22
imkoniyat yaratadi, bu esa portga MAC-manzillar sonini ko`rsatish
orqali amalga oshiriladi. Yana bir funksiyasi MAC-manzillar jadvali
to`ldirilishiga yo`naltirilgan hujumlardan
kommutatorni himoyalash
hisoblanadi (2.1-rasm).
MAC:AA:AA:AA
MAC:BA:AD:01
MAC:BA:AD:02
PORT
Ruxsat berilgan MAC
0/1
0/2
AA:AA:AA
BB:BB:BB
CC:CC:CC
0/2
0/3
2.1-rasm. Kommutatorda Port Security funksiyasining ishlash tartibi
MAC-manzillarga cheklov kiritishning ikkita usuli mavjud:
1. Statik – administrator qaysi manzillar kirishini ko`rsatadi ;
2. Dinamik – administrator nechta manzil kirishini ko`rsatadi
va kommutator qaysi manzillar shu vaqtda ko`rsatilgan port orqali
murojat qilayotganini eslab qoladi.
Port security - Cisco katalizator komutatorlarida foydalanish
kerak boʻlgan xususiyat. Ethernet freymlari komutatordan oʻtib, ushbu
freymlarda koʻrsatilgan yuboruvchi manzilidan foydalanib MAC
manzil jadvalini toʻldiradi. Ushbu jadvalning maksimal hajmi
cheklangan, hujumchi uchun uni toʻldirish
qiyin emas, tasodifiy
qaytish manzillari bilan koʻplab freymlarni yaratadigan maxsus
dasturlardan foydalanish kifoya. Bu narsa nega kerak boʻlishi
mumkin? MAC-manzil jadvali toʻlib toshgan taqdirda, komutator xab
vazifasini bajarishi mumkin - ya'ni barcha qabul qilingan paketlarni
barcha portlarga yuborish. Hujumchining keyingi harakati -
barcha
kiruvchi paketlarni koʻrish uchun sniffer dasturlarini ishga tushirish va
hujumchining porti bilan bir xil VLAN orqali oʻtadigan barcha
paketlarni ushlaydi. Bunday vaziyatni oldini olish uchun port
xavfsizligi funksiyasi barcha komutatorlarda ishlashiga e'tibor qaratish
lozim.
23
Ushbu funksiyaning mohiyati quyidagicha: u yoki bu tarzda,
har bir port uchun unda paydo boʻlishi mumkin boʻlgan MAC-
manzillar roʻyxati (yoki raqami) cheklangan, agar portda juda koʻp
manzillar koʻrinsa, u holda port oʻchadi.
Manzillarni saqlash usullari. Port security MAC manzillarini
eslab qolish va qoidabuzarliklarga javob berishning bir necha
rejimlarida ishlashi mumkin:
– Continuous - har qanday
MAC-manzilga ega qurilma
kommutator porti orqali cheklovlarsiz ishlashi mumkin;
– Static - 0 dan 8 gacha MAC-manzillar statik ravishda
kiritilishi mumkin, qolganlari dinamik ravishda oʻrganilishi mumkin;
– Configured - 1 dan 8 gacha boʻlgan MAC-manzillar statik
ravishda oʻrnatilishi mumkin, manzillarni dinamik ravishda oʻrganish
mumkin emas;
– Limited-continuous - 1 dan 32 gacha MAC-manzillarni
dinamik ravishda oʻrganish mumkin;
– Port-access - 802.1X bilan birgalikda tasdiqlangan 802.1X
sessiyasining MAC manzilini vaqtincha oʻrganish uchun ishlatiladi.
Xavfsizlikning buzilishiga javob berish usullari. Port xavfsizligi
uchun quyidagi holatlar xavfsizlikni buzish hisoblanadi:
manzil
jadvaliga xavfsiz MAC-manzillarning maksimal soni qoʻshilgan va
MAC-manzili manzil jadvalida qayd etilmagan xost interfeys orqali
kirishga harakat qiladi.
Xavfsizlik buzilishlariga javob berishning quyidagi usullari
interfeysda sozlanishi mumkin:
–
none - xavfsiz MAC-manzillar soni portda koʻrsatilgan
maksimal chegaraga yetganida, noma'lum manba MAC-manzilga ega
paketlar yetarli miqdordagi xavfsiz MAC-manzillar maksimal sonidan
kam boʻlmaguncha yoki maksimal son koʻpaytirilguniga qadar ruxsat
beriladi. Xavfsizlikni buzish toʻgʻrisida ogohlantirish mavjud
boʻlmaydi.
–
send-alarm - xavfsiz MAC-manzillar soni portda tuzilgan
maksimal chegaraga yetganda, noma'lum
manba MAC-manzilga ega
paketlar, maksimal MAC-manzillar maksimal qiymatdan kam
boʻlguncha yoki ruxsat etilgan maksimal sondan kam boʻlguncha
tushiriladi. Ushbu rejimda xavfsizlik buzilganida SNMP trap va
syslog xabari yuboriladi.
24
– send-disable - xavfsizlikni buzish interfeysni oʻchirilgan
holatga keltirishga va darhol oʻchirishga olib keladi. SNMP trap va
syslog xabari yuborildi. Agar port bloklangan holatda boʻlsa, uni port-
security
clear-intrusion-flag buyrugʻini kiritib, uni ushbu
holatdan olib tashlash va keyin konfiguratsiya
rejimida activ
interfeysini kiritib interfeysni qoʻlda faollashtirish mumkin.
Eavesdrop Prevention.
Eavesdrop
Prevention
-
bu
komutatorga noma'lum boʻlgan MAC manzillariga, u yoqilgan
portlarga uzatiladigan bir martalik paketlarni uzatishni taqiqlovchi
funksiya. Bu ruxsatsiz foydalanuvchilarning eskirgan oʻtish jadvalidan
olib tashlangan MAC manzillariga yuboriladigan trafikni tinglashiga
yoʻl qoʻymaydi.
Eavesdrop Prevention multicast va translyatsiya trafigiga ta'sir
qilmaydi.
Komutator
ushbu
trafikni
port
security
ularda
tuzilganligidan qat'iy nazar tegishli portlar orqali oʻtkazadi.
Interfeysdagi port security sozlamalari
ushbu interfeysda
Eavesdrop Preventionni avtomatik ravishda yoqadi.
