O’ZBEKISTON RESPUBLIKASI RAQAMLI
TEXNOLOGIYALARI VA
KOMMUNIKATSIYALARNI RIVOJLANTIRISH VAZIRLIGI
MUHAMMAD AL-XORAZMIY NOMIDAGI TOSHKENT
AXBOROT TEXNOLOGIYALARI UNIVERSITETI QARSHI
FILIALI
“KOMPYUTER INJINIRINGI”
FAKULTETI
3 bosqich DI 12-21 guruh talabasining
Kompyuter tarmoqlari
FANIDAN TAYYORLAGAN
9-amaliy ishi
Bajardi:
Qabul qildi:
To’lqinov. A
Xo’jaqulov N
CISCO PACKET TRACER DASTURIDA PORT HAVFSIZLIGINI
TA`MINLASH
Ishdan maqsad : Cisco Packet Tracer dasturida kommutatorning port
havfsizligini funksiyasi
bilan tanishish va amaliy ko`nikmalarga ega bo`lish .
Nazariy qism.
Port xavfsizligi - Cisco catalyst
sozash
kommutatorlari tavsifi va ularni
Port xavfsizligi Cisco catalyst kommutatorlarida foydalanish kerak bo'lgan
xususiyatdir. Ethernet freymlari tugmachadan o'tib , MAC
manzil jadvalini ushbu
foydalanib
freymlarda ko'rsatilgan yuboruvchi manzilidan
to'ldiradi . Ushbu jadvalning maksimal hajmi cheklangan, tajovuzkor uchun uni
to'ldirish qiyin bo'lgani kabi qiyin emas, tasodifiy qaytish manzillari bilan ko'plab
freymlarni yaratadigan maxsus dasturlardan foydalanish kifoya.
Nega sizga kerak bo'lishi mumkin? MAC-manzil jadvali to'lib toshgan
taqdirda, kommutator markaz vazifasini bajarishi mumkin - ya'ni barcha qabul
qilingan kadrlarni barcha portlarga yuborish. Hujumchining keyingi harakati snaynerni ishga tushirish Bizning switch vahima holatida buyon, barcha kiruvchi
paketlarni ko'rish uchun dastur, va tajovuzkor ning portiga bir xil VLAN unga
o'tib, barcha paketlari ko'rinadigan bo'ladi tajovuzkor . Bunday vaziyatni oldini
olish uchun siz port xavfsizligi barcha kommutatorlarda ishlashiga oldindan e'tibor
berishingiz kerak .
Ushbu funktsiyaning mohiyati nimada: u yoki bu tarzda har bir port uchun
unda paydo bo'lishi mumkin bo'lgan MAC-manzillar ro'yxati (yoki raqami)
cheklangan, agar portda juda ko'p manzillar ko'rinadigan bo'lsa, u holda port
o'chadi. Shunday qilib, ko'rish qiyin emasligi sababli tasodifiy qaytish manzillari
bilan freymlarni yaratish g'oyasi tezda muvaffaqiyatsiz bo'ladi.
MAC manzillariga cheklovlarni kiritishning ikki yo'li mavjud:
1. Statik - administrator qaysi
berilganligini ro'yxatlashganda
2. Dinamik
-
ma'mur nechta
manzillarga
manzilga
ruxsat
ruxsat
berilishini
aniqlaganda va o'tish tugmasi bilib oladi, qaysi manzilga hozirda ko'rsatilgan port
orqali kirish mumkinligini eslab qoladi
O'z navbatida, dinamik ravishda o'rganilgan manzillar kommutatorning
RAM-da saqlanishi mumkin, bu holda qayta ishga tushirilgandan so'ng "o'rganish"
ni takrorlash kerak bo'ladi; yoki konfiguratsiyada konfiguratsiyani
keyin
saqlash mumkin va qayta yuklangandan keyin ham manzillar qoladi. Ikkinchi rejim
"yopishqoq" ( yopishqoq ) deb nomlanadi , chunki u portga qanday yopishish
kerakligi haqida gapiradi, shundan so'ng "unstick" ularni
faqat administrator
qilishlari mumkin - qo'lda. Yana bir savol - agar xavfsizlik buzilgan bo'lsa
va portga xavfsizlikni sozlashimizga qaraganda ko'proq manzillar kirsa nima qilish
kerak ? Ushbu holatdagi o'tish rejimiga uchta rejimdan biri javobgardir: Himoya
qilish - yangi MAC-manzillarga ega bo'lgan ramkalar e'tiborga
olinmaydi, qolganlari
chunki port
ham
ishlashda
davom
etmoqda. Rejim
yaxshi,
ishlashda davom etmoqda, ammo yomon tomoni shundaki, administrator o'z
tarmog'ida bunday g'alati narsalar yuz berayotganini hech qachon bilmaydi
Cheklash - himoya qilish rejimiga o'xshaydi, faqat kommutator SNMP
orqali bunday noxush holat yuz berganligi to'g'risida xabar beradi, bundan tashqari,
bu haqda syslog- ga ma'lumot yozadi (agar tuzilgan bo'lsa)
O'chirish xabarlarga
nomidan
ko'rinib
turibdiki, syslog va
SNMP
orqali
qo'shimcha ravishda port o'chadi. Bu tarmoq xatolariga bardoshlik nuqtai
nazaridan unchalik yaxshi emas, lekin biz portni qo'lda yoqmagunimizcha
tajovuzkor o'z tarmog'imizni o'rganish bo'yicha tajribalarini davom ettira
olmasligini aniq bilamiz .
Endi biz butun nazariyani bilamiz, keling, port xavfsizligini sozlashga harakat
qilaylik :
S1#configure terminal
S1(config)#interface fastEthernet 0/11
S1(config-if)#switchport mode access
S1(config-if)#switchport port-security
Shunday qilib, biz ushbu funktsiyani interfeysda standart qiymatlari bilan yoqdik,
ya'ni:
·Har bir port uchun maksimal 1 MAC-manzil
Xotira rejimi dinamikasi (RAMda, yopishqoq emas )
Ikkinchi MAC-manzil paydo bo'lganda harakat - portni o'chirib qo'ying
Bu siz portiga 11, uchun, kompyuterni ulash tekshirish oson Ping narsa,
so'ngra MAC o'zgartirish
va xato-o'chirib
va
harakat Ping yana . Port
o'chiriladi
qo'yilgan holatga kiradi . Portni qayta yoqish uchun uni o'chirib yoqishingiz kerak:
S1(config)#interface fastEthernet 0/11
S1(config-if)#shutdown
%LINK-5-CHANGED: Interface FastEthernet0/11, changed state to
administratively down
S1(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/11, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/11,
changed state to up
Amaldagi port xavfsizligini quyidagi buyruq bilan ko'rish mumkin:
S1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count)
(Count)
(Count)
--------------------------------------------------------------------
Fa0/11
1
1
0
Shutdown
---------------------------------------------------------------------Jadvalda siz maksimal 1 MAC ekanligini ko'rishingiz mumkin va u
allaqachon o'rganilgan, harakat O'chirish .
Qayta switch, saqlanishi MAC unutiladi va bu oldini olish uchun qaytao'rganish kerak bo'lsa, u MAC- yod "yopishqoq" o'z ichiga zarur s . Shu bilan
birga, keling, ularning sonini beshdan oshiraylik:
S1(config)#interface fastEthernet 0/11
S1(config-if)#switchport port-security mac-address sticky
S1(config-if)#switchport port-security maximum 5
Agar biz manzillarni statik ravishda qo'lda ro'yxatlashni istasak,
unda yopishqoq so'z o'rniga (yoki unga parallel ravishda - alohida satrda) ularni
quyidagi buyruq bilan ro'yxatlashimiz mumkin:
S1 ( config -if) # switchport port-security mac-address 1234.abcd.1234 Ammo biz
MACni statikravishda qo'shmadik,
shunchaki yopishqoq rejimni yoqdik . Biz kompyuterdan ping qilishga harakat
qilamiz , shundan so'ng biz konfiguratsiyani ko'rib chiqamiz :
S1#show running-config
Building configuration...
Current configuration : 1185 bytes !
version 12.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption !
hostname S1
…
interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0001.4276.96B5
…
Biz nimani ko'ramiz?
«switchport
port-security mac-address sticky
0001.4276.96B5» qatori kompyuter manzilini eslab qolganligini va "portga
yopishib qolgan" degan ma'noni anglatadi, go'yo biz o'zimiz uni statik ravishda
haydab yubordik. Agar siz hozirda konfiguratsiyani saqlasangiz, qayta yoqilgandan
so'ng manzil yo'qolmaydi va kommutatorni qayta tayyorlash kerak bo'lmaydi.
Xulosa shuki, port xavfsizlik xususiyati hisoblanadi modernizatsiya qilish
uchun juda oson va juda yaxshi hujumlar ba'zi turlariga qarshi yordam
beradi.