Sekureco en havenoj de Cisco ŝaltiloj

Certigi havenoj de Cisco ŝaltiloj

En ĉi tiu artikolo ni vidos kiel vi povas agordi iuj sekureco kriterioj en la havenoj de Cisco ŝaltiloj.

Kiel en la aliaj artikoloj en tiu serio ni eldoni, estas necese, ke certa scio mastrumado Cisco aparatoj kaj reto simulilo estas prenitaj Packet Tracer.

Sekureco ŝaltiloj komenciĝas alirante la sistemon mem, tra la konzolo aŭ per la virtuala linioj (vty), ĉu per Telnet aŭ SSH, aŭ ankaŭ por Http. Vi povas agordi pasvorton por aliri privilegiita modon kaj ankaŭ, Authentication povas esti loka maniero, agordita de uzantoj en la sistemo mem, kun malsamaj niveloj de privilegiojn, aŭ per ekstera servilo (kiel servilo RADIUS ekzemple).

Ekzemplo

Por agordi pasvorton por konzolo aliro, petis ke nenio konektita tra terminalo seanco:

sw(Config)#linio konzolo 0
sw(agord-linio)#Password micontraseña

Kun ĉi tio sufiĉas.
En iuj sistemoj, speciale en la routers, Estas helpa ligo (AL) ke por uzi ĝin vi devas agordi pasvorton; Ĝi estas celita por rilato vojo modemo.

Por sekureco de la vidpunkto de la reto, nivelo ŝaltilon (kovrilo 2) Ili estas ofte uzata virtuala LAN (VLAN) disigi elsendo domajnoj.
Ankaŭ ekzistas sekureco en la haveno nivelo, kiu iras preter aliro al la sistemo ŝaltilon, kun kiu vi provas kontroli kiu komputiloj konekti al la reto. Estas tie kie fokuso Artikolo.

statika Adreso asigno

Estas por mane asigni MAC al specifa haveno. Vi povas konfirmi ke la komputilo ne povas konektiĝi al alia haveno. Alie, se vi povas.
La komando sintakso:

sw(Config)#mac-address-tablo statika mac_address interfaco Ne  VLAN nombre_vlan

Forigi la mapado estu uzata neniu formo de la komando.

sw(Config)#neniu mac-address-tablo statika mac_address interfaco Ne  VLAN nombre_vlan

Ni notu, ke la sintakso montrita povas varii iomete depende sur la ŝaltilon modelo aŭ versio de iOS.
La agordo ĉeko povas esti farita simple konsultante la MAC tablo de la ŝaltilo:

sw # spektaklo mac-address-tablo
          Mac Adreso Tablo
-------------------------------------------

VLAN Mac Adreso Tipo Havenoj
----    -----------       --------    -----

   1    0001.6429.c999 statika Fa0 / 7
   1    0002.4aea.d2c1 statika Fa0 / 4
   1    0006.2a85.3b41 statika Fa0 / 3
   1    0010.111D.078d statika Fa0 / 2
   1    0040.0b95.0844 statika Fa0 / 8
   1    0060.7074.1915    Statika Fa0 / 5
   1    0090.0c2b.8c7a statika Fa0 / 6

sekura paradizoj

Ĝi estas konata kiel sekura haveno maniero al tiu aro tia ke MAC povas agordi kiel sekuran, kaj malhelpi aliajn komputilojn konekti al la sama haveno.
Estas pluraj manieroj trakti la sekura haveno. La baza konfiguracio:

  • Por apliki sekureco postulas la haveno esti en aliro. tiam noti la problemoj en la kazo de trunko (VLAN traktado kaj specife la denaska VLAN)
sw(agord-se)#switchport modon aliro
  • Establi sekureco.
sw(agord-se)#switchport haveno-sekureco

Kun la haveno kaj agordita, defaŭlte, la unua MAC lerni (de la unua kadro preteriranto) Estos la sola uzi, ĝis vi malkonekti, tiam lerni poste fariĝis sekura. Vi povas ŝanĝi lerni pli ol unu kiel sekuran (nur havas sencon en haveno konektita al nabo aŭ alian ŝaltilon).
Por lerni kiel direkto, Ne permesu ŝanĝo.

sw(agord-se)#switchport haveno-sekureco mac-address glueca

Indikas la MAC ankaŭ mano. Off defaŭlta interfaco se ĝi detektas ŝanĝon. Por ricevi la interfaco post sekureco seruro devas esti malebligitaj kaj denove (kurado elŝaltita en tiu haveno, Kaj neniu ĉesigo tiam).
aliaj ebloj haveno-secuity filo malobservo Kaj maksimuma.
Indiki la nombro de sekura adresoj:

sw(agord-se)#switchport haveno-sekureco maksimumo Ne

Indiki la modon de seksperforto:

sw(agord-se)#switchport haveno-sekureco malobservo {elŝaltita | protekti | limigi}

Opcioj malobservo Ili indikas la konduton antaŭ malobservo de sekureco, tiuj elektoj estas:

      • elŝaltita, defaŭlte, blokante la havenon kaj pliigas la vendotablo malobservoj.
      • protekti, malhelpas sendo kadrojn sen bloki la havenon, ne pliigas la grafo de seksperforto.
      • limigi, malhelpas sendo kadrojn sen bloki la havenon, pliigas la vendotablo seksperfortadoj kaj sendas atentigojn per SNMP.

Notu ke la sendo kadrojn por elmontro tiel ke ĝi povas esti kaŭzitaj de sekureco malobservo sur haveno. Por fari tion, faru do ping ekzemple.
la defaŭlta, elŝaltita, Notu ke eblas malutila en koneksa haveno al alia ŝaltilo aŭ nabo, Vi povus ŝlosi kaj lasi sen servo ekipaĵo “legitima”.
switch cisco photo puerto de switch bloqueado_zpsfxkg07fl.png
Ekzemplo de blokita haveno (ruĝa) dividante. Alia estus pli oportuna elekto malobservo.

Funkcia ŝaka:

Por kontroli la staton de haveno sekureco.

sw # spektaklo haveno-sekureco

Por vidi la detalan agordon de haveno.

sw # spektaklo haveno-sekureco interfaco interfaco
Ekzemplo
Ŝaltilo # sh haveno-sekureco
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Sekureca Ago
          (Grafo)     (Grafo)          (Grafo)
--------------------------------------------------------------------
Fa0 / 2        1          1                 0             Protektu
Fa0 / 3        1          1                 0             Protektu
Fa0 / 4        1          1                 3            limigi
Fa0 / 5        1          1                 0            limigi
Fa0 / 6        3          0                 0            sistemfermo
Fa0 / 7        1          1                 1            sistemfermo
Fa0 / 8        3          2                 0            sistemfermo
----------------------------------------------------------------------

Ili povas vidi la kolumnoj montras la nombron da sekura adresoj kaj tiuj kiuj estis lernitaj kaj memoris, kaj kontraŭ la seksperfortadoj. en la protekti ĉi vendotablo estas reagordi ĉiun.
Forigi sekura mac:

sw # klara haveno-sekureco ĉiuj
sw # klara haveno-sekureco agorditaj -> para las estáticas
sw # klara haveno-sekureco dinamika -> por dinamika
sw # klara haveno-sekureco glueca -> por glueca

Vi povas ankaŭ agordi la tempo ĝi konservas la mac lernis:

sw # switchport haveno-sekureco maljuniĝanta tempo Minutoj --> post kiu ĝi estas forviŝita.

Malŝarĝu vin Tie specimeno dosiero por testi tion (Kreita kun Packet Tracer 6)

Por haveno sekureco DHCP:

Grava defendo ke ni povas apliki en havenoj estas kontraŭ la DHCP servo atakoj.

DHCP bazitajn elsendoj, unauthenticated, do ĝi estas susceptible ataki per DHCP servilo “piratoj” kiuj donas falsan agordoj por leĝa klientoj. tiuj, ordinare, ne ricevos la necesajn agordojn por aliri eksterajn rimedojn.
la snooping Ĝi konsistas en identigi fidinda havenoj, kiuj estos permesita sendi kaj ricevi mesaĝojn tiel DHCP.

Kun la elekto fidu, la haveno iĝas fidinda, permesante la paŝo de DHCP servilo proponas klientoj.

sw(Config)# ip dhcp snooping -> por ebligi la servon.
sw(Config)#interfaco F0 / 1
sw(agord-se)#ip dhcp snooping fidu

Los no confiables solo pueden enviar solicitudes, con lo que podrán tener conectados clientes DHCP, pero no servidores.
DHCP también es muy susceptible a los ataques de DoS (Denegación de Servicio) a base de lanzar múltiples solicitudes de configuración IP con direcciones MAC inventadas, con el objetivo de agotar todas las IP disponibles en el servidor.
Para éste último caso, es oportuno limitar el número de peticiones que se puedan realizar a través de un puerto, con el comando:

sw(agord-se)#ip dhcp snooping limit rate ratio --> número de peticiones válidas.

Estos comandos aún no están disponibles en el simulador Packet Tracer, tendremos que comprobarlos en switches reales 🙂

Espero que este nuevo articulo os haya resultado interesante, Se estas tiel povas doni +1 aŭ mi ŝatas en via preferataj sociaj retoj kaj helpi nin dividi ĉi enhavo, Dankon.


About anĝelo Calvo

Logita de scienco kaj teknologio. profesoro, aŭtoro de manlibroj kaj sistemoj kaj komunikadoj manaĝero.

Leave al Reply