Вход на сайт
Навигация
- Cisco
- FreeBSD
- Colorize - подсвечивание ключевых слов
- Munin — мониторинг сервера на основе FreeBSD
- Postfix + Postgrey. Небольшой пример того, как можно бороться со спамом.
- Roudcube. Установка и настройка.
- VPN между FreeBSD и Windows. Установка mpd4.
- Блокируем TeamViewer
- Выполнение mount из-под прав обычного пользователя
- Добавление базы и пользователя в MySQL
- Как узнать серийный номер винчестера в FreeBSD
- Модули Apache22 (Apache22 modules)
- Мониторинг винтчестеров (HDD/жестких дисков) с помощью SMART (smartmontools)
- Мониторинг загрузки канала (MRTG)
- Мониторинг загрузки сетевых интерфейсов в реальном времени
- Мониторинг нагрузки процессора (SNMP MRTG CPU Monitoring)
- Настройка DNS сервера named
- Настройка сервера времени NTP
- Настройка фаервола (firewall ipfw) на ОС FreeBSD
- Обновление FreeBSD. Краткий мануал.
- Обновление портов (CVSup)
- Обновление портов. Portupgrade.
- Организация VPN между 3-мя офисами
- Повышаем безопасность FreeBSD
- Проблема после обновление SpamAssassin
- Работа с .htaccess и .htpasswd
- Скрипты
- Тестирование MySQL
- Управление дуплексным режимом и скоростью подключения к порту.
- Установка MySQL сервера
- Установка связки Apache22+php5+mysql5
- Шейпер на ipfw
- Подсказки по редактированию
Привязка MAC-адресов к портам на Cisco Catalyst 2960
Zmej —вт, 20/12/2011 - 10:58
Возникла необходимость улучшить безопастность в сети. Одной из методов был выбран метод привязки MAC-адресов к портам на сisco 2960.
Что это даст? По сути, злоумышленик, при подключении к порту, не сможет выйти в сеть (это в том случае, если все неиспользуемые порты находятся в режиме shutdown). А что же будет, если злоумышленник вытащит шнурок, на котором сидит "рабочий" компьютер, и подключит к себе. Нижеприведенная конфигурация не позволит ему ничего сделать, т.к. сама сiscoувидит, что у них не совпадают MAC-адреса и выключит порт. Даже, если он пропишет руками MAC компьютера, все равно порт будет выключен, ибо мы поставим разоешенный только 1 MAC.
Итак поехали. Для начала нам необходимо перейти в привелегированный режим:
Password:
c2960_1>en
Password:
c2960_1#
Дальше, переходим на интерфейс, который будем защищать. В боевых условиях, можно выполнить команду для всех портов сразу с помощью команды:
c2960_1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
c2960_1(config)#int
c2960_1(config)#interface ran
c2960_1(config)#interface range fa 0/1 - 48
c2960_1(config-if-range)#
Мы, для примера, это будем делать для 1го интерфейса. Итак, есть интерфейс, и есть у него уже следующие параметры:
interface FastEthernet0/2
switchport access vlan 5
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
!
Функция port-security позволяет ограничить максимальное количество MAC адресов допустимых на интерфейсе. Делаем следующее:
c2960_1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
c2960_1(config)#int fa 0/2
c2960_1(config-if)#switchport port-security
c2960_1(config-if)#switchport port-security ?
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode
<cr>
c2960_1(config-if)#switchport port-security mac-address ?
H.H.H 48 bit mac address
sticky Configure dynamic secure addresses as sticky
c2960_1(config-if)#switchport port-security mac-address sticky
c2960_1(config-if)#switchport port-security maximum 1
И смотрим, что же теперь показывает наш интерфейс:
interface FastEthernet0/2
switchport access vlan 70
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 001b.781c.022e
spanning-tree portfast
spanning-tree bpduguard enable
!
Мы видим, что сейчас, на порт FastEthernet0/2 автоматически был назначен МАС адресс. Для настройки порта коммутатора таким образом, чтобы в случае появления на данном порту лишнего MAC адреса он автоматически отключался необходимо прописать команду switchport port-security violation shutdown. Когда сработает данный механизм защиты и порт отключится, включить его можно будет вручную, поочередно набрав команды shut и no shut в режиме конфигурации данного интерфейса.
c2960_1(config-if)#switchport port-security violation ?
protect Security violation protect mode
restrict Security violation restrict mode
shutdown Security violation shutdown mode
Можно так же поиграться с другими параметрами:
c2960_1(config-if)#switchport port-security ?
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode
Вот что получилось у меня:
interface FastEthernet0/2
switchport access vlan 5
switchport mode access
switchport port-security
switchport port-security aging time 5
switchport port-security aging type inactivity
switchport port-security mac-address sticky
switchport port-security mac-address sticky 001b.781c.022e
spanning-tree portfast
spanning-tree bpduguard enable
!
Ну и на последок общая информация по порту:
c2960_1#sh port-security int fa 0/2
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 5 mins
Aging Type : Inactivity
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address:Vlan : 001b.781c.022e:5
Security Violation Count : 0
- Войдите чтобы оставить комментарии
Новые пользователи
- Zmej
Сейчас на сайте
Пользователей онлайн: 0.
Последние комментарии