Laboratoriya ishi tarmoq qurilmalarida dastlabki xavfsizlik
Download 1.82 Mb. Pdf ko'rish
|
1-amaliy
- Bu sahifa navigatsiya:
- 2 - LABORATORIYA ISHI KOMMUTATORDA PORT XAVFSIZLIGI (PORT SECURITY) NI SOZLASH Ishdan maqsad
- Nazariy qism
|
Nazorat savollari
1. Console porti qaysi holatda ishlatiladi? 2. Kommutator uchun nima sababdan VTY kanalini sozlash kerak? 3. Parolni shifrlanmagan koʻrinishda uzatilmasligi uchun nima qilish kerak? 4. Telnet va SSH protokollari nima maqsadda ishlatiladi? 5. Kompyuterlar qurilmalarga kirishi uchun nima sababdan tarmoq manzili bir xil boʻlishi kerak? 6. Line vty 0 15 buyrugʻi nimani bildiradi? 2 - LABORATORIYA ISHI KOMMUTATORDA PORT XAVFSIZLIGI (PORT SECURITY) NI SOZLASH Ishdan maqsad: Kommutatsiya jadvallari to`ldirilishiga yo`naltirilgan hujumlardan, tarmoqni himoya qilish imkonini beruvchi kommutatorning “port-security” funksiyasini sozlash bo`yicha amaliy ko`nikmalarini hosil qilish. Nazariy qism Port-security funksiyasi kommutatorning biror bir porti orqali tarmoqqa faqat ko`rsatilgan qurilmalar kirishini sozlashga imkon beradi. Ushbu portga kirishga ruxsat berilgan qurilmalar MAC- manzillar bo`yicha aniqlanadi. MAC-manzillar dinamik yoki tarmoq administratori tomonidan qo`lda sozlanishi mumkin. Bundan tashqari Port-security funksiyasi portga ulanuvchi tugunlar sonini cheklashga 22 imkoniyat yaratadi, bu esa portga MAC-manzillar sonini ko`rsatish orqali amalga oshiriladi. Yana bir funksiyasi MAC-manzillar jadvali to`ldirilishiga yo`naltirilgan hujumlardan kommutatorni himoyalash hisoblanadi (2.1-rasm). MAC:AA:AA:AA MAC:BA:AD:01 MAC:BA:AD:02 PORT Ruxsat berilgan MAC 0/1 0/2 AA:AA:AA BB:BB:BB CC:CC:CC 0/2 0/3 2.1-rasm. Kommutatorda Port Security funksiyasining ishlash tartibi MAC-manzillarga cheklov kiritishning ikkita usuli mavjud: 1. Statik – administrator qaysi manzillar kirishini ko`rsatadi ; 2. Dinamik – administrator nechta manzil kirishini ko`rsatadi va kommutator qaysi manzillar shu vaqtda ko`rsatilgan port orqali murojat qilayotganini eslab qoladi. Port security - Cisco katalizator komutatorlarida foydalanish kerak boʻlgan xususiyat. Ethernet freymlari komutatordan oʻtib, ushbu freymlarda koʻrsatilgan yuboruvchi manzilidan foydalanib MAC manzil jadvalini toʻldiradi. Ushbu jadvalning maksimal hajmi cheklangan, hujumchi uchun uni toʻldirish qiyin emas, tasodifiy qaytish manzillari bilan koʻplab freymlarni yaratadigan maxsus dasturlardan foydalanish kifoya. Bu narsa nega kerak boʻlishi mumkin? MAC-manzil jadvali toʻlib toshgan taqdirda, komutator xab vazifasini bajarishi mumkin - ya'ni barcha qabul qilingan paketlarni barcha portlarga yuborish. Hujumchining keyingi harakati - barcha kiruvchi paketlarni koʻrish uchun sniffer dasturlarini ishga tushirish va hujumchining porti bilan bir xil VLAN orqali oʻtadigan barcha paketlarni ushlaydi. Bunday vaziyatni oldini olish uchun port xavfsizligi funksiyasi barcha komutatorlarda ishlashiga e'tibor qaratish lozim. 23 Ushbu funksiyaning mohiyati quyidagicha: u yoki bu tarzda, har bir port uchun unda paydo boʻlishi mumkin boʻlgan MAC- manzillar roʻyxati (yoki raqami) cheklangan, agar portda juda koʻp manzillar koʻrinsa, u holda port oʻchadi. Manzillarni saqlash usullari. Port security MAC manzillarini eslab qolish va qoidabuzarliklarga javob berishning bir necha rejimlarida ishlashi mumkin: – Continuous - har qanday MAC-manzilga ega qurilma kommutator porti orqali cheklovlarsiz ishlashi mumkin; – Static - 0 dan 8 gacha MAC-manzillar statik ravishda kiritilishi mumkin, qolganlari dinamik ravishda oʻrganilishi mumkin; – Configured - 1 dan 8 gacha boʻlgan MAC-manzillar statik ravishda oʻrnatilishi mumkin, manzillarni dinamik ravishda oʻrganish mumkin emas; – Limited-continuous - 1 dan 32 gacha MAC-manzillarni dinamik ravishda oʻrganish mumkin; – Port-access - 802.1X bilan birgalikda tasdiqlangan 802.1X sessiyasining MAC manzilini vaqtincha oʻrganish uchun ishlatiladi. Xavfsizlikning buzilishiga javob berish usullari. Port xavfsizligi uchun quyidagi holatlar xavfsizlikni buzish hisoblanadi: manzil jadvaliga xavfsiz MAC-manzillarning maksimal soni qoʻshilgan va MAC-manzili manzil jadvalida qayd etilmagan xost interfeys orqali kirishga harakat qiladi. Xavfsizlik buzilishlariga javob berishning quyidagi usullari interfeysda sozlanishi mumkin: – none - xavfsiz MAC-manzillar soni portda koʻrsatilgan maksimal chegaraga yetganida, noma'lum manba MAC-manzilga ega paketlar yetarli miqdordagi xavfsiz MAC-manzillar maksimal sonidan kam boʻlmaguncha yoki maksimal son koʻpaytirilguniga qadar ruxsat beriladi. Xavfsizlikni buzish toʻgʻrisida ogohlantirish mavjud boʻlmaydi. – send-alarm - xavfsiz MAC-manzillar soni portda tuzilgan maksimal chegaraga yetganda, noma'lum manba MAC-manzilga ega paketlar, maksimal MAC-manzillar maksimal qiymatdan kam boʻlguncha yoki ruxsat etilgan maksimal sondan kam boʻlguncha tushiriladi. Ushbu rejimda xavfsizlik buzilganida SNMP trap va syslog xabari yuboriladi. 24 – send-disable - xavfsizlikni buzish interfeysni oʻchirilgan holatga keltirishga va darhol oʻchirishga olib keladi. SNMP trap va syslog xabari yuborildi. Agar port bloklangan holatda boʻlsa, uni port- security clear-intrusion-flag buyrugʻini kiritib, uni ushbu holatdan olib tashlash va keyin konfiguratsiya rejimida activ interfeysini kiritib interfeysni qoʻlda faollashtirish mumkin. Eavesdrop Prevention. Eavesdrop Prevention - bu komutatorga noma'lum boʻlgan MAC manzillariga, u yoqilgan portlarga uzatiladigan bir martalik paketlarni uzatishni taqiqlovchi funksiya. Bu ruxsatsiz foydalanuvchilarning eskirgan oʻtish jadvalidan olib tashlangan MAC manzillariga yuboriladigan trafikni tinglashiga yoʻl qoʻymaydi. Eavesdrop Prevention multicast va translyatsiya trafigiga ta'sir qilmaydi. Komutator ushbu trafikni port security ularda tuzilganligidan qat'iy nazar tegishli portlar orqali oʻtkazadi. Interfeysdagi port security sozlamalari ushbu interfeysda Eavesdrop Preventionni avtomatik ravishda yoqadi. Download 1.82 Mb. Do'stlaringiz bilan baham: 
|