Porturi comutator de siguranță Cisco

Asigurarea porturile switch-uri Cisco de

În acest articol vom vedea cum puteți seta anumite standarde de securitate în porturile switch-uri Cisco de.

Ca și în alte articole din această serie pe care îl publica, este necesar pentru anumite cunoștințe de management Cisco dispozitive simulator și rețele au Packet Tracer.

Întrerupătoare de siguranță începe cu sistemul de acces în sine, printr-o consolă sau prin intermediul liniilor virtuale (VTY), ya por mare Telnet o SSH, sau, de asemenea, prin Http. Puteți seta o parolă pentru a accesa modul privilegiat și, de asemenea, autentificare poate fi modul local, configurat de către utilizatori pe sistemul în sine, cu diferite niveluri de privilegii, sau prin intermediul unui server extern (ca un server RADIUS de exemplu,).

Exemplu

Pentru a seta o parolă pentru acces consola, astfel încât acestea să nu cer nimic mai mult conectate printr-o sesiune terminal de:

sw(config)#consolă line 0
sw(config-line)#parolă micontraseña

Cu care destul este suficient.
In unele sisteme, în special routere, Există o conexiune auxiliară (LA) care să-l utilizați, trebuie să setați o parolă; Acesta este conceput pentru conectarea prin modem.

Pentru siguranța din punct de vedere al rețelei, o Nivel de comutator (capac 2) LAN-urile virtuale sunt adesea folosite (VLAN) pentru a separa domenii de difuzare.
Există, de asemenea o siguranță porturi nivel, care merge dincolo de accesul la comutatorul sistemului, cu care încerca să controleze computerele care se conectează la rețea. Este aici, unde accentul articolul.

Cesiune adresa statică

Acesta este de a atribui manual o adresă MAC pentru un anumit port. Puteți verifica dacă computerul nu se poate conecta la un alt port. În caz contrar, dacă puteți.
Sintaxa comenzii:

sw(config)#mac-adresa-masă statică mac_address interfață Nu.  VLAN nombre_vlan

Pentru a elimina maparea trebuie utilizat nici o formă de comanda.

sw(config)#nici mac-adresa-masă statică mac_address interfață Nu.  VLAN nombre_vlan

Trebuie remarcat faptul că sintaxa prezentată poate varia ușor în funcție de model comutator sau versiune de IOS.
Verificarea de configurare se poate face pur și simplu prin consultarea tabelului adresa MAC a comutatorului:

SW # arată mac-adresa-masă
          Adresă MAC Tabel
-------------------------------------------

VLAN Mac Adresa Tip Porturi
----    -----------       --------    -----

   1    0001.6429.c999 STATIC Fa0 / 7
   1    0002.4aea.d2c1 STATIC Fa0 / 4
   1    0006.2a85.3b41 STATIC Fa0 / 3
   1    0010.111d.078d STATIC Fa0 / 2
   1    0040.0b95.0844 STATIC Fa0 / 8
   1    0060.7074.1915    STATIC Fa0 / 5
   1    0090.0c2b.8c7a STATIC Fa0 / 6

Porturi sigure

Este cunoscut ca un port sigur, care este configurat astfel încât să poată stabili o adresă MAC ca sigur, și pentru a preveni alte computere pentru a se conecta la același port.
Există mai multe modalități de a trata sfera de siguranță. Configurația de bază:

  • Pentru a aplica securitate necesită portul să fie în acces. Notă apoi problemele în cazul trunchiului (tratament VLAN și în special VLAN nativ)
sw(config-if)#acces modul switchport
  • Pentru a stabili de securitate.
sw(config-if)#switchport Port-de securitate

Cu portul și configurat, în mod implicit, primul MAC a învăța (din primul cadru care trece prin) Este singurul de a utiliza, până când deconectați, apoi să învețe să devină mai târziu în condiții de siguranță. Puteți comuta pentru a afla mai mult de un fel de sigure (doar are sens într-un port conectat la un hub sau un alt comutator).
Pentru a afla mai multe despre o direcție, nu permit schimbarea.

sw(config-if)#switchport port securitate mac-adresa lipicios

Indică o parte, de asemenea, MAC. Off interfață implicit în cazul în care detectează o schimbare. Pentru a prelua interfața după o blocare de securitate trebuie să fie oprit și din nou (funcționare închide în acest port, și nu shutdown apoi).
Alte opțiuni Port-secuity fiu încălcare și maxim.
Pentru a indica numărul de adrese sigure:

sw(config-if)#maxim switchport Port-de securitate Nu.

Pentru a indica modul de viol:

sw(config-if)#încălcare switchport Port-de securitate {închide | proteja | restrânge}

Opțiuni încălcare Ele indică comportamentul în fața unei încălcări de securitate, aceste opțiuni sunt:

      • închide, în mod implicit, blocarea portului si suplimente contra încălcărilor.
      • proteja, previne trimiterea cadre fără blocarea portului, nu crește numărul de viol.
      • restrânge, previne trimiterea cadre fără blocarea portului, incrementeaza contorul și trimite notificări de încălcări de SNMP.

Rețineți că trimiterea de cadre pentru a fi produse, care pot fi cauzate de o încălcare a securității în portul. Pentru a face acest lucru, face voi o ping de exemplu,.
Implicit, închide, Rețineți că poate fi dăunătoare într-un port conectat la un alt switch sau hub, s-ar putea bloca și anula Echipament servicii “legitim”.
switch cisco photo puerto de switch bloqueado_zpsfxkg07fl.png
Exemplu de un port blocat (roșu) pentru a partaja. În caz contrar, ar fi opțiune mai bună încălcare.

Verificări de funcționare:

Pentru a verifica starea de securitate portuară.

SW # arată de port-securitate

Pentru a vizualiza configurarea detaliată a unui port.

SW # arată port-securitate interfață
Exemplu
Comutator # sh port de securitate
Secure Acțiune Port MaxSecureAddr CurrentAddr SecurityViolation Securitate
          (Conta)     (Conta)          (Conta)
--------------------------------------------------------------------
Fa0 / 2        1          1                 0             Proteja
Fa0 / 3        1          1                 0             Proteja
Fa0 / 4        1          1                 3            Restrânge
Fa0 / 5        1          1                 0            Restrânge
Fa0 / 6        3          0                 0            Închide
Fa0 / 7        1          1                 1            Închide
Fa0 / 8        3          2                 0            Închide
----------------------------------------------------------------------

Ei pot vedea coloanele arata numarul de adrese sigure și cele care au fost învățate și a adus aminte, și încălcări contra. În proteja care contra va fi resetat la fiecare.
Pentru a elimina în condiții de siguranță mac:

SW # clar Port-de securitate toate
SW # clar de port-securitate configurate -> para las estáticas
SW # clar dinamic de port-securitate -> para las dinámicas
SW # clar de port-securitate lipicios -> pentru lipicios

Puteți seta, de asemenea, timpul de Păstrează MAC învățat:

SW # switchport de port-securitate timp de imbatranire minute --> după care acesta este șters.

Descărcați Aici un fișier mostră pentru a dovedi aceste lucruri (creat cu Packet Tracer 6)

Pentru securitatea portuară DHCP:

O apărare important pe care putem aplica în porturile se confruntă cu atacuri de servicii DHCP.

DHCP funcționează emisiuni bazate pe, neautentificat, de aceea este susceptibil la atacul de server DHCP “pirați” care dau configurații false pentru clienții legitimi. Acestea, în mod normal, Tu nu va primi setările necesare pentru a accesa resurse externe.
El snooping Ea constă în identificarea porturi sigure, cei care vor să li se permită atât trimite și primi mesaje DHCP.

Cu opțiunea încredere, portul devine de încredere, care permite trecerea de server DHCP ofera clientilor.

sw(config)# ip dhcp Snooping -> pentru a permite serviciului.
sw(config)#interfață f0 / 1
sw(config-if)#ip dhcp Snooping încredere

Nesigur pot trimiteti numai cereri de, astfel încât să poată fi conectat clienți DHCP, dar nu servere.
DHCP este, de asemenea, foarte sensibile la atacuri DoS (Denial of Service) pentru a lansa mai multe aplicații bazate pe configurația adresei IP MAC inventate, în scopul de a epuiza toate disponibile IP pe serverul.
Pentru acest din urmă caz, Este necesar să se limiteze numărul de cereri care pot fi efectuate printr-un port, cu comanda:

sw(config-if)#DHCP IP snooping rata limită raport --> Numărul de cereri valide.

Aceste comenzi nu sunt disponibile în Tracer simulator Packet, tendremos que comprobarlos en switches reales 🙂

Sper ca acest nou articol va fi fost interesant, Dacă este așa poți da +1 sau Îmi place în rețelele sociale preferate și să ne ajute accesul la această conținut, mulțumiri.


Despre Angel Calvo

Pasionat de știință și tehnologie. Profesor, autor de manuale și a sistemelor și comunicații director.

Lasă un Răspuns