работа на тему: «Организация безопасных сетей Cisco» (стр. 8 из 9)

Cat3550(config-if)# switchport port-security violation shutdown

Для того чтобы адреса динамически выучивались и не удалялись после перезагрузки используем команду:

Cat3550(config-if)# switchport port-security mac-address sticky

Существует также возможность задать MAC-адресс статически:

Cat3550(config-if)# switchport port-security mac-address 1234.1234.1234

Контрольные вопросы:

1. С помощью каких команд можно защитится от атак VLAN hopping?
2. Как защитить коммутаторы на которых работает протокол STP от атак с использованием слабостей этого протокола?
3. С помощью каких команд можно защитится от DHCP и ARP атак?
4. Объясните возможности защиты портов коммутатора.
5. От атак какого уровня мы защишались в этой лабороторной работе?

Лабороторная работа №4.

Настройка SNMP

Цели:

· Настройка агента SNMP на устройстве: управление доступом SNMP с помощью групповых строк, привелигированный, не привелигированный доступ SNMP.

· Доступ по спискам доступа, разрешение прерываний и запросов SNMP только заданным системам, настройка отсылки только заданным узлам. Ограничение использования SNMP с серверами TFTP.

Введение:

Протокол SNMP (Simple Network Managment Protocol) является протоколом с помощью которого можно получить информацию о сети, при неправильной настройке данного протокола в сети, нарушитель может получить информацию о сети, с целью последующих атак. Поэтому необходимо настроить безопасную работу SNMP агентов.

Оборудование:

Для выполнения понадобится маршрутизатор серии 1700, 2600, 2690, 3600, 3700, 7200, также понадобится rollover кабель и хост для подключения к маршрутизатору через консольный порт.

Задание 1. Управление доступом SNMP с помощью групповых строк.

Существует возможность настройки групповых строк SNMP, определяющих связи между диспетчером SNMP и соответствующим агентом. Групповые строки подобны паролям, разрешающим доступ к агенту в маршрутизаторе.

Чтобы определить групповую строку, используйте следующую команду в режиме глобальной конфигурации.

router(config)tsnmp-server community строка [view имя-представления] [го | rw] [число]

Поле число должно содержать необязательный номер списка доступа.

Для непривилегированного доступа SNMP к маршрутизаторам используется пара­метр ro команды snmp-server community. Следующая команда конфигурации разрешает агенту в маршрутизаторе принимать только запросы get-request и get-next-request SNMP, посылаемые с помощью групповой строки secure:

Router (config)# snmp server community secure ro

Для привилегированного доступа SNMP к маршрутизаторам используется пара­метр rw команды snmp-server community. Следующая команда кон­фигурации разрешает агенту в маршрутизаторе использовать только сообщения set-request SNMP, посылаемые с помощью групповой строки semisecure:

Router (config)# snmp server community semisecure rw

Задание 2. Доступ по спискам доступа, разрешение прерываний и запросов SNMP только заданным системам.

Можно указать список хостов с конкретными IP-адресами, которым разрешается посылать сообщения маршрутизатору. Для этого используется параметр асcess-list команды snmp-server community, который можно применять как в привилегирован­ном, так и в непривилегированном режимах. Следующие команды конфигурации разрешают доступ к маршрутизатору в привилегированном режиме SNMP только узлам с адресами 10.1.1.4 и 10.1.1.5:

Router (config)#access-list 1 permit 10.1.1.4

Router (config)#access-list 1 permit 10.1.1.5

Router (config)# snmp server community private rw 1

Вы должны быть уверены, что конфигурация маршрутизатора позволит отсылать прерывания SNMP только узлам, которые назначены вами для выполнения функций NMS. Настройка маршрутизатора для отсылки прерываний SNMP только заданным уз­лам NMS осуществляется с помощью команды:

Router (config)# snmp-server host 10.1.1.4 trap

А на­стройка маршрутизатора для отсылки информационных запросов SNMP только за­данным узлам NMS с помощью команды:

Router (config)# snmp-server host 10.1.1.4 informs

Команда snmp-server enable traps предназначена для того, чтобы дать общее разреше­ние использовать механизм генерирования прерываний и информационных запросов.

Для интерфейсов, которые часто открываются и закрываются (например, для интер­фейса ISDN), генерирование соответствующих прерываний может оказаться нежела­тельным. Чтобы отменить генерирование прерываний, используйте команду в режиме конфигурации интерфейса:

Router (config-if)# no snmp trap link-status

Кроме того, можно указать значения, отличные от значений по умолчанию, для числа попыток, интервала ретрансмиссии:

Router(config)#snmp-server inform retries 3

максимального числа отложенных запросов:

Router(config)#snmp-server inform pending 3

Контрольные вопросы:

1. Для чего нужно настраивать SNMP агент на маршрутизаторе?
2. Что используется как пароль доступа между агентом SNMP на маршрутизаторе и диспетчером SNMP? С помощью каких команд это нстроить?
3. Для усиления защиты доступа что необходимо настроить на SNMP агенте?

Лабороторная работа №5.

Защита связи между маршрутизаторами

Цели:

• Аутентификация протоколов маршрутизации, настройка аутентификации MD5 для EIGRP.
• Фильтрация сетей в пакетах обновления маршрутизации, запрет обйявления маршрутов в обновлениях маршрутизации, запрет обработки маршрутов в обновлениях.
• Запрет прохождения обновлений через интерфейс, входные, выходные акцесс листы, управление доступом HTTP к устройству.

Введение:

Связь между маршрутизаторами нарушитель может использовать для прослушивания, манипуляции данными, воспроизведения сеансов связи, изменения параметров маршрутизации. Поэтому очень важно обеспечить защищенную связь между маршрутизаторами путём аутентификации протокола маршрутизации, управления потоком данных с помощью фильтров, запрета обработки обновлений маршрутизации, применения входных сетевых фильтров, управления доступом HTTP к маршрутизатору.

Оборудование:

Для выполнения понадобится три маршрутизатора серии 1700, 2600, 2690, 3600, 3700, 7200, также понадобится rollover кабель и хост для подключения к маршрутизатору через консольный порт, три serial или smart serial кабеля для соеденения маршрутизаторов между собой, и три crossover кабеля для подключения хостов к маршрутизаторам.

Топоплогия:

Задание 1. Настройка аутентификации MD5 для EIGRP.

Посторойте сеть показанную в топологии, задайте IP адреса интерфейсам как показано в топологии, настройте протокол маршрутизации EIGRP на маршрутизаторах с автономной системой 1, далее настроим аутентификацию MD5 для EIGRP, сначала активизируем аутентификацию MD5 для EIGRP с автономной системой 1 на интерфейсе s0/0 R1 :

R1(config)#int s0/0

R1(config-if)#ip authentication mode eigrp 1 md5

Далее создадим цепочку ключей с помощью крманд:

R1(config-if)# ip authentication key-chain eigrp 1 ourkeyhain

R1(config-if)#exit

R1(config)#key chain ourkeychain

Затем уникальным образом идентифицируем каждый ключ, сделаем два ключа:

R1(config-keychain)#key 1

R1(config-keychain-key)#key-string key1

R1(config-keychain)#key 2

R1(config-keychain-key)#key-string key2

Можно также задать время в течении которого можно отослать ключ для этого используем команду:

R1(config-keychain-key)#send-lifetime 23:59:59 jan 1 2009 infinite

Мы задали время начала отсылки ключа-1 января 2009 23:59:59 и его действие не истечет, так как указана опция infinite.

Можно также задать время в течении которого можно получить ключ, зададим бесконечность для обоих ключей:

R1(config-keychain-key)#accept-lifetime infinite

Настройте такие же ключи для интерфейса s0/0 маршрутизатора R2, теперь эти маршрутизаторы могут посылать друг другу пакеты обновлений маршрутизации. Маршрутизатор R1 получает пакет обновления маршрутизации на интерфейс s0/0 и проверяет его ключами по порядку, сначала первым потом вторым, если какой-то ключ подошел то пакет не отвергается, если нет то отвергается. Для остальных маршрутизаторов настройте такую же аутентификацию самостоятельно.

Задание 2. Настройка фильтрации пакетов в обновлениях маршрутизации.

Чтобы не дать возможности потенциальным нарушителям выяснить конфигурацию вашей сети, не следует "рекламировать" внутренние сети, которые должны быть доступны только внутренним пользователям. Запретить объявление соответствующих сетей в обновлениях маршрутизации можно с помощью списков доступа и команды distribute-list , запретим объвление сети 192.168.1.0 маршрутизатора R1 в обновлениях маршрутизации:

R1(config)#access-list 45 deny 192.168.1.0 0.0.0.255

R1 (config)#access-list 45 permit any any

R1(config)#router eigrp 1

R1(config-router)#distribute-list 45 out serial 0/0

Следует запретить использовать адреса сетей, указываемые в обновлениях маршру­тизации. Запрет обработки таких сетей не дает возможности навязать системе мар­шруты, которые могут оказаться фиктивными. Фильтры списка доступа разрешают использовать обновления маршрутизации, исходящие только от маршрутизаторов се­ти, информация о которых имеется в таблице маршрутизации данного маршрутизато­ра. Эта возможность неприменима при работе с протоколами OSPF и IS-IS. Настроим только три сети от которых R1 может получать обновления маршрутизации:

R1(config)#access-list 46 permit 10.1.1.0 0.0.0.3

R1(config)#access-list 46 permit 10.1.1.4 0.0.0.3

R1(config)#access-list 46 permit 10.1.1.8 0.0.0.3

R1(config)#router eigrp 1

R1(config-router)#distribute-list 46 in serial 0/0

Чтобы исключить возможность получения динамической информации о маршру­тах другими маршрутизаторами локальной сети, можно запретить движение сообще­ний маршрутизации через интерфейс fa0/0 маршрутизатора R1:

R1(config-router)# passive-interface fa 0/0

Задание 3. Настройка входных и выходных списков доступа, настройка HTTP доступа.

Для фильтрации траффика используются списки доступа как и в курсе CCNA, создайте на всех маршрутизаторах необходимые списки доступа которые будут фильтровать траффик, и пропускать только траффик от сетей, которые представлены в топологии.Например для маршрутизатора R1:

R1(config)#access-list 101 permit ip 10.1.1.0 0.0.0.3 any

R1(config)#access-list 101 permit ip 10.1.1.4 0.0.0.3 any

R1(config)#access-list 101 permit ip 10.1.1.8 0.0.0.3 any