ym104432846
Вставьте ссылку на видео из Youtube, Rutube, VK видео
Задайте вопрос по видео
Что вас интересует?
00:00:08
Демилитаризованные зоны (DMZ):
  • Для защиты общедоступных сервисов (емейл, веб-сервер, FTP и др.) предлагается выделить отдельный сегмент сети, называемый демилитаризованной зоной (DMZ)
  • В DMZ предполагается размещение серверов с публичными белыми IP адресами или серыми адресами с использованием статического NAT
  • Реализация DMZ требует наличия сетевого устройства с функцией stateful firewall (фаервол), способного отслеживать сетевые сессии и запрещать исходящие соединения серверов DMZ с внутренней сетью
00:04:28
Организация DMZ-сегмента:
  • Для размещения веб-сервера планируется создать DMZ сегмент с назначенным уровнем безопасности (security level)
  • По умолчанию разрешен трафик между внутренней сетью (insight), DMZ и сетью интернет, однако трафик из внутренней сети в DMZ блокируется и открывается вручную через ACL
  • Провайдеру поручено настроить маршрутизацию внешнего IP адреса сервера через внешний интерфейс ASA для доступности из интернета
00:07:51
Настройка безопасности DMZ-сегмента:
  • Определены параметры настройки виртуального интерфейса (интерфейс one 3 1, имя интерфейса, указание одного из интерфейсов, куда трафик не пойдёт)
  • Настроена безопасность зоны (указан security level 50 для сегмента дмз, прописаны IP адреса и маска)
  • Созданы и настроены access листы и группы для разрешения трафика через дмз-сегмент (access-list, permit асинхронный протокол, разрешение веб-трафика TCP)
00:14:12
Настройка маршрутизации и NAT:
  • Установили дополнительный сетевой интерфейс (Fast Ethernet 0/1) на маршрутизатор
  • Настроили три сетевых интерфейса с уникальными IP-адресами и масками
  • Включили функцию NAT для внешнего интерфейса маршрутизатора и создали доступный список (access-list) для выхода в интернет
00:21:53
Настройка доступа к DMZ-серверу:
  • 1. Настроена настройка аксесс-листа для внешнего сетевого интерфейса
  • 2. Разрешён трафик с любых хостов из интернета на сервер компании через порты 80 (веб-трафик)
  • 3. Запрещены остальные типы трафика и подключения с локальной сети во внешнюю сеть
00:24:16
Инспекция трафика и защита локальной сети:
  • 1. Определено направление инспекции трафика — входящий интерфейс для внутренней сети (интерфейс FastEthernet 1/0)
  • 2. Запрещён трафик с хостов 210.210.3.2 во внутреннюю сеть, однако разрешено прохождение обратного трафика через DMZ-сервер
  • 3. Настроена защита локальной сети от несанкционированного доступа из публичной сети путём изоляции публичных серверов в отдельном сегменте DMZ
0: Здравствуйте, коллеги. И добро пожаловать на 17 урок. Сегодня мы попробуем немного поговорить о дмз, дмз, демилитари, зон, демилитаризованная зона, по-русски говоря, это область корпоративной сети, которая содержит
1: Общедоступные сервисы, такие как емейл, сервер, веб сервер, ftp, сервер и так далее, под общедоступными понимаются сервисы или серверы, к которым необходим доступ не только из локальной сети, но
2: И из внешней сети интернет, думаю, вполне логично помещать такие сервисы в отдельный сегмент. Поскольку данные сервисы являются общедоступными и к ним открыт доступ из интернета, то риск взлома весьма велик и
3: В случае проникновения злоумышленника на 1 из серверов наша локальная сеть остаётся по прежнему защищённой, поскольку находится в другом сегменте таким образом, мы минимизируем ущерб от возможного взлома публичного сервера.
4: Серверы, находящиеся в мзет, как правило, имеют публичные белые ip адреса, хотя можно обойтись и серыми с использованием функции static nat, как это было показано в 12 уроке, главное условие это выделенный сегмент для серверов, которым необходим доступ.
5: Из внешней сети. Более того, для полноценной реализации дмз сетевое устройство должно иметь функции стейтфул, фаервол, то есть возможность запоминать сессии. Если вы помните, мы говорили об этом на прошлом занятии. С помощью инспектирования трафика мы сможем
6: Запретить серверам дмет инициировать соединение с локальной сетью. Тем самым мы защитим пользователей от злоумышленников, которые, возможно, взломали 1 из публичных серверов при этом для самих пользователей.
7: Серверы мзет будут по прежнему доступны с помощью обычных эксесс листов. Вы либо не сможете это настроить, либо оставите дыры, через которые, возможно, проникновение мзет можно организовать на межсетевом экране с помощью
8: Уже знакомых нам секьюрити левел.
9: А также возможна реализация на маршрутизаторе с использованием зон Бейс фаервол, но так как мы пользуемся симулятором циско пакет трейсер, возможности которого весьма ограничены, нам придётся воспользоваться старой техно.
10: Логии, а именно сибак, контекст, бейст, аксесс контрол, но об этом чуть позже.
11: Как правило, в любой уважающей себя корпоративной сети имеется как минимум 3 сегмента это внутренняя inside локальная сеть, внешняя аутсайд, сеть интернет.
12: И сегмент для публичных серверов.
13: То есть дмз, соответственно, у нас будут 3 политики доступа это политика доступа из локальной сети в сеть интернет, политика доступа из локальной сети.
14: В сегмент мзет и политика доступа из сети интернет в сегмент дмет это мы и опробуем на лабораторной работе, а более подробно о приведённых технологиях.
15: Можно почитать по приведённым ресурсам не ленитесь, почитайте, найдёте для себя много интересного.
16: Начнём с межевого экрана и воспользуемся схемой с предыдущего занятия. То есть 16 урока. Вы же можете либо настроить заново, чтобы поупражняться, либо скачать уже готовую. У нас уже настроена внутренняя сеть, настроена внешняя сеть.
17: И настроен публичный роутер и сервер.
18: Также у нас настроен, по моему, пароль да, пароль циска.
19: У нас 2 интерфейса это insight интерфейс секьюрити вёл 95 аутсайд интерфейс секьюрити ввёл 0 уже настроен nat маршрутизация, то есть дефолт и.
20: Инспектирование трафика http и асимп. Теперь предположим, что нам понадобилось добавить дмз сегмент, куда мы хотим поместить какой-то публичный сервер. Пусть это будет веб сервер, если вы помните
21: Теоретической части я говорил, что на межсетевом экране дм зет организуется с помощью security левелов у нас уже имеется 2 это у inside сети 95, у внешней сети 0. Какой же секьюрити левл нам?
22: Нужно присвоить нашему дмз сегменту. Все зависит от политик, который мы выберем. Если вы помните аналогию со ступеньками, то чем выше секьюрити левл.
23: Тем выше ступенька.
24: Предположим, так.
25: Здесь у нас по умолчанию трафик разрешён.
26: То есть это вот мы также хотим, чтобы был по умолчанию разрешён трафик.
27: Из insight сети в сеть дмет. То есть уже логично предположить, что наш дмет находится ниже, чем insight сеть, то есть где-то вот здесь, здесь мы
28: И расположим, как правило, дмз дают секьюрити 50.
29: При этом у нас будет разрешён по умолчанию трафик из insight в дмет по умолчанию разрешён трафик из дмет в сеть интернет, а traffic is outside сети в insight по умолчанию.
30: Запрещён и по умолчанию запрещён трафик из insight в дмз, мы будем это открывать с помощью access листов.
31: Что ж, приступим к настройке, добавим сам сервер.
32: Подключим к нашей Асе, пусть это будет порт изернет 0 2.
33: И поскольку это дмет, то здесь нам нужен публичный белый ip адрес, нам провайдер уже выдал 1 он у нас находится на outside интерфейсе, но нам нужна ещё 1 подсеть.
34: Пусть это будет сеть 210, 210, 3, 2 с маской 252 и шлюз, то есть адрес, который будет
35: Будет на Асе 10, 10, 10, 10, 3, 1.
36: И логично предположить, что провайдер должен прописать маршрут в эту сеть через внешний интерфейс аса, то есть чтобы остальные тоже могли находить этот публичный адрес.
37: Делается это командой айпироут 210 210 3 0.
38: Через адрес асы.
39: 0 2, как видно из рисунка.
40: Маршрут прописали, теперь настроим собственно саму ассу. Для этого нам понадобится создать ещё 1 сегмент дмет, но тут нас ждёт некоторое разочарование. Если мы наберём шоу вер, то увидим.
41: Что у нас доступно всего 3 one, при этом дзет у нас ограниченный, что это значит сейчас поясню, то есть попытаемся.
42: Создать новый сегмент. Во первых, определим порт, куда мы подключили
43: Сервер это изернет 0 2, если я не ошибаюсь, да?
44: Интерфейс изернет 0 2 определим в новый сегмент, то есть
45: One пусть будет 3 теперь настроим сам виртуальный интерфейс интерфейс one 3 1, с чего стоит начинать настройку интерфейсов на Асе, это присваивание ему имени, то есть name if.
46: Дадим имя дм зет, и тут же мы получаем сразу ошибку, что наша лицензия не позволяет создавать больше 2 интерфейсов, не употребляя функцию no форвард, что это значит нам придётся на нашем?
47: Set интерфейсе указать 1 из интерфейсов, куда трафик не пойдёт.
48: К сожалению, это очень неудобно для демонстрирования работы дмз на Асе, но я настрою, а там уже на реальном оборудовании либо в jeans 3 вы можете попробовать другой вариант, поэтому.
49: Мы сначала указываем команду no форвард интерфейс и one 1, то есть у нас трафик из дмет во one, 1 будет запрещён, таковы ограничения лицензии, ничего не поделаешь ещё раз.
50: Даём имя не в dm that устанавливаем секьюрити вал 50, прописываем ip адрес это 210 210 3 1.
51: С маской 252, no shutdown.
52: Exit и попробуем пропинговать наш сервер. По идее, он уже должен пинговаться.
53: Да, асл его уже пингует. Теперь что нам ещё необходимо сделать? Маршрут у нас на роутере провайдера в эту локальную сеть. Точнее, в эту публичную сеть уже есть. Попробуем пинг с публич.
54: Сервера до нашего веб сервера. Пинк 210. 210. 3. 2. Естественно, пинк не пойдёт. Не пойдёт он почему? Да, из за тех же секьюрити. Лев, если вы помните, здесь секьюрити ввёл 0, здесь секьюрити ввёл.
55: По умолчанию трафик запрещён, соответственно, нам нужно прописать аксесслист, чтобы разрешить трафик определённого типа до dm that.
56: Сделаем, для этого создадим.
57: Access list.
58: Дадим имя.
59: From outside расширенный.
60: И укажем разрешим асимп протокол.
61: Permit.
62: A7, p.
63: С любого хоста.
64: На наш хост.
65: 10, 10, 10, 10, 3, 2.
66: И разрешим ещё.
67: Веб трафик tcp также любой хост может обращаться к нашему серверу хост 3 2 и укажем порт.
68: 80. Теперь нам необходимо создать аксесс группу.
69: Который мы привяжем, её название должно совпадать с названием листа.
70: From outside давайте всегда осмысленно название аксесс листа в направлении ИНН, то есть этот access list, мы вешаем на внешний интерфейс, на входящий трафик.
71: Интерфейс.
72: Outside.
73: Отлично, проверим.
74: Pink 210, 210, 3, 2.
75: Pink пошёл, проверим доступность веб сервера.
76: Также работает.
77: Но при этом, к сожалению, сейчас не будет работать доступ из локальной сети.
78: Все дело вот в этой строчке, ноу форвард.
79: На реальном оборудовании, либо же в jeans 3, где есть необходимая лицензия вы просто уберёте эту строчку, и у вас все будет работать.
80: Таким образом, мы настроили дмз, только лишь указав секьюрити, левел 50 для дмз сегмента и прописав пару access листов на внешнем интерфейсе как видите, ничего сложного, что ж, попробуем теперь это реализовать.
81: Помощью маршрутизатора. Для этого зажмём контрол, перенесём всю схему.
82: Удалим асл и попробуем сюда добавить маршрутизатор 28 11. У данного маршрутизатора имеется 2 сетевых интерфейса. Добавим ещё 1 для этого сначала.
83: Выключим маршрутизатор и добавим ещё 1 интерфейс фас изернет. Перетаскиваем модуль на роутер. Теперь включаем
84: Переходим в cli.
85: Вообще говоря, на маршрутизаторах сейчас лучше всего пользоваться функцией зон Бейс фаервол, но в циско пакет трейсере нет возможности опробовать данный функционал, поэтому мы вынуждены использовать технологию сибак, контекст, Бейс, аксес, контрол.
86: Что ж, установим атизатор в нашу сеть.
87: Подключимся к кроссам.
88: К маршрутизатору провайдера красом подключим.
89: Наш сервер и прямым кабелем.
90: Локальный Свич.
91: Приступим базовой настройке. 1, что нам необходимо сделать, это настроить айпи адреса настраиваем так, как у нас называются интерфейсы.
92: Fast изернет 0 0 так, интерфейс far 0 0. Сразу дадим ему дискрипшн, возьмите себе это за правило, называйте все интерфейсы осмысленно, чтобы потом не было путаницы.
93: Пусть это будет outside интерфейс ip адрес 210 210 0 2.
94: Маска 252 поднимем интерфейс сразу начнём настраивать nat, это будет outside интерфейс для nat.
95: Настроим теперь интерфейс, который смотрит в сторону дзет. Это интерфейс far 0 1.
96: Сразу дискрипшн дзет.
97: Ip адрес.
98: 210, 210 3 1.
99: 252. Поднимаем интерфейс.
100: Not настраивать на этом интерфейсе мы не будем, поскольку сервер имеет публичный адрес.
101: И последний внутренний интерфейс это интерфейс far 1 0 дискрипшен инсайд айпи адрес 192 168.
102: 1, 1, 255 255 0 поднимаем интерфейс и для nota это будет инсайд интерфейс.
103: И завершающая команда для nat ip not inside source.
104: А для этого нам необходимо сначала создать акцесс лист, то есть сеть, которую мы будем выпускать в интернет ip access list стандарт, дадим имя ему фонат.
105: Permit сеть 192 168 1 0 и wild card маска.
106: Теперь ip not inside source list фонат.
107: И указываем внешний интерфейс это far 0 0 и не забываем команду оверволд.
108: Сохраняем.
109: Здесь у нас был диш сипи, поскольку ас. Раздавал адреса, мы же настроим статик 192 168 1 2.
110: Укажем шлюз.
111: 192 168 1 3 шлюз.
112: Итак, проверим с маршрутизатором взаимодействия пингуется ли внешний маршрутизатор интернет провайдера 210 210 0 1.
113: Пингуется. Проверим, пингуется ли наш веб сервер. 210, 210 3 2.
114: Пингуется. Проверим локальную сеть.
115: 1, 2.
116: Пингуется проверим, доступен ли интернет с наших компьютеров пинг 210 210 1 2 пропингует публичный сервер.
117: Не пингуется. А почему? А потому что мы забыли указать дефолтный маршрут на нашем маршрутизаторе.
118: Ip route.
119: Через адрес провайдера.
120: Сохраняем.
121: Посмотрим ещё раз.
122: Pink пошёл, проверим доступность нашего дмз сервера.
123: Отлично все работает, но при этом, как мы можем убедиться с дмз сервера у нас
124: Доступна локальная сеть.
125: Нас это не устраивает. Соответственно, что мы можем сделать? Во первых, нам необходимо запретить весь входящий трафик в локальную сеть из внешней сети. Также нам необходимо разрешить на внешнем интерфе.
126: Несколько портов до нашего дзет сервера и необходимо запретить трафику из дмет поступать в локальную сеть.
127: При этом для нашей локальной сети доступ разрешён везде. Что ж, приступим для начала мы настроим аксесс лист для внешнего интерфейса.
128: Ip access list.
129: Extended from outside?
130: Разрешим трафик.
131: А cpp от любого хоста до нашего сервера, то есть от любого хоста из интернета пинк разрешён до нашего веб сервака.
132: Также разрешим.
133: Веб трафик.
134: То есть 80 порт.
135: Все остальное.
136: Мы запретим.
137: Привяжем этот access list к интерфейсу, внешнему фа 0 0.
138: P. Аксес групп Фром аутсайд и привяжем его в направлении входящего трафика.
139: Проверим.
140: Pink есть до нашего публичного сервера.
141: И веб доступ тоже есть, но при этом, как вы наверное уже догадались, у нас с локальной сети.
142: Пропал доступ в интернет. С чем это связано? А связано это с нашим аксесс листом, который мы повесили на внешний интерфейс, поскольку мы разрешили только
143: Трафик до публичного сервера. Как выйти из данного положения? Именно здесь и применяется технология сибак. То есть инспектирование трафика, как это делается. Для начала мы должны определить, какой именно трафик
144: Нашим локальным пользователь будет разрешён и который мы должны будем заинспектить.
145: Посмотрим трафик, который нам доступен, делается с помощью команды ip инспект нейм даём осознанное имя.
146: Inside outside, то есть для трафика с внутренней сети во внешнюю.
147: И смотрим, что нам доступно, доступно, http.
148: Доступно Сим пи.
149: И куча всего, добавим ещё tcp.
150: Теперь нам необходимо указать, в каком направлении трафик инспектировать.
151: Мы начнём его инспектировать сразу на входящем интерфейсе для внутренней сети, то есть интерфейс фаст изернет 1 0.
152: Ip инспект.
153: Указываем наш созданный инсайд аутсайд.
154: И указываем направление in
155: То есть, что мы сделали? Происходит следующее как только трафик попадает на роутер, этот трафик в соответствии с заданными нами параметрами типи сипи тисипи инспектируется, он добавляется во временную таблицу.
156: Он, то есть запоминает сессию, выпускает трафик, и как только придёт обратный трафик, то он увидит, что этот трафик был инициирован с внутренней сети и его необходимо пропустить, при этом траффик из внешней сети будет по прежнему запрещён.
157: Проверим, как это работает.
158: То есть, если вы помните, был недоступен публичный сервер. 210, 210 1, 2. Сейчас он работает. Проверим веб.
159: Да, отлично. То есть мы защитили нашу внутреннюю сеть, запретив весь трафик, кроме трафика до мзет в нашу локальную сеть.
160: А для нашей локальной сети интернет по прежнему доступен сделаем аналогичные действия для дзет мы хотим запретить трафик во внутреннюю сеть.
161: Что мы делаем?
162: Создадим аксес лист для дмз зоны.
163: Extended from dm that?
164: 1, что мы сделаем, это запретим трафик.
165: От хоста 210, 210, 3, 2 до локальной сети.
166: Здесь у нас ваут карт маска.
167: Но наш сервер должен также отвечать на запросы внешних источников, поэтому следующее правило будет пермит айпи эни эни.
168: Если вы помните, то аксесс листы работают сверху вниз. Поэтому если вдруг будет инициироваться трафик из сегмента дмет во внутреннюю сеть, сначала сработает 1 правило если же этот трафик не попадёт под этот access list, он попадает под
169: Который разрешает весь трафик, то есть ответы будут уходить назад.
170: Привяжем данный аксесслист к интерфейсу, который смотрит в сторону дмет это интерфейс фас изернет 0 1 ip.
171: Access group from дзет направление ИНН, то есть входящий трафик сохраняем, проверим.
172: Доступен ли сервер?
173: Дмз, да, доступен, проверим по веб.
174: Доступен, а теперь с дмз сервера.
175: Попробуем достучаться до локальной сети. Естественно, доступ запрещён, потому что мы это запретили явно.
176: При этом из внешней сети.
177: Наш сервер по прежнему доступен.
178: Собственно, на этом настройку можно закончить. Я рассмотрел лишь базовые параметры настройки сибак. На самом деле ещё куча разных тонкостей и мелочей, которые дополняют безопасность, но для начала, я думаю, этого будет для
179: Достаточно. В части межсетевого экрана нам, к сожалению, не получилось провести полноценную работу из за ограничений лицензии. Но, тем не менее, я думаю, общий принцип понятен. Самое главное это выносить публичные сервера.
180: В отдельный сегмент и запрещает доступ из этого сегмента во внутреннюю сеть.
181: Чтобы обезопасить локальную сеть от возможных злоумышленников, которые взломают публичный сервер. Что ж, думаю, на сегодня достаточно. Если возникают какие-либо вопросы, задавайте их.