• Bajaruvchi: Akaboyev K
  • Port xavfsizligi Cisco catalyst
    		•

    O’zbekiston respublikasi axborot texnologiyalari va kommunikatsiyalarni rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti samarqand filiali telekommunikatsiya texnologiyalari va kasb ta’limi




    Download 0.84 Mb.
    bet1/2
    Sana20.05.2023
    Hajmi0.84 Mb.
    #62380
      1   2
    Bog'liq
    Cisco Packet Tracer dasturida port xavfsizligini ta’minlash
    Mavzu Tizimli va amaliy dasturiy ta’minotning rivojlanish tende, 1707153865, c dasturlash tilida fayllar bilan ishlash

    O’ZBEKISTON RESPUBLIKASI AXBOROT TEXNOLOGIYALARI VA KOMMUNIKATSIYALARNI RIVOJLANTIRISH VAZIRLIGI
    MUHAMMAD AL-XORAZMIY NOMIDAGI TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI SAMARQAND FILIALI

    TELEKOMMUNIKATSIYA TEXNOLOGIYALARI VA KASB TA’LIMI FAKULTETI

    KAMPYUTER TARMOQLARI


    8-labaratoriya ishi


    Bajaruvchi: Akaboyev K
    Tekshiruvchi:Fayziyev V


    Samarqand-2022

    Laboratoriya ishi
    Mavzu: Cisco Packet Tracer dasturida port xavfsizligini ta’minlash
    Ishdan maqsad: Kommutatsiya jadvallari to`ldirilishiga yo`naltirilgan hujumlardan, tarmoqni himoya qilish imkonini beruvchi kommutatorning “portsecurity” funksiyasini sozlash bo`yicha amaliy ko`nikmalarga ega bo’lish. Nazariy qism. Port-security funksiyasi kommutatorning biror bir porti orqali tarmoqqa faqat ko`rsatilgan qurilmalar kirishini sozlashga imkon beradi. Ushbu portga kirishga ruxsat berilgan qurilmalar MAC-manzillar bo`yicha aniqlanadi. MACmanzillar dinamik yoki tarmoq administrator tomonidan qo`lda sozlanishi mumkin. Bundan tashqari Port-security funksiyasi portga ulanuvchi tugunlar sonini cheklashga imkoniyat yaratadi, bu esa portga MAC-manzillar sonini ko`rsatish orqali amalga oshiriladi. Yana bir funksiyasi MAC-manzillar jadvali to`ldirilishiga yo`naltirilgan hujumlardan kommutatorni himoyalash hisoblanadi.
    Port xavfsizligi
    Cisco catalyst kommutatorlarida foydalanish kerak
    bo'lgan xususiyatdir. Ethernet freymlari tugmachadan MAC manzil jadvalini ushbu freymlarda ko'rsatilgan yuboruvchi manzilidan foydalanib to'ldiradi . Ushbu jadvalningmaksimal hajmi cheklangan, tajovuzkor uchun uni to'ldirish qiyin bo'lgani kabi qiyin emas, tasodifiy qaytish manzillari bilan ko'plab freymlarni yaratadi snaynerni ishga tushirish  tajovuzkor . Bunday vaziyatni oldini olish uchun siz port xavfsizligi barcha kommutatorlarda ishlashiga oldindan e'tibor berishingizkerak . Ushbu funktsiyaning mohiyati nimada: u yoki bu tarzda har bir port uchun unda paydo bo'lishi mumkin bo'lgan MAC-manzillar ro'yxati (yoki raqami) cheklangan, agar portda juda ko'p manzillar ko'rinadigan bo'lsa, u holda port o'chadi. Shunday qilib, ko'rish qiyin emasligi sababli tasodifiy qaytish manzillari bilan freymlarni yaratish g'oyasi tezda muvaffaqiyatsizbo'ladi. MAC manzillaricheklovlarni kiritishning ikki yo'li mavjud:
    O'z navbatida, dinamik ravishda o'rganilgan manzillar kommutatorning 
    RAM-da saqlanishi mumkin, bu holda qayta ishga tushirilgandan so'ng "o'rganish" 
    ni takrorlash kerak bo'ladi; yoki konfiguratsiyada - keyin konfiguratsiyani 
    saqlash mumkin va qayta yuklangandan keyin ham manzillar qoladi. Ikkinchi rejim
    "yopishqoq" ( yopishqoq ) deb nomlanadi , chunki u portga qanday yopishish 
    kerakligi haqida gapiradi, shundan so'ng "unstick" ularni faqat administrator 
    qilishlari mumkin - qo'lda. Yana bir savol - agar xavfsizlik buzilgan bo'lsa 
    va portga xavfsizlikni sozlashimizga qaraganda ko'proq manzillar kirsa nima qilish
    kerak ? Ushbu holatdagi o'tish rejimiga uchta rejimdan biri javobgardir: 

    Himoya qilish - yangi MAC-manzillarga ega bo'lgan ramkalar e'tiborga 


    olinmaydi, qolganlari ham ishlashda davom etmoqda. Rejim yaxshi, chunki port ishlashda davom etmoqda, ammo yomon tomoni shundaki, administrator o'z tarmog'ida bunday g'alati narsalar yuz berayotganini hech qachon bilmaydi
    Cheklash - himoya qilish rejimiga o'xshaydi, faqat kommutator SNMP 
    orqali bunday noxush holat yuz berganligi to'g'risida xabar beradi, bundan tashqari,
    bu haqda syslog- ga ma'lumot yozadi (agar tuzilgan bo'lsa)

    O'chirish - nomidan ko'rinib turibdiki, syslog va SNMP orqali xabarlarga 


    qo'shimcha ravishda port o'chadi. Bu tarmoq xatolariga bardoshlik nuqtai 
    nazaridan unchalik yaxshi emas, lekin biz portni qo'lda yoqmagunimizcha 
    tajovuzkor o'z tarmog'imizni o'rganish bo'yicha tajribalarini davom ettira olmasligini aniq bilamiz .
    Endi biz butun nazariyani bilamiz, keling, port xavfsizligini sozlashga harakat qilaylik : 
    S1#configure terminal 
    S1(config)#interface fastEthernet 0/11 
    S1(config-if)#switchport mode access 
    S1(config-if)#switchport port-security 
    Shunday qilib, biz ushbu funktsiyani interfeysda standart qiymatlari bilan yoqdik, ya'ni: Harbir port uchun maksimal 1 MAC-manzilXotirarejimi dinamikasi (RAMda, yopishqoq emas )
    Ikkinchi MAC-manzil paydo bo'lganda harakat - portni o'chirib qo'ying
    Bu siz portiga 11, uchun, kompyuterni ulash tekshirish oson Ping narsa, 
    so'ngra MAC o'zgartirish va harakat Ping yana . Port o'chiriladi va xato-o'chirib qo'yilgan holatga kiradi . Portni qaytayoqish uchun uni o'chirib yoqishingiz kerak: 
    S1(config)#interface fastEthernet 0/11 
    S1(config-if)#shutdown
    %LINK-5-CHANGED: Interface FastEthernet0/11, changed state to 
    administratively down 
    S1(config-if)#no shutdown
    %LINK-5-CHANGED: Interface FastEthernet0/11, changed state to up 
    %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/11, 
    changed state to up 
    Amaldagi port xavfsizligini quyidagi buyruq bilan ko'rish mumkin: 

    S1#show port-security
    Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action 
    (Count) (Count) (Count) 
    -------------------------------------------------------------------- 
    Fa0/11 1 1 0 Shutdown 
    ---------------------------------------------------------------------- 
    Jadvalda siz maksimal 1 MAC ekanligini ko'rishingiz mumkin va u 
    allaqachon o'rganilgan, harakat O'chirish . 
    Qayta switch, saqlanishi MAC unutiladi va bu oldini olish uchun qayta-
    o'rganish kerak bo'lsa, u MAC- yod "yopishqoq" o'z ichiga zarur s . Shu bilan birga, keling, ularning sonini beshdan oshiraylik: 
    S1(config)#interface fastEthernet 0/11 
    S1(config-if)#switchport port-security mac-address sticky 
    S1(config-if)#switchport port-security maximum 5 
    Agar biz manzillarni statik ravishda qo'lda ro'yxatlashni istasak, 
    unda yopishqoq so'z o'rniga (yoki unga parallel ravishda - alohida satrda) ularni 
    quyidagi buyruq bilan ro'yxatlashimiz mumkin: 
    S1 ( config -if) # switchport port-security mac-address 1234.abcd.1234
    Ammo biz MACni statik ravishda qo'shmadik, shunchaki yopishqoq rejimni yoqdik . Biz kompyuterdan ping qilishga harakat qilamiz , shundan so'ng biz konfiguratsiyani ko'rib chiqamiz : 
    S1#show running-config 
    Building configuration...
    interface FastEthernet0/1 
    switchport mode access  switchport port-security switchport port-security mac-address sticky switchport port-security mac-address sticky 0001.4276.96B5 
    Biz nimani ko'ramiz? «switchport port-security mac-address sticky 
    0001.4276.96B5» qatori kompyuter manzilini eslab qolganligini va "portga yopishib qolgan" degan ma'noni anglatadi, go'yo biz o'zimiz uni statik ravishda haydab yubordik. Agar siz hozirda konfiguratsiyani saqlasangiz, qayta yoqilgandan yo'qolmaydi va kommutatorni qayta tayyorlash kerak bo'lmaydi. 
    Xulosa shuki, port xavfsizlik xususiyati hisoblanadi modernizatsiya qilish uchun juda oson va juda yaxshi hujumlar ba'zi turlariga qarshi yordam beradi. 
    Начало формы
    Barchalarga salom, bugun men Cisco 3560 misolidan foydalanib OSI modelidagi cisco 3 darajali kalitlarni qanday sozlash haqida savolni ko'rib chiqmoqchiman. Shuni eslatib o'tamanki, cisco 3 darajali kalitlar Internetga shlyuz sifatida kirish uchun ishlatilmaydi, lekin faqat mahalliy tarmoqdagi vlan o'rtasida marshrut trafigi ... Cisco, barcha sotuvchilar singari, Internetga kirish uchun yo'riqchini taqdim qiladimi? eng keng tarqalgan ulanish diagrammasi quyida ko'rsatilgan.
    Uskunalar va tarmoq diagrammasi
    Menda cisco 3560 Layer 3 tugmachasi bor, u 24 ta portga ega, deylik.

    U mening mahalliy tarmog'imdagi vlan o'rtasida trafikni yo'naltiradi va OSI modelining 2 darajasidagi 3 ta kalit, kirish darajasi, cisco 2960 kalitlari va cisco 3560 o'zi tarqatish darajasida ishlaydi. Eslatib o'taman, ikkinchi darajadagi trafik mac manzillari asosida almashtiriladi. Kirish darajasi - bu so'nggi qurilmalar ulangan joy, bizning holatlarimizda kompyuterlar, serverlar yoki printerlar .. Quyida diagramma mavjud.

    Texnik hujjatlarda uchinchi darajali kalit ushbu belgi shaklida ko'rsatilgan
    VLAN2 192.168.1.251 va VLAN3 192.168.2.251. Quyida VLAN-larni tashkil qilish uchun va yuqori darajadagi ulanish sifatida ishlatiladigan ikkita kirish darajasining kalitlari mavjud. Mahalliy tarmoqda 4 ta kompyuter mavjud, har bir vlanda ikkitadan. Vlan2 dan PC3 vlan3 dan P C5ni pinglashi kerak.

    Biz qaror qilgan maqsad bilan siz boshlashingiz mumkin. Men bu erda vlan nima ekanligini o'qiy olmayman.



    Download 0.84 Mb.
      1   2




    Download 0.84 Mb.
    Bosh sahifa
    Aloqalar
        Bosh sahifa
    Dərs
    Mühazirə
    Qaydalar
    Referat
    Xülasə
    Yazı


    O’zbekiston respublikasi axborot texnologiyalari va kommunikatsiyalarni rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti samarqand filiali telekommunikatsiya texnologiyalari va kasb ta’limi

    Download 0.84 Mb.