107-guruh talabasi Davronov Feruz
№ 2 LABORATORIYA ISHI
MAVZU: KOMMUTATORDA PORT XAVFSIZLIGI (PORT SECURITY)
NI SOZLASH
Cisco Packet Tracer dasturida 
port xavfsizligini taminlash
Port xavfsizligi - Cisco catalyst kommutatorlari tavsifi va ularni sozash
Port xavfsizligi Cisco catalyst kommutatorlarida foydalanish kerak bo'lgan
xususiyatdir. Ethernet freymlari tugmachadan o'tib , MAC manzil jadvalini ushbu
freymlarda ko'rsatilgan yuboruvchi manzilidan foydalanib to'ldiradi . Ushbu jadvalning
maksimal hajmi cheklangan, tajovuzkor uchun uni to'ldirish qiyin bo'lgani kabi qiyin
emas, tasodifiy qaytish manzillari bilan ko'plab freymlarni yaratadigan maxsus
dasturlardan foydalanish kifoya.
Nega sizga kerak bo'lishi mumkin? MAC-manzil jadvali to'lib toshgan taqdirda,
kommutator markaz vazifasini bajarishi mumkin - ya'ni barcha qabul qilingan
kadrlarni barcha portlarga yuborish. Hujumchining keyingi harakati snaynerni ishga
tushirish Bizning switch vahima holatida buyon, barcha kiruvchi paketlarni
ko'rish 
uchun dastur
, va tajovuzkor ning portiga bir xil VLAN unga o'tib, barcha
paketlari ko'rinadigan bo'ladi tajovuzkor . Bunday vaziyatni oldini olish uchun siz port
xavfsizligi barcha kommutatorlarda ishlashiga oldindan e'tibor berishingiz kerak .
Ushbu funktsiyaning mohiyati nimada: u yoki bu tarzda har bir port uchun unda
paydo bo'lishi mumkin bo'lgan MAC-manzillar ro'yxati (yoki raqami) cheklangan, agar
portda juda ko'p manzillar ko'rinadigan bo'lsa, u holda port o'chadi. Shunday qilib,
ko'rish qiyin emasligi sababli tasodifiy qaytish manzillari bilan freymlarni yaratish
g'oyasi tezda muvaffaqiyatsiz bo'ladi.
MAC manzillariga cheklovlarni kiritishning ikki yo'li mavjud:
Statik - administrator qaysi manzillarga ruxsat berilganligini ro'yxatlashganda
Dinamik - ma'mur nechta manzilga ruxsat berilishini aniqlaganda va o'tish tugmasi
bilib oladi, qaysi manzilga hozirda ko'rsatilgan port orqali kirish mumkinligini eslab
qoladi
O'z navbatida, dinamik ravishda o'rganilgan manzillar kommutatorning 
RAM-da
saqlanishi mumkin
, bu holda qayta ishga tushirilgandan so'ng "o'rganish" ni
takrorlash kerak bo'ladi; yoki konfiguratsiyada - keyin konfiguratsiyani saqlash
mumkin va qayta yuklangandan keyin ham manzillar qoladi. Ikkinchi rejim
"yopishqoq" ( yopishqoq ) deb nomlanadi , chunki u portga qanday yopishish
kerakligi haqida gapiradi, shundan so'ng "unstick" ularni faqat administrator qilishlari
mumkin - qo'lda. Yana bir savol - agar xavfsizlik buzilgan bo'lsa va portga xavfsizlikni
sozlashimizga qaraganda ko'proq manzillar kirsa nima qilish kerak ? Ushbu holatdagi
o'tish rejimiga uchta rejimdan biri javobgardir:

Himoya qilish - yangi MAC-manzillarga ega bo'lgan ramkalar e'tiborga olinmaydi,
qolganlari ham ishlashda davom etmoqda. Rejim yaxshi, chunki 
port ishlashda
davom etmoqda
, ammo yomon tomoni shundaki, administrator o'z tarmog'ida
bunday g'alati narsalar yuz berayotganini hech qachon bilmaydi
Cheklash - himoya qilish rejimiga o'xshaydi, faqat kommutator SNMP orqali bunday
noxush holat yuz berganligi to'g'risida xabar beradi, bundan tashqari, bu haqda
syslog- ga ma'lumot yozadi (agar tuzilgan bo'lsa)
O'chirish - nomidan ko'rinib turibdiki, syslog va SNMP orqali xabarlarga qo'shimcha
ravishda port o'chadi. Bu tarmoq xatolariga bardoshlik nuqtai 
nazaridan unchalik
yaxshi emas
, lekin biz portni qo'lda yoqmagunimizcha tajovuzkor o'z tarmog'imizni
o'rganish bo'yicha tajribalarini davom ettira olmasligini aniq bilamiz .
Endi biz butun nazariyani bilamiz, keling, port xavfsizligini sozlashga harakat qilaylik :
S1#configure terminal
S1(config)#interface fastEthernet 0/11
S1(config-if)#switchport mode access
S1(config-if)#switchport port-security
Shunday qilib, biz ushbu funktsiyani interfeysda standart qiymatlari bilan yoqdik,
ya'ni:
Har bir port uchun maksimal 1 
MAC-manzil
Xotira rejimi dinamikasi (RAMda, yopishqoq emas )
Ikkinchi MAC-manzil paydo bo'lganda harakat - portni o'chirib qo'ying
Bu siz portiga 11, uchun, kompyuterni ulash tekshirish oson Ping narsa, so'ngra MAC
o'zgartirish va harakat Ping yana . Port o'chiriladi va xato-o'chirib qo'yilgan holatga
kiradi . Portni qayta yoqish uchun uni o'chirib yoqishingiz kerak:
S1(config)#interface fastEthernet 0/11
S1(config-if)#shutdown
%LINK-5-CHANGED: Interface FastEthernet0/11, changed state to
administratively down
S1(config-if)#no shutdown

%LINK-5-CHANGED: Interface FastEthernet0/11, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/11, changed state
to up
Amaldagi port xavfsizligini quyidagi buyruq bilan ko'rish mumkin:
S1#show 
port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
--------------------------------------------------------------------
Fa0/11 1 1 0 Shutdown
----------------------------------------------------------------------
Jadvalda siz maksimal 1 MAC ekanligini ko'rishingiz mumkin va u allaqachon
o'rganilgan, harakat O'chirish .
Qayta switch, saqlanishi MAC unutiladi va bu oldini olish uchun qaytao'rganish kerak
bo'lsa, u MAC- yod "yopishqoq" o'z ichiga zarur s . Shu bilan birga, keling, ularning
sonini beshdan oshiraylik:
S1(config)#interface fastEthernet 0/11
S1(config-if)#switchport port-security mac-address sticky
S1(config-if)#switchport port-security maximum 5
Agar biz manzillarni statik ravishda qo'lda ro'yxatlashni istasak, unda yopishqoq so'z
o'rniga (yoki unga parallel ravishda - alohida satrda) ularni quyidagi buyruq bilan
ro'yxatlashimiz mumkin:
S1 ( config -if) # switchport port-security mac-address 1234.abcd.1234
Ammo biz MACni statik ravishda qo'shmadik, shunchaki yopishqoq rejimni yoqdik .
Biz kompyuterdan ping qilishga harakat qilamiz , shundan so'ng biz konfiguratsiyani
ko'rib chiqamiz :

S1#show running-config Building configuration...
Current configuration : 1185 bytes
!
version 12.2 no service timestamps log datetime msec no service timestamps debug datetime
msec no 
service password-encryption
!
hostname S1
…
interface FastEthernet0/1 switchport mode access switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0001.4276.96B5
…
Biz nimani ko'ramiz? «switchport port-security mac-address sticky 0001.4276.96B5»
qatori kompyuter manzilini eslab qolganligini va "portga yopishib qolgan" degan
ma'noni anglatadi, go'yo biz o'zimiz uni statik ravishda haydab yubordik. Agar siz
hozirda konfiguratsiyani saqlasangiz, qayta yoqilgandan so'ng manzil yo'qolmaydi va
kommutatorni qayta tayyorlash kerak bo'lmaydi.
Xulosa shuki, port xavfsizlik xususiyati hisoblanadi modernizatsiya qilish uchun juda
oson va juda yaxshi hujumlar ba'zi turlariga qarshi yordam beradi.