АНАЛИЗ И ОБЕСПЕЧЕНИЕ ЗАЩИТЫ СЕТЕВОЙ ИНФРАСТРУКТУРЫ ОТ ВНЕШНИХ УГРОЗ ГАПОУ СТЕРЛИТАМАКСКИЙ МНОГОПРОФИЛЬНЫЙ ПРОФЕССИОНАЛЬНЫЙ КОЛЛЕДЖ

ANALYSIS AND PROTECTION OF NETWORK INFRASTRUCTURE FROM EXTERNAL THREATS AT STERLITAMAK MULTIPROFESSIONAL VOCATIONAL COLLEGE

Anton Fedorov

Student, Department of Applied Computer Science and Programming, Sterlitamak Branch of Ufa University of Science and Technologies

Russia, Sterlitamak

Vladislav Gareev

Student, Department of Applied Computer Science and Programming, Sterlitamak Branch of Ufa University of Science and Technologies,

Russia, Sterlitamak

Guzeliya Galiaskarova

Supervisor of studies, Ph. D. in Physics and Mathematics, Associate Professor, Sterlitamak branch of Ufa University of Science and Technology,

Russia, Sterlitamak

АННОТАЦИЯ

С помощью технологии ACL-списков можно обеспечить повышенную безопасность в локальной сети. ACL-списки — это ряд команд IOS, наблюдаемых, пересматривающих маршрутизаторы пакетов или сбрасывающих их, исходя из информации в заголовке пакета. По умолчанию маршрутизатор не имеет настроенных списков ACL. Однако, если ACL-список используется на интерфейсе, интерфейс выполняет дополнительные настройки, оценивая все сетевые пакеты, проходящие через интерфейс, с целью определения разрешения пересылки пакета.

ABSTRACT

With ACL lists technology you can provide enhanced security on your LAN. ACL lists are a series of IOS commands that monitor, revise or drop packet routers based on information in the packet header. By default, a router does not have ACL lists configured. However, if an ACL list is used on an interface, the interface performs additional configuration by evaluating all network packets passing through the interface in order to determine packet forwarding permission.

Ключевые слова: локальная сеть, CISCO, CISCO Packet Tracer, эхо-запрос, ip-адрес, ACL-списки, маршрутизатор, коммутатор, ПК, безопасность.

Keywords: local network, CISCO, CISCO Packet Tracer, echo request, ip address, ACL lists, router, switch, PC, security.

При распространении трафика через интерфейс, где наблюдается список доступа (ACL), последовательно сопоставляется информация из пакетов с каждой записью в списке контроля доступа к предмету собственности. Этот процесс называется фильтрацией пакетов. Симулирование атаки на сеть организации будет в программном обеспечении Cisco Packet Tracer. До начала симуляции нужно организовать простейшую сеть [1, с. 13] с маршрутизатором Cisco на рисунке 1.

Рисунок. 1. Схема сети

До начала настройки маршрутизатора Cisco 2911 рассмотрим наиболее общие команды: Access-list 100 permit tcp 192.168.1.0 0.0.0.255 eq 80 10.1.1.0 0.0.0.255 eq 443.

Данная команда разрешает TCP трафик от хостов с диапазоном 192.168.1.0/24 на хосты с диапазоном 10.1.1.0/24. Причем порты отправителя должны быть равны 80, а порты получателя – 443. Если все эти условия соблюдаются, то пакет пропускается, если нет, то переходит к следующей команде. Эта команда «Access-list 100 deny tcp any host 172.16.1.5 gt 5000» запрещает весь TCP трафик от любого хоста на конкретный хост с адресом 172.16.1.5. Причем запрет действует при условии, что запросы идут на порты получателя от 5001 и выше [2, с. 76]. Мы имеем две подсети, 192.168.0.0/24 и 10.0.0.0/24. И два узла имеют следующие настройки: IP адреса 192.168.0.11, 192.168.0.12 и 10.0.0.100 соответственно; маска подсети общая 255.255.255.0: шлюз по-умолчанию 192.168.0.1.

Интерфейс g0/1 настроен с адресом 192.168.0.1 и включен. Второй интерфейс g0/2 настроен с адресом 192.168.0.2 и так же включен. Третий интерфейс g0/0 настроен с адресом 10.0.0.1 и так же включен. Выдал адреса и шлюз по умолчанию всем устройствам. Провел успешные эхо запросы на рисунке 2 между всеми устройствами.

Рисунок 2. Запросы в командной строке

Общий вид правила чтобы достигнуть передачу пакетов только для адресов сети организации выглядит так:

Router(config)#access-list <номер правила, от 1 до 99> <действие, permit, deny> <источник, либо host IP, либо IP MASK либо any>

Router(config)#access-list 1 permit host 192.168.0.11

Итак, мы разрешили прохождение пакетов с адресом источника 192.168.0.11. Негласно, ниже прописалось невидимое правило deny всё остальное, поэтому запрещающее правило можно не создавать. Применяется правило на интерфейс в зависимости от направления.

Router(config)#int g0/1

Router(config-if)#ip access-group 1 in

Эта настройка означает, что список правил с номером 1 будет действовать на интерфейсе g0/0 на входящем направлении. После проверки легко убедиться в том, что теперь только узел с адресом 192.168.0.11 может посылать ping-запрос и получать ответ от сервера. Остальные узлы не могут. Что бы злоумышленник не смог подключится по Telnet запретим подключения и на линии vty. Выдадим нашему ноутбуку адрес и попробуем отправить эхо запрос на сервер.  Мы видим на рисунке 3, что злоумышленник не смог подключится к нашей сети [3, с. 105] так как все, кто не состоит в нашей сети не сможет иметь доступ к локальной вычислительной сети.

Рисунок 3. Результат эхо запроса

Список литературы:

1. Виснадул Б. Д. Основы компьютерных сетей: Учебное пособие / Б.Д. Виснадул, С.А. Лупин, С.В. Сидоров. Под ред. Л.Г. Гагариной – М.: ИД ФОРУМ: НИЦ Инфра–М, 2017. – 272 с.: ил.; 60x90 1/16. – (Профессиональное образование).
2. Гришина Н. В. Основы информационной безопасности предприятия: Учеб. пособие / Н.В. Гришина. – М.: ИНФРА-М, 2019 – 216 с.
3. Жук А.П. Защита информации: Учеб. пособие / А.П. Жук, Е.П. Жук, О.М. Лепешкин, А.И. Тимошкин. – 2-е изд. – М.: РИОР: ИНФРА-М, 2018 – 400 с.