Marthy Geschrieben 27. Oktober 2008 Teilen Geschrieben 27. Oktober 2008 Ich habe innerhalb meines CCNA2 eine Fragestellung bekommen, und bin mir nicht sicher wie ich anfangen soll. Deswegen frage ich euch. Es handelt sich um drei Fragen: Im Internetwork gibt es mehrere Sicherheitsprobleme. Entwickeln Sie Zugangssteuerungslisten (ACLs), um die Sicherheitsprobleme zu behandeln. Es bestehen folgende Bedenken. 1. Das Unternehmen verfügt über einen Intranet-Webserver-Host, auf den alle Systeme nur ber das HTTP-Protokoll unter der IP-Adresse 172.16.0.1 zugreifen können. Andere Protokolle sind für diese Site nicht zugelassen. 2. Zudem verfügt das Unternehmen über einen Server-Pool im Netz 209.0.0.0/24. Die Sever-Pool-Adressen sind in zwei Hälften unterteilt. Auf die Server in der oberen Hälfte des Adressbereichs kann nur on Verwaltungs-Hosts über alle IP-Protokolle erreichbar. Die Server in der unteren Hälfte des Adressbereichs können von allen LAN-Host über alle verfügbaren IP-Protokolle ereicht werden. Andere Host sollten keinen Zugang zu den Servern haben. 3. Das Unternnehmen hat unter 198.0.0.1 einen Internet-webserver gefunden, der Vieren befallen ist. Allen Hosts soll der Zugriff auf diese Seite verweigert werden. Ich bin gespannt, was ihr für Lösungsvorschläge habt und wie sie mit meinen Ideen zusammen passen. Danke für eure Antworten. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Freak One Geschrieben 28. Oktober 2008 Teilen Geschrieben 28. Oktober 2008 Was hältst du davon, wenn du uns erstmal deine Ideen dazu zeigst? Dann können wir dir eventuell Fehler aufzeigen und begründen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Marthy Geschrieben 28. Oktober 2008 Autor Teilen Geschrieben 28. Oktober 2008 Also meine Lösungsansätze wären. zu 1: auf den Routern an denen die LAN Host Netze dranhängen auf den Fast Ethernet Schnittstellen konfiguriert. accesslist 102 tcp permit 192.168.21.0 0.0.0.31 172.16.0.1 0.0.0.0 eq http accesslist 102 tcp deny any any zu 2: auf den selben Fast Ethernet Interfaces zu konfgurieren accesslist 110 ip permit 192.168.21.0 0.0.0.31 209.0.0.0 0.0.0.127 eq any accesslist 110 ip permit 192.168.21.0 0.0.0.255 209.0.0.128 0.0.0.127 eq any accesslist 110 ip deny any any Das Verwaltungsnetz hat die Netzadresse 192.168.21.0/27 zu 3 muss ich später Antworten, muss gleich den Arbeitsplatz hier verlassen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
BlackSoul Geschrieben 28. Oktober 2008 Teilen Geschrieben 28. Oktober 2008 ich würde beim ersten das so machen: #access-list 100 deny ip any host 172.16.0.1 #access-list 100 permit tcp xxx xx eq 80 # access-list 100 permit udp xx xx eq 80 #access-list 100 permit ip xxx xxx #access-list 100 deny ip any any die anderen weiss ich noch nicht, würde mich aber auch interesieren . du machst ccna oder? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Marthy Geschrieben 28. Oktober 2008 Autor Teilen Geschrieben 28. Oktober 2008 Ja ist ich mach CCNA und die Aufgabe ist Teil meines Abschlusses zum zweiten Semester. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Crash2001 Geschrieben 29. Oktober 2008 Teilen Geschrieben 29. Oktober 2008 (bearbeitet) ich würde beim ersten das so machen: #access-list 100 deny ip any host 172.16.0.1 [...]Damit würdest du jeglichen IP-Traffic zu diesem Host unterbinden, egal was danach kommt, denn die Liste wird immer von oben nach unten abgearbeitet. Was du danach mit deinen x'en willst, verstehe ich auch nicht so ganz... Wenn dann müsstest du das so machen: 1.) access-list 100 permit tcp any eq www host 172.16.0.1 access-list 100 permit udp any eq www host 172.16.0.1 (statt www kann auch Port 80 genommen werden) Evtl noch zusätzlich, falls auch https erlaubt werden soll, mit dem entsprechenden Port dafür. 2.) Müsste man die Verwaltungshosts kennen von denen aus zugegriffen werden darf access-list 100 permit ip host [verwaltungshostip_1] 209.0.0.128 0.0.0.127 [...] access-list 100 permit ip host [verwaltungshostipn] 209.0.0.128 0.0.0.127 access-list 100 permit ip [netz] [wildcard-mask] 209.0.0.0 0.0.0.127 oder falls zusammenhängender Block an IPs der Verwaltungshosts, der sich zusammenfassen lässt zu einem Subnetz: access-list 100 permit ip [netz] [wildcard-mask] 209.0.0.128 0.0.0.127 access-list 100 permit ip [netz] [wildcard-mask] 209.0.0.0 0.0.0.127 [netz] und [wildcard-mask] geben in der Kombination das Netz an, aus dem der Traffic stammen darf, der durchgelassen wird. 3.) access-list 100 deny ip [Netz].[wildcard-mask] host 198.0.0.1 oder, falls nur http-traffic verboten werden soll entsprechend access-list 100 deny udp [Netz] [wildcard-mask] eq www host 198.0.0.1 access-list 100 deny tdp [Netz] [wildcard-mask] eq www host 198.0.0.1 (statt www kann auch Port 80 genommen werden) Man sollte dabei aber immer schauen, dass die am ehesten zutreffende Möglichkeit ganz oben steht und die die am seltensten zutrifft direkt über dem deny any any steht. Bearbeitet 29. Oktober 2008 von Crash2001 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Marthy Geschrieben 29. Oktober 2008 Autor Teilen Geschrieben 29. Oktober 2008 Ich habe die Aufgabe gestern abgegeben, und bin mit 90% bewertet worden. Also von daher ist alles gut gegangen. Danke an diejenigen die sich bteiligt haben. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
BlackSoul Geschrieben 29. Oktober 2008 Teilen Geschrieben 29. Oktober 2008 glück wunsch, magst du die lösung mal angeben? danke an Crash2001. werde das gleich mal ausprobieren. mit xxx hab ich die ip adressen gemeint. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Marthy Geschrieben 29. Oktober 2008 Autor Teilen Geschrieben 29. Oktober 2008 Ich setz die Lösung hier rein wenn ich mit meinem Lehrer nochmal gesprochen habe. Ich habe dazu nämlich noch die ein oder andere Frage. Wenn dann alles geklärt ist post ich die Lösung gerne. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
BlackSoul Geschrieben 29. Oktober 2008 Teilen Geschrieben 29. Oktober 2008 hab noch mal probiert. ist das so richtig: access-list 101 permit ip host 172.16.0.1 any access-list 101 deny ip host 172.16.0.1 any access-list 101 permit ip 192.168.140.8 0.0.0.7 209.0.0.0 0.0.0.255 access-list 101 permit ip 192.168.140.8 0.0.0.3 209.0.0.0 0.0.0.128 access-list 101 deny ip 192.168.140.8 0.0.0.3 209.0.0.0 0.0.0.128 access-list 101 deny ip any host 209.0.0.0 access-list 101 deny ip any host 198.0.0.1 access-list 101 deny ip any any Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Marthy Geschrieben 29. Oktober 2008 Autor Teilen Geschrieben 29. Oktober 2008 So sah meine Lösung aus. access-list 101 permit tcp 192.168.22.0 0.0.0.31 host 172.16.0.1 eq www access-list 101 permit ip 192.168.22.0 0.0.0.31 209.0.0.0 0.0.0.127 access-list 101 permit ip 192.168.22.0 0.0.0.255 209.0.0.128 0.0.0.127 access-list 101 deny tcp any 198.0.0.1 0.0.0.0 eq www access-list 101 deny ip any any Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
BlackSoul Geschrieben 29. Oktober 2008 Teilen Geschrieben 29. Oktober 2008 So sah meine Lösung aus. access-list 101 deny tcp any 198.0.0.1 0.0.0.0 eq www access-list 101 deny ip any any ich dachte von 198.0.0.1 soll alles geblockt werden und nicht nur http Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Marthy Geschrieben 30. Oktober 2008 Autor Teilen Geschrieben 30. Oktober 2008 Nein, wenn du genau liest steht dort das alle Host zu diesem Internet Webserver geblockt werden soll. Und aus den Wörtert Webserver schließe ich , das ich denn Port 80 Sperren muss. Alternativ kannst du aber denke ich auch einfach alles zu der IP sperren. Der Efekt sollte der gleiche sein, der Virus kommt nicht durch . Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.