Sekureco en havenoj de Cisco ŝaltiloj

Kiel sekurigi havenojn sur Cisco-ŝaltiloj

En ĉi tiu artikolo, ni vidos kiel iuj sekurecaj kriterioj povas esti establitaj en la havenoj de Cisco-ŝaltiloj..

Kiel en la aliaj artikoloj en ĉi tiu serio, kiujn ni publikigas, Estas necese havi certajn sciojn pri uzado de Cisco-aparatoj kaj la reto-simulilo Packet Tracer.

Ŝaltila sekureco komenciĝas per aliro al la sistemo mem, per la konzolo aŭ per virtualaj linioj (vty), ĉu per Telnet aŭ SSH, aŭ ankaŭ de Http. Vi povas agordi pasvorton por aliro en privilegia reĝimo kaj ankaŭ, La aŭtentikigo eblas surloke, pere de uzantoj agorditaj en la sistemo mem, kun iliaj malsamaj niveloj de privilegioj, aŭ per ekstera servilo (kiel servilo RADIO ekzemple).

Ekzemplo

Agordi pasvorton por konsola aliro, por ke nenio pli estu petata konekti tra fina stacio:

sw(Config)#linia konzolo 0
sw(agordi-linion)#Password micontraseña

Ĉi tio sufiĉas.
En iuj sistemoj, precipe ĉe enkursigiloj, ekzistas helpa konekto (AL LA) ke por uzi ĝin vi devas agordi pasvorton; Ĝi estas destinita por konekto per modemo.

Por sekureco el reta vidpunkto, nivelo de ŝaltilo (kovrilo 2) virtualaj LANoj ofte estas uzataj (VLAN) apartigi elsendajn domajnojn.
Ekzistas ankaŭ sekureco ĉe la havenivelo, tio iras preter la aliroj al la ŝaltila sistemo, kun kiu vi provas kontroli, kiuj komputiloj konektas al la reto. Ĝi estas en ĉi tiu aspekto, kie ni fokusos la artikolon.

Statika adreso-asigno

Ĝi konsistas en permane asigni MAC-adreson al specifa haveno. Oni povas kontroli, ke ĉi tiu ekipaĵo ne povas esti konektita al alia haveno. La malo eblas.
La sintakso de komando:

sw(Config)#mac-adreso-tablo statika mac_address interfaco   vlan vlan_number

Por forigi la taskon, uzu la neniun formon de la komando.

sw(Config)#neniu statika mac-adreso-tablo mac_address interfaco   vlan vlan_number

Oni devas rimarki, ke la sintakso montrita povas iomete dependi de la ŝaltilo-modelo aŭ de la IOS-versio.
Kontroli la agordon eblas nur per simple rigardado de la ŝaltila MAC-adresotablo:

sw # show mac-address-table
          Tabla Adreso Mac
-------------------------------------------

Vlan Mac Adreso Tipaj Havenoj
----    -----------       --------    -----

   1    0001.6429.c999 STATIC Fa0 / 7
   1    0002.4aea.d2c1 STATIKA Fa0 / 4
   1    0006.2a85.3b41 STATIKA Fa0 / 3
   1    0010.111D.078d STATIKA Fa0 / 2
   1    0040.0b95.0844 ESTATIKA Fa0 / 8
   1    0060.7074.1915    STATIKA Fa0 / 5
   1    0090.0c2b.8c7a STATIKA Fa0 / 6

Sekuraj havenoj

Sekura haveno estas konata kiel unu agordita tiel ke vi povas establi MAC-adreson kiel sekura, kaj malebligu ke la resto de la teamo povu konekti al tiu sama haveno.
Estas multaj manieroj trakti la sekuran havenon. La baza agordo:

  • Por apliki sekurecon, la haveno devas esti en reĝimo aliro. Rimarku tiam la problemojn kaze de trunkoj (kuracado de vlan kaj specife de la denaska vlan)
sw(agordi-se)#interŝanĝa reĝima aliro
  • Establi sekurecon.
sw(agordi-se)#interŝanĝa haveno-sekureco

Kun la haveno tiel agordita, defaŭlte, la unua MAC por lerni (tiu de la unua intrigo, kiu trairas tien) ĝi estos la sola uzebla, ĝis vi malkonektas, tiam tiu, kiu lernos poste, fariĝos sekura. Ĝi povas esti ŝanĝita por lerni pli ol unu kiel sekura (nur havas sencon sur haveno konektita al nabo aŭ alia ŝaltilo).
Por ke tuj kiam ĝi lernas adreson, ne permesas ŝanĝi ĝin.

sw(agordi-se)#ŝaltila haven-sekureca mac-adreso makula

Ĝi ankaŭ permesas indiki la MAC mane. Defaŭlte ĝi fermas la interfacon se ĝi detektas ŝanĝon. Por reakiri la interfacon post sekureca seruro, ĝi devas esti ŝaltita kaj denove (kurante halto en tiu haveno, Kaj neniu halto tiam).
Aliaj ebloj haveno-sekureco filo malobservo Kaj maksimumo.
Por indiki la nombron da sekuraj adresoj:

sw(agordi-se)#interŝanĝa haveno-sekureco maksimuma 

Por indiki la seksperfortreĝimon:

sw(agordi-se)#malobservo de port-sekureca interŝanĝo {halto | protekti | restrikti}

Ebloj malobservo indiku konduton antaŭ sekureca rompo, ĉi tiuj elektoj estas:

      • halto, defaŭlte, bloki la havenon kaj pliigi la malobservon.
      • protekti, malebligas sendi kadrojn sen bloki la havenon, ne pliigas la nombron de malobservoj.
      • restrikti, malebligas sendi kadrojn sen bloki la havenon, plialtigas la malobservon kaj sendas avertojn per SNMP.

Notu, ke kadro plusendado devas okazi por malobservo de havena sekureco. Por fari ĉi tion faras a ping ekzemple.
La defaŭlta opcio, halto, notu, ke ĝi povas esti malutila sur haveno konektita al alia ŝaltilo aŭ nabo, ekipaĵo povus esti blokita kaj lasita sen servo “legitima”.
switch cisco photo puerto de switch bloqueado_zpsfxkg07fl.png
Ekzemplo de blokita haveno (ruĝe) dividante ĝin. Iu alia eblo de malobservo.

Funkciaj kontroloj:

Por kontroli la sekurecan staton de havenoj.

sw # montras havenon-sekurecon

Por vidi la detalan agordon de haveno.

sw # montras interfacon de haveno-sekureco Interfaco
Ekzemplo
Ŝanĝu # sh haven-sekurecon
Sekura Haveno MaxSecureAddr CurrentAddr SecurityViolation Security Action
          (Grafo)     (Grafo)          (Grafo)
--------------------------------------------------------------------
Fa0 / 2        1          1                 0             Protekti
Fa0 / 3        1          1                 0             Protekti
Fa0 / 4        1          1                 3            Limigi
Fa0 / 5        1          1                 0            Limigi
Fa0 / 6        3          0                 0            Fermo
Fa0 / 7        1          1                 1            Fermo
Fa0 / 8        3          2                 0            Fermo
----------------------------------------------------------------------

Kolumnoj montrantaj la nombron da sekuraj adresoj kaj kiujn oni lernis kaj memoras, same kiel la malobservo. En la protekti tiu vendotablo ĉiam estos nula.
Forigi sekuran maŝon:

sw # klara haveno-sekureco ĉiuj
sw # klara haveno-sekureco agordita -> por statika
sw # klara haven-sekureca dinamiko -> por la dinamikoj
sw # klara haven-sekureca gluo -> por la glueca

Vi ankaŭ povas agordi la tempon, kiun konservas la lernita maŝino:

sw # switchportport-sekureca maljuniĝtempo Minutoj --> post kiu ĝi estas forviŝita.

Malŝarĝu vin Tie ekzempla dosiero por testi ĉi tiujn aferojn (Kreita kun Packet Tracer 6)

Haveno sekureco por DHCP:

Grava defendo, kiun ni povas apliki en la havenoj, estas kontraŭ atakoj al la servo DHCP.

La DHCP-protokolo funkcias surbaze de elsendoj, neniu aŭtentikigo, tial ĝi estas susceptible de atako per DHCP-serviloj “piratoj” koncedante falsajn agordojn al legitimaj klientoj. Ĉi tiuj, kutime, ili ne akiros la necesan agordon por aliri eksterajn rimedojn.
Li kapjesante konsistas en la identigo de fidindaj havenoj, kiu rajtos ambaŭ sendi kaj ricevi DHCP-mesaĝojn.

Kun elekto fidi, la haveno fariĝas fidinda, permesante la transiron de ofertoj de DHCP-serviloj al klientoj.

sw(Config)# ip dhcp snooping -> por ebligi la servon.
sw(Config)#interfaco f0 / 1
sw(agordi-se)#ip dhcp snooping trust

Los no confiables solo pueden enviar solicitudes, con lo que podrán tener conectados clientes DHCP, pero no servidores.
DHCP también es muy susceptible a los ataques de DoS (Denegación de Servicio) a base de lanzar múltiples solicitudes de configuración IP con direcciones MAC inventadas, con el objetivo de agotar todas las IP disponibles en el servidor.
Para éste último caso, es oportuno limitar el número de peticiones que se puedan realizar a través de un puerto, con el comando:

sw(agordi-se)#ip dhcp snooping limit rate ratio --> número de peticiones válidas.

Estos comandos aún no están disponibles en el simulador Packet Tracer, tendremos que comprobarlos en switches reales 🙂

Espero que este nuevo articulo os haya resultado interesante, Se estas tiel povas doni +1 aŭ ŝatas ĝin en viaj plej ŝatataj sociaj retoj kaj helpu nin dividi ĉi tiun enhavon, Dankon.


About anĝelo Calvo

Logita de scienco kaj teknologio. profesoro, aŭtoro de manlibroj kaj sistemoj kaj komunikadoj manaĝero.

Leave al Reply

Your email address will not bo published.