Sichern Häfen von Cisco-Switches
In diesem Artikel werden wir sehen, wie Sie bestimmte Sicherheitsstandards in den Häfen von Cisco-Schalter eingestellt.
Wie in den anderen Artikeln dieser Serie, die veröffentlichen wir, ist für bestimmte Wissensmanagement Cisco Simulator Geräte und Netzwerke sind notwendig Packet Tracer.
Sicherheitsschalter beginnt mit dem Zugangssystem selbst, über die Konsole oder über die virtuellen Linien (vty), ya Meer por Telnet o SSH, oder auch durch Http. Sie können ein Passwort einrichten, um Zugriff auf den privilegierten Modus und auch, Die Authentifizierung kann lokalen Modus, die von den Benutzern des Systems selbst konfiguriert, mit unterschiedlichen Berechtigungsebenen, oder mittels eines externen Servers (als Server RADIUS z.B.).
Beispiel
Um ein Kennwort für den Konsolenzugriff eingestellt, so fragen sie nichts mehr verbunden durch eine Terminal-Sitzung:
sw(Config)#Zeilenkonsole 0 sw(config-line)#Passwort micontraseña
Mit dieser genug, es ist genug.
In einigen Systemen, vor allem Router, Es gibt ein Hilfsverbindungs (TO) dass es zu benutzen Sie ein Kennwort festgelegt haben,; Es ist für den Anschluss über Modem ausgelegt.
Aus Sicherheitsgründen aus der Sicht des Netzwerks, a nivel de Schalter (Abdeckung 2) Virtuelle LANs werden oft verwendet, (VLAN) Broadcast-Domänen zu trennen.
Es ist auch ein Sicherheits Level-Ports, dass über den Zugang zum System-Schalter geht, mit dem Sie versuchen, zu steuern, welche Computer mit dem Netzwerk verbinden. Es ist hier, wo Fokus Artikel.
Statische Adresszuweisung
Es ist eine MAC-Adresse zu einem bestimmten Hafen manuell zuweisen. Sie können überprüfen, ob der Computer kann nicht an einen anderen Port anschließen. Ansonsten, wenn du kannst.
Die Befehlssyntax:
sw(Config)#mac-address-table static mac_address Schnittstelle Nein. vlan nombre_vlan
Um die Zuordnung zu entfernen sollte keine Form des Befehls verwendet werden.
sw(Config)#kein mac-address-table static mac_address Schnittstelle Nein. vlan nombre_vlan
Es sei darauf hingewiesen, dass das gezeigte Syntax kann sich je nach dem Switch-Modell oder Version von IOS variieren.
Die Konfigurationsprüfung kann einfach durch Rücksprache mit dem MAC-Adresstabelle des Schalters durchgeführt werden:
sw # show mac-address-table MAC-Adresstabelle ------------------------------------------- VLAN-Mac-Adresstyp Ports ---- ----------- -------- ----- 1 0001.6429.C999 STATIC Fa0 / 7 1 0002.4aea.d2c1 STATIC Fa0 / 4 1 0006.2a85.3b41 STATIC Fa0 / 3 1 0010.111d.078d STATIC Fa0 / 2 1 0040.0b95.0844 STATIC Fa0 / 8 1 0060.7074.1915 STATIC Fa0 / 5 1 0090.0c2b.8c7a STATIC Fa0 / 6
Sicheren Häfen
Es wird als ein sicherer Hafen, der konfiguriert ist, so dass es eine MAC-Adresse als sicher nachweisen kann, bekannt, und verhindern, dass andere Computer mit dem gleichen Port zu verbinden.
Es gibt mehrere Möglichkeiten, um den sicheren Hafen zu behandeln. Grundausstattung:
- Um die Sicherheit zu gelten erfordert den Anschluss, in sein Zugriff. Beachten dann die Probleme im Fall von Stamm (VLAN-Behandlung und vor allem die native VLAN)
sw(config-if)#Switchportmoduszugang
- Um die Sicherheit zu etablieren.
sw(config-if)#Switchport-Sicherheit
Mit dem Hafen und konfiguriert, standardmäßig, die erste MAC lernen (des ersten Rahmens, der vergeht) Es ist das einzige zu bedienen, bis Sie trennen, Dann lernen Sie später sicher geworden. Sie können wechseln, um mehr als eine als sicher lernen (nur ist es sinnvoll in einem Hafen mit einem Hub oder einem anderen Switch verbunden).
Um über eine Richtung zu lernen, ändern sich nicht erlauben,.
sw(config-if)#Switchport-Sicherheits mac-address sticky
Zeigt die MAC auch Hand. Aus Standardschnittstelle, wenn es eine Änderung erkennt. Um die Schnittstelle abzurufen, nachdem eine Sicherheitssperre muss ausgeschaltet und wieder eingeschaltet werden, (Laufen herunterfahren in diesem Hafen, und no shutdown dann).
Weitere Möglichkeiten Port-secuity Sohn Verletzung und Maximum.
Um die Anzahl der sicheren Adressen anzuzeigen,:
sw(config-if)#Switchport-Sicherheitsmaximal Nein.
Um den Modus der Vergewaltigung anzuzeigen,:
sw(config-if)#Switchport-Sicherheitsverletzung {herunterfahren | schützen | beschränken}
Optionen Verletzung Sie zeigen das Verhalten vor einer Verletzung der Sicherheit, diese Optionen sind:
-
-
- herunterfahren, standardmäßig, Blockierung der Hafen und erhöht den Zähler von Verletzungen.
- schützen, verhindert Senden von Frames, ohne zu blockieren den Hafen, nicht die Anzahl der Vergewaltigungen zu erhöhen.
- beschränken, verhindert Senden von Frames, ohne zu blockieren den Hafen, inkrementiert den Zähler und sendet Mitteilungen von Verstößen durch SNMP.
-
Beachten Sie, dass Senden von Rahmen erzeugt, die zu einer Sicherheitsverletzung im Hafen verursacht werden können, werden. Um dies zu tun, stellen Sie ihr eine Klingeln z.B..
Der Standard, herunterfahren, Beachten Sie, dass es nachteilig in einem Hafen zu einem anderen Switch oder Hub angeschlossen sein,, es blockieren könnten und Service stornieren “legitim”.
Beispiel eines gesperrten Port (rot) zu teilen. Sonst wäre es bessere Option sein Verletzung.
Funktionsprüfungen:
Um den Status der Port-Sicherheit überprüfen.
sw # show Port-Sicherheit
Um die detaillierte Konfiguration eines Ports betrachten.
sw # show port-Sicherheitsschnittstelle Schnittstelle
Beispiel
Switch # sh-Port-Sicherheit
Secure Port-MaxSecureAddr CurrentAddr SecurityViolation Sicherheitsaktions
(Zählen) (Zählen) (Zählen)
--------------------------------------------------------------------
Fa0 / 2 1 1 0 Schützen
Fa0 / 3 1 1 0 Schützen
Fa0 / 4 1 1 3 Beschränken
Fa0 / 5 1 1 0 Beschränken
Fa0 / 6 3 0 0 Herunterfahren
Fa0 / 7 1 1 1 Herunterfahren
Fa0 / 8 3 2 0 Herunterfahren
----------------------------------------------------------------------
Sie können sehen, die Spalten zeigen die Anzahl der sicheren Adressen und diejenigen, die gelernt und erinnert haben, und Gegenverletzungen. In schützen daß der Zähler wird jeder zurückgesetzt werden.
Um sicher zu mac entfernen:
sw # klare Port-Sicherheit alle sw # klare Port-Sicherheit konfiguriert -> para las estáticas sw # klare Port-Sicherheit dynamisch -> para las Dinámicas sw # klare Port-Sicherheit klebrig -> für klebrigen
Sie können auch die Zeit, schont die MAC gelernt eingestellt:
sw # Switchport-Sicherheitsalterungszeit Protokoll --> wonach es gelöscht wird.
Download Hier eine Beispieldatei, um diese Dinge zu beweisen (mit Packet Tracer erstellt 6)
Für die Gefahrenabwehr im Hafen DHCP:
Eine wichtige Verteidigung, die wir in den Häfen gelten steht vor DHCP-Service-Attacken.
DHCP funktioniert Based Sendungen, unauthenticated, so dass es anfällig für durch DHCP-Server anzugreifen “Piraten” die falsche Konfigurationen, um legitime Kunden zu geben. Diese, normalerweise, Sie erhalten nicht die notwendigen Einstellungen auf externe Ressourcen zugreifen.
Die Schnüffelei Es besteht bei der Ermittlung zuverlässiger Häfen, diejenigen, die erlaubt werden, um sowohl Nachrichten senden und empfangen DHCP.
Mit der Option Vertrauen, der Hafen zuverlässiger wird, so dass der Durchgang von DHCP-Server bietet den Kunden.
sw(Config)# ip dhcp snooping -> um den Dienst zu aktivieren. sw(Config)#Schnittstelle F0 / 1 sw(config-if)#ip DHCP Snooping Trust
Nicht vertrauenswürdig kann nur schickt Anfragen, so dass sie DHCP-Clients angeschlossen werden können, aber keine Server.
DHCP ist auch sehr anfällig für DoS-Angriffe (Denial of Service) , mehrere Anwendungen auf Basis von IP-Adresskonfiguration MAC erfunden starten, um alle verfügbaren IP auf dem Server zu erschöpfen.
Für den letzteren Fall, Es ist zweckmäßig, die Anzahl der Anfragen, die durch eine Öffnung gebildet werden kann, einschränken, mit dem Kommando:
sw(config-if)#ip dhcp snooping Grenzrate Verhältnis --> Anzahl gültiger Anfragen.
Diese Befehle sind nicht in den Simulator Packet Tracer, tendremos que comprobarlos en switches reales 🙂
Ich hoffe, dass dieser neue Artikel wird interessant gewesen, wenn ja, kann Ihnen +1 oder Ich mag in Ihre bevorzugten sozialen Netzwerke und helfen Sie uns diese Inhalte teilen, Dank.
