Из рисунка А.ЗЗ можно наблюдать, что маршрутизатор Xaker увидел внешний интерфейс Spokel, то есть может осуществить хакерскую атаку на внутреннюю корпоративную сеть. Для решения этой проблемы требуется ввести в конфигурацию Spokel, Hub, а также Spoke2 списки контроля доступа которые будут отбрасывать пакеты не подходящие списку доступа. Список контроля доступа требуется привязать к внешним интерфейсам Spokel, Hub, Spoke2. На рисунке А.34 показана настройка списков контроля доступа для маршрутизатора Spokel и привязка списка доступа к внешнему интерфейсу.
На рисунке А.34 в настройке списков доступа было разрешено следующее:
1) access-list 101 permit udp any host 172.17.4.2 eq non500-isakmp разрешает протокол
udp с любого маршрутизатора или компьютера на адрес 172.17.4.2 по 500 порту (этот порт закреплен за протоколом udp с версии Cisco IOS 12.2(13Т));
2) access-list 101 permit udp any host 172.17.4.2 eq isakmp разрешает протокол udp с любого маршрутизатора или компьютера на адрес 172.17.4.2 с использованием введенной политики isakmp;
3) access-list 101 permit esp any host 172.17.4.2 разрешает протокол шифрования esp с любого маршрутизатора или компьютера на адрес 172.17.4.2;
4) access-list 101 permit ahp any host 172.17.4.2 разрешает протокол ahp (протокол аунтефикации) с любого маршрутизатора или компьютера на адрес 172.17.4.2;
5) access-list 101 permit gre any host 172.17.4.2 разрешает протокол gre с любого маршрутизатора или компьютера на адрес 172.17.4.2. Все остальное в списке доступа было запрещено.
Команда log означает ведения статистики о приходе того или иного пакета:
1) access-list 101 deny top any any log запрещает протокол top с любого маршрутизатора или компьютера на любой адрес;
2) access-list 101 deny udp any any log запрещает протокол udp с любого маршрутизатора или компьютера на любой адрес;
3) access-list 101 deny icmp any any log запрещает протокол icmp с любого маршрутизатора или компьютера на любой адрес;
4) access-list 101 deny ip any any log запрещает протокол ip с любого маршрутизатора или компьютера на любой адрес.
После написания списка доступа и соответственно привязки к внешнему интерфейсу, требуется проверить доступ хакерского сегмента до внешнего интерфейса маршрутизатора Spokel (рисунок А.35).
После ведения всех настроек требуется проверить все соединения на работоспособность. Проверяем информацию о других маршрутизаторах полученных по протоколу NHRP (рисунок А.36). Требуется проверить таблицу маршрутизации маршрутизаторов (рисунок А.37). Проверяем работу протокола IPsec ( рисунок А.38). Требуется проверить соединения командой ping как показано на рисунке А.39. Если все проверки были успешно, следовательно создание модели фрагмента сети на основе протокола OSPF с использованием списков доступа для защиты от несанкционированного доступа было выполнено успешно.
Ответ timeout означает, что истекло время ожидания ответа сервером. Это может служить признаком одной из проблем:
1) маршрутизатор не нашел маршрута для доставки сообщения;
2) команда ping блокируется списком управления доступом в маршрутизаторе;
3) в линии имеются физические неполадки соединения.
Тема: Методика создания туннельного соединения на основе топологии «точкамноготочка» с использованием решения Dual Hub
Цель: Цель данного пункта научится создавать туннельное соединение Dual Hub с использованием динамического протокола Eigrp, для доступа в удаленные офисы, минуя сеть провайдера.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.