Laboratoriya ishi № 15.
Cisco Packet Tracer dasturi yordamida portlar xavfsizligini ta’minlashni o‘rganish
1. Ishning maqsadi
Ushbu laboratoriya ishidan maqsad:
- Port security protokolini sozlash bo'yicha ko'nikmalarga ega bo'lish.
2. Qisqa nazariy ma’lumotlar
Port Security – bu tarmoq ulanishining MAC manzilini ruxsatsiz o'zgarishlarni oldini olish uchun mo'ljallangan kanal darajasi funktsiyasi. Shuningdek, ushbu funktsiya kommutatorni MAC manzillar jadvalini to'ldirib tashlashga yo'naltirilishi mumkin bo'lgan hujumlardan himoya qiladi.
Port Security-dan foydalanib, siz interfeysdagi ulanishlar sonini (MAC adreslar) cheklashingiz (kanal darajasida), shuningdek kerak bo'lganda xavfsiz MAC manzillarini (statik MAC manzillari) qo'lda kiritishingiz mumkin.
Port Security funksiyasi:
- «switchport port-security» bu interfeysda Port Security yoqilganligini anglatadi;
- «switchport port-security maximum N» shuni ko'rsatadiki, MAC manzillarining faqat N tasi bir vaqtning o'zida interfeysda "yonib turishi" mumkin;
- «switchport port-security violation restrict» qoidabuzarlikka reaktsiya qilish rejimini bildiradi. Shunday qilib, agar uchinchi (noma'lum) MAC-manzil bir vaqtning o'zida ushbu interfeysda "yonib-o'chsa", unda ushbu manzildan barcha paketlar o'chiriladi va ogohlantirish yuboriladi - syslog, SNMP trap, qoidabuzarliklar hisoblagichi ortadi (violetion counter).
Xavfsizlik bo’yicha qoidabuzarlikka reaktsiya qilish rejimi. Xavfsizlik bo’yicha qoidabuzarlikka reaktsiya qilishning uchta usuli mavjud:
- «switchport port-security violation restrict»;
- «switchport port-security violation shutdown»;
- «switchport port-security violation protect».
«switchport port-security violation restrict» buyrug’i yo’qorida ta’riflangan.
Ikkinchi buyruq — «switchport port-security violation shutdown» agar buzilishlar aniqlansa, u interfeysni error-disabled holatga o'tkazadi va uni o'chiradi. Bunda SNMP trap xabarnomasi, syslog xabari yuboradi va qoidabuzarliklar hisoblagichi (violation counter) qiymati oshiradi. Aytgancha, agar interfeys error-disabled holatida bo'lsa, uni blokirovka qilishning eng oson usuli bu interfeysni o'chirish va yoqishdir (interfeys sozlamalarida “shutdown”, buyrug'ini kiriting, so'ng “no shundown”).
Agar interfeysga “switchport port-security violation protect” buyrug'i kiritilgan bo'lsa, buzilish holatlarida noma'lum MAC manzilidan paketlar olib tashlanadi, ammo xato haqida xabarlar shakllantirilmaydi.
Aynan qanday usulni tanlash har kimning o’zini ishi, ammo "switchport port-security violation restrict" aksariyat holatlar uchun maqbuldir.
Do'stlaringiz bilan baham: |