2-LABARATORIYA ISHI KOMMUTATORLARDA PORT XAVFSIZLIGI (PORT SECURITY)NI SOZLASH 2.1. Ishdan maqsad CPT dasturida kommutatordan foydalanib tarmoq qurish
Port xavfzisligi (port security) haqida nazariy bilimga ega bo`lish
CPT dasturida port xavfsizligini (port security) taminlash
2.2. Nazariy qism Port security - Cisco catalyst kommutatorlarining asosiy funktsiyalarinan biri hisoblanadi. Ethernet freymleri kommutator orqali o'tganda, u MAC addresler ro'yxatini ushbu paketlarda yoritilgan manba addresidan foydalanib to`ltiradi. Ushbu ro'yxatning maksimal hajmi cheklangan, uni to'ldirish buzg`inchi (hacker) uchun ko`rinadigan darajada qiyin emas, ya'ni tasodifiy qaytish addresleri bo'lgan ko'plab paketlarni yaratadigan maxsus dasturlardan foydalanish yetarli. Bu nima uchun kerak bo`lishi mumkin? MAC addresler ro'yxati to'lgan bo'lsa kommutator markaziy sifatida ishlay boshlaydi - ya'ni barcha qabul qilingan paketlarni barcha portlarga jo'natadi. Buzg`inchining (hacker) keyingi harakati snifferni, barcha kiruvchi paketlarni ko'ruvchi dasturni ishga tushurishdan iborat bo'lib, bining kommutatorimiz orqali buzg`inchi bilan bir VLAN da o`tuvchi hamma paketlar buzg`inchiga ko'rinadi. Bunday sharoitga yo'l qo'ymaslik uchun port xavfsizligi (port security) hamma portlarda ishlashiga avvaldan e'tibor berish zurur.
O'z navbatida dinamik usulda o'rnatilgan addreslar kalitning tezkor xotirasinda saqlanǵan boladi, bu holatda kommutator takroriy ishga tushirilgandan song, “o'rganish” tákrarlanishi zarur bo'ladi, yoki sozlamalarda saqlashga bo'ladi va takroriy ishga tushirilgandan song addreslar saqlanib qoladi. Ikkinchi rejim “qovushqoq” (sticky) deyiladi, sababi addreslar portga yopishib turishganday bo'ladi. Shundan so'ng administrator ularni qo'lda o'chirishi mumkin bo'ladi. Va shu asnoda bitta savol - agar xavfsizlik nosoz bo'lsa va biz port xavfsizligida sozlaganimizdan ko'ra ko'proq addreslar portga kirsa nima qilish zurur? Bunday holatda quyida keltiritgan uch rejimdan biri kalitning ishlashi uchun masul:
• Protect - ya'ni MAC addreslari bo'lgan ramkalar e'tiborga olinmaydi, qolgan hamma narsa ishlashda davom etadi. Bu rejim yaxshi hisoblanadi, sababi port ishlashda davom etmoqda, ammo yomon jihati shunda administrator uning tarmog'ida bunday jarayonlar bo'layotganini hech qachon bilmaydi.
• Restrict - protect rejimi bilan bitta turda, biroq protect tartibidan farqi SNMP orqali bunda administrator uning tarmog'ida bo'layotgan jarayonlar haqida xabar topadi. Bundan tashqari SNMP bu jarayon haqida ma'lumotni syslog ga yozadi (agar sozlangan bo'lsa).
• Shutdown - nomidan ko'rinib turibdi, syslog va SNMP orqali xabarlarga qo'shimcha ravishda port o'chadi. Bu tarmoq xatoliklariga chidamlilik tarafdan unchalik yaxshi emas, biroq buzǵinchi (hacker) bizning portni qo`ldan yubormaganimizga qadar bizning tarmog`imiz haqida ma'lumot ola olmaydi (port o'chgandan song).
Switch – bir qancha segmentni birlashtiruvchi tarmoq kommutatoridir. Kommutator OSI modelining 2 – pag‘onasiga mos keladi. Tarmoq administratori tili bilan Switch – bu kommutator, Bridge(most) deb ham ataladi. Signal uzatish tezligi 10/100/1000 Mbit/s bo‘ladi. Shu bilan birga kommutatorlarni bir – biri bilan bog‘lash uchun alohida 2/10 Gbit/s tezlikdagi portlar xam mavjud bo‘lib, to‘liq dupleks rejimda ishlaydi. U ma’lumotni nusxasini barcha portlarga yubormaydi. Aksincha paketda qabul qiluvchining adresi bo‘yicha signalni jo‘natadi. Kommutator tarmoqdagi kompyuterlarning MAS adresini o‘zining xotirasidagi jadvalda bir qancha muddatga saqlab qoladi. Bu esa paketlarni uzatilish tezligi, ishonchliligi va xavfsizligini oshiradi. Kommutator bufer xotirasida qabul qilgan signalni saqlab turadi.