Файл: Практикум по теме Технологии обеспечения безопасности локальных сетей.rtf

Глава 2. Лабораторный практикум по теме «Технологии обеспечения безопасности локальных сетей»

2.1. Лабораторная работа 1 «Базовые механизмы безопасности коммутаторов »

Рисунок 11- Расположение компьютеров в сети
В современных сетях, особенно в сетях провайдеров услуг, необходимо осуществлять не только защиту периметра сети и ограничения передачи трафика, но и контроль над консолями управления активным оборудованием, минимизировать доступ к средствам управления, учетным административным записям коммутатора. В данной лабораторной работе рассматривается ограничение управлением коммутатора при помощи функции Trusted Hosts.

Цель работы: изучить функцию Trusted Hosts и ее настройку на коммутаторах D-Link.

Оборудование: коммутатор D-Link DES 3810-28, рабочая станция, консольный кабель, кабель Ethernet.

Перед выполнением задания необходимо сбросить настройки коммутатора к заводским настройкам по умолчанию командой:

config
Настройте IP-адрес интерфейса управления коммутатора:

ipif System ipaddress 10.90.90.91/24
Создайте доверенную рабочую станцию, с которой разрешено управление коммутатором:

trusted_host 10.90.90.101
Посмотрите список доверенных узлов сети:

trusted_host
Проверьте возможность управления коммутатором со станций ПК 2 и ПК 3:

10.90.90.91
Что вы наблюдаете?

Повторите упражнение после установки подсети управления.

Удалите доверенную станцию управления:
delete trusted_host ipaddr 10.90.90.101
Создайте сеть, из которой разрешено управление коммутатором:

trusted_host network 10.90.90.91/24
Проверьте возможность управления коммутатором со станций ПК 2 и ПК 3:

10.90.90.91
Что вы наблюдаете?

Удалите сеть, из которой разрешено управление коммутатором:

trusted_host network 10.90.90.91/24

2.2. Лабораторная работа 2 «Функция Port Security»

Функция Port Security позволяет настроить любой порт коммутатора так, чтобы через него доступ к сети мог осуществляться только определенными устройствами. Устройства, которым разрешено подключаться к порту, определяются по MAC-адресам. MAC-адреса могут быть настроены динамически или вручную администратором. Помимо этого, функция Port Security позволяет ограничивать количество изучаемых портом MAC-адресов, тем самым ограничивая количество подключаемых к нему узлов.

---

Существуют три режима работы функции Port Security:

- Permanent (Постоянный) - занесенные в таблицу MAC-адреса никогда не устаревают, даже если истекло время, установленное таймером Aging Time, или коммутатор был перезагружен;

- Delete on Timeout (удалить по истечению времени) -занесенные в таблицу MAC-адреса устареют по истечению времени, уставленного таймером Aging Time, и будут удалены. Если состояние связи на подключаемом порту изменяется, то MAC-адреса также удаляются из таблицы коммутации;

- Delete on Reset (удалить при сбросе) - занесенные в таблицу MAC-адреса будут удалены после перезагрузки коммутатора (этот вариант используется по умолчанию).

Цель работы: научиться управлять подключением узлов к портам коммутатора и изучить настройку функции Port Security на коммутаторах

D-Link.

Оборудование: коммутатор D-Link DES 3200-10, рабочая станция, кабель Ethernet, консольный кабель.


Рисунок 11 - Настройка Port Security
Управление количеством подключаемых к портам коммутатора узлов путем ограничения максимального количества изучаемых MAC-адресов

Сначала необходимо вернуть настройки коммутатора к заводским настройкам по умолчанию командой:

config
Установите максимальное количество изучаемых каждым портом MAC-адресов равным 1 и включите функцию на всех портах:

port_security ports all admin_state enable max_learning addr 1
Подключить ПК 1 и ПК 2 к портам 2 и 8 коммутатора соответственно.

fdb port 2fdb port 8
Проверьте, соответствуют ли зарегистрированные адреса адресам рабочих станции.

Проверьте информацию о настройках Port Security на портах коммутатора:
show port_security ports 1-8
Включите в запись журнал работы коммутатора MAC-адресов, подключающихся к порту станции, и отправку сообщений SNTP Trap:

port_security trap_log
Выполните тестирование доступности узлов командой ping от ПК 1 к ПК 2 и наоборот.

Подключите ПК 1 к порту 8, а ПК 2 к порту 1.

Повторите тестирование соединения между рабочими станциями командой ping.

Проверьте информацию в журнале работы коммутатора:

log

Какой вы сделаете вывод?

Сохраните конфигурацию и перезагрузите коммутатор:
reboot
Выполните тестирование соединения между рабочими станциями командой ping.

Какой вы сделаете вывод? Сохраняется ли информация о привязке MAC-port?

Настройте на порту 2 функцию Port Security в режиме Permanent и максимальное количество изучаемых адресов равным 1:

---

port_security ports 2 admin_state enable max learning_addr 1 lock_address_mode permanent
Сохраните конфигурацию и перезагрузите коммутатор:
reboot
Очистите информацию о привязке MAC-порта порту 2:
clear port_security_entry port 2
Отключите Port Security на порту 2 и приведите настройки коммутатора в исходное (по умолчанию) состояние:

port_security ports 2 admin_state disable max_learning_addr 1ock_address mode deleteonreset

Просмотрите время таймера блокирования (оно соответствует времени жизни MAC-адреса в таблице коммутации):
show fdb aging_time
Изменить время действия таймера можно с помощью настройки времени жизни MAC-адреса в таблице коммутации (оно указано в секундах):
config fdb aging_time 20
Измените режим работы функции Port Security на Delete on Timeout:
config port_security ports 2 admin_state enable max_learning_addr 1 lock_address mode deleteontimeout
Проверьте MAC-адреса, которые стали известны порту 2:
show fdb port 2
Проверьте информацию о настройках Port Security коммутатора:
show port_security ports 1-8
Выполните тестирование соединения между ПК 1 и ПК 2 командой ping.

Какой вы сделаете вывод? Сохраняется ли информация о привязке MAC-port?

Отключите функцию Port Security на портах:
config port_security ports 1-8 admin_state disable

Отключите функцию записи в log-файл и отправки SNMP Trap:
disable port_security trap_log
Примечание: после выполнения обучения можно отключить функцию динамического изучения MAC-адресов, и тогда в таблице коммутации сохранятся изученные адреса. Таким образом текущая конфигурация сети будет сохранена, и дальнейшее подключение новых устройств без ведома администратора будет невозможно. Новые устройства можно добавить путем создания статической записи в таблице коммутации.

Настройка защиты от подключения к портам, основанной на статической таблице MAC-адресов

Отключите рабочие станции от коммутатора.

Верните настройки коммутатора к заводским:
reset system
Активизируйте функцию Port Security на всех портах и запретите изучение MAC-адресов, установив параметр max_learning_addr равным нулю (команда вводится в одну строку):
config port_security admin_state ports 1-8 enable max_learning_addr 0
Проверьте состояние портов:
show ports
Проверьте соединения между ПК 1 и ПК 2 командой ping.

Проверьте состояние таблицы коммутации:
show fdb
Имеются ли там записи?

В таблице коммутации вручную создайте статические записи MAC-адресов для рабочих станций, подключенных к портам 2 и 8:
create fdb default 00-00-00-ba-00-01 port 2fdb default 00-00-00-ba-00-02 port 8
Проверьте созданные статические записи в таблице коммутации:
show fdb
Проверьте информацию о настройках Port Security на портах коммутатора:

---

show port_security ports 1-8
Проверьте соединения между ПК 1 и ПК 2 командой ping.

Подключите ПК 1 к порту 8, а ПК 2 к порту 2.

Повторите тестирование командой ping.

Какой вы сделаете вывод?

Удалите ранее созданную статическую запись из таблицы MAC на порту 2:
delete fdb default 00-50-ba-00-00-01

---

2.3. Лабораторная работа 3 «Функция IP-MAC-Port Binding»

Функция IP-MAC-Port Binding реализована в коммутаторах D-Link и позволяет контролировать доступ компьютеров в сеть на основе их IP- и MAC-адресов, а также порта подключения. Администратор может создавать записи, связывающие IP- и MAC-адреса компьютеров с портами коммутатора. На основе этих записей, в случае совпадения всех составляющих, клиенты будут получать доступ к сети со своих компьютеров. В том случае, если связка IP-MAC-порт будет отличаться от заранее сконфигурированной записи, то коммутатор заблокирует MAC-адрес соответствующего узла.

Функция IP-MAC-Port Binding включает три режима работы: ACL mode, ARP mode (используется по умолчанию) и DHCP snooping mode.

При работе в режиме ARP коммутатор анализирует ARP пакеты и сопоставляет параметры IP-MAC ARP-пакета, с предустановленной администратором связкой IP-MAC. Если хотя бы один параметр не совпадает, то MAC-адрес узла будет занесен в таблицу коммутации с пометкой Drop (отбрасывать). Если все параметры совпадают, то MAC-адрес узла будет занесен в таблицу коммутации с пометкой Allow (разрешить).

При функционировании в ACL mode, коммутатор, на основе предустановленного «белого списка» IMPB создает правила ACL. Любой пакет, связка IP-MAC которого отсутствует в «белом списке», будет блокироваться ACL.

Режим DHCP Snooping используется коммутатором для динамического создания записей IP-MAC на основе анализов DHCP-пакетов и привязки их к портам с включенной функцией IMPB (администратору не требуется создавать записи вручную). Таким образом, коммутатор автоматически создает «белый список» IMPB в таблице коммутации или аппаратной таблице ACL (при включенном режиме ACL). При этом для обеспечения корректной работы сервер DHCP должен быть подключен к доверенному порту с выключенной функцией IMPB. Администратор может ограничить количество создаваемых в процессе автоизучения записей IP-MAC на порт и, следовательно, ограничить для каждого порта с активированной функцией IMPB количество узлов, которые могут получить IP-адрес с DHCP сервера. При работе в режиме DHCP Snooping коммутатор не будет создавать записи IP-MAC для узлов с IP-адресом, установленным вручную.

При включении функции IMPB на порту администратор должен указать режим его работы:

- Loose mode - порт по умолчанию заблокирован

---