lab2 Баратов Хожиакбар. обеспечение безопасности портов
 Скачать 0.78 Mb.
|
|
МИНИСТЕРСТВО ПО РАЗВИТИЮ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И КОММУНИКАЦИЙ РЕСПУБЛИКИ УЗБЕКИСТАН ТАШКЕНТСКИЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ИМЕНИ МУХАММАД АЛЬ-ХОРАЗМИЙ Лабораторная работа 2 По предмету «Сетевая безопасность» Тема: « ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПОРТОВ» студент группы NWS-202-1 832-19 Выполнил: Баратов Х.Н Проверил: Зокиров.О Ташкент 2022 ЛАБОРАТОРНАЯ РАБОТА № 2ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПОРТОВ Цель работы: Освоение практических навыков по функцию коммутатора port – security, позволяющую обезопасить сеть от атак направленных на переполнение таблицы коммутации КРАТКИЕ ТЕОРЕТИЧЕСКИЕ СВЕДЕНИЯ Функция Port Security позволяет настроить какой-либо порт коммутатора так, чтобы доступ к сети через него мог осуществляться только определёнными устройствами. Устройства, которым разрешено подключаться к порту определяются по МАС-адресам. МАС-адреса могут быть изучены динамически или вручную настроены администратором сети. Помимо этого функция Port Security позволяет ограничивать количество изучаемых портом МАС-адресов, тем самым, ограничивая количество подключаемых к нему узлов. Также, данная функция ограждает коммутатор от атак, которые могут быть направлены на переполнение таблицы MAC адресов (Рис. 2.1).Рис. 2.1. Работа функции Port Security на коммутаторе Существует два способа введения ограничений на MAC адреса: Статический – когда администратор перечисляет, какие адреса разрешены Динамический – когда администратор указывает, сколько адресов разрешено, а коммутатор обучается, запоминая, какие адреса в настоящий момент обращаются через указанный порт На Windows MAC-адрес адаптера Ethernet можно определить с помощью команды ipconfig /all. Обратите внимание — на рис. 2.2 на дисплее отображается, что физический адрес (MAC-адрес) компьютера имеет вид 00-18-DE-C7-F3-FB.  Рис. 2.2. MAC адрес устройства компьютера Для того чтобы посмотреть таблицу MAC-адресов на коммутаторе используется команда show mac-address-table.  Рис. 2.3. Таблица MAC-адресов на коммутаторе Одним из простейших способов защиты коммутатора является отключение неиспользуемых портов, ниже этот способ будет рассматриваться подробнее. Отключение неиспользуемых портовОтключение неиспользуемых портов — это простой способ защиты сети от несанкционированного доступа, используемый многими администраторами. К примеру, если коммутатор Catalyst 2960 имеет 24 порта и при этом используются три подключения Fast Ethernet, рекомендуется отключить 21 неиспользуемый порт. Перейдите к каждому неиспользуемому порту и введите команду Cisco IOS shutdown. Sw1(config)#interface range fastEthernet 0/5-24 Sw1(config-if-range)#shutdown Если в дальнейшем порт необходимо снова включить, это можно сделать с помощью команды no shutdown. Sw1(config)#interface range fastEthernet 0/5-24 Sw1(config-if-range)#no shutdown Port security на коммутаторах Cisco Настройка port securityPort security настраивается в режиме настройки интерфейса. На многих коммутаторах Cisco по умолчанию порт находится в режиме dynamic auto, однако этот режим не совместим с функцией port security. Поэтому интерфейс надо перевести в режим trunk или access:  Включение port security на интерфейсе (после этого включены настройки по умолчанию): switch(config-if)# switchport port-security Настройка безопасных MAC-адресовВключение sticky запоминания адресов:  Если мы хотим статически вручную перечислить адреса, то вместо слова sticky (или паралельно с ним – отдельной строчкой) мы можем их перечислять командой:  максимальное количество безопасных MAC-адресовswitchport port-security maximum N - говорит о том, что только N количество MAC адресов, могут «светиться» на интерфейсе одновременно Например, на интерфейсе разрешить 3 MAC-адреса, а остальные настройки по умолчанию:  Настройка режима реагирования на нарушения безопасностиРежимы реагирования на нарушение безопасности. Существует три способа реагирование на нарушение безопасности:  switchport port-security violation restrict - указывает режим реагирование на нарушение. Таким образом, если на данном интерфейсе одновременно «засветится» третий (неизвестный) MAC адрес, то все пакеты с этого адреса будут отбрасываться, при этом отправляется оповещение – syslog, SNMP trap, увеличивается счетчик нарушений (violetion counter). switchport port-security violation shutdown- при выявлении нарушений переводит интерфейс в состояние error-disabled и выключает его. При этом отправляется оповещение SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter). Кстати, если интерфейс находится в состоянии error-disabled, то самым легким путем разблокировать его, является выключить и включить интерфейс (ввести в настройках интерфейса команду — «shutdown», а потом — «no shundown»). Если же на интерфейсе введена команда — «switchport port-security violation protect», то при нарушениях, от неизвестного MAC адреса пакеты отбрасываются, но при этом никаких сообщений об ошибках не генерируется. Какой именно способ выбрать дело каждого, но «switchport port-security violation restrict» является оптимальной для большинства случаев. Очистка таблицы MAC-адресовОчистить таблицу MAC-адресов, для подключения других устройств: switch# clear port-security [all|configured|dynamic|sticky] [address switch #clear port-security all switch #clear port-security configured  Просмотр информации о настройках port securityswitch# show port-security switch# show port-security interface fa0/3 switch# show port-security address Задание Требуется соединить физическую сеть в соответствии со схемой сети или построить соответствующий проект в Cisco Packet Tracer. Постройте топологию сети (приведенный на рисунке 2.4.) на программе Cisco Packet Tracer; Настройте IP-адрес для каждого компьютера и определите MAC-адрес как показано на рисунке 2.2.; Настройте службы безопасности для каждого порта коммутатора; Заполните таблицу 2.1. с выше указанными заданиями. Отчет |
