21
1.8-rasm. Tarmoq topologiyasi
Nazorat savollari
1.
Console porti qaysi holatda ishlatiladi?
2.
Kommutator uchun nima sababdan
VTY kanalini sozlash
kerak?
3.
Parolni shifrlanmagan koʻrinishda uzatilmasligi uchun
nima qilish kerak?
4.
Telnet va SSH protokollari nima maqsadda ishlatiladi?
5.
Kompyuterlar qurilmalarga kirishi uchun nima sababdan
tarmoq manzili bir xil boʻlishi kerak?
6.
Line vty 0 15 buyrugʻi nimani bildiradi?
2 - LABORATORIYA ISHI
KOMMUTATORDA PORT XAVFSIZLIGI (PORT SECURITY)
NI SOZLASH
Ishdan maqsad:
Kommutatsiya jadvallari to`ldirilishiga
yo`naltirilgan hujumlardan, tarmoqni himoya qilish imkonini beruvchi
kommutatorning “port-security” funksiyasini sozlash bo`yicha amaliy
ko`nikmalarini hosil qilish.
Nazariy qism
Port-security funksiyasi kommutatorning biror bir porti orqali
tarmoqqa faqat ko`rsatilgan qurilmalar kirishini sozlashga imkon
beradi. Ushbu portga kirishga ruxsat
berilgan qurilmalar MAC-
manzillar bo`yicha aniqlanadi. MAC-manzillar dinamik yoki tarmoq
administratori tomonidan qo`lda sozlanishi mumkin. Bundan tashqari
Port-security funksiyasi portga ulanuvchi tugunlar sonini cheklashga
22
imkoniyat yaratadi, bu esa portga MAC-manzillar sonini ko`rsatish
orqali amalga oshiriladi. Yana bir funksiyasi MAC-manzillar jadvali
to`ldirilishiga yo`naltirilgan hujumlardan
kommutatorni himoyalash
hisoblanadi (2.1-rasm).
MAC:AA:AA:AA
MAC:BA:AD:01
MAC:BA:AD:02
PORT
Ruxsat berilgan MAC
0/1
0/2
AA:AA:AA
BB:BB:BB
CC:CC:CC
0/2
0/3
2.1-rasm. Kommutatorda Port Security funksiyasining ishlash tartibi
MAC-manzillarga cheklov kiritishning ikkita usuli mavjud:
1.
Statik – administrator qaysi manzillar kirishini ko`rsatadi ;
2.
Dinamik – administrator nechta manzil kirishini ko`rsatadi
va kommutator qaysi manzillar shu vaqtda ko`rsatilgan port orqali
murojat qilayotganini eslab qoladi.
Port security - Cisco katalizator komutatorlarida foydalanish
kerak boʻlgan xususiyat. Ethernet freymlari komutatordan oʻtib, ushbu
freymlarda koʻrsatilgan yuboruvchi manzilidan foydalanib MAC
manzil jadvalini toʻldiradi. Ushbu jadvalning maksimal hajmi
cheklangan, hujumchi uchun uni toʻldirish
qiyin emas, tasodifiy
qaytish manzillari bilan koʻplab freymlarni yaratadigan maxsus
dasturlardan foydalanish kifoya. Bu narsa nega kerak boʻlishi
mumkin? MAC-manzil jadvali toʻlib toshgan taqdirda, komutator xab
vazifasini bajarishi mumkin - ya'ni barcha qabul qilingan paketlarni
barcha portlarga yuborish. Hujumchining keyingi harakati -
barcha
kiruvchi paketlarni koʻrish uchun sniffer dasturlarini ishga tushirish va
hujumchining porti bilan bir xil VLAN orqali oʻtadigan barcha
paketlarni ushlaydi. Bunday vaziyatni oldini olish uchun port
xavfsizligi funksiyasi barcha komutatorlarda ishlashiga e'tibor qaratish
lozim.
23
Ushbu funksiyaning mohiyati quyidagicha: u yoki bu tarzda,
har bir port uchun unda paydo boʻlishi mumkin boʻlgan MAC-
manzillar roʻyxati (yoki raqami) cheklangan, agar portda juda koʻp
manzillar koʻrinsa, u holda port oʻchadi.
Manzillarni saqlash usullari.
Port security MAC manzillarini
eslab qolish va qoidabuzarliklarga javob berishning bir necha
rejimlarida ishlashi mumkin:
–
Continuous - har qanday
MAC-manzilga ega qurilma
kommutator porti orqali cheklovlarsiz ishlashi mumkin;
–
Static - 0 dan 8 gacha MAC-manzillar statik ravishda
kiritilishi mumkin, qolganlari dinamik ravishda oʻrganilishi mumkin;
–
Configured - 1 dan 8 gacha boʻlgan MAC-manzillar statik
ravishda oʻrnatilishi mumkin, manzillarni dinamik ravishda oʻrganish
mumkin emas;
–
Limited-continuous - 1 dan 32 gacha MAC-manzillarni
dinamik ravishda oʻrganish mumkin;
–
Port-access - 802.1X bilan birgalikda tasdiqlangan 802.1X
sessiyasining MAC manzilini vaqtincha oʻrganish uchun ishlatiladi.
Xavfsizlikning buzilishiga javob berish usullari.
Port xavfsizligi
uchun quyidagi holatlar xavfsizlikni buzish hisoblanadi: manzil
jadvaliga xavfsiz MAC-manzillarning maksimal soni qoʻshilgan va
MAC-manzili manzil jadvalida qayd etilmagan
xost interfeys orqali
kirishga harakat qiladi.
Xavfsizlik buzilishlariga javob berishning quyidagi usullari
interfeysda sozlanishi mumkin:
–
none
- xavfsiz MAC-manzillar soni portda koʻrsatilgan
maksimal chegaraga yetganida, noma'lum manba MAC-manzilga ega
paketlar yetarli miqdordagi xavfsiz MAC-manzillar maksimal sonidan
kam boʻlmaguncha yoki maksimal son koʻpaytirilguniga qadar ruxsat
beriladi. Xavfsizlikni buzish toʻgʻrisida ogohlantirish mavjud
boʻlmaydi.
–
send-alarm
- xavfsiz MAC-manzillar soni portda tuzilgan
maksimal chegaraga yetganda, noma'lum
manba MAC-manzilga ega
paketlar, maksimal MAC-manzillar maksimal qiymatdan kam
boʻlguncha yoki ruxsat etilgan maksimal sondan kam boʻlguncha
tushiriladi. Ushbu rejimda xavfsizlik buzilganida SNMP trap va
syslog xabari yuboriladi.
24
–
send-disable
- xavfsizlikni buzish interfeysni oʻchirilgan
holatga keltirishga va darhol oʻchirishga olib keladi. SNMP trap va
syslog xabari yuborildi. Agar port bloklangan holatda boʻlsa, uni port-
security
clear-intrusion-flag buyrugʻini kiritib, uni ushbu
holatdan olib tashlash va keyin konfiguratsiya
rejimida activ
interfeysini kiritib interfeysni qoʻlda faollashtirish mumkin.
Eavesdrop Prevention.
Eavesdrop
Prevention
-
bu
komutatorga noma'lum boʻlgan MAC manzillariga, u yoqilgan
portlarga uzatiladigan bir martalik paketlarni uzatishni taqiqlovchi
funksiya. Bu ruxsatsiz foydalanuvchilarning eskirgan oʻtish jadvalidan
olib tashlangan MAC manzillariga yuboriladigan trafikni tinglashiga
yoʻl qoʻymaydi.
Dostları ilə paylaş: