ПР_Конфигурирование межсетевого экрана

Практическая работа № 6

Тема: Конфигурирование межсетевого экрана

Цель работы: 

•        получить представление о работе классического межсетевого экрана. 

•        Закрепить понимание адресации на сетевом и транспортном уровне стека TCP/IP.

Необходимо: 

•        Установленная на компьютере среда виртуализации ORACLE Virtual Box;

•        Образы виртуальных жёстких дисков операционных систем Windows 2003 и Linux;

•        Доступ к сети Интернет;

•        Учетные записи пользователей с администраторскими правами.

Краткие теоретические сведения:

Под межсетевым экраном или брандмауэром понимают фильтр IP пакетов предназначенный для формального ограничения соединений клиентов и серверов работающих «поверх» стека TCP\IP.

В основу работы классического firewall положен контроль формальных признаков. В общем случае фильтрация осуществляется по:

•        IP адресам отправителя и получателя  в заголовке IP пакета;

•        номерам портов приложения-получателя и приложенияотправителя инкапсулированным в IP протокол транспортного (TCP, UDP) и сетевого уровней (ICMP). 

Правила фильтрации формируются в виде списка. Все проходящие пакеты проверяются по списку последовательно, до первого срабатывания. Последующие правила к пакету не применяются.

Для конфигурирования firewall в Linux необходимо сформировать набор правил iptables. В iptables реализовано несколько цепочек правил INPUT для входящего трафика, OUTPUT для исходящего и FORWARD для пересылаемого. Управление цепочками производится с помощью консольной команды iptables.

Примеры:

•        iptables -A INPUT -s ws.mytrust.ru -j ACCEPT включает прием всех пакетов с хоста ws.mytrust.ru

•        iptables -A OUTPUT -d mail.ifmo.ru --dport 25 -j DROP запрещает отправку всех пакетов на хост mail.ifmo.ru на порт 25

•        iptables -A INPUT -j DROP запрещает прием всех сообщений.

В протоколах        TCP и            UDP    (семейства     TCP/IP) порт — идентифицируемый номером         системный     ресурс,           выделяемый приложению, выполняемому на некотором сетевом хосте, для связи с приложениями, выполняемыми на других сетевых хостах (в том числе c другими приложениями на этом же хосте).

Порядок выполнения работы:

Часть 1. Windows

1.        Разобраться в назначении параметров и ключей следующих утилит:

•        sc;

•        netsh с дерективами firewall и diag;

•        netstat.

2.        Создать скрипт, который:

•        включает            автоматическую     загрузка          Брандмауэра Windows;

•        запускает брандмауэр;

•        включает протоколирование входящих соединений;

•        настраивает службу Telnet на ручной запуск;

•        добавляет правило, разрешающее доступ с IP адресов сети компьютерного класса к службе Telnet;

•        разрешает системе отвечать на запросы echo-request ICMP;

•        запускает службу Telnet;

3.        Запустить сеанс Telnet из реального компьютера в гостевую ОС.

4.        В гостевой ОС вывести на экран данные только об установленных соединениях со службой Telnet, с указанием  IP адресов и портов в численной форме.

5.        В гостевой ОС проверить доступность службы Telnet на виртуальной машине.

Часть 2. Linux

1.         Разобраться в назначении параметров и ключей утилит iptables и iptables-save

2.         Сконфигурируйте firewall в Linux следующим образом:

•        Должен быть доступен DNS сервер c адресом 194.85.32.18 

•        Должны быть доступны все наружные Web сервера и HTTP прокси с адресом шлюза proxy.ifmo.ru

•        Должен быть доступен FTP сервер ftp.ifmo.ru, 

•        Должны быть доступны все наружные POP3 сервера Примечание: Связь по открытым портам в этом правиле можно устанавливать только из защищаемой системы. 

•        Должен быть доступен SMTP сервер mail.ifmo.ru,

•        Со всех узлов  подсети 83.0.0.0/16 должен быть доступен SSH сервер на используемом компьютере

•        Отдельно должен быть заблокирован доступ к системе с хоста 10.10.11.173

•        Используемая система не должна отвечать на запросы команды PING 

•        Работа с остальными сервисами должна быть блокирована 

Содержание отчёта:

В отчёт должны быть включены ответы на следующие вопросы:

1.    От чего не способен защитить классический firewall?

2.    Можно ли организовать доступ к Web серверу, если у клиентов закрыт доступ к 80 порту?

3.    В чем отличие правил Deny и Drop?

4.    Каким образом осуществляется оптимизация правил, используемых в работе firewall?

5.    Перечислите ограничения брандмауэра Windows относящиеся к фильтрации трафика TCP/IP.

Также в отчёте необходимо предоставить:

1.    Список правил iptables

2.    Команды по созданию правил Windows-брандмауэра.

Скачано с www.znanio.ru