Лабораторная работа безопасность портов в коммутаторах
Download 1.3 Mb.
|
1 2
Bog'liq5-Laboratoriya ishiRUS
- Bu sahifa navigatsiya:
- Теоретическая часть
№5 ЛАБОРАТОРНАЯ РАБОТА Безопасность портов в коммутаторах (Port Security) Цель работы Построить сеть с помощью k-адаптера в программе CPT ; теоретические знания портовой безопасности; Обеспечение безопасности портов в программе CPT. Теоретическая часть Безопасность портов — одна из ключевых функций коммутаторов Cisco Catalyst. Когда кадры Ethernet проходят через коммутатор, он заполняет список MAC-адресов, используя адрес источника, указанный в этих пакетах. Максимальный размер этого списка ограничен, заполнить его не так сложно, как кажется хакеру, то есть достаточно использовать специальные программы, создающие множество пакетов со случайными обратными адресами. Почему это может быть необходимо? Когда список MAC-адресов заполнен, коммутатор начинает работать централизованно, то есть отправляет все полученные пакеты на все порты. Следующее действие хакера — запустить сниффер, программу, которая видит все входящие пакеты, и все пакеты, проходящие по VIN в одной VLAN с злоумышленником через наш bin-свитч, видны злоумышленнику. Для предотвращения подобных ситуаций необходимо обратить внимание на то, что портовая безопасность работает во всех портах. Суть этой функции заключается в следующем: Для того или иного есть ограниченный список или количество MAC-адресов, которые могут там фигурировать для каждого порта. Если в порту обнаружено слишком много адресов, порт будет отключен. Таким образом, не составит труда определить генерацию кадра обратного адреса и будет быстро обнаружен и отключен. Существует два способа наложения ограничений на MAC-адреса: 1. Статический — когда администратор указывает, какие адреса разрешены 2. Динамический — когда администратор определяет разрешенное количество адресов, а ключ узнает, к каким адресам осуществляется доступ через выделенный порт. В свою очередь, динамически устанавливаемые адреса сохраняются в памяти ключа, в этом случае «обучение» необходимо повторить после перезагрузки коммутатора, либо сохранить в настройках, а адреса сохраняются после перезагрузки. Второй режим называется «липким», потому что адреса как бы прилипают к порту. После этого администратор сможет удалить их вручную. И заодно один вопрос - что делать, если глючит защита и в порт входит больше адресов, чем мы выставили в безопасности порта? При этом за работу коммутатора отвечает один из трех перечисленных ниже режимов: • Protect — то есть игнорируются фреймы с MAC-адресами , все остальное продолжает работать. Этот режим хорош тем, что порт продолжает работать, а плох тем, что администратор никогда не узнает, что такие процессы происходят в его сети. • Ограничить - в том же раунде, что и в режиме защиты, но отличном от режима защиты , через SNMP администратор находит информацию о процессах, происходящих в его сети. Кроме того, SNMP записывает информацию об этом процессе в системный журнал (если он настроен). • Shutdown — как следует из названия , порт закрывается в дополнение к сообщениям через системный журнал и SNMP. Он не очень устойчив к сетевым ошибкам, но хакер не сможет получить информацию о нашей сети, пока мы не потеряем порт (после отключения порта). Концентратор — это сетевое устройство, имеющее один вход и несколько выходов. Скорость передачи сигнала составит 10/100/1000 Мбит/с. Если разделить сеть на семь шагов по модели OSI, то хаб попадет на первый шаг. Посмотрим, как работает хаб. Хаб 1 отправляет копию входящего сигнала на порт на все порты одновременно. В это время данные отправляются с другого активного устройства сети, подключенного к хабу. В этом случае на этом порту происходит потеря сигнала. Потому что Hub работает в полудуплексном режиме. Он не может передавать или получать данные с одного порта. Концентратор в основном используется в небольших сегментах сети. Однако хаб не в полной мере отвечает требованиям безопасности. Сигнал, который он копирует, может достигать всех сетевых адаптеров компьютеров в сети. Это приводит к несанкционированному владению информацией. Удаление копии сигнала замедляет работу концентратора. Загрузки увеличатся. В результате данные теряются. По мере увеличения количества компьютеров в сети FIC концентратора уменьшается. Коммутатор — это сетевой коммутатор, который соединяет несколько сегментов. Переключатель соответствует шагу 2 модели OSI. Коммутатор на языке сетевого администратора — это коммутатор, также называемый мостом. Скорость передачи сигнала составит 10/100/1000 Мбит/с. Однако доступны отдельные порты 2/10 Гбит/с для соединения коммутаторов друг с другом и работы в полнодуплексном режиме. Он не отправляет копию данных на все порты. Вместо этого пакет отправляет сигнал на адрес получателя. Коммутатор некоторое время хранит MAS-адреса компьютеров в сети в таблице в своей памяти. Это увеличивает скорость, надежность и безопасность передачи пакетов. Коммутатор сохраняет полученный сигнал в буферной памяти. Download 1.3 Mb. Do'stlaringiz bilan baham: |
1 2
Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling
ma'muriyatiga murojaat qiling