A kiválasztott változat és az aktuális verzió közötti különbségek a következők.
Előző változat mindkét oldalon Előző változat Következő változat | Előző változat | ||
speclab-inf:laborok:nk-lab03 [2018/04/06 14:31] pferi [9. Feladat] |
speclab-inf:laborok:nk-lab03 [2020/12/27 19:06] (aktuális) pferi [1. Feladat] |
||
---|---|---|---|
Sor 1: | Sor 1: | ||
+ | ==== Labor 3f inf. Mi MSC 4. szemeszter ==== | ||
+ | == 3. sz. fakultatív laboratóriumi munka == | ||
+ | |||
+ | ^ Téma: ^ Korlátozások és biztonsági beállítások az iskolai hálózatban MikroTik router segítségével ^ | ||
+ | |A munka célja:| Megtanulni a MikroTik routerek biztonsági beállításait winbox program segítségével | | ||
+ | |Elméleti ismeretek: | ||
+ | |Szükséges eszközök és programok:| MikroTik router, UTP pach kábel, személyi számítógép telepített Windows vagy GNU/Linux operációs rendszerrel| | ||
+ | == A munka menete: == | ||
+ | Név:\\ | ||
+ | Dátum, idő:\\ | ||
+ | Számítógép: | ||
+ | Indítsa el a szövegszerkesztő programot. Másolja a laboratóriumi munka teljes szövegét majd illessze be a dokumentumba.\\ | ||
+ | ^ Az előző laboratóriumi munkában beállított MikroTik RB2011UiAS-IN router konfigurációjában a következő módosításokat eszközöljük: | ||
+ | |1. Csak az első hálózatból lehessen konfigurálni a routert| | ||
+ | |2. Dinamikus sávszélesség korlátozás működjön a hálózatok gépei között| | ||
+ | |3. A WiFi hálózat eszközei csak az Internetet érhetik el, a másik két hálózat eszközeit nem| | ||
+ | |4. Biztosítson webes sávszélesség-használati grafikonokat az első két hálózat gépeinek| | ||
+ | |5. Az Internetes tartalomszűréshez biztonságos DNS kiszolgálókat állítsunk be| | ||
+ | |6. A beállított biztonságos DNS ne legyen megkerülhető a tantermi és a WiFi hálózatból| | ||
+ | |||
+ | ==== 1. Feladat ==== | ||
+ | Sajnos a Norton ConnectSafe szolgáltatása 2018.-ban megszűnt. Helyette az alábbi IP címek valamelyikét használhatjuk: | ||
+ | * OpenDNS_FamilyShield - 208.67.222.123 | ||
+ | * Neustar_FamilySecure - 156.154.70.3 | ||
+ | * CleanBrowsing_FamilySafe - 185.228.168.168 | ||
+ | * Yandex_Family - 77.88.8.7 | ||
+ | * AdGuard_Family - 176.103.130.132 | ||
+ | 2020 decemberében ezek közül a Yandex Family volt a leghatékonyabb.\\ | ||
+ | \\ | ||
+ | (Keressen az Interneten a következő kifejezésekre **norton connect safe**. Nyissa meg a https:// | ||
+ | {{ : | ||
+ | A **B** opció választásakor két DNS kiszolgáló IP címe jelenik meg. Ezek a biztonsági és pornográf jellegű weboldalak esetén a nem a valódi IP címet adják válaszul, hanem a cég weboldalára irányítanak, | ||
+ | A **C** választással más veszélyes weboldalakat is tilthatunk, de használatuk előtt ellenőrizzük, | ||
+ | |||
+ | ==== 2. Feladat ==== | ||
+ | Állítsa be a két DNS-t: IP / DNS | ||
+ | {{ : | ||
+ | \\ | ||
+ | Az ellenőrzés előtt vegye figyelembe, hogy mind a router, mind a kliens operációs rendszer DNS cache-el rendelkezik, | ||
+ | \\ | ||
+ | {{ : | ||
+ | \\ | ||
+ | A DNS beállításánál a Static gombbal beállíthatunk IP cím és név párokat amiket a router önállóan felold. Mindhárom bridge IP címe feleljen meg a **router.suli.lan** névnek. A DHCP szerverek hálózatainál (Networks) is állítsa be a Domain-t **suli.lan**\\ | ||
+ | Mindhárom hálózatban az átjárók IP címei legyenek a DNS kiszolgálónak is beállítva: | ||
+ | {{ : | ||
+ | \\ | ||
+ | Figyelje meg ezek után a kliensen az IP beállítást: | ||
+ | \\ | ||
+ | {{ : | ||
+ | (A fenti képen egy Windows 10 parancssorában **ipconfig -all** parancs. A gép neve hp10, a routertől kapott DNS utótag suli.lan, vagyis a gép teljes neve **hp10.suli.lan**) | ||
+ | ==== 3. Feladat ==== | ||
+ | Nyissa meg az IP /Routes ablakot ás annak a Roules fülét. Hozza létre az alábbi három szabályt | ||
+ | {{ : | ||
+ | \\ | ||
+ | Az első tiltja a tantermi hálózat és a WiFi hálózat kapcsolatát, | ||
+ | ==== 4. Feladat ==== | ||
+ | Nevezze át az ether1 csatolót WAN-ra | ||
+ | {{ : | ||
+ | ==== 5. Feladat ==== | ||
+ | Nyissa meg a Tools / Graphing ablakot és adja a listához a WAN csatolót és a három bridge-t\\ | ||
+ | \\ | ||
+ | {{ : | ||
+ | Ezek után a http:// | ||
+ | |||
+ | ==== 6. Feladat ==== | ||
+ | Fontos! A sávszélesség korlátozás előtt kapcsolja ki az " | ||
+ | Állítson be egyszerű sávszélesség korlátozást.\\ | ||
+ | Queues / Queues List / New Simple Queue | ||
+ | \\ | ||
+ | {{ : | ||
+ | \\ | ||
+ | Az **Advenced** fülön a **Queue Type** legyen az alábbi ábra szerint:\\ | ||
+ | \\ | ||
+ | {{ : | ||
+ | Hozzon létre még két szabályt a **bridge2** és a **bridge3** csatolókra is:\\ | ||
+ | (Ebben és hasonló esetekben hasznos lehet a Másol (Copy) kapcsoló, amivel másolatot készíthetünk az adott beállításról, | ||
+ | \\ | ||
+ | {{ : | ||
+ | Az alábbi példában az irodák 8 Mbit/sec, a tantermek 10 Mbit/sec a WiFi hálózat pedig 5 Mbit/sec letöltési sávszélességet kap. Természetesen ezek az értékek akkor használhatók ki egyszerre, ha az internet kapcsolatunk sávszélessége nagyobb, mint a megadott értékek összesen. | ||
+ | ==== 7. Feladat ==== | ||
+ | Állítsa, be hogy csak webesen és a winbox programmal érjük el a routert. Nyissa meg az IP / Services ablakot és kapcsolja ki a **x** (Disable) kapcsolóval a nem szükséges szolgáltatásokat. A winbox és a www sorokat megnyitva írja oda a hálózati címeket ahonnan elérhetőek ezek a szolgáltatások. Legyen óvatos, hiszen ki is zárhatja magát a routerből rossz címet megadva. | ||
+ | \\ | ||
+ | {{ : | ||
+ | ==== 8. Feladat ==== | ||
+ | Hozzon létre egy új tűfal szabályt (IP / Firewall) ami megtiltja a csomagok továbbítását a tantermi hálózatból az Internet felé, amelyek UDP protokollon az 53 célporttal rendelkeznek. | ||
+ | {{ : | ||
+ | Az Action fülön válasszuk a Drop szabályt: | ||
+ | \\ | ||
+ | {{ : | ||
+ | \\ | ||
+ | A létrehozott szabályt mozgassa egérrel a 4. pozícióba: | ||
+ | {{ : | ||
+ | \\ | ||
+ | Nyissa meg a létrehozott szabályt és másoljással (Copy) hozzon létre ugyanilyen szabályt a bridge3 interfacere, | ||
+ | {{ : | ||
+ | \\ | ||
+ | Ezzel megtiltotta, | ||
+ | (A NAT fülön megfigyelhetjük azt a szabályt ami címfordítást valósít meg.) | ||
+ | |||
+ | ==== 9. Feladat === | ||
+ | Csatlakoztassa a kliens gépet vagy egy laptopot a bridge2 vagy bridge3 portjai valamelyikébe és ellenőrizze a a beállított tiltást. | ||
+ | {{ : | ||
+ | |||
+ | Az első és a második parancs kiadásánál még nem volt aktív a szabály. Az elsőnél látjuk, hogy az átjáró alapértelmezett DNS szerver és megfelelően működik. A második parancs külső DNS lekérést valósít meg és a tűzfalszabály bekapcsolása előtt az is elérhető. A harmadik, megismételt parancs viszont már időtúllépést mutat mert a tűzfal itt már tiltja a kérést. Figyelje meg hogy a tűzfal ablakban a szabály érvényre jutásakor látjuk a tiltott byte-ok és csomagok számát. | ||
+ | ==== 10. Feladat === | ||
+ | Mentse a dokumentumot Lab19-MONOGRAM.odt néven. | ||
+ | ==== 11. Feladat ==== | ||
+ | Küldjön emailt a pferi@kmf.uz.ua címre. A levél tárgya legyen **Saját Név LAB12 19** tartalma pedig a következő: | ||
+ | <Saját Név> jelen nyilatkozatom elküldésével kijelentem, hogy ezt a feladat önálló munkám, | ||
+ | annak elkészítése során az önálló munka kitétel tekintetében a feladatot kiadó és az azt ellenőrző | ||
+ | oktatót nem tévesztettem meg. | ||
+ | Jelen nyilatkozat elküldésével tudomásul veszem, hogy amennyiben a feladatot nem magam készítettem, | ||
+ | a tárgy oktatója befogadását és a félév aláírását megtagadja. | ||
+ | A levélhez csatolja a dokumentumot.\\ | ||
+ | \\ | ||
+ | Ajánlott Internetes hivatkozások: | ||
+ | https:// | ||
+ | http:// | ||