Tarmoq qurilmalarida xavfsizlik sozlamalari: Laboratoriya ishi
advertisement
1 – laboratoriya ishi Mavzu: Tarmoq qurilmalarida dastlabki xavfsizlik sozlamalarini o’rnatish Ishdan maqsad O'ZBЕKISTON RESPUBLIKASI AXBOROT TEXNOLOGIYALARI VA KOMMUNIKATSIYALARINI RIVOJLANTIRISH VAZIRLIGI MUHAMMAD ALXORAZMIY NOMIDAGI TOSHKЕNT AXBOROT TЕXNOLOGIYALARI UNIVЕRSITЕTI “Tarmoq xavfsizligi” fanidan labaratoriya ishi N_1 Bajardi: Qo`narov Shohrux Tekshirdi: Iqbola Ubaydullaevna 1 – laboratoriya ishi Mavzu: Tarmoq qurilmalarida dastlabki xavfsizlik sozlamalarini o’rnatish Ishdan maqsad: Kommutator qurilmasining tuzilishi, ishlash tamoyillari, masofadan kirishni ta’minlash usullari hamda xavfsizlik ko’rsatkichlarini sozlash qoidalarini tadqiq qilishdan iborat. Kommutatorni dastlabki xolati: IOS ma‘lumotlari, interfeys xususiyatlari, VLAN va flesh xotira togrisidagi ma‘lumotlarni tekshiramiz. Kommutator IOS ning barcha buyruqlari imtiyoz rejimida bajarish mumkin. Imtiyoz rejimiga kirishda begonalarni qurilmadan foydalanishini oldini olish va global konfiguratsiya rejimiga togridan togri otib ketmaslik hamda ishchi korsatkichlarni sozlash uchun ishlatiladigan buyruqlarga kirmaslik uchun parol yordamida cheklash kerak. Imtiyoz to‗plamiga foydalanuvchi rejimining buyruqlari kiradi. Shuningdek boshqa buyruqli rejimlarga o‗tishni bajaruvchi configure buyrugi kiradi. Imtiyoz rejimiga kirish uchun Enable buyrug‗ini kiriting. a. Imtiyoz rejimiga o‗tish uchun foydalanuvchi rejimida kommutatorga Switch> enable buyrug‘ini yozing. Switch> enable Switch# Qatordagi o‗zgarish imtiyoz rejimiga o‗tganligiga e‘tibor bering. Kommutatorning konfiguratsiyasini tekshirish uchun imtiyoz rejimida show running-config buyrug‗ini kiriting. Agar kommutatorda sozlangan fayllar saqlangan bo‗lsa, ularni o‗chirib tashlang. b. "Running configuration" faylini o‗rganing Switch# show running-config 2960 kommutatori nechta FastEthernet interfeyslari mavjud? 2960 kommutatori nechta Gigabit Ethernet interfeyslari mavjud? VTY-kanalining diapazon qiymati qancha? c. VLAN 1 uchun SVI harakteristikalarini o‗rganing. Switch# show interface vlan1 VLAN 1 tarmogi uchun IP-manzil qoyilganmi? Switch# show ip interface vlan1 qanday ma‘lumotlar chiqdi? . Switch# show version 2. Tarmoq qurilmasini asosiy ko‘rsatkichlarini sozlash 2.1. Kommutatorning asosiy parametrlari: qurilmaning nomi, lokal parollar, MOTD (qurilmaga kirishda kiruvchini ogohlantiruvchi xabar) banneri, boshqaruv manzili va Telnet orqali kirishlarni sozlang a. Agar kommutatorning NVRAM xotirasida konfiguratsiyaning fayli saqlanmagan bo‗lsa, siz imtiyoz rejimda bo‗lasiz. Agar qator Switch> ga ozgargan enable ni yozing. Switch> enable Switch# b. Global konfiguratsiya rejimiga o‗ting. Switch# configure terminal Switch(config)# Global konfiguratsiya rejimini ko‗rsatish uchun qator yana o‗zgardi. c. Kommutatorga nom bering. Switch(config)# hostname S1 S1(config)# d. Parolni shifrlanishini sozlang. S1(config)# service password-encryption S1(config)# e. Imtiyoz rejimiga kirish uchun maxfiy parol sifatida class bering. S1(config)# enable secret class S1(config)# f. MOTD (qurilmaga kirishda kiruvchini ogohlantiruvchi xabar) bannerini sozlang. S1(config)# banner motd # Qurilmaga kirish taqiqlanadi# g. Rejimlarga o‗tishdagi o‗tishlarni sozlanganligini tekshiring. S1(config)# exit S1# exit Foydalanuvchi rejimidan imtiyoz rejimiga o‗ting. Parol so‗ralganda class ni kiriting. S1> enable Password: S1# Kommutatorning ichki virtual interfeys (SVI) VLAN 1 ga IP manzil 192.168.1.100 va tarmoq maskasi 255.255.255.0 ni sozlang. S1(config)# interface vlan1 S1(config-if)# ip address 192.168.1.100 255.255.255.0 S1(config-if)# no shutdown S1(config-if)# exit S1(config)# 3. Console konfiguratsiyasini sozlash Konsol port orqali kirishni ham chegaralash kerak. Dastlabki xolatdagi konfiguratsiyaga asosan barcha konsolli ulanishlar parolsiz sozlangan bo‗lishi kerak. Konsol xabarlarini uzluksizligini ta‘minlash uchun logging synchronous buyrug‗i kiritiladi. S1(config)# line console 0 S1(config-line)# password cisco S1(config-line)# login S1(config-line)# logging synchronous S1(config-line)# exit S1(config)# 4. Telnet konfiguratsiyasini sozlash Kommutator telnet orqali kirishga ruxsat berishi uchun, ya‘ni uzoqdan boshqarish uchun virtual bog‗lanish kanali (vty) ni sozlash kerak. Agar vty paroli qo‗yilmasa telnet orqali qurilmaga kirib bo‗lmaydi. S1(config)# line vty 0 15 S1(config-line)# password cisco S1(config-line)# login S1(config-line)# end5. SSH konfiguratsiyasini sozlash № 2 LABORATORIYA ISHI KOMMUTATORDA PORT XAVFSIZLIGI (PORT SECURITY) NI SOZLASH Ishdan maqsad: Kommutatsiya jadvallari to`ldirilishiga yo`naltirilgan hujumlardan, tarmoqni himoya qilish imkonini beruvchi kommutatorning “port security” funksiyasini sozlash bo`yicha amaliy ko`nikmalarga ega bo’lish. Ishni bajarish tartibi Switch>enable Switch#configure terminal Switch(config)#hostname Sw1 Sw1(config)#interface fa0/1 1. Portni access rejimiga o`zgartirish Sw1(config-if)#switchport mode access 2. Portda port-securityni ishga tushurish Sw1 (config-if)#switchport port-security 3. Secure-MAC ni dinamik aniqlashni ko`rsatish Sw1 (config-if)#switchport port-security mac-address sticky Sw1 (config-if)#exit 4. Secure-MAC ni statik aniqlashni ko`rsatish Sw1(config)#interface fastEthernet 0/2 Sw1(config-if)#switchport mode access Sw1(config-if)#switchport port-security Sw1(config-if)#switchport port-security mac-address 000B.BE9B.EE4A Sw1(config-if)#end 5. Xavfsizlik buzilishigi javob berish rejimini sozlash Sw1(config)#interface fastEthernet 0/3 Sw1(config-if)#switchport mode access Sw1(config-if)#switchport port-security Sw1(config-if)#switchport port-security mac-address sticky Sw1(config-if)#switchport port-security violation protect Sw1(config-if)#end 6. Ishlatilmayotgan portlarni o`chirish Sw1(config)#interface range fastEthernet 0/5-24 Sw1(config-if-range)#shutdown 7. Portda secure-MAC maksimal soni N ni ko`rsatish (Bu buyruq Sw2 kommutatorga tavsiya etiladi)Switch>enable Switch#configure terminal Switch(config)#hostname Sw2 Sw2(config)#interface fa0/4 Sw2(config-if)#switchport mode trunk Sw2(config-if)#switchport port-security maximum 4 Sw1(config-if)#switchport port-security violation restrict 8. Natijani tekshirish Switch#show port-security interface fa 0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0001.63B4.E4A6:1 Security Violation Count : 0 9. Sozlamalarni saqlash Switch#copy running-config startup-config 3-LABORATORIYA ISHI TARMOQ QURILMALARI XAVFSIZLIGINI TAHLIL QILISH Ishdan maqsad: Cisco kommutatorlarida va marshrutizatorlarida parolni olib tashlash (сброс) bo`yicha amaliy ko`nikmalar olish Bundan keyin, ishga tushishni boot buyrug`i orqali tiklaymiz. switch: boot Kommutator konfiguratsiya faylini topa olmaydi va usiz ishga tushadi. Endi imtiyozli rejimga kiriladi va konfiguratsiya fayli nomi qayta o`z nomiga rename flash:config.old flash:config.text buyrug`i orqali o`zgartiriladi va copy flash:config.text system:running-config buyrug`i orqali u ishga tushiriladi. Switch>enSwitch#rename flash:config.old flash:config.text Switch#copy flash:config.text system:running-config Konfiguratsion fayl ishga tushirilganday keyin, yangi parol kirilsa bo`ladi Switch1#conf t Switch1(config)#enable secret NewPassword Switch1(config)#enable password NewPassword Switch1 (config)#line vty 0 4 Switch1 (config-line)#password NewPassword Switch1 (config-line)#login Switch1 (config-line)#exit Switch1 (config)#line console 0 Switch1 (config-line)#password NewPassword Switch1 (config-line)#login http://fayllar.org