Felhasználói eszközök

Eszközök a webhelyen


speclab-inf:laborok:nk-lab03

Labor 19 inf. Mi MSC 4. szemeszter

19. sz. fakultativ laboratóriumi munka
Téma: Korlátozások és biztonsági beállítások az iskolai hálózatban MikroTik router segítségével
A munka célja: Megtanulni a MikroTik routerek biztonsági beállításait winbox program segítségével
Elméleti ismeretek:TCP/IP, IP-cím, alhálózati maszk, ICMP, DNS, DHCP, NAT, switch, bridge, router, automatikus magánhálózati IP-cím, secure DNS, tűzfal
Szükséges eszközök és programok: MikroTik router, UTP pach kábel, személyi számítógép telepített Windows vagy GNU/Linux operációs rendszerrel
A munka menete:

Név:
Dátum, idő:
Számítógép:
Indítsa el a szövegszerkesztő programot. Másolja a laboratóriumi munka teljes szövegét majd illessze be a dokumentumba.

Az előző laboratóriumi munkában beállított MikroTik RB2011UiAS-IN router konfigurációjában a következő módosításokat eszközöljük:
1. Csak az első hálózatból lehessen konfigurálni a routert
2. Dinamikus sávszélesség korlátozás működjön a hálózatok gépei között
3. A WiFi hálózat eszközei csak az Internetet érhetik el, a másik két hálózat eszközeit nem
4. Biztosítson webes sávszélesség-használati grafikonokat az első két hálózat gépeinek
5. Az Internetes tartalomszűréshez biztonságos DNS kiszolgálókat állítsunk be
6. A beállított biztonságos DNS ne legyen megkerülhető a tantermi és a WiFi hálózatból

1. Feladat

Keressen az Interneten a következő kifejezésekre norton connect safe. Nyissa meg a https://connectsafe.norton.com weboldalt és keresse meg a routerek beállítására vonatkozó részt: A B opció választásakor két DNS kiszolgáló IP címe jelenik meg. Ezek a biztonsági és pornográf jellegű weboldalak esetén a nem a valódi IP címet adják válaszul, hanem a cég weboldalára irányítanak, ahol egy figyelmeztető üzenetet látunk.
A C választással más veszélyes weboldalakat is tilthatunk, de használatuk előtt ellenőrizzük, hogy a szükséges oldalak elérhetők.

2. Feladat

Állítsa be a két DNS-t: IP / DNS
Az ellenőrzés előtt vegye figyelembe, hogy mind a router, mind a kliens operációs rendszer DNS cache-el rendelkezik, előfordulhat, hogy nem is fordul a safe DNS-ekhez a névfeloldáshoz. Ha szükséges indítsa újra a rendszerét és a routert is.


A DNS beállításánál a Static gombbal beállíthatunk IP cím és név párokat amiket a router önállóan felold. Mindhárom bridge IP címe feleljen meg a router.suli.lan névnek. A DHCP szerverek hálózatainál (Networks) is állítsa be a Domain-t suli.lan
Mindhárom hálózatban az átjárók IP címei legyenek a DNS kiszolgálónak is beállítva:
Figyelje meg ezek után a kliensen az IP beállítást:
(A fenti képen egy Windows 10 parancssorában ipconfig -all parancs. A gép neve hp10, a routertől kapott DNS utótag suli.lan, vagyis a gép teljes neve hp10.suli.lan)

3. Feladat

Nyissa meg az IP /Routes ablakot ás annak a Roules fülét. Hozza létre az alábbi három szabályt
Az első tiltja a tantermi hálózat és a WiFi hálózat kapcsolatát, a második a WiFI és az irodai gépek közöttit, a harmadik pedig, hogy a WiFi hálózatból elérjük a tantermi gépeket.

4. Feladat

Nevezze át az ether1 csatolót WAN-ra

5. Feladat

Nyissa meg a Tools / Graphing ablakot és adja a listához a WAN csatolót és a három bridge-t


Ezek után a http://192.168.21.1/graphs/ címen elérhetők a hálózat forgalmi grafikonok. Nagyobb állomány letöltésével ellenőrizze a sávszélesség értéket a grafikonon.

6. Feladat

Állítson be egyszerű sávszélesség korlátozást.
Queues / Queues List / New Simple Queue

Az Advenced fülön a Queue Type legyen az alábbi ábra szerint:


Hozzon létre még két szabályt a bridge2 és a bridge3 csatolókra is:
(Ebben és hasonló esetekben hasznos lehet a Másol (Copy) kapcsoló, amivel másolatot készíthetünk az adott beállításról, és csak a szükséges mezőt módosítjuk.)

Az alábbi példában az irodák 8 Mbit/sec, a tantermek 10 Mbit/sec a WiFi hálózat pedig 5 Mbit/sec letöltési sávszélességet kap. Természetesen ezek az értékek akkor használhatók ki egyszerre, ha az internet kapcsolatunk sávszélessége nagyobb, mint a megadott értékek összesen.

7. Feladat

Állítsa, be hogy csak webesen és a winbox programmal érjük el a routert. Nyissa meg az IP / Services ablakot és kapcsolja ki a x (Disable) kapcsolóval a nem szükséges szolgáltatásokat. A winbox és a www sorokat megnyitva írja oda a hálózati címeket ahonnan elérhetőek ezek a szolgáltatások. Legyen óvatos, hiszen ki is zárhatja magát a routerből rossz címet megadva.

8. Feladat

Hozzon létre egy új tűfal szabályt (IP / Firewall) ami megtiltja a csomagok továbbítását a tantermi hálózatból az Internet felé, amelyek UDP protokollon az 53 célporttal rendelkeznek. Az Action fülön válasszuk a Drop szabályt:


A létrehozott szabályt mozgassa egérrel a 4. pozícióba:
Nyissa meg a létrehozott szabályt és másoljással (Copy) hozzon létre ugyanilyen szabályt a bridge3 interfacere, valamint a tcp protokollra is:
Ezzel megtiltotta, hogy DNS kiszolgálót elérjenek a tantermi és a WiFi hálózatból. Ha valamelyik tantermi gépen az IP beállítások módosításával külső DNS-t állít be, akkor nem fog működni a névfeloldás.
(A NAT fülön megfigyelhetjük azt a szabályt ami címfordítást valósít meg.)

9. Feladat

Csatlakoztassa a kliens gépet vagy egy laptopot a bridge2 vagy bridge3 portjai valamelyikébe és ellenőrizze a a beállított tiltást.

Az első és a második parancs kiadásánál még nem volt aktív a szabály. Az elsőnél látjuk, hogy az átjáró alapértelmezett DNS szerver és megfelelően működik. A második parancs külső DNS lekérést valósít meg és a tűzfalszabály bekapcsolása előtt az is elérhető. A harmadik, megismételt parancs viszont már időtúllépést mutat mert a tűzfal itt már tiltja a kérést. Figyelje meg hogy a tűzfal ablakban a szabály érvényre jutásakor látjuk a tiltott byte-ok és csomagok számát.

10. Feladat

Mentse a dokumentumot Lab19-MONOGRAM.odt néven.

11. Feladat

Küldjön emailt a pferi@kmf.uz.ua címre. A levél tárgya legyen Saját Név LAB12 19 tartalma pedig a következő:

<Saját Név> jelen nyilatkozatom elküldésével kijelentem, hogy ezt a feladat önálló munkám,
annak elkészítése során az önálló munka kitétel tekintetében a feladatot kiadó és az azt ellenőrző
oktatót nem tévesztettem meg.
Jelen nyilatkozat elküldésével tudomásul veszem, hogy amennyiben a feladatot nem magam készítettem,
a tárgy oktatója befogadását és a félév aláírását megtagadja.

A levélhez csatolja a dokumentumot.

Ajánlott Internetes hivatkozások:
https://www.youtube.com/user/rodrick4u/videos
http://www.technotrade.com.ua/Articles/how_to_limit_throughput_mikrotik.php#speed_limit_equall

speclab-inf/laborok/nk-lab03.txt · Utolsó módosítás: 2018/04/06 16:31 szerkesztette: pferi