בשלב זה אנו נאבטח את הסוויצ'ים שלנו, ע"י Port-Security וע"י ססמא.
אבטחת ממשקים - Port-Security
אבטחת ממשקים מתבצעת על הסוויץ, ותפקידה למנוע מגורם זר להתחבר לסוויץ' לממשקים. החסימה מתבצעת ע"י שיוך כתובת ה- MAC (הכתובת הפיזית של הרכיב) לממשק (לפורט) בסוויץ' אליו הוא מחובר.
ישנן שתי אפשרויות לבצע את אבטחת הממשק:
- ניתן באופן ידני לשייך את כתובת ה- MAC.
- ניתן לשייך באופן אוטומטי את כתובת ה- MAC לממשק ע"י זיהוי כתובת ה- MAC של הרכיב המחובר כעת לפורט שאותו אנו מאבטחים.
כמו כן ישנן שלוש דרכים של חסימה (Port-Security Violation):
- חסימת כיבוי - Shutdown. - הממשק מתכבה כאשר מזהה רכיב לא מזוהה.
- חסימת Protect - חסימה החוסמת קבלת מידע מרכיב שאינו מזוהה וגם רושמת "עבירה" במד העבירות (SecurityViolation Counter).
- חסימת Restrict - חסימה החוסמת קבלת מידע מרכיב שאינו מזוהה ולא רושמת דיווח.
פקודות
לפני הפקודות מספר הערות:
- כדי להגדיר Port Security הממשקים צריכים להיות בדרך כלל ב- Access.
- ברירות המחדל עבור Port Security:
- האבטחה על מצב Shutdown.
- ההדבקה של כתובות ה- MAC הן רק לכתובת אחת בלבד.
- זמן ההזדקנות (Aging Time) הוא על 0 כלומר ללא הגבלה.
- יש לבצע פינג בין המחשבים המשוייכים לפורטים שהוגדר עליהם אבטחה כדי שכתובות ה- MAC ייקלטו בטבלת ה- MACים המותרים.
- אבטחת ממשקים המחוברים לסוויצ'ים, ראוטרים וכו' (כל רכיב שאינו מכשיר קצה) היא מעט מורכבת בגלל כמות הכתובות שיש לאפשר. לכן אינני עוסק בכך אלא רק באבטחת ממשקים המחוברים למכשירי קצה.
הכנסת הפורטים הרצויים למצב Access:
Switch>enable Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#interface range fa0/1-24 Switch(config-if-range)#switchport mode access
הגדרת אבטחת ממשקים Port-Security והדבקת כתובות ה- MAC:
Switch(config-if-range)#switchport port-security Switch(config-if-range)#switchport port-security mac-address sticky
ביצוע פינגים בין כל המחשבים על מנת שהסוויץ' ידביק את הכתובות
שמירת ההגדרות בסוויץ':
Switch#write Building configuration... [OK]
סגירת פורטים שלא משתמשים בהם:
Switch>enable Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#interface range fa0/11-15, fa0/17-19 Switch(config-if-range)#shutdown
פקודות Show:
פקודה המציגה את הממשקים, מצב הממשקים, מצב שיוך הממשק לכתובת המאק וכמות העבירות:
Switch#show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) -------------------------------------------------------------------- Fa0/1 1 1 0 Shutdown Fa0/2 1 1 1 Shutdown Fa0/3 1 0 0 Shutdown ----------------------------------------------------------------------
פקודה המציגה את כתובת המק המשוייכות לממשקים:
SW-TLV-3#show port-security address Secure Mac Address Table ------------------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 10 0001.C97C.5025 SecureSticky FastEthernet0/1 - 10 0060.7024.18B4 SecureSticky FastEthernet0/2 - 20 0005.5E69.AD27 SecureSticky FastEthernet0/3 - 10 0001.43A2.29E1 SecureSticky FastEthernet0/4 - ------------------------------------------------------------------------------ Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 1024
פקודת show המציגה את כל הפרטים לגבי ממשק-פורט מסויים:
SW-TLV-3#show port-security interface fa0/1 Port Security : Enabled Port Status : Secure-shutdown Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 0 Sticky MAC Addresses : 1 Last Source Address:Vlan : 0001.C97C.5025:10 Security Violation Count : 0
הגנה על הסוויצ'ים (Switches) באמצעות ססמאות:
אנו נגן על הסוויץ' מפני חיבור Console (קונסול), חיבור מרוחק (VTY) - ב- TELNET וכניסה למצב enable. - על מנת שאנשים שאינם מורשים לא יוכלו להתחבר לסוויץ' ולבצע בו שינויים.
הגדרת ססמא מגובבת (HUSHed) למצב enable (ססמא: 1234)
RISHON-3>enable RISHON-3#configure terminal Enter configuration commands, one per line. End with CNTL/Z. RISHON-3(config)#enable secret 1234
הגדרת ססמא למצב חיבור Console (ססמא: 1234)
RISHON-3(config)#line console 0 RISHON-3(config-line)#password 1234 RISHON-3(config-line)#login
הגדרת ססמא למצב חיבור מרוחק - VTY (ססמא: 1234) - עם 5 גישות מקבילות
RISHON-3(config)#line vty 0 4 RISHON-3(config-line)#password 1234 RISHON-3(config-line)#login
פקודה המצפינה את הססמאות:
RISHON-3(config)#service password-encryption
סרטון המדגים כיצד לבצע להגן על הסוויץ' ע"י ססמאות ואבטחת הממשקים:
תודה רבה על השקעתך וארגון של החומר .בלי האתר הזה הייתי נכשל בהקמת פרויקט$
שלום משה,
תודה רבה לך, אני שמח שהאתר עוזר לך.
שיהיה לך בהצלחה רבה בהמשך,