Microsoft Word metodichka tarmoq Xavfsizligi

16-tajriba ishi 
Mavzu: Tarmoq marshruzatorida DMZ ni o’rnatish.
Ishdan maqsad. 
Tarmoq marshruzatorida DMZ ni o’rnatish ko`nikmalarini 
hosil qilish. 
Qisqacha nazariy ma'lumotlar 
DMZ - bu mahalliy tarmoq va Internet o'rtasida bufer vazifasini bajaradigan 
jismoniy yoki virtual server. U mahalliy tarmoq foydalanuvchilariga elektron 
pochta xizmatlari, masofaviy serverlar, veb-ilovalar va World Wide Web-ga 
kirishni talab qiladigan boshqa dasturlarni taqdim etish uchun ishlatiladi. Ichki 
manbalarga tashqi tomondan kirish uchun avtorizatsiya tartibidan o'tish kerak, 
ruxsatsiz foydalanuvchilar uchun tizimga kirish urinishi muvaffaqiyatli bo'lmaydi. 
Ko'pgina hollarda, bu marshrutizator sozlamalarida amalga oshiriladi. 
Bu nom inglizcha qisqartirishdan kelib chiqib, aloqa qilinayotgan hududlar 
o'rtasida to'siq bo'lib xizmat qiladi. Ushbu texnologiya Internetga ulangan har 
qanday kompyuterdan kirish kerak bo'lgan uy serverini yaratishda ishlatiladi. Ichki 
xavfsizligi yuqori bo'lgan yirik korporativ tarmoqlarda haqiqiy ajratilgan zonasi 
qo'llaniladi. Routerlarning uy modellari Internetga kirish uchun kompyuterni to'liq 
ochadi. 
Service Leg konfiguratsiyasi

DMZ tarmog'ining konfiguratsiyalaridan biri "service leg" deb nomlangan 
xavfsizlik devori konfiguratsiyasi. Ushbu konfiguratsiyada xavfsizlik devori 
kamida uchta tarmoq interfeysiga ega. Bir tarmoq interfeysi Internetga, ikkinchisi 
ichki tarmoqqa ulanadi va uchinchi tarmoq interfeysi DMZ tarmog'ini tashkil 
qiladi. Ushbu konfiguratsiya DMZ tarmog'ida joylashgan xizmatlarga 
yo'naltirilgan DoS hujumida xavfsizlik devori uchun xavfni oshirishi mumkin. 
Oddiy DMZ konfiguratsiyasida veb-server kabi DMZ tarmog'ida joylashgan 
manbaga qarshi DoS hujumi faqat ushbu maqsad resursga ta'sir qiladi. DMZ 
tarmog'i konfiguratsiyasining xizmat ko'rsatish qismida xavfsizlik devori DoS 
hujumining asosiy yukini oladi, chunki u trafik DMZ-da joylashgan manbaga etib 
borguncha barcha tarmoq trafigini tekshirishi kerak. Natijada, agar veb-serverida 
DoS hujumi amalga oshirilsa, bu tashkilotning barcha trafiklariga ta'sir qilishi 
mumkin. 
Ishni bajarish tartibi 
1.
Cisco packet tracer dasturi ishga tushiriladi. 
2.
Tajriba ishi uchun cisco 2960 kommutatori, 2911 marshruzatori, 
ASA0 5505 firewalli, server va kompyuterlar tanlanadi. 
3.
Quyida keltirilgan topologiya quriladi. 
4.
Qurilgan topologiya testlab ko`riladi. 

16.1-rasm. Tadqiq qilinayotgan tarmoq topologiyasi 
ASA0 ga quyidagi buyruqlar ketma ketligi kiritiladi. 
ciscoasa>en 
ciscoasa#conf t 
ciscoasa#no dhcpd enable inside 
ciscoasa#no dhcpd address 192.168.1.5-192.168.1.36 inside 
ciscoasa(config)#interface vlan 1 
ciscoasa(config-if)#ip address 192.168.100.1 255.255.255.0 
ciscoasa(config-if)#exit
ciscoasa(config)#dhcpd enable inside 
ciscoasa(config)#dhcpd address 192.168.100.22-192.168.100.50 inside
ciscoasa(config)#dhcpd dns 8.8.8.8 
ciscoasa(config)#interface vlan 2 
ciscoasa(config-if)#ip address 195.158.18.18 255.255.255.0 
ciscoasa(config-if)#exit
ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 195.158.18.1 
ciscoasa(config)#object network NAT 
ciscoasa(config-network-object)#subnet 192.168.100.0 255.255.255.0 
ciscoasa(config-network-object)#nat (inside,outside) dynamic outside
ciscoasa(config-network-object)#exit 
ciscoasa(config)#class-map qoida 
ciscoasa(config-if)#match default-inspection-traffic 
ciscoasa(config-if)#exit
ciscoasa(config)#policy-map toplam 

ciscoasa(config)#class qoida 
ciscoasa(config)#inspect http 
ciscoasa(config)#inspect icmp 
ciscoasa(config)#exit 
ciscoasa(config)#service-policy toplam global 
ciscoasa(config)#exit 
ciscoasa(config)#enable salom 
ciscoasa(config)#username admin password tatu123 
ciscoasa(config)#hostname ASA 
ASA(config)#domain-name tatu.uz 
ASA(config)#ssh 192.168.100.0 255.255.255.0 inside
ASA(config)#aaa authentication ssh console LOCAL
ASA(config)#aaa authentication telnet console LOCAL
ASA(config)#ssh 8.8.8.8 255.255.255.255 outside
ASA(config)#interface vlan 3 
ASA(config-if)#no forward interface vlan 1 
ASA(config-if)#nameif DMZ 
ASA(config-if)#ip address 192.168.70.1 255.255.255.0 
ASA(config-if)#exit 
ASA(config)#interface vlan 3 
ASA(config-if)#security-level 70 
ASA(config-if)#exit 
ASA(config)#object network DMZ 
ASA(config-network-object)#nat (DMZ,outside) static 195.158.18.88 
ASA(config-network-object)#exit 
ASA# 
ASA#conf t 
ASA(config)#access-list DMZ permit icmp any host 195.158.18.88 
ASA(config)#access-group DMZ in interface outside
ASA(config)#access-list DMZ permit tcp any host 195.158.10.88 eq www 
ASA(config)#end 
ROUTERga quyida buyruqlar ketma ketligi kiritiladi. 
continue with configuration dialog? [yes/no]: no 
Router>enable
Router#conf t 
Router(config)#interface gigabitEthernet 0/1 
Router(config-if)#no shutdown
Router(config-if)#ip address 195.158.18.1 255.255.255.0 
Router(config-if)#exit 
Router(config)#interface gigabitEthernet 0/0 
Router(config-if)#no shutdown
Router(config-if)#ip address 8.8.8.1 255.255.255.0 
Router(config-if)#do wr 

16.2-rasm. Qurilgan topologiyani testlash 
Topshiriq: 
Amaliy ish mavzusi bo'yicha hisobot tayyorlash. Hisobotning mazmuni: 
- ishning raqami va mavzusi; 
- Cisco PacketTracerda tadqiq qilinayotgan tarmoq topologiyasining tasviri; 
- tarmoqdagi IP-manzillarni taqsimlash, ulanish diagrammasi (interfeys 
raqamlari), shu jumladan modelning tavsifi; 
- foydalanuvchi nomlari va parollari; 
- tarmoq elementlarini sozlash ro'yxati; 
- tarmoq elementlariga kirishga urinishlar natijalari. 
Nazorat savollari 
1.
DMZ nima? 
2.
Korporativ tarmoqlarda nima uchun DMZ zonalar tashkil etiladi? 
3.
DMZ ning ishlash tamoyilini tushuntirib bering?