Ta`minlash ishdan maqsad


Download 122.15 Kb.
Pdf ko'rish
Sana19.06.2023
Hajmi122.15 Kb.
#1601412
Bog'liq
3 1 laboratoriya ishi cisco packet tracer dasturida port havfsizli



3.1-LABORATORIYA ISHI
CISCO PACKET TRACER DASTURIDA PORT HAVFSIZLIGINI  
TA`MINLASH
 
Ishdan maqsad : Cisco Packet Tracer dasturida kommutatorning port 
havfsizligini funksiyasi bilan tanishish va amaliy ko`nikmalarga ega bo`lish .
Nazariy qism.  
Port xavfsizligi - Cisco catalyst kommutatorlari tavsifi va ularni sozash
 
 
Port xavfsizligi 
Cisco catalyst 
kommutatorlarida foydalanish kerak bo'lgan 
xususiyatdir. Ethernet freymlari tugmachadan o'tib , MAC manzil jadvalini ushbu 
freymlarda ko'rsatilgan yuboruvchi manzilidan foydalanib to'ldiradi . Ushbu 
jadvalning maksimal hajmi cheklangan, tajovuzkor uchun uni to'ldirish qiyin 
bo'lgani kabi qiyin emas, tasodifiy qaytish manzillari bilan ko'plab freymlarni 
yaratadigan maxsus dasturlardan foydalanish kifoya.
Nega sizga kerak bo'lishi mumkin? MAC-manzil jadvali to'lib toshgan 
taqdirda, kommutator markaz vazifasini bajarishi mumkin - ya'ni barcha qabul 
qilingan kadrlarni barcha portlarga yuborish. Hujumchining keyingi harakati
snaynerni ishga tushirish   Bizning switch vahima holatida buyon, barcha kiruvchi 
paketlarni ko'rish uchun dastur, va tajovuzkor ning portiga bir xil VLAN unga o'tib, 
barcha paketlari ko'rinadigan bo'ladi tajovuzkor . Bunday vaziyatni oldini olish 
uchun siz port xavfsizligi barcha kommutatorlarda ishlashiga oldindan e'tibor 
berishingiz kerak .
Ushbu funktsiyaning mohiyati nimada: u yoki bu tarzda har bir port uchun unda 
paydo bo'lishi mumkin bo'lgan MAC-manzillar ro'yxati (yoki raqami) cheklangan, 
agar portda juda ko'p manzillar ko'rinadigan bo'lsa, u holda port o'chadi. Shunday 
qilib, ko'rish qiyin emasligi sababli tasodifiy qaytish manzillari bilan freymlarni 
yaratish g'oyasi tezda muvaffaqiyatsiz bo'ladi.
MAC manzillariga cheklovlarni kiritishning ikki yo'li mavjud:
1. 
Statik - administrator qaysi manzillarga ruxsat berilganligini 
ro'yxatlashganda
2. 
Dinamik - ma'mur nechta manzilga ruxsat berilishini aniqlaganda va 
o'tish tugmasi bilib oladi, qaysi manzilga hozirda ko'rsatilgan port orqali kirish 
mumkinligini eslab qoladi
O'z navbatida, dinamik ravishda o'rganilgan manzillar kommutatorning RAM-
da saqlanishi mumkin, bu holda qayta ishga tushirilgandan so'ng "o'rganish" ni 
takrorlash kerak bo'ladi; yoki konfiguratsiyada - keyin konfiguratsiyani saqlash 
mumkin va qayta yuklangandan keyin ham manzillar qoladi. Ikkinchi rejim
"yopishqoq" ( yopishqoq ) deb nomlanadi , chunki u portga qanday yopishish 
kerakligi haqida gapiradi, shundan so'ng "unstick" ularni faqat administrator 


qilishlari mumkin - qo'lda. Yana bir savol - agar xavfsizlik buzilgan bo'lsa va portga 
xavfsizlikni sozlashimizga qaraganda ko'proq manzillar kirsa nima qilish kerak ? 
Ushbu holatdagi o'tish rejimiga uchta rejimdan biri javobgardir:
• 
Himoya qilish - yangi MAC-manzillarga ega bo'lgan ramkalar e'tiborga 
olinmaydi, qolganlari ham ishlashda davom etmoqda. Rejim yaxshi, chunki port 
ishlashda davom etmoqda, ammo yomon tomoni shundaki, administrator o'z 
tarmog'ida bunday g'alati narsalar yuz berayotganini hech qachon bilmaydi
• 
Cheklash - himoya qilish rejimiga o'xshaydi, faqat kommutator SNMP 
orqali bunday noxush holat yuz berganligi to'g'risida xabar beradi, bundan 
tashqari, bu haqda syslog- ga ma'lumot yozadi (agar tuzilgan bo'lsa)
• 
O'chirish - nomidan ko'rinib turibdiki, syslog va SNMP orqali 
xabarlarga qo'shimcha ravishda port o'chadi. Bu tarmoq xatolariga bardoshlik 
nuqtai nazaridan unchalik yaxshi emas, lekin biz portni qo'lda yoqmagunimizcha 
tajovuzkor o'z tarmog'imizni o'rganish bo'yicha tajribalarini davom ettira 
olmasligini aniq bilamiz .
Endi biz butun nazariyani bilamiz, keling, port xavfsizligini sozlashga harakat 
qilaylik :
S1#configure terminal 
S1(config)#interface fastEthernet 0/11 
S1(config-if)#switchport mode access 
S1(config-if)#switchport port-security 
Shunday qilib, biz ushbu funktsiyani interfeysda standart qiymatlari bilan 
yoqdik, ya'ni:
• 
Har bir port uchun maksimal 1 MAC-manzil
• 
Xotira rejimi dinamikasi (RAMda, yopishqoq emas )
• 
Ikkinchi MAC-manzil paydo bo'lganda harakat - portni o'chirib qo'ying
Bu siz portiga 11, uchun, kompyuterni ulash tekshirish oson Ping narsa, so'ngra 
MAC o'zgartirish va harakat Ping yana . Port o'chiriladi va xato-o'chirib qo'yilgan 
holatga kiradi . Portni qayta yoqish uchun uni o'chirib yoqishingiz kerak:
S1(config)#interface fastEthernet 0/11 
S1(config-if)#shutdown
%LINK-5-CHANGED: Interface FastEthernet0/11, changed state to 
administratively down 
S1(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/11, changed state to up 
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/11, 
changed state to up 
Amaldagi port xavfsizligini quyidagi buyruq bilan ko'rish mumkin:
S1#show port-security


Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action 
(Count) (Count) (Count) 
-------------------------------------------------------------------- 
Fa0/11 1 1 0 Shutdown 
---------------------------------------------------------------------- 
Jadvalda siz maksimal 1 MAC ekanligini ko'rishingiz mumkin va u allaqachon 
o'rganilgan, harakat O'chirish .
Qayta switch, saqlanishi MAC unutiladi va bu oldini olish uchun qaytao'rganish 
kerak bo'lsa, u MAC- yod "yopishqoq" o'z ichiga zarur s . Shu bilan birga, keling, 
ularning sonini beshdan oshiraylik:
S1(config)#interface fastEthernet 0/11 
S1(config-if)#switchport port-security mac-address sticky 
S1(config-if)#switchport port-security maximum 5 
Agar biz manzillarni statik ravishda qo'lda ro'yxatlashni istasak, unda 
yopishqoq so'z o'rniga (yoki unga parallel ravishda - alohida satrda) ularni quyidagi 
buyruq bilan ro'yxatlashimiz mumkin:
S1 ( config -if) # switchport port-security mac-address 1234.abcd.1234
Ammo biz MACni statik ravishda qo'shmadik, shunchaki yopishqoq rejimni 
yoqdik . Biz kompyuterdan ping qilishga harakat qilamiz , shundan so'ng biz 
konfiguratsiyani ko'rib chiqamiz :
S1#show running-config Building 
configuration... 
Current configuration : 1185 bytes 

version 12.2 no service timestamps log 
datetime msec no service timestamps debug 
datetime msec no service password-
encryption 

hostname S1 
… 
interface FastEthernet0/1
switchport mode access switchport 
port-security 
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0001.4276.96B5 
… 
Biz nimani ko'ramiz? «switchport port-security mac-address sticky 
0001.4276.96B5» qatori kompyuter manzilini eslab qolganligini va "portga 


yopishib qolgan" degan ma'noni anglatadi, go'yo biz o'zimiz uni statik ravishda 
haydab yubordik. Agar siz hozirda konfiguratsiyani saqlasangiz, qayta yoqilgandan 
so'ng manzil yo'qolmaydi va kommutatorni qayta tayyorlash kerak bo'lmaydi.
Xulosa shuki, port xavfsizlik xususiyati hisoblanadi modernizatsiya qilish 
uchun juda oson va juda yaxshi hujumlar ba'zi turlariga qarshi yordam beradi.
 

Download 122.15 Kb.

Do'stlaringiz bilan baham:




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling