sobota, 14 listopada 2015

ICDN 1 - Zabezpieczenie portów switch'a 2960 cz.13

IOS pozwala na zabezpieczenie każdego portu urządzenia. W ten sposób możemy zablokować możliwość wpięcia do sieci kolejnego switcha, lub komputera z zewnątrz, który przez brak dobrych zabezpieczeń może spowodować rozprzestrzenienie się problemów w sieci.
Dlatego też możemy dostęp do naszej sieci zabezpieczyć przez utworzenie tablicy MAC tylko naszych komputerów, wszystkie inne przy próbie podłączenia będą odrzucane.

1. Podłączone urządzenia do switch'a:

Rozpoczniemy od sprawdzenia, jakie urządzenia są obecnie podłączone do switch'a.
W Packet Tracer tworzymy LAN, składający się z switcha 2960 oraz 2 PC'ów.
Przypisujemy do PC'ów IP: 192.168.100.1 oraz 192.168.100.2










Wykonujemy ping do drugiej maszyny.




S2960>enable
S2960>show mac address-table

W odpowiedzi otrzymamy MAC adresy naszych komputerów.

 Mac Address Table
-------------------------------------------

Vlan Mac Address Type Ports
---- ----------- -------- -----

1 0001.42ec.57a0 DYNAMIC Fa0/1

1 00e0.f764.be59 DYNAMIC Fa0/2

Mamy adres MAC oraz DYNAMIC, które oznacza że do niego jest podłączona nasza maszyna. Pojawić się również może STATIC co oznacza MAC adres interfejsu.
Jeżeli po wydaniu polecenia zobaczymy poniższy widok:

Mac Address Table
-------------------------------------------

Vlan Mac Address Type Ports
---- ----------- -------- -----

1 0001.42ec.57a0 DYNAMIC Fa0/1

1 00e0.f764.be59 DYNAMIC Fa0/1

Oznacza że w sieci pokazał się wpięty "na lewo" switch'a do którego podpięte są 2 różna maszyny.

2. Zabezpieczenie portu.

 Włączymy zabezpieczenie dla switch'a na wypadek próby podłączenia dodatkowego switch'a e sieci.

S2960>enable
S2960#configure terminal
S2960(config)#interface fastethernet 0/1
S2960(config-if)#switchport mode access

Mode access określa że do tego portu przypięty będzie komputer, drukarka lub dysk sieciowy.
Dostępne są jeszcze 2 opcje:

- trunk -  pozwala na automatyczne ustawienie access lub dynamic
-dynamic -

Na początek zabezpieczymy port na okoliczność podpięcia innego urządzenia niż tego o określonym adresie MAC.

S2960(config)#interface fastethernet 0/1
S2960(config-if)#switch port-security

Poniższa komenda zabezpieczy nas przed wpięcie do sieci na konkretnym porcie (tutaj FE 0/2) dodatkowego switch'a.

S2960(config-if)#switch port-security maximum 1


Jeżeli podpięty zostanie dodatkowy switch, port w S2960 zostanie automatycznie wyłączony. Ponowne jego włączenie musimy wykonać sami.

S2960(config-if)#switch port-security violation shutdown

Powyższe polecenie posiada jeszcze 2 tryby poza shutdown.

-protect - jeżeli ustawiliśmy możliwość podłączenia 1 urządzenia do portu, tylko jedno urządzenie będzie działało, pozostałe nie otrzymają dostępu do sieci. Myślę że jest to  idealne wyjście, jeżeli nie chcemy ciągle ręcznie ponownie włączać port.
-restrict - działa ponownie do protect, jednak dodatkowo wysyła do nas powiadomienie o próbie podpięcia dodatkowego urządzenia do portu.

Następnie dodamy MAC adres, dzięki czemu urządzenie wyposażone w ten adres będzie mogło zostać podłączone do sieci.

S2960(config-if)#switch port-security mac-address 0001.42EC.57A0

Jeżeli jesteśmy przekonani, że wszystkie maszyny, które w danej chwili są podłączone do sieci są poprawnymi urządzeniami, możemy automatycznie dopisać ich adresy MAC do tablicy, dodając polecenie sticky.

 S2960(config-if)#switch port-security mac-address sticky

Na koniec jesteśmy w stanie sprawdzić ustawienie danego portu na switchu.

 S2960#switch port-security interface FastEthernet 0/1 

Port Security : Enabled ' Włączona ochrona portu
Port Status : Secure-up
Violation Mode : Restrict
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1 ' Maksymalna liczba urządzeń możliwych do podłączenia
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address:Vlan : 0001.42EC.57A0:1 'Ostatnie podłączone urządzenie
Security Violation Count : 0 'Licznik pokazujący liczbę prób podłączenie więcej niż 1 urządzenia

Dodatkowo mając włączoną opcję restrict, musimy włączyć dodatkowo opcję wysyłania powiadomień.

 S2960#terminal monitor

Jesteśmy w stanie przejrzeć jednym poleceniem, które porty działają (mają podłączone kable).

 S2960#show ip interface brief

Interface IP-Address OK? Method Status Protocol

FastEthernet0/1 unassigned YES manual up up

FastEthernet0/2 unassigned YES manual up up

FastEthernet0/3 unassigned YES manual down down

FastEthernet0/4 unassigned YES manual down down

FastEthernet0/5 unassigned YES manual down down

FastEthernet0/6 unassigned YES manual down down

FastEthernet0/7 unassigned YES manual down down

FastEthernet0/8 unassigned YES manual down down

FastEthernet0/9 unassigned YES manual down down


FastEthernet0/10 unassigned YES manual down down

3. Inne

Jak wiemy porty mogą działać w pełnym dupleksie (mogą jednocześnie odbierać oraz wysyłać dane) lub w pół dupleksie (gdzie w tym samym czasie mogą jedynie odebrać dane lub je wysłać).

S2960>enable
S2960#configure terminal
S2960(config)#interface fastethernet 0/1
S2960(config)#duplex full

Sprawdzimy czy został skonfigurowany Full Duplex na FE 0/1.

S2960#show interface fastEthernet 0/1

FastEthernet0/1 is down, line protocol is down (disabled)
Hardware is Lance, address is 0006.2aeb.be01 (bia 0006.2aeb.be01)
BW 100000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s
input flow-control is off, output flow-control is off
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:08, output 00:00:05, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue :0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
956 packets input, 193351 bytes, 0 no buffer
Received 956 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 watchdog, 0 multicast, 0 pause input
0 input packets with dribble condition detected

2357 packets output, 263570 bytes, 0 underruns

Często podczas wydawania polecenia, które jest błędne musimy odczekać określony czas. Dzieje się tak ponieważ IOS próbuje dopasować wpisane polecenie do czegoś, tym czymś na ostatnim etapie jest próba rozwiązania polecenia w domenie. Możemy to wyłączyć, aby konfiguracja przebiegła szybciej.

S2960>enable
S2960#configure terminal
S2960(config)#no ip domain-lookup
S2960(config)#exit

Możemy włączyć dostęp przez przeglądarkę do urządzenia.

S2960>enable
S2960#configure terminal
S2960(config)#ip http server
S2960(config)#ip http port 80

Otwieramy przeglądarkę wpisujemy adres naszego urządzenia oraz podajemy login i hasło do trybu uprzywilejowanego.

Brak komentarzy:

Prześlij komentarz