Конфигурирование межсетевого экрана

Цель: получить представление о работе классического межсетевого экрана. Закрепить понимание адресации на сетевом и транспортном уровне стека TCP\IP.

Необходимо:

1) Система Win32 (win9x/2000/XP/2003)

2) Доступ к Web

3) Пакет установки KerioWinRoute 4 (или любой другой файерволл)

Краткие теоретические сведения:

1) Под межсетевым экраном или firewall или брандмауэром понимают фильтр IP пакетов предназначенный для формального ограничения соединений клиентов и серверов работающих «поверх» TCP\IP.

2) В основу работы классического firewall положен контроль формальных признаков. В общем случае фильтрация осуществляется по:

 

- IP адресам отправителя и получателя в заголовке IP пакета,

- номерам портов приложения-получателя и приложения-отправителя,

- инкапсулированным в IP протоколам транспортного (TCP, UDP) и сетевого уровней (ICMP).

 

3) Контролировать контент проходящих пакетов классический firewall не может.

4) В работе используется KerioWinRoute 4 поскольку из распространенных firewall под платформу Windows он обладает наименьшими средствами автоматизации (мастерами) и, как следствие, дает полное представление о сути настроек.

Порядок выполнения работы:

1) Зарегистрируйтесь на компьютере с администраторскими полномочиями и установите на вашем компьютере WinRoute

2) Настройте firewall таким образом, чтобы выполнялись следующие условия:

 

- с вашей системы должны быть доступны: DNS сервер с адресом шлюза по умолчанию, DNS сервер c адресом 194.85.32.18, все наружные Web сервера и HTTP прокси с адресом вашего шлюза по умолчанию, FTP сервер ftp.ifmo.ru, все наружные POP3 сервера, и SMTP сервер mail.ifmo.ru.

- с наружи, в вашей системе должен быть доступен SSH сервер на всех узлах с подсети 83.0.0.4 \ 255.255.0.0

- отдельно блокируется доступ к вашей системе с хоста 10.10.11.173.

- ваша система не должна отвечать на запросы команды PING.

- работа с остальными сервисами должна быть блокирована.

Кроме правил разрешения, должно быть правило, ограничивающее передачу всего

неразрешенного трафика. А раз правила выполняются последовательно, то это правило

должно быть последним в списке.

Определить какой номер порта соответствует какому серверу можно

воспользовавшись Web.

Ограничивайте также диапазоны портов программ-клиентов.

Для каждого правила на исходящий трафик создается зеркальное правило на входящий

и наоборот. При написании этих правил обратите внимание что является в конкретном

случае источником (Source) а что получателем (Destination)

 

3) после завершения работы удалите WinRoute (Панель управления \ установка удаления программ)!

В отчет:

в заголовке письма: №группы ФИО №работы (например: 3155 Фёдор Сумкин 5)

В теле письма:

1) Правила фильтрации в виде скриншотов WinRoute или в любой другой понятной мнемонической записи. Ответы на вопросы:

2) от чего не способен защитить классический firewall?

3) можно ли организовать доступ к Web серверу если у клиентов закрыт доступ к 80 порту?

4) в чем разница между правилами Deny и Drop?

 

 

Практическая работа №6

Маршрутизация в IP сетях

Цель: получить представление о работе IP маршрутизатора, попрактиковаться в

составлении таблиц маршрутизации и работе протоколов внутренней маршуртизации.

Дополнительной целью работы является приобретение опыта работы в средах

виртуализации.

Необходимо:

1) Семь компьютеров, объединенных локальной сетью.

2) Установление на них программа VMWare Workstation и сташе.

3) Виртуальные машины Windows 2003 Server и Windows XP.

4) Понимание структуры IP адресов и принципов маршрутизации.

Использование виртуальных машин в этой работе обусловлено исключительно соображениями удобства развертывания нескольких операционных систем на одном компьютере и не связано напрямую с главной целью работы.

В работе операционные системы Microsoft © могут заменяться на любые другие при условии, что последние поддерживают программную маршрутизацию IP. Так же в работе сделано еще одно допущение: реально, маршрутизатор объединяет несколько локальных сетей, имея по интерфейсу (порту) в каждой локальной сети. В случае программного маршрутизатора, работающего в составе ОС, в качестве портов выступают сетевые карты на компьютере. В работе программный маршрутизатор использует единственный интерфейс с двумя IP адресами для доступа к единой локальной сети, маршрутизируя фактически изолированные IP потоки.