|
Muxammad al xorazimiy nomidagi toshkent axborot texnologiyalari universiteti tarmoq xavfsizligi fanidan
|
| Sana | 26.07.2024 | | Hajmi | 1,96 Mb. | | #268664 |
Bog'liq 2-amaliy-ishi (1)
O’ZBEKISTON RESPUBLIKASI RAQAMLI TEXNOLOGIYALAR VAZIRLIGI
O’ZBEKISTON RESPUBLIKASI
OLIY VA O’RTA MAXSUS TA’LIM VAZIRLIGI
MUXAMMAD AL XORAZIMIY NOMIDAGI TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI TARMOQ XAVFSIZLIGI FANIDAN
2-AMALIY ISHI
Tayyorladi: 021-21 Guruh Xasanboyev Jasurbek
Qabul qildi: Fayziyeva D.S
2024-yil
2 - LABORATORIYA ISHI KOMMUTATORDA PORT XAVFSIZLIGI (PORT SECURITY) NI SOZLASH
Ishdan maqsad: Kommutatsiya jadvallari to`ldirilishiga yo`naltirilgan hujumlardan, tarmoqni himoya qilish imkonini beruvchi kommutatorning “port-security” funksiyasini sozlash bo`yicha amaliy ko`nikmalarini hosil qilish
Nazariy qism Port-security funksiyasi kommutatorning biror bir porti orqali tarmoqqa faqat ko`rsatilgan qurilmalar kirishini sozlashga imkon beradi. Ushbu portga kirishga ruxsat berilgan qurilmalar MACmanzillar bo`yicha aniqlanadi. MAC-manzillar dinamik yoki tarmoq administratori tomonidan qo`lda sozlanishi mumkin. Bundan tashqari Port-security funksiyasi portga ulanuvchi tugunlar sonini cheklashga 22 imkoniyat yaratadi, bu esa portga MAC-manzillar sonini ko`rsatish orqali amalga oshiriladi. Yana bir funksiyasi MAC-manzillar jadvali to`ldirilishiga yo`naltirilgan hujumlardan kommutatorni himoyalash hisoblanadi (2.1-rasm). MAC:A A:A A:A A MAC:BA:A D:01 MAC:BA:A D:02 PORT Ruxsat berilgan MAC 0/1 0/2 A A:A A:A A BB:BB:BB CC:CC:CC 0/2 0/3 2.1-rasm. Kommutatorda Port Security funksiyasining ishlash tartibi MAC-manzillarga cheklov kiritishning ikkita usuli mavjud: 1. Statik – administrator qaysi manzillar kirishini ko`rsatadi ; 2. Dinamik – administrator nechta manzil kirishini ko`rsatadi va kommutator qaysi manzillar shu vaqtda ko`rsatilgan port orqali murojat qilayotganini eslab qoladi. Port security - Cisco katalizator komutatorlarida foydalanish kerak boʻlgan xususiyat. Ethernet freymlari komutatordan oʻtib, ushbu freymlarda koʻrsatilgan yuboruvchi manzilidan foydalanib MAC manzil jadvalini toʻldiradi. Ushbu jadvalning maksimal hajmi cheklangan, hujumchi uchun uni toʻldirish qiyin emas, tasodifiy qaytish manzillari bilan koʻplab freymlarni yaratadigan maxsus dasturlardan foydalanish kifoya. Bu narsa nega kerak boʻlishi mumkin? MAC-manzil jadvali toʻlib toshgan taqdirda, komutator xab vazifasini bajarishi mumkin - ya'ni barcha qabul qilingan paketlarni barcha portlarga yuborish. Hujumchining keyingi harakati - barcha kiruvchi paketlarni koʻrish uchun sniffer dasturlarini ishga tushirish va hujumchining porti bilan bir xil VLAN orqali oʻtadigan barcha paketlarni ushlaydi. Bunday vaziyatni oldini olish uchun port xavfsizligi funksiyasi barcha komutatorlarda ishlashiga e'tibor qaratish lozim. 23 Ushbu funksiyaning mohiyati quyidagicha: u yoki bu tarzda, har bir port uchun unda paydo boʻlishi mumkin boʻlgan MACmanzillar roʻyxati (yoki raqami) cheklangan, agar portda juda koʻp manzillar koʻrinsa, u holda port oʻchadi. Manzillarni saqlash usullari. Port security MAC manzillarini eslab qolish va qoidabuzarliklarga javob berishning bir necha rejimlarida ishlashi mumkin: – Continuous - har qanday MAC-manzilga ega qurilma kommutator porti orqali cheklovlarsiz ishlashi mumkin; – Static - 0 dan 8 gacha MAC-manzillar statik ravishda kiritilishi mumkin, qolganlari dinamik ravishda oʻrganilishi mumkin; – Configured - 1 dan 8 gacha boʻlgan MAC-manzillar statik ravishda oʻrnatilishi mumkin, manzillarni dinamik ravishda oʻrganish mumkin emas; – Limited-continuous - 1 dan 32 gacha MAC-manzillarni dinamik ravishda oʻrganish mumkin; – Port-access - 802.1X bilan birgalikda tasdiqlangan 802.1X sessiyasining MAC manzilini vaqtincha oʻrganish uchun ishlatiladi. Xavfsizlikning buzilishiga javob berish usullari. Port xavfsizligi uchun quyidagi holatlar xavfsizlikni buzish hisoblanadi: manzil jadvaliga xavfsiz MAC-manzillarning maksimal soni qoʻshilgan va MAC-manzili manzil jadvalida qayd etilmagan xost interfeys orqali kirishga harakat qiladi. Xavfsizlik buzilishlariga javob berishning quyidagi usullari interfeysda sozlanishi mumkin: – none - xavfsiz MAC-manzillar soni portda koʻrsatilgan maksimal chegaraga yetganida, noma'lum manba MAC-manzilga ega paketlar yetarli miqdordagi xavfsiz MAC-manzillar maksimal sonidan kam boʻlmaguncha yoki maksimal son koʻpaytirilguniga qadar ruxsat beriladi. Xavfsizlikni buzish toʻgʻrisida ogohlantirish mavjud boʻlmaydi. – send-alarm - xavfsiz MAC-manzillar soni portda tuzilgan maksimal chegaraga yetganda, noma'lum manba MAC-manzilga ega paketlar, maksimal MAC-manzillar maksimal qiymatdan kam boʻlguncha yoki ruxsat etilgan maksimal sondan kam boʻlguncha tushiriladi. Ushbu rejimda xavfsizlik buzilganida SNMP trap va syslog xabari yuboriladi. 24 – send-disable - xavfsizlikni buzish interfeysni oʻchirilgan holatga keltirishga va darhol oʻchirishga olib keladi. SNMP trap va syslog xabari yuborildi. Agar port bloklangan holatda boʻlsa, uni portsecurity clear-intrusion-flag buyrugʻini kiritib, uni ushbu holatdan olib tashlash va keyin konfiguratsiya rejimida activ interfeysini kiritib interfeysni qoʻlda faollashtirish mumkin. Eavesdrop Prevention. Eavesdrop Prevention - bu komutatorga noma'lum boʻlgan MAC manzillariga, u yoqilgan portlarga uzatiladigan bir martalik paketlarni uzatishni taqiqlovchi funksiya. Bu ruxsatsiz foydalanuvchilarning eskirgan oʻtish jadvalidan olib tashlangan MAC manzillariga yuboriladigan trafikni tinglashiga yoʻl qoʻymaydi. Eavesdrop Prevention multicast va translyatsiya trafigiga ta'sir qilmaydi. Komutator ushbu trafikni port security ularda tuzilganligidan qat'iy nazar tegishli portlar orqali oʻtkazadi. Interfeysdagi port security sozlamalari ushbu interfeysda Eavesdrop Preventionni avtomatik ravishda yoqadi.
|
| |
