DMZ - Demilitarized Zone - демилитаризованная зона

Содержание

Слайд 2

Тема: DMZ - Demilitarized Zone - демилитаризованная зона. DMZ – это

Тема: DMZ - Demilitarized Zone - демилитаризованная зона.
DMZ – это область

корпоративной сети, которая содержит общедоступные сервисы такие как:
- web-сервер,
- почтовый сервер,
- ftp-сервер и т.д.
Под общедоступными понимают такие сервисы, к которым необходим доступ не только из локальной сети, но и из внешней сети Интернет. Логично помещать такие сервисы в отдельный сегмент, так как риск взлома весьма велик.
При этом остальные компьютеры, находящиеся в другом сегменте остаются более защищёнными. Таким образом минимизируется ущерб от возможного взлома сервера.
Слайд 3

Серверы, находящиеся в DMZ имеют, как правило, публичные белые ip-адреса. Для

Серверы, находящиеся в DMZ имеют, как правило, публичные белые ip-адреса.
Для полноценной

реализации DMZ сетевое устройство должно иметь возможность запоминать сессии. С помощью инспектирования трафика мы сможем запретить серверам DMZ инициировать соединения с локальной сетью.
Тем самым мы защитим пользователей от злоумышленников, которые, возможно, взломали один из публичных серверов.
При этом для самих пользователей локальной сети серверы DMZ будут по-прежнему доступны.
DMZ можно организовать на межсетевом экране с помощью security-level, а также возможна реализация на маршрутизаторе с использованием zone based firewall или более старой технологией CBAC (Context Based Access Control).
Слайд 4

Как правило в любой уважающей себя сети выделяют минимум три сегмента:

Как правило в любой уважающей себя сети выделяют минимум три сегмента:

1. Внешний сегмент (outside);
2. DMZ-сегмент для публичных серверов (DMZ);
3. Внутренний сегмент (inside).
В таком случае существует три основные политики доступа (взаимодействия сегментов):
1. inside -> outside;
2. inside -> DMZ;
3. outside -> DMZ.
Слайд 5

Соберём небольшую сеть, подобную той, что создавали на прошлом занятии, состоящую

Соберём небольшую сеть, подобную той, что создавали на прошлом занятии, состоящую

из двух компьютеров и межсетевого экрана 5505.
Сеть Интернет, как обычно будем эмулировать с помощью маршрутизатора 1841 и сервера.
Добавим коммутатор 2960 и ещё один сервер, который будет находиться в зоне DMZ.
Зададим этому серверу белый ip-адрес:
210.210.3.2 с маской 255.255.255.252 и шлюз по умолчанию: 210.210.3.1
Слайд 6

Проведём предварительные настройки межсетевого экрана Cisco ASA. Посмотреть эти настройки можно

Проведём предварительные настройки межсетевого
экрана Cisco ASA.
Посмотреть эти настройки можно

в предыдущей работе.
Без них не работает!!!
Можно предыдущую работу взять за основу или заново построить новую схему сети.
Слайд 7

Чтобы ещё раз провести предварительные настройки на Cisco ASA приведём список

Чтобы ещё раз провести предварительные настройки на Cisco ASA приведём список

необходимых команд:
«en»,
Password: ,
«int vlan 2»,
«ip address 210.210.0.2 255.255.255.252»,
«exit»,
«int vlan 1»,
«security-level 95»,
«exit»,
«route outside 0.0.0.0 0.0.0.0 210.210.0.1».
Слайд 8

Далее: «class-map inspection_default», «match default-inspection-traffic», «exit», «policy-map global_policy», «class inspection_default», «inspect

Далее:
«class-map inspection_default»,
«match default-inspection-traffic»,
«exit»,
«policy-map global_policy»,
«class inspection_default»,
«inspect icmp»,


«inspect http»,
«exit»,
«service-policy global_policy global»,
«exit».
Слайд 9

И ещё: «object network FOR-NAT», «subnet 192.168.1.0 255.255.255.0», «nat (inside,outside) dynamic interface», «end», «wr mem».

И ещё:
«object network FOR-NAT»,
«subnet 192.168.1.0 255.255.255.0»,
«nat (inside,outside) dynamic interface»,


«end»,
«wr mem».
Слайд 10

После этого на маршрутизаторе провайдера надо прописать маршрут к нашему серверу:

После этого на
маршрутизаторе
провайдера надо прописать
маршрут к нашему серверу:

«en», «conf t»,
«ip route 210.210.3.0 255.255.255.252 210.210.0.2»,
«end», «wr mem».
Слайд 11

Настроим ASA:. Хотим определить сервер во VLAN 3: «conf t», «int

Настроим ASA:.
Хотим определить
сервер во VLAN 3:
«conf t»,
«int eth0/2»
«switchport access vlan

3»,
«exit»,
«int vlan 3».
Хотим задать имя для
VLAN 3:
«nameif dmz».
Видим ограничение
в лицензии. На реальном оборудовании это сделать можно.
Слайд 12

Запрещаем трафик в нашу сеть: «no forward interface vlan 1». Даём

Запрещаем трафик
в нашу сеть:
«no forward interface vlan 1».
Даём интерфейсу

имя:
«nameif dmz».
Изменяем уровень доверия:
«security-level 50».
Задаём ip-адрес:
«ip address 210.210.3.1 255.255.255.252»,
«no shutdown», «exit».
Слайд 13

Проверяем связь ASA с сервером: «ping 210.210.3.2». Связь уже есть!

Проверяем связь ASA с сервером:
«ping 210.210.3.2».
Связь уже есть!

Слайд 14

Проверяем связь сервера провайдера с нашим сервером: «ping 210.210.3.2». Связи нет,

Проверяем связь сервера
провайдера с нашим сервером:
«ping 210.210.3.2».
Связи нет, т.к. на входе

в ASA
(Fa0/0) уровень доверия равен 0,
а на (Fa0/2) – 50.
Мы его установили сами.
Чтобы связь появилась, нужно
прописать Access List.
Слайд 15

Создадим Access List с именем FROM-OUTSIDE расширенный (extended), разрешим (permit) протокол

Создадим Access List с именем
FROM-OUTSIDE расширенный
(extended), разрешим (permit)
протокол (icmp)

всем (any)
на наш хост (host 210.210.3.2):
«access-list FROM-OUTSIDE extended permit icmp any host 210.210.3.2».
Слайд 16

Добавим протокол (tcp) всем (any) на наш хост (host 210.210.3.2) через

Добавим протокол (tcp) всем (any) на наш хост (host 210.210.3.2)
через

порт 80 (eq www):
«access-list FROM-OUTSIDE extended permit tcp any host 210.210.3.2 eq www».
Слайд 17

Создадим Access Group с именем FROM-OUTSIDE на внешний интерфейс (in interface

Создадим Access Group
с именем FROM-OUTSIDE
на внешний интерфейс
(in interface outside):
«access-group

FROM-OUTSIDE in interface outside»
«end»,
«wr mem».
Слайд 18

Проверяем теперь связь сервера провайдера с нашим сервером: «ping 210.210.3.2». Связь есть!!!

Проверяем теперь связь
сервера провайдера
с нашим сервером:
«ping 210.210.3.2».
Связь есть!!!

Слайд 19

Проверяем доступность Web-сервера: «ping 210.210.3.2». Связь есть!!!

Проверяем доступность
Web-сервера:
«ping 210.210.3.2».
Связь есть!!!

Слайд 20

Проверяем теперь связь Локального компьютера с нашим сервером: «ping 210.210.3.2». Связи нет!

Проверяем теперь связь
Локального компьютера
с нашим сервером:
«ping 210.210.3.2».
Связи нет!

Слайд 21

Снова зайдём в настройки межсетевого экрана, наберём: «show run». Связи нет

Снова зайдём в настройки
межсетевого экрана,
наберём:
«show run».
Связи нет из-за строки
«no

forward interface Vlan1».
На реальном оборудовании
можно было бы убрать эту строку и проблема бы исчезла.
Таким образом, мы настроили DMZ только лишь указав уровень доверия «security-level 50» и прописав несколько Access List-ов.
Слайд 22

Попробуем реализовать ту же задачу, заменив ASA на маршрутизатор 2811. У

Попробуем реализовать ту же задачу, заменив ASA на маршрутизатор 2811.
У данного

маршрутизатора имеется два сетевых интерфейса.
Добавим третий.
Для этого сначала выключим маршрутизатор.
Слайд 23

Перетаскиваем модуль на маршрутизатор. Снова включаем маршрутизатор. Переходим в CLI. Подключим кабели к маршрутизатору.

Перетаскиваем модуль на маршрутизатор.
Снова включаем маршрутизатор.
Переходим в CLI.
Подключим кабели к маршрутизатору.

Слайд 24

Настроим маршрутизатор. Назовём каждый интерфейс и дадим им те же ip-адреса.

Настроим маршрутизатор.
Назовём каждый интерфейс и дадим им те же ip-адреса.
Сразу будем

настраивать NAT:
«n», «en», «conf t»,
«int fa0/0»,
«description outdide»,
«ip address 210.210.0.2 255.255.255.252»,
«no shutdown»,
«ip nat outside», «exit».
Слайд 25

Для DMZ всё повторяем, кроме NAT т.к сервер имеет белый ip-адрес:

Для DMZ всё повторяем,
кроме NAT т.к сервер имеет
белый ip-адрес:
«int

fa1/0»,
«description dmz»,
«ip address 210.210.3.1 255.255.255.252»,
«no shutdown»,
«exit».
Слайд 26

Повторяем для последнего интерфейса: «int fa0/1», «description inside», «ip address 192.168.1.1

Повторяем для последнего
интерфейса:
«int fa0/1»,
«description inside»,
«ip address 192.168.1.1 255.255.255.0»,
«no shutdown»,
«ip nat

inside», «exit».
Слайд 27

Создадим разрешающий Access List с именем FOR-NAT: «ip access-list standard FOR-NAT», «permit 192.168.1.0 0.0.0.255», «exit».

Создадим разрешающий
Access List
с именем FOR-NAT:
«ip access-list standard FOR-NAT»,
«permit 192.168.1.0 0.0.0.255»,
«exit».

Слайд 28

Завершающая команда для NAT: «ip nat inside source list FOR-NAT interface fa0/0 overload», «end», «wr mem».

Завершающая команда для
NAT:
«ip nat inside source list FOR-NAT interface fa0/0 overload»,
«end»,
«wr

mem».
Слайд 29

Настроим статический ip-адрес компьютера PC0.

Настроим статический ip-адрес компьютера PC0.

Слайд 30

Настроим статический ip-адрес компьютера PC1.

Настроим статический ip-адрес компьютера PC1.

Слайд 31

Проверим связь маршрутизатора со всеми узлами: «ping 210.210.0.1». Связь есть! «ping

Проверим связь
маршрутизатора со
всеми узлами:
«ping 210.210.0.1».
Связь есть!
«ping 210.210.3.2»
Связь есть!
«ping

192.168.1.2»
Связь есть!
«ping 192.168.1.3»
Связь есть!
Слайд 32

Пропишем на маршрутизаторе маршрут по умолчанию: «conf t», «ip route 0.0.0.0 0.0.0.0 210.210.0.1», «end», «wr mem».

Пропишем на маршрутизаторе маршрут по умолчанию:
«conf t», «ip route 0.0.0.0 0.0.0.0

210.210.0.1», «end», «wr mem».
Слайд 33

Проверим связь компьютера с Интернет-сервером: «ping 210.210.1.2». Связь есть!

Проверим связь компьютера с
Интернет-сервером:
«ping 210.210.1.2».
Связь есть!

Слайд 34

Проверим связь компьютера с DMZ-сервером: «ping 210.210.3.2». Связь есть!

Проверим связь компьютера с
DMZ-сервером:
«ping 210.210.3.2».
Связь есть!

Слайд 35

Проверим связь DMZ-сервера c компьютером: «ping 192.168.1.2». Связь тоже есть, а мы хотели защитить локальную сеть.

Проверим связь DMZ-сервера
c компьютером:
«ping 192.168.1.2».
Связь тоже есть, а мы

хотели защитить локальную сеть.
Слайд 36

Создадим Access List, разрешающий трафик icmp и tcp от любого хоста

Создадим Access List,
разрешающий трафик
icmp и tcp от любого хоста


к нашему серверу. Весь
остальной трафик запретим:
«en»,
«conf t»,
«ip access-list extended
FROM-OUTSIDE»,
«permit icmp any host 210.210.3.2»,
«permit tcp any host 210.210.3.2 eq www», «deny ip any any», «exit».
Привяжем этот на входящий трафик нашего маршрутизатора:
«int fa0/0», «ip access-group FROM-OUTSIDE in», «end», «wr mem».
Слайд 37

Проверим связь Интернет-сервера с DMZ-сервером: «ping 210.210.3.2». Связь есть!

Проверим связь Интернет-сервера с DMZ-сервером:
«ping 210.210.3.2».
Связь есть!

Слайд 38

Проверим Web-доступ. Тоже есть!

Проверим Web-доступ.
Тоже есть!

Слайд 39

Но при этом пропал доступ в Интернет: «ping 210.210.1.2». Связи нет.

Но при этом пропал доступ в
Интернет:
«ping 210.210.1.2».
Связи нет.
Это связано с

Access List,
которым мы разрешили
Трафик только до публичного
сервера.
Применим технологию
инспектирования трафика.
Слайд 40

Будем инспектировать трафик http, icmp, tcp под именем Inside-Outside с внутреннего

Будем инспектировать
трафик http, icmp, tcp под
именем Inside-Outside с
внутреннего

трафика
во внешний:
«conf t»,
«ip inspect name Inside-Outside http»,
«ip inspect name Inside-Outside icmp»,
«ip inspect name Inside-Outside tcp».
Слайд 41

Укажем направление, в котором трафик нужно инспектировать: «int fa0/0», «ip inspect

Укажем направление,
в котором трафик нужно
инспектировать:
«int fa0/0»,
«ip inspect Inside-Outside

in»
«end», «wr mem».
Теперь трафик,
который выходит из нашей сети
заносится в таблицу
маршрутизатора.
При возвращении запросов, маршрутизатор знает, что их нужно пропустить.
Слайд 42

Ещё раз проверим доступ в Интернет: «ping 210.210.1.2». Связь есть!!!

Ещё раз проверим доступ в
Интернет:
«ping 210.210.1.2».
Связь есть!!!

Слайд 43

Проверим Web-доступ. Тоже есть!

Проверим Web-доступ.
Тоже есть!

Слайд 44

Сделаем аналогичные действия для DMZ, то есть запретим трафик во внутреннюю

Сделаем аналогичные
действия для DMZ, то есть
запретим

трафик во
внутреннюю сеть:
«conf t»,
«ip access-list extended FROM-DMZ»,
«deny ip host 210.210.3.2 192.168.1.0 0.0.0.255»,
«permit ip any any», «exit»,
«ip access-group FROM-DMZ in», «end», «wr mem».
Слайд 45

Ещё раз проверим связь Интернет-сервера с DMZ-сервером: «ping 210.210.3.2». Связь по прежнему есть!

Ещё раз проверим связь Интернет-сервера с DMZ-сервером:
«ping 210.210.3.2».
Связь по прежнему

есть!
Слайд 46

Проверим связь DMZ-сервера c компьютером: «ping 192.168.1.2». Связи нет!!!

Проверим связь DMZ-сервера
c компьютером:
«ping 192.168.1.2».
Связи

нет!!!
Слайд 47

Проверим связь Интернет-сервера c компьютером: «ping 192.168.1.2». Связи нет!!!

Проверим связь Интернет-сервера
c компьютером:
«ping 192.168.1.2».
Связи

нет!!!
Слайд 48

Проверим связь компьютеров с DMZ-сервером: «ping 210.210.3.2». Связь по прежнему есть!!!

Проверим связь компьютеров с
DMZ-сервером:
«ping 210.210.3.2».
Связь по

прежнему есть!!!
Слайд 49

Проверим связь компьютеров с Интернет-сервером: «ping 210.210.1.2». Связь по прежнему есть!!!

Проверим связь компьютеров с
Интернет-сервером:
«ping 210.210.1.2».
Связь по

прежнему есть!!!
Таким образом мы защитили свою сеть от внешних проникновений!
Слайд 50

Слайд 51

Компьютерные сети. Н.В. Максимов, И.И. Попов, 4-е издание, переработанное и дополненное,

Компьютерные сети. Н.В. Максимов, И.И. Попов, 4-е издание, переработанное и дополненное,

«Форум», Москва, 2010.
Компьютерные сети. Принципы, технологии, протоколы, В. Олифер, Н. Олифер (5-е издание), «Питер», Москва, Санк-Петербург, 2016.
Компьютерные сети. Э. Таненбаум, 4-е издание, «Питер», Москва, Санк-Петербург, 2003.

Список литературы:

Слайд 52

http://blog.netskills.ru/2014/03/firewall-vs-router.html https://drive.google.com/file/d/0B-5kZl7ixcSKS0ZlUHZ5WnhWeVk/view Список ссылок:

http://blog.netskills.ru/2014/03/firewall-vs-router.html
https://drive.google.com/file/d/0B-5kZl7ixcSKS0ZlUHZ5WnhWeVk/view

Список ссылок:

- Предыдущая
Методологические проблемы политологии
Следующая -
Шумы в сердце

Похожие презентации

Оформление кредита
Социальная информатика
Язык гипертекстовой разметки HTML
Создание загрузочного флэш-накопителя USB
Сжатие информации
Система управления базами данных
Школьная служба медиации
Требования к программному обеспечению и их анализ
Анализ аудитории сайта по ключевым фразам
Системы управления базами данных врача-специалиста. Проектирование базы данных. Лекция 2
Хранение информации
Информационная безопасность
Файлы программы Visio
Презентация "Технология создания презентаций" - скачать презентации по Информатике
Лингвистические особенности интернет-коммуникации как составляющей медиа-дискурса
Графические информационные объекты 11 класс Составила Антонова Е.П. 2012г.
Группа Секретная лаборатория
Information technology
Лекция 3. Организации, разрабатывающие стандарты
Кратчайшие пути, максимальные потоки и минимальные разрезы на орграфах
Алгоритмы на графах
Президентская библиотека. Тюменский филиал
Решение логических задач средствами алгебры логики
Информационные технологии в юридической деятельности. Лекция 1
情報セキュリティ第7回(アクティブディフェンス)
Партнерская программа 2021
Информация и информационные процессы в живой и неживой природе
Путешествие в страну «Информатика». Внеклассное мероприятие
Вы можете прислать нам Вашу презентацию и мы опубликуем ее на сайте.
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть