Трассировщик пакетов настраивает параметры брандмауэра
Обновлено: 21.11.2024
13.4.1.10 Packet Tracer — настройка ответов безопасности беспроводной сети
13.4.1.10 Packet Tracer — настройка ответов по безопасности беспроводной сети Packet Tracer — настройка безопасности беспроводной сети (версия ответов) Ответы Примечание. Красный цвет шрифта или выделение серым цветом обозначают текст, который появляется только в копии ответов. Введение В этом упражнении вы настроите беспроводной маршрутизатор, чтобы: использовать WPA2 Personal в качестве метода безопасности; полагаться на фильтрацию MAC-адресов […]
Продолжить чтение…
11.5.5.3 Packet Tracer — использование ответов Telnet и SSH
11.5.5.3 Packet Tracer — использование ответов Telnet и SSH Packet Tracer — использование ответов Telnet и SSH (версия ответов) Примечание. Красный цвет шрифта или серое выделение обозначают текст, который появляется только в копии ответов. Введение В этой лабораторной работе вы будете использовать Packet Tracer для установления удаленных сеансов с двумя маршрутизаторами, используя Telnet и SSH. […]
Продолжить чтение…
6.1.5.3 Packet Tracer — ответы на вопросы об управлении устройствами IoT
6.1.5.3 Packet Tracer — ответы для управления устройствами IoT Packet Tracer — ответы для управления устройствами IoT (версия ответов) Примечание. Красный цвет шрифта или выделение серым цветом обозначают текст, который отображается только в копии ответов. Введение В этом упражнении вы только что установили различные устройства IoT по дому и хотите настроить их как дома […]
Продолжить чтение…
6.1.4.7 Packet Tracer — ответы по настройке параметров брандмауэра
6.1.4.7 Packet Tracer — Настройка параметров брандмауэра Ответы Packet Tracer — Настройка параметров брандмауэра (версия ответов) Ответы Примечание. Красный цвет шрифта или серое выделение обозначают текст, который появляется только в копии ответов. Цели Настройка фильтрации MAC-адресов на беспроводном маршрутизаторе. Настройте DMZ на беспроводном маршрутизаторе. Настройте переадресацию одного порта на беспроводном маршрутизаторе. […]
Продолжить чтение…
6.1.3.9 Packet Tracer — ответы на вопросы о подключении к беспроводной сети
6.1.3.9 Packet Tracer — подключение к беспроводной сети. Цели Подключение к беспроводному маршрутизатору Настройка беспроводного маршрутизатора Подключение проводного устройства к беспроводному маршрутизатору […]
Продолжить чтение…
6.1.2.1 Packet Tracer — ответы на вопросы о добавлении компьютеров в существующую сеть
6.1.2.1 Packet Tracer — добавление компьютеров в существующую сеть. Цели Настройка компьютеров для использования DHCP Настройка статической адресации на сервере Использование ipconfig для […]
Продолжить чтение…
Межсетевой экран Cisco ASA 5505 — это самая маленькая модель в новой серии аппаратных устройств Cisco 5500. Хотя эта модель подходит для малого бизнеса, филиалов или даже домашнего использования, ее возможности защиты брандмауэра такие же, как у самых больших моделей (5510, 5520, 5540 и т. д.). Технология Adaptive Security брандмауэров ASA обеспечивает надежную и надежную защиту брандмауэра, расширенную безопасность с учетом приложений, защиту от атак типа «отказ в обслуживании» и многое другое. Более того, производительность устройства ASA 5505 поддерживает пропускную способность брандмауэра 150 Мбит/с и 4000 соединений брандмауэра в секунду, что более чем достаточно для небольших сетей. В этой статье я объясню базовую конфигурацию Cisco ASA 5505 для подключения небольшой сети к Интернету (здесь полные руководства).
Конфигурация Cisco ASA 5505
А теперь пошагово рассмотрим конфигурацию Cisco ASA 5505.
Шаг 1. Настройте vlan внутреннего интерфейса
Шаг 2. Настройте vlan внешнего интерфейса (подключенный к Интернету)
Шаг 3. Назначьте Ethernet 0/0 сети Vlan 2
Шаг 4. Включите остальные интерфейсы без закрытия
Шаг 5. Настройте PAT на внешнем интерфейсе
В марте 2010 г. компания Cisco анонсировала новую версию программного обеспечения Cisco ASA 8.3. В этой версии было внесено несколько важных изменений в конфигурацию, особенно в механизме NAT/PAT. Команда «global» больше не поддерживается. NAT (статический и динамический) и PAT настраиваются под сетевыми объектами. Приведенная ниже конфигурация PAT предназначена для ASA 8.3 и более поздних версий:
object network obj_any
subnet 0.0.0.0 0.0.0.0
nat (внутри, снаружи) динамический интерфейс
Приведенные выше команды будут выполнены. та же задача, что и у команд «global» и «nat» в версиях до 8.3.
Шаг 6. Настройте маршрут по умолчанию
Здесь вы также можете узнать, как настроить любой брандмауэр Cisco ASA 5500, а также VPN.
Дополнительные примеры конфигурации Cisco и другие сведения о разработке и внедрении решений Cisco: советы и учебные пособия Cisco.
В этом руководстве рассказывается о настройке архитектуры DMZ, а также о некоторых других элементах управления сетевой безопасностью.
DMZ — это демилитаризованные зоны, то есть они представляют собой подсеть, предназначенную для предоставления доступа к внешним службам из ненадежной сети (обычно из открытого Интернета). Это используется для защиты локальной сети организации (LAN) от ненадежного трафика. Если бы мы это представили, демилитаризованная зона располагалась бы между общедоступным Интернетом и частными сетями.
Элементы управления безопасностью наиболее эффективны, если встроены в то, к чему они применяются, и сетевая инфраструктура не исключение. Хотя сетевая автоматизация позволяет очень быстро оптимизировать конфигурации, гораздо эффективнее сразу сделать все правильно.
Схема топологии состоит из трех основных зон:
Представьте, что Internal и DMZ вместе являются нашей частной сетью. Эта стратегия проектирования является прекрасным примером значительного повышения безопасности за счет сегментации сети.
Темы для обсуждения:
- Усиление назначения портов коммутатора
- Настройка сервера
- Отслеживание DCHP
- Проверка Arp
- Конфигурация брандмауэра — настройка DMZ со статическими маршрутами
- Вход/настройка SSH
- Списки контроля доступа (ACL)
Если некоторые из этих терминов кажутся вам иностранными, потратьте некоторое время на их изучение и, по крайней мере, узнайте их основное назначение в сети, прежде чем продолжить.
Обширные глубокие знания не требуются, чтобы хотя бы начать настройку и посмотреть, как эти протоколы работают в действии.
Загрузить файлы для Packet Tracer
Все файлы, использованные в этом руководстве, можно просмотреть и скачать здесь.
Первый — это основа для работы, а второй — чтобы вы могли увидеть готовую настройку и сравнить ее со своей.
Файлы PKT можно открыть с помощью Packet Tracer от Cisco.
- пользователь: администратор
- пароль: cisco
- включить: класс
Советы
- Знак вопроса можно использовать для ЛЮБОГО позиционного параметра, чтобы увидеть доступные параметры команды.
- Ctrl + a -> Перемещает курсор в начало строки.
- Ctrl + e > Перемещает курсор в конец строки.
Начало работы
Базовые конфигурации (среда, виртуальные локальные сети, IP-адресация, маршрутизация между виртуальными локальными сетями и статическая маршрутизация) уже настроены, за исключением брандмауэра.
Эти шаги описаны в моем учебном пособии под названием «Проект: использование Cisco Packet Tracer для изучения работы в сети».
Безопасность порта
Давайте начнем с назначения конечных хостов соответствующей виртуальной локальной сети и защиты физических интерфейсов.
Дизайн vlan относительно прост: рабочие, технические и отдельные vlan для разных серверов.
Это помогает создать сегментацию, а также контроль доступа при применении ACL.
Идеальный подход:
- Назначьте неиспользуемые порты влану Black_Hole и отключите их.
- Выберите все интерфейсы доступа и назначьте единые команды
- Назначить интерфейсы соответствующим вланам
На этом этапе интерфейсы должны быть назначены соответствующим vlan или отключены. К каждому интерфейсу может быть привязан только один mac-адрес, в противном случае нарушение безопасности приведет к отключению порта.
Проверьте конфигурации:
Внутренняя настройка сервера
Чтобы настроить серверы в Packet Tracer, просто откройте сервер и перейдите на вкладку служб.
Обратите внимание, что все неиспользуемые службы отключены.
Перед настройкой любой из этих служб убедитесь, что они включены.
Теперь давайте настроим DHCP для динамического назначения IP-адресов конечным хостам.
Адресация DHCP определяется таблицей IP. Давайте добавим пул для каждого vlan.
На DHCP-сервере:
Нажмите на вкладку службы, перейдите к DHCP и заполните следующую структуру:
Когда DHCP настраивается через сервер, вланам интерфейса должен быть назначен вспомогательный IP-адрес DHCP-сервера.
На этом этапе DHCP должен быть настраиваемым на конечных узлах. Просто щелкните конечные хосты, щелкните вкладку конфигурации и выберите FastEthernet0 или щелкните вкладку рабочего стола и выберите конфигурацию ip; затем переключитесь со статического на DHCP.
Для внешнего он будет настроен на коммутаторе L3 вместо сервера, что очень похоже на конфигурацию DHCP маршрутизатора.
Проверить настройки
Теперь внешние хосты готовы к присвоению IP-адресов.
Внутренний FTP
Сначала откройте FTP-сервер, удалите имя пользователя по умолчанию и используйте следующий макет:
Очевидно, что в реальных условиях следует использовать значительно более надежные пароли.
На данный момент давайте проигнорируем безопасность паролей и сосредоточимся на протоколах.
Проверить настройки
- Открыть командную строку на конечном хосте во внутренней зоне
- Выполнить команду ftp 192.168.40.2
- Укажите пользователя и пароль (admin, cisco)
- Запустите dir, чтобы посмотреть, что доступно
- Запустите get [имя файла], чтобы получить файл
NTP и системный журнал
NTP и системный журнал будут настроены на внутренний, что обеспечит возможность аудита журналов.
NTP синхронизирует системные часы сетевых устройств в частной сети.
Syslog будет использовать NTP для отправки сообщений журнала на сервер для всех устройств в частной сети.
Сначала следует настроить NTP, учитывая, что без него системный журнал будет бесполезен.
На NTP-сервере:
На сервере системного журнала:
Подтвердите, что служба активирована
Внутри:
Обычно необходимо установить временные метки, но об этом уже позаботились в базовых конфигурациях для всех устройств.
Настраивать не нужно, но вот команды для справки:
Что еще нужно сделать:
Проверьте конфигурации:
Настройка внешнего сервера
Электронная почта
администрировать пользователя cisco cisco
Проверить настройки
Проверьте конфигурации:
Внешний FTP
См. конфигурацию внутреннего FTP выше
Проверьте конфигурации:
Прежде чем перейти к настройке DMZ, давайте настроим еще несколько элементов управления безопасностью LAN уровня 2.
Отслеживание DHCP
Эта функция отслеживает и упрощает сообщения для DHCP-сервера. Это помогает выявлять аномалии в процессе запроса DHCP DORA (обнаружение, предложение, запрос, подтверждение) и отбрасывает неправильные запросы.
Это не позволяет злоумышленникам изменять трафик DHCP, чтобы манипулировать его динамическими возможностями для получения доступа к сети.
Единственными портами, которым следует доверять, являются соединения коммутатора с DHCP-сервером и соединения коммутатора с коммутатором.
Внутри:
Приведенная выше конфигурация не только устанавливает порт сервера как доверенный, но также ограничивает скорость трафика DHCP, разрешенного через интерфейсы.
Внешний:
Проверьте конфигурации:
Проверка ARP
Эта функция аналогична по своей природе и зависит от DHCP Snooping, но вместо этого отслеживает трафик ARP.
Для тех, кто не знаком, ARP (протокол разрешения адресов) используется для запроса коммутатором IP-адреса уровня 3 на основе таблицы MAC-адресов. Его обычно называют протоколом сопоставления адресов уровня 2 и уровня 3.
Без ARP DHCP назначит адрес, но хост не будет знать, как выйти из внутренней сети в Интернет. Проверка ARP предотвращает необоснованные запросы ARP, которые запрашиваются вручную, а не в результате процесса DHCP DORA.
Это предотвращает изменение запроса и защищает таблицу ARP от отравления. Пакеты с недействительной привязкой MAC-адреса к IP-адресу будут отброшены.
Внутри:
Внешний:
Ограничение скорости также можно установить так же, как DHCP Snooping. По умолчанию это 15, что подходит для этой сети.
Проверьте конфигурации:
Конфигурация брандмауэра DMZ
Наконец-то пришло время связать DMZ с внутренней зоной, настроив брандмауэр ASA.
Первый шаг — удалить все нежелательные настройки по умолчанию, а затем настроить остальные.
В качестве модели брандмауэра используется Cisco ASA 5505, который работает с настройкой vlan уровня 2, поэтому для назначения IP-адресов требуется SVI (виртуальный интерфейс коммутатора) (как коммутатор уровня 3).
Приведенная выше конфигурация удаляет нежелательные настройки по умолчанию, настраивает интерфейсы SVI (черная дыра для неиспользуемых интерфейсов), назначает их порту коммутатора и отключает все неиспользуемые интерфейсы (к сожалению, в брандмауэре Packet Tracer отсутствуют диапазоны интерфейсов доступа). Затем создает карту классов, связанную с картой политики, которая, наконец, связывается с глобальной политикой службы.
На этом этапе внутренняя должна иметь возможность связываться с любой зоной, в то время как DMZ и внешняя могут связываться друг с другом, но изолированы от внутренней зоны.
Становится совершенно очевидным, почему это идеальный подход к защищенной архитектуре, хотя и далеко не надежный.
Хорошо созданный блок JavaScript или исполняемых файлов, инициированный через веб-сайты, электронные письма и т. д., все еще может пройти через него. Это может заразить сеанс пользователя, который может смешать их трафик с пользовательским потоком, чтобы обойти брандмауэр. Сделать так, чтобы атака выглядела как часть принятого исходящего соединения, а не попытка проникнуть через собственное входящее соединение.
Вот почему обучение конечных пользователей является одним из наиболее важных аспектов поверхности атаки. Отсутствие понимания может привести к действиям, которые могут обойти уровни контроля безопасности.
Проверьте конфигурации:
Вход/SSH
Обычно для больших сетей я бы рекомендовал использовать AAA для удаленной аутентификации и использовать локальную аутентификацию в качестве резервной копии на случай сбоя удаленного сервера.
Учитывая, что мы собираемся усилить защиту только для трех устройств, это не так уж важно. Если возникнут проблемы с подключением, к ним все равно потребуется физический доступ, несмотря ни на что.
Внутри и демилитаризованной зоне:
Проверьте конфигурации:
Несмотря на конфигурацию, SSH по-прежнему может не работать на ASA в трассировщике пакетов. Это более новая функция, в которой все еще есть некоторые ошибки, и они менее развиты, чем маршрутизаторы и коммутаторы.
Хотя трассировщик пакетов недоступен, я бы рекомендовал отключить telnet и включить только ssh.
Списки контроля доступа (ACL)
Теперь давайте поработаем над внутренней зоной в качестве второго уровня защиты в случае взлома брандмауэра, чтобы изолировать внутренние вланы на основе управления доступом с минимальными привилегиями и для защиты возможностей удаленного доступа наших линий VTY сетевых устройств. р>
Проверьте конфигурации:
В приведенном выше примере NTP/Syslog Vlan становится недоступным для конечных пользователей, а вход по SSH доступен только техническому специалисту.
Заключение
В этом руководстве мы многое рассмотрели, но я надеюсь, что вам понравилось следовать инструкциям и настраивать свою сеть. На этом этапе не стесняйтесь возиться с тестированием ping / traceroute в среде между различными комбинациями зон, чтобы увидеть, что работает, а что нет.
Тогда не стесняйтесь попробовать еще больше расширить эту сеть и поделиться с нами тем, что у вас есть, в комментариях ниже!
Одной из наиболее полезных функций устранения неполадок брандмауэров Cisco ASA является использование команды «packet-tracer» для отслеживания и имитации прохождения пакета через устройство ASA с целью выявления возможных проблем (например, почему пакет заблокирован и т. д.).
Функция отслеживания пакетов была представлена в брандмауэре Cisco ASA версии 7.2(1) и по-прежнему доступна в более новых образах ASA 9.x.
Благодаря этому вы можете собирать подробную информацию о пакетах, проходящих через брандмауэр, для анализа и устранения проблем с подключением.
Оглавление
Синтаксис команды Packet-Tracer
Чтобы запустить сеанс трассировки пакетов для устранения неполадок с пакетами и изоляции сетевых сбоев, используйте команду packet-tracer, как показано ниже:
ввод трассировщика пакетов [src_int] протокол src_addr src_port dest_addr dest_port [подробно] [xml]
В приведенной выше команде гораздо больше параметров, но я показываю самый простой и полезный синтаксис (мы также увидим подробные примеры ниже).
- [src_int]: укажите исходный (входной) интерфейс, с которого будет запускаться смоделированный пакет.
- протокол: это может быть «tcp», «udp» или «icmp».
- src_addr: здесь введите исходный IP-адрес пакета.
- src_port: исходный порт пакета (может быть любым произвольным числом, предпочтительно выше 1024).
- dest_addr: IP-адрес назначения пакета.
- dest_port: порт назначения пакета.
- [подробно]: предоставляет подробные выходные данные трассировки.
- [xml]: отображает результаты трассировки в формате XML.
Что такое Packet Tracer на Cisco ASA
С помощью команды «packet-tracer» можно отслеживать время жизни пакета через устройство безопасности, чтобы увидеть, ведет ли он себя так, как ожидалось. Команда packet-tracer позволяет вам делать следующее:
- Отладка всех отбрасываемых пакетов в рабочей сети.
- Убедитесь, что конфигурация работает должным образом.
- Показать все правила, применимые к пакету, вместе со строками интерфейса командной строки, вызвавшими добавление правила.
- Показать временную шкалу изменений пакетов в пути данных.
- Добавлять пакеты трассировки в путь данных.
Команда packet-tracer предоставляет подробную информацию о пакетах и о том, как они обрабатываются устройством безопасности.
В случае, если команда из конфигурации не привела к отбрасыванию пакета, команда packet-tracer предоставит информацию о причине в легко читаемом виде.
Например, если пакет был отброшен из-за неверной проверки заголовка, отображается сообщение "пакет отброшен из-за неправильного заголовка IP (причина)".
Кроме того, если пакет отброшен из-за того, что его заблокировал список управления доступом (ACL), это также будет показано в выходных данных.
Подводя итог, можно сказать, что команда packet-tracer вводит ненастоящий пакет в брандмауэр ASA, чтобы отслеживать поток пакета через устройство.
Пакет проходит через все этапы оценки и проверки, применяемые брандмауэром, такие как поиск маршрута, списки контроля доступа, NAT, проверки протоколов и т. д., чтобы имитировать реальный поток трафика.
Практические примеры трассировки
Пример 1
Чтобы включить отслеживание пакетов с внутреннего хоста 10.2.25.3 на внешний хост 209.165.202.158 с подробной информацией, введите следующее:
Приведенная выше команда создаст виртуальный TCP-пакет, который будет начинаться с «внутреннего» интерфейса и иметь исходный IP-адрес «10.2.25.3», исходный порт «1025» и целевой IP-адрес «209.165.202.158» с целевым портом «80». .
Брандмауэр смоделирует указанный выше поток пакетов и точно расскажет вам, как брандмауэр ASA будет вести себя на различных этапах потока пакетов (например, пакет РАЗРЕШЕН, ОТМЕНЕН и т. д.).
Пример 2
Здесь мы увидим пример использования интерфейса командной строки ASA и графического интерфейса управления ASDM.
Мы создадим смоделированный пакетный трафик, исходящий от внешнего интерфейса ASA (например, из Интернета) и попадающий на IP-адрес интерфейса WAN ASA (209.165.200.226).
Пример интерфейса командной строки:
Приведенная выше команда создаст виртуальный TCP-пакет, поступающий с «внешнего» интерфейса. Этот пакет будет иметь исходный IP-адрес 209.165.200.225 (исходный порт 1500), а целевой IP-адрес будет 209.165.200.226 (целевой порт 23).
Поскольку указанный выше поток трафика не разрешен на ASA (согласно ACCESS-LIST), он будет удален.
Читайте также: