Segurtasuna switch portuak Cisco

Cisco switches portuen bermatu

Artikulu honetan segurtasun-estandar jakin nola ezarri ahal izango duzu, Cisco switches portuetan ikusiko dugu.

Beste sail honetan artikuluetan bezala argitaratzen ari garen, ezagutzaren kudeaketaren zenbait Cisco simulator gailuak eta sareak beharrezkoa da Pakete-Tracer.

Segurtasuna aldatzen du sarbide-sistema bera batekin hasten, kontsolaren bidez edo lerro birtualen bidez (vty), ya sea por Telnet o SSH, edo ere Http arabera. Aren pasahitza zehaztu dezakezu modua pribilegiatua sartzeko eta, era berean,, authentication tokiko modua izan daiteke, Erabiltzaileek konfiguratutako sistemak berak on, pribilegioak desberdineko, edo kanpoko zerbitzari baten bidez (zerbitzari gisa RADIUS adibidez).

Adibidea

Kontsola sartzeko pasahitza ezartzeko, beraz, ez da ezer gehiago konektatuta eskatu dute terminal saio baten bidez:

sw(config)#lerro kontsola 0
sw(config-line)#pasahitza micontraseña

Nahikoa horrekin nahikoa da.
Sistema batzuetan ere, batez ere bideratzaile, Ez dago konexio laguntzailea da (TO) haiek erabiltzen duten pasahitz bat ezarri behar duzu; It modem bidezko konexioa diseinatu da.

Sarearen ikuspegitik abiatuta segurtasunerako, nivel de switch bat (estalkia 2) LAN Virtual erabili ohi dira (VLAN) broadcast domeinuak bereizteko.
Badira segurtasuna ere bada Maila portuak, duten sistema switch sarbidea haratago doa, horrekin bertan ordenagailuak konektatu sarera kontrolatzeko saiatzen zara. Hemen da non foku artikuluan It.

Estatikoan helbidea esleipena

MAC helbide batera eskuz esleitu ataka zehatz bat da. Ordenagailua ezin dela ataka batera konektatzen egiazta dezakezu. Bestela, ahal bada.
Komandoaren sintaxia:

sw(config)#mac-helbidea-mahaia estatikoan mac_address interface No.  VLAN nombre_vlan

Mapping kentzeko erabili behar da komandoa forma ez.

sw(config)#no mac-helbidea-mahaia estatikoan mac_address interface No.  VLAN nombre_vlan

Kontuan izan behar da agerian sintaxia hori zertxobait aldatu egin daiteke the switch eredu edo bertsio IOS arabera.
Konfigurazio txekea egin daiteke, besterik gabe, MAC helbidea mahai kontsulta egin aldatzeko funtzioa arabera:

sw # show mac-helbidea-mahaia
          Mac Helbidea Table
-------------------------------------------

VLAN Mac Helbidea Mota Portuak
----    -----------       --------    -----

   1    0001.6429.c999 estatikoa Fa0 / 7
   1    0002.4aea.d2c1 estatikoa Fa0 / 4
   1    0006.2a85.3b41 estatikoa Fa0 / 3
   1    0010.111d.078d estatikoa Fa0 / 2
   1    0040.0b95.0844 estatikoa Fa0 / 8
   1    0060.7074.1915    Estatikoa Fa0 / 5
   1    0090.0c2b.8c7a estatikoa Fa0 / 6

Portu segurua

Da seguru portuan hori da, beraz, MAC segurua helbide bat ezarri daiteke konfiguratuta dago gisa ezagutzen, eta beste ordenagailuak saihesteko portu berera konektatzen.
Hainbat modu daude seguru portuan tratatzeko. Oinarrizko konfigurazioa:

  • Segurtasun aplikatzeko portura ere izan behar da sarbidea. Kontuan gero enbor kasuan ere, arazoak (tratamendu VLAN eta bereziki ama-VLAN)
sw(config-bada)#switchport modua sarbidea
  • Segurtasun ezartzea.
sw(config-bada)#switchport portu-segurtasun

Portuaren eta konfiguraturik, lehenetsita, Lehenengo MAC ikasteko (hori igarotzen lehen markoaren) Berak bakarrik erabiltzen da, deskonektatu arte, Ondoren ikasteko geroago segurtasuna. Seguru bezala, bat baino gehiago ikasteko alda dezakezu (horregatik, portu bat hub edo aldatu beste konektatutako ere).
Norabide bat buruz ikasi, Ez aldatu baimendu.

sw(config-bada)#switchport portu-segurtasun mac-helbidea zurrunak

MAC ere ibili den adierazten. Off interface lehenetsia aldaketa bat atzematen badu. Interface berreskuratu segurtasun blokeo baten ondoren itzali behar eta on berriro (lasterketak shutdown ataka honetan, eta ez du itzali Orduz).
Beste aukera portu-secuity son urratzeagatik eta gehienez.
Helbideak segurua kopurua adierazteko:

sw(config-bada)#switchport portu-segurtasun maximoa No.

Bortxaketa modua adierazteko:

sw(config-bada)#switchport portu-segurtasun urratzen {shutdown | babestu | murriztu}

Las opciones de urratzeagatik indican el comportamiento ante una violación de la seguridad, Aukera hauek dira,:

      • shutdown, lehenetsita, portuaren blokeoa eta urraketak ren kontra zatituko.
      • babestu, portu ondoan gelditu gabe markoak bidaltzea eragozten, ez du bortxaketa kopurua handitu.
      • murriztu, portu ondoan gelditu gabe markoak bidaltzea eragozten, counter zatituko eta urraketak ohar bidaltzen SNMP arabera.

Kontuan markoak bidaltzen duten segurtasun urratzen bat eragin daiteke ataka horretan ekoizten den. Hori egiteko, eta zuek a ping adibidez.
The lehenetsi, shutdown, Ohartu kaltegarria izan daitekeela portu batean, beste switch edo hub konektatutako ere, blokeatzeko eta zerbitzuen hornidura bertan behera zitekeela “legitimoak”.
switch cisco photo puerto de switch bloqueado_zpsfxkg07fl.png
Blokeatuta portu baten adibidea (gorria) partekatzeko. Bestela aukera hobea izango litzateke urratzeagatik.

Operazioa egiaztapen:

Portu segurtasun egoera ikusteko.

sw # show portu-segurtasun

Portu baten konfigurazio zehatzago ikusteko.

sw # show portu-segurtasun interfazea interface
Adibidea
Switch # sh portu-segurtasun
Segura Port MaxSecureAddr CurrentAddr SecurityViolation Security Ekintza
          (Diruz)     (Diruz)          (Diruz)
--------------------------------------------------------------------
Fa0/2        1          1                 0             Protect
Fa0/3        1          1                 0             Protect
Fa0/4        1          1                 3            Restrict
Fa0/5        1          1                 0            Restrict
Fa0/6        3          0                 0            Shutdown
Fa0/7        1          1                 1            Shutdown
Fa0/8        3          2                 0            Shutdown
----------------------------------------------------------------------

Ikusi ahal izango dute zutabeak erakusten duten ikasi izan eta gogoratu helbideak eta horiek seguruak kopurua, eta kontra urraketa. In babestu counter hori berrezarri egingo da.
Mac seguru kentzeko:

sw # argi portu-segurtasun guztiak
sw # argi portu-segurtasun konfiguratutako -> para las estáticas
sw # argi portu-segurtasun dinamikoa -> para las dinámicas
sw # argi portu-segurtasun zurrunak -> itsaskorren

Halaber, denbora kontserbatzen MAC ikasi ezar dezakezu:

sw # switchport portu-segurtasun denbora zahartze minutu --> horren ondoren, ezabatu egingo da.

Deskargatu hemen lagin fitxategi batean gauza horiek frogatzeko (Pakete-Tracer batekin sortu 6)

Segurtasun ataka For DHCP:

Garela portuetan aplikatu ahal defentsa garrantzitsu bat da DHCP zerbitzua erasoak begira.

DHCP lan egiten Oinarritutako emankizunak, autentifikatu gabe, beraz jasan da DHCP zerbitzari erasoak “Piraten” konfigurazio faltsua eman legitimoa bezeroei. Hauek, normalean, Ez duzu, beharrezkoak diren ezarpenak lortu kanpoko baliabideak sartzeko.
The ikusmiran Osatzen portuak fidagarria identifikatzea da, nor izateko aukera izango dute horiek biak bidali eta mezuak DHCP jaso.

Aukera Konfiantza, portuan fidagarria bihurtzen, ahalbidetuz DHCP zerbitzari igarotzea bezeroei eskaintzen.

sw(config)# ip DHCP snooping -> zerbitzu gaitu.
sw(config)#interface F0 / 1
sw(config-bada)#ip DHCP snooping konfiantza

Fidagarritasunik eskaerak soilik bidali ahal, dute daiteken DHCP bezeroek konektatutako orain, baina ez zerbitzarietan.
DHCP ere oso DoS eraso jasan (Zerbitzua ukatzea) oinarritutako IP helbide konfigurazio MAC aplikazioetan anitz asmatu abiarazteko, Eskura dauden IP guztiak agortu nahi zerbitzariari.
Azken kasu egiteko, Komeni da hori ataka baten bidez egin ahal izango dira eskaera kopurua mugatzeko, komandoa batera:

sw(config-bada)#IP dhcp ikusmiran muga tasa ratio --> baliozko eskaera kopurua.

Komando hauek ez dira simulator Packet trazadorean eskuragarri, tendremos que comprobarlos en switches reales 🙂

Espero dut artikulu berri hau izan beharko interesgarria, hala bada ezin duzu eman +1 edo nahi dut zure gogoko sare sozialak eta eduki hau lagun iezaguzu, eskerrak.


Buruz Angel Calvo

Zientzia eta teknologia sutsua. Irakaslea, eskuliburuak eta sistemak eta komunikazioak manager egileak.

Utzi erantzuna