ФЕДЕРАЛЬНОЕ АГЕНТСТВО СВЯЗИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
ФАКУЛЬТЕТ ИНФОКОММУНИКАЦИОННЫХ СЕТЕЙ И СИСТЕМ (ИКСС)
КАФЕДРА ПРОГРАММНОЙ ИНЖЕНЕРИИ И ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ (ПИ И ВТ)
ДИСЦИПЛИНА: «Безопасность компьютерных систем»
«Пакет Трассировщик – Уровень 2 Безопасности»
Выполнили студенты группы ИКПИ-92:
Козлов Н. С.
Смирнов Д. А.
Тюришев М. А.
Пурин И. К.
Принял:
Петрив Р. Б.
Подпись____________
«_____»________ 2021
Цели
• Назначьте Центральный коммутатор в качестве корневого моста. • Защищенные параметры связующего дерева для предотвращения атак манипулирования STP. • Включите защиту портов для предотвращения атак переполнения таблицы CAM.
Предыстория / Сценарий
В последнее время в сети произошло несколько атак. По этой причине сетевой администратор назначил вам задачу настройки безопасности уровня 2.
Для оптимальной производительности и безопасности администратор хотел бы убедиться, что корневой мост является центральным коммутатором 3560. Чтобы предотвратить атаки с использованием связующего дерева, администратор должен обеспечить безопасность параметров STP. Чтобы предотвратить атаки переполнения таблицы CAM, администратор сети решил настроить безопасность порта, чтобы ограничить количество MAC-адресов, которые может узнать каждый порт коммутатора. Если количество MAC-адресов превышает установленный предел, администратор хотел бы, чтобы порт был выключен.
Все коммутаторы были предварительно настроены следующим образом:
• Включить пароль: ciscoenpa55 • Консольный пароль: ciscoconpa55 • SSH Имя пользователя и пароль: SSHadmin / ciscosshpa55
Часть 1: Настройка Корневого моста
Шаг 1: Определите текущий корневой мост.
Из Central выполните команду show spanning-tree (показать связующее дерево), чтобы определить текущий корневой мост, увидеть используемые порты и их состояние.
Шаг 2: Назначьте Central в качестве основного корневого моста.
Используя команду spanning-tree vlan 1 root primary, назначьте Central в качестве корневого моста.
Central(config)# spanning-tree vlan 1 root primary
Шаг 3: Назначьте SW-1 в качестве вторичного корневого моста.
Назначьте SW-1 в качестве вторичного корневого моста с помощью команды spanning-tree vlan 1 root secondary.
SW-1(config)# spanning-tree vlan 1 root secondary
Шаг 4: Проверьте конфигурацию связующего дерева.
Выполните команду show spanning-tree, чтобы убедиться, что Central является корневым мостом.
Central# show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 24577 Address 00D0.D31C.634C
This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
Часть 2: Защита От Атак STP
Защитите параметры STP, чтобы предотвратить атаки манипулирования STP.
Шаг 1: Включите PortFast на всех портах доступа.
PortFast настраивается на портах доступа, которые подключаются к одной рабочей станции или серверу, чтобы они стали активными быстрее. На подключенных портах доступа SW-A и SW-B используйте команду spanning-tree portfast.
SW-A(config)# interface range f0/1 - 4 SW-A(config-if-range)# spanning-tree portfast SW-B(config)# interface range f0/1 - 4 SW-B(config-if-range)# spanning-tree portfast
Шаг 2: Включите защиту BPDU на всех портах доступа.
BPDU guard-это функция, которая может помочь предотвратить мошеннические коммутаторы и подделку портов доступа. Включите защиту BPDU на портах доступа SW-A и SW-B.
SW-A(config)# interface range f0/1 - 4 SW-A(config-if-range)# spanning-tree bpduguard enable SW-B(config)# interface range f0/1 - 4 SW-B(config-if-range)# spanning-tree bpduguard enable
Примечание: Spanning-tree BPDU guard можно включить на каждом отдельном порту с помощью команды spanning-tree bpduguard enable в режиме конфигурации интерфейса или команды spanning-tree portfast bpduguard по умолчанию в режиме глобальной конфигурации. Для оценки в этом упражнении используйте команду spanning-tree bpduguard enable.
Шаг 3: Включите root guard.
Root guard можно включить на всех портах коммутатора, которые не являются корневыми портами. Он лучше всего развертывается на портах, которые подключаются к другим некорневым коммутаторам. Используйте команду show spanning-tree для определения местоположения корневого порта на каждом коммутаторе.
На SW-1включите root guard на портах F0/23 и F0/24. На SW-2включите root guard на портах F0/23 и F0/24.
SW-1(config)# interface range f0/23 - 24
SW-1(config-if-range)# spanning-tree guard root
SW-2(config)# interface range f0/23 - 24
SW-2(config-if-range)# spanning-tree guard root
Часть 3: Настройка безопасности портов и отключение неиспользуемых портов
Шаг 1: Настройте базовую безопасность портов на всех портах, подключенных к хост-устройствам.
Эта процедура должна выполняться на всех портах доступа SW-A и SW-B. Установите максимальное количество изученных MAC-адресов равным 2, разрешите динамическое изучение MAC - адреса и установите для нарушения значение shutdown.
Примечание: Порт коммутатора должен быть настроен как порт доступа для обеспечения безопасности порта.
SW-A(config)# interface range f0/1 - 22
SW-A(config-if-range)# switchport mode access
SW-A(config-if-range)# switchport port-security
SW-A(config-if-range)# switchport port-security maximum 2
SW-A(config-if-range)# switchport port-security violation shutdown
SW-A(config-if-range)# switchport port-security mac-address sticky
SW-B(config)# interface range f0/1 - 22
SW-B(config-if-range)# switchport mode access
SW-B(config-if-range)# switchport port-security
SW-B(config-if-range)# switchport port-security maximum 2
SW-B(config-if-range)# switchport port-security violation shutdown
SW-B(config-if-range)# switchport port-security mac-address sticky
Почему безопасность портов не включена на портах, подключенных к другим коммутаторам?
Порты, подключенные к другим коммутаторам, имеют множество MAC - адресов, изученных для этого единственного порта. Ограничение количества MAC-адресов, которые можно узнать на этих портах, может существенно повлиять на функциональность сети.
Шаг 2: Проверьте безопасность порта.
a. На SW-A выполните команду show port-security interface f0/1 , чтобы убедиться, что безопасность порта настроена.
SW-A# show port-security interface f0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 2
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0
b. Выполните Ping от C1 до C2 и снова выполните команду show port-security interface f0/1, чтобы убедиться, что коммутатор узнал MAC-адрес для C1.
Шаг 3: Отключите неиспользуемые порты.
Отключите все неиспользуемые в данный момент порты.
SW-A(config)# interface range f0/5 - 22
SW-A(config-if-range)# shutdown
SW-B(config)# interface range f0/5 - 22
SW-B(config-if-range)# shutdown