Академический Документы
Профессиональный Документы
Культура Документы
Тема: Маршрутизатор
Цель работы: построить маршрутизируемую IP-сеть
Теоретические основы: Маршрутизатор
Маршрутизатор (Router) — специализированное устройство, которое пересылает пакеты между
различными сегментами сети на основе правил и таблиц маршрутизации. Маршрутизатор может
связывать разнородные сети различных архитектур. Для принятия решений о пересылке пакетов
используется информация о топологии сети и определённые правила, заданные администратором.
Маршрутизаторы работают на «сетевом» (третьем) уровне сетевой модели OSI, в отличие от
коммутаторов (свитчей) L2 уровня OSI и концентраторов (хабов), которые работают
соответственно на втором и первом уровнях модели OSI.
Типы NAT:
• Симметричный NAT (Symmetric NAT) — трансляция, при которой каждое соединение,
инициируемое парой «внутренний адрес: внутренний порт» преобразуется в свободную
уникальную случайно выбранную пару «публичный адрес: публичный порт». При этом
инициация соединения из публичной сети невозможна.
• Cone NAT, Full Cone NAT — однозначная (взаимная) трансляция между парами
«внутренний адрес: внутренний порт» и «публичный адрес: публичный порт». Любой
внешний хост может инициировать соединение с внутренним хостом (если это разрешено в
правилах межсетевого экрана).
• Address-Restricted cone NAT, Restricted cone NAT — постоянная трансляция между парой
«внутренний адрес: внутренний порт» и «публичный адрес: публичный порт». Любое
соединение, инициированное с внутреннего адреса, позволяет в дальнейшем получать ему
пакеты с любого порта того публичного хоста, к которому он отправлял пакет(ы) ранее.
• Port-Restricted cone NAT — трансляция между парой «внутренний адрес: внутренний
порт» и «публичный адрес: публичный порт», при которой входящие пакеты проходят на
внутренний хост только с одного порта публичного хоста — того, на который внутренний
хост уже посылал пакет.
Преимущества NAT:
1. Позволяет сэкономить IP-адреса (только в случае использования NAT в режиме PAT),
транслируя несколько внутренних IP-адресов в один внешний публичный IP-адрес (или в
несколько, но меньшим количеством, чем внутренних). По такому принципу построено
большинство сетей в мире: на небольшой район домашней сети местного провайдера или
на офис выделяется 1 публичный (внешний) IP-адрес, за которым работают и получают
доступ интерфейсы с приватными (внутренними) IP-адресами.
2. Позволяет предотвратить или ограничить обращение снаружи ко внутренним хостам,
оставляя возможность обращения изнутри наружу. При инициации соединения изнутри
сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют
созданной трансляции и поэтому пропускаются, если для пакетов, поступающих снаружи,
соответствующей трансляции не существует они не пропускаются.
3. Позволяет скрыть определённые внутренние сервисы внутренних хостов/серверов. По
сути, выполняется та же указанная выше трансляция на определённый порт, но возможно
подменить внутренний порт официально зарегистрированной службы (например, 80-й порт
TCP (HTTP-сервер) на внешний 54055-й). Тем самым, снаружи, на внешнем IP-адресе после
трансляции адресов на сайт (или форум) для осведомлённых посетителей можно будет
попасть по адресу http://example.org:54055, но на внутреннем сервере, находящемся за NAT,
он будет работать на обычном 80-м порту. Повышение безопасности и сокрытие
«непубличных» ресурсов.
Недостатки NAT:
1. Старые протоколы. Протоколы, разработанные до массового внедрения NAT, не в
состоянии работать, если на пути между взаимодействующими хостами есть трансляция
адресов. Некоторые межсетевые экраны, осуществляющие трансляцию IP-адресов, могут
исправить этот недостаток, соответствующим образом заменяя IP-адреса не только в
заголовках IP, но и на более высоких уровнях (например, в командах протокола FTP).
2. Идентификация пользователей. Из-за трансляции адресов «много в один» появляются
дополнительные сложности с идентификацией пользователей и необходимость хранить
полные логи трансляций.
3. Иллюзия DoS-атаки. Если NAT используется для подключения многих пользователей к
одному и тому же сервису, это может вызвать иллюзию DoS-атаки на сервис (множество
успешных и неуспешных попыток). Например, избыточное количество пользователей ICQ
за NAT приводит к проблеме с подключением к серверу некоторых пользователей из-за
превышения допустимой скорости подключений. Частичным решением проблемы является
использование пула адресов (группы адресов), для которых осуществляется трансляция.
4. Пиринговые сети. В NAT-устройствах, не поддерживающих технологию Universal Plug &
Play, в некоторых случаях, необходима дополнительная настройка при работе с
пиринговыми сетями и некоторыми другими программами, в которых необходимо не только
инициировать исходящие соединения, но также принимать входящие.
VPN
Virtual private network «виртуальная частная сеть» — обобщённое название технологий,
позволяющих обеспечить одно или несколько сетевых соединений поверх чьей-либо другой сети.
Несмотря на то, что для коммуникации используются сети с меньшим или неизвестным уровнем
доверия (например, публичные сети), уровень доверия к построенной логической сети не зависит
от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования,
аутентификации, инфраструктуры открытых ключей, средств защиты от повторов и изменений
передаваемых по логической сети сообщений).
В зависимости от применяемых протоколов и назначения VPN может обеспечивать соединения
трёх видов: узел-узел, узел-сеть и сеть-сеть.
Уровни реализации
Обычно VPN развёртывают на уровнях не выше сетевого, так как применение криптографии на
этих уровнях позволяет использовать в неизменном виде транспортные протоколы (такие как TCP,
UDP). Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в
какой-нибудь другой протокол — IP (такой способ использует реализация PPTP — Point-to-Point
Tunneling Protocol) или Ethernet (PPPoE) (хотя и они имеют различия).
При должном уровне реализации и использовании специального программного обеспечения сеть
VPN может обеспечить высокий уровень шифрования передаваемой информации.
Структура VPN
VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько,
и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется
Интернет).
Подключение удалённого пользователя к VPN производится посредством сервера доступа,
который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении
удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер
доступа требует прохождения процесса идентификации, а затем — процесса аутентификации.
После успешного прохождения обоих процессов удалённый пользователь (удалённая сеть)
наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.
Классификация VPN
Межсетевой экран
Межсетевой экран — программный или программно-аппаратный элемент компьютерной сети,
осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в
соответствии с заданными правилами.
Среди задач, которые решают межсетевые экраны, основной является защита сегментов сети или
отдельных хостов от несанкционированного доступа с использованием уязвимых мест в
протоколах сетевой модели OSI или в программном обеспечении, установленном на компьютерах
сети. Межсетевые экраны пропускают или запрещают трафик, сравнивая его характеристики с
заданными шаблонами.
От каких видов атак защищает брандмауэр Межсетевой экран предназначен для защиты от
следующих типов киберугроз:
• Бэкдор-доступа. Это атаки с использованием уязвимостей в установленном на ПК
программном обеспечении: операционной системе, утилитах, прикладных приложениях.
Они позволяют хакеру получить доступ к устройству, посылать и принимать с него с
трафик. Брандмауэр блокирует подобные действия.
• Фишинг. Мошенническая схема, в ходе которой пользователь попадает на фальшивый
(фишинговый) сайт, один в один копирующий известный веб-ресурс. Например, повторяет
страницы входа в социальную сеть или оплаты через онлайн-банкинг. Человек вводит
личные данные, и они попадают в руки злоумышленника. Файервол запрещает
подключения к подозрительным сайтам.
• Взлом удаленного доступа. С помощью удаленного рабочего стола пользователь может
управлять компьютером через интернет, т. е. дистанционно. Хакеры могут перехватить этот
доступ и украсть важные данные. В задачи брандмауэра входит запрет на передачу такого
трафика.
• Переадресация маршрута. Пакеты данных передаются по сети определенными
маршрутами, а этот вид атак предполагает подмену пути следования информации таким
образом, чтобы конечное устройство ничего не «заподозрило».
• DdoS-атаки. Поскольку главная задача брандмауэра — это фильтрация, он помогает
справиться с наплывом огромных объемов трафика. Блокировка работает как на входящие,
так и на исходящие пакеты, если ваше устройство попробуют использовать в качестве
атакующего.
Порядок выполнения работы:
1. Запускаем Cisco Packet Tracer;
2. Создадим три компьютера, один коммутатор 2960 и маршрутизатор (рис. а). Пусть будет три
сегмента VLAN2, VLAN3 и VLAN4.
3. Настроим коммутатор в режиме глобального конфигурирования.
6. Создайте VLAN 5;
9. Настроим маршрутизатор: