Ich habe innerhalb meines CCNA2 eine Fragestellung bekommen, und bin mir nicht sicher wie ich anfangen soll. Deswegen frage ich euch.

Es handelt sich um drei Fragen:

Im Internetwork gibt es mehrere Sicherheitsprobleme. Entwickeln Sie Zugangssteuerungslisten (ACLs), um die Sicherheitsprobleme zu behandeln. Es bestehen folgende Bedenken.

1. Das Unternehmen verfügt über einen Intranet-Webserver-Host, auf den alle Systeme nur ber das HTTP-Protokoll unter der IP-Adresse 172.16.0.1 zugreifen können. Andere Protokolle sind für diese Site nicht zugelassen.

2. Zudem verfügt das Unternehmen über einen Server-Pool im Netz 209.0.0.0/24. Die Sever-Pool-Adressen sind in zwei Hälften unterteilt. Auf die Server in der oberen Hälfte des Adressbereichs kann nur on Verwaltungs-Hosts über alle IP-Protokolle erreichbar. Die Server in der unteren Hälfte des Adressbereichs können von allen LAN-Host über alle verfügbaren IP-Protokolle ereicht werden. Andere Host sollten keinen Zugang zu den Servern haben.

3. Das Unternnehmen hat unter 198.0.0.1 einen Internet-webserver gefunden, der Vieren befallen ist. Allen Hosts soll der Zugriff auf diese Seite verweigert werden.

Ich bin gespannt, was ihr für Lösungsvorschläge habt und wie sie mit meinen Ideen zusammen passen. Danke für eure Antworten.

Was hältst du davon, wenn du uns erstmal deine Ideen dazu zeigst?

Dann können wir dir eventuell Fehler aufzeigen und begründen.

Also meine Lösungsansätze wären.

zu 1:

auf den Routern an denen die LAN Host Netze dranhängen auf den Fast Ethernet Schnittstellen konfiguriert.

accesslist 102 tcp permit 192.168.21.0 0.0.0.31 172.16.0.1 0.0.0.0 eq http

accesslist 102 tcp deny any any

zu 2:

auf den selben Fast Ethernet Interfaces zu konfgurieren

accesslist 110 ip permit 192.168.21.0 0.0.0.31 209.0.0.0 0.0.0.127 eq any

accesslist 110 ip permit 192.168.21.0 0.0.0.255 209.0.0.128 0.0.0.127 eq any

accesslist 110 ip deny any any

Das Verwaltungsnetz hat die Netzadresse 192.168.21.0/27

zu 3 muss ich später Antworten, muss gleich den Arbeitsplatz hier verlassen.

ich würde beim ersten das so machen:

#access-list 100 deny ip any host 172.16.0.1

#access-list 100 permit tcp xxx

xx eq 80

# access-list 100 permit udp xx

xx eq 80

#access-list 100 permit ip xxx xxx

#access-list 100 deny ip any any

die anderen weiss ich noch nicht, würde mich aber auch interesieren .

du machst ccna oder?

Ja ist ich mach CCNA und die Aufgabe ist Teil meines Abschlusses zum zweiten Semester.

ich würde beim ersten das so machen:

#access-list 100 deny ip any host 172.16.0.1

[...]

Damit würdest du jeglichen IP-Traffic zu diesem Host unterbinden, egal was danach kommt, denn die Liste wird immer von oben nach unten abgearbeitet.

Was du danach mit deinen x'en willst, verstehe ich auch nicht so ganz...

Wenn dann müsstest du das so machen:

1.)

access-list 100 permit tcp any eq www host 172.16.0.1

access-list 100 permit udp any eq www host 172.16.0.1

(statt www kann auch Port 80 genommen werden)

Evtl noch zusätzlich, falls auch https erlaubt werden soll, mit dem entsprechenden Port dafür.

2.) Müsste man die Verwaltungshosts kennen von denen aus zugegriffen werden darf

access-list 100 permit ip host [verwaltungshostip_1] 209.0.0.128 0.0.0.127

[...]

access-list 100 permit ip host [verwaltungshostipn] 209.0.0.128 0.0.0.127

access-list 100 permit ip [netz] [wildcard-mask] 209.0.0.0 0.0.0.127

oder falls zusammenhängender Block an IPs der Verwaltungshosts, der sich zusammenfassen lässt zu einem Subnetz:

access-list 100 permit ip [netz] [wildcard-mask] 209.0.0.128 0.0.0.127

access-list 100 permit ip [netz] [wildcard-mask] 209.0.0.0 0.0.0.127

[netz] und [wildcard-mask] geben in der Kombination das Netz an, aus dem der Traffic stammen darf, der durchgelassen wird.

3.)

access-list 100 deny ip [Netz].[wildcard-mask] host 198.0.0.1

oder, falls nur http-traffic verboten werden soll entsprechend

access-list 100 deny udp [Netz] [wildcard-mask] eq www host 198.0.0.1

access-list 100 deny tdp [Netz] [wildcard-mask] eq www host 198.0.0.1

(statt www kann auch Port 80 genommen werden)

Man sollte dabei aber immer schauen, dass die am ehesten zutreffende Möglichkeit ganz oben steht und die die am seltensten zutrifft direkt über dem deny any any steht.

Bearbeitet 29. Oktober 200816 j von Crash2001

Ich habe die Aufgabe gestern abgegeben, und bin mit 90% bewertet worden. Also von daher ist alles gut gegangen.

Danke an diejenigen die sich bteiligt haben.

glück wunsch,

magst du die lösung mal angeben?

danke an Crash2001. werde das gleich mal ausprobieren.

mit xxx hab ich die ip adressen gemeint.

Ich setz die Lösung hier rein wenn ich mit meinem Lehrer nochmal gesprochen habe. Ich habe dazu nämlich noch die ein oder andere Frage. Wenn dann alles geklärt ist post ich die Lösung gerne.

hab noch mal probiert. ist das so richtig:

access-list 101 permit ip host 172.16.0.1 any

access-list 101 deny ip host 172.16.0.1 any

access-list 101 permit ip 192.168.140.8 0.0.0.7 209.0.0.0 0.0.0.255

access-list 101 permit ip 192.168.140.8 0.0.0.3 209.0.0.0 0.0.0.128

access-list 101 deny ip 192.168.140.8 0.0.0.3 209.0.0.0 0.0.0.128

access-list 101 deny ip any host 209.0.0.0

access-list 101 deny ip any host 198.0.0.1

access-list 101 deny ip any any

So sah meine Lösung aus.

access-list 101 permit tcp 192.168.22.0 0.0.0.31 host 172.16.0.1 eq www

access-list 101 permit ip 192.168.22.0 0.0.0.31 209.0.0.0 0.0.0.127

access-list 101 permit ip 192.168.22.0 0.0.0.255 209.0.0.128 0.0.0.127

access-list 101 deny tcp any 198.0.0.1 0.0.0.0 eq www

access-list 101 deny ip any any

So sah meine Lösung aus.

access-list 101 deny tcp any 198.0.0.1 0.0.0.0 eq www

access-list 101 deny ip any any

ich dachte von 198.0.0.1 soll alles geblockt werden und nicht nur http

Nein, wenn du genau liest steht dort das alle Host zu diesem Internet Webserver geblockt werden soll.

Und aus den Wörtert Webserver schließe ich , das ich denn Port 80 Sperren muss.

Alternativ kannst du aber denke ich auch einfach alles zu der IP sperren. Der Efekt sollte der gleiche sein, der Virus kommt nicht durch .