TOD120 Nettverk og windows og sikkerhet og datamaskiner og servere og sånn. Øving 12. Joachim Tingvold

Like dokumenter
TOE005 Grunnleggende kommunikasjonsteknologi II

Faglig ansvarlig: Erik Høydal Eksamenstid, fra-til: Eksamensoppgaven består av Tillatte hjelpemidler: Antall sider: 10 (Inkludert denne)

6105 Windows Server og datanett

6107 Operativsystemer og nettverk

6105 Operativsystem og nettverk

6105 Windows Server og datanett

LAN switching / IP Routing

6105 Operativsystem og nettverk

Oppsett av brannmur / router 1.0. Innholdsfortegnelse

Kapittel 5 Nettverkslaget

Løsningsforslag Gruppeoppgaver mars 2003

6107 Operativsystemer og nettverk

Brannmurer. fire wall (noun): A fireproof wall used as a barrier to prevent spread of fire.

Hva består Internett av?

1990 første prognoser og varsler om at det ikke vil være nok IPv4 adresser til alle som ønsker det 1994 første dokumenter som beskriver NAT en

6105 Windows Server og datanett

Nettverkslaget. Fragmentering/framsending Internetworking IP

Feiltoleranse for campus med Nettsamling 3-4 november 2010 Håvard Eidnes UNINETT

Litt mer detaljer om: Detaljerte funksjoner i datanett. Fysisk Lag. Multipleksing

6105 Windows Server og datanett

IP Internet. Tjenestemodell. Sammensetning av nettverk. Protokollstack

Noen internet protokoller

Avdeling for ingeniørutdanning

Detaljerte funksjoner i datanett

EKSAMEN. Emne: Datakommunikasjon. Dato: 30. Nov 2016 Eksamenstid: kl. 9:00 til kl. 13:00

Høgskolen i Molde Institutt for Informatikk Prøveeksamen 2 in115: Nettverksdrift Svarskisse:

Programmering, oppsett og installasjonsløsninger av LIP-8000 serien IP apparater

DDS-CAD 7 INSTALLASJON AV NETTVERKSLÅS. DATA DESIGN SYSTEM ASA Øksnevad Næringspark, 4353 Klepp st., fax , tel.: , e-post: dds@dds.

Datakommunikasjon - Oblig 2

6107 Operativsystemer og nettverk

EKSAMEN. Emne: Datakommunikasjon

Lagene spiller sammen

Opprinnelig IP-pakke inneholder 4480 Byte data. Dette er inklusiv IPheader. Max nyttelast på EthernetRammen er 1500 oktetter.

Antall sider:5 (Inkludert denne) Alle skrevne og trykte hjelpemidler samt kalkulator

32 bits. type of service. head. len 16-bit identifier time to live

BiPAC 7100SV VoIP ADSL-modem/ruter

6105 Windows Server og datanett

6105 Windows Server og datanett

6105 Windows Server og datanett

HUB = multiport repeater

Forelesning 1. Introduksjon til (eller repetisjon av) TCP/IP Datasikkerhet

Til IT-ansvarlige på skolen

Høgskolen i Telemark EKSAMEN Operativsystem og nettverk inkludert denne forsiden og vedlegg. Merknader:

6105 Operativsystem og nettverk

BIPAC-711C2 / 710C2. ADSL Modem / Router. Hurtigstartguide

6105 Operativsystem og nettverk

Innføring i Linux. Operativsystemer

Egenevalueringsskjema

6105 Windows Server og datanett

BIPAC Bredbåndsruter med brannmur. Hurtigstartguide

1 INTRODUKSJON SAMMENKOBLING AV ET INTERNETTVERK... 2

6105 Windows Server og datanett

Dette er en demonstrasjonsside som vi skal bruke for å se litt nærmere på HTTP protokollen. Eksemplet vil også illustrere et par ting i PHP.

Emnenavn: Datakommunikasjon. Eksamenstid: Kl: 9:00 til kl: 13:00. Faglærere: Erling Strand

TDT4110 IT Grunnkurs: Kommunikasjon og Nettverk. Læringsmål og pensum. Hva er et nettverk? Mål. Pensum

Norsk Internett Brukermanual. Sist oppdatert Side 1/37

Hurtigstart guide. Searchdaimon ES (Enterprise Server)

Installasjon av nettverkslås DDS-CAD 6.4.

6107 Operativsystemer og nettverk

Brannmurer. fire wall (noun): A fireproof wall used as a barrier to prevent spread of fire.

INF329,HØST

AC1750 Smart WiFi-ruter

Løsningsforslag til eksamen 24. november 2015

AirLink 1000AC avansert oppsett

NorskInternett Brukermanual. Sist oppdatert Side 1/30

DDS-CAD 7 INSTALLASJON AV NETTVERKSLÅS. DATA DESIGN SYSTEM ASA Øksnevad Næringspark, 4353 Klepp st., fax , tel.: , e-post: dds@dds.

En liten oppskrift på hvordan jeg installert og fikk Xastir til å virke sånn at jeg ble synlig i APRS verden.

Litt mer detaljer om: Detaljerte funksjoner i datanett. Fysisk Lag. Multipleksing

Med skriverens innebygde Ethernet-funksjon kan du koble den direkte til et Ethernet-nettverk uten at du trenger en ekstern utskriftsserver.

Kom i gang med TI-Nspire Navigator NC Teacher Software - IT-administratorer

Obligatorisk oppgave nr 2 i datakommunikasjon. Høsten Innleveringsfrist: 04. november 2002 Gjennomgås: 7. november 2002

Grunnleggende om datanett. Av Nils Halse Driftsleder Halsabygda Vassverk AL IT konsulent Halsa kommune

Emnenavn: Datakommunikasjon. Eksamenstid: 9:00 til 13:00. Faglærere: Erling Strand

Mal for konfigurasjon av svitsjer og rutere EDU 20x

Høgskolen i Telemark EKSAMEN Operativsystem og nettverk inkludert denne forsiden og vedlegg. Merknader:

Sikkerhets skannere. Sikkerhets/sårbarhets skannere

6105 Windows Server og datanett

ENKEL BRUKERMANUAL. SP Telekom Mars 2017/revidert BBach; Side 1

Praktisk informasjon. Forelesning 1. Forelesningsform. Lærebok. Lærebok forts. Eksamen. Forelesninger. ØvingerØvinger

INTEGRASJONSGUIDE BP CODE Check Point R75.x R76

Linklaget. Olav Lysne. (med bidrag fra Stein Gjessing og Frank Eliassen) Oppsummering 1

Avansert oppsett. I denne manualen finner du informasjon og veiledning for avansert oppsett av din Jensen AirLink ruter.

Trådløskurs del 2, dag 2. Sesjon 6. Fredag kl. 09:00-10:30

BIPAC 5100S ADSL Modem/Router

SM-720 / Service tool / SM-850

Antall sider:s (inkludert denne) Alle skrevne og trykte hjelpemidler samt kalkulator

Detaljerte Funksjoner i Datanett

Direct Access. Hva er det, og hvor langt har NVH kommet i innføringen? av Gjermund Holden IT-sjef, NVH

Løsningsforslag til EKSAMEN

6105 Windows Server og datanett Jon Kvisli, HSN Skriveradministrasjon - 1. Utskrift i nettverk

Visma Avendo ekonomi/økonomi server installation

Beskrivelse av TCP/IP Introduksjon Vi har allerede skrevet litt om TCP/IP i kapitel 1, men her ønsker vi å utdype emnet.

Høgskolen i Telemark EKSAMEN Operativsystem og nettverk inkludert denne forsiden og vedlegg. Merknader:

Sentrale deler av pensum i INF

Sikker internett-tilgang og brannmurer

Løsningsforslag EKSAMEN

Tjenestebeskrivelse. Bilag HDO Drift og vedlikehold av Synergy

EKSAMENSFORSIDE Skriftlig eksamen med tilsyn

Transkript:

TOD120 Nettverk og windows og sikkerhet og datamaskiner og servere og sånn Øving 12 Deltakere Joachim Tingvold

Rutingtabell m/ statisk ruting hege#sh ip ro U - per-user static route 10.0.0.0/23 is subnetted, 1 subnets S 10.0.0.0 [1/0] via 192.168.2.1 192.168.2.0/24 is directly connected, Serial0 192.168.3.0/24 is directly connected, Ethernet0 anne#sh ip ro N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 U - per-user static route, o - ODR 10.0.0.0/8 is directly connected, Ethernet0 192.168.2.0/24 is directly connected, Serial0 S 192.168.3.0/24 [1/0] via 192.168.2.2 Rutingtabell m/ RIP hege#sh ip ro U - per-user static route R 10.0.0.0/8 [120/1] via 192.168.2.1, 00:00:08, Serial0 192.168.2.0/24 is directly connected, Serial0 192.168.3.0/24 is directly connected, Ethernet0 anne#sh ip ro N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 U - per-user static route, o - ODR R 10.0.0.0/8 is directly connected, Ethernet0 192.168.2.0/24 is directly connected, Serial0 192.168.3.0/24 [120/1] via 192.168.2.2, 00:00:10, Serial0

Her ser vi en forskjell. Siden RIPv1 er classless, vil 10.0.0.0/25-nettet vises som 10.0.0.0/8 (siden dette nettet er class A). Bruker vi statisk ruting (eller en stateful rutingprotokoll), vil vi selvsagt kunne rute bare /25-nettet. Trafikkfiltrering Her er hovedregelen at når man bruker standard aksesslister, så skal ALen settes i utgående retning på det interfacet som er nærmest den plassen man ønsker å hindre tilgang til. Dette skyldes at standard aksesslister kun kan inneholde source host/network. I oppgaveteksten ønsker vi å hindre tilgang til 10.0.0.0/23 og 192.168.2.0/24 fra maskin B. Siden 10.0.0.0/23 ligger bak 192.168.2.0/24, klarer vi oss med én AL. Hadde vi nå hatt et ekstra nett (utenom 10.0.0.0/23, f.eks. 10.1.0.0/24), så hadde ikke dette vært mulig ved å bruke standard aksessliste, siden disse bare baserer seg på source host/network. Så, for å oppnå det vi ønsker, lager vi følgende standard AL på Hege. Hvorfor Hege? Som nevnt må vi altså sette ALen i utgående retning på det interfacet som er nærmest plassen man ønsker å hindre tilgang til. Siden vi vil hindre tilgang til 192.168.2.0/24, så må vi gjøre det på Hege. Hadde vi gjort det på Anne, så hadde maskin B fått tilgang til 192.168.2.0/24. hege(config)#access-list 1 deny host 192.168.3.100 hege(config)#end hege#sh access-lists Standard IP access list 1 deny 192.168.3.100 Videre kan vi nå aktivere denne ALen i utgående retning på interfacet som er nærmest 192.168.2.0/24-nettet. Her er det viktig å passe på. Man ville kanskje tro at det «nærmeste» interfacet er Serial0, men det er feil. Hadde vi aktivert denne ALen på Serial0, ville vi fortsatt kunne nådd Serial0s IP-adresse (192.168.2.2). Vi må altså aktivere ALen i utgående retning på Eth0. Men vent? Har vi husket på alt? Nei. ALer har en implisitt «deny any» i slutten. Det vil da si at selv om vi har nektet tilgang fra maskin B, så vil alle andre også bli hindret tilgang. Dette må vi fikse. hege(config)#access-list 1 permit any hege(config)#end hege#sh access-lists Standard IP access list 1 deny 192.168.3.100 permit any Dette har med at iscos IOS prosesserer ALene top-down, systematisk. Hvis en pakke matcher et kriterie i en AL, utføres handlingen, og prosesseringen av ALen stopper. Dvs. at om en pakke fra en spesifik host blir nektet tilgang (deny 192.168.2.100), så forkastes pakken, selv om neste entry tillater all trafikk (permit any).

Vi er nå klar til å applye denne ALen på Eth0. hege(config)#int eth0 hege(config-if)#ip access-group 1 out Voilá. Vi er ferdig. Hvis vi nå ønsker å bruke utvidet aksessliste, så blir praksisen egentlig stikk motsatt fra den vi har ved bruk av standard aksessliste. Siden vi med utvidet aksessliste kan matche på port, protokoll, source og destination, ønsker vi å plassere slike ALer nærmest mulig de nettene/maskinene vi ønsker å hindre tilgang fra. Dette er for å forhindre at uønsket trafikk bruker båndbredde. Siden oppgaveteksten ber om å lage én AL på Anne, vil nevnte praksis ikke bli fulgt. Vi ønsker at 10.0.0.0/23 skal få koble til via TP mot 192.168.2.0/24 og 192.168.3.0/24, men ikke motsatt vei. Videre ønsker vi at alle maskiner, utenom 10.0.0.2, i 10.0.0.0/23-nettet skal kunne pinge 192.168.2.0/24 og 192.168.3.0/24. Alle maskiner i 192.168.2.0/24 og 192.168.3.0/24 skal få pinge alle maskiner i 10.0.0.0/23, utenom 10.0.0.2. Det skal heller ikke tillates UDP-trafikk. Siden vi her skal angi både source og destination, så kan det fort bli endel regler. For å korte ned på disse, kan man ofte slå sammen flere nett ved å bruke wildcard. I vårt tilfelle kan vi slå sammen 192.168.2.0/24 og 192.168.3.0/24 til 192.168.2.0/23. I wildcard-format skrives dette som 0.0.1.255. anne(config)#ip access ext LOLZ anne(config-ext-nacl)#permit tcp 10.0.0.0 0.0.1.255 192.168.2.0 0.0.1.255 anne(config-ext-nacl)#deny tcp 192.168.2.0 0.0.1.255 10.0.0.0 0.0.1.255 anne(config-ext-nacl)#deny icmp host 10.0.0.2 192.168.2.0 0.0.1.255 anne(config-ext-nacl)#deny icmp 192.168.2.0 0.0.1.255 host 10.0.0.2 anne(config-ext-nacl)#permit icmp 10.0.0.0 0.0.1.255 192.168.2.0 0.0.1.255 anne(config-ext-nacl)#permit icmp 192.168.2.0 0.0.1.255 10.0.0.0 0.0.1.255 anne(config-ext-nacl)#deny udp any any anne(config-ext-nacl)#end anne#sh access-lists Extended IP access list LOLZ permit tcp 10.0.0.0 0.0.1.255 192.168.2.0 0.0.1.255 deny tcp 192.168.2.0 0.0.1.255 10.0.0.0 0.0.1.255 deny icmp host 10.0.0.2 192.168.2.0 0.0.1.255 deny icmp 192.168.2.0 0.0.1.255 host 10.0.0.2 permit icmp 10.0.0.0 0.0.1.255 192.168.2.0 0.0.1.255 permit icmp 192.168.2.0 0.0.1.255 10.0.0.0 0.0.1.255 deny udp any any Vi er nå ferdig med selve ALen. Da gjenstår det bare å aktivere den på et interface. Siden vi har laget én AL, må den aktiveres i begge retninger. Dette gjøres ved å bruke både «in» og «out» (som to kommandoer).

anne(config)#int eth 0 anne(config-if)#ip access-group LOLZ out anne(config-if)#ip access-group LOLZ in Notis 1: Teksten sier ingenting om hva som skal være tillatt i forhold til aksessering av ruterne. Ved ovennevnte AL, så vil man måtte bruke 192.168.2.1 for å kunne få tilgang til Anne fra 10.0.0.0/23- nettet (dette skyldes at ingen av entryene i ALen matcher «fra 10.0.0.0/23 til host 10.0.0.3», og blir derfor implisitt denyet i slutten av ALen). Notis 2: I teksten står det at UDP skal sperres. Her har jeg skrevet «deny udp any any», men denne kunne vi strengt bare droppet, siden ALen har implisitt deny any i slutten. Dette er ikke tilfellet dersom tanken var at «alt annet som ikke er nevnt i oppgaven, skal være tillat» (altså «permit any any» i slutten). Dersom dette er tanken, må selvsagt «deny udp any any» være med i ALen (før «permit any any», selvsagt).

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding