From: xf0r3m Date: Sat, 21 Sep 2024 20:27:12 +0000 (+0200) Subject: Rozpoczęcie pisania rodziału 11, modułu 2. Podrozdział 11.1 X-Git-Url: https://gitweb.morketsmerke.org/?a=commitdiff_plain;h=60e35d60de92d7c293ca3980c3b7596ba3730228;p=mmdev.git Rozpoczęcie pisania rodziału 11, modułu 2. Podrozdział 11.1 --- diff --git a/articles/terminallog/Cisco_-_CCNA.html b/articles/terminallog/Cisco_-_CCNA.html index e810450..c757db2 100755 --- a/articles/terminallog/Cisco_-_CCNA.html +++ b/articles/terminallog/Cisco_-_CCNA.html @@ -9074,6 +9074,305 @@ R3(config-if)#standby 1 ip 192.168.20.100 Na koniec szerzej omówiliśmy każdy z rodzajów ataków, aby mieć ich obraz podczas konfiguracji.

+

2.11. Konfiguracja zabezpieczeń przełącznika

+

+ W poprzednim rodziale omówiliśmy zagrożenia z jakimi możemy się + spotkać w warstwie drugiej. W tym rodziale dowiemy się w jaki sposób + skonfigurować system IOS na przełączniku, aby móc się przed nimi + chronić. +

+

2.11.1. Zabezpieczenia portów

+

+ Pierwszą i w prawdzie najważniejszą rzeczą są zabezpieczenia portów. + Za pomocą tego mechanizmu możemy nakazać aby konkrety port mógł + nauczyć się tylko jednego adresu MAC, który jeśi będziemy sobie tego + życzyć będzie może trafić do konfiguracji. Zabezpieczenia portów + są podstawą linią obrony przed atakami warstwy drugiej. +

+

+ Omawianie zabezpieczeń portów, rozpoczniemy od najprostszej czynności + jaką możemy wykonać. Jeśli intruz będzie w zasiegu dostępnego gniazda + Ethernet, może sprawdzić czy jest ono aktywne. Jeśli tak, to może + udać mu się uzyskać dostęp do sieci. Dlatego czasami najprostrze + rowiązania są najlepsze. Zatem może warto + wyłączyć nieużywane porty administracyjnie. Wydając + proste polecenie shutdown. Domyślnie + wszystkie porty przełącznika nie są wyłączone + administracyjnie. +

+
+S1(config)#do sh ip int br
+Interface              IP-Address      OK? Method Status                Protocol
+Vlan1                  unassigned      YES unset  administratively down down    
+FastEthernet0/1        unassigned      YES unset  down                  down    
+FastEthernet0/2        unassigned      YES unset  down                  down    
+FastEthernet0/3        unassigned      YES unset  down                  down    
+FastEthernet0/4        unassigned      YES unset  down                  down    
+FastEthernet0/5        unassigned      YES unset  down                  down    
+...
+
+

+ Przejść do konfiguracji wiecej niż jednego portu możemy poprzez + użycie polecenia int range podając + zakres portów lub też ich listę jeśli porty są nie pokolei. Oczywiście + możemy mieszać ze sobą ter rodzaj parametrów. +

+
+S1(config)#int range fa0/1-24
+S1(config-if-range)#shutdown 
+S1(config-if-range)#do sh ip int br
+Interface              IP-Address      OK? Method Status                Protocol
+Vlan1                  unassigned      YES unset  administratively down down    
+FastEthernet0/1        unassigned      YES unset  administratively down down    
+FastEthernet0/2        unassigned      YES unset  administratively down down    
+FastEthernet0/3        unassigned      YES unset  administratively down down    
+FastEthernet0/4        unassigned      YES unset  administratively down down    
+FastEthernet0/5        unassigned      YES unset  administratively down down    
+FastEthernet0/6        unassigned      YES unset  administratively down down
+...
+
+

+ Po wyłączeniu portów, nie ma możliwości aby ktoś bez naszej wiedzy + mógł się podłączyć do sieci. Administracyjne wyłącznie portów fizycznie + wyłącza zasilanie na portach przełącznika. +

+

+ Poza dostęp do sieci, możemy również chcieć zabezpieczyć nasz + przełącznik, aby nigdy nie udało się zrobić z koncentratora. Z + poprzedniego rodziału wiemy jak tego dokonać. Zabezpieczenia portów + obejmują możliwość wskazania ilość adresów MAC, których przełącznik + może się nauczyć, w jaki sposób ma się ich uczyć, na podstawie czego + ma stwiedzić, że adres w tablicy uleg przedawnieniu czy co zrobić + w przypadku naruszenia zasad zabezpieczeń portów. +

+

+ Samo włączenie zabezpieczeń portu spowoduje, że zostaną nałożone na + niego pewne zasady. Za nim jednak przejdziemy do uruchomienia tej + opcji to musimy sobie wyjaśnić pewną rzecz. Domyślnie włączony jest + protokoł DTP, natomiast porty znajdują się w domyślnym stanie + dynamic auto. Zabezpieczenia portu wymagają, aby port był + portem dostępowym, więc przez uruchomienieniem zabezpieczeńm portów + musimy przełączyć w tryb dostępu: +

+
+#Domyślnie:
+S1(config)#do show int fa0/1 switchport
+Name: Fa0/1
+Switchport: Enabled
+Administrative Mode: dynamic auto
+Operational Mode: down
+Administrative Trunking Encapsulation: dot1q
+Negotiation of Trunking: On
+Access Mode VLAN: 1 (default)
+Trunking Native Mode VLAN: 1 (default)
+Administrative Native VLAN tagging: enabled
+
+S1(config)#int fa0/1
+S1(config-if)#switchport mode access
+S1(config-if)#do show interface fa0/1 switchport
+Name: Fa0/1
+Switchport: Enabled
+Administrative Mode: static access
+Operational Mode: down
+Administrative Trunking Encapsulation: dot1q
+Negotiation of Trunking: Off
+Access Mode VLAN: 1 (default)
+Trunking Native Mode VLAN: 1 (default)
+Administrative Native VLAN tagging: enabled
+Voice VLAN: none
+
+

+ Teraz możemy włączyć zabezpieczenia portu. +

+
+S1(config-if)#switchport port-security
+
+

+ Reguły narzucone przez uruchomienie zabezpieczeń portu to, ustawienie + trybu naruszenia na najbardziej restrykcyjny oraz ustawienie ilości + adresów MAC do nauczenia się dla tego portu to 1. +

+
+S1#show port-security interface fa0/1
+Port Security              : Enabled
+Port Status                : Secure-down
+Violation Mode             : Shutdown
+Aging Time                 : 0 mins
+Aging Type                 : Absolute
+SecureStatic Address Aging : Disabled
+Maximum MAC Addresses      : 1
+Total MAC Addresses        : 0
+Configured MAC Addresses   : 0
+Sticky MAC Addresses       : 0
+Last Source Address:Vlan   : 0000.0000.0000:0
+Security Violation Count   : 0
+
+

+ Tryb naruszenia Violation Mode, + został ustawiony na Shutdown, co + spowoduje, że jeśli ktoś inny podłączy się do tego portu, to zostanie + on ustawiony w tryb error disabled. Liczba możliwych adresów + do nauczenia (Maximum MAC Address) + wynosi 1. +

+

+ Jeśli chcemy zdecydować o tym ilu adresów pownieni móc nauczyć się + port wówczas wyskorzysujemy następujące polecenie: +

+
+Switch(config-if)# switchport port-security maximum <1-8129>
+
+

+ Po za podaniem ilości dozwolonych adresów MAC do zapamiętania, możemy + manipulować samym jego procesem. Np. podać statyczny adres MAC lub + przełącznik będzie się ich uczył dynamicznie. Co jest domyślną metodą + przy włączeniu zabezpieczeń portów. Inna wariacją jest dynamiczne + uczenie się z wykorzystaniem NVRAM do zapamiętania adresów MAC. + Poniższe polecenia uruchamiają poniższe tryby: +

+ +

+ W przypadku tych trybów to można je mieszać, ustawiając ilość + adresów na 4 i podając np. 2 adresy statycznie a resztę pozostawić + do nauki dynamicznej z wykorzystaniem NVRAM. W przpadku uczenia się + adresów MAC, przydatne może być polecenie: +

+
+S1#show port-security address
+          Secure Mac Address Table
+------------------------------------------------------------------------
+Vlan    Mac Address       Type                     Ports   Remaining Age
+                                                              (mins)    
+----    -----------       ----                     -----   -------------
+   1    001f.1618.0d37    SecureSticky             Fa0/2        -
+   1    00de.adbe.ef00    SecureConfigured         Fa0/2        -
+------------------------------------------------------------------------
+Total Addresses in System (excluding one mac per port)     : 1
+Max Addresses limit in System (excluding one mac per port) : 8192
+
+

+ Statystyki dla tego portu przezentują się następująco: +

+
+S1#sh port-sec int fa0/2
+Port Security              : Enabled
+Port Status                : Secure-up
+Violation Mode             : Shutdown
+Aging Time                 : 0 mins
+Aging Type                 : Absolute
+SecureStatic Address Aging : Disabled
+Maximum MAC Addresses      : 2
+Total MAC Addresses        : 2
+Configured MAC Addresses   : 1
+Sticky MAC Addresses       : 1
+Last Source Address:Vlan   : 001f.1618.0d37:1
+Security Violation Count   : 0
+
+

+ Port jest podniesiony (Port Status: Secure-up) + i nie nastąpiło żadne naruszenie zasad + (Security Violation Count: 0). +

+

+ Zabezpieczenia portów pozwalają na określenie okresu ważności dla + bezpiecznych adresów (Przypisanych statycznie lub nauczonych w ramach + dynamicznej nauki, zgodniej z okreslonym limitem). Mamy dwa rodzaje + przedawnienia (okresu ważności): +

+ +

+ Za ustawianie przedawnienia odpowiedzialne jest polecenie + aging zabezpieczania portów. Może ono przyjąć + następujące opcje: +

+ +

+ Dla przykładu ustawiłem na porcie 2 czas przedawnienia 10 minut dla + nieaktywnych hostów. +

+
+S1(config)#int fa0/2
+S1(config-if)#switchport port-security aging time 10
+S1(config-if)#switchport port-security aging type inactivity 
+
+

+ W momencie gdy dojdzie do przekroczenia zasad skonfigurownych na porcie, + występuje naruszenie, może mieć one różne skutki. Od zaprzestania + transmisji dla nieznanych adresów na czas potrzebny do usunięcia + nadmiarowych adresów MAC do + przestawienia portu w stan error-disabled. Istnieją trzy tryby: +

+ +

+ Do ustawienie trybu wybierany wykorzystywane jest polecenie + violation, zabezpieczeń portów. +

+
+S1(config)#int fa0/2
+S1(config-if)#switchport port-security violation restrict
+
+

+ Stan error-disabled - wyłączony przez błąd, może być + spowodowany przez użytkownika, w momencie gdy naruszy on zasady + zabezpieczeń portów. Transmisja przez taki port zostaje zatrzymana, + wyłączona jest również kontrolka LED. Włączenie takowego portu + wymaga działania administratora. +

+

+ Do tej porty poznaliśmy polecenia, które pozwolą nam ustawienie + zabezpieczeń portów oraz na wyświetlenie informacji o nich. Nie których. + Bowiem istnieje jeszcze jedno polecenie, które pozwoli na wyświetlenie + zabezpieczeń na wszystkich portach. +

+
+S1#show port-security
+Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action
+                (Count)       (Count)          (Count)
+---------------------------------------------------------------------------
+      Fa0/1              1            0                  0         Shutdown
+      Fa0/2              2            2                  0         Restrict
+---------------------------------------------------------------------------
+Total Addresses in System (excluding one mac per port)     : 1
+Max Addresses limit in System (excluding one mac per port) : 8192
+
+

Zadanie praktyczne - Packet Tracer

+

+ Wdrożenie zabezpieczeń portów - scenariusz
+ Wdrożenie zabezpieczeń portów - zadanie +