Protexendo portas de switches Cisco

Neste artigo, imos ver como pode definir certos estándares de seguridade nos portos de switches Cisco.

Como nos outros artigos desta serie que estamos publicando, é necesario para dispositivos simulador Cisco correcta de xestión de coñecemento e redes Packet Tracer.

Claves de seguridade comeza co propio sistema de acceso, a través da consola ou a través das liñas virtuais (vty), ya POR mar Telnet SSH, ou tamén por Http. Pode establecer un contrasinal para acceder ao modo privilexiado e tamén, a identificación pode ser o xeito local, configurado polos usuarios sobre o propio sistema, con diferentes niveis de privilexios, ou por medio dun servidor externo (como un servidor RADIUS por exemplo).

Exemplo

Para axustar un contrasinal para acceder a consola, para que non pido nada máis conectado a través dunha sesión de terminal:

sw(configuración)#consola de liña 0
sw(config liña)#contrasinal micontraseña

Con iso o suficiente é suficiente.
Nalgúns sistemas, especialmente routers, Hai unha conexión auxiliar (TO) que, para usalo hai que establecer un contrasinal; El está deseñado para conectarse vía módem.

Para a seguridade do punto de vista da rede, un nivel de chave (capa 2) LANs virtuais son moitas veces utilizados (VLAN) para separar dominios de transmisión.
Hai tamén unha seguridade portas de nivel, que vai alén do acceso á chave do sistema, co que tentar controlar cales ordenadores conectarse á rede. É aquí onde o foco artigo.

Asignación de dirección estático

É para asignar manualmente un enderezo MAC para unha porta específica. Pode comprobar se o ordenador non pode conectarse a outra porta. Se non, se poida.
A sintaxe de comandos:

sw(configuración)#-mac-address táboa estática mac_address interface nº  VLAN nombre_vlan

Para eliminar o mapeamento debe ser utilizada ningunha forma de orde.

sw(configuración)#non Mac address-table-estático mac_address interface nº  VLAN nombre_vlan

Debe notarse que a sintaxe mostrada pode variar lixeiramente en función do modelo de chave ou versión de IOS.
A comprobación da configuración pode ser feito simplemente consultando a táboa de direccións MAC do switch:

sw # show Mac-address-table
          Táboa de direccións MAC
-------------------------------------------

Tipo Enderezo VLAN Mac Ports
----    -----------       --------    -----

   1    0001.6429.C999 Static Fa0 / 7
   1    0002.4aea.d2c1 Static Fa0 / 4
   1    0006.2a85.3b41 Static Fa0 / 3
   1    0010.111d.078d Static Fa0 / 2
   1    0040.0b95.0844 Static Fa0 / 8
   1    0060.7074.1915    Static Fa0 / 5
   1    0090.0c2b.8c7a Static Fa0 / 6

Portos seguros

É coñecida como unha zona de protección que está configurado para que pode establecer un enderezo MAC como segura, e impedir que outros computadores para conectarse á mesma porta.
Existen varias maneiras de tratar o porto seguro. Configuración básica:

• Para aplicar seguridade require a porta á acceso. Nota entón os problemas no caso de tronco (VLAN tratamento e, particularmente, a VLAN nativa)

sw(config-se)#acceso switchport mode

• Para establecer a seguridade.

sw(config-se)#porta de seguridade switchport

Co porto e configurado, por defecto, o primeiro MAC para aprender (do primeiro cadro que pasa pola) É o único a usar, ata que apague, Entón aprenda máis tarde converterse en seguro. Pode cambiar para aprender máis do que unha tan seguro (só que ten sentido nunha porta conectada a un hub ou outro rede).
Para saber máis sobre a dirección, non permiten o cambio.

sw(config-se)#porta de seguridade switchport Mac-address Sticky

Indica o MAC tamén man. Off interface estándar se detecta un cambio. Para recuperar a interface tras un bloqueo de seguridade debe ser desactivado e conectado de novo (carreira peche neste porto, e no shutdown logo).
Outras opcións port-secuity fillo violación e máximo.
Para indicar o número de enderezos seguros:

sw(config-se)#máxima seguridade switchport port- nº

Para indicar o modo de violación:

sw(config-se)#porta de seguridade switchport violación {peche | protexer | restrinxir}

Las opciones de violación indican el comportamiento ante una violación de la seguridad, estas opcións son:

1. 1. • peche, por defecto, bloqueando a porta e incrementa o contador de violacións.
      • protexer, impide o envío de cadros sen bloquear a porta, non aumenta a conta de violación.
      • restrinxir, impide o envío de cadros sen bloquear a porta, incrementa o contador e envía avisos de violacións por SNMP.

Nótese que o envío de cadros que se producen, que poden ser causados ​​a unha violación de seguridade na porta. Para iso, facervos un sibilo por exemplo.
O estándar, peche, Nótese que isto pode ser prexudicial a un porto conectado a outro conmutador ou concentrador, podería bloquear e cancelar equipos de servizo “lexítimo”.

Exemplo dunha porta bloqueada (vermello) compartir. Se non, sería mellor opción violación.

As comprobacións de funcionamento:

Para comprobar o estado de seguridade do porto.

sw # show port-security

Para ver a configuración detallada dun porto.

sw # show interface porta de seguridade interface

Exemplo

Switch # sh porta de seguridade
Fixe Acción Porto MaxSecureAddr CurrentAddr SecurityViolation Seguridade
          (Conta)     (Conta)          (Conta)
--------------------------------------------------------------------
Fa0/2        1          1                 0             Protect
Fa0/3        1          1                 0             Protect
Fa0/4        1          1                 3            Restrict
Fa0/5        1          1                 0            Restrict
Fa0/6        3          0                 0            Shutdown
Fa0/7        1          1                 1            Shutdown
Fa0/8        3          2                 0            Shutdown
----------------------------------------------------------------------

Poden ver as columnas amosan o número de enderezos seguros e os que foron aprendidas e lembrouse se, e violacións de contador. En protexer ese contador será redefinido cada.
Para eliminar Mac seguro:

sw # clara porta de seguridade todo
sw # porta de seguridade clara configurado -> para las estáticas
sw # claro dinámico porta de seguridade -> para las dinámicas
sw # clara porta de seguridade pegajoso -> para pegajoso

Tamén pode axustar o tempo que preserva o MAC aprendeu:

sw # switchport tempo de envellecemento porta de seguridade minutos --> tras o que se borra.

Descargar Aquí un ficheiro de exemplo para demostrar isto (creada co Packet Tracer 6)

Para a seguridade portuaria DHCP:

Unha defensa importante que podemos aplicar nos portos está enfrentando ataques do servizo DHCP.

DHCP funciona transmisións Based, non dentro do sistema, así que é susceptible ao ataque polo servidor DHCP “piratas” que dan falsas configuración para clientes lexítimos. Estes, normalmente, Non vai obter os axustes necesarios para acceder a recursos externos.
O bisbilhotar Ela consiste na identificación de portas fiábeis, os que se permitirá enviar e recibir mensaxes DHCP.

Coa opción confianza, a porta se fai fiable, permitindo o paso de servidor DHCP ofrece aos seus clientes.

sw(configuración)# ip dhcp snooping -> para activar o servizo.
sw(configuración)#interface de f0 / 1
sw(config-se)#ip dhcp snooping confianza

Non fiable só poden enviar solicitudes, de xeito que poidan ser conectados clientes DHCP, pero ningún servidor.
DHCP tamén é moi susceptible a ataques DOS (Denegación de Servizo) para lanzar varias aplicacións baseadas en configuración de enderezo IP MAC inventados, a fin de esgotar todas IP dispoñibles no servidor.
Para este último caso, É conveniente limitar o número de solicitudes que se poden facer a través dunha porta, co comando:

sw(config-se)#ip dhcp snooping taxa límite relación --> número de solicitudes válidos.

Estes comandos non están dispoñibles no simulador Packet Tracer, tendremos que comprobarlos en switches reales 🙂

Esperamos que este novo artigo pode ser interesante, se así pode dar- +1 ou me gusta nas súas redes sociais favoritas e axudarnos a compartir este contido, grazas.