Oʻzbеkiston rеspublikasi axborot tеxnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi

21 
1.8-rasm. Tarmoq topologiyasi 
Nazorat savollari 
1.
Console porti qaysi holatda ishlatiladi? 
2.
Kommutator uchun nima sababdan VTY kanalini sozlash 
kerak? 
3.
Parolni shifrlanmagan koʻrinishda uzatilmasligi uchun 
nima qilish kerak?
4.
Telnet va SSH protokollari nima maqsadda ishlatiladi? 
5.
Kompyuterlar qurilmalarga kirishi uchun nima sababdan 
tarmoq manzili bir xil boʻlishi kerak? 
6.
Line vty 0 15 buyrugʻi nimani bildiradi? 
2 - LABORATORIYA ISHI 
KOMMUTATORDA PORT XAVFSIZLIGI (PORT SECURITY) 
NI SOZLASH 
Ishdan maqsad:
Kommutatsiya jadvallari to`ldirilishiga 
yo`naltirilgan hujumlardan, tarmoqni himoya qilish imkonini beruvchi 
kommutatorning “port-security” funksiyasini sozlash bo`yicha amaliy 
ko`nikmalarini hosil qilish.
Nazariy qism 
Port-security funksiyasi kommutatorning biror bir porti orqali 
tarmoqqa faqat ko`rsatilgan qurilmalar kirishini sozlashga imkon 
beradi. Ushbu portga kirishga ruxsat berilgan qurilmalar MAC-
manzillar bo`yicha aniqlanadi. MAC-manzillar dinamik yoki tarmoq 
administratori tomonidan qo`lda sozlanishi mumkin. Bundan tashqari 
Port-security funksiyasi portga ulanuvchi tugunlar sonini cheklashga 

22 
imkoniyat yaratadi, bu esa portga MAC-manzillar sonini ko`rsatish 
orqali amalga oshiriladi. Yana bir funksiyasi MAC-manzillar jadvali 
to`ldirilishiga yo`naltirilgan hujumlardan kommutatorni himoyalash 
hisoblanadi (2.1-rasm). 
MAC:AA:AA:AA
MAC:BA:AD:01
MAC:BA:AD:02
PORT
Ruxsat berilgan MAC
0/1
0/2
AA:AA:AA
BB:BB:BB
CC:CC:CC
0/2
0/3
2.1-rasm. Kommutatorda Port Security funksiyasining ishlash tartibi 
MAC-manzillarga cheklov kiritishning ikkita usuli mavjud: 
1.
Statik – administrator qaysi manzillar kirishini ko`rsatadi ; 
2.
Dinamik – administrator nechta manzil kirishini ko`rsatadi 
va kommutator qaysi manzillar shu vaqtda ko`rsatilgan port orqali 
murojat qilayotganini eslab qoladi. 
Port security - Cisco katalizator komutatorlarida foydalanish 
kerak boʻlgan xususiyat. Ethernet freymlari komutatordan oʻtib, ushbu 
freymlarda koʻrsatilgan yuboruvchi manzilidan foydalanib MAC 
manzil jadvalini toʻldiradi. Ushbu jadvalning maksimal hajmi 
cheklangan, hujumchi uchun uni toʻldirish qiyin emas, tasodifiy 
qaytish manzillari bilan koʻplab freymlarni yaratadigan maxsus 
dasturlardan foydalanish kifoya. Bu narsa nega kerak boʻlishi 
mumkin? MAC-manzil jadvali toʻlib toshgan taqdirda, komutator xab 
vazifasini bajarishi mumkin - ya'ni barcha qabul qilingan paketlarni 
barcha portlarga yuborish. Hujumchining keyingi harakati - barcha 
kiruvchi paketlarni koʻrish uchun sniffer dasturlarini ishga tushirish va 
hujumchining porti bilan bir xil VLAN orqali oʻtadigan barcha 
paketlarni ushlaydi. Bunday vaziyatni oldini olish uchun port 
xavfsizligi funksiyasi barcha komutatorlarda ishlashiga e'tibor qaratish 
lozim. 

23 
Ushbu funksiyaning mohiyati quyidagicha: u yoki bu tarzda, 
har bir port uchun unda paydo boʻlishi mumkin boʻlgan MAC-
manzillar roʻyxati (yoki raqami) cheklangan, agar portda juda koʻp 
manzillar koʻrinsa, u holda port oʻchadi.
Manzillarni saqlash usullari.
Port security MAC manzillarini 
eslab qolish va qoidabuzarliklarga javob berishning bir necha 
rejimlarida ishlashi mumkin:
 
–
Continuous - har qanday MAC-manzilga ega qurilma 
kommutator porti orqali cheklovlarsiz ishlashi mumkin; 
–
Static - 0 dan 8 gacha MAC-manzillar statik ravishda 
kiritilishi mumkin, qolganlari dinamik ravishda oʻrganilishi mumkin; 
–
Configured - 1 dan 8 gacha boʻlgan MAC-manzillar statik 
ravishda oʻrnatilishi mumkin, manzillarni dinamik ravishda oʻrganish 
mumkin emas; 
–
Limited-continuous - 1 dan 32 gacha MAC-manzillarni 
dinamik ravishda oʻrganish mumkin; 
–
Port-access - 802.1X bilan birgalikda tasdiqlangan 802.1X 
sessiyasining MAC manzilini vaqtincha oʻrganish uchun ishlatiladi. 
Xavfsizlikning buzilishiga javob berish usullari.
Port xavfsizligi 
uchun quyidagi holatlar xavfsizlikni buzish hisoblanadi: manzil 
jadvaliga xavfsiz MAC-manzillarning maksimal soni qoʻshilgan va 
MAC-manzili manzil jadvalida qayd etilmagan xost interfeys orqali 
kirishga harakat qiladi. 
Xavfsizlik buzilishlariga javob berishning quyidagi usullari 
interfeysda sozlanishi mumkin: 
–
 none 
- xavfsiz MAC-manzillar soni portda koʻrsatilgan 
maksimal chegaraga yetganida, noma'lum manba MAC-manzilga ega 
paketlar yetarli miqdordagi xavfsiz MAC-manzillar maksimal sonidan 
kam boʻlmaguncha yoki maksimal son koʻpaytirilguniga qadar ruxsat 
beriladi. Xavfsizlikni buzish toʻgʻrisida ogohlantirish mavjud 
boʻlmaydi. 
–
 send-alarm
- xavfsiz MAC-manzillar soni portda tuzilgan 
maksimal chegaraga yetganda, noma'lum manba MAC-manzilga ega 
paketlar, maksimal MAC-manzillar maksimal qiymatdan kam 
boʻlguncha yoki ruxsat etilgan maksimal sondan kam boʻlguncha 
tushiriladi. Ushbu rejimda xavfsizlik buzilganida SNMP trap va 
syslog xabari yuboriladi. 

24 
–
 send-disable
- xavfsizlikni buzish interfeysni oʻchirilgan 
holatga keltirishga va darhol oʻchirishga olib keladi. SNMP trap va 
syslog xabari yuborildi. Agar port bloklangan holatda boʻlsa, uni port-
security
clear-intrusion-flag buyrugʻini kiritib, uni ushbu 
holatdan olib tashlash va keyin konfiguratsiya rejimida activ 
interfeysini kiritib interfeysni qoʻlda faollashtirish mumkin. 
Eavesdrop Prevention. 
Eavesdrop 
Prevention
 
- 
bu 
komutatorga noma'lum boʻlgan MAC manzillariga, u yoqilgan 
portlarga uzatiladigan bir martalik paketlarni uzatishni taqiqlovchi 
funksiya. Bu ruxsatsiz foydalanuvchilarning eskirgan oʻtish jadvalidan 
olib tashlangan MAC manzillariga yuboriladigan trafikni tinglashiga 
yoʻl qoʻymaydi.

Yüklə 7,38 Mb.

Dostları ilə paylaş: