• 2 - LABORATORIYA ISHI KOMMUTATORDA PORT XAVFSIZLIGI (PORT SECURITY) NI SOZLASH Ishdan maqsad
  • Nazariy qism
  • Oʻzbеkiston rеspublikasi axborot tеxnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi




    Download 7,38 Mb.
    Pdf ko'rish
    bet11/90
    Sana15.12.2023
    Hajmi7,38 Mb.
    #119638
    1   ...   7   8   9   10   11   12   13   14   ...   90
    Bog'liq
    Тармоқ хавфсизлиги 16 шрифт

    Nazorat savollari 
    1. Console porti qaysi holatda ishlatiladi? 
    2. Kommutator uchun nima sababdan VTY kanalini sozlash 
    kerak? 
    3. Parolni shifrlanmagan koʻrinishda uzatilmasligi uchun 
    nima qilish kerak?
    4. Telnet va SSH protokollari nima maqsadda ishlatiladi? 
    5. Kompyuterlar qurilmalarga kirishi uchun nima sababdan 
    tarmoq manzili bir xil boʻlishi kerak? 
    6. Line vty 0 15 buyrugʻi nimani bildiradi? 
    2 - LABORATORIYA ISHI 
    KOMMUTATORDA PORT XAVFSIZLIGI (PORT SECURITY) 
    NI SOZLASH 
    Ishdan maqsad: Kommutatsiya jadvallari to`ldirilishiga 
    yo`naltirilgan hujumlardan, tarmoqni himoya qilish imkonini beruvchi 
    kommutatorning “port-security” funksiyasini sozlash bo`yicha amaliy 
    ko`nikmalarini hosil qilish.
    Nazariy qism 
    Port-security funksiyasi kommutatorning biror bir porti orqali 
    tarmoqqa faqat ko`rsatilgan qurilmalar kirishini sozlashga imkon 
    beradi. Ushbu portga kirishga ruxsat berilgan qurilmalar MAC-
    manzillar bo`yicha aniqlanadi. MAC-manzillar dinamik yoki tarmoq 
    administratori tomonidan qo`lda sozlanishi mumkin. Bundan tashqari 
    Port-security funksiyasi portga ulanuvchi tugunlar sonini cheklashga 


    22 
    imkoniyat yaratadi, bu esa portga MAC-manzillar sonini ko`rsatish 
    orqali amalga oshiriladi. Yana bir funksiyasi MAC-manzillar jadvali 
    to`ldirilishiga yo`naltirilgan hujumlardan kommutatorni himoyalash 
    hisoblanadi (2.1-rasm). 
    MAC:AA:AA:AA
    MAC:BA:AD:01
    MAC:BA:AD:02
    PORT
    Ruxsat berilgan MAC
    0/1
    0/2
    AA:AA:AA
    BB:BB:BB
    CC:CC:CC
    0/2
    0/3
    2.1-rasm. Kommutatorda Port Security funksiyasining ishlash tartibi 
    MAC-manzillarga cheklov kiritishning ikkita usuli mavjud: 
    1. Statik – administrator qaysi manzillar kirishini ko`rsatadi ; 
    2. Dinamik – administrator nechta manzil kirishini ko`rsatadi 
    va kommutator qaysi manzillar shu vaqtda ko`rsatilgan port orqali 
    murojat qilayotganini eslab qoladi. 
    Port security - Cisco katalizator komutatorlarida foydalanish 
    kerak boʻlgan xususiyat. Ethernet freymlari komutatordan oʻtib, ushbu 
    freymlarda koʻrsatilgan yuboruvchi manzilidan foydalanib MAC 
    manzil jadvalini toʻldiradi. Ushbu jadvalning maksimal hajmi 
    cheklangan, hujumchi uchun uni toʻldirish qiyin emas, tasodifiy 
    qaytish manzillari bilan koʻplab freymlarni yaratadigan maxsus 
    dasturlardan foydalanish kifoya. Bu narsa nega kerak boʻlishi 
    mumkin? MAC-manzil jadvali toʻlib toshgan taqdirda, komutator xab 
    vazifasini bajarishi mumkin - ya'ni barcha qabul qilingan paketlarni 
    barcha portlarga yuborish. Hujumchining keyingi harakati - barcha 
    kiruvchi paketlarni koʻrish uchun sniffer dasturlarini ishga tushirish va 
    hujumchining porti bilan bir xil VLAN orqali oʻtadigan barcha 
    paketlarni ushlaydi. Bunday vaziyatni oldini olish uchun port 
    xavfsizligi funksiyasi barcha komutatorlarda ishlashiga e'tibor qaratish 
    lozim. 


    23 
    Ushbu funksiyaning mohiyati quyidagicha: u yoki bu tarzda, 
    har bir port uchun unda paydo boʻlishi mumkin boʻlgan MAC-
    manzillar roʻyxati (yoki raqami) cheklangan, agar portda juda koʻp 
    manzillar koʻrinsa, u holda port oʻchadi.
    Manzillarni saqlash usullari. Port security MAC manzillarini 
    eslab qolish va qoidabuzarliklarga javob berishning bir necha 
    rejimlarida ishlashi mumkin: 
    – Continuous - har qanday MAC-manzilga ega qurilma 
    kommutator porti orqali cheklovlarsiz ishlashi mumkin; 
    – Static - 0 dan 8 gacha MAC-manzillar statik ravishda 
    kiritilishi mumkin, qolganlari dinamik ravishda oʻrganilishi mumkin; 
    – Configured - 1 dan 8 gacha boʻlgan MAC-manzillar statik 
    ravishda oʻrnatilishi mumkin, manzillarni dinamik ravishda oʻrganish 
    mumkin emas; 
    – Limited-continuous - 1 dan 32 gacha MAC-manzillarni 
    dinamik ravishda oʻrganish mumkin; 
    – Port-access - 802.1X bilan birgalikda tasdiqlangan 802.1X 
    sessiyasining MAC manzilini vaqtincha oʻrganish uchun ishlatiladi. 
    Xavfsizlikning buzilishiga javob berish usullari. Port xavfsizligi 
    uchun quyidagi holatlar xavfsizlikni buzish hisoblanadi: manzil 
    jadvaliga xavfsiz MAC-manzillarning maksimal soni qoʻshilgan va 
    MAC-manzili manzil jadvalida qayd etilmagan xost interfeys orqali 
    kirishga harakat qiladi. 
    Xavfsizlik buzilishlariga javob berishning quyidagi usullari 
    interfeysda sozlanishi mumkin: 
     none - xavfsiz MAC-manzillar soni portda koʻrsatilgan 
    maksimal chegaraga yetganida, noma'lum manba MAC-manzilga ega 
    paketlar yetarli miqdordagi xavfsiz MAC-manzillar maksimal sonidan 
    kam boʻlmaguncha yoki maksimal son koʻpaytirilguniga qadar ruxsat 
    beriladi. Xavfsizlikni buzish toʻgʻrisida ogohlantirish mavjud 
    boʻlmaydi. 
     send-alarm - xavfsiz MAC-manzillar soni portda tuzilgan 
    maksimal chegaraga yetganda, noma'lum manba MAC-manzilga ega 
    paketlar, maksimal MAC-manzillar maksimal qiymatdan kam 
    boʻlguncha yoki ruxsat etilgan maksimal sondan kam boʻlguncha 
    tushiriladi. Ushbu rejimda xavfsizlik buzilganida SNMP trap va 
    syslog xabari yuboriladi. 


    24 
     send-disable - xavfsizlikni buzish interfeysni oʻchirilgan 
    holatga keltirishga va darhol oʻchirishga olib keladi. SNMP trap va 
    syslog xabari yuborildi. Agar port bloklangan holatda boʻlsa, uni port-
    security
    clear-intrusion-flag buyrugʻini kiritib, uni ushbu 
    holatdan olib tashlash va keyin konfiguratsiya rejimida activ 
    interfeysini kiritib interfeysni qoʻlda faollashtirish mumkin. 
    Eavesdrop Prevention.  
    Eavesdrop 
    Prevention 

    bu 
    komutatorga noma'lum boʻlgan MAC manzillariga, u yoqilgan 
    portlarga uzatiladigan bir martalik paketlarni uzatishni taqiqlovchi 
    funksiya. Bu ruxsatsiz foydalanuvchilarning eskirgan oʻtish jadvalidan 
    olib tashlangan MAC manzillariga yuboriladigan trafikni tinglashiga 
    yoʻl qoʻymaydi. 
    Eavesdrop Prevention multicast va translyatsiya trafigiga ta'sir 
    qilmaydi. 
    Komutator 
    ushbu 
    trafikni 
    port 
    security 
    ularda 
    tuzilganligidan qat'iy nazar tegishli portlar orqali oʻtkazadi. 
    Interfeysdagi port security sozlamalari ushbu interfeysda 
    Eavesdrop Preventionni avtomatik ravishda yoqadi. 

    Download 7,38 Mb.
    1   ...   7   8   9   10   11   12   13   14   ...   90




    Download 7,38 Mb.
    Pdf ko'rish

    Bosh sahifa
    Aloqalar

        Bosh sahifa



    Oʻzbеkiston rеspublikasi axborot tеxnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi

    Download 7,38 Mb.
    Pdf ko'rish