Цель: получить представление о работе классического межсетевого экрана. Закрепить понимание адресации на сетевом и транспортном уровне стека TCP\IP.
Необходимо:
1) Система Win32 (win9x/2000/XP/2003)
2) Доступ к Web
3) Пакет установки KerioWinRoute 4 (или любой другой файерволл)
Краткие теоретические сведения:
1) Под межсетевым экраном или firewall или брандмауэром понимают фильтр IP пакетов предназначенный для формального ограничения соединений клиентов и серверов работающих «поверх» TCP\IP.
2) В основу работы классического firewall положен контроль формальных признаков. В общем случае фильтрация осуществляется по:
- IP адресам отправителя и получателя в заголовке IP пакета,
- номерам портов приложения-получателя и приложения-отправителя,
- инкапсулированным в IP протоколам транспортного (TCP, UDP) и сетевого уровней (ICMP).
3) Контролировать контент проходящих пакетов классический firewall не может.
4) В работе используется KerioWinRoute 4 поскольку из распространенных firewall под платформу Windows он обладает наименьшими средствами автоматизации (мастерами) и, как следствие, дает полное представление о сути настроек.
Порядок выполнения работы:
1) Зарегистрируйтесь на компьютере с администраторскими полномочиями и установите на вашем компьютере WinRoute
2) Настройте firewall таким образом, чтобы выполнялись следующие условия:
- с вашей системы должны быть доступны: DNS сервер с адресом шлюза по умолчанию, DNS сервер c адресом 194.85.32.18, все наружные Web сервера и HTTP прокси с адресом вашего шлюза по умолчанию, FTP сервер ftp.ifmo.ru, все наружные POP3 сервера, и SMTP сервер mail.ifmo.ru.
- с наружи, в вашей системе должен быть доступен SSH сервер на всех узлах с подсети 83.0.0.4 \ 255.255.0.0
- отдельно блокируется доступ к вашей системе с хоста 10.10.11.173.
- ваша система не должна отвечать на запросы команды PING.
- работа с остальными сервисами должна быть блокирована.
Кроме правил разрешения, должно быть правило, ограничивающее передачу всего
неразрешенного трафика. А раз правила выполняются последовательно, то это правило
должно быть последним в списке.
Определить какой номер порта соответствует какому серверу можно
воспользовавшись Web.
Ограничивайте также диапазоны портов программ-клиентов.
Для каждого правила на исходящий трафик создается зеркальное правило на входящий
и наоборот. При написании этих правил обратите внимание что является в конкретном
случае источником (Source) а что получателем (Destination)
3) после завершения работы удалите WinRoute (Панель управления \ установка удаления программ)!
В отчет:
в заголовке письма: №группы ФИО №работы (например: 3155 Фёдор Сумкин 5)
В теле письма:
1) Правила фильтрации в виде скриншотов WinRoute или в любой другой понятной мнемонической записи. Ответы на вопросы:
2) от чего не способен защитить классический firewall?
3) можно ли организовать доступ к Web серверу если у клиентов закрыт доступ к 80 порту?
4) в чем разница между правилами Deny и Drop?
Практическая работа №6
Маршрутизация в IP сетях
Цель: получить представление о работе IP маршрутизатора, попрактиковаться в
составлении таблиц маршрутизации и работе протоколов внутренней маршуртизации.
Дополнительной целью работы является приобретение опыта работы в средах
виртуализации.
Необходимо:
1) Семь компьютеров, объединенных локальной сетью.
2) Установление на них программа VMWare Workstation и сташе.
3) Виртуальные машины Windows 2003 Server и Windows XP.
4) Понимание структуры IP адресов и принципов маршрутизации.
Использование виртуальных машин в этой работе обусловлено исключительно соображениями удобства развертывания нескольких операционных систем на одном компьютере и не связано напрямую с главной целью работы.
В работе операционные системы Microsoft © могут заменяться на любые другие при условии, что последние поддерживают программную маршрутизацию IP. Так же в работе сделано еще одно допущение: реально, маршрутизатор объединяет несколько локальных сетей, имея по интерфейсу (порту) в каждой локальной сети. В случае программного маршрутизатора, работающего в составе ОС, в качестве портов выступают сетевые карты на компьютере. В работе программный маршрутизатор использует единственный интерфейс с двумя IP адресами для доступа к единой локальной сети, маршрутизируя фактически изолированные IP потоки.
