Отключение неиспользуемых портов
Отключение неиспользуемых портов — это простой способ защиты сети от несанкционированного доступа, используемый многими администраторами. К примеру, если коммутатор Satalist 2960 имеет 24 порта и при этом используются три подключения Fast Ethernet, рекомендуется отключить 21 неиспользуемый порт. Перейдите к каждому неиспользуемому порту и введите команду в Cisco IOS shutdown.
Sw1(config)#interface range fastEthernet 0/5-24
Sw1(config-if-range)#shutdown
Если в дальнейшем порт необходимо снова включить, это можно сделать с помощью команды no shutdown.
Sw1(config)#interface range fastEthernet 0/5-24
Sw1(config-if-range)#no shutdown
Port Security на коммутаторах Cisco
Настройка Port Security
Port Security настраивается в режиме настройки интерфейса. На многих коммутаторах Cisco по умолчанию порт находится в режиме dynamic autо, однако этот режим не совместим с функцией Port Security. Поэтому интерфейс надо перевести в режим trunk или access:
Настройка безопасных МAC-адресов
Применение адрессов с помощью динамических (sticky) команд
Если необходимо статически ввести адреса, вместо команды sticky будут записаны адреса:
Максимальное количество безопасных МAC-адресов
switchport port-security maximum N - означает, что MAC-адреса с количеством N одновременно работают в интерфейсе.
Например, на интерфейсе разрешить 3 МAC-адреса, а остальные настройки по умолчанию:
КОНТРОЛЬНЫЕ ВОПРОСЫ
Зачем нужно включать функцию безопасности порта на коммутаторе?
Функция Port Security предназначена для защиты коммутатора от вредоносной атаки, направленной на переполнение таблицы MAC-адресов. Функция позволяет ограничить максимальное количество MAC-адресов, которые может запомнить коммутатор для определенного порта. Порт с включённой функцией Port Security будет запоминать MAC-адреса динамически или статически, и, когда количество MAC-адресов достигнет лимита, он перестанет это делать. Устройства, не занесённые в таблицу, не смогут получить доступ в интернет через этот порт
В чем заключается функция Порт сеcуритй?
Port security – одна из функций коммутаторов Cisco catalyst, которую следует использовать обязательно. Когда через коммутатор проходят Ethernet-фреймы, он заполняет таблицу MAC адресов используя адрес отправителя, который указан в этих фреймах. Максимальный размер этой таблицы ограничен, заполнить её злоумышленнику не так сложно, как кажется, достаточно использовать специальный софт, который будет генерировать множество фреймов со случайными обратными адресами. Зачем это может понадобиться? В случае переполнения таблицы MAC адресов, коммутатор может начать действовать как хаб – то есть рассылать все полученные фреймы на все порты. Следующее действие злоумышленника – запустить сниффер, программу для просмотра всех входящих пакетов, а так как коммутатор у нас находится в режиме паники, то все пакеты, проходящие через него в том же VLAN-е, что и порт злоумышленника будут видны атакующему. Для того чтобы избежать подобной ситуации следует заранее позаботиться о том, чтобы на всех коммутаторах работал port security
Опишите основные атрибуты функция Порт сеcуритй
Исследуемая топология состоит из одного коммутатора Cisco Catalyst 2960 с операционной системой Cisco WS-C2960-24TT-L с ОС Cisco IOS Release 15.0(2)SE4 (образ C2960-LANBASEK9-M) и одного маршрутизатора Cisco 2911 с операционной системой Cisco IOS версии 15.6(3)M2 (образ C2900-UNIVERSALK9-M)). Допускается использование других коммутаторов и версий Cisco IOS.
Что такое МAC-адрес и как он определяется на устройствах?
MAC-адрес (от англ. Media Access Control — надзор за доступом к среде, также Hardware Address, также физический адрес) — уникальный идентификатор, присваиваемый каждой единице сетевого оборудования или некоторым их интерфейсам в компьютерных сетях Ethernet
Для чего в коммутаторе используется функция защиты порта?
Защита портов - эта функция коммутаторов Cisco Catalyst, которая разрешает доступ к порту ограниченному набору MAC адресов. Коммутатор может добавлять эти адреса динамически или вы можете задать их статически. Порт, на котором настроена функция защиты порта, принимает кадры только от добавленных или заданных адресов.
Существует несколько вариантов защиты порта.
Динамический. Вы можете указать, сколько MAC адресов могут одновременно использовать порт. Динамический метод используется, если имеет значение только количество разрешенных MAC адресов, а не их значения. В зависимости от конфигурации коммутатора, эти динамически добавленные адреса устаревают по прошествии определенного периода времени. Вместо устаревших адресов порт добавляет новые адреса, пока их количество не увеличивается до заданного максимального значения
В каких случаях используется максимальное количество Н Сеcуре-МAC?
Знаете ли вы какие-либо другие меры по обеспечению безопасности коммутатора?
Чтобы обозначить MAC адрес (Media Access Control) с точки зрения непрофессионала, вы можете представить MAC адрес как свой уникальный цифровой отпечаток пальца, который является единственным в мире. MAC адрес предоставляется производителем и встроен в микросхему, которая позволяет вашему устройству подключаться к сети. Для сетевого коммутатора он может иметь много MAC адресов, поскольку каждому интерфейсу коммутатора назначен один MAC адрес
MAC адрес – (Media Access Control address) – установленный производителем аппаратный адрес устройства, присоединённого к сетевой среде, необходимый для системы управления доступом к ней. Большинство сетевых протоколов канального уровня используют одну из систем глобально уникальной нумерации, которые находятся под контролем комитета IEEE RAC (Registration Authority Committee): EUI-48 и EUI-64. Наиболее распространены адреса типа EUI-48 (МАС-48), принятые в сетях Ethernet , Token Ring , FDDI и др. 48-битовый формат определяет адресное пространство размером 248 (или 281 474 976 710 656) адресов. B EUI-48 адрес записывается как последовательность из 12 шестнадцатеричных цифр, первые шесть из которых (organizational identifier, OI) обозначают производителя, а оставшиеся цифры – специальный номер, позволяющий однозначно определять устройство в локальной сети, т. е. после инсталляции сетевой карты (NIC) в компьютер её МАС адрес становится уникальным идентификатором компьютера по сети
Do'stlaringiz bilan baham: |