VAZIFALAR
O'zingiz uchun SMTP va POP3 dastur protokollarini o'rganing. Tarmoq topologiyasini
xuddi shunday qoldiring. Variantga muvofiq tarmoq qurilmalarini sozlang.
Paket marshrutlari, ularning tarkibi haqida xabar bering va natijalarini tushuntiring. Yuboruvchi
va qabul qiluvchini o'zingiz aniqlang.
195
8-LABORATORIYA ISHI
CISCO PACKET TRACER DASTURIDA PORT HAVFSIZLIGINI
TA`MINLASH
Ishdan maqsad :
Cisco Packet Tracer dasturida kommutatorning port havfsizligini funksiyasi
bilan tanishish va amaliy ko`nikmalarga ega bo`lish .
Nazariy qism.
PORT XAVFSIZLIGI - CISCO CATALYST KOMMUTATORLARI TAVSIFI VA
ULARNI SOZASH
Port xavfsizligi
Cisco catalyst
kommutatorlarida foydalanish kerak bo'lgan xususiyatdir. Ethernet
freymlari tugmachadan o'tib , MAC manzil jadvalini ushbu freymlarda ko'rsatilgan yuboruvchi
manzilidan foydalanib to'ldiradi . Ushbu jadvalning maksimal hajmi cheklangan, tajovuzkor
uchun uni to'ldirish qiyin bo'lgani kabi qiyin emas, tasodifiy qaytish manzillari bilan ko'plab
freymlarni yaratadigan maxsus dasturlardan foydalanish kifoya.
Nega sizga kerak bo'lishi mumkin? MAC-manzil jadvali to'lib toshgan taqdirda, kommutator
markaz vazifasini bajarishi mumkin - ya'ni barcha qabul qilingan kadrlarni barcha portlarga
yuborish. Hujumchining keyingi harakati snaynerni ishga tushirish
Bizning switch vahima
holatida buyon, barcha kiruvchi paketlarni ko'rish uchun dastur, va tajovuzkor ning portiga bir
xil VLAN unga o'tib, barcha paketlari ko'rinadigan bo'ladi tajovuzkor . Bunday vaziyatni oldini
olish uchun siz port xavfsizligi barcha kommutatorlarda ishlashiga oldindan e'tibor berishingiz
kerak .
Ushbu funktsiyaning mohiyati nimada: u yoki bu tarzda har bir port uchun unda paydo bo'lishi
mumkin bo'lgan MAC-manzillar ro'yxati (yoki raqami) cheklangan, agar portda juda ko'p
manzillar ko'rinadigan bo'lsa, u holda port o'chadi. Shunday qilib, ko'rish qiyin emasligi sababli
tasodifiy qaytish manzillari bilan freymlarni yaratish g'oyasi tezda muvaffaqiyatsiz bo'ladi.
MAC manzillariga cheklovlarni kiritishning ikki yo'li mavjud:
1.
Statik - administrator qaysi manzillarga ruxsat berilganligini ro'yxatlashganda
2.
Dinamik - ma'mur nechta manzilga ruxsat berilishini aniqlaganda va o'tish tugmasi bilib
oladi, qaysi manzilga hozirda ko'rsatilgan port orqali kirish mumkinligini eslab qoladi
O'z navbatida, dinamik ravishda o'rganilgan manzillar kommutatorning RAM-da saqlanishi
mumkin, bu holda qayta ishga tushirilgandan so'ng "o'rganish" ni takrorlash kerak bo'ladi; yoki
konfiguratsiyada - keyin konfiguratsiyani saqlash mumkin va qayta yuklangandan keyin ham
manzillar qoladi. Ikkinchi rejim
196
"yopishqoq" ( yopishqoq ) deb nomlanadi , chunki u portga qanday yopishish kerakligi haqida
gapiradi, shundan so'ng "unstick" ularni faqat administrator qilishlari mumkin - qo'lda. Yana bir
savol - agar xavfsizlik buzilgan bo'lsa va portga xavfsizlikni sozlashimizga qaraganda ko'proq
manzillar kirsa nima qilish kerak ? Ushbu holatdagi o'tish rejimiga uchta rejimdan biri
javobgardir:
•
Himoya qilish - yangi MAC-manzillarga ega bo'lgan ramkalar e'tiborga olinmaydi,
qolganlari ham ishlashda davom etmoqda. Rejim yaxshi, chunki port ishlashda davom etmoqda,
ammo yomon tomoni shundaki, administrator o'z tarmog'ida bunday g'alati narsalar yuz
berayotganini hech qachon bilmaydi
•
Cheklash - himoya qilish rejimiga o'xshaydi, faqat kommutator SNMP orqali bunday
noxush holat yuz berganligi to'g'risida xabar beradi, bundan tashqari, bu haqda syslog- ga
ma'lumot yozadi (agar tuzilgan bo'lsa)
•
O'chirish - nomidan ko'rinib turibdiki, syslog va SNMP orqali xabarlarga qo'shimcha
ravishda port o'chadi. Bu tarmoq xatolariga bardoshlik nuqtai nazaridan unchalik yaxshi emas,
lekin biz portni qo'lda yoqmagunimizcha tajovuzkor o'z tarmog'imizni o'rganish bo'yicha
tajribalarini davom ettira olmasligini aniq bilamiz .
Endi biz butun nazariyani bilamiz, keling, port xavfsizligini sozlashga harakat qilaylik :
S1#configure terminal
S1(config)#interface fastEthernet 0/11
S1(config-if)#switchport mode access
S1(config-if)#switchport port-security
Shunday qilib, biz ushbu funktsiyani interfeysda standart qiymatlari bilan yoqdik, ya'ni:
•
Har bir port uchun maksimal 1 MAC-manzil
•
Xotira rejimi dinamikasi (RAMda, yopishqoq emas )
•
Ikkinchi MAC-manzil paydo bo'lganda harakat - portni o'chirib qo'ying
Bu siz portiga 11, uchun, kompyuterni ulash tekshirish oson Ping narsa, so'ngra MAC
o'zgartirish va harakat Ping yana . Port o'chiriladi va xato-o'chirib qo'yilgan holatga kiradi .
Portni qayta yoqish uchun uni o'chirib yoqishingiz kerak:
197
S1(config)#interface fastEthernet 0/11
S1(config-if)#shutdown
%LINK-5-CHANGED:
Interface
FastEthernet0/11,
changed
state
to
administratively down
S1(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/11, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/11, changed state to up
Amaldagi port xavfsizligini quyidagi buyruq bilan ko'rish mumkin:
S1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
--------------------------------------------------------------------
Fa0/11 1 1 0 Shutdown
----------------------------------------------------------------------
Jadvalda siz maksimal 1 MAC ekanligini ko'rishingiz mumkin va u allaqachon o'rganilgan,
harakat O'chirish .
Qayta switch, saqlanishi MAC unutiladi va bu oldini olish uchun qaytao'rganish kerak bo'lsa, u
MAC- yod "yopishqoq" o'z ichiga zarur s . Shu bilan birga, keling, ularning sonini beshdan
oshiraylik:
S1(config)#interface fastEthernet 0/11
S1(config-if)#switchport port-security mac-address sticky
S1(config-if)#switchport port-security maximum 5
Agar biz manzillarni statik ravishda qo'lda ro'yxatlashni istasak, unda yopishqoq so'z o'rniga
(yoki unga parallel ravishda - alohida satrda) ularni quyidagi buyruq bilan ro'yxatlashimiz
mumkin:
S1 ( config -if) # switchport port-security mac-address 1234.abcd.1234
Ammo biz MACni statik ravishda qo'shmadik, shunchaki yopishqoq rejimni yoqdik . Biz
kompyuterdan ping qilishga harakat qilamiz , shundan so'ng biz konfiguratsiyani ko'rib chiqamiz
:
198
S1#show running-config Building configuration...
Current configuration : 1185 bytes
!
version 12.2 no service timestamps log datetime msec no service timestamps debug
datetime msec no service password-encryption
!
hostname S1
…
interface FastEthernet0/1 switchport mode access switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0001.4276.96B5
…
Biz nimani ko'ramiz? «switchport port-security mac-address sticky 0001.4276.96B5» qatori
kompyuter manzilini eslab qolganligini va "portga yopishib qolgan" degan ma'noni anglatadi,
go'yo biz o'zimiz uni statik ravishda haydab yubordik. Agar siz hozirda konfiguratsiyani
saqlasangiz, qayta yoqilgandan so'ng manzil yo'qolmaydi va kommutatorni qayta tayyorlash
kerak bo'lmaydi.
Xulosa shuki, port xavfsizlik xususiyati hisoblanadi modernizatsiya qilish uchun juda oson va
juda yaxshi hujumlar ba'zi turlariga qarshi yordam beradi.
Do'stlaringiz bilan baham: |