# Лабораторная работа №5 МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РФ ФГАОУ ВО «СЕВЕРО-КАВКАЗСКИЙ ФЕДЕРАЛЬНЫЙ УНИВЕРСИТЕТ» ИНСТИТУТ ЦИФРОВОГО РАЗВИТИЯ ИМЕНИ ПРОФЕССОРА Н.И. ЧЕРВЯКОВА КАФЕДРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ **Отчёт по лабораторной работе №5** **Настройка зональных межсетевых экранов.** По дисциплине «Сети и системы передачи информации» **Выполнил:** Кеньков Егор Александрович студент 3 курса группы ИБС-с-о-20-1 специальности 10.05.03 «Информационная безопасность автоматизированных систем» очной формы обучения **Проверил:** Емельянов Евгений Алексеевич Ставрополь, 2022 **Цель работы:** научиться настраивать зональные межсетевые экраны. **Ход работы:** **Часть 1: Основная конфигурация маршрутизаторов** **Шаг 1: Подключите сетевые кабели, как показано на топологической схеме.** Присоедините устройства, как показано на топологической схеме, и установите необходимые кабельные соединения.  Рисунок 1 - Схема сети **Шаг 2: Настройте статические маршруты на маршрутизаторах R1, R2 и R3.** a. Чтобы обеспечить сквозную связь по IP, на маршрутизаторах R1, R2 и R3 необходимо настроить соответствующие статические маршруты. R1 и R3 – это маршрутизаторы-заглушки. Поэтому для них необходимо указать только маршрут по умолчанию к маршрутизатору R2. Маршрутизатор R2, выполняющий роль ISP, должен знать, как достичь внутренних сетей маршрутизаторов R1 и R3: это необходимо для обеспечения сквозной связи по IP. Ниже указаны настройки статических маршрутов для маршрутизаторов R1, R2 и R3. На маршрутизаторе R1 используйте следующую команду: R1(config)# **ip route 0.0.0.0 0.0.0.0 10.1.1.2** b. На маршрутизаторе R2 используйте следующие команды: R2(config)# **ip route 192.168.1.0 255.255.255.0 10.1.1.1** R2(config)# **ip route 192.168.3.0 255.255.255.0 10.2.2.1** R2(config)# **ip route 192.168.33.0 255.255.255.0 10.2.2.1** c. На маршрутизаторе R3 используйте следующую команду: R3(config)# **ip route 0.0.0.0 0.0.0.0 10.2.2.2** **Шаг 3: Настройте параметры IP для хоста.** Настройте статический IP-адрес, маску подсети и шлюз по умолчанию для компьютеров PC-A, PC-B и PC-C, как показано в таблице IP-адресов. **Шаг 6: Проверьте базовую связь по сети.** a. Отправьте эхо-запрос с маршрутизатора R1 на R3.  Рисунок 2 - Команда ping с маршрутизатора R1 на R3 b. Отправьте эхо-запрос с компьютера PC-A в локальной сети маршрутизатора R1 на компьютер PC-C в локальной сети маршрутизатора R3.  Рисунок 3 - Команда ping с компьютера PC-A на компьютер PC-C **Часть 2: Настройка зонального межсетевого экрана (ZPF)** **Задача 1: Проверка текущей конфигурации маршрутизаторов.** **Шаг 1: Проверьте сквозную связь по сети.** a. Отправьте эхо-запрос с маршрутизатора R1 на R3. Используйте IP-адреса интерфейса Gigabit Ethernet маршрутизатора R3.  Рисунок 4 - Команда ping с маршрутизатора R1 на R3 b. Отправьте эхо-запрос с компьютера PC-A в локальной сети маршрутизатора R1 на компьютер PC-C в локальной сети конференц-зала маршрутизатора R3.  Рисунок 5 - Команда ping с компьютера PC-A на компьютер PC-C c. Отправьте эхо-запрос с компьютера PC-A в локальной сети маршрутизатора R1 на компьютер PC-B во внутренней локальной сети маршрутизатора R3.  Рисунок 5 - Команда ping с компьютера PC-A на компьютер PC-B **Шаг 2: Отобразите текущие конфигурации маршрутизатора R3.** a. Введите команду **show ip interface brief** на маршрутизаторе R3 и убедитесь, что назначены корректные IP-адреса. Для проверки используйте таблицу IP-адресов.  Рисунок 6 - Когфигурация маршрутизатора R3 b. Введите команду **show ip route** на маршрутизаторе R3 и убедитесь, что у него есть статический маршрут по умолчанию, указывающий на последовательный интерфейс 0/0/1 маршрутизатора R2.  Рисунок 7 - Когфигурация маршрутизатора R3 c. Введите команду **show run** для проверки текущей базовой конфигурации маршрутизатора R3.  Рисунок 8 - Когфигурация маршрутизатора R3 **Задача 2: Создание зонального межсетевого экрана.** **Шаг 1: Создайте зоны безопасности.** a. Зоны безопасности создаются в режиме глобальной настройки, и команда позволяет определить имена зон. На маршрутизаторе R3 создайте три зоны с именами **INSIDE**, **CONFROOM** и **INTERNET**: R3(config)# **zone security INSIDE** R3(config)# **zone security CONFROOM** R3(config)# **zone security INTERNET** **Шаг 2: Создайте политики безопасности.** a. Создайте карту классов inspect, чтобы разрешать трафик из зоны **INSIDE** в зону **INTERNET**. Так как мы доверяем зоне **INSIDE**, мы разрешаем все основные протоколы. b. Аналогичным образом создайте карту классов для выбора разрешенного трафика из зоны **CONFROOM** в зону **INTERNET**. Так как мы не полностью доверяем зоне **CONFROOM**, мы должны ограничить информацию, которую сервер может отправлять в Интернет: R3(config)# **class-map type inspect match-any CONFROOM_PROTOCOLS** R3(config-cmap)# **match protocol http** R3(config-cmap)# **match protocol https** R3(config-cmap)# **match protocol dns** c. Теперь, когда карты классов созданы, можно создать карты политик. R3(config)# **policy-map type inspect INSIDE_TO_INTERNET** R3(config-pmap)# **class type inspect INSIDE_PROTOCOLS** R3(config-pmap-c)# **inspect** R3(config)# **policy-map type inspect CONFROOM_TO_INTERNET** R3(config-pmap)# **class type inspect CONFROOM_PROTOCOLS** R3(config-pmap-c)# **inspect** **Шаг 3: Создайте пары зон.** a. Создание пар зон: R3(config)# **zone-pair security INSIDE_TO_INTERNET source INSIDE destination INTERNET** R3(config)# **zone-pair security CONFROOM_TO_INTERNET source CONFROOM destination INTERNET** b. Убедитесь, что пары зон были созданы корректно, используя команду **show zone-pair security**. Обратите внимание, что на данный момент с парами зон не ассоциирована ни одна политика. Политики безопасности будут применены к парам зон на следующем шаге.  Рисунок 9 - Пары зон **Шаг 4: Примените политики безопасности.** a. На последнем шаге настройки примените карты политик к парам зон: R3(config)# **zone-pair security INSIDE_TO_INTERNET** R3(config-sec-zone-pair)# **service-policy type inspect INSIDE_TO_INTERNET** R3(config)# **zone-pair security CONFROOM_TO_INTERNET** R3(config-sec-zone-pair)# **service-policy type inspect CONFROOM_TO_INTERNET** b. Введите команду show zone-pair security еще раз, чтобы проверить настройки пар зон. Обратите внимание, что сейчас отображаются сервисные политики:  Рисунок 10 - Пары зон с картами политик Чтобы получить больше информации о парах зон, их картах политик, картах классов и счетчиках соответствия, используйте команду **show policy-map type inspect zone-pair sessions**.  Рисунок 11 - Пары зон **Шаг 5: Назначьте интерфейсы соответствующим зонам безопасности.** Интерфейсы (физические и логические) назначаются зонам безопасности с помощью команды интерфейса **zone-member security**. a. Назначьте интерфейс f0/0 маршрутизатора R3 зоне безопасности **CONFROOM**: R3(config)# **interface f0/0** R3(config-if)# **zone-member security CONFROOM** b. Назначьте интерфейс f0/1 маршрутизатора R3 зоне безопасности **INSIDE**: R3(config)# **interface f0/1** R3(config-if)# **zone-member security INSIDE** c. Назначьте интерфейс f1/0 маршрутизатора R3 зоне безопасности **INTERNET**: R3(config)# **interface f1/0** R3(config-if)# **zone-member security INTERNET** Шаг 6: Проверьте назначение зон. a. Введите команду **show zone security** и убедитесь, что зоны корректно созданы, а интерфейсы корректно назначены.  Рисунок 12 - Сопоставление зон и интерфейсов b. Несмотря на то что команды для создания зоны self (собственной) не вводились, она все равно присутствует в выходных данных выше. Почему маршрутизатор R3 отображает зону с именем self? Каково значение этой зоны? Зона self - это зона по умолчанию для каждого маршрутизатора, в которой находится только сам маршрутизатор. Данная зона предназначена для управлением трафиком предназначенным непосредственно маршрутизатору или трафику создаваемому им самим. **Часть 3: Проверка ZPF** **Шаг 1: Трафик, сгенерированный в Интернете** a. Для проверки эффективности межсетевого экрана отправьте эхо-запрос на компьютер PC-B с PC-A.  Рисунок 13 - Результат команды ping на компьютер PC-B с PC-A Как мы видим, запрос не дошёл до PC-B, так как PC-A находится в зоне Интернета, а PC-B нет. b. Отправьте эхо-запрос на компьютер PC-C с компьютера PC-A.  Рисунок 14 - Результат команды ping на компьютер PC-C с PC-A Как мы видим, запрос не дошёл до PC-C, так как PC-A находится в зоне Интернета, а PC-C нет. c. Отправьте эхо-запрос на компьютер PC-A с компьютера PC-B.  Рисунок 15 - Результат команды ping на компьютер PC-A с PC-B Как мы видим, запрос не дошёл до PC-A с PC-B, так как отправка ICMP трафика не разрешена с зоны, в которой находится PC-B. d. Отправьте эхо-запрос на компьютер PC-A с компьютера PC-C.  Рисунок 16 - Результат команды ping на компьютер PC-A с PC-C Как мы видим, запрос дошёл до PC-A с PC-C, так как отправка ICMP трафика разрешена с зоны, в которой находится PC-C. **Шаг 2: Проверьте собственную зону.** a. Отправьте с компьютера PC-A эхо-запрос на интерфейс F0/1 маршрутизатора R3.  Рисунок 17 - Результат команды ping на интерфейс F0/1 маршрутизатора R3 с PC-A Как мы видим, запрос дошёл до интерфейса F0/1 маршрутизатора R3 с PC-A, так как данный интерфейс относится к self зоне маршрутизатора, на которую не установленно никаких ограничений. b. Отправьте с компьютера PC-C эхо-запрос на интерфейс F0/1 маршрутизатора R3.  Рисунок 18 - Результат команды ping на интерфейс F0/1 маршрутизатора R3 с PC-C Как мы видим, запрос дошёл до интерфейса F0/1 маршрутизатора R3 с PC-C, так как данный интерфейс относится к self зоне маршрутизатора, на которую не установленно никаких ограничений. Вывод: мы научились настраивать зональные межсетевые экраны.