שלב 6 – אבטחת סוויצ'ים – port security ו-ססמאות

בשלב זה אנו נאבטח את הסוויצ'ים שלנו, ע"י Port-Security וע"י ססמא.

אבטחת ממשקים – Port-Security

אבטחת ממשקים מתבצעת על הסוויץ, ותפקידה למנוע מגורם זר להתחבר לסוויץ' לממשקים. החסימה מתבצעת ע"י שיוך כתובת ה- MAC (הכתובת הפיזית של הרכיב) לממשק (לפורט) בסוויץ' אליו הוא מחובר.

ישנן שתי אפשרויות לבצע את אבטחת הממשק:

  • ניתן באופן ידני לשייך את כתובת ה- MAC.
  • ניתן לשייך באופן אוטומטי את כתובת ה- MAC לממשק ע"י זיהוי כתובת ה- MAC של הרכיב המחובר כעת לפורט שאותו אנו מאבטחים.

כמו כן ישנן שלוש דרכים של חסימה (Port-Security Violation):

  • חסימת כיבוי – Shutdown. – הממשק מתכבה כאשר מזהה רכיב לא מזוהה.
  • חסימת Protect – חסימה החוסמת קבלת מידע מרכיב שאינו מזוהה וגם רושמת "עבירה" במד העבירות (SecurityViolation Counter).
  • חסימת Restrict – חסימה החוסמת קבלת מידע מרכיב שאינו מזוהה ולא רושמת דיווח.

פקודות

לפני הפקודות מספר הערות:

  • כדי להגדיר Port Security הממשקים צריכים להיות בדרך כלל ב- Access.
  • ברירות המחדל עבור Port Security:
    • האבטחה על מצב Shutdown.
    • ההדבקה של כתובות ה- MAC הן רק לכתובת אחת בלבד.
    • זמן ההזדקנות (Aging Time) הוא על 0 כלומר ללא הגבלה.
  • יש לבצע פינג בין המחשבים המשוייכים לפורטים שהוגדר עליהם אבטחה כדי שכתובות ה- MAC ייקלטו בטבלת ה- MACים המותרים.
  • אבטחת ממשקים המחוברים לסוויצ'ים, ראוטרים וכו' (כל רכיב שאינו מכשיר קצה) היא מעט מורכבת בגלל כמות הכתובות שיש לאפשר. לכן אינני עוסק בכך אלא רק באבטחת ממשקים המחוברים למכשירי קצה.

הכנסת הפורטים הרצויים למצב Access:

הגדרת אבטחת ממשקים Port-Security והדבקת כתובות ה- MAC:

ביצוע פינגים בין כל המחשבים על מנת שהסוויץ' ידביק את הכתובות

שמירת ההגדרות בסוויץ':

סגירת פורטים שלא משתמשים בהם:

פקודות Show:

פקודה המציגה את הממשקים, מצב הממשקים, מצב שיוך הממשק לכתובת המאק וכמות העבירות:

פקודה המציגה את כתובת המק המשוייכות לממשקים:

פקודת show המציגה את כל הפרטים לגבי ממשק-פורט מסויים:




הגנה על הסוויצ'ים (Switches) באמצעות ססמאות:

אנו נגן על הסוויץ' מפני חיבור Console (קונסול), חיבור מרוחק (VTY) – ב- TELNET וכניסה למצב enable. – על מנת שאנשים שאינם מורשים לא יוכלו להתחבר לסוויץ' ולבצע בו שינויים.

הגדרת ססמא מגובבת (HUSHed) למצב enable (ססמא: 1234)

הגדרת ססמא למצב חיבור Console (ססמא: 1234)

הגדרת ססמא למצב חיבור מרוחק – VTY (ססמא: 1234) – עם 5 גישות מקבילות

פקודה המצפינה את הססמאות:

סרטון המדגים כיצד לבצע להגן על הסוויץ' ע"י ססמאות ואבטחת הממשקים:

You may also like...

2 Responses

  1. מושה בן הגיב:

    תודה רבה על השקעתך וארגון של החומר .בלי האתר הזה הייתי נכשל בהקמת פרויקט$

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

This site uses Akismet to reduce spam. Learn how your comment data is processed.