Разработка и обеспечение безопасности сети широкополосного доступа по технологии FTTB в жилом районе города Ижевска

В этом разделе описываются действия, которые необходимо предпринять, чтобы обеспечить безопасность коммутаторов.

Защита физического доступа к консоли.

Задание системных паролей.

Защита доступа по Telnet.

Защита портов коммутатора

5.3.1 Защита физического доступа к консоли

Предотвращение неавторизованного доступа к сетевым ресурсам означает, прежде всего, невозможность физического доступа к компонентам сети - рабочим станциям, серверам, сетевым кабелям и устройствам, и т.п. Когда сетевое соединение выходит за пределы вашей зоны влияния, например в точке подключения к внешнему провайдеру интернета, то контроль за физическими аспектами сети, разумеется, теряется - и остается полагаться на другие методы. Но оборудование в помещении должно находиться под пристальным наблюдением.

Как бы глупо это ни звучало, но от несанкционированного доступа часто спасает простой дверной замок. Серверы, на которых хранятся важные или уязвимые данные, не должны стоять открыто на столе или в незапертой комнате, куда может зайти кто угодно. Аналогичным образом должны защищаться маршрутизаторы, концентраторы, коммутаторы и другие устройства. Комнаты с оборудованием должны закрываться на замок или находиться под круглосуточным наблюдением.

физическую безопасность оборудование уровня доступа нам будут обеспечивать антивандальные шкафы 10U в которые в дальнейшем будет установлено следующее оборудование:

оптический кросс - КРС-16 или КРС-24;

коммутаторы LS-S2326TP-E1 или LS S2352TP-E1;

ИБП APC Back-UPC 750VA;

автоматический выключатель на Автомат ВА 47-29 1Р, Iном=16A

блок розеток на 3 поз.;

патч-панели 19" на 24 порта

Размещение оборудования с установкой телекоммуникационных шкафов выполняется с учетом согласованных списков и схем размещения оборудования Заказчиком.

Антивандальные шкафы устанавливаются на верхних этажах домов или в помещениях специально оборудованных для установки подобных конструкций. Это могут быть технические этажи или чердаки.

Доступ к которым дополнительно обеспечивает управляющая компания жилищно коммунального хозяйства. Чтобы получить доступ к данным помещениям проводятся согласования на стадии планирования строительства.

В приложении Ё приведены чертеж и фотография антивандального шкафа обеспечивающего физическую безопасность оборудования уровня доступа.

5.3.2 Защита доступа по Telnet

Основной возможностью защиты маршрутизаторов Cisco является управление доступом Telnet к маршрутизатору. Этот тип защиты важен, поскольку с помощью Telnet к маршрутизатору можно получить привилегированный доступ. При попытке доступа к маршрутизатору с помощью Telnet пользователь получает приглашение маршрутизатора в пользовательском режиме. Затем пользователь может войти в привилегированный режим.

Рассмотрим несколько замечаний, которые следует учитывать при управлении доступом Telnet.

* Порты Telnet в маршрутизаторе называются портами виртуальных терминалов (портами vty).

* Следует установить пароль привилегированного режима (пароль enable), ограничивающий доступ к привилегированному режиму через Telnet.

* По умолчанию пароль режима enable для маршрутизатора не установлен. При по пытке подключения посредством Telnet к интерфейсу, пароль для которого не установлен, вы увидите сообщение, информирующее о том, что требуется пароль, но он не был установлен. Консольный порт при этом является единственным портом, позволяющим доступ в привилегированном режиме, когда пароль vty не установлен.

* Программное обеспечение Cisco IOS использует один и тот же пароль для пор тов vty и консоли.

* Необходимо ограничить доступ Telnet с помощью команд access-class и access-list, в частности необходимо сделать следующее:

* ограничить доступ Telnet источникам с определенными IP-адресами;

* определить стандартный список доступа с разрешенными IP адресами;

* использовать список доступа для линий vty с помощью команды access-class.

* Необходимо настроить все заданные конфигурацией порты vty. Порты с номерами 0-4 имеются по умолчанию, но можно назначить и большее число портов.

* Следует ограничить доступ к порту aux, заблокировать его или вообще отключить с помощью команды no exec в режиме конфигурации линии.

* Нужно отключить команды, подобные ip alias, no cdp running и no cdp enable, чтобы предотвратить возможность доступа нарушителей к маршрутизатору через порты vty.

* Необходимо заблокировать запросы отклика с помощью команд no service tcp-small-servers и по service udp-small-servers.

* Следует установить ограничения на типы соединений (secure shell, LAT, RCP), которые могут быть открыты к маршрутизатору, используя для этого команды transport input.

В нашем случае обеспечить защиту к удаленному доступу не будет вызывать сложностей в конфигурирование т.к. в сетях подобного типа. Удаленный доступ с пользовательских компьютеров не то чтобы нужен а наоборот повышает риск взлома удаленного доступа с любого конечного устройства что в свою очередь может привезти к выводу из строя всей сети.

Все что нам нужно это:

Сконфигурировать пароль на удаленный доступ

Создать список доступа на удаленный доступ с определённого ip адресса в нашем случает это будет ip адрес компьютера главного администратора



Switch#ena

Switch#conf terminal

Switch(config)#line vty 0 15

Задаём пороли на вход в привилегированный режим

Switch(config-line)#password cisco

Switch(config-line)#login

Switch(config-line)#exit

Switch(config)#enable secret ciscosecre

Создаём список доступа и разрежаем доступ с данного ip адреса

Switch(config)#ip access-list standard 99

Switch(config-std-nacl)#permit 192.168.10.2

Switch(config-std-nacl)#exit

Switch(config)#line vty 0 15

Применяем список доступа на виртуальные линии

Switch(config-line)#access-class 99 in

Проделанные действия обеспечат нам удаленный доступ только с 192.168.10.2

Для всех остальных хостов удаленный доступ будет закрыт.

5.3.3 Защита портов коммутатора

Защита портов - эта функция коммутаторов Cisco Catalyst, которая разрешает доступ к порту ограниченному набору MAC адресов. Коммутатор может добавлять эти адреса динамически или вы можете задать их статически. Порт, на котором настроена функция защиты порта, принимает кадры только от добавленных или заданных адресов.

Существует несколько вариантов защиты порта.

Динамический. Вы можете указать, сколько MAC адресов могут одновременно использовать порт. Динамический метод используется, если имеет значение только количество разрешенных MAC адресов, а не их значения. В зависимости от конфигурации коммутатора, эти динамически добавленные адреса устаревают по прошествии определенного периода времени. Вместо устаревших адресов порт добавляет новые адреса, пока их количество не увеличивается до заданного максимального значения.

Статический. Вы статически назначаете MAC адреса, которые имеют право на использование порта. MAC адреса источника, которым не будет присвоено это право, не смогут отправлять кадры в порт.

Комбинация статического и динамического добавления адресов. Вы можете задать несколько разрешенных MAC адресов и позволить коммутатору динамически добавить остальные MAC адреса. Например, если задано максимальное число MAC адресов, равное четырем, и вы статически настроили два MAC адреса, коммутатор динамически добавит два следующих MAC адреса, полученных на соответствующем порту. Доступ к порту будет предоставляться только этим четырем адресам, два из которых заданы статически и другие два добавлены динамически. Статически заданные адреса не устаревают, однако динамически добавленные адреса могут устареть, в зависимости от конфигурации коммутатора.

* Динамическая запись с закреплением. Если на интерфейсе настроена эта функция, он автоматически «закрепляет» динамически добавленные адреса. Это значит, что динамически добавленные адреса записываются в работающую конфигурацию так, как если бы они были статически заданы с помощь команды switchport portsecurity macaddress. Закрепленные адреса не устаревают

Port security - функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.



5.3.4 Безопасные MAC-адреса

Коммутатор поддерживает такие типы безопасных MAC-адресов:

Статические MAC-адреса:

задаются статически командой switchport port-security mac-address mac-address в режиме настройки интерфейса, хранятся в таблице адресов,

добавляются в текущую конфигурацию коммутатора;

Динамические MAC-адреса:

динамически выучиваются, хранятся только в таблице адресов, удаляются при перезагрузке коммутатора;

Sticky MAC-адреса:

могут быть статически настроены или динамически выучены,

хранятся в таблице адресов, добавляются в текущую конфигурацию коммутатора. Если эти адреса сохранены в конфигурационном файле, после перезагрузки коммутатора, их не надо заново перенастраивать.

Режимы реагирования на нарушения безопасности

Нарушением безопасности для port security считаются ситуации:

максимальное количество безопасных MAC-адресов было добавлено в таблицу адресов и хост, чей MAC-адрес не записан в таблице адресов пытается получить доступ через интерфейс, адрес, выученный или настроенный как безопасный на одном интерфейсе, появился на другом безопасном интерфейсе в том же VLAN'е.

На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:

protect - когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. Оповещения о нарушении безопасности нет.

restrict - когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. В этом режиме при нарушении безопасности отправляется оповещение - отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter).

shutdown - нарушение безопасности приводит к тому, что интерфейс переводится в состояние error-disabled и выключается немедленно, и выключается LED порта. Отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений. Когда порт в состоянии error-disabled, вывести из этого состояния его можно введя команду errdisable recovery cause psecure-violation или вручную включить интерфейс введя в режиме настройки интерфейса shutdown и no shutdown. Это режим по умолчанию.

5.3.5 Настройка port security

Port security настраивается в режиме настройки интерфейса. На многих коммутаторах Cisco по умолчанию порт находится в режиме dynamic auto, однако этот режим не совместим с функцией port security. Поэтому интерфейс надо перевести в режим trunk или access. В нашем случае требуется использовать на коммутаторах уровня доступа на портах Fastethernet соединение access, а для коммутатора уровня агрегации использовать соединение trunk. Для этого необходимо сконфигурировать данные интерфейсы так:

Switch>enable

Switch#conf terminal

switch_UD109(config)#interface fastEthernet 0/1

switch_UD109(config-if)#switchport mode access



аналогично производим конфигурирование для всех коммутаторов уровня доступа.

Конфигурирование коммутатора уровня агрегации будет следущем:

Switch>enable

Switch#conf terminal

switch_routing(config)#interface fastEthernet 0/1

switch_routing(config-if)#switchport mode trunk

Далее необходимо сконфигурировать список разрешенных mac адресов и приписать их с портам коммутатора.

Mac адрес - это уникальный идентификатор, присваиваемый каждой единице оборудования компьютерных сетей. В широковещательных сетях (таких, как сети на основе Ethernet) MAC-адрес позволяет уникально идентифицировать каждый узел сети и доставлять данные только этому узлу. Таким образом,

MAC-адреса формируют основу сетей на канальном уровне, которую используют протоколы более высокого (сетевого) уровня

Также хотелось бы отметить что установка разрешенных адресов могут устанавливаться как на порты коммутатора так и на интерфейсы Vlan.

Нам лучше сделать привязку адресов именно к портам коммутатора так как интерфейсы vlan у нас также приписаны к портам коммутатора.

Перед началом конфигурирования списка разрешенных mac адресов необходимо выполнить следующие действия:

Switch>enable

Switch#conf terminal

switch_UD109(config)#interface fastEthernet 0/1

далее необходимо включить функцию port security

switch_UD109(config)# port-security

задать количество безопасных адресов равное 1

Switch_UD109(config-if)#switchport port-security maximum 1



Установить режим безопасных адресов sticky и указать разрешенный адрес

Switch_UD109(config-if)#switchport port-security mac-address sticky 0001.6450.62DC

Установить режим реагирования на нарушение безопасности

Switch_UD109(config-if)#switchport port-security violation protect

После проделанных действий компьютер с mac адресом 0001.6450.62DC

Может получить доступ к сети только с определённого коммутатора и только с определённого порта, а именно с коммутатора по адресу UD109 и с порта fastEthernet 0/1

На мой взгляд данная схема обеспечения безопасности наиболее проста и в тоже время полноценно обеспеченна всеми необходимыми средствами технической безопасности.

На этом примере показана наглядная схема обеспечения безопасности портов коммутатора. Аналогично производится конфигурирование остальных коммутаторов в данном оптическом кольце.

Ниже приведены списки конфигураций коммутаторов уровня доступа:

Коммутатор по адресу ул. Союзная 45 UD109

version 12.2

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

hostname switch_UD109

enable secret 5 $1$mERr$oXudM0pt1ousyj22XJqei/

spanning-tree mode pvst

interface FastEthernet0/1

switchport access vlan 10

switchport mode access



switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 0001.6450.62DC

interface FastEthernet0/2

switchport access vlan 11

switchport mode access

switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 0010.6450.62DC

interface FastEthernet0/3

switchport access vlan 12

switchport mode access

switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 0011.6450.62DC

interface FastEthernet0/9

switchport access vlan 18

switchport mode access

switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 1100.6450.62DC

interface GigabitEthernet1/1

switchport mode trunk

interface GigabitEthernet1/2

switchport mode trunk



interface Vlan1

no ip address

shutdown

line con 0

line vty 0 4

password cisco

login

line vty 5 15

password cisco

login

end

Коммутатор по адресу ул. Союзная 47 UD110

version 12.2

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

hostname switch_UD110

enable secret 5 $1$mERr$oXudM0pt1ousyj22XJqei/

spanning-tree mode pvst

interface FastEthernet0/1

switchport access vlan 20

switchport mode access

switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 0001.6450.62DH

interface FastEthernet0/2

switchport access vlan 21

switchport mode access



switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 0010.6450.62EC

interface FastEthernet0/3

switchport access vlan 22

switchport mode access

switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 0011.6450.62KC

interface FastEthernet0/9

switchport access vlan 28

switchport mode access

switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 1100.6450.62DL

interface GigabitEthernet1/1

switchport mode trunk

interface GigabitEthernet1/2

switchport mode trunk

interface Vlan1

no ip address

shutdown

line con 0

line vty 0 4

password cisco

login



line vty 5 15

password cisco

login

end

Коммутатор по адресу ул. Союзная 51 UD112

version 12.2

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

hostname switch_UD112

enable secret 5 $1$mERr$oXudM0pt1ousyj22XJqei/

spanning-tree mode pvst

interface FastEthernet0/1

switchport access vlan 30

switchport mode access

switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 0001.6650.62DC

interface FastEthernet0/2

switchport access vlan 31

switchport mode access

switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 0010.6459.62DC

interface FastEthernet0/3

switchport access vlan 32

switchport mode access



switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 0011.6430.62DC

interface FastEthernet0/9

switchport access vlan 38

switchport mode access

switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 1100.6650.62DH

nterface GigabitEthernet1/1

switchport mode trunk

nterface GigabitEthernet1/2

switchport mode trunk

interface Vlan1

no ip address

shutdown

line con 0

line vty 0 4

password cisco

login

line vty 5 15

password cisco

login

end

Коммутатор по адресу ул. Союзная 53 UD111

version 12.2

no service timestamps log datetime msec



no service timestamps debug datetime msec

no service password-encryption

hostname switch_UD111

enable secret 5 $1$mERr$oXudM0pt1ousyj22XJqei/

spanning-tree mode pvst

interface FastEthernet0/1

switchport access vlan 40

switchport mode access

switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 0001.6450.62EC

interface FastEthernet0/2

switchport access vlan 41

switchport mode access

switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 0010.6450.627C

interface FastEthernet0/3

switchport access vlan 42

switchport mode access

switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 0011.6450.6FDC

interface FastEthernet0/9

switchport access vlan 48

switchport mode access



switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 1100.6450.62YC

interface GigabitEthernet1/1

switchport mode trunk

interface GigabitEthernet1/2

switchport mode trunk

interface Vlan1

no ip address

shutdown

line con 0

line vty 0 4

password cisco

login

line vty 5 15

password cisco

login

Коммутатор по адресу ул. Союзная 55 UD114

version 12.2

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

hostname switch_UD114

enable secret 5 $1$mERr$oXudM0pt1ousyj22XJqei/

spanning-tree mode pvst

interface FastEthernet0/1

switchport access vlan 50

switchport mode access



switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 0001.6450.62DC

interface FastEthernet0/2

switchport access vlan 51

switchport mode access

switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 0010.6450.62DC

interface FastEthernet0/3

switchport access vlan 52

switchport mode access

switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 0011.6450.62DC

interface FastEthernet0/9

switchport access vlan 58

switchport mode access

switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 1100.6450.62DC

interface GigabitEthernet1/1

switchport mode trunk

interface GigabitEthernet1/2

switchport mode trunk



interface Vlan1

no ip address

shutdown

line con 0

line vty 0 4

password cisco

login

line vty 5 15

password cisco

login

end

Коммутатор по адресу ул. Союзная 57UD113

version 12.2

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

hostname switch_UD113

enable secret 5 $1$mERr$oXudM0pt1ousyj22XJqei/

spanning-tree mode pvst

interface FastEthernet0/1

switchport access vlan 60

switchport mode access

switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 0001.6450.62DC

interface FastEthernet0/2

switchport access vlan 61

switchport mode access



switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 0010.6450.62DC

interface FastEthernet0/3

switchport access vlan 62

switchport mode access

switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 0011.6450.62DC

interface FastEthernet0/9

switchport access vlan 68

switchport mode access

switchport port-security

switchport port-security mac-address sticky

switchport port-security violation protect

switchport port-security mac-address sticky 1100.6450.62DC

interface GigabitEthernet1/1

switchport mode trunk

interface GigabitEthernet1/2

switchport mode trunk

interface Vlan1

no ip address

shutdown

line con 0

line vty 0 4

password cisco

login



line vty 5 15

password cisco

login

end

5.4 Обеспечение безопасности коммутатора уровня агрегации

На оборудование агрегации в моей дипломной работе ложится основная нагрузка по реализации мер защиты. В их число входят применение списков контроля над доступом (ACL), статическое закрепление ip адресов к vlan маршрутизация, блокировка неразрешенных ip адресов, авторизация по протоколу 802.1х или привязка IP-адреса к конкретному MAC-адресу. На этом уровне должна обеспечиваться поддержка механизмов качества обслуживания, заключающаяся в сегментации трафика по очередям приоритетов.

В данной сети разработана схема обеспечения безопасности удовлетворяющая основным требованиям и принципов обеспечения безопасности оборудования уровня агрегации.

Разработанная схема безопасности имеет несколько особенностей такие как:

Поскольку именно на оборудовании уровня агрегации происходит коммутация и распределение траффика немало важным фактором является то что, получить доступ к конфигурации всей сети злоумышленнику необходимо получить доступ именно к коммутатору уровня агрегации. Поэтому необходимо создавать списки доступа и конфигурировать интерфейсы Vlan именно на коммутаторах уровня агрегации а на уровне доступа минимизировать конфигурации оборудования потому что получить доступ к оборудованию уровню доступа гораздо легче чем к уровню агрегации. Поэтому было принято решение максимально обеспечить контроль над трафиком и доступом к конфигурации оборудования.

Для достижения этих целей было проделана следующая работа.

На начальной стадии конфигурирования необходимо задать имена и пароли.

Switch>enable

Switch#conf terminal

Switch(config)#hostname switch_routing

switch_routing(config)#enable password cisco

switch_routing(config)#enable secret 7xcv79bc

switch_routing(config)#line console 0

switch_routing(config-line)#password cisco

switch_routing(config-line)#login

switch_routing(config)#line vty 0 4

switch_routing(config-line)#password cisco

switch_routing(config-line)#login

далее необходимо создать и сконфигурировать Vlan

switch_routing(config)#interface vlan 10

switch_routing(config-if)#ip address 192.168.10.1 255.255.255.248

switch_routing(config)#interface vlan 20

switch_routing(config-if)#ip address 192.168.10.9 255.255.255.248

switch_routing(config)#interface vlan 30

switch_routing(config-if)#ip address 192.168.10.17 255.255.255.248

switch_routing(config)#interface vlan 40

switch_routing(config-if)#ip address 192.168.10.25 255.255.255.248

switch_routing(config)#interface vlan 50

switch_routing(config-if)#ip address 192.168.10.33 255.255.255.248

switch_routing(config)#interface vlan 60

switch_routing(config-if)#ip address 192.168.10.41 255.255.255.248

далее сконфигурируем интерфейсы GigabitEthernet 0/1 и 0/2



поскольку по интерфейсам GigabitEthernet будет проходить трафик в разные vlan необходимо утрановить соединение trunk.

switch_routing(config)#interface gigabitEthernet 0/1

switch_routing(config-if)#switchport mode trunk

switch_routing(config-if)#switch trunk encapsulation dot1q

switch_routing(config)#interface gigabitEthernet 0/2

switch_routing(config-if)#switchport mode trunk

switch_routing(config-if)#switch trunk encapsulation dot1q

и включим функцию маршрутизации

switch_routing(config)#ip routing

после того как были заданы основные параметры сети необходимо обеспечить контроль доступа на удалённый доступ

хотелось бы отметить, что данная конфигурация принадлежит коммутатору уровня агрегации. Подобная конфигурация выполнялась также на коммутаторы уровня доступа.

Задаём пороли на вход в привилегированный режим

Switch_routing (config-line)#password cisco

Switch_routing (config-line)#login

Switch_routing (config-line)#exit

Switch_routing (config)#enable secret ciscosecret

Создаём список доступа и разрешаем доступ с данного ip адреса

Switch_routing(config)#ip access-list standard 98

Switch_routing (config-std-nacl)#permit 192.168.10.2

Switch_routing (config-std-nacl)#exit

Switch_routing (config)#line vty 0 15

Применяем список доступа на виртуальные линии

Switch(config-line)#access-class 99 in

Проделанные действия обеспечат нам удаленный доступ только с 192.168.10.2.



5.4.1 Конфигурирование списков доступа

Списки доступа позволяют управлять прохождением траффика через интерфейсы коммутатора, разрешая или запрещая передачу пакетов, удовлетворяющих указанным условиям. Списки доступа используются в качестве базового средства обеспечения безопасности сети.

Списки доступа (access-lists) используются в целом ряде случаев и являются общим механизмом задания условий, которые роутер проверяет перед выполнением каких-либо действий. Некоторые примеры использования списков доступа:

Управление передачей пакетов на интерфейсах

Управление доступом к виртуальным интерфейсам Vlan

Ограничение информации, передаваемой динамическими протоколами роутинга

Задачи и правила построения списков доступа для различных протоколов различны, но, в общем, можно выделить два этапа работы с любыми списками доступа. Сначала, необходимо создать список доступа, затем применить его к соответствующему интерфейсу.

Списки доступа определяют критерии, на соответствие которым проверяется каждый пакет, обрабатываемый роутером в точке <приложения> списка доступа.

Типичными критериями являются адреса отправителя и получателя пакета, тип протокола. Однако, для каждого конкретного протокола существует свой собственный набор критериев, которые можно задавать в списках доступа.

Каждый критерий в списке доступа записывается отдельной строкой. Список доступа в целом представляет собой набор строк с критериями, имеющих один и тот же номер (или имя). дополнение списка новыми критериями производится в конец списка. Запомните также, что нет возможности исключить какой-либо критерий из списка. Есть только возможность стереть весь вписок целиком.

Порядок задания критериев в списке существенен. Проверка пакета на соответствие списку производится последовательным применением критериев из данного списка (в том порядке, в котором они были введены). Если пакет удовлетворяет какому-либо критерию, то дальнейшие проверки его на соответствие следующим критериям в списке - НЕ ПРОИЗВОДЯТСЯ

В конце каждого списка системой добавляется неявное правило. Таким образом, пакет, который не соответствует ни одному из введенных критериев будет отвергнут. Для каждого протокола на интерфейс может быть назначен только один список доступа. Для большинства протоколов можно задать раздельные списки для разных направлений траффика. Если список доступа назначен на входящий через интерфейс траффик, то при получении пакета, роутер проверяет критерии, заданные в списке. Если пакет разрешен данным списком, то он передается для дальнейшей обработки. Если пакет запрещен, то он отбрасывается.

Если список доступа назначен на выходящий через интерфейс траффик, то после принятия решения о передаче пакета через данный интерфейс роутер проверяет критерии, заданные в списке. Если пакет разрешен данным списком, то он передается в интерфейс. Если пакет запрещен, то он отбрасывается.

Стандартные и расширенные списки доступа

Поддерживаются следующие виды списков доступа для IP:

Стандартные списки доступа (проверяют адрес отправителя пакета)

Расширенные списки доступа (проверяют адрес отправителя, адрес получателя и еще ряд параметров пакета)

Динамические расширенные списки доступа (имеют конечное <время жизни> и условия применения)

В нашем случае будем использовать стандартные именованные списки доступа. Для создания и применения списков доступа были проделанный следующие действия:

Создаём сами списки. Поскольку в нашей сети используется упрощённая схема подключения абонентов, создано 6 vlan для 6 пользователей подключенных по 1 на каждом коммутаторе

(данная схема подключения абонентов отразит работоспособность всей сети в полном объёме)

Нумерация списков доступа для простоты понимания производится синхронно с нумерацией Vlan.

switch_routing#enable

switch_routing#configure terminal

switch_routing(config)#ip access-list standard 10

после создания списка необходимо вписать критерии. В стандартных именных списках существует несколько критериев, такие как:

permit: разрешить

deny: запретить

remark: комментарий о списке доступа

address: запрещаем или разрешаем сеть

any: разрешаем или запрещаем всё

host: разрешаем или запрещаем хосту

source-wildcard: WildCard маска сети

log: включаем логгирование пакеты проходящие через данную запись ACL

switch_routing(config-std-nacl)#permit host 192.168.10.2

switch_routing(config-std-nacl)#deny any

этими действиями мы разрешаем доступ только данному хосту.

После чего необходимо присвоить данные условия к определённому интерфейсу. В нашем случае это интерфейс Vlan 10

Входим в интерфейс и запрещаем входящий и исходящий трафик при нарушение условий данного списка.

switch_routing(config)#int vlan 10



switch_routing(config-if)#ip access-group 10 in

switch_routing(config-if)#ip access-group 10 out

Таким образом получается что только данный ip адрес входящий в данный vlan может получать траффик. Подобную конфигурацию необходимо повторить на всех созданных Vlan.

switch_routing(config)#ip access-list standard 20

switch_routing(config-std-nacl)#permit host 192.168.10.10

switch_routing(config-std-nacl)#deny any

switch_routing(config)#int vlan 20

switch_routing(config-if)#ip access-group 10 in

switch_routing(config-if)#ip access-group 10 out

switch_routing(config)#ip access-list standard 30

switch_routing(config-std-nacl)#permit host 192.168.10.18

switch_routing(config-std-nacl)#deny any

switch_routing(config)#int vlan 30

switch_routing(config-if)#ip access-group 10 in

switch_routing(config-if)#ip access-group 10 out

switch_routing(config)#ip access-list standard 40

switch_routing(config-std-nacl)#permit host 192.168.10.26

switch_routing(config-std-nacl)#deny any

switch_routing(config)#int vlan 40

switch_routing(config-if)#ip access-group 10 in

switch_routing(config-if)#ip access-group 10 out

switch_routing(config)#ip access-list standard 50

switch_routing(config-std-nacl)#permit host 192.168.10.34

switch_routing(config-std-nacl)#deny any

switch_routing(config)#int vlan 50

switch_routing(config-if)#ip access-group 10 in

switch_routing(config-if)#ip access-group 10 out



switch_routing(config)#ip access-list standard 60

switch_routing(config-std-nacl)#permit host 192.168.10.42

switch_routing(config-std-nacl)#deny any

switch_routing(config)#int vlan 60

switch_routing(config-if)#ip access-group 10 in

switch_routing(config-if)#ip access-group 10 out

далее приведена конечная конфигурация оборудования уровня агрегации

Building configuration...

Current configuration: 2064 bytes

version 12.2

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

hostname switch_routing

enable secret 5 $1$mERr$wZMkJsj2RVk4hay2C4T32.

ip routing

spanning-tree mode pvst

interface FastEthernet0/1

interface FastEthernet0/2

interface FastEthernet0/24

interface GigabitEthernet0/1

switchport trunk encapsulation dot1q

interface GigabitEthernet0/2

switchport trunk encapsulation dot1q

interface Vlan1

no ip address

shutdown

interface Vlan10



ip address 192.168.10.1 255.255.255.248

ip access-group 10 in

ip access-group 10 out

interface Vlan20

ip address 192.168.10.9 255.255.255.248

ip access-group 20 in

ip access-group 20 out

interface Vlan30

ip address 192.168.10.17 255.255.255.248

ip access-group 30 in

ip access-group 30 out

interface Vlan40

ip address 192.168.10.25 255.255.255.248

ip access-group 40 in

ip access-group 40 out

interface Vlan50

ip address 192.168.10.33 255.255.255.248

ip access-group 50 in

ip access-group 50 out

interface Vlan60

ip address 192.168.10.41 255.255.255.248

ip access-group 60 in

ip access-group 10 out

ip classless

access-list 10 permit host 192.168.10.2

access-list 10 deny any

access-list 20 permit host 192.168.19.10

access-list 20 deny any

access-list 30 permit host 192.168.10.18



access-list 30 deny any

access-list 40 permit host 192.168.10.26

access-list 40 deny any

access-list 50 permit host 192.168.10.34

access-list 50 deny any

access-list 60 permit host 192.168.10.42

access-list 60 deny any

line con 0

password cisco

login

line vty 0 4

password cisco

login

end



Заключение

С активным развитием мультисервисных сетей становится важным вопрос об их квалифицированной разработке и соответствующей защите. Ведь от грамотного создания проекта сети и от эффективной схемы обеспечения безопасности зависит эффективность ее дальнейшего функционирования.

В результате проделанной работы была спроектирована мультисервисная сеть и применена достаточно надежная схема обеспечения безопасности для одного оптического кольца в жилом районе города Ижевска а именно район ОУ-6 в состав которого входит оптическое кольцо в который вошли здания по адресам улица Союзная 45, 47, 51, 53, 55, 57

Общее количество абонентов составляет 144. Абоненты мультисервисной сети имеют доступ к сети Интернет, услуг IP-телефонии, и цифрового интерактивного телевидения. В качестве источника услуг был избран оператор ООО «Комстар»

Мультисервисная сеть ОУ-6 разделена на 2 уровня: агрегирующий уровень и уровень доступа. Для агрегирующего уровня был выбран высокопроизводительный коммутатор 3-го уровня с низкими показателями отказа. Сеть уровня доступа имеет кольцевую топологию, которая соединяет все узлы в кольцо замыкаясь через сеть “Комстар”, обеспечивая соединение низкую вероятность отказа. Район ОУ-6 был разделен на 15 секторов (оптических колец) с одним узлом агрегации. При рассмотрении одного оптического кольца, до узла агрегации подключена сеть доступа состоящая из 6 коммутаторов уровня доступа. Также была спроектирована модель сети в программе Packet Tracer , для проверки работоспособности, также была Разработана схема обеспечения безопасности данной сети, состоящая из двух этапов.



Идентификация пользователя по mac-адресу на уровне доступа.

Идентификация пользователя по ip адресу на уровне агрегации.

Для достижения данных целей были сконфигурированы пороли для доступа конфигурирования оборудования, обеспечена безопасность портов коммутатора уровня доступа путём создания таблицы разрешенных mac-адресов и приписаны к определённым портам коммутатора. Также были сконфигурированы виртуальные интерфейсы Vlan по технологии Vlan 1:1 они также были приписаны к определённым портам коммутатора. Была обеспечена фильтрация траффика по ip адресам пользователей путем создания списков доступа на коммутаторе уровня агрегации. Также были созданы списки доступа на удаленное подключение к конфигурированию оборудования, и были защищены паролем.



Список используемых источников

1. Филимонов, А. Построение мультисервисных сетей Ethernet [Текст] / СпБ - 2007 - «БХВ-Петербург».

2. Бакланов И.Г. NGN: Принципы построения и организации [Текст] /под ред. Ю.Н. Чернышова. - М.: Эко-Трендз, 2008. - 400 с.

3. Официальный сайт администрации городского округа Самара- [Электронный ресурс] / Режим доступа - http://city.samara.ru.

4. Слепов Н.Н. Синхронный цифровые сети SDH [Текст] / Слепов, Н.Н. - М., 1997. Эко-Трендз.

5. Слепов Н. Сети SDH новой генерации и их использование для передачи трафика Ethernet [Текст] / Н. Слепов // Электроника: НТБ - 2005 - Вып.3. - C. 47-55.

6. Бахтеяров П. Основы построения Metro Ethernet сетей [Текст] /П. Бахтеяров // Вестник связи - 2004 - Вып. №10. - C. 45-51.

7. Принципы маршрутизации в Internet, 2-е издание [Текст]: Пер. с англ. М.: Издательский дом "Вильяме", 2001. - 448 с.: ил.

8. Руководство по Cisco IOS [Текст]. - СПб.: Питер, М.: Издательство «Русская Редакция», 2008. -784 с

9. Росляков А.В. IP-телефония / Росляков А.В., Самсонов М.Ю., Шибаева И.В. - М.: Эко-Трендз, 2003. - 252 с.

10. Официальный сайт произвоизводителя оборудования Cisco Systems [Электронный ресурс] / Режим доступа - http://www.cisco.com.

11. Хьюкаби, Д., Мак-Квери, С. Руководство по конфигурированию коммутаторов Catalyst.: Пер. с англ. [Текст] - М.: Издательский дом «Вильямс» - 2004. - 560 с.

12. Optix OSN 3500 Интеллектуальная система оптической передачи Техническое руководство - Описание системы.

13. RAD RIC-155GE. Техническое описание конвертора интерфейсов.

14. Транспортные сети и системы электросвязи. Системы мультиплексирования: Учебник для студентов ВУЗов по специальности «Телекоммуникации» [Текст] / Под ред. В.К. Стеклова. - К.; 2003 - 352 с.

15. Официальный сайт компании D-Link. Техническое описание медиаконвер-тора DMC-920 [Электронный ресурс] / Режим доступа -http://ftp.dlink.ru/pub/transciever_mediaconverter/DMC-920/Data_sh.

16. Техническое описание синхронного мультиплексора SMA4. Фирма «СИМЕНС». Вариант исполнения S42022-D3502-H2-2-18.

17. Официальный сайт ЗАО «Самарская оптическая кабельная компания» [Электронный ресурс] / Режим доступа - http://www.soccom.ru.

18. Дональд, Дж. Стерлинг. Техническое руководство по волоконной оптике [Текст] / Дональд Дж. Стерлинг., пер. Московченко А. - Издательство «ЛОРИ» - 1998.

19. Основы организации сетей Cisco, том 1 [Текст].: Пер. с англ. - М.: Издательский дом «Вильямс», 2002. - 512 с.

20. Портнов, Э.Л. Оптические кабели связи [Текст] - М. «Информсвязь», 2000 - 112 с.

21. Программа сетевой академии Cisco CCNA 3 и 4. Вспомогательное руководство, 3-е изд., с испр. [Текст]: Пер. с англ. - М.: ООО «И. Д. Вильямс», 2007. - 994.

22. Сапаров В.Е. Руководящий документ. Выпускные квалификационные работы. Общие требования по оформлению пояснительной записки [Текст]. - Самара: ПГУТИ, 2009. - 28 с.

23. Слепов Н.Н. Оптоволоконные системы дальней связи. Перспективы развития [Текст] // Электроника: НТБ - 2005. - Вып.6.

24. Величко В.В. Телекоммуникационные системы и сети: Учебное пособие в 3-х томах. Том 3. - Мультисервисные сети [Текст] / В.В. Величко, Е.А. Субботин, В.П. Шувалов, А.Ф. Ярославцев; под ред. профессора В.П. Шувалова. - М.: Горячая линия - Телеком, 2005. - 592 с.



Приложение А



Приложение Б



Приложение В



Приложение Г



Приложение Д

Размещено на Allbest.ru