«Tarmoq xavfsizligi»
Port-security sozlanishlari haqidagi ma’lumotlarni ko`rish
Yüklə 12,81 Mb.
|
- Bu səhifədəki naviqasiya:
- Ishni bajarish tartibi 1 -qism: Port xavfsizligini sozlash 2 -qism: Port xavfsizligini tekshiring
- 1-qism: Port xavfsizligini sozlash
- 2 -qism: Port xavfsizligini tekshiring
- 3-LABORATORIYA ISHI MAVZU: TARMOQ QURILMALARI XAVFSIZLIGINI TAHLIL QILISH Ishdan maqsad
- Cisco marshrutizatorlarida parolni tashlab yuborish
Port-security sozlanishlari haqidagi ma’lumotlarni ko`rishswitch# show port-security switch# show port-security interface fa0/3 switch# show port-security address Topshiriq 2.2-jadvalda keltirilgan tarmoqni Cisco Packet Tracer dasturida tuzish talab qilinadi; Har bir kompyuter uchun IP manzilni sozlang va MAC manzillarni 2.2-rasmda ko`rsatilgandek aniqlang; Kommutator portlariga xavfsizlik ko`rsatkichlarini sozlang; 2.2-jadvalga keltirilgan topshiriqlarni kiriting. 2.2-jadval
Ishni bajarish tartibi 1 -qism: Port xavfsizligini sozlash 2 -qism: Port xavfsizligini tekshiring Ushbu harakatda siz kommutatorda jadvaldagi variant asosida port xavfsizligini sozlaysiz va tekshirasiz. Port xavfsizligi portga trafikni yuborish uchun ruxsat berilgan MAC manzillarini cheklash orqali portga kirishni cheklashga imkon beradi. 1-qism: Port xavfsizligini sozlash a. S1 uchun buyruq satrini oching va Fast Ethernet portlarida port xavfsizligini yoqing. b. Maksimal qiymatni qurilma jadval bo’yicha Fast Ethernet portlariga kira oladigan qilib o'rnating. c.Qurilmaning MAC-manzili dinamik ravishda o'rganilishi va joriy konfiguratsiyaga qo'shilishi uchun portlarni himoyalang. d. Qolgan ishlatilmagan portlarni o'chirib qo'ying. 2 -qism: Port xavfsizligini tekshiring Port xavfsizligini yoqilganini ishlash holatini kerakli buyruqlar bilan tekshirish. Dasturdagi kompyuterlarni tarmoqdan uzib , ulash bilan tekshirib chiqing. Bajargan ishingizni hisobotoni electron faylini tayyorlang va tizimga yuklang. 3-LABORATORIYA ISHI MAVZU: TARMOQ QURILMALARI XAVFSIZLIGINI TAHLIL QILISH Ishdan maqsad: Cisco kommutatorlarida va marshrutizatorlarida parolni olib tashlash (сброс) bo`yicha amaliy ko`nikmalar olish Nazariy qism Qurilma sozlamalariga kirish uchun kerak bo`ladigan parolning yo`qotilishi yoki unutilish holatlari tez-tez uchrab turadi. Ushbu laboratoriya ishida Cisco kommutatorlari va marshrutizatorlarida parollarni olib tashlash (Сброс) jarayoni ko`rib chiqiladi. Quyida keltiriladigan usullar qurilmaga to`g`ridan-to`g`ri konsol kabel orqali ulanishni ko`zda tutadi. Shuning uchun ham qurilma joylashgan xonaga faqat kirish huquqiga ega foydalanuvchilar kirishi, xavfsizlik nuqtai nazaridan e`tiborga olinishi kerak. Ushbu metodikalarning mohiyati quyidagicha: paroli unutilgan yoki yo`qolgan konfiguratsion faylsiz qurilmaning sozlamalariga imtiyozli rejimda (Privileged EXEC) kirish va konfiguratsion faylni almashtirish orqali barcha parollarni o`zgartirish. Cisco marshrutizatorlarida parolni tashlab yuborish Cisco marshrutizatorlarida parolni tashlab yuborish uchun qurilmaga fizik kira olish kerak, ya`ni konsol kabel orqali ulanish imkoniyati bo`lishi kerak. Marshrutizatorda konfiguratsion registr mavjud bo`lib, ushbu registr marshrutizatorning ishga tushishini boshqaradi va uning qiymatlari energiya talab qiluvchi xotirada saqlanadi. Configuration register – bu marshrutizatorning ishga tushishi ketma-ketligiga javob beruvchi NVRAM da joylashgan 16 bitli registr. Ya`ni marshrutizatorga operatsion tizimni va sozlanish fayllarini qaysi tartibda va qayerdan olishini ko`rsatib beradi. Uning odatiy qiymati – 2102. Qiymatning uchinchi raqami sozlanish fayliga, to`rtinchi raqami esa operatsion tizimga javob beradi. Parollar unitilishi yoki yo`qolishi holatlarida uchinchi raqamni “4” raqamga o`zgartirish kerak bo`ladi. Ko`pchilik marshrutizatorlarda konfiguratsion registrning qiymati – 0x2102 bo`ladi. Agar Cisco marshrutizatoriga kirish huquqi bor bo`lsa, unda konfiguratsion registrning qiymatini quyidagicha tekshirsa bo`ladi: R1#show version Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2) M860 processor: part number 0, mask 49 2 FastEthernet/IEEE 802.3 interface(s) 239K bytes of NVRAM. 62720K bytes of processor board System flash (Read/Write) Configuration register is 0x2102 Oxirgi qator konfiguratsion registr qiymatini o`z ichiga olgan bo`ladi. Endi unutilgan parolni o`zgartirish jarayoni bosqichma-bosqich ko`rib chiqiladi. Birinchi navbatda marshrutizatorga konsol kabel (3.1-rasm.) orqali ulanish lozim (Rollover deb ham nomlanadi). 3.1-rasm. Konsol kabelining ko`rinishi. Konsol orqali ulaniladi va keyingi jarayonlarning barchasi konsol port orqali amalga oshiriladi (3.2-rasm). 3.2-rasm. Kompyuterning marshrutizator qurilmasiga Console kabeli yordamida ulanishi Xizmat ko`rsatish maqsadlarida ishlatiladigan – ROMMON rejimida marshrutizator elektr energiyasi manbasidan o`chiriladi va qayta ishga tushiriladi (3.3-rasm). 3.3-rasm. Cisco Packet tracer muhitida Router qurilmasining elektr ta’minotini o`chirib/yoqish tugmasi Marshrutizatorni ROMMON rejimida qayta ishga tushurish uchun odatiy boshlang`ich IOS ishga tushish jarayoni to`xtatiladi, buni amalga oshirish terminalga bog`liq. Masalan, hyperterminalda – “Ctrl-Break”, teratermda – “Alt-B”, Cisco Packet Tracer emulyatorida – “Ctrl-Break” va h.k. Qurilmaga ulanib, u qayta ishga tushiriladi va IOS ishga tushirilishida Ctrl+Break tugmalari qo`shilib bosiladi: System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1) Copyright (c) 2000 by cisco Systems, Inc. Initializing memory for ECC .c2811 processor with 524288 Kbytes of main memory Main memory is configured to 64 bit mode with ECC enabled Readonly ROMMON initialized Self decompressing the image : ############## monitor: command "boot" aborted due to user interrupt rommon 1 > Shu tarzda, ROMMON (ROM monitor) rejimiga kiriladi. Bu yerda konfiguratsiya registri confreg 0x2142 buyrug`i bilan o`zgartiriladi, natijada marshrutizator Flash xotiraga yozilgan konfiguratsion faylni ishga tushirilishida ishlatmaydi. Bundan keyin reset buyrug`ini kiritish orqali marshrutizator qayta ishga tushiriladi. rommon 1 > confreg 0x2142 rommon 2 > reset Endi marshrutizator konfiguratsion faylsiz ishga tushadi va eski konfiguratsion faylni tiklash maqsadida quyidagi imtiyozli rejimda copy startup-config running-config buyrug`i orqali amalga oshiriladi. Router>enable Router#copy startup-config running-config Destination filename [running-config]? 700 bytes copied in 0.416 secs (1682 bytes/sec) Router1# %SYS-5-CONFIG_I: Configured from console by console Bundan keyin paroli unutilgan eski konfiguratsiya qo`yiladi, lekin bu yerda imtiyozli rejimda turganligi uchun eski parolni yangisiga o`zgartirsa bo`ladi. Router1#conf t Router1(config)#enable password NewPassword Router1(config)#enable secret NewPassword Router1(config)#line vty 0 4 Router1(config-line)#password NewPassword Router1(config-line)#login Router1(config-line)#exit Router1(config)#line console 0 Router1(config-line)#password NewPassword Router1(config-line)#login Parollar o`zgartirildi, endi konfiguratsion registrning eski qiymatini qayta joyiga qo`yish kerak, buning uchun config-register 0x2102 buyrug`i kiritiladi Router1(config)# config-register 0x2102 Bundan keyin yangi konfiguratsiya saqlanadi va marshrutizator qayta ishga tushiriladi Router1#copy running-config startup-config Router1#reload Marshrutizator qayta ishga tushirilgach, yangi parollar bilan saqlangan konfiguratsion faylni o`ziga oladi. Yana, no service password-recovery buyrug`ini ishlatish orqali parol tashlab yuborilishi imkoniyatini o`chirib qo`ysa bo`ladi, buning uchun yuqorida ta`kidlanganidek qurilmaga fizik kirish imkoniyati kerak. Yüklə 12,81 Mb. Dostları ilə paylaş:
|