From 3529e5d1d7abaf1b03a754a8ebb21739c412ccc8 Mon Sep 17 00:00:00 2001 From: xf0r3m Date: Sun, 22 Sep 2024 12:46:02 +0200 Subject: [PATCH] =?utf8?q?Zako=C5=84czenie=20redagowania=20rozdzia=C5=82u?= =?utf8?q?=2011,=20modu=C5=82u=202,=20kursu=20Cisco=20CCNA.?= MIME-Version: 1.0 Content-Type: text/plain; charset=utf8 Content-Transfer-Encoding: 8bit --- articles/terminallog/Cisco_-_CCNA.html | 79 ++++++++++++++++---------- 1 file changed, 50 insertions(+), 29 deletions(-) diff --git a/articles/terminallog/Cisco_-_CCNA.html b/articles/terminallog/Cisco_-_CCNA.html index 9005999..5d95b65 100755 --- a/articles/terminallog/Cisco_-_CCNA.html +++ b/articles/terminallog/Cisco_-_CCNA.html @@ -9092,7 +9092,8 @@ R3(config-if)#standby 1 ip 192.168.20.100

Omawianie zabezpieczeń portów, rozpoczniemy od najprostszej czynności jaką możemy wykonać. Jeśli intruz będzie w zasiegu dostępnego gniazda - Ethernet, może sprawdzić czy jest ono aktywne. Jeśli tak, to może + Ethernet, może sprawdzić czy jest ono aktywne. Jeśli tak, to + może udać mu się uzyskać dostęp do sieci. Dlatego czasami najprostrze rowiązania są najlepsze. Zatem może warto wyłączyć nieużywane porty administracyjnie. Wydając @@ -9114,8 +9115,8 @@ FastEthernet0/5 unassigned YES unset down down

Przejść do konfiguracji wiecej niż jednego portu możemy poprzez użycie polecenia int range podając - zakres portów lub też ich listę jeśli porty są nie pokolei. Oczywiście - możemy mieszać ze sobą ter rodzaj parametrów. + zakres portów lub też ich listę jeśli porty są nie po kolei. Oczywiście + możemy mieszać ze sobą ten rodzaj parametrów. 

 S1(config)#int range fa0/1-24
@@ -9137,12 +9138,12 @@ FastEthernet0/6        unassigned      YES unset  administratively down down
         wyłącza zasilanie na portach przełącznika.
       

       

-        Poza dostęp do sieci, możemy również chcieć zabezpieczyć nasz
+        Poza dostępem do sieci, możemy również chcieć zabezpieczyć nasz
         przełącznik, aby nigdy nie udało się zrobić z koncentratora. Z
         poprzedniego rodziału wiemy jak tego dokonać. Zabezpieczenia portów
         obejmują możliwość wskazania ilość adresów MAC, których przełącznik
-        może się nauczyć, w jaki sposób ma się ich uczyć, na podstawie czego
-        ma stwiedzić, że adres w tablicy uleg przedawnieniu czy co zrobić
+        może się nauczyć, w jaki sposób ma się ich uczyć, kiedy i jaki sposób
+        adres w tablicy ulega przedawnieniu czy co zrobić
         w przypadku naruszenia zasad zabezpieczeń portów.
       

       

@@ -9152,7 +9153,7 @@ FastEthernet0/6        unassigned      YES unset  administratively down down
         protokoł DTP, natomiast porty znajdują się w domyślnym stanie
         dynamic auto. Zabezpieczenia portu wymagają, aby port był
         portem dostępowym, więc przez uruchomienieniem zabezpieczeńm portów
-        musimy przełączyć w tryb dostępu: 
+        musimy przełączyć port w tryb dostępu: 
       

 
 #Domyślnie:
@@ -9190,7 +9191,7 @@ S1(config-if)#switchport port-security
       

         Reguły narzucone przez uruchomienie zabezpieczeń portu to, ustawienie
         trybu naruszenia na najbardziej restrykcyjny oraz ustawienie ilości
-        adresów MAC do nauczenia się dla tego portu to 1.
+        adresów MAC do nauczenia się dla tego portu na 1.
       

 
 S1#show port-security interface fa0/1
@@ -9285,12 +9286,12 @@ Security Violation Count   : 0
     

       Zabezpieczenia portów pozwalają na określenie okresu ważności dla
       bezpiecznych adresów (Przypisanych statycznie lub nauczonych w ramach
-      dynamicznej nauki, zgodniej z okreslonym limitem). Mamy dwa rodzaje
+      dynamicznej nauki, zgodnie z określonym limitem). Mamy dwa rodzaje
       przedawnienia (okresu ważności):
     

     
    
       
  • Absolute (ang. bezwględy) - adresy MAC są
-        usuwane po upłynięciu podanym okresie czasu.
    • 
+        usuwane po upłynięciu podanego okresu czasu.
       
  • Inactivity (ang. nieaktywność) - adresy
         MAC są usuwane po upłynięciu podanego okresu czasu nieaktywności.
    • 
     

@@ -9309,8 +9310,8 @@ Security Violation Count   : 0
           określa rodzaj przedawnienia dla portu.
     
     

-      Dla przykładu ustawiłem na porcie 2 czas przedawnienia 10 minut dla
-      nieaktywnych hostów.
+      Dla przykładu ustawiłem na porcie 2 czas przedawnienia 10 minut
+      nieaktywności interfejsu.
     

 
 S1(config)#int fa0/2
@@ -9318,7 +9319,7 @@ S1(config-if)#switchport port-security aging time 10
 S1(config-if)#switchport port-security aging type inactivity 
 

       

-        W momencie gdy dojdzie do przekroczenia zasad skonfigurownych na porcie,
+        W momencie gdy dojdzie do przekroczenia zasad skonfigurownych na porcie
         występuje naruszenie, może mieć one różne skutki. Od zaprzestania
         transmisji dla nieznanych adresów na czas potrzebny do usunięcia 
         nadmiarowych adresów MAC do
@@ -9330,15 +9331,15 @@ S1(config-if)#switchport port-security aging type inactivity
           komunikat do Syslog. Licznik naruszeń jest zwiększany
         
  • restrict - Ten tryb powoduje zaprzestanie
           transmisji dla nieznaych adresów do momentu usunięcia namiarowych
-          pozycji. Porty nie są wyłączane Licznik naruszeń jest zwiększany oraz
-          wysłane są komunikaty syslog
    • 
+          pozycji. Porty nie są wyłączane. Licznik naruszeń jest zwiększany
+          oraz wysłane są komunikaty syslog
         
  • protect - działa na takiej samej zasadzie jak
           restrict, przyczym żadne logi nie są wysłane oraz nie jest
-          zwiększany licznik naruszeń. Jest najmnie bezpieczny z trybów.
  • 
+          zwiększany licznik naruszeń. Jest najmniej bezpieczny z trybów.
  • 
       
       
    
         Do ustawienie trybu wybierany wykorzystywane jest polecenie
-        violation, zabezpieczeń portów.
+        violation, zabezpieczeń portów.
       
    
 
     S1(config)#int fa0/2
@@ -9375,7 +9376,7 @@ Max Addresses limit in System (excluding one mac per port) : 8192
       
    
       
    2.11.2. Ograniczanie ataków na sieci VLAN
    
       
    
-        Ataki na sieci VLAN omawiane była dwa: atak z przeskokiem, gdzie
+        Ataki na sieci VLAN omawiane były dwa: atak z przeskokiem, gdzie
         atakującemu udawało się wynegocjować łącze trunk i uzyskać
         dostęp do innych VLAN-ów, niż ten do którego należy jego gniazdo.
         Drugim atakiem był atak podwójnego znakowania, gdzie atakujący tworzył
@@ -9391,8 +9392,8 @@ Max Addresses limit in System (excluding one mac per port) : 8192
           switchport mode access
    • 
         
  • Nie używane porty należy umieść w innym VLAN-ie niż domyślny.
    • 
         
  • Na portach przeznaczonych jako trunk, tryb ten włączamy
-          ręcznie, przy użyciu polecenia
-          switchport mode trunk
    • 
+          jest ręcznie przy użyciu polecenia
+          switchport mode trunk.
         
  • Wyłączamy autonegocjacje DTP na portach trunk, za pomocą
           polecenia: switchport nonegotiate.
    • 
         
  • Zmieniamy natwyną sieć VLAN dla łączy trunk, przy użyciu
@@ -9427,7 +9428,7 @@ S1(config-if-range)#end
       
    
       
    2.11.3. Ograniczanie ataków na DHCP
    
       
    
-        Znamy dwa ataki wobec usługi DHPC, pierwsza z znich jest zagłodzenie -
+        Znamy dwa ataki wobec usługi DHCP, pierwsza z znich jest zagłodzenie -
         tj. wyczerpanie puli przez atakującego. Ochroną przed tego typu
         działaniem jest ustawienie limitu zapytań do DHCP na portach
         niezaufanych (innych niż te, z których będzie przychodzić odpowiedź
@@ -9444,7 +9445,7 @@ S1(config-if-range)#end
         
  • Włączamy DHCP Snooping za pomocą polecenia
           ip dhcp snooping w konfiguracji
           globalnej
    • 
-        
  • Porty z odpowiedzią DHCP uznajemy za zafane za pomocą polecenia:
+        
  • Porty z odpowiedzią DHCP uznajemy za zaufane za pomocą polecenia:
           ip dhcp snooping trust.
    • 
         
  • Na portach niezaufanych ustawiamy limit zapytań do DHCP - liczbę
           odebranych komunikatów DHCP DISCOVER na sekundę. Dokonujemy tego
@@ -9531,11 +9532,11 @@ GigabitEthernet0/1         yes        yes             unlimited
       
      
         
    • Nie przykazywanie nieprawidłowych lub gratisowych odpowiedzi ARP
           do innych portów w tej samej sieci VLAN.
      • 
-        
    • Przechwytywanie wszystkichj żądań i odpowiedzi ARP na niezaufanych
+        
    • Przechwytywanie wszystkich żądań i odpowiedzi ARP na niezaufanych
           portach.
      • 
         
    • Sprawdzenie każdego przechwyconego pakietu pod kątem prawidłowego
           powiązania IP do MAC.
      • 
-        
    • Odrzucanie i rejestrowanie odpowiedzi ARP, posiadające nie
+        
    • Odrzucanie i rejestrowanie odpowiedzi ARP, posiadające
           nieprawdziwe informacje, aby zapobiec zatruciu ARP.
      • 
         
    • Przełączenie interfejsu w stan error-disabled, jeśli
           skonfigurowana w DAI liczba pakietów ARP zostanie przekroczona.
      • 
@@ -9573,7 +9574,7 @@ S1(config-if)#ip arp inspection trust
       
      
         Mechanim DAI może zostać również skonfigurowany w taki sposób aby
         weryfikował adresy przekazywane we wiadomości ARP z adresami zawartymi
-        w nagłówku ramki Ethernet. Do wyboru mamy takie warunki jak
+        w nagłówku ramki Ethernet. Do wyboru mamy takie warunki jak:
       
      
       
        
         
      • Docelowy MAC - porównanie docelowego adresu MAC
@@ -9608,7 +9609,7 @@ S1(config)#ip arp inspection validate src-mac dst-mac ip
       
        
         PortFast przyspiesza stan gotowości portu o przesyłania
         danych. Port przenoszony jest natychmiast ze stanu blokowania w stan
-        przekaywania. PortFast jest przeznaczony dla użytkowników
+        przekazywania. PortFast jest przeznaczony dla użytkowników
         końcowych i tylko dla nich powinien być stosowany. BPDU Guard
         jest mechanizm zabezpieczającym przed pojawieniem się komunikatów BPDU
         na niepożądanych portach. Jeśli taki komunikat się pojawi przy
@@ -9647,7 +9648,7 @@ S1(config)#spanning-tree portfast default
  switches and bridges as they may create temporary bridging loops.
 
    • 
       
    
-        Aby sprawdzić konfigurację PortFast możemy użyci polecenia
+        Aby sprawdzić konfigurację PortFast możemy użyć polecenia
         show spanning-tree summary. Poniżej
         znajduje się wynik jego działania:
       
    
@@ -9713,7 +9714,7 @@ Total                        0         0        0          0          0
 S1(config)#errdisable recovery cause psecure-violation
 
    
       
    
-        Domyślnym okresem karencji jest 300 sekund = 5 minut. Stan
+        Domyślnym okresem karencji jest 300 sekund = 5 minut. Konfigurację
         automatycznego podnoszenia portu ze stanu error-disabled
         możemy sprawdzić (w tym i okres karencji) za pomocą polecenia
         show errdisable recovery
@@ -9744,9 +9745,29 @@ vmps                         Disabled
 
 Timer interval: 300 seconds
    +

    2.11.6. Wyłączenie protokołu CDP

    +

    + Jeśli chcielibyś uchronić nasze urządzenia przez pozyskiwaniem z nich + danych, które można wykorzystać do ataków (przed rozpoznaniem). To + dobrym pomysłem jest wyłącznie protokołu CDP oraz LLDP. Te protokoły + możemy wyłączyć globalnie lub dla poszczególnych interfejsów. +

    + +

    + Ponowne włączenie tych protokołów wymaga użycia tych samych poleceń, + ale bez słowa no na początku. +

    Podsumowanie

    - W tym rodziale dowiedzieliśmy się możemy skonfigurować Cisco IOS na + W tym rodziale dowiedzieliśmy się jak możemy skonfigurować Cisco IOS na przełącznikach, aby zapobiec atakom z poznanym w 10 rozdziale. Poznaliśmy zabezpieczenia portów oraz metody ochrony przez atakami na sieci VLAN, DHCP, ARP oraz STP. -- 2.39.5