1 – laboratoriya ishi tarmoq qurilmalarida dastlabki xavfsizlik sozlamalarini o’rnatish ishdan maqsad
Yüklə 1,66 Mb.
|
- Bu səhifədəki naviqasiya:
- 2 LABORATORIYA ISHI KOMMUTATORDA PORT XAVFSIZLIGI (PORT SECURITY) NI SOZLASH Ishdan maqsad
- Qisqacha nazariy ma’lumotlar
- Ishlatilmayotgan portlarni ochirish
- Cisco kommutatorlarida Port-security
Nazorat savollariConsole porti qaysi holatda ishlatiladi? Kommutator uchun nima sababdan VTY kanalini sozlash kerak? Parolni shifrlanmagan ko‘rinishda uzatilmasligi uchun nima qilish kerak? Telnet va SSH protokollari nima maqsadda ishlatiladi? Kompyuterlar qurilmalarga kirishi uchun nima sababdan tarmoq manzili bir xil bo‘lishi kerak? Line vty 0 15 buyrug‘i nimani bildiradi? № 2 LABORATORIYA ISHI KOMMUTATORDA PORT XAVFSIZLIGI (PORT SECURITY) NI SOZLASH Ishdan maqsad: Kommutatsiya jadvallari to'ldirilishiga yo'naltirilgan hujumlardan, tarmoqni himoya qilish imkonini beruvchi kommutatoming “port- security” funksiyasini sozlash bo'yicha amaliy ko'nikmalarga ega bo’lish. Qisqacha nazariy ma’lumotlar Port-security funksiyasi kommutatorning biror bir porti orqali tarmoqqa faqat ko'rsatilgan qurilmalar kirishini sozlashga imkon beradi. Ushbu portga kirishga ruxsat berilgan qurilmalar MAC-manzillar bo'yicha aniqlanadi. MAC- manzillar dinamik yoki tarmoq administrator tomonidan qo'lda sozlanishi mumkin. Bundan tashqari Port-security funksiyasi portga ulanuvchi tugunlar sonini cheklashga imkoniyat yaratadi, bu esa portga MAC-manzillar sonini ko'rsatish orqali amalga oshiriladi. Yana bir funksiyasi MAC-manzillar jadvali to'ldirilishiga yo'naltirilgan hujumlardan kommutatorni himoyalash hisoblanadi (2.1-rasm.). Portning maksimal qabul qiluvchi MAC-adreslar soni 2 ta Boshqariladigan kommutator Boshqarilmaydigan kommutator 3-foydalanuvchi MAC adreslar soni to Iganligi sababli 1-foydalanuvchi 2-foydalanuvchi kirishitaqiqlangan rasm. Kommutatorda Port Security funksiyasining ishlash tartibi MAC-manzillarga cheklov kiritishning ikkita usuli mavjud: Statik - administrator qaysi manzillar kirishini ko'rsatadi (2.3-rasm); Dinamik - administrator nechta manzil kirishini ko'rsatadi va kommutator qaysi manzillar shu vaqtda ko'rsatilgan port orqali murojat qilayotganini eslab qoladi ((2.3-rasm). Windows OS da Ethernet adapterining MAC-manzilini ipconfig /all buyrug'i yordamida aniqlanadi. Quyidagi 2.2-rasmga kompyuterning MAC-manzili 00-18- DE-C7-F3-FB ko'rinishda keltirilgan. rasm. Kompyuter qurilmasining MAC-manzilini ko'rish Kommutator qurilmasining MAC-manzillar jadvalini ko'rish uchun show mac-address-table buyrug'i orqali aniqlanadi (2.3-rasm). Swl#ahcw ir.ac-addreaa-table Mac Addreaa Table
rasm. Kommutator qurilmasining MAC-manzilini ko'rish Kommutatomi himoya qilishning oddiy usullaridan biri bu - ishlatilmayotgan portlami o'chirib qo'yish hisoblanadi. Ishlatilmayotgan portlarni o'chirish Ishlatilmayotgan portlarni o'chirish - bu ko'pchilik administratorlar foydalanadigan, tarmoqni ruxsatsiz kirishdan himoya qilishda oddiy usullardan biri. Masalan, agar Catalyst 2960 kommutatori 24 portga ega va unda 3 ta FastEthernet portlari ishlatilayotgan bo'lsa, qolgan 21 ta ishlatilmayotgan portlarni o'chirib qo'yish tavsiya etiladi. Buni amalga oshirish uchun har bir ishlatilmayotgan portga alohida kiritiladi va o'chirib qo'yish buyrug'i beriladi: Cisco IOSda shutdown Sw1(config)#interface range fastEthernet 0/5-24 Sw1(config-if-range)#shutdown Agar keyinchalik portlarni yana ishga tushurish kerak bo'lsa, no shutdown buyrug'idan foydalaniladi: Sw1(config)#interface range fastEthernet 0/5-24 Sw1(config-if-range)#no shutdown Cisco kommutatorlarida Port-security Yüklə 1,66 Mb. Dostları ilə paylaş:
|