Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00303 005608 18999434 na godz. na dobę w sumie
Bezpieczeństwo sieci komputerowych - Praktyczne przykłady i ćwiczenia w symulatorze Cisco Packet Tracer - ebook/pdf
Bezpieczeństwo sieci komputerowych - Praktyczne przykłady i ćwiczenia w symulatorze Cisco Packet Tracer - ebook/pdf
Autor: Liczba stron: 414
Wydawca: ITStart Język publikacji: polski
ISBN: 978-83-65645-09-8 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> sieci komputerowe >> cisco
Porównaj ceny (książka, ebook (-34%), audiobook).

Książka Bezpieczeństwo sieci komputerowych - Praktyczne przykłady i ćwiczenia w symulatorze Cisco Packet Tracer, kierowana jest do szerokiego grona osób chcących poszerzyć swoją wiedzę z zakresu bezpiecznego wykorzystania sieci komputerowych w codziennym życiu. Nauczyć się od podstaw projektować i wdrażać zasady bezpieczeństwa. Nie jest to jednak materiał uczący bezpiecznego korzystania z usług sieciowych od strony standardowego użytkownika Internetu.
Pozycja ta, to również idealny podręcznik dopełniający wiedzę praktyczną podczas nauki w techniku informatycznym, technikum teleinformatycznym i Akademiach CISCO CCNA. To materiał uzupełniający, dzięki któremu w prosty sposób można poszerzyć i uzupełnić swoją wiedzę i przygotować się do uzyskania kwalifikacji potwierdzających kompetencje zawodowe.
Książka zawiera materiał poświęcony klasyfikowaniu zagrożeń w sieciach, zasadom pozwalającym na unikanie cyber-ataków, założeniom polityki bezpieczeństwa, protokołom SSH, NTP, SYSLOG, RADIUS, TACACS+, GRE, IPsec, usługom AAA a także problemom związanym z prawem ogólnego rozporządzenia o ochronie danych osobowych RODO (GDRP).
Istotną zaletą książki są załączone gotowe rozwiązania w postaci plików PKT oraz PKA, zawierających prawidłowe rozwiązania przykładów i ćwiczeń. Wszystkie opisane pliki, są dostępne poprzez witrynę naszego wydawnictwa pod adresem http://security.itstart.pl
Autorem tej książki jest Jerzy Kluczewski, długoletni instruktor Akademii CISCO CCNA, wykładowca akademicki a zarazem nauczyciel dyplomowany. Pan Jerzy, w swoim dorobku autorskim posiada już kilka publikacji książkowych na temat symulatora Packet Tracer. Jest osobą zaangażowaną w proces tłumaczenia materiałów edukacyjnych CCNA Routing & Switching na język polski. Swoje doświadczenie zdobywał podczas pracy w przemyśle, obecnie jest wykładowcą w Wyższej Szkole Bankowej w Gdańsku.

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Tunelowanie 6 TUNELOWANIE Co to jest tunelowanie? Tunelowanie to zestawienie połączenia między dwoma odległymi hostami tak, by stworzyć wrażenie, że są połączone bezpośrednio, przy założeniu, że sieć Internet nie zna protokołu, którym posługują się te hosty. Rodzaje tunelowania:  GRE,  IPsec, Co to jest sieć VPN? VPN (ang. Virtual Private Network) to usługa umożliwiająca połączenie między dwoma odległymi miejscami w Internecie poprzez wirtualny i szyfrowany tunel. VPN zapewnia bezpieczeństwo Twoich służbowych lub prywatnych przesyłanych danych, w trakcie korzystania z otwartych publicznych sieci Wi-Fi, z sieci w hotelach, a także w trakcie podróży służbowych. Rodzaje sieci VPN:  Site-to-Site  Remote Access VPN Sieć VPN typu Site-to-Site jest tworzona, gdy urządzenia zewnętrzne po obu stronach połączenia VPN znają konfigurację VPN. Sieć VPN pozostaje statyczna, a hosty wewnętrzne nie mają wiedzy, że VPN istnieje. Hosty końcowe wysyłają i odbierają normalny ruch TCP/IP przez bramki VPN. Bramka VPN jest odpowiedzialna za inkapsulację i szyfrowanie ruchu wychodzącego dla całego ruchu z określonego miejsca. Sieć VPN typu Remote access obsługuje potrzeby telepracowników, użytkowników mobilnych i extranetu, ruchu konsument – biznes. Jest tworzona, gdy informacje o VPN nie są statycznie skonfigurowane, lecz dynamicznie zmieniają się, a VPN może być włączany i wyłączany. VPN zdalnego dostępu obsługuje architekturę klient/serwer, w której klient VPN (zdalny) uzyskuje bezpieczny dostęp do sieci firmowej za pośrednictwem urządzenia serwer VPN na brzegu sieci. Sieci VPN zdalnego dostępu są używane do łączenia poszczególnych hostów, które muszą uzyskać dostęp do ich sieci firmowej bezpiecznie przez Internet. 169 Tunelowanie 6.1 Tunelowanie oparte na protokole GRE 6.1.1 Protokół GRE Tunelowanie oparte na GRE (ang. Generic Routing Encapsulation) pozwala na przesyłanie poprzez tunel VPN, danych z wykorzystaniem specjalnego protokołu GRE. Protokół GRE został opracowany przez firmę Cisco. Tunel VPN z wykorzystaniem protokołu GRE pozwala na zaszyfrowanie całego tunelu łączącego dwa oddzielne hosty i przesyłanie w nim danych za pomocą dynamicznych protokołów routingu. W tym przypadku szyfrowany jest cały tunel a nie tylko dane, które się w nim znajdują. Pozwala to na ukrycie ruchu przesyłanego wewnątrz sieci prywatnej i przez Internet. Osoby postronne nie mogą zobaczyć tras lub protokołów jakie są wykorzystywane wewnątrz sieci prywatnej VPN. 6.1.2 Konfigurowanie sieci Site-to-Site za pomocą GRE Aby skonfigurować sieć Site-to-Site przy użyciu GRE użyj poleceń zaprezentowanych w tabeli. Polecenie Opis show interface tunnel tunnel_name Weryfikacja stanu tunelu tunnel mode gre ip tunnel source ip_address tunnel destination ip_address ip address ip_address mask Ustawia tryb interfejsu jako GRE poprzez IP Ustawia adres źródłowy tunelu Ustawia adres docelowy tunelu Ustawia adres i maskę tunelu Tabela 6.1 Polecenia służące do konfiguracji VPN GRE. Przykładowe pliki p6-1-2.pkt  Adresy IP interfejsów są już skonfigurowane w całej sieci.  Routing statyczny został skonfigurowany w sieci Internet. Założenia: 170 Tunelowanie Dla poniższej topologii sieciowej oraz tabeli adresacji, wykonaj następujące czynności, dla obu routerów brzegowych:  Utwórz interfejs tunelu przy użyciu polecenia interface.  Określ źródłowy adres IP tunelu.  Określ docelowy adres IP tunelu.  Skonfiguruj adres IP dla interfejsów tunelu.  Określ tryb tunelu GRE jako tryb interfejsu tunelu. Tryb tunelu GRE jest domyślnym trybem interfejsu dla oprogramowania Cisco IOS.  Sprawdź stan tunelu. Urzą- dzenie R1 R2 PC1 PC1 Rysunek 6.1 Przykładowa topologia tunelu 0. Interfejs Adres IP Maska podsieci Brama domyślna G0/0 S0/0/0 192.168.1.1 255.255.255.0 nie dotyczy 64.103.200.2 255.255.255.252 nie dotyczy Tunnel 0 10.10.10.1 255.255.255.252 nie dotyczy G0/0 S0/0/0 192.168.2.1 255.255.255.0 nie dotyczy 209.165.122.2 255.255.255.252 nie dotyczy Tunnel 0 10.10.10.2 255.255.255.252 nie dotyczy Fa0 Fa0 192.168.1.2 255.255.255.0 192.168.1.1 192.168.2.2 Tabela 6.2 Tabela adresacji. 255.255.255.0 192.168.2.1 Krok 1. Tworzenie tunelu i jego konfiguracja w routerze R1 Aby skonfigurować tunel w R1 z adresem wirtualnym 10.10.10.1 (na brzegu tunelu ustaw źródło i przeznaczenie) wykonaj następujące polecenia: 171 Tunelowanie R1(config)# interface tunnel 0 R1(config-if)# ip address 10.10.10.1 255.255.255.252 R1(config-if)# tunnel source s0/0/0 R1(config-if)# tunnel destination 209.165.122.2 R1(config-if)# tunnel mode gre ip R1(config-if)# no shutdown Rysunek 6.2 Konfiguracja tunelu w R1. Krok 2. konfigurowanie tunelu w routerze R2 Aby skonfigurować tunel w R2 z adresem wirtualnym 10.10.10.2 (na brzegu tunelu ustaw źródło i przeznaczenie) wykonaj następujące polecenia: R2(config)# interface tunnel 0 R2(config-if)# ip address 10.10.10.2 255.255.255.252 R2(config-if)# tunnel source s0/0/0 R2(config-if)# tunnel destination 64.103.200.2 R2(config-if)# tunnel mode gre ip R2(config-if)# no shutdown 172 Tunelowanie Rysunek 6.3 Konfiguracja tunelu w R2. Krok 3. Skonfiguruj trasy dla ruchu między sieciami z adresami prywatnymi Wykonaj trasy pomiędzy sieciami 192.168.X.X wykorzystujące następne przeskoki do sieci 10.10.10.0/30. R1(config)# ip route 192.168.2.0 255.255.255.0 10.10.10.2 Rysunek 6.4 Konfiguracja trasy w R1. R2(config)# ip route 192.168.1.0 255.255.255.0 10.10.10.1 Rysunek 6.5 Konfiguracja trasy w R2. Wykonaj także trasę domyślną wykorzystującą przeskok do Serial 0/0/0. R1(config)# ip route 0.0.0.0 0.0.0.0 Serial0/0/0 Rysunek 6.6 Konfiguracja trasy domyślnej w R1. 173 Tunelowanie R2(config)# ip route 0.0.0.0 0.0.0.0 Serial0/0/0 Rysunek 6.7 Konfiguracja trasy domyślnej w R2. Krok 4. Wykonaj weryfikację komunikacji między komputerami PC1 i PC2 Wykonaj polecenie tracert z PC1 do PC2. Rysunek 6.8 Wynik polecenia tracert z PC1 do PC2. Rysunek 6.9 Wynik polecenia tracert z PC2 do PC1. Tunelowanie pomiędzy sieciami prywatnymi 192.168.X.X odbywa się za pomocą adresów wirtualnych 10.10.10.X w tunelu GRE. 174 6.2 Tunelowanie za pomocą protokołu IPsec 6.2.1 Protokół IPsec Tunelowanie Tunelowanie za pomocą protokołu IPsec (ang. Internet Protocol Security) stosuje mechanizmy kryptografii, które umożliwiają uwierzytelnianie oraz szyfrowanie, które gwarantują, że pakiety pochodzą od właściwego nadawcy oraz że nie zostały zmienione podczas przez nieuprawnionych użytkowników. Szyfrowanie zapobiega transmisji. przeglądaniu pakietów 6.2.2 Konfigurowanie sieci VPN Site-to-Site za pomocą IPsec Przykładowe pliki p6-2-2.pkt Założenia:  Adresy IP interfejsów są już skonfigurowane w całej sieci.  Routing statyczny został skonfigurowany w sieci Internet. Dla poniższej topologii sieciowej oraz tabeli adresacji, tabeli konfiguracji parametrów tabeli fazy 1 uwierzytelniania i szyfrowania, tabeli fazy 2 dla IPsec, wykonaj następujące czynności, dla obu routerów brzegowych:  Dla poniższej topologii użyj routerów klasy C2900.  Na wszystkich routerach ustaw hasło do trybu uprzywilejowanego: cisco123  Aktywuj pakiet securityk9 dla routerów brzegowych A i D  Skonfiguruj listy ACL filtrujące ruch sieciowy dla A i D.  Skonfiguruj parametry zasad zabezpieczeń (faza 1).  Na A, D skonfiguruj zasadę zabezpieczeń (politykę, ang. policy) szyfrowania ISAKMP o numerze 10 za pomocą klucza publicznego cisco. Użyj parametrów z tabeli Parametry fazy 1 (zasady zabezpieczeń). Domyślne parametry nie muszą być konfigurowane, natomiast szyfrowanie, metoda wymiany klucza oraz metoda DH muszą.  Na A, D skonfiguruj fazę 2 (patrz Parametry fazy 2 dla IPsec).  Sprawdź stan tunelu. 175 Tunelowanie Rysunek 6.10 Przykładowa topologia tunelu IPsec. Interfejs Adres IP Maska podsieci Brama domyślna Gi0/0 S0/0/0 192.168.3.1 255.255.255.0 192.168.3.1 81.1.1.2 255.255.255.252 nie dotyczy Internet (C) S0/0/0 81.1.1.1 255.255.255.252 nie dotyczy Gi0/0 S0/0/0 182.168.4.0 255.255.255.0 192.168.4.1 81.1.2.1 255.255.255.252 nie dotyczy Internet (C) S0/0/1 81.1.1.2 255.255.255.252 nie dotyczy Fa0 (LAN-A) 192.168.3.2 255.255.255.0 Fa0 (LAN-B) 192.168.4.2 255.255.255.0 Tabela 6.3 Podstawowa adresacja topologii. 192.168.3.1 192.168.4.1 Parametry A i D Key distribution method Manual or ISAKMP ISAKMP Encryption algorithm DES, 3DES, or AES Hash algorithm MD5 or SHA-1 AES SHA-1 Metoda uwierzytelniania Pre-shared keys or RSA pre-share Key exchange DH Group 1, 2, or 5 DH 2 ISAKMP Key cisco Tabela 6.4 Parametry fazy 1 (zasady zabezpieczeń). - Urzą- dzenie A D PC3 PC4 176 Tunelowanie Parametry wypisane czcionką wytłuszczoną są domyślne. Pozostałe muszą zostać skonfigurowane. Parametry A D Transform Set Peer Hostname Peer IP Address Crypto Map name SA Establishment VPN-SET VPN-SET D 81.1.2.1 VPN-MAP A 81.1.1.2 VPN-MAP ipsec-isakmp ipsec-isakmp Tabela 6.5 Parametry fazy 2 dla IPsec. Połączenie VPN składa się z dwóch faz. W fazie pierwszej routery próbujące nawiązać połączenie wymieniają się kluczami. Wykorzystywany jest tu protokół IKE. Następuje uwierzytelnienie każdej strony. W fazie drugiej następuje ustanowienie parametrów szyfrowania tunelu docelowego. Parametry na obu końcach tunelu (w naszym przypadku na routerach A i C oraz C i D) muszą być takie same. Krok 1. Aktywuj pakiet securityk9 w routerach A, D oraz C Aktywuj moduł securityk9 dla routera, zaakceptuj licencję, zapisz konfigurację oraz zrestartuj router. A# conf t A(config)# license boot module c2900 technology-package securityk9 A(config)# end A# copy running-config startup-config A# reload C# conf t C(config)# license boot module c2900 technology-package securityk9 C(config)# end C# copy running-config startup-config C# reload 177 Tunelowanie D# conf t D(config)# license boot module c2900 technology-package securityk9 D(config)# end D# copy running-config startup-config D# reload Rysunek 6.11 Aktywacja pakietu securityk9 w A. Krok 2. Podstawowa konfiguracja routera A enable conf t hostname A interface GigabitEthernet 0/0 ip address 192.168.3.1 255.255.255.0 interface Serial0/0/0 ip address 81.1.1.2 255.255.255.252 crypto map VPN-MAP ip route 0.0.0.0 0.0.0.0 81.1.1.1 Rysunek 6.12 Podstawowa konfiguracja routera A. 178 Tunelowanie Krok 2. Konfiguracja fazy pierwszej dla routera A Musisz wpisać adres drugiego routera i metodę klucza (Key distribution method), który będzie wymieniany pomiędzy nimi oraz bramę domyślną. ip route 0.0.0.0 0.0.0.0 81.1.1.1 crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco address 81.1.1.1 crypto ipsec transform-set VPN-MAP esp-aes esp-sha-hmac Rysunek 6.13 Konfiguracja fazy 1 routera A. Krok 3. Wykonaj konfigurację filtrowania ruchu na routerze A. Skonfiguruj ACL 110 w celu filtrowania ruchu z sieci LAN-A do sieci LAN-B. Pozwoli to przełączać ruch w IPsec VPN pomiędzy sieciami LAN-A i LAN-B. Pozostały ruch generowany z sieci LAN nie będzie szyfrowany. Pamiętaj o domyślnym wpisie deny any any na końcu ACL (którego nie musisz dodawać). A(config)# access-list 110 permit ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 Rysunek 6.14 Filtrowanie ruchu na routerze A. Krok 4. Konfiguracja fazy drugiej dla routera A Uwaga: Lista ACL 110 jest konieczna do nawiązania połączenia pomiędzy dwoma sieciami lokalnymi. 179 Tunelowanie crypto map VPN-MAP 1 ipsec-isakmp set peer 81.1.2.1 set transform-set VPN-MAP match address 110 Rysunek 6.15 Konfiguracja fazy 2 routera A. Krok 5. Podstawowa konfiguracja routera D enable conf t hostname D interface GigabitEthernet 0/0 ip address 192.168.4.1 255.255.255.0 interface Serial0/0/0 ip address 81.1.2.1 255.255.255.252 crypto map VPN-MAP ip route 0.0.0.0 0.0.0.0 81.1.2.2 Rysunek 6.16 Podstawowa konfiguracja routera D. 180 Tunelowanie Krok 6. Konfiguracja fazy pierwszej dla routera D Musisz wpisać adres drugiego routera i metodę klucza (Key distribution method), który będzie wymieniany pomiędzy nimi oraz bramę domyślną. ip route 0.0.0.0 0.0.0.0 81.1.2.2 crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco address 81.1.2.2 crypto ipsec transform-set VPN-MAP esp-aes esp-sha-hmac Rysunek 6.17 Konfiguracja fazy 1 routera D. Krok 7. Wykonaj konfigurację filtrowania ruchu na routerze D. Skonfiguruj ACL 110 w celu filtrowania ruchu z sieci LAN-B do sieci LAN-A. Pozwoli to przełączać ruch w IPsec VPN pomiędzy sieciami LAN-A i LAN-B. Pozostały ruch generowany z sieci LAN nie będzie szyfrowany. Pamiętaj o domyślnym wpisie deny any any na końcu ACL (którego nie musisz dodawać). D(config)# access-list 110 permit ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255 Rysunek 6.18 Filtrowanie ruchu na routerze D. Krok 8. Konfiguracja fazy drugiej dla routera D Uwaga: Lista ACL 110 jest konieczna do nawiązania połączenia pomiędzy dwoma sieciami lokalnymi. crypto map VPN-MAP 1 ipsec-isakmp set peer 81.1.1.2 181 Tunelowanie set transform-set VPN-MAP match address 110 Rysunek 6.19 Konfiguracja fazy 2 routera D. Krok 9. Konfiguracja tras statycznych w routerze C Na routerze C w chmurze Internet wykonaj konfiguracje tras statycznych za pomocą następujących poleceń: ip route 192.168.4.0 255.255.255.0 81.1.2.1 ip route 192.168.3.0 255.255.255.0 81.1.1.2 Rysunek 6.20 Konfiguracja tras statycznych w routerze C. Krok 10. Zweryfikuj komunikację z PC3 do PC4 przez tunel IPsec. Na komputerze PC3 wykonaj polecenie tracert 192.168.4.2 (do PC4). 182 Rysunek 6.21 Weryfikacja tunelu IPsec. Na komputerze PC4 wykonaj polecenie tracert 192.168.3.2 (do PC3). Tunelowanie Rysunek 6.22 Weryfikacja tunelu IPsec. Pakiety testowe przechodzą przez adresy IP tunelu:   od 81.1.1.1 do 81.1.2.1. od 81.1.2.2 do 81.1.1.2. 183
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Bezpieczeństwo sieci komputerowych - Praktyczne przykłady i ćwiczenia w symulatorze Cisco Packet Tracer
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: