 2.1. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ. Настройте группу интерфейсов. Порядок выполнения задания 12. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Настройка группы интерфейсов. Создайте группу интерфейсов. Для этого зайдите в меню Interfaces → → Interface Groups → Add → Interface Group. На вкладке General введите параметры группы интерфейсов testifgroup из табл. 2.12. Таблица 2.12 Имя объекта

Значение

Name Security/Transport Equivalent

testifgroup ☐

Interfaces

Комментарий

Имя для группы интерфейсов Снять галочку для переключения соединения между интерфейсами lan, vlan01, wan2 Переместить в меню Selected значения lan, vlan01, wan2

Результаты ввода показаны на рис. 2.20. Опция Security/TransportEquivalent позволяет задать группу интерфейсов в качестве интерфейса назначения в правилах, где соединения между интерфейсами могут быть удаленными. Например, это необходимо при настройке Route Fail-Over и OSPF. 42

Рис. 2.20. Параметры объекта testifgroup

Шаг 3. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 4. Проверка результатов. Убедитесь, что была успешно настроена группа интерфейсов. Часть 2. Настройка логических объектов с использованием CLI-интерфейса Задание 1. Создание объекта «IP-адрес» в адресной книге Соберите схему, представленную на рис. 2.21. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ. Создайте объекты в адресной книге. Порядок выполнения задания 1. Шаг 1. Подключение к CLI-интерфейсу МСЭ.

Рис. 2.21. Схема подключения рабочей станции к МСЭ

43

Шаг 2. Создание объекта «IP-адрес». В командной строке (CLI) введите: DFL-860E:/> add Address IP4Address my_addr Address=192.168.10.16

Шаг 3. Создание объекта «Подсеть IPv4». В командной строке (CLI) введите: DFL-860E:/> add Address IP4Address my_net Address=192.168.10.0/24

Шаг 4. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 5. Проверка результатов. Убедитесь, что объект IP-адреса my_addr и объект подсети IPv4 my_net были успешно созданы. Для отображения IP-адреса объекта в командной строке (CLI) введите: DFL-860E:/> show Address IP4Address

Результаты ввода этой команды приведены на рис. 2.22.

Рис. 2.22. Параметры IP-адреса объекта my_addr

Задание 2. Разрешение аутентификации для IP-объекта Соберите схему, представленную на рис. 2.21. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ. Настройте аутентификацию для IP-объекта. Порядок выполнения задания 2. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Настройка аутентификации для IP-объекта. Создайте группу пользователей net_clients для адреса локальной сети my_net, затем укажите группу users для аутентифицированных пользователей. В командной строке (CLI) введите: DFL-860E:/> add Address IP4Group net_clients Members=my_net UserAuthGroups=users

Шаг 3. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

44

и через 3–5 с введите: DFL-860E:/> commit

Шаг 4. Проверка результатов. Убедитесь, что была успешно настроена аутентификация для IP-объекта. Для отображения группы IP-адресов объекта в командной строке (CLI) введите: DFL-860E:/> show Address IP4Group

Результаты ввода этой команды представлены на рис. 2.23.

Рис. 2.23. Параметры группы IP-адресов объекта net_clients

Задание 3. Создание объекта «MAC-адрес» Соберите схему, представленную на рис. 2.21. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ. Задайте MAC-адрес сетевого адаптера. Порядок выполнения задания 3. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Создание объекта «MAC-адрес». В командной строке (CLI) введите: DFL-860E:/> add Address EthernetAddress my_mac Address=6c-62-6d-60-c9-f3

Шаг 3. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 4. Проверка результатов. Убедитесь, что был успешно создан объект «MAC-адрес». Для его отображения в командной строке (CLI) введите: DFL-860E:/> show Address EthernetAddress

Результаты ввода этой команды представлены на рис. 2.24.

Рис. 2.24. Параметры MAC-адреса объекта my_mac

45

Задание 4. Изменение IP-адреса DMZ-интерфейса Соберите схему, представленную на рис. 2.21. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ. Назначьте интерфейсу DMZ новый IP-адрес. Порядок выполнения задания 4. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Назначение DMZ-интерфейсу нового IP-адреса. В командной строке (CLI) введите: DFL-860E:/> set Address IP4Address InterfaceAddresses/dmz_ip Address=172.17.200.200

Шаг 3. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 4. Проверка результатов. Убедитесь, что был успешно настроен новый IP-адрес на DMZ-интерфейсе. Для отображения нового IP-адреса на интерфейсе в командной строке (CLI) введите: DFL-860E:/> show Address IP4Address InterfaceAddresses/

Результаты ввода этой команды представлены на рис. 2.25.

Рис. 2.25. Параметры нового IP-адреса DMZ-интерфейса

Задание 5. Создание пользовательского TCP/UDP-сервиса Соберите схему, представленную на рис. 2.21. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ. Создайте TCP/UDP-сервис, применяя порт назначения 3306, который используется MySQL. Порядок выполнения задания 5. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Создание TCP/UDP-сервиса MySQL. В командной строке (CLI) введите: DFL-860E:/> add Service ServiceTCPUDP MySQL DestinationPorts=3306 Type=TCP

46

Шаг 3. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 4. Проверка результатов. Убедитесь, что был успешно настроен TCP/UDP-сервис MySQL. Для отображения TCP/UDP-сервиса в командной строке (CLI) введите: DFL-860E:/> show Service ServiceTCPUDP

Результаты ввода этой команды представлены на рис. 2.26.

Рис. 2.26. Параметры TCP/UDP-сервиса MySQL

Задание 6. Создание сервиса ICMP-протокола Соберите схему, представленную на рис. 2.21. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ. Добавьте сервис ICMP-протокола, с выбором ICMP Type: Redirect, Code:1 Порядок выполнения задания 6. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Создание сервиса ICMP-протокола. В командной строке (CLI) введите: DFL-860E:/> add Service ServiceICMP my_ICMP_Service MessageTypes=Specific Redirect=Yes RedirectCodes=1

Шаг 3. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 4. Проверка результатов. Убедитесь, что был успешно создан сервис ICMP-протокола. Для отображения ICMP-сервиса в командной строке (CLI) введите: DFL-860E:/> show Service ServiceICMP

Результаты ввода этой команды представлены на рис. 2.27. 47

Рис. 2.27. Параметры ICMP-сервиса my_ICMP_Service

Задание 7. Создание сервиса IP-протокола Соберите схему, представленную на рис. 2.21. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ. Добавьте сервис IP-протокола для функционирования протокола OSPF (Open Shortest Path First). Порядок выполнения задания 7. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Создание сервиса IP-протокола. В командной строке (CLI) введите: DFL-860E:/> add Service ServiceIPProto OSPF IPProto=89

Шаг 3. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 4. Проверка результатов. Убедитесь, что был успешно создан сервис IP-протокола для функционирования протокола OSPF (Open Shortest Path First). Для отображения сервиса IP-протокола в командной строке (CLI) введите: DFL-860E:/> show Service ServiceIPProto

Результаты ввода этой команды представлены на рис. 2.28. 48

Рис. 2.28. Параметры сервиса IP-протокола OSPF

Задание 8. Создание IP-правила Соберите схему, представленную на рис. 2.21. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ. Создайте IP-правило для разрешения открытия HTTP-соединения. Порядок выполнения задания 8. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Настройка IP-правила МСЭ. Создайте папку IP-правил main_rule. В папке IP-правил main_rule создайте IP-правило c действием Allow, разрешающее открытие HTTP-соединения через lannet-сеть на LAN-интерфейсе к любой сети (all-nets) на WAN-интерфейсе. В командной строке (CLI) введите: DFL-860E:/> add IPRuleFolder Name=main_rule DFL-860E:/> cc IPRuleFolder main_rule DFL-860E:/main_rule> add IPRule Action=Allow Service=http SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=WAN1 DestinationNetwork=all-nets Name=lan_http DFL-860E:/main> cc

Шаг 3. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 4. Проверка результатов. Убедитесь, что было успешно настроено IP-правило. Для отображения всех настроенных IP-правил в командной строке (CLI) введите: DFL-860E:/> show IPRule

Нажмите клавишу tab для просмотра списка IP-правил и выберите нужное IP-правило. Результаты ввода этой команды представлены на рис. 2.29. Результат ввода IP-правила представлен на рис. 2.30. 49

Рис. 2.29. Параметры IP-правил при использовании функции tab completion

Рис. 2.30. Параметры IP-правила lan_http

Задание 9. Настройка PPPoE-клиента Соберите схему, представленную на рис. 2.21. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ. Настройте PPPoE-клиент. Порядок выполнения задания 9. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Настройка PPPoE-клиента. Создайте PPPoE-клиент на WAN-интерфейсе с маршрутизацией всего трафика через PPPoE-туннель. В командной строке (CLI) введите: DFL-860E:/> add Interface PPPoETunnel PPPoEClient EthernetInterface=WAN1 Network=all-nets Username=Client Password=dlink

Шаг 3. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

50

Шаг 4. Проверка результатов. Убедитесь, что был успешно настроен PPPoE-клиент. Для отображения PPPoE-клиента в командной строке (CLI) введите: DFL-860E:/> show Interface PPPoETunnel

Результаты ввода этой команды представлены на рис. 2.31.

Рис. 2.31. Параметры PPPoE-клиента

Задание 10. Настройка VLAN-интерфейса Соберите схему, представленную на рис. 2.21. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ. Настройте VLAN-интерфейс. Порядок выполнения задания 10. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Настройка VLAN-интерфейса. В адресной книге определите IP-адрес VLAN как объект vlan10_ip c адресом 192.168.10.11. Затем создайте виртуальную локальную сеть VLAN10 с идентификатором ID VLAN10. В командной строке (CLI) введите: DFL-860E:/> add Address IP4Address vlan10-ip Address=192.168.10.11 DFL-860E:/> add Interface VLAN VLAN10 Ethernet=lan Network=all-nets VLANID=10 IP=vlan10-ip

51

Шаг 3. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 4. Проверка результатов. Убедитесь, что был успешно настроен VLAN-интерфейс. Для отображения VLAN-интерфейса в командной строке (CLI) введите: DFL-860E:/> show Interface VLAN

Результаты ввода этой команды представлены на рис. 2.32.

Рис. 2.32. Параметры VLAN-интерфейса VLAN10

Задание 11. Настройка группы интерфейсов Соберите схему, представленную на рис. 2.21. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ. Настройте группу интерфейсов. Порядок выполнения задания 11. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Настройка группы интерфейсов. Добавьте интерфейсы wan1 и wan2 в группу интерфейсов wan_all. В командной строке (CLI) введите: DFL-860E:/> add Interface InterfaceGroup WAN_all Members=wan1,wan2

Шаг 3. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

52

Шаг 4. Проверка результатов. Убедитесь, что была успешно настроена группа интерфейсов. В командной строке (CLI) введите: DFL-860E:/> show Interface InterfaceGroup

Результаты ввода этой команды представлены на рис. 2.33.

Рис. 2.33. Параметры группы интерфейсов wan_all

Часть 3. Задания для самостоятельной работы Все задания могут быть выполнены как через Web-интерфейс, так и с помощью CLI-интерфейса. Выполнения заданий двумя способами не требуется. Задание 1. Создание пользовательского TCP/UDP сервиса Telnet Задание 2. Создание сервиса IP-протокола с помощью протокола VRRP (Virtual Router Redundancy Protocol) Задание 3. Создание ICMP-сервиса для получения сообщения о недоступ ности заданной сети При создании ICMP-сервиса укажите код ICMP-сообщения: Code 0. Net Unreachable

Задание 4. Создание правила, запрещающего трафик из VLAN2 к FTP-сер веру, расположенному в DMZ

Контрольные вопросы и задания 1. Перечислите основные структурные элементы в МСЭ серии Net Defend. 2. Что такое сервисы и для чего они необходимы? Перечислите типы сервисов. 3. Для чего используется протокол ICMP? Опишите принцип его работы. 4. Что такое интерфейсы? Перечислите типы интерфейсов, которые поддерживает МСЭ серии NetDefend. 5. Что такое IP-правила и с какой целью они используются? Опишите структуру IP-правила и доступные для пользователя действия в рамках IP-правил. 6. Для чего в современных сетях применяется технология VLAN? 53

7. Опишите принцип работы протокола PPP. Для чего необходим протокол PPPoE?

Литература Руководство по эксплуатации D-Link DFL-210/260/260E/800/860/860E/1600/ 2500/2560/2560G. URL: http:/ftp.dlink.ru/pub/FireWall/DEL-860E/Description/ NetdefendOSРуководство%20пользователям.pdf (дата обращения 14 мая 2018 г.). Технологии защиты информации в компьютерных сетях. Межсетевые экраны и интернет-маршрутизаторы / Е.А. Богданова, Н.А. Руденков, А.В. Пролетарский и др. М.: Нац. открытый ун-т «ИНТУИТ», 2013. Protocol Numbers. URL: http://www.iana.org/assignments/protocol-numbers/ protocol-numbers.xhtml (дата обращения 14 мая 2018 г.). RFC 792 — Протокол ICMP. URL: http://tools.ietf.org/html/rfc792 (дата обращения 14 мая 2018 г.). RFC 826 — Протокол ARP URL: http://tools.ietf.org/html/rfc826 (дата обращения 14 мая 2018 г.).

Работа № 3 Настройка Syslog-сервера и SNMP TRAP на межсетевом экране D-Link DFL-860Е Цель работы — изучение настройки внешних и внутренних получателей (ресиверов) лог-сообщений МСЭ. Объем работы: 2 ч.

Основные теоретические сведения Возможность сбора и анализа всех системных событий — очень важная функция МСЭ. Ведение журнала событий позволяет не только контролировать состояние IT-инфраструктуры, но и проводить аудит использования сетевых ресурсов, а также своевременно информировать об ошибках, связанных с деятельностью сетевых устройств. В МСЭ определено большое количество различных лог-сообщений о событиях (log event messages), генерируемых в результате соответствующих системных событий, например установление или разрыв соединений, получение определенных пакетов, отбрасывание трафика после фильтрации политик МСЭ. Каждое создаваемое сообщение может быть отфильтровано и передано на все сконфигурированные получатели (ресиверы) сообщений о событиях (Event Receivers). Каждый получатель может быть настроен на определенный фильтр событий. Syslog — это стандартизированный протокол отправки сообщений о происходящих в системе событиях, который используется в компьютерных сетях, работающих по протоколу IP. Протокол Syslog применяется для удобства администрирования и обеспечения информационной безопасности. Он может быть реализован под множество платформ и сетевых устройств. Принцип работы Syslog заключается в следующем. При обмене сообщениями Syslog-источники (originator) формируют простые текстовые сообщения о происходящих в них событиях и передают их на обработку серверу Syslog по протоколу UDP или TCP. Как правило, сообщение Syslog имеет небольшой размер (до 1024 байт) и отсылается в открытом виде. При необходимости сообщения Syslog возможно шифровать и отправлять их по SSL/TLS с помощью специальных средств, например STunnel. Источники сообщений и сервер Syslog могут располагаться на разных машинах, что позволяет организовать сбор и хранение сообщений от множества географически разнесенных разнородных источников в едином хранилище (репозитории). Это чрезвычайно важно для администраторов сетей, которые могут и не иметь физического доступа сразу ко всем устройствам и компьютерам в сети. Серверы Syslog, как правило, могут не только регистрировать сообщения, но и пересылать их другим серверам Syslog, основываясь на уровне важности сообщения (Severity) и категории сформировавшего сообщение 55

субъекта (Facility), что позволяет организовать, например, иерархическую сис тему хранилищ. Таким образом возможно снизить время реакции персонала на критические события. Типы и формат лог-сообщений В операционной системе МСЭ определено несколько сот событий, по которым могут быть сгенерированы лог-сообщения. События разделяются на высокоуровневые, настраиваемые пользователем, и низкоуровневые, например, системные события, выполняемые в обязательном порядке. Событие conn_open event является типичным высокоуровневым событием, приводящим к генерированию сообщения при установке нового соединения. Примером низкоуровневого события является startup_normal, приводящее к генерированию сообщения сразу после запуска системы. Все сообщения имеют общий формат с атрибутами, включающими категорию (табл. 3.1), важность (severity) и рекомендуемые действия. Атрибуты позволяют легко отфильтровать все сообщения перед отправкой получателю сообщений (внешнему или внутреннему). По умолчанию операционная система МСЭ отсылает все сообщения уровня Info (табл. 3.2) и выше на указанный лог-сервер. Категория Debug может быть включена в случае необходимости отладки. Таблица 3.1

56

Код

Категория субъекта

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16–23

Сообщения ядра операционной системы Сообщения пользовательского уровня Почтовая система Системные службы (daemons) Сообщения безопасности/авторизации Внутренние сообщения, сгенерированные syslogd Подсистема печати Подсистема новостных групп (телеконференций, NNTP) Подсистема UUCP Служба времени Сообщения безопасности/авторизации Служба FTP Подсистема NTP Сообщения аудита Аварийные сообщения Служба времени (2) Зарезервированы для локального использования (LOCAL0 — LOCAL7)

Таблица 3.2 Код

0 1 2 3 4 5 6 7

Уровни важности

Авария (Emergency): система неработоспособна Тревога (Alert): система требует немедленного вмешательства Критический (Critical): состояние системы критическое Ошибка (Error): сообщения о возникших ошибках Предупреждение (Warning): предупреждения о возможных проблемах Замечание (Notice): сообщения о нормальных, но важных событиях Информационный (Informational): информационные сообщения Отладка (Debug): отладочные сообщения

Создание лог-получателя Для распределения и логирования сообщений о событиях, генерируемых МСЭ, необходимо определить одного или более получателей, какое событие отслеживать и куда отсылать сообщения. Система МСЭ рассылает сообщения о событиях получателям различных типов. Для этого необходимо создать объекты Log Receiver. 1. Memory Log Receiver. Система МСЭ имеет один встроенный механизм логирования MemLog. Он сохраняет все лог-сообщения в памяти и позволяет просматривать текущие сообщения через Web-интерфейс. MemLog можно запретить. Запись в MemLog ограничена доступной памятью в операционной системе МСЭ, и когда свободная память заканчивается, новые сообщения будут записываться на место ранее записанных. 2. Syslog Receiver. Для отправки и регистрации сообщений о происходящих в системе событиях в МСЭ D-Link используется механизм Syslog Receiver, который с помощью стандарта Syslog обеспечивает сбор информации с разных мест и осуществляет ее хранение в едином репозитории. Стоит отметить, что формат передаваемых лог-сообщений может зависеть от настроек внешнего лог-сервера и обычно все лог-сообщения имеют похожую структуру. Способ чтения журналов зависит от работы получателя системного журнала. На серверах UNIX демоны системного журнала обычно построчно записываются в текстовые файлы. Пример лог-сообщений: Dec 31 2017 23:59:59 firewall.dlink.ru EFW: DROP:

Для автоматизации процесса обработки всех сообщений МСЭ записывает все лог-данные в одну текстовую строку. Формат записей: name=value. Поле Prio соответствует информации в Severity устройств D-Link. Сообщения SNMP Traps Протокол Simple Network Management Protocol (SNMP) обеспечивает связь между системой управления сети Network Management system (NMS) и управляемым устройством и позволяет администраторам сетей получать информацию о состоянии устройств сети, обнаруживать и исправлять неисправности 57

в сети. Протоколом SNMP определены три типа сообщений: команда Read для проверки управляемого устройства, команда Write для изменения состояния управляемого устройства и команда Trap, используемая управляемыми устройствами для отправки сообщений NMS об изменении состояния устройств сети. При передаче управляющих сообщений в качестве протокола транспортного уровня применяется протокол UDP. Сеть, управляемая по протоколу SNMP, основывается на архитектуре клиент — сервер и состоит из трех основных компонентов: менеджера SNMP, агента SNMP и базы управляющей информации. Менеджер SNMP (SNMP Manager) — это программное обеспечение, установленное на рабочей станции управления, наблюдающее за сетевыми устройствами и управляющее ими. Агент SNMP (SNMP Agent) — это программный модуль для управления сетью, который находится на управляемом сетевом устройстве. Агент обслуживает базу управляющей информации и отвечает на запросы менеджера SNMP. База управляющей информации (Management Information Base — MIB) — это совокупность иерархически организованной информации, доступ к которой осуществляется посредством протокола управления сетью. Менеджер взаимодействует с агентами с помощью протокола SNMP с целью обмена управляющей информацией. В основном это взаимодействие реализуется в виде периодического опроса менеджером множества агентов, которые предоставляют доступ к информации. Базы управляющей информации SNMP описывают структуру управляющей информации устройств и состоят из управляемых объектов. Управляемый объект (или MIB-объект) — это одна из нескольких характеристик управляемого сетевого устройства (например, имя системы, время, прошедшее с ее перезапуска, количество интерфейсов устройства, IP-адрес и т. д.). Обращение к управляемым объектам MIB происходит посредством идентификаторов объекта (Object IDentifier — OID). Каждый управляемый объект имеет уникальный идентификатор в пространстве имен OID и контролируется агентством IANA. Пространство имен OID можно представить в виде иерархической структуры с корнем без названия, идентификаторы верхних уровней которой отданы организациям, контролирующим стандартизацию, а идентификаторы нижних уровней определяются самими этими организациями. Каждая ветвь дерева OID нумеруется целыми числами слева направо, начиная с единицы. Идентификатор представляет собой последовательность целых десятичных цифр, разделенных точкой, записанных слева направо, и включает полный путь от корня до управляемого объекта. Числам могут быть поставлены в соответствие текстовые строки для удобства восприятия. В целом структура имени похожа на систему доменных имен Интернета (Domain Name System — DNS). Каждая MIB устанавливает набор переменных, т. е. определенную ветку дерева OID, которая описывает управляющую информацию в определенной области. Например, ветка 1.3.6.1.2.1.1 (символьное эквивалентное имя: iso.org.dod.inter-net.mgmt.mib-2.system) описывает общую информацию о си58

стеме. Производители сетевого оборудования определяют частные ветви пространства имен OID (рис. 3.1, группа объектов private (4)), куда помещают управляемые объекты для своей продукции. Так, D-Link в качестве вершины иерархии для своей продукции использует OID, равный 1.3.6.1.4.1.171.

Рис. 3.1. Пространство имен OID

Для безопасности SNMP в протоколах SNMPv1 и SNMPv2c предусмот рена аутентификация пользователей, которая выполняется с помощью строки SNMP Community, функционирующей подобно паролю, который разрешает удаленному менеджеру SNMP доступ к агенту. Менеджер и агент SNMP должны использовать одинаковые строки Community string, так как все пакеты от менеджера SNMP, не прошедшего аутентификацию, будут отбрасываться. Стоит отметить, что Community string передаются по сети в открытом виде. В коммутаторах с поддержкой SNMPv1 и SNMPv2c используются следующие строки SNMP Community по умолчанию: •• public — позволяет авторизованной рабочей станции читать MIB-объекты (право read only); •• private — разрешает авторизованной рабочей станции читать MIB-объекты и изменять (право read/write). Протокол SNMPv3 использует более сложный процесс аутентификации, который разделен на две части. Первая часть — обработка списка и атрибутов пользователей, которым позволено функционировать в качестве менеджера 59

SNMP, вторая часть — описание действий, которые каждый пользователь из списка может выполнять в качестве менеджера SNMP. С помощью SNMP на коммутаторе можно создавать группы со списками пользователей (менеджеров SNMP) и настраивать для них общий набор привилегий, а также для каждой группы можно установить версию используемого ею протокола SNMP. Таким образом, можно создать группу менеджеров SNMP, которым позволено просматривать информацию с правом read only или получать ловушки (trap) с помощью SNMPv1, в то время как другой группе можно настроить наивысший уровень привилегий с правами read/write и возможность применения протокола SNMPv3. При использовании протокола SNMPv3 отдельным пользователям или группам менеджеров SNMP может быть разрешено или запрещено выполнять определенные функции SNMP-управления. Помимо этого в SNMPv3 доступен дополнительный уровень безопасности, при котором SNMP-сообщения могут шифроваться при передаче по сети. Для асинхронного сообщения менеджеру SNMP о событии, происходящем на управляемом сетевом устройстве, агентом SNMP используются сообщения SNMP Trap (ловушка). SNMP Trap включает в себя текущее значение sysUpTime, идентификатор объекта OID, определяющий тип trap (ловушки), и необязательные связанные переменные. Адресация получателя для ловушек определяется с помощью переменных trap-конфигурации в базе MIB. Как правило, подобные сигналы отправляются устройствами для того, чтобы оповестить администратора сети о наступлении каких-то критических событий. Например, некоторые виды источников бесперебойного питания (UPS) могут отправлять SNMP-trap в случае, когда оборудование переходит в режим питания от батарей UPS. Как правило, подобные ситуации требуют незамедлительного вмешательства обслуживающего персонала, и поэтому устройство само инициирует отправку сигнала по протоколу SNMP. Например, для описания SNMP Trap модели межсетевого экрана DFL-860E определен файл DFLNNN-TRAP.MIB (где NNN — номер модели). В файле задают SNMP-объект и типы данных. Для каждой модели межсетевого экрана применяется свой файл, существует один общий trap-объект — DLNNNosGenericTrap (где NNN — номер модели межсетевого экрана), который включает следующие параметры: •• System — cистема, создавшая сообщение SNMP-trap; •• Severity — важность сообщения; •• Category — подсистема операционной системы межсетевого экрана, сообщающая о проблеме; •• ID — уникальный идентификатор в пределах категории; •• Description — короткое текстовое пояснение; •• Action — действие, предпринятое операционной системой межсетевого экрана.

60

Powered by TCPDF (www.tcpdf.org)

Порядок выполнения лабораторной работы и задания Лабораторная работа состоит из трех частей. Часть 1 посвящена основным настройкам Syslog-сервера и SNMP Trap с использованием Web-интерфейса, часть 2 — с использованием CLI-интерфейса, часть 3 — выполнению заданий для самостоятельной работы. Часть 1. Основные настройки Syslog-сервера и SNMP Trap с использованием Web-интерфейса Задание 1. Просмотр лог-сообщения встроенного лог-ресивера МСЭ Соберите схему, представленную на рис. 3.2. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ. Просмотрите лог-сообщения встроенного лог-ресивера МСЭ.

Рис. 3.2. Схема подключения рабочей станции к МСЭ

Порядок выполнения задания 1. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Просмотр лог-сообщения. Зайдите в меню Status → Logging, затем просмотрите лог-сообщения. Результаты выполнения этого шага приведены на рис. 3.3.

Рис. 3.3. Окно Logging

Шаг 3. Проверка результатов. Просмотрите лог-сообщения МСЭ, предварительно настроив фильтр по различным значениям: уровень важности события, используемый интерфейс, IP-адрес, порт и др. (рис. 3.4). 61

Рис. 3.4. Сообщения встроенного лог-ресивера МСЭ

Задание 2. Просмотр лог-сообщения внешнего лог-ресивера МСЭ Соберите схему, представленную на рис. 3.5. Внешний Syslog-сервер и рабочая станция для управления Web-интерфейсом подключены к LAN-интер фейсам МСЭ. Настройте внешний лог-сервер, а затем просмотрите полученные лог-сообщения с внешнего лог-сервера. Лог-сервер должен быть настроен на получение сообщений от МСЭ. Например, можно использовать условно бесплатный лог-сервер Syslog Watcher.

Рис. 3.5. Схема подключения рабочей станции и Syslog-сервера к МСЭ

62

Порядок выполнения задания 2. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Создание объекта «IP-адрес» Syslog-сервера. Зайдите в меню Objects → Address Book → Add → IP4 Address. На вкладке General введите следующие параметры: Name: ip-syslog IPAddress: 192.168.10.10

Шаг 3. Настройка на МСЭ внешнего лог-сервера. Зайдите в меню System → Log and Event Receivers → Add → Syslog Receiver (рис. 3.6).

Рис. 3.6. Окно Log and Event Receivers

Для объекта Syslog Receiver введите параметры из табл. 3.3. Таблица 3.3 Имя объекта

Name IP Address Facility Port

Значение

Комментарий

my_syslog Имя для ресивера события ip-syslog IP-адрес внешнего лог-сервера local0 Имя функции, используется как параметр фильтра для большинства процессов-демонов системного журнала 514 Порт для приема лог-сообщений по протоколу syslog (по умолчанию используется UDP-порт 514)

Проверьте, что настройки внешнего лог-сервера совпадают с приведенными на рис. 3.7.

Рис. 3.7. Параметры объекта my_syslog

63

Шаг 4. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 5. Настройка Syslog-сервера. Для просмотра лог-сообщений МСЭ на Syslog-сервере установите программу Syslog Watcher. После завершения установки программы Syslog Watcher выполните ее запуск в режиме работы Manage Local Syslog Server для управления локальным syslog-сервером (рис. 3.8).

Рис. 3.8. Меню Select Syslog Watcher GUI Mode

Далее запустите службу Syslog Watcher Service кнопкой Start Server в верхнем меню окна программы. В результате данной настройки в Syslog Watcher будут отправляться информационные сообщения от МСЭ D-Link DFL-860E. Шаг 6. Проверка результатов. На Syslog-сервере проверьте получение информационных сообщений от МСЭ D-Link DFL-860E. По умолчанию Syslog Watcher будет принимать все syslog-сообщения от всех устройств и показывать их в основном экране (рис. 3.9).

Рис. 3.9. Лог-сообщения на syslog-сервере Syslog Watcher

64

Для поиска необходимых лог-сообщений воспользуйтесь фильтром Quick Filter (рис. 3.10). При открытии данного меню вверху будут доступны кнопки применения или отмены фильтра, сохранения фильтра, ниже — логические флажки (исключение через NOT) с включением серьезности сообщения, фильтр по устройству (используются логические единицы: kernel, mail, userlevel, system и др. — всего 24 критерия), источнику, происхождению, тегам и сообщению. Также в меню Reports просмотрите возможность формирования отчетов (рис. 3.11–3.13).

Рис. 3.10. Настройка фильтра Filter Criteria

Рис. 3.11. Распространение лог-сообщений по уровням важности

65

Рис. 3.12. Статистика распространения лог-сообщений за день

Рис. 3.13. Статистика по уровням Severity и Facility

66

Задание 3. Настройка SNMP Trap Соберите схему, представленную на рис. 3.14. Получатель SNMP Trap и рабочая станция для управления Web-интерфейсом подключены к LAN-интерфейсам МСЭ. Настройте отправку сообщений SNMP Trap на получателя SNMP Trap, затем просмотрите записи о МСЭ на рабочей станции получателя сообщений SNMP Trap.

Рис. 3.14. Схема подключения рабочей станции и получателя SNMP Trap

Порядок выполнения задания 3. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Создание объекта «IP-адрес» SNMP-Trap. Зайдите в меню Objects → Address Book → Add → IP4 Address. На вкладке General введите следующие параметры: Name: ip-snmp IPAddress: 192.168.10.10

Шаг 3. Настройка отправки сообщений SNMP-Trap. Для отправки сообщений SNMP Trap зайдите в меню System → Log and Event Receivers → Add → SNMP2c Event Receiver. На вкладке General введите параметры SNMP2 c Event Receiver из табл. 3.4. Таблица 3.4 Имя объекта

Name IP Address Port Community

Значение

my_snmp ip-snmp 162 public

Комментарий

Имя объекта IP-адрес получателя SNMP сообщений Порт для приема сообщений SNMP Traps Строка Community String предоставляет пароль для SNMP-доступа. Следует создавать строку Community String, которую трудно подобрать, с использованием комбинаций цифр и букв верхнего и нижнего регистра

Шаг 4. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. 67

Шаг 5. Настройка программы управления SNMP. Для просмотра SNMP-сообщений на получателе SNMP Trap установите программу PowerSNMP Free Manager. После завершения установки программы PowerSNMP Free Manager выполните ее запуск, затем перейдите в меню Tools → Configuration для выбора локального IP-адреса для прослушивания (192.168.10.10). Для просмотра SNMP Trap устройства D-Link DFL-860E добавьте MIB-файлы в меню Tools → Load MIB. Файлы MIB для D-Link DFL-860E доступны на ftp-сервере D-Link (http://ftp.dlink.ru/pub/FireWall/ DFL-860E/SNMP/). Шаг 6. Проверка результатов. На SNMP Trap проверьте получение уведомлений от МСЭ по адресу 192.168.10.1 (рис. 3.15).

Рис. 3.15. Окно Traps/Inform

Рис. 3.16. Параметры SNMP Trap при неудачной авторизации

68

Рис. 3.17. Параметры дерева MIB в PowerSNMP

Далее просмотрите детали полученных сообщений, после чего зафиксируйте коды OID и соответствующие им сообщения, полученные в результате преобразования (рис. 3.16, 3.17). Часть 2. Настройка Syslog-сервера и SNMP Trap с использованием CLI-интерфейса Задание 1. Просмотр лог-сообщений внешнего лог-ресивера МСЭ Соберите схему, представленную на рис. 3.18. Внешний Syslog-сервер подключен к LAN-интерфейсу МСЭ, рабочая станция для управления CLI-интерфейсом — к серийному консольному порту МСЭ. Настройте внешний лог-сервер на получение сообщений от МСЭ, затем просмотрите полученные лог-сообщения. 69

Рис. 3.18. Схема подключения рабочей станции и Syslog-сервера к МСЭ

Порядок выполнения задания 1. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Создание объекта «IP-адрес» Syslog-сервера. Создайте папку labs, затем в ней создайте объект «IP-адрес» Syslog-сервера ip-syslog (IP-адрес: 192.168.10.10). Для перехода в директорию воспользуйтесь командой cc. В командной строке (CLI) введите: DFL-860E:/> add Address AddressFolder labs DFL-860E:/> cc Address AddressFolder labs DFL-860E:/labs> add IP4Address ip-syslog Address=192.168.10.10 DFL-860E:/labs> cc

Шаг 3. Настройка на МСЭ внешнего лог-сервера. Настройте внешний лог-сервер с именем my_syslog. В качестве IP-адреса укажите объект ip-syslog. В командной строке (CLI) введите: DFL-860E:/> add LogReceiver LogReceiverSyslog my_syslog IPAddress= labs/ip-syslog

Шаг 4. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 5. Проверка результатов. На Syslog-сервере настройте Syslog Watcher (рис. 3.19), затем проверьте получение информационных сообщений от МСЭ D-Link DFL-860E. Инструкция по настройке Syslog Watcher приведена в задании 2 части 1. 70

Рис. 3.19. Лог-сообщения на syslog-сервере Syslog Watcher

Задание 2. Настройка SNMP Trap Соберите схему, представленную на рис. 3.20. Получатель SNMP Trap подключен к LAN-интерфейсу МСЭ, рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ. Настройте отправку сообщений SNMP Trap на получателя SNMP Trap, затем просмотрите записи о МСЭ на рабочей станции получателя сообщений SNMP Trap.

Рис. 3.20. Схема подключения рабочей станции и получателя SNMP Trap

Порядок выполнения задания 2. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Создание объекта «IP-адрес» SNMP-Trap. Создайте папку объектов snmp_trap, затем в ней создайте объект «IP-ад рес» получателя SNMP Trap ip-snmp (IP-адрес: 192.168.10.10). Для перехода в директорию воспользуйтесь командой cc. В командной строке (CLI) введите: DFL-860E:/> add Address AddressFolder snmp_trap DFL-860E:/> cc Address AddressFolder snmp_trap DFL-860E:/snmp_trap> add IP4Address ip-snmp Address=192.168.10.10 DFL-860E:/snmp_trap> cc

71

Шаг 3. Настройка отправки сообщений SNMP Trap. Создайте получателя SNMP Trap с именем my_snmp. В качестве IP-адреса укажите объект ip-snmp, параметру community присвойте значение private. По умолчанию значение Port=162, поэтому дополнительно этот параметр не настраивается. В командной строке (CLI) введите: DFL-860E:/>add LogReceiver EventReceiverSNMP2c my_snmp IPAddress= snmp_trap/ip-snmp Community=private

Шаг 4. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 5. Проверка результатов. Проверьте получение сообщений SNMP Trap на получателе SNMP Trap при использовании программы PowerSNMP Free Manager. Инструкция по настройке программы PowerSNMP Free Manager приведена в задании 3 части 1. Далее просмотрите детали полученных сообщений. После этого зафиксируйте коды OID и соответствующие им сообщения, полученные в результате преобразования. Результаты выполнения этого шага приведены на рис. 3.21.

Рис. 3.21. Окно Traps/Inform

Часть 3. Задания для самостоятельной работы Все задания могут быть выполнены как через Web-интерфейс, так и с помощью CLI-интерфейса. Выполнения заданий двумя способами не требуется. Задание 1. Настройка внешнего лог-сервера на получение лог-сообщений о перезагрузке МСЭ Настройте внешний лог-сервер на получение лог-сообщения о перезагрузке МСЭ, затем перезагрузите МСЭ и получите требуемое лог-сообщение. 72

Задание 2. Настройка внешнего лог-сервера на получение лог-сообщений с уровнем важности Notice Настройте syslog-сервер таким образом, чтобы получать с МСЭ лог-сообщения уровня важности Notice. Задание 3. Настройка внешнего лог-сервера на получение лог-сообщений об успешной/неудачной аутентификации Подключитесь к МСЭ сначала по протоколу SSH, затем по протоколу HTTPS. Получите соответствующие лог-сообщения об успешной и неудачной аутентификации. Задание 4. Настройка внешнего лог-сервера на получение лог-сообщений о срабатывании IP-правила Создайте IP-правило, при котором только лог-сервер мог бы выполнять команду ping до МСЭ, а другие рабочие станции нет. Получите лог-сообщения, подтверждающие срабатывание IP-правила. Задание 5. Настройка итогового отчета по лог-сообщениям В Syslog Watcher запустите мастер настройки итоговых отчетов по лог-сообщениям. Далее сформируйте отчет, указав следующие критерии: Summary, Messages Distribution During Period, Statistics by Day of Week.

Контрольные вопросы и задания 1. Для чего необходимо анализировать системные события? 2. Опишите принцип работы Syslog. 3. Для какой цели используется протокол SNMP? Опишите его основные компоненты. 4. Зачем в базе управляющей информации (MIB) необходим идентификатор объекта (OID)? 5. Каким образом осуществляется аутентификация пользователей в протоколе SNMP? 6. Перечислите преимущества использования SNMPv3. 7. Что такое сообщения SNMP Trap и для чего они применяются?

Литература Руководство по эксплуатации D-Link DFL-210/260/260E/800/860/860E/ 1600/2500/2560/2560G. URL: http:/ftp.dlink.ru/pub/FireWall/DEL-860E/Description/ NetdefendOSРуководство%20пользователям.pdf (дата обращения 14 мая 2018 г.). Технологии защиты информации в компьютерных сетях. Межсетевые экраны и интернет-маршрутизаторы / Е.А. Богданова, Н.А. Руденков, А.В. Пролетарский и др. М.: Нац. открытый ун-т «ИНТУИТ», 2013. RFC 1155 — Structure and Identification of Management Information for TCP/ IP-based Internets. URL: https://tools.ietf.org/html/rfc1155 (дата обращения 14 мая 2018 г.). 73

RFC 1157 — A Simple Network Management Protocol (SNMP). URL: https:// tools.ietf.org/html/rfc1157 (дата обращения 14 мая 2018 г.). RFC 3411 — An Architecture for Describing Simple Network Management Protocol (SNMP) Management Frameworks. URL: https://tools.ietf.org/html/rfc3411 (дата обращения 14 мая 2018 г.). RFC 5424 — The Syslog Protocol. URL: https://tools.ietf.org/html/rfc5424 (дата обращения 14 мая 2018 г.).

Работа № 4 Настройка DHCP на межсетевом экране D-Link DFL-860Е Цель работы — изучение настроек функции DHCP на МСЭ с использованием Web- и CLI-интерфейсов. Объем работы: 4 ч.

Основные теоретические сведения Межсетевой экран при использовании DHCP и настройки IP Pool может играть три основные роли: DHCP-сервер, DHCP-клиент, DHCPRelayer. Межсетевой экран в роли DHCP-сервера DHCP-сервер МСЭ позволяет хостам автоматически получить настройки из заданного пула адресов. Получая запрос от DHCP-клиента, DHCP-сервер высылает ответ с параметрами конфигурации (IP-адрес, маску подсети, IP-ад рес шлюза, DNS-адреса, срок аренды IP-адреса). Хост может обновить (renew) или освободить (release) арендованный IP-адрес. В системе NetDefendOS DHCP-серверы не ограничены использованием одного диапазона IP-адресов и могут обслуживать любой диапазон адресов, который определен как объект «IP-адрес». Также администратор имеет возможность настроить один или несколько логических DHCP-серверов.   Межсетевой экран в роли DHCP-клиента DHCP-клиент рассылает широковещательные сообщения для нахождения DHCP-сервера (или DHCP-серверов) и получает для своего физического интерфейса IP-адрес динамически от DHCP-сервера. DHCP-клиент может получить предложения от нескольких DHCP-серверов и обычно применяет настройки от первого полученного предложения. DHCP-клиент может обновить или освободить IP-адрес в течение срока аренды. С помощью DHCP можно получить информацию об IP-адресе интер фейса, локальной сети, к которой относится данный интерфейс, и шлюза по умолчанию. Все адреса, полученные от DHCP-сервера, присваиваются соответствующим объектам IP4Address. Таким образом, динамически назначенные адреса, так же как и статические, могут использоваться во всей конфигурации. Межсетевой экран в роли DHCP Relayer Исполнение протокола DHCP предполагает, что DHCP-клиент и DHCP-сервер находятся физически в одной локальной сети, так как клиенты посылают широковещательные запросы. В крупных распределенных сетях это приводит к необходимости иметь несколько DHCP-серверов в каждой подсети, что не всегда эффективно. Желательно иметь централизованную серверную конфигурацию. 75

Для решения этой проблемы используется технология DHCPRelay. Устройство для DHCPRelay служит средством связи между удаленным DHCP-сервером во внешней сети и DHCP-клиентами. DHCP Relayer перехватывает запросы от клиентов и перенаправляет их к DHCP-серверу, который отвечает устройству, выступающему в качестве DHCP Relayer, и в свою очередь перенаправляет ответ клиенту. Настройка IP Pool на межсетевом экране Пул IP-адресов предназначен для организации доступа различных подсис тем к кэшу распределенных IP-адресов. Формирование пула IP-адресов происходит в процессе совместного функционирования DHCP-клиентов (каждому клиенту соответствует IP-адрес). Пул IP-адресов может использоваться более чем одним DHCP-сервером, как внешним, так и локальным, но обязательно определенным в системе NetDefendOS. Может быть настроено несколько пулов IP-адресов с разными идентификационными именами. Внешний DHCP-сервер может быть определен как одиночный DHCP-сервер на конкретном интерфейсе или как один из многих со своим списком уникальных IP-адресов.   Основное применение пулов IP-адресов происходит с помощью технологии IKE Config Mode, которая используется как свойство для распределения IP-адресов удаленным клиентам, подключающимся по IPsec-туннелям.   Протокол DHCPv4 Протокол динамической настройки сетевых устройств (компьютеров) (Dynamic Host Configuration Protocol — DHCPv4-протокол) обеспечивает установку и корректировку параметров сетевых устройств в Internet. Данный протокол состоит из двух частей: 1) доставка параметров настройки сетевых устройств; 2) описание способа размещения сетевых IPv4-адресов в сетевых устройствах. В основе DHCPv4-протокола лежит известная модель взаимодействия клиент — сервер, в которой выделенный DHCP-сервер размещает IPv4-адреса в динамически настраиваемых сетевых устройствах, а также доставляет им соответствующие параметры настройки. В этом стандарте термин «сервер» означает, что одно сетевое устройство обеспечивает установку параметров с помощью DHCPv4-протокола, а термин «клиент» означает, что другое сетевое устройство запрашивает у DHCP-сервера установку параметров. Целесообразно, чтобы какое-либо сетевое устройство «самостоятельно не выступало в роли» DHCPv4-сервера до тех пор, пока оно не будет в явной форме назначено (определено) и настроено системным администратором для реализации такой функции. Многообразие программно-аппаратных комплексов (ПАК) и прикладных систем в Internet-сети могло бы нарушить их реальное функционирование, если бы произвольным сетевым устройствам не было разрешено отвечать на DHCP-запросы. Например, программный модуль, реализующий IP-протокол (IP-модуль), запрашивает установку нескольких параметров. Поэтому IP-модуль может быть использован в различных типах ПАК, значения 76

параметров которых не могут быть оценены даже приблизительно или произвольно выбраны, а должны быть корректными по умолчанию. Кроме того, схемы назначения и распределения IP-адресов зависят от способов опроса и обеспечения безопасности при определении уже используемых адресов. IP-узлы не всегда способны «защитить себя» от используемых сетевых адресов, поэтому такая схема назначения IP-адресов не может гарантировать исключение дублирования сетевых адресов при их распределении. DHCPv4-протокол обеспечивает три способа назначения IP-адресов: 1) автоматическое — DHCPv4-протокол назначает постоянный IP-адрес клиенту; 2) динамическое — DHCPv4-протокол назначает IP-адрес клиенту на ограниченный интервал времени (или до тех пор, пока клиент в явной форме не откажется от адреса); 3) ручное — IP-адрес клиента назначает сетевой администратор, а DHCPv4протокол используется просто для доставки выделенного адреса клиенту. В конкретной сети указанные способы применяются в зависимости от стратегии безопасности администратора сети. Динамическое назначение — один из существующих способов, позволяющий автоматическое повторное использование адреса, который больше не нужен клиенту, получившему такой адрес. Таким образом, динамическое назначение является наиболее практичным при назначении адреса клиенту, который будет только временно соединяться с сетью, или при коллективном использовании ограниченной совокупности IP-адресов среди групп клиентов, которым не нужны постоянные IP-адреса. Динамическое назначение может быть вполне приемлемым в случае назначения IP-адресов для новых клиентов, имеющих постоянные соединения с сетью, в которой IP-адреса являются весьма дефицитными и весьма важно их восстанавливать при «отключении старых» клиентов. Ручное назначение позволяет применять DHCPv4-протокол для снижения числа ошибочных процессов в настраиваемых вручную сетевых устройствах с IP-адресами, причем в тех областях, в которых (по каким-либо причинам) желательно управлять IP-адресом, не используя способы, предусмотренные DHCP-протоколом. Пример процесса получения адреса Рассмотрим пример процесса получения IP-адреса клиентом от сервера DHCP. Предположим, клиент еще не имеет собственного IP-адреса, но ему известен его предыдущий адрес — 192.168.1.100. Процесс состоит из четырех этапов. 1. Обнаружение DHCP. Сначала клиент выполняет широковещательный запрос по всей физической сети с целью обнаружить доступные DHCP-серверы. Он отправляет сообщение типа DHCPDISCOVER, при этом в качестве IP-адреса источника указывается 0.0.0.0 (так как компьютер еще не имеет собственного IP-адреса), а в качестве адреса назначения — широковещательный адрес 255.255.255.255. Клиент заполняет несколько полей сообщения начальными значениями, для этого: 77

•• в поле xid помещается уникальный идентификатор транзакции, который позволяет отличать данный процесс получения IP-адреса от других, протекающих в то же время; •• в поле chaddr помещается аппаратный адрес (MAC-адрес) клиента; •• в поле опций указывается последний известный клиенту IP-адрес — 192.168.1.100. Эта опция не является обязательной и может быть проигнорирована сервером. Сообщение DHCPDISCOVER может быть распространено за пределы локальной физической сети с помощью специально настроенных агентов ретрансляции DHCP, перенаправляющих поступающие от клиентов сообщения DHCP-серверам в других подсетях. Не всегда процесс получения IP-адреса начинается с DHCPDISCOVER. Если клиент ранее уже получал IP-адрес и срок его аренды еще не прошел, клиент может пропустить стадию DHCPDISCOVER, начав с запроса DHCPREQUEST, отправляемого с идентификатором сервера, который выдал адрес в прошлый раз. В случае отсутствия ответа от DHCP-сервера, выдавшего настройки в прошлый раз, клиент отправляет DHCPDISCOVER. Таким образом клиент начинает процесс получения с начала, обращаясь уже ко всем DHCP-серверам в сегменте сети. 2. Предложение DHCP. Получив сообщение от клиента, сервер определяет требуемую конфигурацию клиента в соответствии с указанными сетевым администратором настройками. В данном случае DHCP-сервер согласен с запрошенным клиентом адресом 192.168.1.100. Сервер отправляет ему ответ (DHCPOFFER), в котором предлагает конфигурацию. Отправленный клиенту IP-адрес указывается в поле yiaddr. Прочие параметры (такие, как адреса маршрутизаторов и DNS-серверов) указываются в виде опций в соответствующих полях. Далее DHCP-сервер отправляет это сообщение хосту, пославшему DHCPDISCOVER, на его MAC. При определенных обстоятельствах сообщение может распространяться как широковещательная рассылка. Клиент может получить несколько различных предложений DHCP от разных серверов. Из них он должен выбрать то, которое его устраивает. 3. Запрос DHCP. Выбрав одну из конфигураций, предложенных DHCP-серверами, клиент отправляет запрос DHCP: DHCPREQUEST. Он рассылается широковещательно; при этом к опциям, указанным клиентом в сообщении DHCPDISCOVER, добавляется специальная опция (идентификатор сервера), указывающая адрес DHCP-сервера, выбранного клиентом (в данном случае — 192.168.1.1). 4. Подтверждение DHCP. Наконец, сервер подтверждает запрос и направляет это подтверждение (DHCPACK) клиенту. После этого клиент должен настроить свой сетевой интерфейс с помощью предоставленных опций.

Порядок выполнения лабораторной работы и задания Лабораторная работа состоит из трех частей. Часть 1 посвящена основным настройкам DHCP с использованием Web-интерфейса, часть 2 — с использованием CLI-интерфейса, часть 3 — выполнению заданий для самостоятельной работы. 78

Часть 1. Основные настройки DHCP с использованием Web-интерфейса Задание 1. Настройка МСЭ в роли DHCP-сервера Соберите схему, представленную на рис. 4.1. Клиент DHCP и рабочая станция для управления Web-интерфейсом подключены к LAN-интерфейсам МСЭ. Настройте автоматическое получение сетевых параметров на рабочей станции, которая является DHCP-клиентом.

Рис. 4.1. Схема подключения рабочих станций к МСЭ

Порядок выполнения задания 1. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Создание объекта «пул IP-адресов». Зайдите в меню Objects → Address Book → Add → IP4 Address и на вкладке General введите параметры для создания объекта «пул IP-адресов» из табл. 4.1. Таблица 4.1 Имя объекта

Name IP Address

Значение

ip_pool_1 192.168.24.20–192.168.24.30

Результат корректной настройки представлен на рис. 4.2.

Рис. 4.2. Задание пула IP-адресов

79

Шаг 3. Настройка МСЭ в качестве DHCP-сервера. Зайдите в меню System → DHCP → DHCP Servers → Add → DHCP Server и на вкладке General введите параметры, указанные в табл. 4.2. Таблица 4.2 Имя объекта

Значение

Комментарий

dhcp_server_test

Символьное имя сервера. Используется как ссылка на интерфейс или как ссылка в сообщениях для записи в Журнал событий

lan

Интерфейс источника, на котором система NetDefendOS будет ожидать получения DHCP-запросов. Это может быть как один интерфейс, так и группа интерфейсов (Interface group)

Relay Filter

0.0.0.0/0

IP-адрес ретранслятора, передаваемый в IPпакете, также используется для определения подходящего сервера. Значение по умолчанию all-nets (все сети) делает все IP-адреса допустимыми, и тогда выбор DHCP-сервера зависит только от интерфейса

IPAddress Pool

Ip_pool_1

Диапазон IP-адресов (группа или сеть), кото рый используется DHCP-сервером в качестве пула IP-адресов при их распределении

Netmask

255.255.255.0

Name Interface Filter

Маска подсети, которая будет рассылаться DHCP-клиентам

На вкладке Options введите параметры из табл. 4.3. Таблица 4.3 Имя объекта

Default GW

Domain Lease Time

Комментарий

Lan-ip

Здесь определяется IP-адрес устройства, выполняющего функции основного шлюза, который передается клиенту (маршрутизатор, к которому подключается клиент) Имя домена, используемое DNS для определения IP-адреса. Например, domain.com Время предоставленной DHCP-аренды в секундах. По истечении данного периода DHCP-клиент должен возобновить аренду IP-адрес первичного и вторичного DNS-серверов IP-адреса WINS-серверов среды Microsoft, которые используют NBNS-серверы для установления соответствий между IP-адресами и именами в NetBIOS Определяет IP-адрес сервера загрузки по сети. Обычно это TFTP-сервер

— 86400

DNS NBNS/WINS

— —

Next Server

—

80

Powered by TCPDF (www.tcpdf.org)

Значение

Рис. 4.3. Настройка DHCP-сервера

Пример корректной настройки приведен на рис. 4.3. Шаг 4. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 5. Проверка результатов. Для проверки работоспособности DHCP-сервера убедитесь, что DHCP-клиент получил IP-адрес из установленного пула IP pool. Для этого с рабочей станции DHCP-клиента запустите командную строку (CMD), затем введите команду ipconfig. Корректный вывод полученных настроек показан на рис. 4.4.

Рис. 4.4. Корректные настройки DHCP-клиента

Далее проверьте, что МСЭ добавил клиента DHCP в таблицу активных DHCP-сессий. Для вывода всех подключенных клиентов DHCP на МСЭ подключитесь к CLI-интерфейсу МСЭ. В командной строке (CLI) введите: DFL-860E:/> dhcpserver -show DFL-860E:/> dhcpserver -show -mappings

Для этого варианта включения корректный вывод каждой из этих команд показан на рис. 4.5. 81

Рис. 4.5. Подключенные клиенты DHCP

Задание 2. Настройка МСЭ в роли DHCP-клиента Соберите схему, представленную на рис. 4.6. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ, DHCP-сервер — к WAN2-интерфейсу МСЭ. Настройте автоматическое получение сетевых параметров на МСЭ, который выполняет роль DHCP-клиента. В качестве DHCP-сервера будет использоваться МСЭ, настроенный в задании 1. Для корректного функционирования МСЭ, являющегося DHCP-сер вером, измените IP-адрес LAN-интерфейса (например, на 192.168.10.5), чтобы избежать повторения адресов в одной сети. В качестве DHCP-клиента будет применяться второй МСЭ DFL-860E, предварительно сброшенный до фабричных настроек. Для удобства МСЭ,

Рис. 4.6. Схема подключения рабочей станции к МСЭ

82

выполняющий функцию DHCP-клиента, далее в этой лабораторной будет называться МСЭ_1, а МСЭ, выполняющий функцию DHCP-сервера, — МСЭ_2. Порядок выполнения задания 2. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Изменение IP-адреса DHCP-сервера (МСЭ_2). Зайдите в меню Objects → Add ressBook → InterfaceAddresses → lan_ip и измените значение в поле Address на 192.168.10.5 (рис. 4.7). Шаг 3. Настройка DHCP-клиента (МСЭ_1). Подключитесь к Web-интерфейсу МСЭ. Для настройки DHCP-клиента на WAN2-интерфейсе зайдите в меню Рис. 4.7. Настройка IP-адреса LAN-интерфейса Interfaces → Ethernet → WAN2 и на вкладке General введите параметры из табл. 4.4.

Таблица 4.4

Имя объекта

Name Enable DHCP Client

Значение

Wan2 ✔

Комментарий

Имя Поставить галочку для включения DHCP-клиента

Шаг 4. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 5. Проверка результатов. Проверьте, что WAN2-интерфейсу DHCP-клиента присвоен IP-адрес из установленного пула IP pool. Для этого зайдите в меню Status → Interfaces → → WAN2 и просмотрите полученный IP-адрес. Корректно полученный IP-адрес для WAN2-интерфейса приведен на рис. 4.8.

Рис. 4.8. Статус WAN2-интерфейса DHCP-клиента

83

Задание 3. Настройка МСЭ в роли DHCP-ретранслятора Соберите схему, представленную на рис. 4.9. DHCP-клиент, DHCP-сервер и рабочая станция для управления Web-интерфейсом подключены к LAN-интерфейсам МСЭ, который представлен в качестве DHCP-ретранслятора. Настройте DHCPRelay для клиентов LAN-сети, чтобы они могли получать IP-адреса от DHCP-сервера. IP-адрес DHCP-сервера — 192.168.10.5, DHCP-сервер раздает пул адресов: 192.168.10.100—192.168.10.150. В качестве DHCP-сервера используйте МСЭ_2 из задания 2, на котором предварительно измените пул IP-адресов на диапазон 192.168.10.100– 192.168.10.150.

Рис. 4.9. Схема подключения устройств

Порядок выполнения задания 3. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Изменение пула адресов DHCP-сервера (МСЭ_2). Подключитесь к Web-интерфейсу DHCP-сервера, затем зайдите в меню Objects → Address Book → Add → IP4 Address и на вкладке General введите параметры из табл. 4.5. Таблица 4.5 Имя объекта

Name IP Address

Значение

server 192.168.10.100–192.168.10.150

Затем в меню System → DHCP → DHCP Servers измените существующие настройки для DHCP-сервера dhcp_server_test. Для этого на вкладке General измените пункт IPAddress Pool (рис. 4.10) на ранее созданный объект 84

а б Рис. 4.10. Настройка пула адресов (а) и DHCP-сервера (б)

IP4Address с именем server. В табл. 4.6 представлены данные для корректной настройки dhcp_server_test. Таблица 4.6 Имя объекта

Name Interface Filter Relay Filter IPAddress Pool Netmask

Значение

dhcp_server_test lan 0.0.0.0/0 server 255.255.255.0

Комментарий

Символьное имя сервера Фильтр по интерфейсу Фильтр перенаправления Пул IP-адресов Маска подсети

Шаг 3. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 4. Настройка функции DHCP Relay на МСЭ_1. Подключитесь к Web-интерфейсу МСЭ_1 по адресу 192.168.10.1, на котором необходимо настроить функцию DHCP relay. После подключения к МСЭ_1 создайте объект DHCP Relay. Для этого зайдите в меню System → DHCP → → DHCP Relays → Add → DHCP Relay, затем на вкладке General введите параметры из табл. 4.7 для включения функции DHCP-сервиса (рис. 4.11). Таблица 4.7 Имя объекта

Значение

Комментарий

Name

relay

Имя функции DHCP Relay

Action

Relay

Выполняемое действие при использовании функции DHCP-ретрансляции

Source Interface DHCP Server to relay to Allowed IP offers from server

lan

Интерфейс источника

192.168.10.5

DHCP-сервер, на который перенаправляются запросы

All-nets

Разрешенные IP-адреса от сервера

85

Рис. 4.11. Настройка DHCP Relay

На вкладке Options выберите опцию The relayer uses the ip of the interface which it uses to send the request to the server. Шаг 5. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 6. Проверка результатов. Убедитесь в корректной работе функции DHCP Relay. Для этого откройте сетевые настройки рабочей станции, которая является DHCP-клиентом, и выберите пункт «Получить IP-адрес автоматически», подождите, пока восстановится соединение, статус подключения по локальной сети сменится на «Подключено» (рис. 4.12).

Рис. 4.12. Настройка рабочей станции DHCP-клиента

Затем на рабочей станции DHCP-клиента запустите командную строку (CMD) и введите команду ipconfig /all. Вывод этой команды должен показать, что присвоен IP-адрес из установленного пула адресов и в качестве DHCP-сервера установлен адрес DHCP Relayer 192.168.10.1 (рис. 4.13).

Рис. 4.13. Корректный вывод команды ipconfig /all

86

Задание 4. Настройка IP Pool на МСЭ Соберите схему, представленную на рис. 4.14. DHCP-сервер и обе рабочие станции подключены к LAN-интерфейсам МСЭ, который настраивается для раздачи IP-адресов из пула IP Pool. Настройте IP Pool на МСЭ для получения пяти IP-адресов от DHCP-сервера.

Рис. 4.14. Схема подключения устройств

В качестве DHCP-сервера будет использоваться МСЭ_2 из задания 3. На нем должен быть включен DHCP-сервер с пулом IP-адресов 192.168.10.100– 192.168.10.150, работающий на LAN-интерфейсе. Адрес DHCP-сервера: 192.168.10.5. Проверьте, что настройки совпадают с рис. 4.15.

Рис. 4.15. Конфигурация DHCP-сервера

87

Порядок выполнения задания 4. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Создание объекта «IP4Address» с адресом DHCP-сервера. Зайдите в меню Objects → Address Book → Add → IP4 Address и на вкладке General введите параметры из табл. 4.8. Таблица 4.8 Имя объекта

Name IP Address

Значение

Ippool_dhcp 192.168.10.5

Шаг 3. Создание объекта «IP Pool». Зайдите в меню Objects → IP Pools → Add → IP Pool и на вкладке General введите параметры из табл. 4.9. Таблица 4.9 Имя объекта

Значение

Комментарий

Name My_ip_pool Имя объекта Specify DHCP ippool_dhcp Переместите ippool_dhcp в список Selected. Данный Server Address параметр определяет IP-адрес(а) DHCP-сервера(-ов) в порядке возрастания предпочтения в использовании. Использование здесь loopback-адреса 127.0.0.1 означает, что DHCP-сервер — это сама система NetDefendOS Server Filter All-nets Опция, предназначенная для определения того, какие серверы необходимо использовать. Если параметр не определен, то может использоваться любой DHCP-сервер на соответствующем интерфейсе. Если фильтр содержит несколько адресов (диапазонов адресов), то они указываются в порядке приоритетного использования Client IP Filter All-nets Опция применяется, чтобы определить, возможно ли использование предложенного IP-адреса в этом пуле. В большинстве случаев по умолчанию параметр устанавливается в значение all-nets (все сети), чтобы все адреса были допустимыми. Фильтр по IP-адресам используется в ситуации, когда есть вероятность ответа DHCP-сервера на недопустимый̆ IP-адрес

Затем на вкладке Advanced введите параметры из табл. 4.10. Таблица 4.10 Имя объекта

Routing Table

88

Значение

main

Комментарий

Таблица маршрутизации используется для просмотра информации при определении интерфейса назначения для настраиваемых DHCP-серверов

Окончание табл. 4.10 Имя объекта

Значение

Комментарий

Receive Interface

Lan

Это интерфейс приема пакетов условного виртуального DHCP-сервера. Этот параметр используется для моделирования приема пакетов, когда пул содержит IP-адреса внутренних DHCP-серверов. Параметр необходим, так как в критерии фильтрации DHCP-серверов включен параметр Receive Interface

5

Определяет количество IP-адресов, которые необходимо зарезервировать для аренды. Предварительное резервирование повышает быстродействие системы, так как после запроса времени на получение IP-адреса не требуется (если зарезервированные IP-адреса уже есть)

Prefetch Leases

Результаты корректной настройки показаны на рис. 4.16.

Рис. 4.16. Корректная настройка IP Pool на МСЭ_1

89

Шаг 4. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 5. Проверка результатов. Для начала проверьте, получил ли МСЭ_1 указанный пул адресов от DHCP-сервера. Для этого подключитесь к CLI-интерфейсу МСЭ_1. В командной строке (CLI) введите: DFL-860E:/> ippool –show

Результаты ввода команды представлены на рис. 4.17.

Рис. 4.17. Вывод команды ippool -show

Часть 2. Основные настройки DHCP с использованием CLI-интерфейса Задание 1. Настройка МСЭ в роли DHCP-сервера Соберите схему, представленную на рис. 4.18. Клиент DHCP подключен к LAN-интерфейсу МСЭ, рабочая станция для управления CLI-интерфейсом — к серийному консольному порту МСЭ. Настройте автоматическое получение сетевых параметров на рабочей станции, которая является DHCP-клиентом.

Рис. 4.18. Схема подключения рабочих станций к МСЭ

90

Порядок выполнения задания 1. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Создание объекта «пул IP-адресов». Добавьте объект IP4Address с именем ip_pool, указав диапазон адресов 192.168.24.20–192.168.24.30. В командной строке (CLI) введите: DFL-860e:/> add Address IP4Address ip_pool Address= 192.168.24.20-192.168.24.30

Шаг 3. Настройка МСЭ в качестве DHCP-сервера. Добавьте объект DHCPServer с именем dhcp_server_test, который подключен к LAN-интерфейсу МСЭ. В качестве пула адресов выберите объект ip_pool, также укажите маску подсети (255.255.255.0), которая будет рассылаться клиентам. В командной строке (CLI) введите: DFL-860e:/> add DHCPServer dhcp_server_test Interface=lan IPAddressPool=ip_pool Netmask=255.255.255.0

Шаг 4. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 5. Проверка результатов. На DHCP-клиенте в настройках сетевых подключений настройте автоматическое получение IP-адреса. После восстановления соединения запустите командную строку (CMD) и введите команду ipconfig. Результат корректного ввода этой команды показан на рис. 4.19.

Рис. 4.19. Корректные настройки DHCP-клиента

Далее проверьте, что МСЭ добавил клиента DHCP в таблицу активных DHCP-сессий. Для вывода всех подключенных клиентов DHCP на МСЭ подключитесь к CLI-интерфейсу МСЭ. В командной строке (CLI) введите: DFL-860E:/> dhcpserver -show DFL-860E:/> dhcpserver -show -mappings

Для этого варианта включения результат корректного вывода каждой из команд show и show-mappings показан на рис. 4.20. 91

Рис. 4.20. Подключенные клиенты DHCP

Задание 2. Настройка МСЭ в роли DHCP-клиента Соберите схему, представленную на рис. 4.21. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ, сервер DHCP — к WAN2-интерфейсу МСЭ. Настройте автоматическое получение сетевых настроек на МСЭ, который играет роль DHCP-клиента. В качестве DHCP-сервера будет использоваться МСЭ, настроенный в задании 1. Для корректного функционирования МСЭ, являющегося DHCP-сервером, измените IP-адрес LAN-интерфейса (например, на 192.168.10.5), чтобы избежать повторения адресов в одной сети. В качестве DHCP-клиента будет использоваться второй МСЭ DFL-860E, предварительно сброшенный до фабричных настроек. Для удобства МСЭ, выполняющий функцию DHCP-клиента, далее в этой лабораторной работе будет называться МСЭ_1, а МСЭ, выполняющий функцию DHCP-сервера, — МСЭ_2.

Рис. 4.21. Схема подключения рабочей станции к МСЭ

92

Порядок выполнения задания 2. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Изменение IP-адреса DHCP-сервера (МСЭ_2). Измените IP-адрес LAN-интерфейса DHCP-сервера на 192.168.10.5. В командной строке (CLI) сначала введите: DFL-860e:/> set Address IP4Address InterfaceAddresses/lan_ip Address=192.168.10.5 dfl-860e:/> activate

и через 3–5 с введите: dfl-860e:/> commit

Шаг 3. Настройка МСЭ_1 как DHCP-клиента на WAN2-интерфейсе. Для WAN2-интерфейса включите функцию получения адреса по DHCP. В командной строке (CLI) сначала введите: DFL-860e:/> set Interface Ethernet WAN2 DHCPEnabled=Yes dfl-860e:/> activate

и через 3–5 с введите: dfl-860e:/> commit

Шаг 4. Проверка результатов. Проверьте, что WAN2-интерфейсу DHCP-клиента присвоен IP-адрес из установленного пула IP Рool. В командной строке (CLI) введите: DFL-860e:/> show Address IP4Address InterfaceAddresses/WAN2_ip

Результат ввода этой команды показан на рис. 4.22.

Рис. 4.22. Статус WAN2-интерфейса

Задание 3. Настройка МСЭ в роли DHCP Relayer Соберите схему, представленную на рис. 4.23. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ, клиент DHCP и сервер DHCP — к LAN-интерфейсам МСЭ. Настройте DHCPRelay для клиентов LAN-сети, чтобы они могли получать IP-адреса от 93

DHCP-сервера. IP-адрес сервера DHCP 192.168.10.5, сервер раздает пул адресов: 192.168.10.100–192.168.10.150. В качестве DHCP-сервера используйте МСЭ_2 из задания 2 части 2, на котором предварительно измените пул IP-адресов на диапазон 192.168.10.100– 192.168.10.150.

Рис. 4.23. Схема подключения рабочих станций к МСЭ

Порядок выполнения задания 3. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Изменение пула IP-адресов на МСЭ_2. Добавьте объект IP4Address с именем ip_pool и адресом 192.168.10.100– 192.168.10.150. Затем в объекте DHCPServer с именем dhcp_server_test измените пул используемых адресов на тот, который содержится в объекте IP4Address с именем server. В командной строке (CLI) введите: DFL-860e:/> add Address IP4Address server Address= 192.168.10.100192.168.10.150 DFL-860e:/> set DHCPServer dhcp_server_test IPAddressPool=server

Шаг 3. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 4. Настройка DHCPRelay на МСЭ_1. Создайте объект IP4Address с именем dhcp_ip и адресом 192.168.10.5. Этот объект будет использоваться для указания IP-адреса DHCP-сервера. Затем 94

добавьте объект DHCPRelay с именем my_dhcp_relay и действие, совершаемое объектом Relay. В качестве адреса DHCP-сервера, которому будут перенаправляться запросы, выберите объект dhcp_ip, а для принятия запросов выберите LAN-интерфейс. В командной строке (CLI) введите: DFL-860E:/> add Address IP4Address dhcp_ip Address=192.168.10.5 DFL-860E:/> add DHCPRelay my_dhcp_relay SourceInterface=lan Action=Relay TargetDHCPServer=dhcp_ip AddRoute=Yes

Шаг 5. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 6. Проверка результатов. Убедитесь в корректной работе функции DHCPRelay. Для этого откройте сетевые настройки рабочей станции, которая является DHCP-клиентом, выберите пункт «Получить IP-адрес автоматически» и подождите, пока восстановится соединение, статус подключения по локальной сети сменится на «Подключено» (рис. 4.24).

Рис. 4.24. Настройка рабочей станции

Затем на рабочей станции DHCP-клиента запустите командную строку (CMD) и введите команду ipconfig /all. Вывод этой команды должен показать, что присвоен IP-адрес из установленного пула адресов и в качестве DHCP-сервера установлен адрес DHCP Relayer 192.168.10.1 (рис. 4.25).

Рис. 4.25. Корректный вывод команды ipconfig /all

95

Задание 4. Настройка IP Pool на межсетевом экране Соберите схему, представленную на рис. 4.26. DHCP-сервер и обе рабочие станции подключены к LAN-интерфейсу МСЭ, который настраивается для раздачи IP-адресов из пула IP Pool. Настройте IP Pool на МСЭ для получения 12 IP-адресов от DHCP-сервера. В качестве DHCP-сервера будет использоваться МСЭ_2 из задания 3 части 1 (на нем должен быть включен DHCP-сервер с пулом IP-адресов 192.168.10.100–192.168.10.150, работающий на LAN-интерфейсе. Адрес DHCP-сервера: 192.168.10.5).

Рис. 4.26. Схема подключения рабочих станций к МСЭ

Порядок выполнения задания 4. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Создание объекта IP4Address. Создайте объект «IP address», в котором укажите адрес DHCP-сервера. В командной строке (CLI) введите: DFL-860e:/> add Address IP4Address ippool_dhcp Address=192.168.10.5

Шаг 3. Настройка пула IP-адресов. Создайте объект IP Pool с именем my_ip_pool. Подсоединитесь к DHCPсерверу по его IP-адресу, который указан в объекте ippool_dhcp. Число арендуемых адресов равно 12. В командной строке (CLI) введите: DFL-860e:/> add IPPool my_ip_pool DHCPServerType=ServerIP ServerIP= ippool_dhcp PrefetchLeases=12

Шаг 4. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: 96

DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 5. Проверка результатов. Проверьте, что МСЭ_1 получил все 12 адресов от DHCP-сервера. В командной строке (CLI) введите: DFL-860e:/> -max 12

Ключ show выводит только первые 10 адресов. Поэтому дополнительно необходимо использовать ключ max с указанием количества адресов для отображения. В текущем примере это значение равно 12. Результат ввода команды ippool –show представлен на рис. 4.27.

Рис. 4.27. Вывод команды ippool -show

Часть 3. Задания для самостоятельной работы Все задания могут быть выполнены как через Web-интерфейс, так и с помощью CLI-интерфейса. Выполнение заданий двумя способами не требуется. Задание 1. Настройка двух DHCP-серверов на МСЭ Соберите схему, представленную на рис. 4.28. Настройте на МСЭ два DHCP-сервера. Один DHCP-сервер будет работать для устройств, подключенных к LAN-интерфейсам, и выдавать адреса из диапазона 192.168.10.15– 192.168.10.23, второй DHCP-сервер — для устройств, подключенных к интерфейсу DMZ, и будет выдавать адреса из диапазона 192.168.(10 + N).50– 192.168.(10 + N).60, где N — это номер вашей лабораторной группы. Например, если номер группы 5, то пул адресов будет 192.168.15.50–192.168.15.60. 97

Рис. 4.28. Схема подключения МСЭ

Задание 2. Настройка IP Pool Соберите схему, представленную на рис. 4.29. Подключите МСЭ к DMZ-интерфейсу DHCP-сервера, который был настроен в предыдущем задании. Настройте IP Pool для получения в аренду N + 5 адресов от DHCP-сервера, где N — это номер вашей лабораторной группы.

Рис. 4.29. Схема подключения МСЭ

Задание 3. Сброс настроек МСЭ до фабричных Сбросьте все использованные межсетевые экраны до фабричных наст роек. На всех рабочих станциях в сетевых подключениях установите «Получить IP-адрес автоматически».

Контрольные вопросы и задания 1. Объясните, зачем в сети нужен DHCP-сервер. Какие настройки клиент может получить от DHCP-сервера? 2. Можно ли на одном DFL-860E запустить несколько DHCP-серверов с разными пулами адресов? 3. Чем обусловлено использование технологии DHCPRelay? Опишите процесс DHCPRelay. 98

4. Объясните, зачем применяется технология IP Pool. Можно ли на DFL-860E создать несколько IP Pool с адресами, арендованными у одного DHCP-сервера?

Литература Руководство по эксплуатации D-Link DFL-210/260/260E/800/860/860E/ 1600/2500/2560/2560G. URL: http:/ftp.dlink.ru/pub/FireWall/DEL-860E/Description/ NetdefendOSРуководство%20пользователям.pdf (дата обращения 14 мая 2018 г.). Технологии защиты информации в компьютерных сетях. Межсетевые экраны и интернет-маршрутизаторы / Е.А. Богданова, Н.А. Руденков, А.В. Пролетарский и др. М.: Нац. открытый ун-т «ИНТУИТ», 2013. IETF Tools: RFC 2131 Dynamic Host Configuration Protocol. URL: https://tools.ietf.org/html/rfc2131 (дата обращения 14 мая 2018 г.). Xgu.ru: RFC и переводы. URL: http://xgu.ru/wiki/RFC_и_переводы (дата обращения 14 мая 2018 г.).

Работа № 5 Настройка трансляции сетевых адресов на межсетевом экране D-Link DFL-860Е Цель работы — изучение технологии NAT, PAT, SAT, механизма DNS Relay на МСЭ, механизма фильтрации по MAC-адресу и создание нескольких подсетей на LAN-интерфейсе. Объем работы: 4 ч.

Основные теоретические сведения Межсетевые экраны позволяют обеспечить безопасные соединения для защищаемой сети с помощью технологии NAT. В МСЭ серии DFL не предусмотрен встроенный DNS-сервер, но имеется возможность настроить перенаправление DNS-запросов от хостов во внутренней сети к внешним DNS-серверам. Параметры ARP позволяют осуществлять фильтрацию по MAC-адресам и создавать дополнительные подсети. Трансляция сетевых адресов Возможность присваивать другие IP-адреса пакетам, проходящим через МСЭ, называется преобразованием (трансляцией) IP-адресов. Технология NAT (Network Address Translation) обеспечивает механизм преобразования исходного IP-адреса источника в другой адрес. При использовании NAT у исходящих пакетов изменяются IP-адреса источников, а IP-адреса входящих пакетов, направленных по адресу этого источника, снова преобразуются в исходные IP-адреса. Наиболее важные преимущества технологии NAT заключаются в следующем: •• механизм трансляции адресов скрывает IP-адреса внутренних компьютеров, значительно усложняя получение доступа к ним извне; •• только МСЭ требуется публичный IP-адрес. Хостам и сетям за МСЭ могут быть назначены приватные IP-адреса, но они имеют доступ к публичной сети Интернет через публичный IP-адрес. Существуют три базовые концепции трансляции адресов: 1) Static NAT — статический NAT; 2) Dynamic NAT — динамический NAT; 3) NAPT, NAT overload или PAT — перегруженный NAT. Статический NAT отображает локальные IP-адреса на конкретные пуб личные адреса на основании один к одному. Применяется, когда локальный хост должен быть доступен извне с использованием фиксированных адресов. Динамический NAT отображает набор частных адресов на некое множество публичных IP-адресов. Если число локальных хостов не превышает число имеющихся публичных адресов, каждому локальному адресу будет гарантироваться соответствие публичного адреса. В противном случае число хостов, которые могут одновременно получить доступ во внешние сети, будет ограничено количеством публичных адресов. 100

Powered by TCPDF (www.tcpdf.org)

Перегруженный NAT — форма динамического NAT, который преобразует несколько частных адресов в единственный публичный IP-адрес, используя различные порты. Применение NAT-преобразования Механизм NAT обеспечивает преобразование IP-адресов «много в один», при котором каждое NAT-правило из набора IP-правил будет выполнять преобразование нескольких IP-адресов источника в один. Чтобы обработать данные о состоянии сессии, для каждого соединения, установленного с динамически преобразованного адреса, применяется уникальная комбинация из номера порта и IP-адреса отправителя. Помимо IP-адреса источника, МСЭ также осуществляет автоматическое преобразование номера порта источника. То есть для того, чтобы установить соединение, IP-адреса нескольких источников преобразуются в один IP-адрес, и соединения различаются только по уникальному номеру порта каждого соединения. При установлении очередного NAT-соединения МСЭ случайным образом определяет следующий свободный номер порта источника, что повышает уровень безопасности. На рис. 5.1 демонстрируется применение механизма NAT в процессе установления нового соединения.

Рис. 5.1. Пример функционирования механизма NAT

IP-адрес источника, используемый в NAT В МСЭ D-Link существуют три способа определения IP-адреса источника, который будет использован в NAT. 1. Использование IP-адреса интерфейса. При установлении нового соединения для него по таблице маршрутизации назначается выходной интерфейс, и когда межсетевой экран выполняет преобразование адресов, IP-адрес принятого интерфейса используется в качестве нового IP-адреса источника. Это способ определения IP-адреса по умолчанию. 2. Назначение определенного IP-адреса. В качестве нового IP-адреса источника может быть назначен определенный IP-адрес. Для этого необходи101

мо, чтобы этот IP-адрес публиковался в ARP (Address Resolution Protocol — протокол определения адреса) на выходном интерфейсе, так как в противном случае обратный трафик не будет получен МСЭ. Этот способ применяется, когда IP-адрес источника должен отличаться от адреса интерфейса источника. Например, интернет-провайдер с помощью механизма NAT может выдавать разные IP-адреса разным клиентам. 3. Использование IP-адреса из NAT-пула. В качестве IP-адреса источника может применяться NAT-пул — диапазон IP-адресов, определенный администратором сети. В этом случае в качестве IP-адреса NAT будет приниматься очередной доступный IP-адрес из пула. При этом NAT-пулов может существовать несколько. Кроме того, один NAT-пул может использоваться в более чем одном NAT-правиле. NAT Pool Число одновременных NAT-соединений не может превышать 64 500. Каждое соединение содержит уникальную пару IP-адресов, под этим подразумевается соединение, установленное между IP-адресом на каком-либо интерфейсе МСЭ и IP-адресом некоторого внешнего хоста. Но если два разных IP-адреса внешнего хоста подключены с помощью одного и того же NAT-адреса МСЭ, то они составляют две разные уникальные IP-пары. Поэтому число в 64 500 одновременных соединений не является верхним пределом для всего МСЭ. Ограничения числа соединений можно избежать, используя NAT-пулы, которые обычно применяются, если требуется создать много уникальных подключений с помощью одного порта. Менеджер портов в МСЭ может поддерживать до 65 000 соединений с уникальной комбинацией из IP-адреса источника и IP-адреса назначения. Большое количество портов необходимо в случае, если многие внутренние клиенты применяют, например, программные средства для совместного использования файлов. Аналогичные требования могут возникнуть в ситуации, когда множество клиентов одновременно имеет доступ в Интернет через прокси-сервер. Проблема с ограниченным количеством портов решается с помощью выделения дополнительных внешних IP-адресов для выхода в Интернет и использования NAT-пулов для распределения новых подключений через эти IP-адреса. Для применения NAT-пула необходимо наличие нескольких публичных IPадресов. Существует три типа NAT-пулов, каждый из которых выполняет распределение новых подключений разными способами: Stateful (проверка состояния соединения), Stateless (без проверки состояния соединения), Fixed (фиксированный). При назначении внешних IP-адресов в NAT-пул необязательно прописывать их вручную, так как можно выбрать объект «IP-пул» межсетевого экрана. Static Address Translation (SAT) Межсетевые экраны D-Link могут преобразовывать целые диапазоны IPадресов и/или портов. Эти преобразования заключаются в установлении соответствия адреса или порта определенному адресу или порту в новом диапазоне, 102

причем при переназначении адресов и портов предшествующего диапазона им в соответствие ставится не один и тот же адрес/порт. Выполнение этих функций носит название статического преобразования адресов (Static Address Translation, SAT). В отличие от NAT механизм SAT требует определения не одного IP-правила, а нескольких. Правило SAT, которое добавляется первым, определяет только трансляцию адреса, но система NetDefendOS не завершает выбор правил на нахождении подходящего SAT-правила. Система продолжает искать соответствующее действию Allow, NAT- или FwdFast-правило. Только когда оно найдено, первое SAT-правило может быть выполнено. Первое SAT-правило определяет только механизм преобразования адресов. Второе связанное правило, например, правило, связанное с действием Allow, создается, чтобы фактически разрешить прохождение трафика через МСЭ. Самой простой формой использования SAT является преобразование одного IP-адреса. Чаще всего такая ситуация встречается, когда внешним пользователям предоставляют возможность получать доступ к защищенному серверу в зоне DMZ с приватным IP-адресом. При наличии зоны DMZ администратор может размещать в ней ресурсы, которые будут доступны непроверенным клиентам, обычно осуществляющим доступ к серверам через Интернет. Подобные серверы максимально подвержены угрозе внешних атак и угрозе несанкционированного доступа к зашифрованным материалам. Выделяя такие серверы в зону DMZ, защищают их от наиболее восприимчивых к атакам локальных внутренних сетей, и это позволяет МСЭ лучше контролировать поток данных между зоной DMZ и внутренними сетями и быстрее ликвидировать повреждения системы безопасности, которые могут возникать на DMZ-серверах. При создании IP-правил для SAT важно помнить о том, что, например, правило с действием Allow должно разрешать доступ с IP-адресом назначения до его преобразования. Распространенной ошибкой является создание Allow-правила, которое разрешает доступ с адресом, уже преобразованным SAT-правилом. Таким образом, если SAT-правило транслирует адрес назначения с 1.1.1.1 на 2.2.2.2, то затем второе связанное правило должно разрешать прохождение трафика на адрес назначения 1.1.1.1, а не на 2.2.2.2. Только после обработки второго правила дается разрешение на прохождение трафика. Межсетевой экран осуществляет подбор маршрута для переназначенного адреса, чтобы принять решение о том, с какого интерфейса должны отправляться пакеты. DNS Relay Все МСЭ серий DFL поддерживают функцию DNS Relay, начиная с прошивок v2.04 и далее. Функция DNS Relay обеспечивает только передачу/ пересылку DNS-пакетов, так как МСЭ D-Link DFL не имеют встроенного в ядро операционной системы DNS-сервера. Таким образом, они не могут заменить реальный DNS-сервер для обеспечения преобразования доменных имен в IP-адреса. 103

Протокол ARP ARP — протокол в компьютерных сетях, который ставит в соответствие адреса протоколов сетевого уровня (network layer) аппаратным адресам уровня данных (data link layer). Например, ARP используется для разрешения IP-адреса в соответствующий MAC-адрес. Протокол работает на втором уровне модели OSI и инкапсулируется в Ethernet-заголовки для передачи. ARP используется для получения Ethernet-адреса хоста по его IP-адресу. Когда есть необходимость разрешить IP-адрес, в Ethernet-адрес выдается широковещательный ARP-запрос. Этот запрос содержит IP-адрес источника, MAC-адрес источника и IP-адрес назначения. Каждый хост в локальной сети получает это сообщение, хост с указанным IP-адресом назначения отправляет ARP ответное сообщение вызывающему хосту, содержащее свой MAC-адрес. Для задания статического сопоставления IP-адресов и аппаратных адресов (MAC-адресов) применяется ARP-таблица. В МСЭ публикация IP-адреса с использованием ARP служит двум целям: помочь сетевому оборудованию отвечать на ARP-запросы в корректной форме и создать видимость наличия у интерфейса МСЭ более одного IP-адреса. На МСЭ D-Link DFL-860E можно создать ARP-объект со следующими параметрами: •• Mode — тип ARP-объекта. Может работать в одном из следующих режимов: Static — создание фиксированного отображения в локальном ARP-кэше; Publish — публикация IP-адреса на определенном MAC-адресе (или на этом интерфейсе); XPublish — публикация IP-адреса на определенном MAC-адресе и «неправда» о MAC-адресе, отправляющем Ethernet-фрейм, содержащий ARP-ответ; •• Interface — локальный физический интерфейс для ARP-объекта; •• IP Address — IP-адрес для MAC/IP-преобразования; •• MAC Address — MAC-адрес для MAC/IP-преобразования. Если MAC-адрес не определен (все нули), то используется MAC-адрес физического интерфейса отправки. Режимы ARP В режиме Static ARP-объект добавляет определенное отображение MAC/ IP-адреса в ARP-кэш системы NetDefendOS. Наиболее часто статические ARP-объекты применяются в таких ситуациях, когда некоторые внешние сетевые устройства некорректно отвечают ARP-запросы и отправляют неправильный MAC-адрес. Такие проблемы характерны для некоторых сетевых устройств, таких как беспроводные модемы. Статические ARP-объекты могут также использоваться для фиксации IP-адреса к определенному MAC-адресу в целях повышения безопасности или для того, чтобы избежать отказа в обслуживании при наличии в сети незаконных пользователей. Однако такая защита действует только на пакеты, посылаемые на данный IP-адрес, и не распространяется на пакеты, отправляемые с данного адреса. 104

При необходимости вместо MAC-адресов интерфейсов на МСЭ возможно выполнить публикацию (publishing) IP-адресов на определенном интерфейсе вместе с конкретным MAC-адресом. Межсетевой экран будет отправлять ARP-ответы на любые ARP-запросы, получаемые на интерфейсе, связанном с опубликованными IP-адресами. Публикацию ARP-адресов можно осуществлять по ряду следующих причин: 1) для создания представления о том, что на интерфейсе МСЭ используется несколько IP-адресов. Этот бывает полезно, если несколько отдельных IP-диапазонов распределяются на единственной LAN-сети. В каждом IP-диапазоне хосты могут применять шлюз в собственном диапазоне в том случае, когда эти адреса шлюза опубликованы на соответствующем интерфейсе МСЭ; 2) для публикации множественных адресов на внешнем интерфейсе, что позволяет МСЭ преобразовывать статический адрес трафика во множественные адреса и далее отправлять их к внутреннему серверу с приватными IP-адресами. Различают два режима публикации, доступные при публикации пары MAC/IP-адресов: Publish и XPublish. В этих режимах определяются IP-адрес и связанный с ним MAC-адрес. Если MAC-адрес не определен (все нули), то используется MAC-адрес физического интерфейса отправки. Отличие Publish от XPublish заключается в том, что при отправке ARP-запроса в ответ МСЭ получает два MAC-адреса в Ethernet-фрейме: 1) MAC-адрес Ethernet-интерфейса, отправляющего ответ; 2) MAC-адрес в ARP-ответе, который содержится внутри этого фрейма. Как правило, но необязательно, он такой же, как MAC-адреса источника в Ethernet-фрейме. Режим Publish использует реальный MAC-адрес интерфейса отправления для адреса в Ethernet-фрейме. Иногда некоторому сетевому оборудованию в ответе требуются оба MAC-адреса, которые будут совпадать. В этом случае используется режим XPublish, так как он изменяет оба MAC-адреса в ответе, содержащем опубликованный MAC-адрес. Другими словами, XPublish «лжет» об источнике адреса в ARP-ответе. Если опубликованный MAC-адрес совпадает с MAC-адресом физического интерфейса, результат работы Publish и XPublish будет одинаковый.

Порядок выполнения лабораторной работы и задания Лабораторная работа состоит из трех частей. Часть 1 посвящена настройке трансляции сетевых адресов с использованием Web-интерфейса, часть 2 — настройке трансляции сетевых адресов с использованием CLI-интерфейса, часть 3 — выполнению самостоятельного задания. Часть 1. Настройка трансляции сетевых адресов с использованием Web-интерфейса Задание 1. Настройка правил NAT для доступа в Интернет Соберите схему, представленную на рис. 5.2. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ, WAN1-интер105

фейс МСЭ автоматически получает сетевые настройки от DHCP-сервера интернет-провайдера. Настройте динамическое преобразование адресов для МСЭ и рабочей станции, подключенной к LAN-интерфейсу МСЭ.

Рис. 5.2. Схема подключения рабочей станции к МСЭ

Порядок выполнения задания 1. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Создание необходимых сервисов. Зайдите в меню Objects → Services → Add → TCP/UDP Service. Создайте TCP-сервис httpstest, используя параметры из табл. 5.1. Таблица 5.1 Имя объекта

Name Type Source Destination

Значение

httpstest TCP 0-65535 443

Далее создайте TCP/UDP сервис dns-alltest с параметрами, приведенными в табл. 5.2. Таблица 5.2 Имя объекта

Name Type Source Destination

Значение

dns-alltest TCP/UDP 0-65535 53

Шаг 3. Настройка IP-правил МСЭ. Для упорядочивания и сортировки большого числа записей в наборах IP-правил существует возможность создания папок IP-правил. При создании папке задается имя, и она может использоваться для хранения всех IP-правил, принадлежащих одной группе. 106

Для создания папки IP-правил перейдите в меню Rules → IP Rules → Add → → IPRule Folder. На вкладке General укажите имя папки Internet_for_DFL и нажмите ОК. В созданной папке IP-правил Internet_for_DFL перейдите в меню Add → IPRule и создайте IP-правило c действием NAT. На вкладке General введите параметры IP-правила HTTPS_from_LAN из табл. 5.3. Таблица 5.3 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

HTTPS_from_LAN NAT httpstest lan lannet wan1 all-nets

Далее создайте новое IP-правило для DNS. На вкладке General введите параметры IP-правила DNS_from_LAN из табл. 5.4. Таблица 5.4 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

DNS_from_LAN NAT dns-alltest lan lannet wan1 all-nets

Шаг 4. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 5. Настройка сетевого подключения рабочей станции. Убедитесь, что сетевые парамет ры рабочей станции настроены следующим образом: IP-адрес: 192.168.10.2 Маска подсети: 255.255.255.0 Основной шлюз: 192.168.10.1

В качестве адреса DNS-сервера укажите адрес DNS-сервера, полученный от интернет-провайдера (меню Status → → Interfaces → WAN1 → DNS1, DNS2) (рис. 5.3). Также можете использовать следующие адреса публичных серверов для DNS-запросов: 8.8.8.8; 8.8.4.4.

Рис. 5.3. Параметры сетевого подключения рабочей станции

107

Шаг 6. Проверка результатов. Убедитесь, что WAN1-интерфейсу были присвоены необходимые сетевые параметры с помощью протокола DHCP, полученные от интернет-провайдера. В Web-интерфейсе МСЭ перейдите в меню Status → Interfaces → WAN1 (рис. 5.4).

Рис. 5.4. Параметры WAN1-интерфейса

Для проверки наличия доступа в сеть Интернет запустите Web-браузер на рабочей станции и введите требуемый адрес. Далее в Web-интерфейсе МСЭ перейдите в меню Status → Connections и просмотрите установленные со единения (рис. 5.5).

Рис. 5.5. Сообщение об установлении соединения

Задание 2. Настройка DNS Relay Соберите схему, представленную на рис. 5.2. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ, WAN1-интерфейс МСЭ автоматически получает сетевые настройки от DHCP-сервера интернет-провайдера. Настройте функцию DNS Relay. Порядок выполнения задания 2. Шаг 1. Подключение к Web-интерфейсу МСЭ. 108

Шаг 2. Создание необходимых объектов. Зайдите в меню Objects → Address Book → Add → IP4 Address. Введите следующие параметры: Name: dns_server Address: 77.88.8.88

Здесь Address: 77.88.8.88 — адрес DNS-сервера компании Яндекс. Также можете указать другой адрес публичного сервера для DNS-запросов. Шаг 3. Настройка IP-правил МСЭ. Создайте папку IP-правил DNS_Relay_Rules. В папке IP-правил DNS_Relay_Rules перейдите в меню Add → IPRule и создайте IP-правило c действием SAT. На вкладке General введите параметры IP-правила SAT_DNS_Relay из табл. 5.5. Таблица 5.5 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

Комментарий

SAT_DNS_Relay Имя IP-правила SAT Действие, при котором выполняется статическое преобразование адреса (SAT) dns_all Сервис lan Интерфейс источника lannet Сеть источника core Интерфейс назначения lan_ip Сеть назначения

Перейдите на вкладку SAT и введите параметры IP-правила SAT_DNS_Relay из табл. 5.6. Таблица 5.6 Имя объекта

Значение

Комментарий

Translate the

Destination IP

Преобразование IP-адреса назначения

to: New IP Address

dns-server

Выбор нового IP-адреса при преобразовании (трансляции) IP-адреса назначения

Далее в папке IP-правил DNS_Relay_Rules перейдите в меню Add → IPRule и создайте IP-правило c действием NAT. На вкладке General введите параметры из табл. 5.7. Таблица 5.7 Имя объекта

Name Action

Значение

Комментарий

Allow_DNS_Relay Имя IP-правила NAT Правило SAT всегда требует получения разрешения о прохождении трафика от правил Allow, NAT или FwdFast

109

Окончание табл. 5.7 Имя объекта

Service Source Interface Source Network Destination Interface Destination Network

Значение

dns_all lan lannet core lan_ip

Комментарий

Сервис Интерфейс источника Сеть источника Интерфейс назначения Сеть назначения

Убедитесь, что созданные правила (SAT_DNS_Relay и Allow_DNS_Relay) находятся перед другими IP-правилами (перед IP-правилами allow_standart). Правильный порядок расположения IP-правил приведен на рис. 5.6.

Рис. 5.6. Порядок расположения IP-правил

В отличие от NAT механизм SAT требует определения не одного IP-правила, а нескольких. SAT-правило, которое добавляется первым, определяет только трансляцию адреса, но система МСЭ не завершает выбор правил на нахождении подходящего SAT-правила. Система МСЭ продолжает искать соответствующее IP-правило: Allow, Forward Fast, NAT-правило. Второе правило должно быть размещено ниже первого SAT-правила. Только когда второе правило найдено, первое SAT-правило может быть выполнено. Первое SAT-правило определяет только механизм преобразования адресов. Второе, связанное с первым SAT-правилом, например правило с действием Allow, создается, чтобы фактически разрешить прохождение трафика через МСЭ. Шаг 4. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 5. Настройка сетевого подключения рабочей станции. Убедитесь, что на рабочей станции для управления Web-интерфейсом (192.168.10.2/24) в качестве шлюза по умолчанию указан адрес 192.168.10.1. В качестве адреса DNS-сервера укажите адрес lan_ip МСЭ (192.168.10.1). Также убедитесь, что WAN1-интерфейсу были присвоены необходимые сетевые параметры с помощью протокола DHCP, полученные от интернет-провайдера. 110

Шаг 6. Проверка результатов. С помощью утилиты nslookup проверьте разрешение DNS-запросов на рабочей станции, подключенной к LAN-интерфейсу МСЭ. Результат проверки: C:\WINDOWS\system32>nslookup yandex.ru Server: UnKnown Address: 192.168.10.1 Не заслуживающий доверия ответ: Name: yandex.ru Addresses: 2a02:6b8:a::a 77.88.55.66

Сообщение «Не заслуживающий доверия ответ:» (Non-authoritative answer:) говорит о том, что выполняющий запрос DNS-сервер не является владельцем зоны yandex.ru, т. е. записи для узла yandex.ru в его базе отсутствуют и для разрешения имени использовался рекурсивный запрос к другому DNS-серверу. Задание 3. Настройка SAT для Web-сервера, подключенного к DMZ-интер фейсу Соберите схему, представленную на рис. 5.7. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ, Web-сервер — к DMZ-интерфейсу МСЭ, рабочая станция PC2 подключена к WAN2-интерфейсу. Настройте SAT для Web-сервера.

Рис. 5.7. Схема подключения рабочих станций и Web-сервера к МСЭ

Порядок выполнения задания 3. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Настройка необходимых объектов. Измените IP-адрес и значение маски подсети WAN2-интерфейса. Для этого зайдите в меню Objects → Address Book → InterfaceAddresses и введите параметры WAN2-интерфейса, указанные в табл. 5.8. 111

Таблица 5.8 Имя объекта

Name wan2_ip wan2net

Значение

Address 195.19.40.44 195.19.40.0/24

Создайте внешний и внутренний IP-адрес Web-сервера в DMZ. Зайдите в меню Objects → Address Book → Add → IP4 Address. На вкладке General введите параметры из табл. 5.9. Таблица 5.9 Имя объекта

Name ip_ext ip_webserver

Значение

Address 195.19.40.44 172.17.100.7

Комментарий

Имя Внешний IP-адрес IP-адрес Web-сервера в DMZ

Шаг 3. Настройка IP-правил МСЭ. Создайте папку IP-правил WebServer_Rules. В папке IP-правил WebServer_Rules перейдите в меню Add → IPRule и создайте IP-правило c действием SAT. На вкладке General введите параметры SAT_to_WebServer из табл. 5.10. Таблица 5.10 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

SAT_to_WebServer SAT http wan2 all-nets core ip_ext

Перейдите на вкладку SAT и введите параметры IP-правила SAT_DNS_ Relay из табл. 5.11. Таблица 5.11 Имя объекта

Translate the to: New IP Address

Значение

Destination IP ip-webserver

В папке IP-правил WebServer_Rules перейдите в меню Add → IPRule и создайте IP-правило c действием NAT. На вкладке General введите параметры IP-правила SAT_to_WebServer из табл. 5.12. 112

Таблица 5.12 Имя объекта

Action Service Source Interface Source Network Destination Interface Destination Network

Значение

NAT http WAN2 all-nets core ip_ext

Для обеспечения безопасного доступа к серверу в DMZ из внутренней сети (lannet) в папке IP-правил WebServer_Rules создайте IP-правило c действием NAT. На вкладке General введите параметры IP-правила HTTP_from_LAN из табл. 5.13. Таблица 5.13

Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

HTTP_from_LAN NAT http lan lannet dmz ip-webserver

Убедитесь, что созданные правила (SAT_to_WebServer и SATNAT_to_ WebServer) находятся перед другими правилами (перед IP-правилами allow_ standart). Правильный порядок расположения правил приведен на рис. 5.8. Заданный набор правил делает видимыми внешние адреса хостам в DMZ. Если внутренние хосты подключаются к внешнему интерфейсу ip_ext, то они будут способны проходить без NAT с помощью правила SAT. С точки зрения безопасности подобная схема не обеспечивает «невидимость» хостов извне в DMZ.

Рис. 5.8. Порядок расположения IP-правил

113

Шаг 4. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 5. Настройка сетевого подключения рабочей станции. Убедитесь, что на рабочей станции для управления Web-интерфейсом (192.168.10.15/24) в качестве шлюза по умолчанию указан адрес 192.168.10.1. Также проверьте, что на Web-сервере (172.17.100.7/24) в качестве шлюза по умолчанию указан адрес 172.17.100.254. Шаг 6. Настройка Web-сервера. В рамках данного шага необходимо настроить Web-сервер. Ниже представлена инструкция по настройке Web-сервера при использовании ОС Windows. На рабочей станции перейдите в меню «Панель управления» → «Программы» → «Включение или отключение компонентов Windows». Найдите в списке раздел «Службы IIS». Раскройте данный раздел и выберите компоненты «Службы Интернета», «Средства управления веб-сайтом». Дождитесь установки компонентов. После успешной установки необходимых компонентов проверьте работоспособность Web-сервера. Для этого с Web-сервера запустите Web-браузер и перейдите по адресу http://localhost, где localhost — адрес локальной рабочей станции, который соответствует IP-адресу 127.0.0.1 (рис. 5.9).

Рис. 5.9. Домашняя страница IIS

Шаг 7. Проверка результатов. Проверьте, что обеспечивается безопасный доступ к серверу в DMZ из внутренней сети (lannet). Для этого с рабочей станции PC1 (192.168.10.15) 114

запустите Web-браузер и перейдите на адрес http://172.17.100.7 (ip_webserver) (рис. 5.10).

Рис. 5.10. Успешное подключение к Web-серверу

Затем проверьте статическое преобразование адресов для Web-сервера в DMZ. Для этого с рабочей станции PC2 (195.19.40.2) запустите Web-браузер и перейдите на адрес http://195.19.40.44 (ip_ext) (рис. 5.11).

Рис. 5.11. Успешное подключение к Web-серверу

115

Задание 4. Настройка доступа к FTP-серверу при использовании случай ного динамического порта Соберите схему, представленную на рис. 5.12. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ, FTP-сервер — к DMZ-интерфейсу МСЭ, рабочая станция PC2 — к WAN2-интерфейсу. Настройте доступ к FTP-серверу при использовании случайного динамического порта.

Рис. 5.12. Схема подключения рабочих станций и FTP-сервера к МСЭ

Порядок выполнения задания 4. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Создание необходимых объектов. Создайте внутренний и внешний IP-адрес Web-сервера в DMZ. Зайдите в меню Objects → Address Book → Add → IP4 Address. На вкладке General введите IP-адреса Web-сервера в DMZ, используя параметры из табл. 5.14. Таблица 5.14 Имя объекта

Name private_ip public_ip

Значение

Address 172.17.100.2 195.19.40.44

Комментарий

Имя Приватный IP-адрес Web-сервера Публичный IP-адрес Web-сервера

Шаг 3. Создание необходимых сервисов. Зайдите в меню Objects → Services → Add → TCP/UDP Service. Создайте TCP/UDP сервис secret_service с параметрами из табл. 5.15. Таблица 5.15 Имя объекта

Name Type

116

Значение

secret_service TCP

Комментарий

Имя сервиса Выбор TCP-протокола для сервиса

Окончание табл. 5.15 Имя объекта

Source

Destination ALG

Значение

Комментарий

0-65535

Диапазон портов, которые будут использоваться в качестве источника 34512 Порт назначения ftp-passthrough TCP/UDP-сервис может быть связан со шлюзом прикладного уровня — Application Layer Gateway (ALG), что обеспечит более детальную проверку определенных протоколов

Шаг 4. Создание новой записи ARP. Зайдите в меню Interfaces → ARP → Add → ARP. Создайте запись ARP с параметрами из табл. 5.16. Таблица 5.16 Имя объекта

Mode

Interface IP Address MAC

Значение

publish

Комментарий

Публикация IP-адреса на определенном MAC-адресе (или на этом интерфейсе) Wan2 Локальный физический интерфейс для ARP-объекта public_ip IP-адрес для MAC/IP-преобразования 00:00:00:00:00:00 MAC-адрес физического интерфейса для MAC/ IP-преобразования

Шаг 5. Настройка IP-правил МСЭ. Создайте папку IP-правил FTP_Secret_Rules. В папке IP-правил FTP_ Secret_Rules перейдите в меню Add → IPRule и создайте IP-правило c действием SAT. На вкладке General введите параметры IP-правила PAT_rule из табл. 5.17. Таблица 5.17

Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

PAT_rule SAT secret_service wan2 all-nets core wan2_ip

Перейдите на вкладку SAT и введите IP-правила PAT_rul из табл. 5.18. Таблица 5.18 Имя объекта

Translate the: to New IP Address: New Port:

Значение

Destination IP private_ip 21

117

Далее в папке IP-правил FTP_Secret_Rules перейдите в меню Add → IPRule и создайте IP-правило c действием NAT. На вкладке General введите параметры IP-правила Allow_PAT из табл. 5.19. Таблица 5.19 Имя объекта

Значение

Name Action Service Source Interface Source Network Destination Interface Destination Network

Allow_PAT NAT secret_service wan2 all-nets core wan2_ip

Убедитесь, что созданные правила (PAT_Rule и Allow_PAT) находятся перед другими правилами (перед IP-правилами allow_standart). Порядок расположения правил приведен на рис. 5.13.

Рис. 5.13. Порядок расположения IP-правил

Шаг 6. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 7. Настройка FTP-сервера. Осуществите настройку с представленной ниже инструкцией по настройке FTP-сервера при использовании ОС Windows. На рабочей станции перейдите в меню «Панель управления» → «Программы» → «Включение или отключение компонентов Windows». Найдите в списке раздел «Службы IIS». Раскройте данный раздел и выберите компоненты «Расширяемость FTP», «Служба FTP» и «Консоль управления IIS», затем нажмите ОК и ждите завершения процесса (рис. 5.14). 118

Рис. 5.14. Окно «Компоненты Windows»

Далее перейдите в «Панель управления» → «Администрирование» и выберите «Диспетчер служб IIS». Затем перейдите на вкладку «Сайты», нажмите правую кнопку мыши и в выпадающем меню выберите «Добавить FTP-сайт» (рис. 5.15).

Рис. 5.15. Добавление FTP-сайта

Укажите название сайта и его расположение, затем нажмите «Далее» (рис. 5.16). В окне «Параметры привязки и SSL» укажите параметры запуска FTP-сервера. В разделе «Привязка» укажите IP-адреса: все свободные, Порт: 21. Если нет необходимости в автоматическом запуске FTP-сервера, снимите галочку «Запускать FTP сайт автоматически». В разделе «SSL» установите «Без SSL», затем нажмите «Далее». В окне «Сведения о проверке подлинности и авториза119

Рис. 5.16. Окно «Сведения о сайте»

ции» выберите галочки «Анонимный» и «Обычная». Затем для предоставления доступа всех пользователей к FTP-серверу в разделе «Авторизация» необходимо выбрать меню «Разрешить доступ к:» и «Все пользователи» и установить разрешения «Чтение» и «Запись». Перейдите в «Панель управления» → «Брандмауэр Windows» → «Дополнительные параметры» → «Правила для входящих соединений» (рис. 5.17). Выберите и активируйте пункты FTP Server Passive (чтобы можно было подключиться к FTP в пассивном режиме) и FTP-сервер.

Рис. 5.17. Окно «Правила для входящих соединений»

Далее перейдите в раздел «Правила для исходящих соединений» (рис. 5.18) и активируйте пункт «FTP Server»

Рис. 5.18. Окно «Правила для исходящих соединений»

Шаг 8. Проверка результатов. Убедитесь в работоспособности FTP-сервера. Для этого на FTP-сервере запустите Web-браузер и в адресной строке введите адрес ftp://172.17.100.2. В случае правильной настройки отобразится окно с приветствием FTP-сер120

Powered by TCPDF (www.tcpdf.org)

вера и его содержимым. Далее проверьте доступность FTP-сервера, находящегося за случайным динамическим портом 34512. Для этого с рабочей станции PC2 (195.19.40.2) запустите Web-браузер и перейдите по адресу ftp://195.19.40.44:34512. Результаты подключения представлены на рис. 5.19.

Рис. 5.19. Успешное подключение к FTP-серверу

Задание 5. Фильтрация по MAC-адресу Соберите схему, представленную на рис. 5.20. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ, сервер — к DMZ-интерфейсу МСЭ. Обеспечьте защиту сервера, подключенного к DMZ-интерфейсу с помощью фильтрации по MAC-адресу, в результате чего трафик к IP-адресу сервера с другим MAC-адресом будет отброшен.

Рис. 5.20. Схема подключения сервера и рабочей станции к МСЭ

Порядок выполнения задания 5. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Создание необходимых объектов. Создайте IPv4-адрес сервера в DMZ. Для этого зайдите в меню Objects → → Address Book → Add → IP4 Address. На вкладке General введите следующие параметры: Name: ip-server Address: 172.17.100.7

121

Шаг 3. Создание новой записи ARP. Зайдите в меню Interfaces → ARP → Add → ARP. Создайте запись ARP с параметрами из табл. 5.20. Таблица 5.20

Имя объекта

Mode

Interface IP Address MAC

Значение

Комментарий

static

Создание фиксированного отображения в локальном ARP-кэше dmz Локальный физический интерфейс для ARP-объекта ip-server IP-адрес для MAC/IP-преобразования В соответствии Введите MAC-адрес сервера для MAC/IP-преобра с MAC-адресом зования

Шаг 4. Настройка IP-правил МСЭ. Создайте IP-правило, разрешающее передачу ICMP-сообщений. Для этого перейдите в меню Rules → IP Rules → Add → IPRule, затем создайте новое IP-правило icmp_to_server. На вкладке General введите параметры IP-правила PAT_rule из табл. 5.21. Таблица 5.21

Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

icmp_to_server Allow all_icmp lan lannet dmz ip-server

Шаг 5. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 6. Настройка сетевых подключений рабочих станций. Убедитесь, что сетевые параметры сервера настроены следующим образом: IP-адрес: 172.17.100.7 Маска подсети: 255.255.255.0 Основной шлюз: 172.17.100.254

Также проверьте, что на рабочей станции для управления Web-интерфейсом в качестве шлюза по умолчанию указан адрес 192.168.10.1. Шаг 7. Проверка результатов. Перед выполнением проверки убедитесь, что на брандмаэуре FTP-сервера разрешено прохождение ICMP-трафика (рис. 5.21).

Рис. 5.21. Сетевые настройки легального сервера

122

С рабочей станции, подключенной к LAN-интерфейсу МСЭ, выполните команду ping для проверки доступности легального сервера, подключенного к DMZ-интерфейсу. Результаты выполнения команды ping: C:\Windows\system32>ping 172.17.100.7 Обмен Ответ Ответ Ответ

пакетами с 172.17.100.7 по с 32 байтами данных: от 172.17.100.7: число байт=32 время=4мс TTL=64 от 172.17.100.7: число байт=32 время=2мс TTL=64 от 172.17.100.7: число байт=32 время=4мс TTL=64

Далее посмотрите лог-сообщения МСЭ. Убедитесь, что отобразится сообщение об установленном соединении (рис. 5.22).

Рис. 5.22. Успешное соединение с сервером

Затем разместите в DMZ подложный сервер, имеющий другой MAC-адрес (рис. 5.23).

Рис. 5.23. Сетевые настройки подложного сервера

С рабочей станции, подключенной к LAN-интерфейсу МСЭ, выполните команду ping до сервера с подмененным MAC-адресом. Убедитесь, что трафик к IP-адресу сервера с другим MAC-адресом будет отброшен. Результаты выполнения команды ping: C:\Windows\system32>ping 172.17.100.7 Обмен пакетами с 172.17.100.7 по с 32 байтами данных: Превышен интервал ожидания для запроса.

Посмотрите лог-сообщения МСЭ. Убедитесь, что выводится ошибка arp_collides_with_static. Возникновение данной ошибки означает, что аппаратный адрес отправителя не соответствует статической записи в ARP-таблице (рис. 5.24). 123

Рис. 5.24. Лог-сообщение МСЭ при подмене MAC-адреса

Задание 6. Создание нескольких подсетей на LAN-интерфейсе Соберите схему, представленную на рис. 5.25. Рабочая станция для управления CLI-интерфейсом подключена к LAN-интерфейсу МСЭ, рабочие станции из подсетей lannet2 и lannet3 также подключены к LAN-интерфейсу МСЭ. Создайте несколько подсетей на интерфейсе LAN, для этого настройте публикацию ARP-записей в режиме Publish.

Рис. 5.25. Схема подключения рабочих станций к МСЭ

Порядок выполнения задания 6. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Создание необходимых объектов. Зайдите в меню Objects → Address Book → Add → IP4 Address. Создайте объекты lan_ip2, lannet2, lan_ip3, lannet3 с параметрами из табл. 5.22. Таблица 5.22 Имя объекта

Name lan_ip2 lannet2 lan_ip3 lannet3

124

Значение

Address 10.1.1.1 10.1.1.0/24 10.255.255.1 10.255.255.0/24

Шаг 3. Создание новой записи ARP. Зайдите в меню Interfaces → ARP → Add → ARP. Создайте запись ARP для адреса lan_ip2 с параметрами из табл. 5.23. Таблица 5.23 Имя объекта

Mode Interface IP Address MAC

Значение

Publish lan lan_ip2 00:00:00:00:00:00

Далее создайте запись ARP для адреса lan_ip3 с параметрами из табл. 5.24. Таблица 5.24 Имя объекта

Mode Interface IP Address MAC

Значение

Publish lan lan_ip3 00:00:00:00:00:00

Шаг 4. Создание маршрутов к сетям lannet2 и lannet3. Создайте маршрут к сети 10.1.1.0/24. Зайдите в меню Routing → Routing Tables → main → Add → Route. Добавьте запись маршрута для подсети lannet2 с параметрами из табл. 5.25. Таблица 5.25

Имя объекта

Interface Network Metric

Значение

lan lannet2 100

Комментарий

Интерфейс Сеть Метрика

Далее добавьте запись маршрута для подсети lannet3 с параметрами из табл. 5.26. Таблица 5.26

Имя объекта

Interface Network Metric

Значение

lan lannet3 100

Комментарий

Интерфейс, отправляющий пакет в сеть назначения Сеть назначения — диапазон IP-адресов получателей Метрика назначается маршрутизатору и применяется для сравнения весов маршрутов

Шаг 5. Настройка IP-правил МСЭ. Создайте папку IP-правил. Для этого перейдите в меню Rules → IP Rules → → Add → IPRule Folder. На вкладке Name укажите имя папки Lannet_Rules. Далее создайте новое IP-правило c действием Allow в папке IP-правил Lannet_Rules. На вкладке General введите параметры IP-правила icmp_from_lannet2 из табл. 5.27. 125

Таблица 5.27 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

icmp_from_lannet2 Allow all_icmp lan lannet2 core lan_ip

Затем введите параметры IP-правила icmp_from_lannet3 из табл. 5.28. Таблица 5.28 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

icmp_from_lannet3 Allow all_icmp lan lannet3 core lan_ip

Шаг 6. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 7. Настройка сетевых подключений рабочих станций. Убедитесь, что рабочая станция из lannet2 в качестве IP-адреса использует адрес из подсети 10.1.1.0/24, а в качестве основного шлюза — адрес 10.1.1.1. Также проверьте, что рабочая станция из lannet3 в качестве IP-адреса использует адрес из подсети 10.255.255.0/24, а в качестве основного шлюза использует адрес 10.255.255.1. Шаг 8. Проверка результатов. Выполните команду ping к узлу с адресом lan_ip с настроенных соответственно рабочих станций из сетей lannet2 и lannet3. Результаты введения команды ping: C:\Windows\system32>ping 192.168.10.1 –n 2 Обмен пакетами с 192.168.10.1 по с 32 байтами данных: Ответ от 192.168.10.1: число байт=32 время add Service ServiceTCPUDP httpstest DestinationPorts=443 SourcePorts=0-65535 DFL-860E:/> add Service ServiceTCPUDP dns-alltest DestinationPorts=53 SourcePorts=0-65535

Шаг 4. Настройка IP-правил МСЭ. В командной строке (CLI) введите: 127

DFL-860E:/> add IPRuleFolder Name=Internet_NAT DFL-860E:/> cc IPRuleFolder Internet_NAT DFL-860E:/1(Internet_NAT)> add IPRule Action=NAT DestinationInterface=WAN1 DestinationNetwork=all-nets Service=httpstest SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet Name=HTTPS_from_LAN DFL-860E:/1(Internet_NAT)> add IPRule Action=NAT DestinationInterface=WAN1 DestinationNetwork=all-nets Service=dns-alltest SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet Name=DNS_from_LAN DFL-860E:/1(Internet_NAT)> cc

Шаг 5. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 6. Настройка сетевого подключения на рабочей станции. Убедитесь, что сетевые параметры рабочей станции PC1 настроены следующим образом: IP-адрес: 192.168.10.2 Маска подсети: 255.255.255.0 Основной шлюз: 192.168.10.1

В качестве адреса DNS-сервера укажите адрес DNS-сервера, полученный от интернет-провайдера (например, 8.8.8.8, 8.8.4.4). Шаг 7. Проверка результатов. Убедитесь, что WAN1-интерфейсу были присвоены необходимые параметры с помощью протокола DHCP, полученные от провайдера. Для вывода интерфейса с назначенным IP-адресом WAN1_ip в командной строке (CLI) введите: DFL-860E:/> show Address IP4Address InterfaceAddresses/WAN1_ip

Убедитесь, что IP-адресам WAN1net и WAN1_gw были присвоены необходимые параметры с помощью протокола DHCP. Далее проверьте наличие доступа в сеть Интернет (например, зайдите на сайт https://yandex.ru). Затем убедитесь, что установилось соединение между рабочей станцией и сервером. Для этого с рабочей станции PC1 запустите командную строку. В командной строке (CLI) введите: C:\Users\Admin>netstat -n Активные подключения Имя Локальный адрес TCP 192.168.100.6:51187

Внешний адрес 77.88.55.66:443

Состояние ESTABLISHED

Задание 2. Настройка DNS Relay Соберите схему, представленную на рис. 5.26. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ, 128

рабочая станция PC1 — к LAN-интерфейсу, WAN1-интерфейс получает необходимые параметры по протоколу DHCP от интернет-провайдера. Настройте функцию DNS Relay. Порядок выполнения задания 2. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Создание IP-адреса для DNS-сервера. В командной строке (CLI) введите: DFL-860E:/> add Address AddressFolder labs DFL-860E:/> cc Address AddressFolder labs DFL-860E:/labs> add IP4Address dns_server Address=8.8.8.8 DFL-860E:/labs> cc

Шаг 3. Настройка IP-правил МСЭ. В командной строке (CLI) введите: DFL-860E:/> add IPRuleFolder Name=DNS_Relay_Rule DFL-860E:/> cc IPRuleFolder DNS_Relay_Rule DFL-860E:/1(DNS_Relay_Rule)>add IPRule Action=SAT Service= dns-all SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=core DestinationNetwork=InterfaceAddresses/lan_ip SATTranslateToIP=labs/dns_server SATTranslate DestinationIP Name=DNS_SAT_Rule DFL-860E:/1(DNS_Relay_Rule)> add IPRule Action=NAT DestinationInterface=core DestinationNetwork=InterfaceAddresses/lan_ip Service=dns-all SourceInterface=lan SourceNetwork=InterfaceAddresses/ lannet Name=DNS_NAT_Rule DFL-860E:/1(DNS_Relay_Rule)> cc

Шаг 4. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 5. Настройка сетевого подключения на рабочей станции PC1. Убедитесь, что сетевые параметры рабочей станции PC1 настроены следующим образом: IP-адрес: 192.168.10.2 Маска подсети: 255.255.255.0 Основной шлюз: 192.168.10.1

В качестве адреса DNS-сервера укажите адрес lan_ip МСЭ (192.168.10.1). Также убедитесь, что WAN1-интерфейсу были присвоены необходимые сетевые параметры с помощью протокола DHCP, полученные от интернет-провайдера. Шаг 6. Проверка результатов. С помощью утилиты nslookup проверьте разрешение DNS-запросов на рабочей станции, подключенной к LAN-сети. 129

Результаты выполнения утилиты nslookup: C:\WINDOWS\system32>nslookup yandex.ru Server: UnKnown Address: 192.168.10.1 Не заслуживающий доверия ответ: Name: yandex.ru Addresses: 2a02:6b8:a::a 77.88.55.66 Задание 3. Настройка SAT для Web-сервера, подключенного к DMZ-интер фейсу Соберите схему, представленную на рис. 5.27. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ, рабочая станция PC1 — к LAN-интерфейсу, Web-сервер — к DMZ-интерфейсу МСЭ, рабочая станция PC2 — к WAN2-интерфейсу. Настройте SAT для Web-сервера.

Рис. 5.27. Схема подключения рабочих станций и Web-сервера к МСЭ

Порядок выполнения задания 3. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Создание необходимых объектов. В командной строке (CLI) введите: DFL-860E:/> cc Address AddressFolder labs DFL-860E:/labs> add IP4Address ip_ext Address=195.19.40.44

130

DFL-860E:/labs> add IP4Address ip_webserver Address=172.17.100.7 DFL-860E:/labs> cc

Шаг 3. Настройка интерфейсов. В командной строке (CLI) введите: DFL-860E:/> cc Address AddressFolder InterfaceAddresses DFL-860E:/InterfaceAddresses> set IP4Address WAN2_ip Address=195.19.40.44 DFL-860E:/InterfaceAddresses> set IP4Address WAN2net Address=195.19.40.0/24

Для просмотра настроенных интерфейсов перейдите в каталог и используйте команду show IP4Address. В командной строке (CLI) введите: DFL-860E:/> cc Address AddressFolder InterfaceAddresses DFL-860E:/InterfaceAddresses> show IP4Address

Шаг 4. Настройка IP-правил МСЭ. Создайте папку IP-правил WebServer_Rules. В папке IP-правил WebServer_ Rules настройте необходимые IP-правила. Если размещение на определенной позиции является критичным, можно командой add включить параметр Index= в качестве опции. В командной строке (CLI) введите: DFL-860E:/> add IPRuleFolder Name=Web_Server_Rules Index=1 DFL-860E:/> cc IPRuleFolder Web_Server_Rules DFL-860E:/1(Web_Server_Rules)>add IPRule Action=SAT Service=http SourceInterface=WAN2 SourceNetwork=all-nets DestinationInterface=core DestinationNetwork=labs/ip_ext SATTranslateToIP=labs/ip_webserver SATTranslate DestinationIP Name=SAT_to_Web DFL-860E:/1(Web_Server_Rules)> add IPRule Action=NAT DestinationInterface=core DestinationNetwork=labs/ip_ext Service=http SourceInterface=WAN2 SourceNetwork=all-nets Name=SATNAT_to_Web DFL-860E:/1(Web_Server_Rules)> add IPRule Action=NAT DestinationInterface=dmz DestinationNetwork=labs/ip_webserver Service=http SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet Name=HTTP_from_LAN DFL-860E:/1(Web_Server_Rules)> cc

Шаг 5. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 6. Настройка сетевого подключения рабочей станции РС1. Убедитесь, что на рабочей станции для управления Web-интерфейсом (192.168.10.15/24) в качестве шлюза по умолчанию указан адрес 192.168.10.1. 131

Также проверьте, что на Web-сервере (172.17.100.7/24) в качестве шлюза по умолчанию указан адрес 172.17.100.254. Шаг 7. Настройка Web-сервера. В рамках данного шага необходимо настроить Web-сервер. Настройте Web-сервер в соответствии с шагом 6 задания 3 или другим способом. Шаг 8. Проверка результатов. Проверьте, что обеспечивается безопасный доступ к серверу в DMZ из внутренней сети (lannet). Для этого с рабочей станции PC1 (192.168.10.15) запустите Web-браузер и перейдите на адрес http://172.17.100.7 (ip_webserver) (рис. 5.28).

Рис. 5.28. Успешное подключение к Web-серверу

Затем проверьте статическое преобразование адресов для Web-сервера в DMZ. Для этого с рабочей станции PC2 (195.19.40.2) запустите Web-браузер и перейдите на адрес http://195.19.40.44 (ip_ext) (рис. 5.29).

Рис. 5.29. Успешное подключение к Web-серверу

132

Задание 4. Настройка доступа к FTP-серверу при использовании случай ного динамического порта Соберите схему, представленную на рис. 5.30. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ, рабочая станция PC1 — к LAN-интерфейсу, FTP-сервер — к DMZ-интерфейсу МСЭ, рабочая станция PC2 — к WAN2-интерфейсу.

Рис. 5.30. Схема подключения рабочих станций и FTP-сервера к МСЭ

Порядок выполнения задания 4. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Создание необходимых объектов. В командной строке (CLI) введите: DFL-860E:/> add Address AddressFolder labs DFL-860E:/> cc Address AddressFolder labs DFL-860E:/labs> add IP4Address private_ip Address=172.17.100.2 DFL-860E:/labs> add IP4Address public_ip Address=195.19.40.44 DFL-860E:/labs> cc

Шаг 3. Настройка интерфейсов. В командной строке (CLI) введите: DFL-860E:/> cc Address AddressFolder InterfaceAddresses DFL-860E:/InterfaceAddresses> set IP4Address WAN2_ip Address=195.19.40.44 DFL-860E:/InterfaceAddresses> set IP4Address WAN2net Address=195.19.40.0/24 DFL-860E:/labs> cc

Шаг 4. Создание необходимых сервисов. В командной строке (CLI) введите: DFL-860E:/> add Service ServiceTCPUDP secret_service DestinationPorts=34512 SourcePorts=0-65535 Type=TCP ALG=ftp-passthrough

133

Шаг 5. Создание записей ARP. В командной строке (CLI) введите: DFL-860E:/> add ARP IP=labs/public_ip Interface=WAN2 Mode=Publish

Шаг 6. Настройка IP-правил МСЭ. В командной строке (CLI) введите: DFL-860E:/> add IPRuleFolder Name=FTP_Test Index=1 DFL-860E:/> cc IPRuleFolder FTP_Test DFL-860E:/1(FTP_Test)> add IPRule Action=SAT Service=secret_service SourceInterface=WAN2 SourceNetwork=all-nets DestinationInterface=core DestinationNetwork=InterfaceAddresses/WAN2_ip SATTranslateToIP=labs/ private_ip SATTranslateToPort=21 SATTranslate=DestinationIP Name=PAT_Rule DFL-860E:/1(FTP_Test)> add IPRule Action=NAT Service=secret_service SourceInterface=WAN2 SourceNetwork=all-nets DestinationInterface=core DestinationNetwork=InterfaceAddresses/WAN2_ip Name=Allow_PAT DFL-860E:/1(FTP_Test)> cc

Шаг 7. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 8. Проверка результатов. Убедитесь в работоспособности FTP-сервера. Для этого на FTP-сервере запустите Web-браузер и в адресной строке введите адрес ftp://172.17.100.2. В случае правильной настройки отобразится окно с приветствием FTP-сервера и его содержимым. Далее проверьте доступность FTP-сервера, находящегося за случайным динамическим портом 34512. Для этого с рабочей станции PC2 (195.19.40.2) запустите Web-браузер и перейдите по адресу ftp://195.19.40.44:34512 (рис. 5.31).

Рис. 5.31. Успешное подключение к FTP-серверу

Задание 5. Фильтрация по MAC-адресу Соберите схему, представленную на рис. 5.32. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ, сервер — к DMZ-интерфейсу МСЭ. Обеспечьте защиту сервера, под134

ключенного к DMZ-интерфейсу, с помощью фильтрации по MAC-адресу, в результате чего трафик к IP-адресу сервера с другим MAC-адресом будет отброшен.

Рис. 5.32. Схема подключения сервера и рабочих станций к МСЭ

Порядок выполнения задания 5. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Создание необходимых объектов. В командной строке (CLI) введите: DFL-860E:/> cc Address AddressFolder labs DFL-860E:/labs> add IP4Address ip-server Address=172.17.100.7 DFL-860E:/labs> cc

Шаг 3. Создание записей ARP. В командной строке (CLI) введите: DFL-860E:/> add ARP IP=labs/ip-server Interface=dmz Mode=Static MACAddress= (укажите MAC-адрес Сервера)

Шаг 4. Настройка IP-правил МСЭ. В командной строке (CLI) введите: DFL-860E:/> add IPRuleFolder Name=mac_test DFL-860E:/> cc IPRuleFolder mac_test DFL-860E:/4(mac_test)> add IPRule Action=Allow Service=all_ icmp SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=dmz DestinationNetwork=labs/ip-server Name=icmp_to_server DFL-860E:/4(mac_test)> cc

Шаг 5. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

135

и через 3–5 с введите: DFL-860E:/> commit

Шаг 6. Настройка сетевых подключений рабочих станций. Убедитесь, что сетевые параметры сервера настроены следующим образом: IP-адрес: 172.17.100.7 Маска подсети: 255.255.255.0 Основной шлюз: 172.17.100.254

Также проверьте, что на рабочей станции PC1 для управления Web-интерфейсом в качестве шлюза по умолчанию указан адрес 192.168.10.1. Шаг 7. Проверка результатов. С рабочей станции, подключенной к LAN-интерфейсу МСЭ, выполните команду ping для проверки доступности легального сервера, подключенного к DMZ-интерфейсу. Результаты выполнения команды ping: C:\Windows\system32>ping 172.17.100.7 Обмен пакетами с 172.17.100.7 по с 32 байтами данных: Ответ от 172.17.100.7: число байт=32 время=4мс TTL=64 Ответ от 172.17.100.7: число байт=32 время=2мс TTL=64

Далее разместите в DMZ подложный сервер, имеющий другой MAC-ад рес. Затем с рабочей станции, подключенной к LAN-интерфейсу МСЭ, выполните команду ping до сервера с подмененным MAC-адресом: C:\Windows\system32>ping 172.17.100.7 Обмен пакетами с 172.17.100.7 по с 32 байтами данных: Превышен интервал ожидания для запроса.

Убедитесь, что трафик к IP-адресу сервера с другим MAC-адресом будет отброшен. Задание 6. Создание нескольких подсетей на LAN-интерфейсе Соберите схему, представленную на рис. 5.33. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ, рабочие станции из подсетей lannet2 и lannet3 — к LAN-интерфейсу МСЭ. Создайте несколько подсетей на LAN-интерфейсе. Для этого используйте публикацию ARP-записей в режиме Publish. Порядок выполнения задания 6. Шаг 1. Подключение к CLI. Шаг 2. Создание необходимых объектов. В командной строке (CLI) введите: DFL-860E:/> cc Address AddressFolder labs DFL-860E:/labs> add IP4Address lan_ip2 Address=10.1.1.1 DFL-860E:/labs> add IP4Address lannet2 Address=10.1.1.0/24 DFL-860E:/labs> add IP4Address lan_ip3 Address=10.255.255.1

136

Рис. 5.33. Схема подключения рабочих станций к МСЭ DFL-860E:/labs> add IP4Address lannet3 Address=10.255.255.0/24 DFL-860E:/labs> cc

Шаг 3. Создание записей ARP. В командной строке (CLI) введите: DFL-860E:/> add ARP IP=labs/lan_ip2 Interface=lan Mode=Publish DFL-860E:/> add ARP IP=labs/lan_ip3 Interface=lan Mode=Publish

Шаг 4. Настройка IP-правил МСЭ. В командной строке (CLI) введите: DFL-860E:/> add IPRuleFolder Name=subnet_lab DFL-860E:/> cc IPRuleFolder subnet_lab DFL-860E:/1(subnet_lab)> add IPRule Action=Allow Service=all_icmp SourceInterface=lan SourceNetwork=labs/lannet2 DestinationInterface=core DestinationNetwork=InterfaceAddresses/lan_ip Name=icmp_from_lannet2 DFL-860E:/1(subnet_lab)> add IPRule Action=Allow Service=all_icmp SourceInterface=lan SourceNetwork=labs/lannet3 DestinationInterface=core DestinationNetwork=InterfaceAddresses/lan_ip Name=icmp_from_lannet3 DFL-860E:/1(subnet_lab)> cc

Шаг 5. Создание правил маршрутизации. В командной строке (CLI) введите: DFL-860E:/> cc RoutingTable main

137

DFL-860E:/main> add Route Interface=lan Network=labs/lannet2 Metric=100 DFL-860E:/main> add Route Interface=lan Network=labs/lannet3 Metric=100

Шаг 6. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 7. Настройка сетевых подключений рабочих станций. Убедитесь, что рабочая станция из lannet2 в качестве IP-адреса использует адрес из подсети 10.1.1.0/24, а в качестве основного шлюза — адрес 10.1.1.1. Также проверьте, что рабочая станция из lannet3 в качестве IP-адреса использует адрес из подсети 10.255.255.0/24, а в качестве основного шлюза — адрес 10.255.255.1. Шаг 8. Проверка результатов. Выполните команду ping к узлу с адресом lan_ip с настроенных соответственно рабочих станций из сетей lannet2 и lannet3. Результаты выполнения команды ping: C:\Windows\system32>ping 192.168.10.1 Обмен пакетами с 192.168.10.1 по с 32 байтами данных: Ответ от 192.168.10.1: число байт=32 времяping 192.168.10.1 -l 900 -n 2 Обмен пакетами с 192.168.10.1 по с 900 байтами данных: Ответ от 192.168.10.1: число байт=900 времяiperf3 -s -p 5201 ----------------------------------------------------------Server listening on 5201 -----------------------------------------------------------

На стороне клиента (PC1:192.168.10.15) запустите утилиту в режиме «клиент» с указанием на сервер с IP-адресом 172.17.100.15, с прослушиванием порта 5201, затем, используя опцию –l, задайте длину буфера чтения/записи меньше 1024 байт (для подробной информации используйте опцию –V). В командной строке (CLI) введите: C:\Windows\system32>cd C:\iperf-3.1.3-win64 C:\iperf-3.1.3-win64>iperf3 -c 172.17.100.15 -l 500 -p 5201 //

Используя опцию –l, задайте длину буфера больше 1024 байт. Для этого в командной строке (CLI) введите: C:\iperf-3.1.3-win64>iperf3 -c 172.17.100.15 -l 1500 -p 5201

Задание 3. Разрешение трассировки DFL Соберите схему, представленную на рис. 6.1. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ. Настройте трассировку DFL от рабочей станции внутренней сети, подключенной к LAN-интерфейсу, до удаленного хоста с помощью команды tracert. Порядок выполнения задания 3. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Настройка значения параметра TTL. Зайдите в меню System → Advanced Settings → IP Settings. Для параметра TTL on Low выберите из списка значение Log. После этих операций в журнал будет выводиться сообщение «значение TTL слишком мало». Во избежание вывода подобных сообщений зайдите в меню System → Advanced Settings → → IP Settings, затем для параметра TTL Min выберите значение «1». Шаг 3. Настройка IP-правил МСЭ. Создайте IP-правило, разрешающее трассировку DFL. Для этого перейдите в меню Rules → IP Rules → Add → IP Rule. На вкладке General введите параметры IP-правила tracert_to_DMZ из табл. 6.4. 144

Таблица 6.4 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

tracert_to_DMZ Allow all_icmp lan lannet core dmz_ip

Шаг 4. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 5. Проверка результатов. Выполните трассировку dmz_ip МСЭ с рабочей станции, подключенной к LAN-интерфейсу МСЭ. Для этого в командной строке (CLI) введите: C:\Windows\system32>tracert 172.17.100.254 Трассировка маршрута к 172.17.100.254 с максимальным числом прыжков 30 1 activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 4. Проверка результатов. Проверьте, что настроено ограничение на размер пересылаемых ICMP-сообщений, проходящих через МСЭ. Для этого с рабочей станции, подключенной к LAN-интерфейсу МСЭ, выполните команду ping до lan_ip МСЭ, установив размер пакетов больше 1024 байт. Результат выполнения команды: C:\Windows\system32>ping 192.168.10.1 -l 1400 –n 2 Обмен пакетами с 192.168.10.1 по с 1400 байтами данных: Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Статистика Ping для 192.168.10.1: Пакетов: отправлено = 2, получено = 0, потеряно = 2 (100% потерь)

Выполните команду ping до lan_ip МСЭ, установив размер пакетов меньше 1024 байт. Результат выполнения команды: C:\Windows\system32>ping 192.168.10.1 -l 900 -n 2 Обмен пакетами с 192.168.10.1 по с 900 байтами данных: Ответ от 192.168.10.1: число байт=900 время add Service ServiceTCPUDP iperf SourcePorts=0-65535 DestinationPorts=5201 Type=TCPUDP

Шаг 4. Создание необходимых объектов. В командной строке (CLI) введите: DFL-860E:/> add Address AddressFolder labs DFL-860E:/> cc Address AddressFolder labs DFL-860E:/labs> add IP4Address pc1 Address=192.168.10.15 DFL-860E:/labs> add IP4Address pc2 Address=172.17.100.15 DFL-860E:/labs> cc

150

Шаг 5. Настройка IP-правил МСЭ. В командной строке (CLI) введите: DFL-860E:/> add IPRuleFolder Name=iperf_rule DFL-860E:/> cc IPRuleFolder iperf_rule DFL-860E:/1(iperf_rule)> add IPRule Action=Allow Service=iperf SourceInterface=lan SourceNetwork=labs/pc1 DestinationInterface=dmz DestinationNetwork=labs/pc2 Name=Allow_tcp DFL-860E:/1(iperf_rule)> cc

Шаг 6. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 7. Проверка результатов. Установите TCP-соединение с рабочей станции, подключенной к LAN-интерфейсу МСЭ, до рабочей станции, подключенной к DMZ-интерфейсу, выбрав размер пересылаемых пакетов больше и меньше 1024 байт. На стороне сервера (PC2: 172.17.100.15) перейдите в папку утилиты iperf и запустите утилиту iperf в режиме «сервер», с прослушиванием порта 5201. В командной строке (CLI) введите: C:\Windows\system32>cd C:\iperf-3.1.3-win64 C:\iperf-3.1.3-win64>iperf3 -s -p 5201 ----------------------------------------------------------Server listening on 5201 -----------------------------------------------------------

На стороне клиента (PC1:192.168.10.15) запустите утилиту в режиме «клиент» с указанием на сервер с IP-адресом 172.17.100.15, с прослушиванием на порт 5201, затем с помощью опции -l задайте длину буфера чтения/записи меньше 1024 байт (для подробной информации используйте опцию -V). Для этого в командной строке введите: C:\Windows\system32>cd C:\iperf-3.1.3-win64 \\переход в папку iperf C:\iperf-3.1.3-win64>iperf3 -c 172.17.100.15 -l 500 -p 5201 -t 5 Connecting to host 172.17.100.15, port 5201 [ 4] local 192.168.10.15 port 64418 connected to 172.17.100.15 port 5201 [ ID] Interval Transfer Bandwidth [ 4] 0.00-1.02 sec 208 KBytes 1.68 Mbits/sec [ 4] 1.02-2.00 sec 0.00 Bytes 0.00 bits/sec [ 4] 2.00-3.00 sec 16.0 MBytes 134 Mbits/sec [ 4] 3.00-4.00 sec 19.6 MBytes 165 Mbits/sec [ 4] 4.00-5.00 sec 11.4 MBytes 95.5 Mbits/sec - - - - - - - - - - - - - - - - - - - - - - - - -

151

[ ID] Interval [ 4] 0.00-5.00 [ 4] 0.00-5.00

Transfer Bandwidth sec 47.2 MBytes 79.2 Mbits/sec sec 46.7 MBytes 78.3 Mbits/sec

sender receiver

iperf Done.

Используя опцию –l, задайте длину буфера чтения/записи больше 1024 байт. Для этого в командной строке (CLI) введите: C:\iperf-3.1.3-win64>iperf3 -c 172.17.100.15 -l 1500 -p 5201 -t 5 Connecting to host 172.17.100.15, port 5201 [ 4] local 192.168.10.15 port 64420 connected to 172.17.100.15 port 5201 [ ID] Interval Transfer Bandwidth [ 4] 0.00-1.00 sec 208 KBytes 1.70 Mbits/sec [ 4] 1.00-2.00 sec 0.00 Bytes 0.00 bits/sec [ 4] 2.00-3.00 sec 0.00 Bytes 0.00 bits/sec [ 4] 3.00-4.00 sec 0.00 Bytes 0.00 bits/sec [ 4] 4.00-5.00 sec 0.00 Bytes 0.00 bits/sec - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bandwidth [ 4] 0.00-5.00 sec 208 KBytes 341 Kbits/sec sender [ 4] 0.00-5.00 sec 0.00 Bytes 0.00 bits/sec receiver iperf Done.

Задание 3. Разрешение трассировки DFL Соберите схему, представленную на рис. 6.8. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ, рабочая станция PC1 — к LAN-интерфейсу МСЭ. Настройте трассировку DFL от рабочей станции внутренней сети, подключенной к LAN-интерфейсу, до удаленного хоста с помощью команды tracert. Порядок выполнения задания 3. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Настройка значения параметра TTL. В командной строке (CLI) введите: DFL-860E:/> set Settings IPSettings TTLOnLow=Log TTLMin=1

Шаг 3. Настройка IP-правила МСЭ. В командной строке (CLI) введите: DFL-860E:/> add IPRuleFolder Name=tracert_rule DFL-860E:/> cc IPRuleFolder tracert_rule DFL-860E:/1(tracert_rule)> add IPRule Action=Allow Service=all_icmp SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=core DestinationNetwork=InterfaceAddresses/dmz_ip Name=tracert_to_DMZ DFL-860E:/1(tracert_rule)> cc

152

Шаг 4. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 5. Проверка результатов. Выполните трассировку dmz_ip МСЭ с рабочей станции, подключенной к LAN-интерфейсу МСЭ. В командной строке (CLI) введите: C:\Windows\system32>tracert 172.17.100.254 Трассировка маршрута к 172.17.100.254 с максимальным числом прыжков 30 1 cc

Шаг 3. Создание ICMP-сервиса. В командной строке (CLI) введите: DFL-860E:/> add Service ServiceICMP ping-outbound_lab MessageTypes=Specific EchoRequest=Yes

Шаг 4. Настройка IP-правил МСЭ. В командной строке (CLI) введите:

DFL-860E:/> add IPRuleFolder Name=ping_outbound_rule DFL-860E:/> cc IPRuleFolder ping_outbound_rule DFL-860E:/1(ping_outbound_rule)> add IPRule Action=NAT Service=ping-outbound_lab SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=WAN1 DestinationNetwork=labs/ip_ext Name=Ping_to_Ext DFL-860E:/1(ping_outbound_rule)> cc

Шаг 5. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 6. Проверка результатов. Выполните команду ping от рабочей станции во внутренней сети, подключенной к LAN-интерфейсу МСЭ, до удаленного хоста, доступного по IP-адресу 8.8.8.8. В командной строке (CLI) введите: C:\Windows\system32>ping 8.8.8.8 -n 2 Обмен пакетами с 8.8.8.8 по с 32 байтами данных: Ответ от 8.8.8.8: число байт=32 время=6мс TTL=56 Ответ от 8.8.8.8: число байт=32 время=7мс TTL=56 Статистика Ping для 8.8.8.8: Пакетов: отправлено = 2, получено = 2, потеряно = 0 (0% потерь) Приблизительное время приема-передачи в мс: Минимальное = 6мсек, Максимальное = 7 мсек, Среднее = 6 мсек

Задание 5. Настройка IP-правила для запрета протокола ICMP Соберите схему, представленную на рис. 6.10. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ, сервер — к DMZ-интерфейсу МСЭ, WAN1-интерфейс МСЭ автоматически получает сетевые настройки от DHCP-сервера интернет-провайдера. Настройте IP-правило с действием Reject таким образом, чтобы сервер из DMZ не мог выполнять команду ping до WAN1-интерфейса МСЭ. 154

Рис. 6.10. Схема подключения рабочих станций к МСЭ

Порядок выполнения задания 5. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Настройка IP-правил МСЭ. В командной строке (CLI) введите: DFL-860E:/> add IPRule Action=Reject Service=all_icmp SourceInterface=dmz SourceNetwork=InterfaceAddresses/dmznet DestinationInterface=core DestinationNetwork=InterfaceAddresses/WAN1_ip Name=reject_from_dmz

Шаг 3. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 4. Проверка результатов. Убедитесь, что WAN1-интерфейсу были присвоены необходимые параметры с помощью протокола DHCP, полученные от провайдера. Для вывода интерфейса с назначенным IP-адресом WAN1_ip в CLI-интерфейсе в командной строке введите: DFL-860E:/> show Address IP4Address InterfaceAddresses/WAN1_ip

Результат выполнения команды приведен на рис. 6.11.

Рис. 6.11. Параметры WAN1-интерфейса

155

Затем проверьте, что при выполнении команды ping до WAN1-интерфейса возвратится сообщение о недоступности заданного протокола (рис. 6.12).

Рис. 6.12. Вывод сообщения о недоступности протокола ICMP

Часть 3. Задание для самостоятельной работы Задание может быть выполнено как через Web-интерфейс, так и с помощью CLI-интерфейса. Выполнения задания двумя способами не требуется. Задание. Тестирование производительности сети Соберите схему, представленную на рис. 6.13. Рабочая станция PC1 для функционирования в режиме клиента iperf подключена к LAN-интерфейсу МСЭ, рабочая станция PC2 для функционирования в режиме сервера iperf — к WAN2-интерфейсу МСЭ. Выполните передачу 50 Мбайт данных с сервера по UDP с установленным лимитом 100 Мбит/с. Просмотрите процент потерь (Lost/Total Datagrams) при передаче UDP-трафика.

Рис. 6.13. Схема подключения рабочих станций к МСЭ

156

Контрольные вопросы и задания 1. Может ли протокол ICMP использоваться для коррекции ошибок? 2. Можно ли определить с помощью утилиты ping IP-адрес узла по его доменному имени? 3. Объясните, в чем отличие работы утилиты traceroute от утилиты ping. 4. Объясните, в чем принципиальное отличие протокола UDP от TCP.

Литература Руководство по эксплуатации D-Link DFL-210/260/260E/800/860/860E/ 1600/2500/2560/2560G. URL: http:/ftp.dlink.ru/pub/FireWall/DEL-860E/Description/ NetdefendOSРуководство%20пользователям.pdf (дата обращения 14 мая 2018 г.). Технологии защиты информации в компьютерных сетях. Межсетевые экраны и интернет-маршрутизаторы / Е.А. Богданова, Н.А. Руденков, А.В. Пролетарский и др. М.: Нац. открытый ун-т «ИНТУИТ», 2013. RFC 1393 — Traceroute using an IP Option. URL: https://tools.ietf.org/html/ rfc1393 (дата обращения 14 мая 2018 г.). RFC 792 — Internet Control Message Protocol URL: https://tools.ietf.org/html/ rfc792 (дата обращения 14 мая 2018 г.).

Работа № 7 Управление трафиком на межсетевом экране D-Link DFL-860E Цель работы — изучение функций настройки гарантированного качества обслуживания, а также механизмов Server Load Balancing (SLB) и Threshold Rule на МСЭ D-Link. Объем работы: 4 ч.

Основные теоретические сведения В настоящее время наряду со многими дополнительными информационными услугами, такими как IP-телефония, интерактивные игры, видеоконференции, видеотелефония, доступ к разнообразным базам данных, электронным магазинам и т. д., большой интерес представляют полоса пропускания, безопасность и стабильность связи. По этой причине многие компании, производящие сетевое оборудование, уделяют повышенное внимание средствам управления трафиком и качеству обслуживания QoS. Межсетевые экраны D-Link позволяют ограничивать полосу пропускания трафика как для передачи, так и для приема данных. Данная функция используется в сетях интернет-провайдеров (ISP), а также в инфраструктуре предприятий для выравнивания асимметричного трафика. Для управления трафиком в МСЭ D-Link применяется механизм SLB для распределения нагрузки между серверами, а также механизм Threshold Rule для обнаружения аварийных соединений. Настройка механизма гарантированного качества обслуживания QoS Для поддержки передачи по одной сети трафика потоковых мультимедийных приложений и трафика данных с различными требованиями к пропускной способности необходим механизм QoS (Quality of Service — качество обслуживания), дающий возможность дифференцирования и обработки различных типов сетевого трафика в зависимости от предъявляемых ими требований. Функции качества обслуживания в современных сетях заключаются в обеспечении гарантированного и дифференцированного уровня обслуживания сетевого трафика, запрашиваемого теми или иными приложениями на основе различных механизмов распределения ресурсов, ограничения интенсивности трафика, обработки очередей и приоритизации. Можно выделить три модели реализации QoS в сети: 1) негарантированная доставка данных (Best Effort Service). Эта модель обеспечивает связь между узлами, но не гарантирует надежную доставку данных, время доставки, пропускную способность и определенный приоритет; 2) интегрированные услуги (Integrated Services, IntServ). Модель описана в RFC1633 и предполагает предварительное резервирование сетевых ресурсов с целью обеспечения предсказуемого поведения сети для приложений, требу158

ющих нормального функционирования гарантированной выделенной полосы пропускания на всем пути следования трафика; 3) дифференцированное обслуживание (Differentiated Service, DiffServ). Модель описана в RFC2474, RFC2475 и предполагает разделение трафика на классы с учетом требований к качеству обслуживания. В архитектуре DiffServ каждый передаваемый пакет снабжается информацией, на основании которой принимается решение о его продвижении на каждом промежуточном узле сети в соответствии с политикой обслуживания трафика данного класса (Per-Hop Behavior). Технология DiffServ позволяет классифицировать пакеты из трафика, направленного в локальную сеть. Работа DiffServ базируется на идентификаторе DSCP (DiffServ code Point), представляющем собой первые 6 бит поля ToS (Type of Service, тип обслуживания IP-пакетов). DSCP определяет, как будут перенаправляться пакеты в DiffServ-сети. Изменяя значение идентификатора DSCP, можно распределить различные виды трафика по приоритетам. Таким образом, можно распределять ресурсы согласно значениям DSCP и сконфигурированным правилам. Функция ограничения полосы пропускания трафика (Traffic shaping) работает, оценивая и выстраивая в очередь IP-пакеты в соответствии с заданными параметрами. Установить различные ограничения скоростей и выделить гарантированную полосу пропускания можно на основании адреса источника, адреса назначения и параметров протокола так же, как определяются правила МСЭ. Объектом для управления полосой пропускания трафика служит Pipe-канал (рис. 7.1), через который будут передаваться данные в соответствии с созданными правилами (Pipe Rules).

Рис. 7.1. Управление полосой пропускания трафика по Pipe-каналам

При использовании функции Traffic shaping в МСЭ D-Link различают два основных компонента и два вспомогательных: 1) объект Pipes-канал; 2) правило канала Pipe Rules, включающее: а) фильтр трафика Filter (вкладка General), определяющий тип трафика и направление, к которым будут применяться ограничения или прио ритизация; б) цепочки каналов Pipe Chains (вкладка Traffic Shaping), применяемые при назначении роли для Pipe-трафика в обоих направлениях (Forward chain, Return chain). 159

В МСЭ D-Link используется 8 приоритетов очередей: от 0 (низший приоритет) до 7 (наивысший приоритет). Приоритет будет определяться как отдельная очередность передачи пакетов: трафик с приоритетом 2 будет отправлен перед трафиком с приоритетом 0, трафик с приоритетом 4 будет отправлен перед трафиком с приоритетом 2 и т. д. При конфигурировании Pipe-канала устанавливается 3 значения: Default Precedence, Minimum Precedence и Maximum Precedence. Значение Default Precedence получает пакет в том случае, если он явно не принадлежит какому-нибудь Pipe-правилу. Минимальное и максимальное значения (Minimum Precedence и Maximum Precedence) определяют диапазон приоритетов, в котором может находиться Pipe-канал. В целях контроля полосы пропускания назначается приоритет для первого канала First pipe при выборе одного из значений: •• Use the default from first pipe — каждый канал имеет приоритет по умолчанию (Default precedence), который определяется, начиная с первого канала; •• Use Fixed precedence — по уровням от 0 (низший приоритет) до 7 (наивысший приоритет); •• Map IP DSCP (TOS) — приоритет с идентификатором DSCP. Настройка механизма Server Load Balancing (SLB) Функция позволяет создавать на МСЭ IP-правило с действием SLB_SAT для группы серверов с одним IP-адресом. Такие группы серверов обычно называются серверной фермой и представляют собой кластерное решение для повышения эффективности, доступности и надежности серверных систем. Основным преимуществом SLB является распределение нагрузки между несколькими серверами, что значительно улучшает производительность сетевых приложений. Также с помощью SLB можно контролировать состояние серверов, между которыми распределена нагрузка, для повышения надежности сетевых приложений. Например, при возникновении сбоя или перегрузки сервера механизм SLB прекратит отправку запросов на этот сервер до тех пор, пока сервер не будет восстановлен или пока не снизится нагрузка. Механизм SLB позволяет выполнить перезапуск, обновление, удаление или замену серверов или приложений без влияния на серверы, находящиеся в кластере, или снизить работоспособность приложений. При распределении SLB необходимо определить, между какими серверами распределяется нагрузка и какой алгоритм распределения серверной нагрузки SLB будет использоваться. На МСЭ D-Link применяется два алгоритма распределения серверной нагрузки SLB: Round-robin и Connection-rate. Алгоритм Round-robin распределяет новые входящие соединения между доступными серверами по очереди. При использовании данного алгоритма все серверы получат одинаковое число запросов, поэтому он наиболее подходит для кластеров серверов, где все серверы обладают одинаковыми возможностями и обрабатывают почти одинаковое число запросов. Алгоритм Connection-rate рассматривает число запросов, которое каждый сервер получает в течение определенного периода времени — Window Time. 160

Powered by TCPDF (www.tcpdf.org)

Затем SLB отправляет следующий запрос на сервер, который получил наименьшее число запросов в течение последнего временного периода Window Time. При распределении SLB также необходимо определить, будет ли использоваться привязка (stickiness). В тех случаях, когда необходимо применять один и тот же сервер для последовательных соединений (например, для SSL-соединений), используется опция привязки соединения к определенному адресу — Stickness. Различают следующие виды такой привязки: Pre-state Distribution — означает, что опция Stickness не применяется. Каждое новое соединение не зависит от остальных соединений, даже если оно установлено с одного и того же IP-адреса или сети. По этой причине последующие соединения, установленные одним и тем же клиентом, могут передаваться на различные серверы. IP Address Stickiness — означает, что последовательные соединения, установленные определенным клиентом, будут отправлены на один и тот же сервер, обычно используется для TLS- и SSL-служб, таких как HTTPS; Network Stickiness — служит для привязки клиентов к определенной подсети. Для подсети указывается ее размер в качестве параметра. Если включена опция Stickness, необходимо указать следующие параметры: •• Idle Timeout (тайм-аут простоя) — устанавливает определенное количество секунд, в течение которых действительна запись, фиксирующая IP-адрес источника (причем каждый IP-адрес ассоциируется с определенным слотом) после установки соединения; •• Max Slots (максимальное количество слотов) — определяет максимальное количество слотов в таблице привязки. В случае переполнения таблицы может быть потеряна привязка для любых отброшенных IP-адресов источника; •• Net Size (размер сети) — определяет размер сети, который должен ассоциироваться с IP-адресом источника новых соединений. Для обеспечения непрерывной проверки состояния сервера SLB использует мониторинг состояния сервера, который обеспечивается с помощью режимов ICMP Ping или TCP Connection. ICMP Ping функционирует на 3-м уровне OSI. При этом SLB отправляет запрос ping на IP-адрес каждого отдельного сервера в кластере для выявления неисправных серверов. TCP Connection функционирует на 4-м уровне OSI. При этом SLB пытается подключиться к определенному порту каждого сервера. Например, если Web-службы запущены на порту 80, то SLB отправит запрос TCP SYN на этот порт. Если SLB не получает TCP SYN/ACK обратно, то порт 80 будет отмечен как недействующий. SLB идентифицирует следующие состояния: no response, normal response или closed port response. Для настройки IP-правила с действием SLB_SAT необходимо в следующем порядке указать: 1) IP-адрес для каждого сервера, для которого включен SLB; 2) группу IP-адресов, которая включает все выбранные объекты; 161

3) правило SLB_SAT в наборе IP-правил, которое относится к данной группе IP-адресов и в котором указаны все остальные параметры SLB; 4) следующее правило, которое дублирует интерфейс/сеть источника/назначения правила SLB_SAT, разрешающее прохождение трафика. Это должно быть одно правило или комбинация правил, использующих действия Allow или NAT. Настройка механизма Threshold Rule Правило Threshold Rule заключается в обнаружении аварийных соединений, а также в указании действий, которые необходимо предпринять. Например, причиной аварийного соединения активности может быть внутренний хост, зараженный вирусом, который отправляет на внешние IP-адреса повторяющиеся запросы на соединения. Также причиной аварийного соединения может быть внутренний источник, пытающийся установить большое количество соединений. Параметры Threshold Rule: •• Action — определяет действие, которое запустится при превышении ограничения. Могут быть выбраны действия Audit или Protect. При выборе действия Audit соединение не будет заблокировано, но событие будет зарегистрировано. Действие Protect отбросит установленное соединение, а источник, запустивший правило, автоматически добавится в «черный» список IP-адресов или сетей; •• Group by (группировать по) — указывает, на что будет действовать правило: на хост или на подсеть (Host, Network); •• Threshold (порог) — задает значение порога, при превышении которого будет выполняться запуск действия; •• Threshold Type (тип порога) — устанавливает предел по числу новых соединений в секунду или предел общего числа одновременных подключений, открытых для межсетевых экранов.

Порядок выполнения лабораторной работы и задания Лабораторная работа состоит из трех частей. Часть 1 посвящена управлению трафиком с использованием Web-интерфейса, часть 2 — с использованием CLI-интерфейса, часть 3 — выполнению самостоятельного задания. Часть 1. Управление трафиком с использованием Web-интерфейса Задание 1. Настройка гарантированной полосы пропускания для различ ных типов трафика Соберите схему, представленную на рис. 7.2. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ, WAN1-интерфейс МСЭ автоматически получает сетевые настройки от DHCP-сервера интернет-провайдера. Настройте гарантированную полосу пропускания е-mail, Web-приложений и остальных приложений. 162

Исходные данные: 1) фиксированная скорость восходящего/нисходящего потока для интернет-соединения 2000 Кбит/c / 2000 Кбит/c; 2) протокол SMTP двунаправленный: гарантированная полоса пропускания 800 Кбит/с, максимальная полоса пропускания 1600 Кбит/с; 3) протокол HTTP/HTTPS двунаправленный: гарантированная полоса пропускания 600 Кбит/с, максимальная полоса пропускания 1200 Кбит/с; 4) другие двунаправленные протоколы: полоса пропускания не гарантируется и не ограничивается. Этот трафик будет использовать всю доступную полосу пропускания, если протоколы SMTP/HTTP/HTTPS не загружают полностью полосу пропускания; 5) приоритеты: первый SMTP — 7; второй приоритет HTTP/HTTPS — 5.

Рис. 7.2. Схема подключения рабочей станции к МСЭ

Порядок выполнения задания 1. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Настройка IP-правил МСЭ. Создайте папку IP-правил QoS_for_DFL. В папке IP-правил QoS_for_DFL перейдите в меню Add → IPRule и создайте IP-правило c действием NAT. На вкладке General введите параметры IP-правила SMTP_BW_Control из табл. 7.1. Таблица 7.1 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

SMTP_BW_Control NAT Smtp lan lannet wan1 all-nets

Далее в папке IP-правил QoS_for_DFL создайте IP-правило для протоколов HTTP/HTTPS c действием NAT. На вкладке General введите параметры IP-правила HTTP_BW_Control из табл. 7.2. 163

Таблица 7.2 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

HTTP_BW_Control NAT http-all lan lannet wan1 all-nets

Далее в папке IP-правил QoS_for_DFL создайте IP-правило для остальных протоколов c действием NAT. На вкладке General введите параметры IP-правила Other_BW_Control из табл. 7.3. Таблица 7.3 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

Other_BW_Control NAT all-services lan lannet wan1 all-nets

Далее в папке IP-правил QoS_for_DFL создайте IP-правило для DNS c действием NAT. На вкладке General введите параметры IP-правила DNS_Rule из табл. 7.4. Таблица 7.4 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

DNS_Rule NAT dns-all lan lannet wan1 all-nets

Шаг 3. Создание Pipe-каналов для каждого протокола. Для добавления нового Pipe-канала для нисходящего потока SMTP перей дите в меню Traffic Management → Traffic Shaping → Pipes → Add → Pipe, затем на вкладке General введите параметры Pipe-канала для нисходящего потока SMTP из табл. 7.5 (рис. 7.3). 164

Таблица 7.5 Имя объекта

Name Precedences

Значение

SMTP_Downstream 0,0,7

Комментарий

Имя pipe-канала Оставьте значения по умолчанию

Рис. 7.3. Параметры канала SMTP_Downstream

Перейдите на вкладку Pipe Limits и введите параметры из табл. 7.6. Таблица 7.6 Имя объекта

Precedences 0~7 Total kilobits per second

Значение

— 1600

Комментарий

Оставьте поля незаполненными (по умолчанию) Общее ограничение полосы пропускания

Добавьте новый Pipe-канал для восходящего потока SMTP. Для этого перейдите в меню Add → Pipe. Затем на вкладке General введите параметры из табл. 7.7. Таблица 7.7 Имя объекта

Name Precedences

Значение

SMTP_Upstream 0,0,7

Комментарий

Имя Pipe-канала Оставьте значения по умолчанию

После этого перейдите на вкладку Pipe Limits и введите параметры из табл. 7.8. 165

Таблица 7.8 Имя объекта

Precedences 0~7 Total kilobits per second

Значение

— 1600

Комментарий

Оставьте поля незаполненными (по умолчанию) Общее ограничение полосы пропускания

Добавьте новый Pipe-канал для нисходящего потока HTTP. Для этого перейдите в меню Add → Pipe. Затем на вкладке General введите параметры из табл. 7.9. Таблица 7.9

Имя объекта

Name Precedences

Значение

HTTP_Downstream 0,0,7

Комментарий

Имя Pipe-канала Оставьте значения по умолчанию

После этого перейдите на вкладку Pipe Limits и введите параметры из табл. 7.10. Таблица 7.10

Имя объекта

Precedences 0~7 Total kilobits per second

Значение

— 1200

Комментарий

Оставьте поля незаполненными (по умолчанию) Общее ограничение полосы пропускания

Далее добавьте новый Pipe-канал для восходящего потока HTTP. Для этого перейдите в меню Add → Pipe. Затем на вкладке General введите параметры из табл. 7.11. Таблица 7.11

Имя объекта

Name Precedences

Значение

HTTP_Upstream 0,0,7

Комментарий

Имя Pipe-канала Оставьте значения по умолчанию

Перейдите на вкладку Pipe Limits и введите параметры из табл. 7.12. Таблица 7.12 Имя объекта

Precedences 0~7 Total kilobits per second

Значение

— 1200

Комментарий

Оставьте поля незаполненными (по умолчанию) Общее ограничение полосы пропускания

Добавьте новый Pipe-канал для суммарного нисходящего потока Total Downstream. Для этого перейдите в меню Add → Pipe. Затем на вкладке General введите параметры из табл. 7.13. Таблица 7.13

Имя объекта

Name Precedences

166

Значение

Total_Downstream 0,0,7

Комментарий

Имя Pipe-канала Оставьте значения по умолчанию

Перейдите на вкладку Pipe Limits и введите параметры из табл. 7.14. Таблица 7.14 Имя объекта

Значение

Precedences 7

800

Precedences 5

600

Precedences 3

400

Total kilobits per second

2000

Комментарий

Ограничение полосы пропускания при Precedences 7 Ограничение полосы пропускания для Precedences 5 Ограничение полосы пропускания для Precedences 3 Общее ограничение полосы пропускания

Добавьте новый Pipe-канал для суммарного восходящего потока Total Upstream. Для этого перейдите в меню Add → Pipe. Затем на вкладке General введите параметры из табл. 7.15. Таблица 7.15 Имя объекта

Name Precedences

Значение

Total_Upstream 0,0,7

Комментарий

Имя Pipe-канала Оставьте значения по умолчанию

Перейдите на вкладку Pipe Limits и введите параметры из табл. 7.16. Таблица 7.16 Имя объекта

Значение

Precedences 7 Precedences 5 Precedences 3 Total kilobits per second

800 600 400 2000

Все пакеты, которые проходят через каналы Traffic shaping МСЭ, обладают приоритетом (Precedence). Указание ограничения для приоритета гарантирует минимальное количество полосы пропускания для данного приоритета. Трафик, проходящий через канал, получит гарантию, указанную для приоритета, за счет урезания трафика с более низким приоритетом. Соответственно, Pipe-каналу суммарного потока назначены фиксированные приоритеты, и, например, для Precedence 7 гарантированная полоса пропускания составляет 800 Кбит/с. Проверьте выполненные настройки pipe-каналов в меню Traffic Manage ment → Traffic Shaping → Pipes (рис. 7.4). Шаг 4. Создание Pipe-правил для каждого протокола. Перейдите в меню Traffic Management → Traffic Shaping → Pipe Rules. Добавьте новое правило Pipe Rule для потока SMTP. Введите параметры Pipe-правила SMTP_Shaping из табл. 7.17. 167

Рис. 7.4. Параметры максимальной полосы пропускания трафика Таблица 7.17 Имя объекта

Name Service Source Interface Source Network Destination Interface Destination Network

Значение

SMTP_Shaping smtp lan lannet Wan1 All-nets

Перейдите на вкладку Traffic Shaping и введите параметры из табл. 7.18. Таблица 7.18 Имя объекта

Значение

Selected Forward Chain

SMTP_Upstream, Total_Upstream

Selected Return Chain Precedence

Комментарий

Канал или каналы, которые будут использоваться для трафика, исходящего от МСЭ SMTP_Downstream, Канал или каналы, которые будут Total_Downstream использоваться для входящего трафика с МСЭ Use Fixed Параметру «Use Fixed Precedence» Precedence укажите значение «7». Использование фиксированного приоритета подразумевает, что сработавшее правило канала назначает фиксированный приоритет

SMTP Pipes (SMTP_Upstream или SMTP_Downstream) необходимо расположить перед Total band width (total_Upstream или Total_Downstream) (рис. 7.5). 168

Рис. 7.5. Параметры вкладки Traffic Shaping для протокола SMTP

Далее перейдите в меню Traffic Management → Traffic Shaping → Pipe Rules. Добавьте новое правило Pipe Rule для потока HTTP. Введите параметры Pipe-правила HTTP_Shaping из табл. 7.19. Таблица 7.19 Имя объекта

Name Service Source Interface Source Network Destination Interface Destination Network

Значение

HTTP_Shaping http-all lan lannet Wan1 All-nets

169

Перейдите на вкладку Traffic Shaping и введите параметры из табл. 7.20. Таблица 7.20 Имя объекта

Selected Forward Chain Selected Return Chain Precedence

Значение

Комментарий

HTTP_Upstream, Total_Upstream

Канал или каналы, которые будут использоваться для трафика, исходящего от МСЭ HTTP_Downstream, Канал или каналы, которые будут Total_Downstream использоваться для входящего трафика с МСЭ Use Fixed Параметру Use Fixed Precedence укажиPrecedence те значение «5»

HTTP Pipes (HTTP_Upstream или HTTP_Downstream) необходимо расположить перед Total band width (Total_Upstream или Total_Downstream). Добавьте новое правило Pipe Rule для остальных (Other) протоколов. Введите параметры Other_Protocols_Shaping из табл. 7.21. Таблица 7.21 Имя объекта

Name Service Source Interface Source Network Destination Interface Destination Network

Значение

Other_Protocols All-services lan lannet Wan1 All-nets

Перейдите на вкладку Traffic Shaping и введите параметры из табл. 7.22. Таблица 7.22 Имя объекта

Selected Forward Chain Selected Return Chain Precedence

Значение

HTTP_Upstream, Total_Upstream

Комментарий

Канал или каналы, которые будут использоваться для трафика, исходящего от МСЭ HTTP_Downstream, Канал или каналы, которые будут Total_Downstream использоваться для входящего трафика с МСЭ Use Fixed Параметру Use Fixed Precedence укажиPrecedence те значение «0»

Убедитесь, что настройки Pipe Rule имеют вид, как на рис. 7.6.

Рис. 7.6. Параметры Pipe Rules

170

Шаг 5. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 6. Проверка результатов. Измерьте скорости входящего/исходящего потока для рабочей станции без МСЭ (рис. 7.7). Затем измерьте скорости входящего/исходящего потока с рабочей станции, расположенного за МСЭ. Сравните заданные параметры с полученными при измерении. Для тестирования скорости Интернета запустите Web-браузер и в адресной строке введите адрес http://www.speedtest.net (рис. 7.8).

Рис. 7.7. Скорости входящего/исходящего потока для рабочей станции без использования МСЭ

Рис. 7.8. Скорости входящего/исходящего потока для рабочей станции при использовании МСЭ

171

Задание 2. Настройка опции Server Load Balancing Соберите схему, представленную на рис. 7.9. Рабочая станция для управления Web-интерфейсом и два Web-сервера в кластере серверов подключены к LAN-интерфейсам МСЭ. Приватные IP-адреса серверов: 192.168.10.10 и 192.168.10.11. Рабочая станция внешнего пользователя PC2 подключена к WAN2-интерфейсу МСЭ. Настройте мониторинг серверов в ферме, используя опцию stickiness.

Рис. 7.9. Схема подключения рабочей станции к МСЭ

Порядок выполнения задания 2. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Создание необходимых объектов. Зайдите в меню Objects → Address Book → Add → IP4 Address. Создайте объекты server1_ip, server2_ip, ip_ext с параметрами из табл. 7.23. Таблица 7.23 Имя объекта

Name server1_ip server2_ip ip_ext

Значение

Address 192.168.10.10 192.168.10.11 195.19.40.44

Cоздайте объект IP4 Group. Для этого зайдите в меню Objects → Address Book Add → IP4 Group. На вкладке General задайте имя для группы адресов server_group, затем переместите объекты server1 и server2 из списка Available в список Selected (рис. 7.10). Затем зайдите в меню Objects → Address Book → InterfaceAddresses и измените параметры WAN2-интерфейса, используя табл. 7.24. 172

Рис. 7.10. Параметры объекта server_group Таблица 7.24 Имя объекта

Name wan2_ip wan2net

Значение

Address 195.19.40.44 195.19.40.0/24

Шаг 3. Настройка IP-правил МСЭ. Создайте папку IP-правил ServerCluster_Rules. В папке IP-правил ServerCluster_Rules перейдите в меню Add → IPRule и создайте IP-правило с именем Web_SLB c действием SLB_SAT. На вкладке General введите парамет ры IP-правила Web_SLB из табл. 7.25. Таблица 7.25

Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

Web_SLB SLB_SAT http any all-nets core ip_ext

173

Далее перейдите на вкладку SLB SAT и настройте параметры в соответствии с рис. 7.11. Затем перейдите на вкладку SLB Monitors и настройте параметры в соответствии с рис. 7.12.

Рис. 7.11. Параметры вкладки SLB SAT для IP-правила Web_SLB

Рис. 7.12. Параметры вкладки SLB Monitors для IP-правила Web_SLB

В папке IP-правил ServerCluster_Rules перейдите в меню Add → IPRule и создайте IP-правило c действием NAT. На вкладке General введите параметры IP-правила Web_SLB_NAT из табл. 7.26. 174

Таблица 7.26 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

Web_SLB_NAT NAT http any all-nets core ip_ext

Далее в папке IP-правил ServerCluster_Rules перейдите в меню Add → → IPRule и создайте IP-правило c действием Allow. На вкладке General введите параметры IP-правила Web_SLB_ALW из табл. 7.27. Таблица 7.27 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

Web_SLB_ALW Allow http any all-nets core ip_ext

Шаг 4. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 5. Проверка результатов. В меню Status → Server Load Balancing проверьте доступность серверной фермы, а также просмотрите статистику подключений на серверах и состояние правила SLB. Также убедитесь, что серверы доступны со стороны внутренних и внешних пользователей. Для этого запустите Web-браузер и в адресной строке введите адрес http://195.19.40.44 (рис. 7.13).

Рис. 7.13. Параметры Server Load Balancing

175

Задание 3. Настройка опции Threshold Rule Соберите схему, представленную на рис. 7.14. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ, WAN1-интерфейс МСЭ автоматически получает сетевые настройки от DHCP-сервера интернет-провайдера. Ограничьте общее число подключений для пользователей в LAN-сети значением 10 по протоколу HTTP. В случае превышения предела рабочую станцию заблокируйте на одну минуту.

Рис. 7.14. Схема подключения рабочей станции к МСЭ

Порядок выполнения задания 3. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Создание Threshold Rule. Зайдите в меню Traffic Management → Threshold Rules → Add → Threshold Rule. На вкладке General введите параметры из табл. 7.28. Таблица 7.28 Имя объекта

Name Service Source Interface Source Network Destination Interface Destination Network

Значение

http_rule http-all lan lannet Wan1 All-nets

На вкладке Threshold Action добавьте пороговое действие с параметрами из табл. 7.29.

Таблица 7.29

Имя объекта

Action

Group By Threshold

176

Значение

Protect

Комментарий

При превышении ограничения отбрасывается установленное соединение Host-based Правило создания группы на основе хоста, при котором порог применяется к отдельным соединениям, установленным с различных IP-адресов 10 connections Числовое ограничение, при превышении которого выполняется запуск действия

Далее на вкладке Black List введите параметры времени блокировки из табл. 7.30. Таблица 7.30 Имя объекта

Значение

Комментарий

Activate BlackList

✔

Time to block

60

Включение функции автоматического занесения в «черный список» хоста или сети при превышении установленного ограничения Период времени, в течение которого хост или сеть, являющиеся источником трафика срабатывания политики порога (Threshold Rule), остаются в «черном списке»

Результаты введения параметров Threshold Action представлены на рис. 7.15.

Рис. 7.15. Параметры Threshold Action

Шаг 3. Настройка IP-правил МСЭ. Перейдите в меню Add → IPRule и создайте IP-правило c действием NAT. На вкладке General введите параметры IP-правила NAT-http из табл. 7.31. Таблица 7.31 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

NAT-http NAT http-all lan lannet Wan1 All-nets

Далее создайте новое IP-правило для DNS. На вкладке General введите параметры IP-правила DNS_from_LAN из табл. 7.32. 177

Таблица 7.32 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

DNS_from_LAN NAT dns-all lan lannet wan1 all-nets

Шаг 4. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 5. Проверка результатов. Проверьте работоспособность пороговых правил. С рабочей станции в LAN-сети откройте подключения, превышающие порог срабатывания. Для этого запустите Web-браузер и в адресной строке введите более десяти различных сайтов. Затем зайдите в меню Status → Black List. Проверьте наличие блокировки рабочей станции, превысившей лимит подключений (рис. 7.16).

Рис. 7.16. Параметры Blacklist Status

Часть 2. Управление трафиком на межсетевом экране D-Link 860E с использованием CLI-интерфейса Задание 1. Настройка гарантированной полосы пропускания для различ ных типов трафика Соберите схему, представленную на рис. 7.17. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ, рабочая станция PC1 — к LAN-интерфейсу, WAN1-интерфейс МСЭ автоматически получает сетевые настройки от DHCP-сервера интернет-провайдера. Настройте гарантированную полосу пропускания е-mail, Web-приложений и прочих приложений. Исходные данные: 1) фиксированная скорость восходящего/нисходящего потока для интернет-соединения 2000 Кбит/c / 2000 Кбит/c; 2) протокол SMTP двунаправленный: гарантированная полоса пропускания 800 Кбит/с, максимальная полоса пропускания 1600 Кбит/с; 3) протокол HTTP/HTTPS двунаправленный: гарантированная полоса пропускания 600 Кбит/с, максимальная полоса пропускания 1200 Кбит/с; 178

4) другие двунаправленные протоколы: полоса пропускания не гарантируется и не ограничивается. Этот трафик будет использовать всю доступную полосу пропускания, если протоколы SMTP/HTTP/HTTPS не загружают полностью полосу пропускания; 5) приоритеты: первый SMTP — 7; второй приоритет HTTP/HTTPS — 5.

Рис. 7.17. Схема подключения рабочей станции к МСЭ

Порядок выполнения задания 1. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Настройка WAN1-интерфейса. Если на WAN1-интерфейсе не активирован DHCP, в командной строке (CLI) введите: DFL-860E:/> set Interface Ethernet WAN1 DHCPEnabled=Yes

Шаг 3. Настройка IP-правил МСЭ. В командной строке (CLI) введите: DFL-860E:/> add IPRuleFolder Name=Bandwidth_Rules Index=1 DFL-860E:/> cc IPRuleFolder bandwidth_rules DFL-860E:/1(Bandwidth_Rules)> add IPRule Action=NAT Service=smtp SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=WAN1 DestinationNetwork=all-nets Name=SMTP_BW_Control DFL-860E:/1(Bandwidth_Rules)> add IPRule Action=NAT Service= http-all SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=WAN1 DestinationNetwork=all-nets Name=HTTP_BW_Control DFL-860E:/1(Bandwidth_Rules)> add IPRule Action=NAT Service= all_services SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=WAN1 DestinationNetwork=all-nets Name=Other_BW_Control

179

DFL-860E:/1(Bandwidth_Rules)> add IPRule Action=NAT Service= dns-all SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=WAN1 DestinationNetwork=all-nets Name=DNS_Rule DFL-860E:/1(Bandwidth_Rules)> cc

Шаг 4. Создание Рipe-каналов для каждого протокола. В командной строке (CLI) введите: DFL-860E:/> add Pipe SMTP_Downstream LimitKbpsTotal=1600 PrecedenceMin=0 PrecedenceDefault=0 PrecedenceMax=7 DFL-860E:/> add Pipe SMTP_Upstream LimitKbpsTotal=1600 PrecedenceMin=0 PrecedenceDefault=0 PrecedenceMax=7 DFL-860E:/> add Pipe HTTP_Downstream LimitKbpsTotal=1200 PrecedenceMin=0 PrecedenceDefault=0 PrecedenceMax=7 DFL-860E:/> add Pipe HTTP_Upstream LimitKbpsTotal=1200 PrecedenceMin=0 PrecedenceDefault=0 PrecedenceMax=7 DFL-860E:/> add Pipe Total_Downstream PrecedenceMin=0 PrecedenceDefault=0 PrecedenceMax=7 LimitKbpsTotal=2000 LimitKbps3=400 LimitKbps5=600 LimitKbps7=800 DFL-860E:/> add Pipe Total_Upstream PrecedenceMin=0 PrecedenceDefault=0 PrecedenceMax=7 LimitKbpsTotal=2000 LimitKbps3=400 LimitKbps5=600 LimitKbps7=800

Шаг 5. Создание Рipe-правил для каждого протокола. В командной строке (CLI) введите: DFL-860E:/> add PipeRule SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=WAN1 DestinationNetwork=all-nets Service=smtp Name=SMTP_Shaping ForwardChain=SMTP_Upstream,Total_Upstream ReturnChain=SMTP_ Downstream,Total_Downstream Index=1 Precedence=Fixed FixedPrecedence=7 DFL-860E:/> add PipeRule DestinationInterface=WAN1 DestinationNetwork=all-nets SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet Service=http-all Name=HTTP_Shaping ForwardChain=HTTP_Upstream,Total_Upstream ReturnChain=HTTP_Downstream,Total_Downstream Index=2 Precedence=Fixed FixedPrecedence=5 DFL-860E:/> add PipeRule DestinationInterface=WAN1 DestinationNetwork=all-nets SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet Service=all_services Name=Other_Protocols ForwardChain=HTTP_Upstream,Total_Upstream ReturnChain=HTTP_Downstream,Total_Downstream Index=3 Precedence=Fixed FixedPrecedence=0

Шаг 6. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

180

Powered by TCPDF (www.tcpdf.org)

Шаг 7. Проверка результатов. Измерьте скорости входящего/исходящего потока для рабочей станции без МСЭ (рис. 7.18). Затем измерьте скорости входящего/исходящего потока с рабочей станции, расположенной за МСЭ. Сравните заданные параметры с полученными при измерении. Для тестирования скорости Интернета запус тите Web-браузер и в адресной строке введите адрес http://www.speedtest.net (рис. 7.19).

Рис. 7.18. Скорости входящего/исходящего потока для рабочей станции без использования МСЭ

Рис. 7.19. Скорости входящего/исходящего потока для рабочей станции при использовании МСЭ

181

Задание 2. Настройка опции Server Load Balancing Соберите схему, представленную на рис. 7.20. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ, два Web-сервера в кластере серверов — к LAN-интерфейсам МСЭ, приватные IP-адреса серверов: 192.168.10.10 и 192.168.10.11. Рабочая станция внутреннего пользователя PC1 подключена к LAN-интерфейсу, рабочая станция внешнего пользователя PC2 — к WAN2-интерфейсу МСЭ. Настройте мониторинг серверов в ферме, используя опцию stickiness.

Рис. 7.20. Схема подключения Web-кластера и рабочих станций к МСЭ

Порядок выполнения задания 2. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Создание необходимых объектов. В командной строке (CLI) введите: DFL-860E:/> set IP4Address InterfaceAddresses/WAN2_ip Address=195.19.40.44 DFL-860E:/> set IP4Address InterfaceAddresses/WAN2net Address=195.19.40.0/24 DFL-860E:/> add Address AddressFolder labs DFL-860E:/> cc Address AddressFolder labs DFL-860E:/labs> add IP4Address server1 Address=192.168.10.10 DFL-860E:/labs> add IP4Address server2 Address=192.168.10.11 DFL-860E:/labs> add IP4Address ip_ext Address=195.19.40.44

182

DFL-860E:/labs> add IP4Group server_group Members=labs/server1, labs/server2 DFL-860E:/labs> cc

Шаг 3. Настройка IP-правил МСЭ. В командной строке (CLI) введите: DFL-860E:/> add IPRuleFolder Name= Cluster_Rules Index=1 DFL-860E:/> cc IPRuleFolder Cluster_Rules DFL-860E:/1(Cluster_Rules)> add IPRule Action=SLB_SAT Service=http SourceInterface=any SourceNetwork=all-nets DestinationInterface=core DestinationNetwork=labs/ip_ext SLBAddresses=labs/server_group SLBDistribution=ConnectionRate SLBStickiness=IP SLBMonitorPing=Yes Name=Web_SLB DFL-860E:/1(Cluster_Rules)> add IPRule Action=NAT Service=http SourceInterface=any SourceNetwork=all-nets DestinationInterface=core DestinationNetwork=labs/ip_ext Name=Web_SLB_NAT DFL-860E:/1(Cluster_Rules)> add IPRule Action=Allow Service=http SourceInterface=any SourceNetwork=all-nets DestinationInterface=core DestinationNetwork=labs/ip_ext Name=Web_SLB_ALW DFL-860E:/1(Cluster_Rules)> cc

Шаг 4. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 5. Проверка результатов. В меню Status → Server Load Balancing проверьте доступность серверной фермы, а также просмотрите статистику подключений на серверах и состояние правила SLB. Также убедитесь, что серверы доступны со стороны внутренних и внешних пользователей. Для этого запустите Web-браузер и в адресной строке введите адрес http://195.19.40.44 (рис. 7.21).

Рис. 7.21. Параметры Server Load Balancing

183

Задание 3. Настройка опции Threshold Rule Соберите схему, представленную на рис. 7.22. Рабочая станция для управления CLI-интерфейсом подключена к LAN-интерфейсу МСЭ, рабочая станция PC1 — к LAN-интерфейсу, WAN1-интерфейс МСЭ автоматически получает сетевые настройки от DHCP-сервера интернет-провайдера. Ограничьте общее число подключений для пользователей в LAN-сети значением 10 по протоколу HTTPS. В случае превышения предела рабочую станцию заблокируйте на одну минуту.

Рис. 7.22. Схема подключения рабочей станции к МСЭ

Порядок выполнения задания 3. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Создание Threshold Rule. В командной строке (CLI) введите: DFL-860E:/> add ThresholdRule SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=WAN1 DestinationNetwork=all-nets Service=http-all Name=https_rule Index=1 DFL-860E:/> cc ThresholdRule 1(https_rule) DFL-860E:/1(https_rule)> add ThresholdAction Threshold=10 Action=Protect GroupBy=SourceIP Index=1 ThresholdUnit=Conns BlackList=Yes BlackListTimeToBlock=60 DFL-860E:/1(https_rule)> cc

Шаг 3. Настройка IP-правил МСЭ. В командной строке (CLI) введите: DFL-860E:/> add IPRuleFolder Name= Threshold_Rules Index=1 DFL-860E:/> cc IPRuleFolder Threshold_Rules

184

DFL-860E:/1(Threshold_Rules)> add IPRule Action=NAT Service=http-all SourceInterface=lan SourceNetwork=InterfaceAddresses/ lannet DestinationInterface=WAN1 DestinationNetwork=all-nets Name=NAT-https DFL-860E:/1(Threshold_Rules)> add IPRule Action=NAT DestinationInterface=WAN1 DestinationNetwork=all-nets Service=dns-all SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet Name=DNS_from_LAN DFL-860E:/1(Threshold_Rules)> cc

Шаг 4. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 5. Проверка результатов. Проверьте работоспособность пороговых правил. С рабочей станции в LAN-сети откройте подключения, превышающие порог срабатывания. Для этого запустите Web-браузер и в адресной строке введите более десяти различных сайтов. Затем зайдите в меню Status → Black List (рис. 7.23). Проверьте наличие блокировки рабочей станции, превысившей лимит подключений.

Рис. 7.23. Параметры Blacklist Status

Часть 3. Задание для самостоятельной работы Задание может быть выполнено как через Web-интерфейс, так и с помощью CLI-интерфейса. Выполнения задания двумя способами не требуется. Задание. Настройка полосы пропускания для FTP-сервера Соберите схему, представленную на рис. 7.24. Локальное устройство управления МСЭ подключено к LAN-интерфейсу МСЭ, FTP-сервер подключен к DMZ-интерфейсу МСЭ. Настройте гарантированную полосу пропускания для FTP-сервера. Исходные данные: 1) фиксированная скорость восходящего/нисходящего потока для интернет-соединения 5000 Кбит/c / 5000 Кбит/c; 2) протокол FTP двунаправленный: гарантированная полоса пропускания 800 Кбит/с, максимальная полоса пропускания 1600 Кбит/с; 185

Рис. 7.24. Схема подключения рабочих станций и Web-сервера к МСЭ

3) другие двунаправленные протоколы: полоса пропускания не гарантируется и не ограничивается. Этот трафик будет использовать всю доступную полосу пропускания, если протокол FTP не загружает полностью полосу пропускания; 4) приоритеты: третий приоритет FTP — 3. По окончании необходимых настроек осуществите прием и передачу файлов с FTP-сервера. Убедитесь, что обеспечивается гарантированная полоса пропускания для FTP-трафика. Во время приема/передачи файлов запустите «Диспетчер задач», перейдите на вкладку «Производительность», затем просмотрите статистику использования сети Ethernet.

Контрольные вопросы и задания 1. Для чего необходим механизм QoS? 2. Опишите модели реализации QoS в сети. 3. Опишите принцип работы функции ограничения полосы пропускания трафика Traffic Shaping. 4. Перечислите преимущества использования функции Server Load Balancing в МСЭ D-Link. 5. В чем заключаются различия алгоритмов распределения серверной нагрузки Round-Robin и Connection-rate? 6. В каких случаях используется опция привязки stickness? 7. Каким образом осуществляется мониторинг состояния серверов при использовании SLB? 8. Для чего используется правило Threshold Rule?

Литература Руководство по эксплуатации D-Link DFL-210/260/260E/800/860/860E/ 1600/2500/2560/2560G. URL: http:/ftp.dlink.ru/pub/FireWall/DEL-860E/Description/ NetdefendOSРуководство%20пользователям.pdf (дата обращения 14 мая 2018 г.). 186

Технологии защиты информации в компьютерных сетях. Межсетевые экраны и интернет-маршрутизаторы / Е.А. Богданова, Н.А. Руденков, А.В. Пролетарский и др. М.: Нац. открытый ун-т «ИНТУИТ», 2013. IETF Tools: RFC 1633 Integrated Services in the Internet Architecture: an Overview. URL: https://www.ietf.org/rfc/rfc1633.txt (дата обращения 14 мая 2018 г.). IETF Tools: RFC 2475 An Architecture for Differentiated Services. URL: https://tools.ietf.org/html/rfc2475 (дата обращения 14 мая 2018 г.).

Работа № 8 Настройка аутентификации пользователей на межсетевом экране D-Link DFL-860E Цель работы — изучение авторизации доступа пользователей в защищаемой сети и доступа к серверам в защищаемых интерфейсах МСЭ. Объем работы: 4 ч.

Основные теоретические сведения При подключении пользователей к защищенным ресурсам через МСЭ необходимо осуществить процесс аутентификации. Цель аутентификации — подтверждение идентичности пользователя, на основании которой администратор сети может разрешить или запретить ему доступ к определенным ресурсам. В рамках данной лабораторной работы изучается процесс аутентификации пользователя, при котором для получения доступа к ресурсам пользователь вручную вводит комбинацию из учетного имени пользователя и пароля. Примером может служить получение доступа к сети Интернет клиентами внутренней сети через МСЭ D-Link по протоколу HTTP. При таком типе аутентификации комбинация из имени пользователя и пароля становится объектом атак различных программных средств, цель которых подобрать или разгадать комбинацию. Поэтому при создании пароля рекомендуется использовать не менее 8 символов, которые не будут повторяться, цифры, специальные символы и буквы в разных регистрах. Аутентификация пользователей с помощью локальной базы Аутентификация пользователей в МСЭ может быть выполнена на основе следующих аутентификационных источников: •• локальной внутренней базы пользователей (local internal user database); •• RADIUS-сервера; •• LDAP-сервера. Аутентификационные источники содержат записи о пользователях, с полями «имя пользователя/пароль». Настройка аутентификации пользователей может быть выполнена в несколько этапов, описанных ниже. 1. Создание и заполнение аутентификационного источника. 2. Задание аутентификационных правил (Authentication Rule), описывающих, какой проходящий через МСЭ трафик должен быть аутентифицирован и какой аутентификационный источник будет для этого использован. 3. При необходимости задание IP-объекта для IP-адресов аутентифицируемых клиентов. Такая привязка может быть сделана напрямую для правила аутентификации в качестве IP-адреса инициатора соединения или может быть ассоциирована с группой аутентификации (Authentication Group). 4. Настройка IP Rule для разрешения аутентификации и разрешения клиентам, входящим в заданный в предыдущем пункте IP-объект, доступа к ресурсам. 188

Локальная база пользователей встроена в операционную систему МСЭ, содержит профили авторизованных пользователей и групп пользователей. Имена пользователей и пароли могут быть введены в эту базу через Web-интерфейс или командную строку. Каждый пользователь в локальной базе пользователей может быть членом одной или более групп аутентификации. Эти группы не являются предопределенными, задаются текстовой строкой, чувствительной к регистру. Группы аутентификации не используются с правилами аутентификации. Они ассоциируются с IP-объектами, которые далее применяются в наборе IP-правил (IP Rule set). Использование групп с IP-правилами заключается в следующем. При задании сети источника в IP Rule создаются определенный пользователем IP-объект и группа аутентификации, которая связывается с этим IP-объектом. Это будет означать, что правила IP Rule применяются только к пользователям, прошедшим аутентификацию и принадлежащим связанной с ними группе сети источника. Цель использования этого механизма — ограничить доступ к определенным сетям отдельным группам по правилам, применяемым только к членам этих групп. Для предоставления доступа необходимо создать разрешающее правило IP Rule, и пользователь должен принадлежать к той же группе, что и группа правил для сети источника. Существуют две административные группы по умолчанию: administrators и auditors. Члены группы administrators могут подключаться к МСЭ через Web-интерфейс или командную строку и изменять конфигурацию устройства. Члены группы auditors могут только просматривать конфигурацию МСЭ, но не могут изменять ее. Правила аутентификации Правила аутентификации Authentication Rules должны быть определены для пользователя, прошедшего проверку имени пользователя, пароля и установившего соединение через МСЭ. Правила аутентификации аналогичны другим политикам безопасности МСЭ. В этом случае также указывается, какой трафик будет проверяться правилами. Отличие заключается в отсутствии проверки сети или интерфейса назначения. Можно выделить следующие параметры правил аутентификации (меню User Authentication → User Authentication Rules → Add → User Authentication Rule): 1) агент аутентификации (Authentication Agent) — тип трафика для аутентификации. Возможен один из следующих типов трафика: •• HTTP — аутентификация Web-подключения через пользовательскую страницу по протоколу HTTP; •• HTTPS — аутентификация Web-подключения через пользовательскую страницу по протоколу HTTPS; •• XAuth — IKE-аутентификация, используемая как часть реализации VPN-туннеля с IPSec. Является расширением нормального IKE-обмена и предоставляет возможность дополнения к обычной IPSec-безопасности, означающего необходимость указания имени пользователя и пароля при доступе по VPN-туннелю. При этом параметр interface не вводится при правилах XAuth-аутентификации, так как единственное правило с агентом XAuth будет 189

использовано для всех IPSec-туннелей (для всех туннелей применяется единственный источник аутентификации); •• PPP — для L2TP- или PPTP-аутентификации; 2) источник аутентификации (Authentication Source). Задает один из следующих источников: •• LDAP — поиск пользователей, который будет происходить во внешней базе LDAP-сервера; •• RADIUS — использование внешнего RADIUS-сервера; •• Disallow — явное запрещение всех соединений, вызвавших исполнение этого правила. Подобные соединения никогда не будут аутентифицированы. Правила Disallow лучше всего размещать в конце набора правил аутентификации; •• Local — использование локальной базы пользователей межсетевого экрана; •• Allow — разрешение всех соединений, вызвавших исполнение этого правила. Поиск в базе аутентификации не проводится; 3) интерфейс (Interface). Обязательный для указания параметр — интерфейс источника, на котором будут аутентифицироваться подключения; 4) адрес инициатора (Originator IP) — IP-адрес источника или сети, с которой создаются новые подключения. Для XAuth PPP это Tunnel Originator IP; 5) адрес оконечного устройства (Terminator IP) — конечный адрес, с которым создаются новые подключения. Он задается, только если Authentication Agent задан параметром PPP. Процесс аутентификации пользователей Процесс аутентификации операционной системой МСЭ состоит из нескольких этапов. 1. Пользователь создает новое подключение к МСЭ. 2. Межсетевой экран обнаруживает новое подключение на интерфейсе и проверяет набор правил аутентификации на наличие правила для трафика на данном интерфейсе, пришедшего из определенной сети и одного из типов трафика, указанных в предыдущем подразделе. 3. Если правило не найдено, соединение разрешается на основе набора обычных IP Rule. 4. Основываясь на настройках первого найденного правила аутентификации, МСЭ делает запрос пользователю для аутентификации. 5. Пользователь отвечает вводом идентификационной информации (обычно имя пользователя и пароль). 6. Межсетевой экран проверяет информацию с учетом источника аутентификации, указанного в правиле аутентификации (локальная база пользователей МСЭ, внешний LDAP- или RADIUS-сервер). 7. Межсетевой экран разрешает трафик данного подключения в соответствии с успешной аутентификацией, запросом сервиса и разрешением службы набором IP Rule. Этот объект правил сети источника имеет либо разрешенную опцию No Defined Credentials (нет предопределенных настроек), либо альтернативно связан с группой и конкретным пользователем данной группы. 8. При заданном ограничении по тайм-ауту прошедший аутентификацию пользователь будет автоматически отключен после окончания этого 190

тайм-аута. Любой пакет с IP-адреса, не прошедший аутентификацию, будет отброшен. Правила аутентификации могут задавать следующие тайм-ауты для сессий пользователей (вкладка Restrictions). Idle Timeout — тайм-аут бездействия подключения до автоматического завершения, значение по умолчанию — 1800 с. Session Timeout — максимальное время длительности существования подключения. Если используется сервер аутентификации, то можно применить опцию Use timeouts received from the authentication server для получения значений тайм-аутов от сервера.

Порядок выполнения лабораторной работы и задания Лабораторная работа состоит из трех частей. Часть 1 посвящена настройке аутентификации пользователей с использованием Web-интерфейса, часть 2 — с использованием CLI-интерфейса, часть 3 — выполнению самостоятельного задания. Часть 1. Настройка аутентификации пользователей с использованием Web-интерфейса Задание 1. Настройка группы аутентификации пользователей Соберите схему, представленную на рис. 8.1. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ, некоторое чис-

Рис. 8.1. Схема подключения рабочих станций из разных групп

191

ло пользователей подключено к сети 10.0.0.0/20 LAN-интерфейса. Ограничьте доступ к сети important_net на WAN2-интерфейсе группе пользователей untrusted, группе пользователей trusted предоставьте доступ к сети regular_net на DMZ-интерфейсе и к сети important_net. Порядок выполнения задания 1. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Измените IP-адреса LAN-интерфейса. Измените IP-адрес LAN-интерфейса на 10.0.0.1, затем подключитесь к Web-интерфейсу по адресу https://10.0.0.1. Шаг 3. Создание группы пользователей. Зайдите в меню User Authentication → Local User Databases → Add → → Local User Database. На вкладке General введите следующие параметры: Name: users

Затем перейдите в меню Users → Add → User. На вкладке General введите параметры пользователя user1 из табл. 8.1. Таблица 8.1 Имя объекта

Значение

Комментарий

Name Password Confirm Password Groups

user1 P@ssw0rd1 P@ssw0rd1 users

Учетное имя пользователя Пароль пользователя Подтверждение пароля пользователя Группа пользователей

Далее перейдите в меню User Authentication → Local User Databases → → untrusted → вкладка Users → Add → User. На вкладке General введите параметры пользователя user2 из табл. 8.2. Таблица 8.2 Имя объекта

Значение

Name Password Confirm Password Groups

user2 P@ssw0rd2 P@ssw0rd2 users

Шаг 4. Создание необходимых объектов. Создайте необходимые логические объекты, связанные с группами. Зайдите в меню Objects → Address Book → Add → IP4 Address и введите параметры объекта untrusted_net из табл. 8.3. Таблица 8.3 Имя объекта

Name Address

192

Значение

untrusted_net 10.0.0.0/20

Перейдите на вкладку User Authentication и введите параметры из табл. 8.4. Таблица 8.4 Имя объекта

Значение

Comma-separated list of user names and groups:

user1

Далее зайдите в меню Objects → Address Book → Add → IP4 Address и введите параметры объекта trusted_net из табл. 8.5. Таблица 8.5 Имя объекта

Name Address

Значение

trusted_net 10.0.0.0/20

Перейдите на вкладку User Authentication и введите параметры из табл. 8.6. Таблица 8.6 Имя объекта

Значение

Comma-separated list of user names and groups:

User2

Затем создайте IP-адреса для сетей important_net и regular_net. Зайдите в меню Objects → Address Book → Add → IP4 Address. На вкладке General введите параметры из табл. 8.7 для IP-адресов сетей important_net и regular_net. Таблица 8.7 Имя объекта

Name important_net regular_net

Значение

Address 192.168.120.0/24 172.17.100.0/24

Шаг 5. Изменение порта управления WebUI. HTTP-аутентификация некорректно работает при одновременном запуске с сервисом удаленного управления WebUI, который также использует TCP-порт 80. Чтобы избежать коллизий, номер порта для WebUI должен быть изменен до конфигурирования аутентификации. Для корректного функционирования WebUI измените настройку порта WebUI HTTP Port. Для этого перейдите в меню System → Remote Management → → Advanced Settings, затем измените значение порта WebUI HTTP Port на 81. Шаг 6. Настройка IP-правил МСЭ. Создайте папку IP-правил Authentication_Rules. В папке IP-правил Authentication_Rules перейдите в меню Add → IPRule и создайте IP-правило для доступа группы trusted к сети important_net. На вкладке General введите параметры IP-правила allow_trusted_to_WAN из табл. 8.8. 193

Таблица 8.8 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

allow_trusted_to_wan Allow all_icmp lan trusted_net wan2 important_net

В папке IP-правил Authentication_Rules перейдите в меню Add → IPRule и создайте IP-правило для доступа группы untrusted к сети regular_net. На вкладке General введите параметры IP-правила Allow_untrusted_to_dmz из табл. 8.9. Таблица 8.9 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

Allow_untrusted_to_dmz Allow all_icmp lan untrusted_net dmz regular_net

В папке IP-правил Authentication_Rules перейдите в меню Add → IPRule и создайте IP-правило для доступа группы trusted к сети regular_net. На вкладке General введите параметры IP-правила Allow_untrusted_to_dmz из табл. 8.10. Таблица 8.10 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

Allow_trusted_to_dmz Allow all_icmp lan trusted_net dmz regular_net

Далее создайте правило для прохождения аутентификации пользователей — доступ к lan_ip. Для этого перейдите в меню Rules → IP Rules → Add → → IP Rule. На вкладке General введите параметры IP-правила Allow_auth из табл. 8.11. 194

Таблица 8.11 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

Allow_auth Allow all_services lan lannet core lan_ip

Шаг 7. Настройка правил аутентификации. Cоздайте правило аутентификации. Перейдите в меню User Authentication → → User Authentication Rules → Add → User Authentication Rule. На вкладке General введите параметры настройки правил аутентификации из табл. 8.12. Таблица 8.12 Имя объекта

Значение

Комментарий

Name Agent

users_login Имя правила аутентификации HTTP Агент аутентификации отвечает за тип трафика, проходящего аутентификацию. Здесь рассмотрены HTTP WEB-соединения, которые проходят аутентификацию через предопределенную или специальную Web-страницу Authentication Source Local Источник аутентификации, который представляет собой базу данных, содержащую комбинации имен пользователей и их паролей. Здесь рассмотрена локальная база данных пользователей (Local), являющаяся внутренней по отношению к системе NetDefendOS Interface lan Интерфейс источника соединений, проходящих аутентификацию Originator IP lannet IP-адрес или сеть источника, откуда устанавливаются новые соединения

На вкладке Authentication Options введите параметры из табл. 8.13. Таблица 8.13 Имя объекта

Local User DB

Значение

users

На вкладке Agent Options введите параметры из табл. 8.14. Таблица 8.14 Имя объекта

Login Type

Значение

HTML form

195

Шаг 8. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 9. Проверка результатов. Проверьте доступ пользователей из разных групп к сетям regular_net и important_net из сетей trusted_net, untrusted_net. Сначала аутентифицируйте пользователя user1 из сети untrusted_net. Для этого запустите Web-браузер на рабочей станции из сети 10.0.0.0/20 и введите адрес http:// (10.0.0.1). При успешной установке соединения с МСЭ появится диалоговое окно аутентификации пользователя. Введите имя пользователя и пароль, затем нажмите кнопку Login (рис. 8.2).

Рис. 8.2. Аутентификация пользователя user1

После успешной аутентификации пользователя происходит перенаправление на страницу LoginSuccess (рис. 8.3).

Рис. 8.3. Успешная аутентификация пользователя user1

После прохождения аутентификации проверьте наличие доступа пользователя user1 к сетям regular_net и important_net. Для этого с рабочей станции пользователя user1 выполните команду ping до рабочей станции из сети regular net. Результат выполнения команды: C:\Windows\system32>ping 172.17.100.7 -n 2 Обмен пакетами с 172.17.100.7 по с 32 байтами данных: Ответ от 172.17.100.7: число байт=32 время=1мс TTL=127 Ответ от 172.17.100.7: число байт=32 время=1мс TTL=127

Затем с рабочей станции пользователя user1 выполните команду ping до рабочей станции из сети important_net. Результат выполнения команды: 196

C:\Windows\system32>ping 192.168.120.7 -n 2 Обмен пакетами с 192.168.120.7 по с 32 байтами данных: Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса.

Далее выполните аутентификацию пользователя user2. После прохождения аутентификации проверьте наличие доступа пользователя user2 к сетям regular_net и important_net. Для этого с рабочей станции пользователя user2 выполните команду ping до рабочей станции из сети regular_net. Результат выполнения команды: C:\Windows\system32>ping 172.17.100.7 -n 2 Обмен пакетами с 172.17.100.7 по с 32 байтами данных: Ответ от 172.17.100.7: число байт=32 время=1мс TTL=127 Ответ от 172.17.100.7: число байт=32 время=1мс TTL=127

Затем с рабочей станции пользователя user2 выполните команду ping до рабочей станции из сети important_net. Результат выполнения команды: C:\Windows\system32>ping 192.168.120.7 -n 2 Обмен пакетами с 192.168.120.7 по с 32 байтами данных: Ответ от 192.168.120.7: число байт=32 время set IP4Address lan_ip Address=10.0.0.1 DFL-860E:/InterfaceAddresses> set IP4Address lannet Address=10.0.0.0/20 DFL-860E:/> cc

Шаг 3. Создание группы пользователей. В командной строке (CLI) введите: DFL-860E:/> add LocalUserDatabase users DFL-860E:/> cc LocalUserDatabase users DFL-860E:/users> add User user1 Password=P@ssw0rd1 Groups=users DFL-860E:/users> add user user2 Password=P@ssw0rd2 Groups=users DFL-860E:/users> cc

205

Шаг 4. Создание необходимых объектов. В командной строке (CLI) введите: DFL-860E:/> add Address AddressFolder labs DFL-860E:/> cc Address AddressFolder labs DFL-860E:/labs> add IP4Address untrusted_net Address=10.0.0.0/20 UserAuthGroups=user1 DFL-860E:/labs> add IP4Address trusted_net Address=10.0.0.0/20 UserAuthGroups=user2 DFL-860E:/labs> add IP4Address important_net Address=192.168.120.0/24 DFL-860E:/labs> add IP4Address regular_net Address=172.17.100.0/24 DFL-860E:/labs> cc

Шаг 5. Изменение порта управления WebUI. В командной строке (CLI) введите: DFL-860E:/> set Settings RemoteMgmtSettings WWWSrv_HTTPPort=81

Шаг 6. Настройка IP-правил МСЭ. В командной строке (CLI) введите: DFL-860E:/> add IPRuleFolder Name=Authentication_Rule Index=1 DFL-860E:/> cc IPRuleFolder Authentication_Rule DFL-860E:/1(Authentication_Rule)> add IPRule Action=Allow Service=all_icmp SourceInterface=lan SourceNetwork=labs/trusted_net DestinationInterface=WAN2 DestinationNetwork=labs/important_net Name=Allow_trusted_to_WAN DFL-860E:/1(Authentication_Rule)> add IPRule Action=Allow Service=all_icmp SourceInterface=lan SourceNetwork=labs/untrusted_net DestinationInterface=dmz DestinationNetwork=labs/regular_net Name=Allow_untrusted_to_dmz DFL-860E:/1(Authentication_Rule)> add IPRule Action=Allow Service=all_icmp SourceInterface=lan SourceNetwork=labs/trusted_net DestinationInterface=dmz DestinationNetwork=labs/regular_net Name=Allow_trusted_to_dmz DFL-860E:/1(Authentication_Rule)> add IPRule Action=Allow Service=all_services SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=core DestinationNetwork=InterfaceAddresses/lan_ip Name=Allow_auth DFL-860E:/1(Authentication_Rule)> cc

Шаг 7. Настройка правила аутентификации. В командной строке (CLI) введите: DFL-860E:/> add UserAuthRule AuthSource=Local Interface=lan OriginatorIP=InterfaceAddresses/lannet LocalUserDB=users Agent=HTTP LoginType=HTMLForm Name=users_login

206

Шаг 8. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 9. Проверка результатов. Проверьте доступ пользователей из разных групп к сетям regular_net и important_net из сетей trusted_net, untrusted_net. Сначала авторизуйте пользователя user1 из сети untrusted_net. Для этого запустите Web-браузер на рабочей станции из сети 10.0.0.0/20 и введите адрес http:// (10.0.0.1). При успешной установке соединения с МСЭ появится диалоговое окно аутентификации пользователя. Введите имя пользователя и пароль, затем нажмите кнопку Login (рис. 8.7).

Рис. 8.7. Аутентификация пользователя user1

После успешной аутентификации пользователя происходит перенаправление на страницу LoginSuccess (рис. 8.8).

Рис. 8.8. Успешная аутентификация пользователя user1

После прохождения аутентификации проверьте наличие доступа пользователя user1 к сетям regular_net и important_net. Для этого с рабочей станции пользователя user1 выполните команду ping до рабочей станции из сети regular_net. Результат выполнения команды: C:\Windows\system32>ping 172.17.100.7 -n 2 Обмен пакетами с 172.17.100.7 по с 32 байтами данных: Ответ от 172.17.100.7: число байт=32 время=1мс TTL=127 Ответ от 172.17.100.7: число байт=32 время=1мс TTL=127

207

Затем с рабочей станции пользователя user1 выполните команду ping до рабочей станции из сети important_net. Результат выполнения команды: C:\Windows\system32>ping 192.168.120.7 -n 2 Обмен пакетами с 192.168.120.7 по с 32 байтами данных: Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса.

Далее выполните аутентификацию пользователя user2. После прохождения аутентификации проверьте наличие доступа пользователя user2 к сетям regular_net и important_net. Для этого с рабочей станции пользователя user2 выполните команду ping до рабочей станции из сети regular_net. Результат выполнения команды: C:\Windows\system32>ping 172.17.100.7 -n 2 Обмен пакетами с 172.17.100.7 по с 32 байтами данных: Ответ от 172.17.100.7: число байт=32 время=1мс TTL=127 Ответ от 172.17.100.7: число байт=32 время=1мс TTL=127

Затем с рабочей станции пользователя user2 выполните команду ping до рабочей станции из сети important_net. Результат выполнения команды: C:\Windows\system32>ping 192.168.120.7 -n 2 Обмен пакетами с 192.168.120.7 по с 32 байтами данных: Ответ от 192.168.120.7: число байт=32 время cc LocalUserDatabase inet_users DFL-860E:/inet_users> add User user_internet Password=qwerty1 Groups=inet_users DFL-860E:/inet_users> add user user_regular Password=qwerty2 Groups=inet_users DFL-860E:/inet_users> cc

208

Рис. 8.9. Схема подключения рабочих станций к МСЭ

Шаг 3. Создание необходимых объектов. В командной строке (CLI) введите: DFL-860E:/> add Address AddressFolder labs DFL-860E:/> cc Address AddressFolder labs DFL-860E:/labs> add IP4Address lan_auth Address=10.0.0.0/20 UserAuthGroups=user_internet DFL-860E:/labs> cc

Шаг 4. Изменение порта управления WebUI. В командной строке (CLI) введите: DFL-860E:/> set Settings RemoteMgmtSettings WWWSrv_HTTPPort=81

Шаг 5. Настройка IP-правил межсетевого экрана. В командной строке (CLI) введите: DFL-860E:/> add IPRuleFolder Name=HTTP_Auth_Rule Index=1 DFL-860E:/> cc IPRuleFolder HTTP_Auth_Rule DFL-860E:/1(HTTP_Auth_Rule)> add IPRule Action=Allow Service=http-all SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=core DestinationNetwork=InterfaceAddresses/lan_ip Name=Allow_auth DFL-860E:/1(HTTP_Auth_Rule)> add IPRule Action=NAT Service=http-all SourceInterface=lan SourceNetwork=labs/lan_auth DestinationInterface=WAN1 DestinationNetwork=all-nets Name=Allow_internet_access

209

DFL-860E:/1(HTTP_Auth_Rule)> add IPRule Action=NAT Service=dns-all SourceInterface=lan SourceNetwork=InterfaceAddresses/ lannet DestinationInterface=WAN1 DestinationNetwork=all-nets Name=Allow_dns DFL-860E:/1(HTTP_Auth_Rule)> cc

Шаг 6. Настройка правила аутентификации. В командной строке (CLI) введите: DFL-860E:/> add UserAuthRule AuthSource=Local Interface=lan OriginatorIP=InterfaceAddresses/lannet LocalUserDB=inet_users Agent=HTTP LoginType=HTMLForm Name=users_login

Шаг 7. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 8. Проверка результатов. Проверьте доступ пользователей в Интернет через страницу авторизации МСЭ. Сначала аутентифицируйте пользователя user_internet. Для этого запустите Web-браузер на рабочей станции из сети 10.0.0.0/20 и введите адрес http:// (10.0.0.1). При успешной установке соединения с МСЭ появится диалоговое окно аутентификации пользователя. Введите имя пользователя и пароль, нажмите кнопку Login и затем проверьте, что пользователю user_ internet предоставлен доступ в Интернет. Далее убедитесь, что пользователю user_regular доступ в Интернет не предоставлен. Задание 3. Настройка автоматического перехода для HTTP-аутентифи кации Соберите схему, представленную на рис. 8.9. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ, некоторое число пользователей — к сети 10.0.0.0/20 LAN-интерфейса. Настройте автоматический переход для пользователя на страницу авторизации. При неудачной аутентификации по IP-адресации соединение не будет сброшено. Порядок выполнения задания 3. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Создание группы пользователей. В командной строке (CLI) введите: DFL-860E:/> add LocalUserDatabase inet_users DFL-860E:/> cc LocalUserDatabase inet_users DFL-860E:/inet_users> add User user_test Password=qwerty1 Groups=inet_users DFL-860E:/inet_users> cc

Шаг 3. Создание необходимых объектов. В командной строке (CLI) введите: 210

DFL-860E:/> add Address AddressFolder labs DFL-860E:/> cc Address AddressFolder labs DFL-860E:/labs> add IP4Address lan_auth Address=10.0.0.0/20 UserAuthGroups=inet_users DFL-860E:/labs> cc

Шаг 4. Изменение порта управления WebUI. В командной строке (CLI) введите: DFL-860E:/> set Settings RemoteMgmtSettings WWWSrv_HTTPPort=81

Шаг 5. Настройка IP-правил МСЭ. В командной строке (CLI) введите: DFL-860E:/> add IPRuleFolder Name=Auto_Redirect_Rules Index=1 DFL-860E:/> cc IPRuleFolder Auto_Redirect_Rules DFL-860E:/1(Auto_Redirect_Rules)> add IPRule Action=Allow Service=http-all SourceInterface=lan SourceNetwork=InterfaceAddresses/ lannet DestinationInterface=core DestinationNetwork=InterfaceAddresses/ lan_ip Name=Allow_auth DFL-860E:/1(Auto_Redirect_Rules)> add IPRule Action=NAT Service=http-all SourceInterface=lan SourceNetwork=labs/lan_auth DestinationInterface=WAN1 DestinationNetwork=all-nets Name=Allow_internet_access DFL-860E:/1(Auto_Redirect_Rules)> add IPRule Action=NAT Service=dns-all SourceInterface=lan SourceNetwork=InterfaceAddresses/ lannet DestinationInterface=WAN1 DestinationNetwork=all-nets Name=Allow_dns DFL-860E:/1(Auto_Redirect_Rules)> add IPRule Action=SAT Service=http-all SourceInterface=lan SourceNetwork=InterfaceAddresses/ lannet DestinationInterface=WAN1 DestinationNetwork=all-nets SATTranslateToIP=InterfaceAddresses/lan_ip SATTranslate DestinationIP SATAlltoOne=Yes Name=SAT_auth DFL-860E:/1(Auto_Redirect_Rules)> add IPRule Action=Allow DestinationInterface=WAN1 DestinationNetwork=all-nets Service=http-all SourceInterface=lan SourceNetwork=InterfaceAddresses/ lannet Name=Allow_SAT_auth DFL-860E:/1(HTTP_Auth_Rule)> cc

Шаг 6. Настройка правила аутентификации. В командной строке (CLI) введите: DFL-860E:/> add UserAuthRule AuthSource=Local Interface=lan OriginatorIP=InterfaceAddresses/lannet LocalUserDB=inet_users Agent=HTTP LoginType=HTMLForm Name=inet_user_login

Шаг 7. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

211

и через 3–5 с введите: DFL-860E:/> commit

Шаг 8. Проверка результатов. Убедитесь, что при попытке перехода на определенный Web-сайт будет выполнен автоматический переход на страницу авторизации межсетевого экрана. Для этого запустите Web-браузер на рабочей станции из сети 10.0.0.0/20 и введите адрес Web-сайта (например, http://bmstu.ru/). При успешной установке соединения с МСЭ появится диалоговое окно аутентификации пользователя. Введите имя пользователя и пароль, нажмите кнопку Login и затем проверьте, что после успешной аутентификации пользователя будет выполнен переход на необходимый Web-сайт. Часть 3. Задание для самостоятельной работы Задание может быть выполнено как через Web-интерфейс, так и с помощью CLI-интерфейса. Выполнения задания двумя способами не требуется. Задание. Настройка аутентификации для серверов Соберите схему, представленную на рис. 8.10. Рабочие станции пользователей tftp_admin и web_admin подключены к сети 10.0.0.0/20 LAN-интерфейса, TFTP-сервер — к DMZ-интерфейсу МСЭ, Web-сервер — к WAN2-интерфейсу. Пользователю tftp_admin предоставьте доступ только к TFTP-серверу, а пользователю web_admin — доступ только к Web-серверу. Просмотрите лог-сообщения при прохождении аутентификации пользователей и срабатывании IP-правил при загрузке файла с TFTP-сервера и доступе к Web-серверу.

Рис. 8.10. Схема подключения рабочих станций к МСЭ

212

Контрольные вопросы и задания 1. Объясните, какие источники могут использоваться для аутентификации пользователей, подключенных через МСЭ D-Link DFL-860E. 2. Что собой представляют группы аутентификации? 3. В чем различия административных групп administrators и auditors? 4. Для каких целей используются правила аутентификации? 5. Опишите процесс аутентификации пользователей операционной системой МСЭ D-Link DFL-860E.

Литература Руководство по эксплуатации D-Link DFL-210/260/260E/800/860/860E/ 1600/2500/2560/2560G. URL: http:/ftp.dlink.ru/pub/FireWall/DEL-860E/Description/ NetdefendOSРуководство%20пользователям.pdf (дата обращения 14 мая 2018 г.). Технологии защиты информации в компьютерных сетях. Межсетевые экраны и интернет-маршрутизаторы / Е.А. Богданова, Н.А. Руденков, А.В. Пролетарский и др. М.: Нац. открытый ун-т «ИНТУИТ», 2013.

Работа № 9 Настройка ALG на межсетевом экране D-Link DFL-860E Цель работы — изучение механизма HTTP ALG для управления доступом пользователей на различные сайты Интернета и настройки правил загрузки контента, а также механизма FTP ALG для управления FTP-соединениями через МСЭ D-Link и механизма TFTP ALG для настройки ограничения по использованию TFTP. Объем работы: 4 ч.

Основные теоретические сведения Для фильтрации трафика на уровне приложений модели OSI МСЭ D-Link используют шлюз прикладного уровня (Application Layer Gate ways, ALG). Объект ALG действует как посредник для получения доступа к широко используемым интернет-приложениям за пределами защищенной сети, например Web-доступ, передача файлов и мультимедиа. ALG обеспечивает более высокий уровень безопасности по сравнению с функцией фильтрации пакетов, так как он способен выполнять тщательную проверку трафика по определенному протоколу. В МСЭ D-Link ALG применим к следующим протоколам: HTTP, FTP, TFTP, SMTP, POP3, SIP, H.323, TLS. Функции HTTP ALG Web-трафик является одним из крупнейших источников нарушения безопасности и неправомерного использования сети Интернет. Просмотр Web-страниц может стать причиной угрозы безопасности сети, а также нарушения производительности и пропускной способности интернет-каналов. Для фильтрации сомнительного Web-содержимого МСЭ D-Link применяют механизм HTTP ALG, для функционирования которого используются четыре механизма. 1. Фильтрация статического содержимого (Static Content Filtering). Данный механизм выполняет фильтрацию содержимого на основе «черных» (запрещенных) списков (Blacklist) и «белых» (разрешенных) списков (Whitelist) URL-адресов. Для запрета доступа к определенным URL-адресам применяются «черные» списки, а для разрешения доступа — «белые» списки. Для обеспечения наибольшей гибкости использования «черных» и «белых» списков URL-адресов предназначен метод подстановки (wildcarding) URL-адреса. Метод применим к имени пути в URL-адресе хоста. Это означает, что фильтрацией можно управлять на уровне файлов и папок. Для отображения какой-либо последовательности символов в данном методе используется символ подстановки «*». Например, запись *.domain.com/* заблокирует все хосты в домене domain.com и все Web-страницы, используемые этими хостами, а запись */*.png заблокирует все файлы с расширением .png. 214

2. Фильтрация динамического содержимого (Dynamic Content Filtering). Данный механизм применяется для разрешения или запрета доступа к определенным URL-адресам в соответствии с политиками для различных типов Web-содержимого. Например, можно настроить политики таким образом, чтобы категория «Новости» была разрешена, а категория «Покупка товаров» — запрещена. 3. Подтверждение целостности файлов (Verify File Integrity). Этот механизм выполняет проверку расширения загруженного файла с помощью следующих функций: •• Verify MIME-type — проверяет, соответствует ли расширение загружаемого файла содержимому. Если расширение файла не будет соответствовать содержимому, то в целях обеспечения безопасности такой файл будет удален. Стоит отметить, что дополнительно указанные пользователем расширения файлов, которые не включены в список по умолчанию, могут быть добавлены в список Allow/Block, тем не менее, содержимое таких файлов не будет проверяться; •• Allow/Block Selected file types — блокирует или разрешает определенные расширения файлов. Для блокировки определенных расширений файлов служит режим Block Selected (заблокировать выбранное). В режиме Block Selected файлы с расширением, указанным в списке, при загрузке будут отброшены. Дополнительно в МСЭ D-Link выполняется просмотр содержимого файла (по аналогии проверки MIME) для подтверждения соответствия, чтобы переименованный файл не мог обойти систему проверки. Например, в том случае, когда расширение .exe заблокировано, а в файле с расширением .png (который не заблокирован) находятся данные с расширением .exe, то данный файл будет заблокирован. В режиме Allow Selected (разрешить выбранное) только файлы с отмеченным расширением будут разрешены для загрузки, файлы с другим расширением будут отброшены; кроме того, будет проверяться содержимое файла; •• Download File Size Limit — при использовании HTTP ALG позволяет ограничить размер любых загружаемых файлов. Следует обратить внимание на то, что сервис https (который также входит в сервис http-all) не может применяться с HTTP ALG, так как HTTPS-трафик зашифрован. 4. Антивирусное сканирование (Anti-Virus Scanning). Этот механизм проверяет содержимое файлов на наличие вирусов. Подозрительные объекты могут быть удалены или зарегистрированы в журнале. Данный механизм всегда применяется для проверки HTTP-трафика, даже если URL-адреса источника трафика находятся в «белом» списке. Фильтрация HTTP выполняется МСЭ D-Link в следующем порядке: 1) «белый» (whitelist) список; 2) «черный» (blacklist) список. Записи в «черном» списке обладают меньшим приоритетом, чем записи в белом списке; 3) фильтрация Web-содержимого (если она применяется); 4) антивирусное сканирование (если оно используется). 215

Функции FTP ALG FTP ALG служит для управления FTP-соединениями через межсетевой экран D-Link. Протокол FTP (File Transfer Protocol) используется для обмена файлами между клиентом и сервером. Для подключения к FTP-серверу клиент запускает соединение, затем, как правило, аутентифицирует себя, указывая логин и пароль. После получения доступа сервер предоставляет клиенту список файлов/папок, доступных для загрузки или скачивания. Протокол FTP применяет два канала связи: канал для передачи команд (21/TCP) и канал для передачи данных (20/TCP). При открытии FTP-сессии FTP-клиент устанавливает TCP-соединение (канал управления) с портом 21 (по умолчанию) на сервере FTP. FTP работает в двух режимах: активном и пассивном. Режимы определяют роль сервера при открытии каналов для обмена данными между клиентом и сервером. При использовании активного режима FTP-клиент отправляет команду на FTP-сервер, указывая IP-адрес и порт, к которому следует подключиться. FTP-сервер устанавливает канал для передачи данных обратно к FTP-клиенту, используя полученную информацию. При пассивном режиме FTP-клиент открывает соединение с FTP-сервером для передачи команд. FTP ALG поддерживает следующие функции по ограничению использования режимов FTP-клиентом и FTP-сервером: •• Allow the client to use active mode (разрешить клиенту использовать активный режим) — FTP-клиентам разрешает работать как в активном, так и в пассивном режиме передачи данных. Если FTP-серверу требуется активный режим, FTP ALG выполнит автоматическое переключение на активный режим. При этом определен диапазон портов клиента для передачи данных. Серверу будет разрешено подключиться к любому из портов, если клиент использует активный режим. Диапазон по умолчанию: 1024-65535; •• Allow the server to use passive mode (разрешить серверу использовать пассивный режим) — FTP-серверу разрешает работать как в пассивном, так и в активном режиме передачи данных. Если функция выключена, сервер не сможет использовать пассивный режим. Межсетевой экран выполнит автоматическое переключение, если клиенты работают в пассивном режиме. Для данной функции определен диапазон портов сервера, используемых для передачи данных. Клиенту будет разрешено подключиться к любому из портов, если сервер использует пассивный режим. Диапазон по умолчанию: 1024– 65535. С помощью указанных функций можно определить, требуется ли смешанный режим для завершения соединения. Например, если клиент подключается в пассивном режиме, который не разрешено использовать серверу, то автоматически применяется смешанный режим, и FTP ALG выполняет переключение между двумя режимами. В FTP ALG можно использовать следующие предопределенные режимы: •• ftp-inbound — клиенты могут использовать любой режим, но серверы не могут включать пассивный режим; 216

•• ftp-outbound — клиенты не могут использовать активный режим, а серверы могут включать любой; •• ftp-passthrough — и клиент, и сервер могут использовать любой режим; •• ftp-internal — клиент не может использовать активный режим, а сервер не может включать пассивный. Функции TFTP ALG Trivial File Transfer Protocol (TFTP) — это упрощенная версия FTP-протокола с ограниченными возможностями, основное предназначение которой — обеспечить клиенту скачивание или загрузку файлов с хоста. Передача данных TFTP основана на UDP-протоколе и поэтому поддерживает собственные протоколы передачи и управления сессией, которые подразделяются на уровни UDP. Протокол TFTP широко используется в сетях предприятий для обновления программного обеспечения и резервного копирования настроек сетевых устройств. По существу, протокол TFTP небезопасен и часто применяется только во внутренних сетях. TFTP ALG снабжает TFTP дополнительным уровнем безопасности, устанавливая ограничения по его использованию. Основные опции TFTP: •• Allow/Disallow Read — позволяет отключить функцию TFTP GET; таким образом, файлы не могут быть загружены клиентом TFTP. Значение по умолчанию: Allow (разрешить); •• Allow/Disallow Write — позволяет отключить функцию TFTP PUT; таким образом, TFTP-клиент не сможет использовать право записи. Значение по умолчанию: Allow (разрешить); •• Remove Request Option — определяет, следует ли удалять опции из запроса. Значение по умолчанию: False (не удалять); •• Allow Unknown Options — разрешает использовать неизвестные опции и запросы, если данная функция выключена, то любая опция в запросе, за исключением запроса размера блока, периода неактивности и размера файла, блокируется. Настройка отключена по умолчанию. При установке функции Remove Request в значении false (функции не удаляются) могут быть выполнены следующие настройки функции TFTP-запросов: •• Maximum Blocksize — определяет максимальный размер блока. Значение по умолчанию: 65,464 байт; •• Maximum File Size — определяет максимальный размер передаваемого файла. Значение по умолчанию: 999,999 Кбайт; •• Block Directory Traversal — может запретить Directory Traversal с помощью использования имен файлов, содержащих символ «..».

Порядок выполнения лабораторной работы и задания Лабораторная работа состоит из трех частей. Часть 1 посвящена настройке ALG с использованием Web-интерфейса, часть 2 — с использованием CLI-интерфейса, часть 3 — выполнению заданий для самостоятельной работы. 217

Часть 1. Настройка ALG с использованием Web-интерфейса Задание 1. Настройка защиты FTP-сервера с помощью FTP ALG Соберите схему, представленную на рис. 9.1. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ, FTP-сервер — к DMZ-интерфейсу МСЭ, рабочая станция PC2 — к WAN2-интерфейсу. Перед выполнением задания необходимо: 1) защитить FTP-сервер, подключенный к DMZ-интерфейсу МСЭ, с помощью FTP ALG; 2) защитить FTP-клиентов, выходящих через МСЭ на сервер FTP, расположенный в Интернете; 3) запретить скачивание файлов с расширением .exe с FTP-сервера.

Рис. 9.1. Схема подключения рабочих станций и FTP-сервера к МСЭ

Порядок выполнения задания 1. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Настройка FTP ALG. Для создания нового FTP ALG перейдите в меню Objects → ALG with AV/WCF → Add → FTP ALG. На вкладке General (рис. 9.2) введите параметры FTP ALG из табл. 9.1. Таблица 9.1 Имя объекта

Name Allow client to use active mode Allow server to use passive mode

218

Значение

ftp_alg ✔ ☐

Комментарий

Имя механизма ALG Разрешить клиенту использовать активный режим Запретить серверу использовать пассивный режим

Рис. 9.2. Параметры FTP ALG

На вкладке File Integrity введите параметры из табл. 9.2. Имя объекта

Verify MIME-type against file content Block selected file types

Значение

✔

.ехе

Таблица 9.2

Комментарий

Функция проверки соответствия расширения загружаемого файла содержимому Из списка выберите расширение .ехе, затем нажмите кнопку Add. Указанная функция блокирует или разрешает определенные расширения файлов

Шаг 3. Настройка IP-адресов на МСЭ. Зайдите в меню Objects → Address Book → Add → IP4 Address, затем создайте внутренний IP-адрес для FTP-сервера со следующими параметрами: Name: ftp-internal Address: 172.17.100.50

В меню Objects → Address Book → InterfaceAddresses измените параметры WAN2-интерфейса. Введите его параметры из табл. 9.3. Таблица 9.3 Имя объекта

Name wan2_ip wan2net

Значение

Address 192.168.110.1 192.168.110.0/24

Шаг 4. Создание FTP-сервиса. Добавьте новый FTP-сервис. Зайдите в меню Objects → Services → Add → → TCP/UDP Service. На вкладке General введите параметры сервиса ftp-inbound_lab из табл. 9.4 219

Таблица 9.4 Имя объекта

Name Type Source Destination ALG

Значение

ftp-inbound_lab TCP 0-65535 21 ftp_alg

Шаг 5. Настройка IP-правил МСЭ. Создайте папку IP-правил FTP_ALG_Rules. В папке IP-правил FTP_ALG_ Rules перейдите в меню Add → IPRule и создайте IP-правило c действием SAT. На вкладке General введите параметры IP-правила SAT_ftp_inbound из табл. 9.5. Таблица 9.5 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

SAT_ftp_inbound SAT ftp-inbound_lab wan2 all-nets core wan2_ip

Перейдите на вкладку SAT и введите параметры из табл. 9.6. Таблица 9.6 Имя объекта

Translate the To New IP Address

Значение

Destination IP Address ftp-internal

Далее в папке IP-правил FTP_ALG_Rules перейдите в меню Add → IPRule и создайте IP-правило c действием Allow. На вкладке General введите параметры IP-правила Allow_FTP из табл. 9.7. Таблица 9.7 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

220

Значение

Allow_FTP Allow ftp-inbound_lab wan2 all-nets core wan2_ip

В папке IP-правил FTP_ALG_Rules перейдите в меню Add → IPRule и создайте IP-правило c действием NAT. На вкладке General введите параметры IP-правила NAT_FTP из табл. 9.8. Таблица 9.8

Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

NAT_FTP NAT ftp-inbound_lab lan lannet dmz ftp-internal

Шаг 6. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 7. Настройка FTP-сервера. Для настройки FTP-сервера при использовании операционной системы Windows можете воспользоваться инструкцией из задания 4 части 1 лабораторной работы 5. Шаг 8. Проверка результатов. Проверьте работоспособность FTP-сервера. Для этого с рабочей станции, подключенной к LAN-интерфейсу МСЭ (192.168.10.15), запустите Web-браузер и перейдите на адрес FTP-сервера ftp://172.17.100.50 (ftp-internal) (рис. 9.3).

Рис. 9.3. Успешное подключение к ftp-серверу

Затем убедитесь, что нет возможности скачать файл с расширением .exe (рис. 9.4). Далее проверьте возможность скачивания файлов с другими расширениями (рис. 9.5). Зайдите на FTP-сервер с рабочей станции, подключенной к WAN2-интерфейсу МСЭ. Для этого с рабочей станции (192.168.110.110) запустите Web-браузер и перейдите на адрес ftp://192.168.110.1 (WAN2_ip) (рис. 9.6). С рабочей станции, подключенной к WAN2-интерфейсу МСЭ, проверьте возможность скачивания файлов с расширением .exe и другими расшире ниями. 221

Рис. 9.4. Неудачная попытка скачивания файла с расширением .exe

Рис. 9.5. Успешное скачивание файла с расширением .zip

Рис. 9.6. Успешное подключение к FTP-серверу

Задание 2. Настройка защиты TFTP-сервера с помощью TFTP ALG Соберите схему, представленную на рис. 9.7. Рабочая станция для управления Web-интерфейсом и взаимодействия с TFTP-сервером подключена к LAN-интерфейсу МСЭ, TFTP-сервер — к DMZ-интерфейсу МСЭ. Запретите 222

Powered by TCPDF (www.tcpdf.org)

Рис. 9.7. Схема подключения рабочих станций и TFTP-сервера к МСЭ

пользователям записывать данные на TFTP-сервер, также ограничьте размер передаваемых файлов на TFTP-сервер до 120 Кбайт. Порядок выполнения задания 2. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Создание IP-адреса TFTP-сервера. Зайдите в меню Objects → Address Book → Add → IP4 Address. Создайте объект «IP-адрес TFTP-сервера» со следующими параметрами: Name: tftp-ip Address: 172.17.100.150

Шаг 3. Настройка TFTP ALG. Для создания нового TFTP ALG перейдите в меню Objects → ALG with AV/WCF → Add → TFTP ALG. На вкладке General (рис. 9.8) введите параметры TFTP ALG из табл. 9.9.

Рис. 9.8. Параметры объекта tftp_alg

223

Таблица 9.9 Имя объекта

Name Allow only read Max file transfer size

Значение

tftp_alg ✔ 120

Комментарий

Имя TFTP ALG Разрешение клиенту TFTP загружать файлы Определение максимального размера передавае мого файла

Шаг 4. Создание TFTP-сервиса. Добавьте новый TFTP-сервис. Зайдите в меню Objects → Services → → Add → TCP/UDP Service. На вкладке General введите параметры сервиса tftp-srv из табл. 9.10. Таблица 9.10

Имя объекта

Name Type Source

Destination ALG

Значение

tftp-srv UDP 0–65535 69 tftp_alg

Комментарий

Имя сервиса Тип сервиса Диапазон портов, которые будут использоваться в качестве источника Порт назначения Выберите из списка ранее созданный ALG

Шаг 5. Настройка IP-правил МСЭ. Создайте папку IP-правил TFTP_ALG_Rules. В папке IP-правил TFTP_ ALG_Rules перейдите в меню Add → IPRule и создайте IP-правило c действием NAT. На вкладке General введите параметры IP-правила NAT-tftp из табл. 9.11. Таблица 9.11 Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

NAT-tftp NAT tftp-srv lan lannet dmz Tftp-ip

Шаг 6. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 7. Настройка TFTP-сервера и TFTP-клиента. Для проверки работоспособности TFTP-сервера используйте программу Tftpd32. После установки и запуска программы Tftpd32 перейдите на вкладку Tftp Server и на вкладке Browse укажите папку для распространения файлов. Убедитесь, что на вкладке Show Dir отобразились необходимые файлы для распространения. Затем в выпадающем списке меню Server interfaces выберите необходимый IP-адрес. В меню Settings проверьте, что TFTP-сервер ожидает подключения на порт 69/udp (рис. 9.9). 224

Рис. 9.9. Главное меню программы Tftpd32

После настройки TFTP-сервера установите клиент TFTP. Для этого на рабочей станции клиента TFTP перейдите в раздел «Программы и компоненты» → «Включение или отключение компонентов Windows», затем выберите «Клиент TFTP». Шаг 8. Проверка результатов. На рабочей станции TFTP-клиента запустите командную строку, затем перейдите в директорию, в которую будут загружаться необходимые файлы (например, C:\tftp_folder), и выполните следующую команду: TFTP [-i] узел [GET | PUT] источник [адресат]

Параметры этой командной строки: -i — задание режима передачи файлов в двоичном формате. В этом режиме файл передается в неизменном виде по байтам. Используйте этот режим при передаче двоичных файлов; узел — указание локального или удаленного узла; GET — передача исходного файла с удаленного узла на локальный узел; PUT — передача исходного файла с локального узла на удаленный узел; источник — передаваемый файл; адресат — задание адресата, которому нужно передать файл. Для проверки возможности скачивания файла размером менее 120 Кбайт с TFTP-сервера выполните следующую команду: tftp -i 172.17.100.150 get

Результаты выполнения команды приведены на рис. 9.10.

Рис. 9.10. Успешная передача файла image.png

225

На стороне TFTP-сервера на вкладке Log Viewer просмотрите статус передаваемого файла. Переданный файл image.png на стороне TFTP-клиента сохранится в директории C:\tftp_folder (рис. 9.11).

Рис. 9.11. Успешная передача файла image.png

Для проверки возможности скачивания файла размером более 120 Кб выполните следующую команду: tftp -i 172.17.100.150 get

Результаты выполнения команды представлены на рис. 9.12. Стоит отметить, что в командной строке не отображается сообщение об ошибке в случае неуспешной передачи файла (рис. 9.13).

Рис. 9.12. Неудачная передача файла movie.mp4

Рис. 9.13. Сообщение о неудачной передаче файла movie.mp4

226

Задание 3. Настройка HTTP ALG и URL-фильтрации Соберите схему, представленную на рис. 9.14. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ, WAN1-интерфейс МСЭ автоматически получает сетевые настройки от интернет-провайдера. Перед выполнением задания необходимо: 1) заблокировать Web-сайт http://bmstu.ru; 2) заблокировать все Web-сайты, в URL которых встречается mail (т. е. все почтовые серверы с доступом по Web-интерфейсу); 3) разрешить посещение только Web-сайта http://e-learning.bmstu.ru.

Рис. 9.14. Схема подключения рабочей станции к МСЭ

Порядок выполнения задания 3. Шаг 1. Подключение к Web-интерфейсу МСЭ. Шаг 2. Настройка WAN1-интерфейса. Убедитесь, что WAN1-интерфейсу были присвоены необходимые сетевые параметры с помощью протокола DHCP, полученные от интернет-провайдера. В Web-интерфейсе МСЭ перейдите в меню Status → Interfaces → WAN1. Шаг 3. Настройка доступа к определенным сайтам. Приоритет «белого» листа выше, чем «черного» листа, поэтому сначала необходимо полностью заблокировать URL или Web-сайты и только после этого разрешить некоторые разделы Web-сайта. Для настройки черного листа зайдите в меню Objects → ALG with AV/WCF → → Add → HTTP ALG и добавьте новый HTTP ALG с именем block_http_alg. В созданном HTTP ALG block_http_alg для блокировки Web-сайта http://bmstu.ru и запрета посещения любых адресов, имеющих в URL слово mail, перейдите в меню URL Filter → Add → HTTP ALG URL и введите параметры объекта Blacklist HTTP ALG URL из табл. 9.12. Таблица 9.12 Имя объекта

Action URL URL

Значение

Blacklist *bmstu.ru/* *mail*

227

Затем настройте параметры «белого» листа для разрешения посещения Web-сайта http://e-learning.bmstu.ru. Для этого в созданный HTTP ALG URL добавьте параметры Whitelist HTTP ALG URL из табл. 9.13. Таблица 9.13 Имя объекта

Action URL

Значение

Whitelist e-learning.bmstu.ru/*

Шаг 4. Создание необходимых сервисов. Добавьте новый сервис http-outbound_lab. Зайдите в меню Objects → → Services → Add → TCP/UDP Service. На вкладке General введите параметры сервиса http-outbound_lab из табл. 9.14. Таблица 9.14

Имя объекта

Name Type Source Destination ALG

Значение

http-outbound_lab TCP 0-65535 80 block_http_alg

Шаг 5. Настройка IP-правил МСЭ. Создайте папку IP-правил HTTP_filter_Rules. В папке IP-правил HTTP_filter_Rules перейдите в меню Add → IPRule и создайте IP-правило c действием NAT. На вкладке General введите параметры IP-правила http_ALG_rule из табл. 9.15. Таблица 9.15

Имя объекта

Name Action Service Source Interface Source Network Destination Interface Destination Network

Значение

http_ALG_rule NAT http-outbound_lab lan lannet wan1 all-nets

Далее в папке IP-правил HTTP_filter_Rules перейдите в меню Add → IPRule и создайте IP-правило для DNS c действием NAT. На вкладке General введите параметры IP-правила DNS_from_LAN из табл. 9.16. Таблица 9.16 Имя объекта

Name Action Service

228

Значение

DNS_from_LAN NAT dns-all

Окончание табл. 9.16 Имя объекта

Source Interface Source Network Destination Interface Destination Network

Значение

lan lannet wan1 all-nets

По окончании настроек выставите высший приоритет для папки IP-правил HTTP_filter_Rules. Шаг 6. Сохранение и активация настроек. Зайдите в меню Configuration и выберите Save and Activate. Шаг 7. Проверка результатов. Проверьте работоспособность HTTP ALG. Для этого с рабочей станции PC1 (192.168.10.2) запустите Web-браузер и проверьте возможность перехода на запрещенные (рис. 9.15) и разрешенные сайты (рис. 9.16).

Рис. 9.15. Неудачное подключение к запрещенным сайтам

Рис. 9.16. Успешное подключение к разрешенному сайту

Часть 2. Настройка ALG на межсетевом экране D-Link DFL-860E с использованием CLI-интерфейса Задание 1. Настройка защиты FTP-сервера с помощью FTP ALG Соберите схему, представленную на рис. 9.17. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ, FTP-сервер — к DMZ-интерфейсу, рабочая станция PC1 — к LAN-интерфейсу, рабочая станция PC2 — к WAN2-интерфейсу. Перед выполнением задания необходимо: 1) защитить FTP-сервер, подключенный к DMZ-интерфейсу МСЭ, с помощью FTP ALG; 229

Рис. 9.17. Схема подключения рабочих станций и FTP-сервера к МСЭ

2) защитить FTP-клиентов, выходящих через МСЭ на сервер FTP, расположенный в Интернете; 3) запретить скачивание файлов с расширением .exe с FTP-сервера. Порядок выполнения задания 1. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Настройка IP-адресов на МСЭ. В командной строке (CLI) введите: DFL-860E:/> add Address AddressFolder labs DFL-860E:/> cc Address AddressFolder labs DFL-860E:/labs> add IP4Address ftp-internal Address=172.17.100.50 DFL-860E:/labs> cc DFL-860E:/> cc Address AddressFolder InterfaceAddresses DFL-860E:/InterfaceAddresses> set IP4Address WAN2_ip Address=192.168.110.1 DFL-860E:/InterfaceAddresses> set IP4Address WAN2net Address=192.168.110.0/24 DFL-860E:/InterfaceAddresses> cc

Шаг 3. Настройка FTP ALG. В командной строке (CLI) введите: DFL-860E:/> add ALG ALG_FTP ftp_alg AllowClientActive=Yes AllowServerPassive=No VerifyContentMimetype=Yes File exe

230

Шаг 4. Создание FTP-сервиса. В командной строке (CLI) введите: DFL-860E:/> add Service ServiceTCPUDP ftp-inbound_lab DestinationPorts=21 SourcePorts=0-65535 Type=TCP ALG=ftp_alg

Шаг 5. Настройка IP-правил МСЭ. В командной строке (CLI) введите: DFL-860E:/> add IPRuleFolder Name=FTP_Sec_Rules Index=1 DFL-860E:/> cc IPRuleFolder FTP_Sec_Rules DFL-860E:/1(FTP_Sec_Rules)> add IPRule Action=SAT Service=ftp-inbound_lab SourceInterface=WAN2 SourceNetwork=all-nets DestinationInterface=core DestinationNetwork=InterfaceAddresses/WAN2_ip SATTranslateToIP=labs/ftp-internal SATTranslate DestinationIP Name=SAT-ftp-inbound DFL-860E:/1(FTP_Sec_Rules)> add IPRule Action=Allow SourceInterface=WAN2 SourceNetwork=all-nets DestinationInterface=core DestinationNetwork=InterfaceAddresses/WAN2_ip Service=ftp-inbound_lab Name=Allow-ftp DFL-860E:/1(FTP_Sec_Rules)> add IPRule Action=NAT SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=dmz DestinationNetwork=labs/ftp-internal Service=ftp-inbound_lab Name=NAT-ftp DFL-860E:/1(FTP_Sec_Rules)> cc

Шаг 6. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 7. Настройка FTP-сервера. Для настройки FTP-сервера при использовании операционной системы Windows можете воспользоваться инструкцией из задания 4 части 1 лабораторной работы 5. Шаг 8. Проверка результатов. Проверьте работоспособность FTP-сервера. Для этого с рабочей станции, подключенной к LAN-интерфейсу МСЭ (192.168.10.15), запустите Web-браузер и перейдите на адрес FTP-сервера ftp://172.17.100.50 (ftp-internal) (рис. 9.18).

Рис. 9.18. Успешное подключение к FTP-серверу

231

Затем убедитесь, что нет возможности скачать файл с расширением .exe (рис. 9.19). Далее проверьте возможность скачивания файлов с другими расширениями (рис. 9.20).

Рис. 9.19. Неудачная попытка скачивания файла с расширением .exe

Рис. 9.20. Успешное скачивание файла с расширением .zip

Рис. 9.21. Успешное подключение к FTP-серверу

232

Зайдите на FTP-сервер с рабочей станции, подключенной к WAN2-интерфейсу МСЭ. Для этого с рабочей станции (192.168.110.110) запустите Web-браузер и перейдите на адрес ftp://192.168.110.1 (WAN2_ip) (рис. 9.21). С рабочей станции, подключенной к WAN2-интерфейсу МСЭ, проверьте возможность скачивания файлов с расширением .exe и с другими расши рениями. Задание 2. Настройка защиты TFTP-сервера с помощью TFTP ALG Соберите схему, представленную на рис. 9.22. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ, рабочая станция PC1 для взаимодействия с TFTP-сервером — к LAN-интерфейсу, TFTP-сервер — к DMZ-интерфейсу. Запретите пользователям записывать данные на TFTP-сервер, также ограничьте размер передаваемых файлов на TFTP-сервер до 120 Кбайт.

Рис. 9.22. Схема подключения рабочих станций и TFTP-сервера к МСЭ

Порядок выполнения задания 2. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Создание IP-адреса TFTP-сервера. В командной строке (CLI) введите: DFL-860E:/> cc Address AddressFolder labs DFL-860E:/labs> add IP4Address tftp-ip Address=172.17.100.150 DFL-860E:/labs> cc

Шаг 3. Настройка TFTP ALG. В командной строке (CLI) введите: DFL-860E:/> add ALG ALG_TFTP tftp_alg AllowedCommands=ReadOnly MaxFileTransferSize=120

233

Шаг 4. Создание TFTP-сервиса. В командной строке (CLI) введите: DFL-860E:/> add Service ServiceTCPUDP tftp-srv DestinationPorts=69 SourcePorts=0-65535 Type=UDP ALG=tftp_alg

Шаг 5. Настройка IP-правил МСЭ. В командной строке (CLI) введите: DFL-860E:/> add IPRuleFolder Name=TFTP_Rules Index=1 DFL-860E:/> cc IPRuleFolder TFTP_Rules DFL-860E:/1(TFTP_Rules)> add IPRule Action=NAT Service=tftp-srv SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=dmz DestinationNetwork=labs/tftp-ip Name=NAT-tftp DFL-860E:/1(TFTP_Rules)> cc

Шаг 6. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 7. Настройка TFTP-сервера и TFTP-клиента. Выполните настройку TFTP-сервера и TFTP-клиента в соответствии с шагом 7 задания 2 части 1 данной лабораторной работы. Шаг 8. Проверка результатов.

Рис. 9.23. Успешная передача файла image.png

Для проверки возможности скачивания файла размером менее 120 Кбайт с TFTP-сервера выполните следующую команду: tftp -i 172.17.100.150 get

Результат выполнения команды представлен на рис. 9.23. На стороне TFTP-сервера на вкладке Log Viewer просмотрите статус передаваемого файла. Переданный файл image.png на стороне TFTP-клиента сохранится в директорию C:\tftp_folder (рис. 9.24). Для проверки возможности скачивания файла размером более 120 Кбайт выполните следующую команду: tftp -i 172.17.100.150 get .

Результат выполнения команды представлен на рис. 9.25. Стоит отметить, что в командной строке не отображается сообщение об ошибке в случае неуспешной передачи файла (рис. 9.26). 234

Рис. 9.24. Успешная передача файла image.png

Рис. 9.25. Неудачная передача файла movie.mp4

Рис. 9.26. Сообщение о неудачной передаче файла movie.mp4

Задание 3. Настройка HTTP ALG и URL-фильтрации Соберите схему, представленную на рис. 9.27. Рабочая станция для управления CLI-интерфейсом подключена к серийному консольному порту МСЭ, рабочая станция PC1 — к LAN-интерфейсу МСЭ, WAN1-интерфейс МСЭ автоматически получает сетевые настройки от интернет-провайдера. 235

Рис. 9.27. Схема подключения рабочих станций к МСЭ

Перед выполнением задания необходимо: 1) заблокировать Web-сайт http://bmstu.ru; 2) заблокировать все Web-сайты, в URL которых встречается слово mail (т. е. все почтовые серверы с доступом по Web-интерфейсу); 3) разрешить посещение только Web-сайта http://e-learning.bmstu.ru. Порядок выполнения задания 3. Шаг 1. Подключение к CLI-интерфейсу МСЭ. Шаг 2. Настройка HTTP ALG. В командной строке (CLI) введите: DFL-860E:/> add ALG ALG_HTTP filter_http_alg DFL-860E:/> cc ALG ALG_HTTP filter_http_alg DFL-860E:/filter_http_alg> add ALG_HTTP_URL URL=*bmstu.ru/* Action=Blacklist DFL-860E:/filter_http_alg> add ALG_HTTP_URL URL=*mail* Action=Blacklist DFL-860E:/filter_http_alg> add ALG_HTTP_URL URL=e-learning.bmstu.ru/* Action=Whitelist DFL-860E:/filter_http_alg> cc

Шаг 3. Создание HTTP-сервиса. В командной строке (CLI) введите:

DFL-860E:/> add Service ServiceTCPUDP http-outbound_lab DestinationPorts=80 SourcePorts=0-65535 Type=TCP ALG=filter_http_alg

Шаг 4. Настройка IP-правил МСЭ. В командной строке (CLI) введите: DFL-860E:/> add IPRuleFolder Name=HTTP_ALG_Rules Index=1 DFL-860E:/> cc IPRuleFolder http_alg_rules

236

DFL-860E:/1(HTTP_ALG_Rules)> add IPRule Action=NAT Service=http-outbound_lab SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=WAN1 DestinationNetwork=all-nets Name=http_ALG_rule DFL-860E:/1(HTTP_ALG_Rules)> add IPRule Action=NAT Service=dns-all SourceInterface=lan SourceNetwork=InterfaceAddresses/ lannet DestinationInterface=WAN1 DestinationNetwork=all-nets Name=DNS_rule DFL-860E:/1(HTTP_ALG_Rules)> cc

Шаг 5. Активация и подтверждение новых настроек. В командной строке (CLI) сначала введите: DFL-860E:/> activate

и через 3–5 с введите: DFL-860E:/> commit

Шаг 6. Проверка результатов. Проверьте работоспособность HTTP ALG. Для этого с рабочей станции PC1 (192.168.10.2) запустите Web-браузер и проверьте возможность перехода на запрещенные (рис. 9.28) и разрешенные сайты (рис. 9.29).

Рис. 9.28. Неудачное подключение к запрещенным сайтам

Рис. 9.29. Успешное подключение к разрешенному сайту

Часть 3. Задания для самостоятельной работы Задание может быть выполнено как через Web-интерфейс, так и с помощью CLI-интерфейса. Выполнения задания двумя способами не требуется. Задание 1. Настройка функции Verify MIME-type Соберите схему, представленную на рис. 9.30. Рабочая станция PC1 подключена к LAN-интерфейсу МСЭ, FTP-сервер подключен к WAN2-интерфейсу 237

Рис. 9.30. Схема подключения рабочей станции к МСЭ

МСЭ. С помощью FTP ALG разрешите скачивание файлов только с расширением .doc. Далее выберите произвольный файл (напр., picture.jpg), переименуйте его расширение в .doc, затем загрузите измененный файл на FTP-сервер и проверьте возможность скачивания файла с подмененным содержимым. Задание 2. Настройка «черного/белого списков» Соберите схему, представленную на рис. 9.31. Рабочая станция для управления Web-интерфейсом подключена к LAN-интерфейсу МСЭ, WAN1-интерфейс МСЭ автоматически получает сетевые настройки от DHCP-сервера интернет-провайдера. Настройте HTTP ALG таким образом, чтобы пользователям была запрещена загрузка файлов с расширением .pdf с любых сайтов, а файлы с расширением .exe разрешите скачивать только с Web-сайта D-Link.

Рис. 9.31. Схема подключения рабочей станции к МСЭ

Контрольные вопросы и задания 1. Какие механизмы в HTTP ALG применяются для фильтрации Web-содержимого? 2. Для каких целей используется функция Verify MIME-type? 238

3. Опишите принцип работы протокола FTP. 4. В чем различия активного и пассивного режимов работы FTP? 5. Что собой представляет смешанный режим работы FTP ALG? 6. Опишите область применения протокола TFTP. Какие ограничения на протокол TFTP возможно установить при использовании TFTP ALG?

Литература Руководство по эксплуатации D-Link DFL-210/260/260E/800/860/860E/ 1600/2500/2560/2560G. URL: http:/ftp.dlink.ru/pub/FireWall/DEL-860E/Description/ NetdefendOSРуководство%20пользователям.pdf (дата обращения 14 мая 2018 г.). Технологии защиты информации в компьютерных сетях. Межсетевые экраны и интернет-маршрутизаторы / Е.А. Богданова, Н.А. Руденков, А.В. Пролетарский и др. М.: Нац. открытый ун-т «ИНТУИТ», 2013. RFC 1350 — The TFTP Protocol (Revision 2). URL: https://tools.ietf.org/html/ rfc1350 (дата обращения 14 мая 2018 г.). RFC 2616 — Hypertext Transfer Protocol (HTTP/1.1). URL: https://tools.ietf.org/ html/rfc2616 (дата обращения 14 мая 2018 г.). RFC 959 — File Transfer Protocol (FTP). URL: https://tools.ietf.org/html/rfc959 (дата обращения 14 мая 2018 г.).

Приложение 1

Требования к отчету о лабораторной работе Отчет должен иметь титульный лист, на котором указывается: а) наименование факультета и кафедры; б) название дисциплины; в) номер и тема лабораторной работы; г) фамилия преподавателя, ведущего занятия; д) фамилия, имя и номер группы студента. Отчет оформляется в электронном и печатном виде и должен содержать: 1) название лабораторной работы и ее цель; 2) структурную схему сети с указанием всех сконфигурированных интерфейсов; 3) последовательность выполнения всех действий, а именно введенные консольные команды и снимки экрана по каждому действию; 4) анализ и выводы по работе; 5) ответы на контрольные вопросы.

Приложение 2

Возврат к заводским настройкам по умолчанию После всех выполненных заданий необходимо осуществить возврат к заводским настройкам по умолчанию МСЭ D-Link. Возврат устройства к заводским настройкам по умолчанию с помощью Web-интерфейса Зайдите на устройство через Web-интерфейс, затем в меню Maintenance → → Reset. Далее выберите Restore the entire unit to factory defaults (восстановить заводские настройки по умолчанию), затем подтвердите действие и подождите завершения восстановления. Возврат устройства к заводским настройкам по умолчанию с помощью CLI Зайдите на устройство через ssh-подключение, затем введите следующую команду: DFL-860E:/>reset -configuration

Для подтверждения возврата конфигурации необходимо повторно ввести данную команду в течение 10 с. Возврат к заводским настройкам через консоль при загрузке (рис. П1) 1. Подключите консольный кабель на консольный порт DFL-860E, затем запустите программу Putty. В открывшемся окне выберите порт COM1, скорость 9600 и тип подключения Serial, далее нажмите Open. 2. Отключите на 5 с питание МСЭ, а затем снова включите. 3. В окне программы Putty выберите опцию под номером 1 для запуска МСЭ D-Link, затем быстро нажмите на «Enter» дважды, чтобы загрузить меню загрузки (Boot Menu). В меню загрузки выберите опцию 2, затем введите «Y» (Да) на клавиатуре для возврата МСЭ к заводским настройкам по умолчанию.

Рис. П1. Возврат устройства к заводским настройкам в CLI

241

Возврат к заводским настройкам нажатием на кнопку Reset (использовать только в том случае, если перечисленные выше варианты возврата к заводским настройкам недоступны) Для возврата настроек МСЭ D-Link DFL-860 к настройкам по умолчанию в течение 10–15 с при включенном питании устройства удерживайте кнопку reset, расположенную на задней панели устройства. Затем отпустите кнопку, после чего продолжатся загрузка и запуск устройства с восстановленными заводскими настройками по умолчанию. Примечание. Межсетевой экран готов к настройке, только когда загорится светодиодный индикатор System. Предупреждение: НЕ прерывайте возврат к настройкам по умолчанию! Если процесс возврата к заводским настройкам по умолчанию прерван до своего завершения, работоспособность МСЭ D-Link может быть нарушена, при этом полностью теряются все сохраненные данные пользователя.

Оглавление Предисловие . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Работа № 1. Подключение и основные настройки межсетевого экрана D-Link DFL-860E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Работа № 2. Настройка логических объектов на межсетевом экране D-Link DFL-860E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Работа № 3. Настройка Syslog-сервера и SNMP TRAP на межсетевом экране D-Link DFL-860Е . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Работа № 4. Настройка DHCP на межсетевом экране D-Link DFL-860Е . . . . . . . . . . 75 Работа № 5. Настройка трансляции сетевых адресов на межсетевом экране D-Link DFL-860Е . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 Работа № 6. Настройка ICMP на межсетевом экране D-Link DFL-860E . . . . . . . . . . . 140 Работа № 7. Управление трафиком на межсетевом экране D-Link DFL-860E . . . . . . 158 Работа № 8. Настройка аутентификации пользователей на межсетевом экране D-Link DFL-860E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 Работа № 9. Настройка ALG на межсетевом экране D-Link DFL-860E . . . . . . . . . . . 214 Приложение 1. Требования к отчету о лабораторной работе . . . . . . . . . . . . . . . . . . . . 240 Приложение 2. Возврат к заводским настройкам по умолчанию . . . . . . . . . . . . . . . . 241

Учебное издание

Пролетарский Андрей Викторович Пономарев Андрей Дмитриевич Митьковский Алексей Александрович Смирнова Елена Викторовна Ромашкина Екатерина Александровна Захаров Михаил Александрович

Применение межсетевого экрана D-Link DFL-860E для безопасности компьютерных сетей Редактор О.М. Королева Художник Я.М. Асинкритова Корректор Ю.Н. Морозова Компьютерная графика Т.Ю. Кутузова Компьютерная верстка Н.Ф. Бердавцевой Оригинал-макет подготовлен в Издательстве МГТУ им. Н.Э. Баумана. В оформлении использованы шрифты Студии Артемия Лебедева. Подписано в печать 14.01.2019. Формат 70×100/16. Усл. печ. л. 19,82. Тираж 100 экз. Заказ Издательство МГТУ им. Н.Э. Баумана. 105005, Москва, 2-я Бауманская ул., д. 5, стр. 1. [email protected] www.baumanpress.ru Отпечатано в типографии МГТУ им. Н.Э. Баумана. 105005, Москва, 2-я Бауманская ул., д. 5, стр. 1. [email protected]

Powered by TCPDF (www.tcpdf.org)