лабы / ЛР_6.3.1.2_БКС
.docxМИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,
СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
Факультет Инфокоммуникационных сетей и систем
Кафедра Защищенных систем связи
Учебная дисциплина «Безопасность компьютерных систем»
ОТЧЁТ
ПО ЛАБОРАТОРНОЙ РАБОТЕ №6.3.1.2
Выполнили: студенты группы ИКТУ-98
Никитина С.С. Подгорный Д.А. Бойко Д.И.
«__» ______ 2022г.
Приняла: ассистент
Поляничева Анна Валерьевна
«__» ______ 2022г.
Санкт-Петербург
2022 г.
Packet Tracer. Обеспечение безопасности на 2-м уровне
Задачи
Назначение центрального коммутатора (Central) в качестве корневого моста.
Защита параметров связующего дерева для предотвращения атак путем манипуляций с протоколом STP.
Включение защиты портов для предотвращения атак путем переполнения таблиц CAM.
Исходные данные/ сценарий
Недавно сеть подверглась нескольким атакам. Поэтому сетевой администратор поручил вам настроить безопасность на 2-м уровне.
Для обеспечения оптимальной производительности и безопасности администратор хотел бы, чтобы в качестве корневого моста использовался коммутатор 3560 Central. Чтобы предотвратить атаки путем манипуляций с протоколом STP, администратору требуется гарантированная защита параметров STP. Чтобы предотвратить атаки путем переполнения таблиц CAM, сетевой администратор решил настроить защиту портов для ограничения количества MAC-адресов, которые может получить каждый порт коммутатора. Если число MAC-адресов превышает заданное ограничение, порт должен быть отключен.
На всех коммутаторах были предварительно настроены следующие параметры.
o Пароль привилегированного доступа: ciscoenpa55
o Пароль консоли: ciscoconpa55
o Имя пользователя и пароль SSH: SSHadmin/ciscosshpa55
Часть 1. Настройка корневого моста
Шаг 1. Определите текущий корневой мост.
С коммутатора Central отправьте команду show spanning-tree, чтобы определить текущий корневой мост, просмотреть используемые порты и их состояние.
Central#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 0009.7C61.9058
Cost 4
Port 25(GigabitEthernet0/1)
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
Address 00D0.D31C.634C
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Aging Time 20
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Gi0/1 Root FWD 4 128.25 P2p
Gi0/2 Desg FWD 4 128.26 P2p
Fa0/1 Desg FWD 19 128.1 P2p
Какой коммутатор является текущим корневым мостом?
SW-1#show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
Address 0009.7C61.9058
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
В зависимости от текущего корневого моста определите итоговое связующее дерево. (Нарисуйте топологию связующего дерева.)
Шаг 2. Назначьте коммутатор Central главным корневым мостом.
С помощью команды spanning-tree vlan 1 root primary назначьте коммутатор Central корневым мостом.
Central(config)#spanning-tree vlan 1 root primary
Шаг 3. Назначьте коммутатор SW-1 вторичным корневым мостом.
Назначьте коммутатор SW-1 вторичным корневым мостом с помощью команды spanning-tree vlan 1 root secondary.
SW-1(config)#spanning-tree vlan 1 root secondary
Шаг 4. Проверьте конфигурацию связующего дерева.
С помощью команды show spanning-tree убедитесь, что коммутатор Central является корневым мостом.
Central# show spanning-tree
VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 24577
Address 00D0.D31C.634C
This bridge is the root
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Какой коммутатор является текущим корневым мостом?
В зависимости от нового корневого моста определите итоговое связующее дерево. (Нарисуйте топологию связующего дерева.)
Часть 2. Защита от атак на STP
Защитите параметры STP для предотвращения атак путем манипуляций с протоколом STP.
Шаг 1. Включите функцию PortFast на всех портах доступа.
Функция PortFast настраивается на портах доступа, подключенных к одной рабочей станции или серверу, чтобы ускорить активацию этих портов. На подключенных портах доступа коммутаторов SW-A и SW-B введите команду spanning-tree portfast.
SW-A(config)#interface range f0/1-4
SW-A(config-if-range)#spanning-tree portfast
SW-B(config)#interface range f0/1-4
SW-B(config-if-range)#spanning-tree portfast
Шаг 2. Включите функцию BPDU Guard на всех портах доступа.
Данная функция помогает предотвратить появление мошеннических коммутаторов и спуфинг на портах доступа. Включите функцию BPDU Guard на портах доступа коммутаторов SW-A и SW-B .
Примечание. Функцию BPDU Guard для связующего дерева можно включить на каждом отдельном порте, выполнив команду spanning-tree bpduguard enable в режиме интерфейсной настройки или команду spanning-tree portfast bpduguard default в режиме глобальной настройки. Для целей оценки в этом задании используйте команду spanning-tree bpduguard enable.
SW-B(config-if-range)#spanning-tree bpduguard enable
Шаг 3. Включите Root Guard.
BPDU Guard можно включить на всех портах коммутатора, которые не являются корневыми портами. Лучше всего эту функцию развернуть на тех портах, которые подключены к другим некорневым коммутаторам. С помощью команды show spanning-tree определите расположение корневого порта на каждом коммутаторе.
На коммутаторе SW-1 включите Root Guard на портах F0/23 и F0/24. На коммутаторе SW-2 включите Root Guard на портах F0/23 и F0/24.
SW-1(config)#interface range f0/23 – 24
SW-1(config-if-range)#spanning-tree guard root
SW-2(config)#interface range f0/23 – 24
SW-2(config-if-range)#spanning-tree guard root
Часть 3. Настройка безопасности портов и отключение неиспользуемых портов
Шаг 1. Настройте базовый уровень безопасности на всех портах, подключенных к хост-устройствам.
Данную процедуру следует выполнить на всех портах доступа коммутаторов SW-A и SW-B. Задайте максимальное число полученных MAC-адресов равным 2, настройте динамическое получение MAC-адреса и задайте для нарушения (параметр violation) значение shutdown.
Примечание. Чтобы включить функцию безопасности портов, порт коммутатора должен быть настроен как порт доступа.
Почему безопасность портов не включена на портах, подключенных к другим коммутаторам?
SW-A(config)#int range f0/1-22
SW-A(config-if-range)#switchport mode access
SW-A(config-if-range)#switchport port-security
SW-A(config-if-range)#switchport port-security maximum 2
SW-A(config-if-range)#switchport port-security violation shutdown
SW-A(config-if-range)#switchport port-security mac-address sticky
SW-B(config)#int range f0/1-22
SW-B(config-if-range)#switchport mode access
SW-B(config-if-range)#switchport port-security
SW-B(config-if-range)#switchport port-security maximum 2
SW-B(config-if-range)#switchport port-security violation shutdown
SW-B(config-if-range)#switchport port-security mac-address sticky
Шаг 2. Проверьте безопасность портов.
a. На коммутаторе SW-A введите команду show port-security interface f0/1, чтобы проверить, настроена ли безопасность портов.
SW-A# show port-security interface f0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 2
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0
b. Отправьте эхо-запрос с компьютера C1 на компьютер C2 и снова введите команду show port-security interface f0/1, чтобы убедиться, что коммутатор получил MAC-адрес для компьютера C1.
Шаг 3. Отключите неиспользуемые порты.
Отключите все порты, которые в настоящий момент не используются.
SW-A(config)#interface range f0/5 – 22
SW-A(config-if-range)#shutdown
SW-B(config)#interface range f0/5 – 22
SW-B(config-if-range)#shutdown
Шаг 4. Проверьте результаты.
Вы полностью выполнили задание. Нажмите Check Results (Проверить результаты) для просмотра отзыва и проверки завершенных обязательных компонентов.
