Darmowy fragment publikacji:
Tytuł oryginału: Learn Cisco Network Administration
Tłumaczenie: Lech Lachowski
ISBN: 978-83-283-3971-2
Original edition copyright © 2017 by Manning Publications Co.
All rights reserved.
Polish edition copyright © 2018 by HELION SA
All rights reserved.
All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means,
electronic or mechanical, including photocopying, recording or by any information storage retrieval system,
without permission from the Publisher.
Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej
publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną,
fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje
naruszenie praw autorskich niniejszej publikacji.
Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich
właścicieli.
Autor oraz Wydawnictwo HELION dołożyli wszelkich starań, by zawarte w tej książce informacje były
kompletne i rzetelne. Nie biorą jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane
z tym ewentualne naruszenie praw patentowych lub autorskich. Autor oraz Wydawnictwo HELION nie
ponoszą również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji
zawartych w książce.
Wydawnictwo HELION
ul. Kościuszki 1c, 44-100 GLIWICE
tel. 32 231 22 19, 32 230 98 63
e-mail: helion@helion.pl
WWW: http://helion.pl (księgarnia internetowa, katalog książek)
Drogi Czytelniku!
Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres
http://helion.pl/user/opinie/sicimi
Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję.
Printed in Poland.
• Kup książkę
• Poleć książkę
• Oceń książkę
• Księgarnia internetowa
• Lubię to! » Nasza społeczność
Spis treści
Przedmowa
Podziękowania
O tej książce
O autorze
Rozdział 1. Zanim zaczniemy
1.1. Czy ta książka jest dla Ciebie?
1.2.
Jak korzystać z tej książki?
1.2.1. Główne rozdziały
1.2.2.
Laboratorium
1.2.3. Dalsze badania
Jeden krok dalej
1.2.4.
1.3. Uwagi dotyczące laboratorium
Laboratorium wirtualne
1.3.1. Wybór środowiska laboratoryjnego
1.3.2.
1.3.3. Ćwiczenie na żywej sieci produkcyjnej
1.3.4. Moje zalecenia dotyczące środowiska laboratoryjnego
1.3.5. Wersje IOS-u Cisco
Zasoby internetowe
Słowo na temat moich zaleceń
Jak natychmiast zostać efektywnym administratorem sieci?
1.4.
1.5.
1.6.
Rozdział 2. Co to jest sieć Cisco?
Prawda o routerach i przełącznikach
2.1.
2.2. Adresy MAC
2.3. Ramka ethernetowa: duża koperta
2.3.1. Kiedy wszyscy mówią, nikt nie słucha
2.4. Domeny rozgłoszeniowe
Zamykanie bram floodowania: tablica adresów MAC
Podzielenie domeny rozgłoszeniowej
Łączenie domen rozgłoszeniowych
2.4.1.
2.4.2.
2.4.3.
2.4.4. Adresowanie urządzeń w różnych domenach rozgłoszeniowych
2.5. Adresy protokołu internetowego (IP)
2.5.1. Gdzie jesteś?
2.5.2. Dylemat: adres IP czy MAC
2.5.3.
Protokół ARP
2.6. Łączenie domen rozgłoszeniowych za pomocą routera
Podsieci
2.6.1. Gdzie jesteś? Gdzie ja jestem?
2.6.2.
Przechodzenie przez domeny rozgłoszeniowe za pomocą bramy domyślnej
Zarządzanie routerami i przełącznikami
2.7.
2.8.
2.9. Laboratorium
11
13
15
17
19
19
21
21
21
21
21
22
22
23
24
24
24
25
25
26
27
28
29
31
31
32
34
34
35
36
37
37
38
39
40
41
42
43
46
47
Poleć książkęKup książkę4
Spis treści
Rozdział 3. Przyspieszony kurs systemu IOS firmy Cisco
3.4.
Pakiety
3.1. Co to jest IOS?
3.2. Logowanie się do urządzeń Cisco
3.3.
Polecenie show
3.3.1.
Filtrowanie danych wyjściowych
Identyfikacja wersji IOS-u oraz pakietu
3.4.1. Numery wersji
3.4.2.
Przeglądanie bieżącej konfiguracji
Zmiana bieżącej konfiguracji
Zapisywanie konfiguracji startowej
Polecenie no
Polecenia omówione w tym rozdziale
3.5.
3.6.
3.7.
3.8.
3.9.
3.10. Laboratorium
Rozdział 4. Zarządzanie portami przełączników
Sprawdzanie statusu portu
4.1.
4.2. Włączanie portów
4.2.1.
Polecenie interface range
4.3. Wyłączanie portów
4.4.
4.3.1. Wyszukiwanie nieużywanych interfejsów
Zmiana prędkości portu oraz dupleksu
Prędkość
4.4.1.
4.4.2. Dupleks
4.4.3. Autonegocjacja
4.4.4.
4.4.5.
Polecenia omówione w tym rozdziale
Zmiana prędkości portu
Zmiana dupleksu
4.5.
4.6. Laboratorium
Rozdział 5. Zabezpieczanie portów przy użyciu funkcji Port Security
5.1. Minimalna konfiguracja Port Security
5.1.1.
5.1.2.
Zapobieganie atakom MAC flooding
Tryby naruszenia
5.2. Testowanie funkcji Port Security
5.3.
Jak sobie radzić z przenoszeniem urządzeń
5.3.1.
Port Security nigdy nie zapomina!
5.3.2. Czas starzenia się
5.4. Uniemożliwianie dostępu nieautoryzowanym urządzeniom
Zapewnienie maksymalnego bezpieczeństwa portów
Lepkie adresy MAC
Zastrzeżenia dotyczące lepkich adresów MAC
5.4.1.
5.4.2.
5.4.3.
Polecenia omówione w tym rozdziale
5.5.
5.6. Laboratorium
49
49
50
52
55
57
58
58
59
60
62
63
64
64
65
66
68
70
71
71
73
73
74
74
75
76
76
77
79
80
80
84
85
86
86
88
90
90
91
93
93
93
Poleć książkęKup książkęSpis treści
5
Rozdział 6. Zarządzanie wirtualnymi sieciami LAN (VLAN-ami)
6.1. Czym jest VLAN?
6.2.
Ile VLAN-ów należy utworzyć?
Planowanie nowego VLAN-u
Inwentaryzacja VLAN-ów
6.2.1. Baza danych VLAN-ów
6.2.2. Domyślny VLAN
6.2.3.
6.2.4.
Tworzenie VLAN-ów
Przypisywanie VLAN-ów do portów
6.4.1.
6.4.2. Ustawianie dostępu do VLAN-u
6.4.3. Ustawianie trybu dostępu
Sprawdzanie konfiguracji portów
6.3.
6.4.
6.5. VLAN-y głosowe
6.6. Korzystanie z nowych sieci VLAN
6.7.
6.8. Laboratorium
Polecenia omówione w tym rozdziale
Rozdział 7. Przekraczanie bariery VLAN-ów przy użyciu komutowanych
7.1.
7.2.
interfejsów wirtualnych
Związek między VLAN-em i podsiecią
Przełączniki czy routery?
7.2.1. Włączanie routingu IP
7.3. Czym są komutowane interfejsy wirtualne?
7.3.1.
Tworzenie i konfigurowanie interfejsów SVI
7.4. Bramy domyślne
Sprawdzanie połączeń między sieciami VLAN
7.4.1.
Polecenia omówione w tym rozdziale
7.5.
7.6. Laboratorium
Rozdział 8. Przypisywanie adresów IP za pomocą protokołu DHCP
Przełączać czy nie przełączać?
8.1.
8.2. Konfigurowanie serwera DHCP firmy Cisco
Zakresy
8.2.1.
8.2.2. Opcje
8.2.3. Czas dzierżawy
8.2.4.
Podsieci i VLAN-y
8.3. Konfigurowanie puli DHCP
8.4. Wyłączanie adresów z przypisywania
8.5. Konfigurowanie urządzeń do żądania adresów DHCP
Powiązanie pul DHCP z VLAN-ami
8.6.
8.7.
Tworzenie drugiej puli DHCP
8.8. Wyświetlanie dzierżaw DHCP
8.9. Korzystanie z serwerów DHCP innych niż Cisco
8.9.1. Korzystanie z pomocy przełącznika — polecenie ip helper-address
95
96
96
96
98
98
98
99
101
101
101
103
104
105
106
106
107
108
112
113
113
114
116
118
118
118
121
122
122
122
124
124
124
125
126
128
129
131
133
133
134
Poleć książkęKup książkę6
Spis treści
8.10. Polecenia omówione w tym rozdziale
8.11. Laboratorium
Rozdział 9. Zabezpieczenie sieci za pomocą list kontroli dostępu IP
9.1. Blokowanie ruchu IP – IP
Tworzenie listy dostępu
9.1.1.
Zastosowanie listy ACL do interfejsu
9.2.
9.3. Blokowanie ruchu IP – podsieć
9.3.1. Maski wieloznaczne
9.3.2.
9.3.3.
Podmienianie list ACL
Zastosowanie listy kontroli dostępu do komutowanego interfejsu
wirtualnego
9.4. Blokowanie ruchu podsieć – podsieć
9.5.
Polecenia omówione w tym rozdziale
9.6. Laboratorium
Rozdział 10. Łączenie przełączników za pomocą kanałów trunkowych
10.1. Podłączanie nowego przełącznika
10.2. Czym są łącza trunkowe VLAN-ów?
10.2.1. Konfigurowanie łącza trunkowego
10.2.2. Konfigurowanie DTP do automatycznego negocjowania trunku
10.3. Konfigurowanie przełącznika Switch2
10.3.1. Konfigurowanie VLAN-ów na nowym przełączniku
10.4. Przenoszenie urządzeń do nowego przełącznika
10.5. Zmiana kapsułkowania trunku
10.6. Polecenia omówione w tym rozdziale
10.7. Laboratorium
Rozdział 11. Automatyczne konfigurowanie VLAN-ów przy użyciu
protokołu VTP
11.1. Kilka słów ostrzeżenia
11.2. Konfigurowanie przełącznika Switch1 jako serwera VTP
11.3. Konfigurowanie przełącznika Switch2 jako klienta VTP
11.4. Tworzenie nowych VLAN-ów na przełączniku Switch1
11.5. Włączanie funkcji VTP pruning
11.6. Polecenia omówione w tym rozdziale
11.7. Laboratorium
Rozdział 12. Zastosowanie protokołu Spanning Tree do ochrony
przed powstawaniem pętli między mostkami
12.1. Jak działa Spanning Tree?
12.1.1.
Jak Spanning Tree radzi sobie z awariami łączy?
12.2. Rapid Spanning Tree
12.3. PortFast
135
135
137
138
139
142
144
145
146
147
148
152
152
153
154
155
156
157
159
160
162
163
165
165
167
168
169
170
171
173
177
177
179
180
183
186
188
Poleć książkęKup książkęSpis treści
12.4. Polecenia omówione w tym rozdziale
12.5. Laboratorium
7
190
190
Rozdział 13. Optymalizacja wydajności sieci przy użyciu kanałów
port channel
13.1. Statyczny czy dynamiczny?
13.1.1. Statyczny
13.1.2. Dynamiczny
191
192
192
193
13.2. Konfigurowanie dynamicznego kanału port channel za pomocą protokołu LACP 193
197
13.3. Tworzenie statycznego kanału port channel
13.4. Metody równoważenia obciążenia
199
202
13.5. Polecenia omówione w tym rozdziale
13.6. Laboratorium
202
Rozdział 14. Zwiększanie poziomu skalowalności sieci poprzez łączenie
routerów i przełączników
14.1. Konfiguracja router na patyku
14.2. Podłączanie routera Router1
14.3. Konfigurowanie podinterfejsów
14.4. Tablica routingu IP
14.5. Zastosowanie listy ACL do podinterfejsu
14.6. Polecenia omówione w tym rozdziale
14.7. Laboratorium
Rozdział 15. Ręczne kierowanie ruchem za pomocą tablicy routingu IP
15.1. Podłączanie routera Router1 do przełącznika Switch2
15.2. Konfigurowanie podsieci tranzytowych
15.2.1. Przypisywanie tranzytowych adresów IP bezpośrednio do interfejsów
fizycznych
15.2.2. Przypisywanie tranzytowych adresów IP do podinterfejsów i interfejsów SVI
15.3. Usuwanie łącza trunkowego między przełącznikami
15.4. Konfigurowanie bram domyślnych
15.5. Tworzenie puli DHCP dla podsieci Executives
15.6. Polecenia omówione w tym rozdziale
15.7. Laboratorium
Rozdział 16. Przyspieszony kurs protokołów routingu dynamicznego
16.1. Identyfikatory routerów
16.1.1. Konfigurowanie interfejsów pętli zwrotnej
16.2. Konfigurowanie EIGRP
16.2.1. Wybieranie najlepszej ścieżki
16.2.2. Omijanie awarii łączy
16.2.3. Podsumowanie konfiguracji EIGRP
16.3. Protokół OSPF
203
204
205
207
211
213
214
214
215
216
218
218
220
221
221
222
229
229
231
233
233
234
239
241
242
243
Poleć książkęKup książkę8
Spis treści
16.4. Polecenia omówione w tym rozdziale
16.5. Laboratorium
Rozdział 17. Śledzenie urządzeń
17.1. Scenariusze śledzenia urządzeń
17.2. Etapy śledzenia urządzenia
17.2.1. Uzyskiwanie adresu IP
17.2.2. Śledzenie urządzenia do ostatniego skoku
17.2.3. Uzyskiwanie adresu MAC
17.3. Przykład 1. — śledzenie drukarki sieciowej
17.3.1. Śledzenie do ostatniego skoku za pomocą traceroute
17.3.2. Protokół CDP
17.3.3. Uzyskiwanie adresu MAC urządzenia
17.3.4. Wyświetlanie tablicy adresów MAC
17.4. Przykład 2. — śledzenie serwera
17.4.1. Śledzenie do ostatniego skoku za pomocą traceroute
17.4.2. Uzyskiwanie adresu MAC urządzenia
17.4.3. Wyświetlanie tablicy adresów MAC
17.5. Polecenia omówione w tym rozdziale
17.6. Laboratorium
Rozdział 18. Zabezpieczanie urządzeń Cisco
18.1. Tworzenie uprzywilejowanego konta użytkownika
18.1.1. Testowanie konta
18.2. Rekonfiguracja linii VTY
18.2.1. Włączenie SSH i wyłączenie dostępu poprzez Telnet
18.2.2. Ograniczanie dostępu SSH przy użyciu list dostępu
18.3. Zabezpieczanie portu konsoli
18.4. Polecenia omówione w tym rozdziale
18.5. Laboratorium
Rozdział 19. Łatwiejsze rozwiązywanie problemów dzięki użyciu
rejestrowania i debugowania
19.1. Konfigurowanie bufora rejestrowania
19.2. Polecenia debugowania
19.2.1. Debugowanie funkcji Port Security
19.2.2. Debugowanie DHCP
19.2.3. Debugowanie VTP
19.2.4. Debugowanie routingu IP
19.3. Poziomy ważności rejestrowania
19.4. Konfigurowanie syslogu
19.5. Polecenia omówione w tym rozdziale
19.6. Laboratorium
247
247
249
249
250
250
250
250
251
251
252
253
253
254
255
256
256
258
259
261
262
262
264
264
266
267
268
268
271
272
273
274
275
276
277
278
280
281
282
Poleć książkęKup książkęSpis treści
Rozdział 20. Odzyskiwanie sprawności po katastrofie
20.1. Zawęź zakres do podzbioru urządzeń
20.2. Ponowne uruchamianie urządzeń
20.2.1. Planowanie ponownego uruchamiania
20.3. Usuwanie konfiguracji startowej
20.4. Resetowanie hasła
20.4.1. Resetowanie hasła na routerze
20.4.2. Resetowanie hasła na przełączniku
20.5. Polecenia omówione w tym rozdziale
Rozdział 21. Lista kontrolna wydajności i poprawności funkcjonowania
elementów sieci
21.1. Czy CPU jest przeciążony?
21.2. Jaki jest czas pracy systemu?
21.3. Czy uszkodzone są kabel sieciowy lub gniazdo?
21.4. Czy czasy pingów są wyjątkowo wysokie lub niespójne?
21.5. Czy trasy trzepoczą?
21.6. Polecenia omówione w tym rozdziale
21.7. Laboratorium
Rozdział 22. Następne kroki
22.1. Źródła związane z certyfikacją
22.2. Virtual Internet Routing Lab firmy Cisco
22.3. Rozwiązywanie problemów z łącznością użytkowników końcowych
22.4. Nigdy nie ma końca
Skorowidz
9
283
284
284
285
286
288
288
290
291
293
294
295
296
296
297
298
298
301
301
302
302
303
305
Poleć książkęKup książkę10
Spis treści
Poleć książkęKup książkęZabezpieczanie portów przy
użyciu funkcji Port Security
W poprzednim rozdziale dowiedziałeś się, jak zabezpieczyć nieużywane porty, wyłą-
czając je. Wyłączenie nieużywanych portów może powstrzymać złoczyńcę przed pod-
łączeniem złośliwego urządzenia do takiego portu i uzyskaniem nieautoryzowanego
dostępu do sieci. Może również pomóc wyszkolić użytkowników (zwłaszcza tych w odle-
głych biurach), aby dzwonili do działu IT, zanim zaczną coś przestawiać. Po kilku run-
dach chodzenia między przełącznikiem i biurkiem oraz bezowocnego przepinania kom-
putera z jednego pustego portu do drugiego większość użytkowników wpadnie wreszcie
na pomysł, że należałoby najpierw zadzwonić do informatyka.
Chociaż wyłączenie portów jest najbardziej bezpieczną opcją radzenia sobie z nie-
używanymi portami, to żaden sposób nie zabezpiecza używanych portów. W żywym
środowisku większość portów przełączników będzie w użyciu.
Funkcja Port Security, czyli zabezpieczanie portów, jest wszechstronną funkcją,
która może zmniejszyć liczbę ataków na sieć i zapobiec nieautoryzowanym działaniom,
takim jak przenoszenie, dodawanie i zmienianie urządzeń. Osiąga się to dzięki ograni-
czeniu liczby unikatowych adresów MAC, które mogą korzystać z danego portu. Jak
pewnie pamiętasz, każde urządzenie w sieci ma unikatowy adres MAC, który służy do
komunikacji z innymi urządzeniami w tej samej domenie rozgłoszeniowej. Wszechstron-
ność ma kluczowe znaczenie, ponieważ zabezpieczenia nie są opcją, która zadowala
wszystkich w równym stopniu. Niektóre organizacje wolą minimalny poziom zabezpie-
czeń, podczas gdy inne wymagają poziomu bezpieczeństwa graniczącego z paranoją.
Zamiast wskazywać Ci, jaki poziom bezpieczeństwa powinna mieć Twoja sieć, w tym
rozdziale określę konkretne zagrożenia, przed którymi może chronić funkcja Port Security,
Poleć książkęKup książkę80
ROZDZIAŁ 5. Zabezpieczanie portów przy użyciu funkcji Port Security
żebyś mógł samodzielnie zadecydować, jak bardzo restrykcyjny chcesz być. Potem pokażę
Ci, jak skonfigurować Port Security, aby ta funkcja spełniała Twoje wymagania.
Nie zaprezentuję Ci wszystkich możliwości konfigurowania Port Security. Zamiast tego
nauczę Cię, jak skonfigurować tę funkcję dla minimalnego i maksymalnego poziomu
zabezpieczeń, tak jak pokazano w tabeli 5.1.
Tabela 5.1. Poziomy zabezpieczeń funkcji Port Security
Poziom zabezpieczeń
Ochrona przed atakami
Minimalny
Maksymalny
MAC flooding, Denial of Service, podsłuchiwanie ruchu sieciowego
Wszystkie powyższe oraz dodatkowo nieautoryzowany dostęp do urządzeń
i rozprzestrzenianie złośliwego oprogramowania
Tabela 5.1 zawiera listę ataków, przed którymi pomaga chronić każdy poziom zabezpie-
czeń Port Security. Zacznijmy od minimalnego poziomu.
5.1. Minimalna konfiguracja Port Security
Chociaż nie mogę Ci wskazać, jaki poziom bezpieczeństwa powinna mieć Twoja sieć,
mogę Ci powiedzieć, że zdecydowanie powinieneś włączyć minimalną konfigurację Port
Security na wszystkich portach użytkownika końcowego.
Bezpieczeństwo jest zawsze kompromisem. Musisz rozważyć, czy warto poświęcić
czas, pieniądze i wysiłek w celu obrony przed konkretnym zagrożeniem. Funkcja Port
Security jest częścią systemu IOS, więc korzystanie z niej nie pociąga za sobą dodat-
kowych kosztów. Natomiast czas i wysiłek potrzebne do skonfigurowania Port Security
na minimalnym poziomie są nieistotne. W zamian otrzymujesz spokój i ochronę przed
potencjalnie wyniszczającym i kosztownym atakiem, nazywanym atakiem MAC flooding.
5.1.1. Zapobieganie atakom MAC flooding
Przypomnijmy z rozdziału 2., że przełącznik utrzymuje tablicę adresów MAC zawiera-
jącą adres MAC każdego urządzenia oraz port, do którego dane urządzenie jest podłą-
czone. Tabela 5.2 jest przykładem typu informacji, jakie można znaleźć w tablicy adresów
MAC. Dzięki śledzeniu lokalizacji każdego urządzenia przełącznik unika zalewania
każdą ramką każdego urządzenia.
Tabela 5.2. Przykładowa tablica adresów MAC
Urządzenie
Adres MAC
Port przełącznika
Komputer Bena
0800.2700.ec26
FastEthernet0/1
W ataku MAC flooding złośliwy program stale wysyła ramki z adresami źródłowymi,
które są sfałszowanymi lub podmienionymi adresami MAC. Ponieważ każda ramka pozor-
nie pochodzi z innego adresu MAC, tablica adresów MAC przełącznika wypełnia się tymi
fałszywymi adresami, a przełącznik nie ma wyboru i musi wysyłać każdą ramkę do każ-
dego portu. W efekcie komputer, na którym działa złośliwy program, staje się snifferem
(podsłuchiwaczem) sieciowym, będącym w stanie przechwycić każdą ramkę w sieci.
Poleć książkęKup książkę5.1. Minimalna konfiguracja Port Security
81
Rysunek 5.1 ilustruje, w jaki sposób atakujący może używać ataku MAC flooding w celu
przechwytywania ruchu.
Rysunek 5.1. Atak MAC flooding
W kroku 1. atakujący wysyła do przełącznika Switch1 tysiące ramek ze sfałszowanymi
źródłowymi adresami MAC. W kroku 2. zapełnia się tablica adresów MAC przełącznika
Switch1. W kroku 3. serwer bazy danych wysyła ramkę zaadresowaną do mojego kom-
putera. Switch2 przekazuje tę ramkę do przełącznika Switch1. Wreszcie w kroku 4. prze-
łącznik Switch1 zalewa tą ramką wszystkie porty, łącznie z tym podłączonym do kom-
putera atakującego.
Tak naprawdę dzieje się jednak coś znacznie gorszego. MAC flooding może skutko-
wać odmową usługi (ang. denial of service) dla wszystkich użytkowników. Przypomnij
sobie powiedzenie z rozdziału 2.: „Kiedy wszyscy mówią, nikt nie słucha”. MAC flooding
poważnie zmniejsza wydajność sieci aż do punktu, w którym staje się ona praktycznie
Poleć książkęKup książkę82
ROZDZIAŁ 5. Zabezpieczanie portów przy użyciu funkcji Port Security
bezużyteczna. Wyobraź sobie, że dziesiątki dzwoniących klientów zostaje naraz rozłączo-
nych, ponieważ ruch Voice over IP nie może przechodzić przez sieć. Dzięki funkcji Port
Security Ty jako administrator sieci możesz mieć pewność, że nigdy nie wpakujesz się
w taką nieznośną sytuację, w której będziesz musiał poradzić sobie z tego typu wyda-
rzeniem. Wystarczy tylko jeden niechroniony port, żeby atak MAC flooding zabloko-
wał Twoją sieć, dlatego tak ważne jest skonfigurowanie funkcji Port Security na każ-
dym porcie.
UWAGA Przed atakami MAC flooding możesz chronić się za pomocą oprogramo-
wania antywirusowego zainstalowanego na komputerach osobistych i serwerach
oraz upewniając się, że użytkownicy końcowi nie mają dostępu administracyjnego
do swoich komputerów. Jednak te metody nie są w 100 niezawodne. Port Secu-
rity jest najbardziej niezawodnym sposobem zapobiegania atakowi MAC flooding,
nawet jeśli zawiodą inne środki bezpieczeństwa.
Zwykle przełącznika nie obchodzi, ile różnych adresów MAC jest na tym samym porcie.
Dopuszcza ruch niezależnie od źródłowego adresu MAC. Pamiętaj, że adresy MAC
zostały wymyślone, aby umożliwić natychmiastowe działanie urządzeń po podłączeniu
ich do sieci. Jednak właśnie to zachowanie plug-and-play umożliwia przeprowadzanie
ataków MAC flooding.
Oczywistym rozwiązaniem jest ograniczenie liczby adresów MAC, które mogą być
jednocześnie powiązane z danym portem. To właśnie robi Port Security. Konfigurujesz
tę funkcję, aby dopuszczała określoną liczbę równoczesnych adresów MAC, a następnie
dostęp jest przyznawany w kolejności zgłoszeń. Spójrzmy na przykład.
Załóżmy, że masz użytkownika z dwoma urządzeniami — komputerem PC i telefo-
nem IP Cisco — podłączonymi do tego samego portu. Telefon jest fizycznie podłączony
do przełącznika, a komputer jest fizycznie podłączony do telefonu i przez niego się
komunikuje. Tabela 5.3 przedstawia, jak mniej więcej wyglądałyby te urządzenia w tablicy
adresów MAC.
Tabela 5.3. Tablica adresów MAC
Urządzenie Adres MAC
Port
PC
Telefon IP
0123.4567.8901
0123.4598.7654
FastEthernet0/23
FastEthernet0/23
Te dwa urządzenia reprezentują dwa unikatowe adresy MAC, więc musisz ograniczyć
maksymalną liczbę adresów MAC do dwóch za pomocą polecenia interfejsu switchport
port-security maximum 2.
SPRÓBUJ TERAZ Zlokalizuj port z dwoma podłączonymi do niego urządzeniami.
Jeśli masz komputer podłączony poprzez telefon IP, to doskonale. Jeśli nie, możesz
nadal wykonać to ćwiczenie. Po prostu zmień polecenie, aby dopuszczało tylko
jeden adres MAC.
Poleć książkęKup książkę5.1. Minimalna konfiguracja Port Security
83
Wykonaj poniższe polecenia, aby skonfigurować maksymalną dozwoloną liczbę
dwóch adresów MAC na porcie:
interface fa0/1
switchport mode access
switchport port-security maximum 2
Na tym etapie nic nie powinno się stać. To dlatego, że wspomniane polecenie nie włącza
w rzeczywistości funkcji Port Security. Może Ci się to wydawać sprzeczne z intuicją,
ale tak naprawdę jest to błogosławieństwo. Źle skonfigurowana funkcja Port Security
może w efekcie uczynić port bezużytecznym. Ważne jest, żebyś dowiedział się, ile adresów
MAC powinno być dopuszczonych na każdym z portów, zanim włączysz Port Security.
Jeśli nie masz pewności co do liczby adresów MAC, możesz ustawić jakąś wysoką
wartość, na przykład 10, a następnie wrócić do tego później i poprawić. W ten sposób,
jeśli Twój szef ma ukryty pod biurkiem sekretny przełącznik grupy roboczej z podłączo-
nymi ośmioma różnymi adresami MAC, dowiesz się o tym z IOS-u zamiast od niego.
SPRÓBUJ TERAZ Po poprawnym ustawieniu maksymalnej liczby adresów MAC
włącz funkcję Port Security za pomocą polecenia interfejsu switchport port-
security.
Teraz sprawdź konfigurację za pomocą polecenia show port-security.
Powinieneś zobaczyć coś podobnego do tego:
Switch1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
-----------------------------------------------------------------------------------
Fa0/1 2 2 0 Shutdown
-----------------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 1
Max Addresses limit in System (excluding one mac per port) : 6144
Dane wyjściowe nie dostarczają wielu szczegółów, ale jest to wystarczające, żeby dowie-
dzieć się, co się tutaj dzieje. Po włączeniu Port Security na porcie funkcja zwraca uwagę
na adresy MAC, które komunikują się na tym porcie w danym momencie, i zapamiętuje
je — maksymalnie tyle adresów, ile określiłeś. To właśnie pokazuje kolumna MaxSecure
Addr (maksymalna liczba bezpiecznych adresów). W tym listingu maksymalna liczba
adresów MAC dozwolonych na porcie Fa0/1 wynosi 2.
Kolumna CurrentAddr (bieżące adresy) wskazuje liczbę adresów MAC, którą prze-
łącznik widział na porcie od momentu włączenia Port Security. W tym listingu ta liczba
również wynosi 2, ponieważ podłączone są tylko dwa urządzenia.
W kolumnie SecurityViolation (naruszenie bezpieczeństwa) znajduje się informacja,
ile razy przełącznik wykrył na tym porcie dodatkowy adres MAC powyżej dozwolonego
maksimum. Tak jak można oczekiwać, liczba ta wynosi 0.
Ostatnia kolumna, oznaczona jako Security Action (podejmowane działania bezpie-
czeństwa), jest prawdopodobnie najważniejsza. Zawiera listę działań, jakie funkcja Port
Poleć książkęKup książkę84
ROZDZIAŁ 5. Zabezpieczanie portów przy użyciu funkcji Port Security
Security podejmie, gdy wykryje naruszenie — dodatkowy adres MAC przekraczający
skonfigurowane maksimum. To działanie Cisco nazywa trybem naruszenia (ang. viola-
tion mode).
5.1.2. Tryby naruszenia
Skonfigurujemy dwa tryby naruszenia: zamknięcie (shutdown) i ograniczenie (restrict).
ZAMKNIĘCIE
W poprzednim listingu trybem naruszenia jest zamknięcie. Oznacza to dokładnie to,
o czym myślisz. Jeśli Port Security wykryje naruszenie bezpieczeństwa, czyli dodatkowy
adres MAC poza maksymalnymi dwoma dopuszczonymi, całkowicie wyłączy port. Bez
ostrzeżenia. Bez zadawania pytań.
Zachowanie powodujące zamknięcie portu jest domyślne. Podejrzewam, że w ten
sposób Cisco chce zapobiec sytuacjom, w których ktoś przypadkowo skonfigurował Port
Security, a następnie zastanawia się, dlaczego nic nie działa. Gdy używany port prze-
stanie nagle działać po włączeniu funkcji Port Security, może to być dość dramatyczne
i trudne do przegapienia.
OGRANICZENIE
Alternatywny tryb naruszenia, ograniczenie, jest nieco subtelniejszy. Gdy w tym trybie
pojawia się naruszenie, Port Security utrzymuje włączony port, ale uniemożliwia komu-
nikowanie się nowym adresom MAC. W pewnym sensie przypomina to dynamiczną listę
dostępu, która nie dopuszcza adresów MAC przekraczających określone maksimum.
Prawdopodobnie nie będziesz chciał, aby funkcja Port Security całkowicie zamykała
port przy wykryciu naruszenia. W takim przypadku musisz ręcznie ustawić tryb naru-
szenia na ograniczenie za pomocą polecenia interfejsu switchport port-security violation
restrict.
SPRÓBUJ TERAZ Zmień tryb naruszenia na ograniczenie za pomocą następują-
cego polecenia:
switchport port-security violation restrict
Jak zawsze, sprawdź konfigurację, używając polecenia show port-security.
Powinieneś zobaczyć, że tryb naruszenia w ostatniej kolumnie zmienił się z Shutdown na
Restrict. Wszystko inne pozostanie takie samo:
Switch1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
-----------------------------------------------------------------------------------
Fa0/1 2 2 0 Restrict
-----------------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 1
Max Addresses limit in System (excluding one mac per port) : 6144
Poleć książkęKup książkę5.2. Testowanie funkcji Port Security
85
Gdy Port Security wykryje naruszenie, nie zamknie portu ani w żaden inny sposób nie
wpłynie na dwa pierwsze adresy MAC. Będą ona nadal komunikować się normalnie
i tylko kolejne adresy zostaną zablokowane.
JEDEN KROK DALEJ Trybu naruszenia shutdown możesz użyć, aby uniemożliwić
komukolwiek podłączenie nieautoryzowanego punktu dostępu bezprzewodowego
wykorzystującego technologię zasilania PoE (ang. Power over Ethernet). Kiedy
IOS zamyka port na przełączniku PoE, odcina zasilanie wszelkim podłączonym do
tego portu urządzeniom. Jest to również powód, dla którego nie używamy z reguły
trybu naruszenia shutdown na portach z podłączonymi telefonami IP.
5.2. Testowanie funkcji Port Security
Jednym z najciekawszych aspektów funkcji Port Security jest jej testowanie. Nie musisz
w tym celu przeprowadzać własnego ataku MAC flooding. Wystarczy, że na tym samym
porcie pojawi się jeden dodatkowy adres MAC. Jest na to kilka sposobów.
Jeśli masz do czynienia z komputerem PC i telefonem IP, odłącz ten komputer od
telefonu i podepnij w to miejsce laptop. Gdy przełącznik zobaczy adres MAC laptopa,
funkcja Port Security zarejestruje naruszenie bezpieczeństwa i uniemożliwi temu adre-
sowi komunikację.
Jeśli masz tylko jeden komputer PC, podłącz niewielki przełącznik grupy roboczej
pomiędzy przełącznikiem Cisco i komputerem. Weź dwa laptopy lub telefony IP i pod-
łącz je do przełącznika grupy roboczej. Daje to trzy adresy MAC na tym samym porcie
— wystarczy, żeby spowodować naruszenie Port Security.
SPRÓBUJ TERAZ Ważne jest, żebyś podczas testowania funkcji Port Security
dokładnie obserwował różne rzeczy. IOS może pokazać w czasie rzeczywistym
informacje o tym, co robi Port Security. Wystarczy w trybie uprzywilejowanym
wpisać polecenie terminal monitor.
Następnie użyj jednej z wymienionych powyżej metod w celu przetestowania
funkcji Port Security.
Po podłączeniu trzeciego urządzenia powinien się pojawić komunikat podobny do tego:
PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by
MAC address 0800.27ba.dbad on port FastEthernet0/1.
Ten komunikat konsoli nie pozostawia wiele miejsca na interpretację. Podaje port, na
którym doszło do naruszenia, oraz adres MAC będący tego przyczyną — dobre infor-
macje, przydatne podczas testowania.
Jeśli wykonasz teraz ponownie polecenie show port-security, powinieneś zobaczyć
wzrost liczby naruszeń bezpieczeństwa w kolumnie SecurityViolation:
Switch1#sh port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
Poleć książkęKup książkę86
ROZDZIAŁ 5. Zabezpieczanie portów przy użyciu funkcji Port Security
-----------------------------------------------------------------------------------
Fa0/1 2 2 18 Restrict
-----------------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 1
Max Addresses limit in System (excluding one mac per port) : 6144
Liczba 18 może wydawać się nieco niespodziewana, biorąc pod uwagę, że funkcja Port
Security powinna zablokować tylko jeden adres MAC. Licznik SecurityViolation jest
zwiększany za każdym razem, gdy nieautoryzowany adres MAC próbuje wysłać ramkę.
Jeśli poprawnie skonfigurowałeś maksymalną liczbę adresów MAC, wartość licznika nie
powinna być bardzo wysoka. Jeżeli jednak jest wysoka, to wskazówka, że musisz zbadać
urządzenia w tym porcie.
JEDEN KROK DALEJ Możesz wyzerować licznik SecurityViolation poprzez wyłą-
czenie portu i ponowne jego włączenie. W chwili, gdy powstaje ten rozdział, nie
ma żadnego polecenia do bezpośredniego zerowania liczników.
5.3. Jak sobie radzić z przenoszeniem urządzeń
Wspomniałem już wcześniej, że Port Security działa na zasadzie kolejności zgłoszeń.
Kiedy fizycznie odłączysz urządzenie od zabezpieczonego portu, funkcja Port Security
zapomni wszystkie adresy MAC, które widziała na tym porcie. Dlatego, jeśli podłą-
czysz inne urządzenie do tego samego portu, Port Security nadal będzie na to pozwalać.
Działa to dobrze w przypadkach, gdy przenoszenie urządzeń zawsze pociąga za sobą
fizyczne odłączenie czegoś od przełącznika. Przykładowo, gdy użytkownik zmienia biurko
i ktoś fizycznie odłączy jego komputer i telefon IP od przełącznika.
Istnieje jednak jeszcze jedna możliwość. Załóżmy, że administrator systemów infor-
matycznych musi jednocześnie podłączyć do sieci pięć nowych komputerów w celu
zainstalowania oprogramowania, pobrania aktualizacji i tak dalej, aby przygotować te
komputery dla nowych użytkowników. Jest jednak pewien problem: w biurze, w któ-
rym pracują, jest tylko jedno gniazdo sieciowe. Aby zachować wydajność i przygotować
komputery na czas, administrator podpina do tego gniazda mały 8-portowy przełącznik
grupy roboczej, a do niego podłącza wszystkie nowe komputery.
5.3.1. Port Security nigdy nie zapomina!
W szafie sieciowej gniazdo jest podłączone do portu FastEthernet0/12 na przełączniku.
Odrobiłeś pracę domową i wiesz, że nigdy nie powinno być więcej niż pięć jednoczesnych
adresów MAC na porcie, do którego podłączony jest przełącznik grupy roboczej. Konfi-
gurujesz więc funkcję Port Security, aby dopuszczała maksymalnie pięć adresów MAC.
SPRÓBUJ TERAZ Nie ma problemu, jeśli tak naprawdę nie masz podłączonego
małego przełącznika. To tylko ćwiczenie. Użyj poniższych poleceń, aby skonfi-
gurować Port Security w celu dopuszczania maksymalnie pięciu jednoczesnych
adresów MAC na porcie FastEthernet0/12:
Poleć książkęKup książkę5.3. Jak sobie radzić z przenoszeniem urządzeń
87
interface fa0/12
switchport port-security maximum 5
switchport port-security violation restrict
switchport port-security
Po uruchomieniu przez administratora systemu pięciu komputerów każdy zaczyna wysy-
łać ruch ze swoim unikatowym adresem MAC. Wszystko działa zgodnie z oczekiwaniami,
a komputery mogą normalnie komunikować się z siecią. Polecenie show port-security
potwierdza, że funkcja Port Security jest włączona i niczego nie blokuje:
Switch1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
--------------------------------------------------------------------------------
Fa0/1 2 0 0 Restrict
Fa0/12 5 5 0 Restrict
--------------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 4
Max Addresses limit in System (excluding one mac per port) : 6144
Po zakończeniu pracy administrator zamyka maszyny i podłącza do przełącznika grupy
roboczej pięć nowych, aby je skonfigurować. Ale teraz jest kolejny problem. Żadna
z maszyn nie może w ogóle połączyć się z siecią. Ponownie sprawdzasz Port Security
i widzisz następujące informacje:
Switch1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
--------------------------------------------------------------------------------
Fa0/1 2 0 0 Restrict
Fa0/12 5 5 30 Restrict
--------------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 4
Max Addresses limit in System (excluding one mac per port) : 6144
Funkcja Port Security nie odpuściła pierwotnych pięciu adresów MAC. Nadal je pamięta,
a tym samym nie zezwala na komunikowanie się nowym komputerom.
Adres MAC został
zablokowany.
Ważne, żebyś zrozumiał, dlaczego tak się dzieje. Port Security nie ma pojęcia, że
oryginalne pięć komputerów zostało odłączonych od sieci. Ten fakt ukrywa 8-portowy
przełącznik grupy roboczej. Funkcja Port Security wie tylko, że widziała pięć unikato-
wych adresów MAC, a potem zobaczyła pięć nowych. Zgodnie z konfiguracją Port Secu-
rity dopuszcza tylko pięć pierwszych adresów MAC i blokuje kolejne.
Mógłbyś powiedzieć administratorowi systemów, aby po prostu odłączył lub zre-
startował przełącznik grupy roboczej za każdym razem, gdy podpina nową grupę kom-
puterów, ale to niepraktyczne, denerwujące i powoduje przedwczesne zużywanie się
przełącznika. Potrzebujesz innego sposobu na zmuszenie funkcji Port Security, aby
zapominała o tych adresach MAC bez jakiejkolwiek ręcznej interwencji.
Poleć książkęKup książkę88
ROZDZIAŁ 5. Zabezpieczanie portów przy użyciu funkcji Port Security
5.3.2. Czas starzenia się
Czas starzenia się (ang. aging time) jest parametrem, który może spowodować okresowe
zapominanie przez funkcję Port Security adresów MAC, których się nauczyła.
Gdy administrator systemów skończy konfigurować jeden zestaw pięciu kompute-
rów, około 10 minut zajmie mu odłączenie ich, przeniesienie, a następnie podłączenie
nowego zestawu. Chcesz, żeby w tym czasie adresy MAC z pierwszego zestawu zesta-
rzały się, aby zanim administrator systemów podłączy drugi zestaw, funkcja Port Security
zapomniała o pierwszych pięciu komputerach.
SPRÓBUJ TERAZ Czas starzenia się, podobnie jak wszystkie inne opcje Port
Security, jest ustawiany dla każdego portu osobno. Użyj poniższych poleceń,
aby ustawić czas starzenia się na 10 minut:
interface fa0/12
switchport port-security aging time 10
Aby zweryfikować konfigurację, użyj następującego polecenia:
show port-security interface fa0/12
Czas starzenia się
ustawiony na 10 minut.
Oto przykład tego, co powinieneś zobaczyć:
Switch1#show port-security interface fa0/12
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Restrict
Aging Time : 10 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 5
Total MAC Addresses : 5
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0800.271c.0b57:1
Security Violation Count : 30
W czwartej linii listingu możesz zobaczyć czas starzenia się (Aging Time) w minutach.
Port Security odlicza czas starzenia się dla każdego adresu MAC niezależnie na pod-
stawie tego, kiedy zobaczył dany adres. Możesz to podejrzeć za pomocą polecenia show
port-security address:
Switch1#show port-security address
Secure Mac Address Table
------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0800.2742.aab8 SecureDynamic Fa0/12 6
1 0800.2782.4c93 SecureDynamic Fa0/12 6
1 0800.27b8.b488 SecureDynamic Fa0/12 6
1 0800.27e4.bb01 SecureDynamic Fa0/12 6
1 0800.7200.3131 SecureDynamic Fa0/12 6
Poleć książkęKup książkę5.3. Jak sobie radzić z przenoszeniem urządzeń
89
------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 4
Max Addresses limit in System (excluding one mac per port) : 6144
Zwróć uwagę, że każdy adres MAC ma taki sam Remaining Age (pozostały czas). To nie
jest zaskakujące, ponieważ administrator systemów uruchomił wszystkie pięć kompu-
terów jednocześnie.
Przypuśćmy teraz, że administrator systemów skończył z czterema z pięciu kompu-
terów i wyłączył je. Pozostał mu jeden komputer do zrobienia, więc zostawił go włączo-
nego. Przyniósł cztery nowe komputery, podłączył je i włączył. Zgłosił, że wszystko nadal
wydaje się działać poprawnie.
Ponownie uruchamiasz polecenie show port-security address:
Switch1#show port-security address
Secure Mac Address Table
------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0800.2708.e69b SecureDynamic Fa0/12 9
1 0800.27b6.b091 SecureDynamic Fa0/12 9
1 0800.27c1.5607 SecureDynamic Fa0/12 9
1 0800.27f4.803e SecureDynamic Fa0/12 9
1 0800.7200.3131 SecureDynamic Fa0/12 8
------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 4
Max Addresses limit in System (excluding one mac per port) : 6144
Zwróć uwagę, że cztery pierwsze adresy MAC są inne, a ich pozostały czas starzenia się
wynosi 9 minut. Ostatni adres, który należy do komputera nieodłączonego przez admi-
nistratora systemów, nie uległ zmianie i ma pozostały czas starzenia się 8 minut. Ponie-
waż adres MAC tego komputera znajdował się już na liście dozwolonych adresów MAC,
nadal może uzyskać dostęp do sieci, nawet po wyzerowaniu licznika. Gdy licznik osią-
gnie zero, zresetuje się do 10 minut.
To urządzenie nie zostało
zamienione i starzeje się
niezależnie od pozostałych
adresów.
Skoro skonfigurowałeś już czas starzenia się, prawdopodobnie nigdy nie będziesz już
musiał grzebać w ustawieniach Port Security na tym konkretnym porcie. Jeśli admini-
strator systemów będzie miał kiedyś problemy z połączeniem, będzie musiał jedynie
poczekać kilka minut i spróbować ponownie.
Prawdopodobnie ustalenie właściwego czasu starzenia się adresów MAC będzie
wymagało od Ciebie wykonania kilku prób i popełnienia paru błędów. Jeśli okaże się,
że nowo podłączane urządzenia nie mogą uzyskać dostępu do sieci, być może będziesz
musiał zmniejszyć czas starzenia się. Pamiętaj o potrzebach użytkownika i nie czuj się
przymuszony do ustawiania długiego czasu starzenia się. Nawet jeśli ustawisz bardzo
krótki czas starzenia się, powiedzmy 1 minutę, port nadal będzie chroniony przed atakiem
MAC flooding. Ustawienie dłuższego czasu nie zapewni Ci zwiększonego bezpieczeństwa.
Jeżeli jednak wymagasz bardziej rygorystycznych zabezpieczeń, funkcja Port Security
również może Ci to zagwarantować.
Poleć książkęKup książkę90
ROZDZIAŁ 5. Zabezpieczanie portów przy użyciu funkcji Port Security
5.4. Uniemożliwianie dostępu
nieautoryzowanym urządzeniom
Dotychczas nauczyłeś się, jak skonfigurować funkcję Port Security, aby zapobiec atakom
MAC flooding bez zakłócania legalnego ruchu użytkowników. Jeśli jeszcze samodzielnie
trochę poszperasz w IOS-ie i zastosujesz metodę prób i błędów, będziesz mógł skonfi-
gurować Port Security na wszystkich portach użytkownika końcowego w taki sposób,
że nikt nawet tego nie zauważy.
Chociaż minimalna konfiguracja Port Security może być świetna dla wydajności użyt-
kowników końcowych, nie wszystkie organizacje są tak zadowolone. Niektóre z nich
mają surowe wymagania dotyczące bezpieczeństwa, które zabraniają podłączania do sieci
niefirmowych urządzeń. Nie wystarcza im ograniczanie liczby adresów MAC na porcie.
Musisz określić, które konkretne adresy MAC mogą korzystać z danego portu. Wydaje
się to kłopotliwym zadaniem, ale jak się przekonasz, w przypadku funkcji Port Security
jest to zaskakująco łatwe.
Nawet jeśli Twoja organizacja nie wymaga takiego uciążliwego poziomu zabezpieczeń,
nadal zdecydowanie sugeruję Ci kontynuowanie lektury tego podrozdziału. Już mówię
dlaczego. W rozdziale 4. dowiedziałeś się, że jednym z powodów wyłączania nieuży-
wanych portów jest uniemożliwienie osobie, która wejdzie do biura prosto z ulicy z zainfe-
kowanym laptopem, podłączenie tego sprzętu przy jakimś pustym biurku. Ale nawet
jeśli skrupulatnie sprawdzasz i wyłączasz nieużywane porty raz dziennie i dwa razy
w niedzielę, nie powstrzyma to nikogo od odłączenia pracującego komputera i podłą-
czenia zainfekowanego laptopa.
Można prawdopodobnie wymyślić inne powody ograniczania portu do pojedynczego
urządzenia. Na początku rozdziału powiedziałem, że pokażę Ci, jak skonfigurować Port
Security w celu zapewnienia maksymalnego bezpieczeństwa. Skoro masz już pewne
wyobrażenie o tym, kiedy może być to potrzebne, nauczę Cię, jak to zrobić.
JEDEN KROK DALEJ Bezpieczeństwo polega na tworzeniu warstw ochrony. Cho-
ciaż każda organizacja z odrobiną zdrowego rozsądku podejmuje określone dzia-
łania, aby fizycznie uniemożliwić ludziom wchodzenie prosto z ulicy ze złośliwymi
urządzeniami, nie neguje to potrzeby podejmowania technicznych środków mają-
cych na celu ochronę sieci. Wszystkie zabezpieczenia można złamać. Możesz
mieć jedynie nadzieję, że spowolni to atakującego na tyle, że sam zrezygnuje
i poszuka łatwiejszego celu. Port Security jest jedną z technologii, która może
utrudnić atakującemu życie.
5.4.1. Zapewnienie maksymalnego bezpieczeństwa portów
Przypomnijmy, że funkcja Port Security po włączeniu zapamiętuje i dopuszcza adresy
MAC w takiej kolejności, w jakiej je wykrywa, aż wyczerpie się skonfigurowana maksy-
malna liczba adresów. Gdy fizycznie podłączone do portu urządzenie zostaje odłączone,
Poleć książkęKup książkę5.4. Uniemożliwianie dostępu nieautoryzowanym urządzeniom
91
Port Security zapomina te adresy MAC. Jeśli skonfigurowałeś parametr starzenia się na
przykład na 5 minut, Port Security zapomni każdy adres MAC po 5 minutach od jego
zarejestrowania.
W środowisku o wysokim poziomie zabezpieczeń funkcja Port Security ma działać
nieco inaczej. Po pierwsze, powinna dopuszczać i zapamiętywać konkretne adresy MAC
urządzeń, które mają być podłączone. Po drugie, nigdy nie powinna zapominać tych
adresów MAC — nigdy! Nawet jeśli ktoś wyłączy port, odłączy urządzenie lub zrestar-
tuje przełącznik, te adresy MAC mają być przyklejone do portu jako jedyne autoryzo-
wane adresy MAC, które mogą z niego korzystać. Można to osiągnąć, używając czegoś,
co Cisco nazywa lepkimi adresami MAC (ang. sticky MAC addresses).
5.4.2. Lepkie adresy MAC
Lepki adres MAC jest przechowywany na stałe w konfiguracji startowej w sekcji konfi-
guracji interfejsu. Te adresy MAC są nazywane lepkimi dlatego, że nie musisz ich ręcznie
konfigurować. Zamiast tego pozwalasz funkcji Port Security wykrywać je w zwykły spo-
sób, a IOS automatycznie zapisuje je w bieżącej konfiguracji. To sprytny sposób na osią-
gnięcie wysokiego poziomu bezpieczeństwa przy niewielkim wysiłku.
Załóżmy, że Twoja organizacja ma komputer stojący w półpublicznym obszarze, na
przykład w holu lub recepcji. Chcesz uniemożliwić, aby ktokolwiek mógł przyjść po
godzinach pracy i podłączyć do tego samego portu złośliwe urządzenie. Ponieważ na tym
porcie zawsze powinien być widywany tylko jeden adres MAC, konfigurujesz maksy-
malną liczbę adresów MAC na jeden. Następnie za pomocą polecenia switchport port-
security mac-address sticky instruujesz funkcję Port Security, aby na stałe zapamię-
tała ten adres MAC.
SPRÓBUJ TERAZ Wybierz port z podłączonym tylko jednym urządzeniem i skonfi-
guruj funkcję Port Security, aby dopuszczała jeden lepki adres MAC:
interface fa0/1
switchport port-security maximum 1
switchport port-security mac-address sticky
Teraz dzieje się magia. Gdy tylko Port Security zobaczy adres MAC, zapisuje go w bieżącej
konfiguracji. Można to sprawdzić za pomocą polecenia show run interface fa0/1:
Switch1#show run interface fa0/1
Building configuration...
Current configuration : 233 bytes
!
interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0800.7200.3131
End
Wykonałeś
to polecenie.
Funkcja Port Security
dodała ten lepki
adres MAC.
Poleć książkęKup książkę92
ROZDZIAŁ 5. Zabezpieczanie portów przy użyciu funkcji Port Security
Zwróć uwagę, że dwie ostatnie linie konfiguracji interfejsu są prawie identyczne z wyjąt-
kiem adresu MAC. Pierwsza linia to polecenie, które wykonałeś, a druga została dodana
przez Port Security.
JEDEN KROK DALEJ Prawdopodobnie zauważyłeś, że polecenie switchport
port-security maximum 1 nie pojawia się w konfiguracji. Nie jest to błąd i nie
znaczy, że zrobiłeś coś złego. Czasami IOS zmienia lub usuwa określone pole-
cenia konfiguracji, jeśli są zbędne lub niepotrzebne. Port Security domyślnie
dopuszcza tylko jeden adres MAC na port, więc bezpośrednie ustawienie mak-
simum na 1 jest niepotrzebne.
Teraz dla porównania wpisz polecenie show port-security address:
Switch1#sh port-security address
Secure Mac Address Table
-----------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0800.7200.3131 SecureSticky Fa0/1 -
-----------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6144
Ten sam adres pojawia się tutaj, a kolumna Remaining Age jest pusta, ponieważ ów wpis
nigdy nie wygaśnie. Dopóki ręcznie nie usuniesz konfiguracji dodanej przez Port Security,
ten adres MAC będzie pamiętany.
Zwróć uwagę,
że typem
jest SecureSticky
i nie ma czasu
starzenia się.
SPRÓBUJ TERAZ Odłącz fizycznie komputer od portu, na którym skonfiguro-
wałeś lepki adres MAC, i podłącz do niego inne urządzenie. Co się dzieje?
Powinieneś zobaczyć wzorzec podobny do tego:
LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down
LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address
2c27.d737.9ad1 on port FastEthernet0/1.
Podłączenie
nieautoryzowanego urządzenia
Rozłączenie
uprawnionego
komputera
Port Security blokuje adres MAC
nieautoryzowanego urządzenia.
W przypadku prawdziwego ataku hakerskiego intruz może spędzić kilka minut, próbując
dowiedzieć się, dlaczego nie może uzyskać dostępu do sieci. Może próbować dostosować
ustawienia sieciowe, ponownie uruchomić komputer lub podłączyć się do innego portu.
Ważne jest to, że funkcja Port Security udaremnia próbę uzyskania nieautoryzowanego
dostępu na zasadzie plug-and-play.
Chociaż jest to dobra konfiguracja, ma jedną wadę.
JEDEN KROK DALEJ Adresy MAC można dość łatwo fałszować. Zaawansowany
haker może poznać adres MAC autoryzowanego komputera i sklonować go. Nadal
Poleć książkęKup książkę5.5. Polecenia omówione w tym rozdziale
93
jednak wymaga to czasu. Pamiętaj, że nie chodzi o to, żeby polegać na funkcji Port
Security jak na jedynym i ostatecznym zabezpieczeniu. Jej jedynym zadaniem
jest utrudnienie atakującemu wykonania jego zadania, czyli wyrządzenia szkód.
5.4.3. Zastrzeżenia dotyczące lepkich adresów MAC
Dodatkowe zabezpieczenie w postaci lepkich adresów MAC wiąże się z pewnym kom-
promisem. Jeśli kiedykolwiek zajdzie potrzeba zastąpienia urządzenia, będziesz musiał
ręcznie wyedytować konfigurację portu, aby usunąć stary adres MAC, a nowy mógł zająć
jego miejsce. We wcześniejszym przykładzie funkcja Port Security dodała do bieżącej
konfiguracji następującą linię:
switchport port-security mac-address sticky 0800.7200.3131
Aby to usunąć, trzeba przede wszystkim upewnić się, że ten konkretny adres MAC nie
korzysta już z tego portu. Następnie musisz wejść do trybu konfiguracji interfejsu i poprze-
dzić polecenie słowem kluczowym no.
SPRÓBUJ TERAZ Odłącz komputer od portu FastEthernet0/1 lub po prostu
zamknij port. Następnie wykonaj poniższe polecenia, aby usunąć lepki adres MAC.
Pamiętaj o zmianie adresu MAC w poleceniu, aby odpowiadał Twojej konfiguracji:
int fa0/1
no switchport port-security mac-address sticky 0800.7200.3131
Gdy ponownie wpiszesz show run int fa0/1, lepki adres MAC powinien zniknąć.
To wszystko! Port Security automatycznie doda do bieżącej konfiguracji następny adres
MAC, który zobaczy. Trzeba jeszcze pamiętać o tym, że po zapisaniu lepkich adresów
MAC w bieżącej konfiguracji przez funkcję Port Security trzeba ręcznie zapisać konfi-
gurację startową, aby adresy utrzymywały się podczas ponownych uruchomień prze-
łącznika.
5.5. Polecenia omówione w tym rozdziale
Podczas przeglądania listy poleceń w tabeli 5.4 należy pamiętać, że różne porty mogą być
skonfigurowane z całkowicie odmiennymi ustawieniami Port Security. To czyni tę funkcję
wszechstronną, ale oznacza również, że trzeba indywidualnie sprawdzać konfigurację
portu podczas rozwiązywania potencjalnego problemu.
5.6. Laboratorium
Skoro poćwiczyłeś już konfigurowanie funkcji Port Security na kilku portach, jesteś
gotowy, aby włączyć Port Security na wszystkich portach użytkowników końcowych.
Wystarczy jeden niechroniony port, żeby atak MAC flooding zablokował Twoją sieć.
Wykonując poniższe czynności w celu dokończenia ćwiczeń z laboratorium, pamiętaj,
aby użyć polecenia interface range do jednoczesnego zastosowania konfiguracji do wielu
portów:
Poleć książkęKup książkę94
ROZDZIAŁ 5. Zabezpieczanie portów przy użyciu funkcji Port Security
Tabela 5.4. Polecenia użyte w tym rozdziale
Polecenie
Tryb konfiguracji
Opis
Interfejsu
Dopuszcza maksymalnie 5 adresów MAC
switchport port-security
maximum 5
switchport port-security
violation restrict
switchport port-security
violation shutdown
switchport port-security
switchport port-security
mac-address sticky
show port-security
show port-security
interface fa0/1
show port-security address
Interfejsu
Interfejsu
Interfejsu
Interfejsu
Nie dotyczy
Nie dotyczy
Nie dotyczy
show run interface fa0/1
Nie dotyczy
Kolejne adresy MAC ponad dopuszczalną liczbę
są blokowane
Każdy kolejny adres MAC ponad dopuszczalną
liczbę uruchamia zamknięcie portu
Włącza funkcję Port Security
Zapisuje dopuszczony adres MAC (lub adresy)
w bieżącej konfiguracji
Wyświetla, na których portach włączona
jest funkcja Port Security
Wyświetla szczegółowe informacje
o konfiguracji Port Security dla danego portu
Wyświetla dopuszczone adresy MAC według
portów
Wyświetla całą konfigurację poziomu interfejsu
dla portu FastEthernet0/1
1. Zacznij od skonfigurowania maksymalnej liczby adresów MAC dla każdego portu.
Jeśli masz już rozeznanie, ile adresów MAC powinno być na każdym porcie, ustaw
to za pomocą polecenia switchport port-security maximum. W przeciwnym razie,
jeśli nie jesteś pewien, ustaw zachowawczo jakąś wysoką wartość, na przykład 50.
Maksymalna liczba adresów MAC dozwolonych dla każdego portu wynosi 3072.
2. Następnie ustaw tryb naruszenia na wszystkich portach na ograniczenie za pomocą
polecenia switchport port-security violation restrict. Możesz wrócić do tego
później i w razie potrzeby zmienić tryb zamknięcie, ale nie zaczynaj od tego.
3. Na koniec włącz funkcję Port Security za pomocą polecenia interfejsu switch
port port-security. Jeśli zrobiłeś wszystko prawidłowo, nie powinno wydarzyć
się nic dramatycznego (chyba że właśnie ktoś przeprowadza na Twoją sieć atak
MAC flooding). Aby zweryfikować konfigurację, użyj poleceń show, których nauczyłeś
się w tym rozdziale.
Poleć książkęKup książkęA
access point, 27
ACE, access control entry, 139
ACL, access control lists, 137
adres IP, 37, 38
automatyczne żądanie, 128
statyczny, 128
tranzytowy, 218
adres MAC, 29, 38
docelowy, 31
rozgłoszeniowy, 39
źródłowy, 31
adres podsieci, 108
adresowanie urządzeń, 36
Aging Time, 88
ARP
odpowiedź, 40
żądanie, 40
ARP, Address Resolution Protocol, 39, 205
AS, autonomous system, 235
atak MAC flooding, 80, 81
automatyczne
konfigurowanie VLAN-ów, 167
negocjowanie trunku, 157
żądanie adresu IP, 128
autonegocjacja, 74
awaria
sieci, 283
łączy, 183, 241
B
baner logowania, 62
bezpieczeństwo portów, 90
bieżąca konfiguracja, 59
blokowanie ruchu
IP – IP, 138
IP – podsieć, 144
podsieć – podsieć, 148
brama domyślna, 43, 110, 116
konfigurowanie, 221
bufor rejestrowania, 272
konfigurowanie, 272
Skorowidz
C
CCENT, 19, 301
CCNA, 19, 301
CDP, Cisco Discovery Protocol, 252
certyfikacja, 301
CLI, command-line interface, 49
CPU, 294
czas
dzierżawy DHCP, 124, 209
pingowania, 296
pracy systemu, 295
starzenia się, aging time, 88
D
debugowanie, 271, 273
DHCP, 275
funkcji Port Security, 274
routingu IP, 277
VTP, 276
DHCP
czas dzierżawy, 124
debugowanie, 275
konfigurowanie puli, 125
konfigurowanie serwera, 122
opcje, 124
przypisywanie adresów IP, 121
tworzenie puli, 131
wyłączanie adresów z przypisywania, 126
wyświetlanie dzierżaw, 133
DHCP, Dynamic Host Configuration
Protocol, 121
DNS, Domain Name System, 121
domeny rozgłoszeniowe, 32, 34
adresowanie urządzeń, 36
brama domyślna, 43
łączenie, 35, 40
ograniczenie rozmiaru, 34
określanie, 42
domyślna reguła blokowania, 141
domyślny VLAN, 98
dostęp
do VLAN-u, 101
nieautoryzowany urządzeń, 90
SSH, 266
Poleć książkęKup książkę306
Skorowidz
DTP, Dynamic Trunking Protocol, 156, 192
dupleks, 74
dynamiczny port channel, 193
dzierżawa DHCP, 133, 209
E
EIGRP, 231
konfigurowanie, 234
enkapsulacja, 43
EPT, Extended Page Tables, 24
EtherChannel, 191
EtherChannel Misconfiguration Guard, 197
F
filtrowanie danych wyjściowych, 55, 57
firewall, 27
floodowanie, 31
funkcja
EtherChannel Misconfiguration Guard, 197
port channel, 191
Port Security, 79
PortFast, 189
VTP pruning, 173
G
gniazdo, 296
graficzny interfejs użytkownika, GUI, 49
grupa portów, 191
GUI, graphical user interface, 49
I
identyfikacja
pakietu, 57
wersji IOS-u, 57
identyfikator
OUI, 30
routerów, 233
IGP, Interior Gateway Protocol, 231
interfejs, 66
routingu, 219
wiersza poleceń, CLI, 49
wirtualny, 107, 113
interfejsy SVI, 113
konfigurowanie, 114
tworzenie, 114
inwentaryzacja VLAN-ów, 96
IOS, Internetwork Operating System, 23,
49, 140
K
kabel sieciowy, 296
kanał
EtherChannel, 191
trunkowy VLAN, 154
kapsułkowanie, 43
pakietu IP, 45
trunku, 163
karta sieciowa, 22, 29
klient
terminala, 50
VTP, 170
kolumna
NAME, 97
PORTS, 97
STATUS, 97
VLAN, 97
komunikat
DHCP Discover, 129
DHCP Offer, 129
komutowane interfejsy wirtualne, 107, 113
konfiguracja
bieżąca, 59
globalna, 60
minimalna Port Security, 80
router na patyku, 204
startowa, 62
konfigurowanie
bram domyślnych, 221
bufora rejestrowania, 272
DTP, 157
dynamicznego kanału port channel, 193
EIGRP, 234
interfejsów pętli zwrotnej, 233
interfejsów SVI, 114
łącza trunkowego, 156
podinterfejsów, 207
podsieci tranzytowych, 218
port channel, 192
przełącznika Switch1, 169
przełącznika Switch2, 159, 170
puli DHCP, 125
serwera DHCP, 122, 133
syslogu, 280
urządzeń do żądania adresów, 128
VLAN-ów, 160
Poleć książkęKup książkękonto użytkownika
lokalne, 261
uprzywilejowane, 262
kontrola
CPU, 294
czasów pingowania, 296
czasu pracy systemu, 295
elementów sieci, 293
połączenia fizycznego, 296
tras IP, 297
korzystanie z sieci VLAN, 105
L
laboratorium wirtualne, 23
LACP, Link Aggregation Control Protocol,
193
lepkie adresy MAC, 91, 93
linia VTY, 264
linie danych wyjściowych, 56
listy kontroli dostępu, ACL, 137, 266
dla podinterfejsu, 213
komutowany interfejs wirtualny, 147
podmienianie, 146
ruch IP – IP, 138
ruch IP – podsieć, 144
ruch podsieć – podsieć, 148
logowanie się do urządzeń, 50
lokalne konto użytkownika, 261
Ł
łącza trunkowe
konfigurowanie, 156
usuwanie, 221
łączenie
domen rozgłoszeniowych, 35
przełączników, 153
routerów i przełączników, 203
M
MAC flooding, 80
MAC, Media Access Control, 29
maski podsieci, 42, 109
interfejsów SVI, 114
wieloznaczne, 145
metody równoważenia obciążenia, 199
Skorowidz
307
N
NACL, 139
następny skok, next hop, 224
nazwa domeny, 124
NIC, network interface card, 22, 29
nieautoryzowany dostęp, 90
nieulotna pamięć RAM, 62, 287
numery wersji, 58
NVRAM, 62, 287
O
obszar, area, 243
odzyskiwanie sprawności, 283
ponowne uruchamianie urządzeń, 284
resetowanie hasła, 288
na przełączniku, 290
na routerze, 288
usuwanie konfiguracji startowej, 286
zawężanie zakresu urządzeń, 284
ograniczanie dostępu SSH, 266
ograniczenie, restrict, 84
floodowania, 35
okno konfiguracji PuTTY, 51
omijanie awarii łączy, 241
opcje DHCP, 124
optymalizacja wydajności sieci, 191
OSPF, Open Shortest Path First, 231, 243
OUI, organizationally unique identifier, 30
P
PAgP, Port Aggregation Protocol, 193
pakiet, 58
IP, 45, 47
pamięć RAM, 62
parametr starzenia się, 88
pełny dupleks, 74
pętla
między mostkami, 180
zwrotna, 233
planowanie
nowego VLAN-u, 98
ponownego uruchamiania, 285
platforma VIRL, 23
podinterfejs, 207
listy ACL, 213
Poleć książkęKup książkę308
Skorowidz
podłączanie
nowego przełącznika, 154
routera do przełącznika, 216
routera Router1, 205
telefonów IP, 203
podmienianie list ACL, 146
podsieci, 42, 108, 124
pula DHCP, 222
tranzytowe, 218
podskakiwanie, bouncing, 75, 158
PoE, Power over Ethernet, 85
pole
Alternatywny serwer DNS, 124
Brama domyślna, 110, 124
Preferowany serwer DNS, 124
polecenia debugowania, 273
polecenie
(no) shutdown, 77
access-class Management in, 269
area 0, 248
channel-group 1 mode active, 202
channel-group 1 mode on, 202
clear logging, 281
config, 64
config-register 0x2102, 291
configure terminal, 64
confreg 0x2142, 291
copy, 64
debug ip routing, 281
debug port-security, 281
debug sw-vlan vtp, 281
default-router, 136
delete nvram:startup-config, 291
deny ip host, 152
dns-server, 136
domain-name, 136
duplex full/half/auto, 77
encapsulation dot1Q 600, 214
exit, 106
interface loopback0, 248
interface range, 70, 77, 202
interface vlan 600, 119
ip access-group 150 in, 152
ip access-list extended 150, 152
ip address, 119
ip dhcp excluded-address, 136
ip dhcp pool MoL, 136
ip helper-address, 134, 136
ip route profile, 299
ip routing, 119, 229
ipconfig /all, 132
lease, 136
line vty 0 4, 269
logging buffered 8192, 281
logging buffered debugging, 281
logging buffered warnings, 281
logging host, 281
logging trap debugging, 281
name Executives, 106
network, 136
no, 63
no interface port-channel 1, 202
no switchport, 229
permit ip, 152
permit ip any any, 152
port-channel load-balance src-mac, 202
reload, 64, 281
reload cancel, 291
reload in 15, 291
router eigrp 7, 248
router ospf 1, 248
show arp, 259
show cdp neighbors, 259
show etherchannel load-balance, 202
show etherchannel summary, 202
show interfaces counters errors, 299
show interfaces pruning, 178
show interfaces status, 77
show interfaces trunk, 165, 178
show ip dhcp binding, 136
show ip eigrp neighbor, 248
show ip interface, 229
show ip ospf neighbor, 248
show ip protocols, 248
show ip route, 119, 214, 299
show ip route profile, 299
show logging, 281
show mac address-table, 259
show port-security, 94
show port-security address, 94
show processes cpu history, 299
show run interface, 94
show run interface fa0/2, 77
show running-config, 64
show spanning-tree vlan 700, 190
show startup-config, 64
show users, 269
show version, 64, 299
show vlan brief, 106
show vlans 600, 214
Poleć książkęKup książkęshow vtp status, 178
spanning-tree etherchannel guard
misconfig, 202
spanning-tree mode rapid-pvst, 190
spanning-tree portfast, 190
speed, 77
ssh, 269
switchport access vlan 700, 106
switchport mode access, 106
switchport mode trunk, 165
switchport port-security, 94
switchport port-security mac-address
sticky, 94
switchport port-security maximum 5, 94
switchport port-security violation restrict, 94
switchport port-security violation
shutdown, 94
switchport trunk encapsulation dot1q, 165
switchport voice vlan, 106
telnet, 165
traceroute, 251, 255, 259
transport input ssh, 269
undebug all, 281
username ben privilege 15 secret cisco,
269
vlan 700, 106
vtp mode client, 178
vtp mode server, 178
vtp password MoL, 178
vtp pruning, 178
ponowne uruchamianie urządzeń, 284, 291
port
channel, 191
dynamiczny, 193
konfigurowanie dynamicznego kanału,
193
statyczny, 192
tworzenie statycznego kanału, 197
Port Security, 79
Aging Time, 88
blokowanie urządzeń, 90
debugowanie funkcji, 274
maksymalne bezpieczeństwo portów, 90
minimalna konfiguracja, 80
poziomy zabezpieczeń, 80
przen
Pobierz darmowy fragment (pdf)