Aktivita Abel_00_09_Port_Security - časť 2

Úloha: Overenie reakcií zabezpečenia portov switchov na bezpečnostné incidenty

Úvodné pokyny:

Vychádzajte z predloženej schémy
Spustite všetky zariadenia okrem PC1, PC2 a PC3 a overte, že dosahujete konektivitu navzájom medzi všetkými spustenými zariadeniami
Do konfigurácie zapojenia topológie a do konfigurácie smerovačov nezasahujte.
Táto úloha je zameraná výhradne na overenie konfigurácie portov, ich zabezpečenia a reakcie portov na bezpečnostné incidenty.
Nevykonávajte žiadne ďalšie konfigurácie, ktoré nie sú vyžadované zadaním úlohy (nie je vyžadované zabezpečenie prístupov heslami, šifrovanie hesiel, konfigurovanie a zabezpečenie vzdialených prístupov atď.)
Do konfigurácie end-nodes zasahujte iba v rozsahu danom zadaním úlohy

Cieľ úlohy:

Overiť zabezpečenie vstupov switchov Switch0 a Switch1 podľa zadania a reakcie stavu portov na bezpečnostné incidenty
Overiť možnosti konfigurácie komunikačných parametrov FastEthernetových portov a kombinácie týchto parametrov na opačných stranách linky.

Zadanie úlohy:

Úvodná príprava konfigurácie schémy:

Zapnite napájanie u PC0, PC1 a PC2. Napájanie PC3 nechajte vypnuté.
Overte, že PC0, PC1 aj PC2 bez problémov komunikujú s obidvoma servermi aj s tlačiarňou. Použite ICMP protokol a zobrazenie web stránky web.maturitanahaku.my

Úloha1 - overenie reakcie na zmenu komunikačných módov:

Úloha 2 - overenie reakcie Port Security na bezpečnostný incident:

Úloha 2a - port Fa 0/2 na Switch0

Úloha 2a1

Príklad postupu odstranenia neželanej MAC adresy, ktorá bola metódou sticky asociovaná ku portu Fa 0/2:
Switch0(config)#int Fa 0/2
Switch0(config-if)#no switchport port-security mac-address sticky 00E0.8FA4.B98E

Vyčistenie tabuľky dynamicky priradených MAC adries ku portom na Switch0:
Switch0#clear mac-address-table

Úloha 2a2

Úloha 3: Prekonanie zabezpečenia port-security klonovaním MAC adresy

Úloha 3a

Úloha 3a1

Vysvetlenie:

Nie je umožnená komunikácia medzi týmito dvoma PC, pretože obidve PC majú identickú MAC adresu.

Úloha 4 - overenie reakcie Port Security na bezpečnostný incident v LAN sieti na Switch1


Úloha 4a - zabezpečenie portov Fa 0/22 a Fa 0/24 na Switch1

Úloha 4a1 - zmena MAC adresy zariadenia pripojeného ku zabezpečenému portu spôsobí vypnutie portu

  • Ku portom Fa 0/22 a Fa 0/24 na Switch1 sú pripojené servery - HTTP server a DNS server. Overte, že linky medzi Switch1 a servermi sú v poriadku a aj komunikácia serverov v sieti je v poriadku
  • Overte, že ak u HTTP servera zmeníte posledné dvojčíslie MAC adresy, napr. namiesto dvojčísla 62 použijete hodnotu 72, prestane server v sieti komunikovať, port prejde do stavu "error-disabled"
  • Ten istý pokus vykonajte na DNS serveri, kde posledné dvojčíslie MAC adresy zmeníte zo 79 na 89. Výsledok bude taký istý.
  • Na obidvoch serveroch ponechajte nové - zmenené MAC adresy.


Úloha 4a2 obnovenie komunikácie portov po prechodu do stavu error-disabled v dôsledku bezpečnostného incidentu.

  • obnovenie komunikácie portov Fa 0/22 a Fa 0/24 na Switch1 s novými MAC adresami Obnovte komunikáciu so servermi s MAC adresami, ktoré ste serverom pridelili v predchádzajúcom bode úlohy

Obnovenie komunikácie portov, ktoré prešli do módu error-disabled, je možné dosiahnúť touto sekvenciou krokov:

  • Vypnúť napájanie serverov
  • Na Switch1 musíme odstrániť z konfiguračných súborov záznamy, ktorými sú pôvodné, teraz už neplatné MAC adresy, asociované ku portom
  • V konfiguračnom súbore si vyhľadáme príslušné záznamy:
    • pre Interface Fa 0/22 tam je záznam: switchport port-security mac-address sticky 0001.6328.4079
    • pre Interface Fa 0/24 tam je záznam: switchport port-security mac-address sticky 00E0.8F88.4A62

  • Obidva porty uvedieme do stavu shutdown

  • Príslušné záznamy odstránime tak, že pred príslušný príkaz zadáme príkaz NO.
    Switch1(config)#int Fa 0/22
    Switch1(config-if)#no switchport port-security mac-address sticky 0001.6328.4079
    Switch1(config)#int Fa 0/24
    Switch1(config-if)#no switchport port-security mac-address sticky 00E0.8F88.4A62

  • Obidva porty uvedieme do aktívneho stavu príkazom no shutdown

  • Zapnutím napájania serverov dosiahneme, že metódou "sticky" sa ku portu asociujú nové (upravené) MAC adresy.

  • Overte si asociovanie nových MAC adries ku príslušným portom príkazom show run tak, že si zobrazíte parametre konfiguračného súboru. Ak je konfiguračný súbor veľmi rozsiahly, je možné zobraziť si iba príslušnú časť konfiguračného súboru.

Na zistenie stavu asociovaných MAC adries ku portom je možné použiť napríklad tieto príkazy:

  • Výhodné je použitie príkazov, ktoré z konfiguračného súboru odfiltrujú požadované informácie

    Switch1#show port-security
    Switch1#show run | begin interface FastEthernet0/22
    Switch1#show run | include interface FastEthernet0/22
    Switch1#show run | include interface FastEthernet0/24
    Switch1#show run | include switchport port-security mac-address sticky

  • Poznámka: Znak | "pipe" je možné zadať napríklad kombináciou kláves "Alt-124"

  • Overte si, že obidva servery komunikujú v sieti s novými, upravenými MAC adresami.

Úloha 4a3 - obnovenie pôvodného nastavenia MAC adries na serveroch a obnovenie komunikácie portov na Switch1

  • Obnovte pôvodné nastavenia MAC adries na serveroch HTTP aj DNS a obnovte komunikácu portov Fa 0/22 a Fa 0/24 na Switch1 s rekonfigurovanými, pôvodnými MAC adresami.
  • Na dôkladné precvičenie postupu pre obnovenie komunikácie portu so zmenenými MAC adresami upravte na serveroch ich MAC adresy tak, aby zodpovedali pôvodným nastaveniam MAC adresy (u HTTP servera zmeníte posledné dvojčíslie MAC adresy na pôvodnú hodnotu 62; u DNS servera hodnotu upravíte na pôvodne konfigurované dvojčíslo 79. MAC adresy serverov tak budú zodpovedať hodnotám uvedeným v popiskoch na ploche)
  • Zopakujte kroky pre úpravu konfiguračného súboru tak, aby bola umožnená komunikácia serverov v sieti s ich pôvodnými orginálnymi MAC adresami.

Úloha 4b - zabezpečenie portu Fa 0/23 na Switch1 a konfigurácia komunikačných parametrov

Úloha 4b1 - zablokovanie portu switche pri bezpečnostnom incidente

  • Overte si v konfiguračnom súbore, ako je konfigurovaná reakcia systému pri bezpečnostnom incidente na portu Fa 0/23
    (ak máte správnu konfiguráciu, je nastavený mód restrict, čo zmanená, že zmena MAC adresy zariadenia pripojeného ku zabezpečenému portu spôsobí znemožnenie komunikácie a spustenie bezpečnostnej aktivity bez zablokovania portu)

  • Na tlačiarni zopakujte pokus, ktorý sme vykonali na serveroch: posledné dvojčíslie MAC adresy zmeňte, v tomto prípade zo 67 na 77.
  • Overte, že tlačiareň prestane v sieti komunikovať. Port switche však svoj stav nezmení.
  • Obnovte pôvodnú MAC adresu. Tlačiareň obnoví komunikáciu v sieti. Nie je potrebný žiadny zásah na switchi.

  • Zopakujte pokus tak, že nebudete meniť MAC adresu pripojeniej tlačiarne, ale ku portu pripojíte inú tlačiareň (použite nepripojenú tlačiareň pripravenú na pracovnej ploche). Overte, že reakcia systému bude identická ako v prípade, keď ste na pôvodnej tlačiarni zmenili MAC adresu.
  • Pripojte ku portu pôvodnú tlačiareň so správnou MAC adresou. Tlačiareň obnoví komunikáciu v sieti. Nie je potrebný žiadny zásah na switchi.

Úloha 4b2 - testovanie reakcie systému na nesúlad komunikačných parametrov portu tlačiarne s portom switche

  • Overte, že komunikačné parametre portu Fa 0/23 na Switch1 sú nastavené manuálne na 10 Mbps a režim full-duplex. V prípade, že hodnoty komunikačných parametrov portu Fa 0/23 sú iné, hodnoty opravte.

    (1)
  • Upravte komunikačné parametre portu tlačiarne: komunikačnú rýchlosť nastavte manuálne na 10 Mbps, hodnotu duplexu nastavte na full
  • Overte, že táto zmena komunikačných parametrov na tlačiarni zabezpečí správnu komunikáciu so switchom - linka je uvedená do stavu UP-UP.

    (2)
  • Upravte komunikačné parametre portu tlačiarne: komunikačnú rýchlosť ponechajte manuálne nastavenú na 10 Mbps, hodnotu duplexu postupne konfigurujte do režimov half-duplex a Auto-Negotiation
  • Overte, že všetky uvedené kombinácie komunikačných parametrov na tlačiarni spôsobia zlyhanie komunikácie so switchom - linka je uvedená do stavu down (a v tomto stave zotrváva pri všetkých kombináciách režimu duplex, vrátane režimu Auto-Negotiation).

    (3)
  • Upravte komunikačné parametre portu tlačiarne: komunikačnú rýchlosť nastavte do režimu Auto-Negotiation. Overte, že v takom prípade nie je možné hodnotu duplexu manuálne konfigurovať, režim duplexu je v takom prípade automaticky nastavený tiež do režimu Auto-Negotiation
  • Overte, že aj táto kombinácia komunikačných parametrov na tlačiarni spôsobí zlyhanie komunikácie so switchom - linka je uvedená do stavu down.

    (4)
  • Komunikačné parametre portu Fa0 na tlačiarni nakonfigurujte do režimu Auto-Negotiation. Postupne upravujte komunikačné parametre portu Fa 0/23 na Switch1

    (5)
  • Upravte komunikačné parametre portu Fa 0/23 na Switch1: komunikačnú rýchlosť aj režim duplexu nastavte na Auto-Negotiation
  • Overte, že táto konfigurácia komunikačných parametrov na porte na Switch1 zabezpečí komunikáciu s tlačiarňou v režime 100 Mbps v režime full-duplex. Komunikácia s tlačiarňou funguje správne, linka je v stave UP-UP.

    (6)
  • Upravte komunikačné parametre portu Fa 0/23 na Switch1: komunikačnú rýchlosť ponechajte v režime Auto-Negotiation a komunikačný mód zmeňte na half-duplex
  • Overte, že táto konfigurácia komunikačných parametrov na porte na Switch1 zabezpečí komunikáciu s tlačiarňou v režime 100 Mbps v režime half-duplex. Komunikácia s tlačiarňou funguje správne, linka je v stave UP-UP.

    (7)
  • Upravte komunikačné parametre portu Fa 0/23 na Switch1: komunikačnú rýchlosť ponechajte v režime Auto-Negotiation a komunikačný mód zmeňte na full-duplex.
  • Overte, že táto zmena komunikačných parametrov na Switch1 spôsobí zlyhanie komunikácie so switchom - linka je uvedená do stavu down.

    (8)
  • Upravte komunikačné parametre portu Fa 0/23 na Switch1: komunikačnú rýchlosť manuálne nastavte na 10 Mbps a komunikačný mód postupne meňte na Auto-Negotiation, half-duplex a full-duplex.
  • Priebežne overujte, ako táto zmena komunikačných parametrov na portu switche pôsobí na stav linky
  • Režimy duplexu Auto-Negotiation a half-duplex zabezpečia komunikáciu s tlačiarňou v režime 10 Mbps v režime half-duplex. Komunikácia s tlačiarňou funguje správne, linka je v stave UP-UP
  • Režim full-duplex spôsobí zlyhanie komunikácie so switchom - linka je uvedená do stavu down.

    (9)
  • Upravte komunikačné parametre portu Fa 0/23 na Switch1: komunikačnú rýchlosť manuálne nastavte na 100 Mbps a komunikačný mód postupne meňte na Auto-Negotiation, half-duplex a full-duplex.
  • Priebežne overujte, ako táto zmena komunikačných parametrov na portu switche pôsobí na stav linky
  • Režimy duplexu Auto-Negotiation a half-duplex zabezpečia komunikáciu s tlačiarňou v režime 100 Mbps v režime half-duplex. Komunikácia s tlačiarňou funguje správne, linka je v stave UP-UP
  • Režim full-duplex spôsobí zlyhanie komunikácie so switchom - linka je uvedená do stavu down.

    (10)
  • Upravte komunikačné parametre portu Fa 0/23 na Switch1: komunikačnú rýchlosť manuálne nastavte na 100 Mbps a komunikačný mód nastavte na full-duplex.
  • Upravte komunikačné parametre portu Fa 0 na tlačiarni na rovnaké hodnoty: komunikačnú rýchlosť manuálne nastavte na 100 Mbps a komunikačný mód nastavte na full-duplex.
  • Overte, že v tomto režime komunikuje tlačiareň so sieťou prostredníctvom Fa 0/23 portu v optimálnom režime, s využitím plnej kapacity obidvoch portov: 100 Mbps v režime full-duplex

  • Resumé: Optimálne parametre komunikácie je možné dosiahnúť iba tak, že parametre portov na obidvoch stranách linky sú nastavené identicky, a to buď
    • na obidvoch stranách linky bude pre všetky parametre konfigurovaný režim Auto-Negotiation; alebo
    • na obidvoch stranách linky bude pre všetky parametre konfigurovaný manuálny režim 100 Mbps a full-duplex.

  • Zistené výsledky Vašich pokusov spracujte do prehľadnej tabuľky. Tabuľku si uložte do Vašich poznámok tak, aby pri riešení ďalších aktivít ste mali dokonalý prehľad o tom, ktoré kombinácie parametrov sú možné, a ktoré kombinácie nie je možné použiť.

Záverečné pokyny
Táto aktivita nemá stanovený časový limit na jej splnenie. Topológia tejto aktivity vychádza z vyriešenej topológie aktivity Abel_00_09_Port_Security - časť 1 (konfigurácia Port Security).
V tejto aktivite sa vyriešené úlohy nebudú dokladovať narátanými bodmi, ale logika rátania bodov je v tomto prípade obrátená: Správna funkcia celej topológie, bez bezpečnostného incidentu, je indikovaná maximálnym počtom bodov 96. V úvode sa automaticky načíta 84 bodov, ktoré vyplývajú z preddefinovaných konfigurácií a indikujú správnoať štartovacej konfigurácie.
Každý bezpečnostný incident, prípadne zásah do konfigurácie, ktorým vyvoláte chybový stav v zmysle zadania, spôsobí pokles v úrovni bodového hodnotenia. Odstránenie následkov incidentu, resp. chybnej konfigurácie vyžiadanej zadaním, a návrat do stavu správne fungujúcej topológie bude signalizovaný návratom stratených bodov.
Assessment Tree nie je v tejto aktivite dostupný.
Pri spracovaní aktivity si nezabudnite spracovať podrobné poznámky o Vašich akciách a zásahoch do konfigurácie a o reakciách systému na Vaše zásahy. Forma poznámok je na Vás. Dôležité je, aby ste v budúcnosti pomocou týchto poznámok dokázali riešiť problémy s ktorými sa stretnete pri budúcich aktivitách.
Účelom aktivity je osvojiť si takú úroveň zručností, ktorú budete môcť použiť pri riešení pri spracovaní iných riadne bodovaných aktivít.