Aktivita Abel_00_09_Port_Security - časť 2
Úloha: Overenie reakcií zabezpečenia portov switchov na bezpečnostné incidenty
Úvodné pokyny:
Vychádzajte z predloženej schémy
Spustite všetky zariadenia okrem PC1, PC2 a PC3 a overte, že dosahujete konektivitu navzájom medzi všetkými spustenými zariadeniami
Do konfigurácie zapojenia topológie a do konfigurácie smerovačov nezasahujte.
Táto úloha je zameraná výhradne na overenie konfigurácie portov, ich zabezpečenia a reakcie portov na bezpečnostné incidenty.
Nevykonávajte žiadne ďalšie konfigurácie, ktoré nie sú vyžadované zadaním úlohy (nie je vyžadované zabezpečenie prístupov heslami, šifrovanie hesiel, konfigurovanie a zabezpečenie vzdialených prístupov atď.)
Do konfigurácie end-nodes zasahujte iba v rozsahu danom zadaním úlohy
Cieľ úlohy:
Overiť zabezpečenie vstupov switchov Switch0 a Switch1 podľa zadania a reakcie stavu portov na bezpečnostné incidenty
Overiť možnosti konfigurácie komunikačných parametrov FastEthernetových portov a kombinácie týchto parametrov na opačných stranách linky.
Zadanie úlohy:
Úvodná príprava konfigurácie schémy:
Zapnite napájanie u PC0, PC1 a PC2. Napájanie PC3 nechajte vypnuté.
Overte, že PC0, PC1 aj PC2 bez problémov komunikujú s obidvoma servermi aj s tlačiarňou. Použite ICMP protokol a zobrazenie web stránky web.maturitanahaku.my
Úloha1 - overenie reakcie na zmenu komunikačných módov:
- Overte, že ak port Fa 0/2 na Switch0 konfigurujete do režimu full-duplex, komunikácia s HUB-om zlyhá.
- Overte, že ak port Fa 0/2 na Switch0 konfigurujete do režimu half-duplex, komunikácia s HUB-om obnoví normálnu činnosť.
- Overte, že ak port Fa0 na PC0 konfigurujete do režimu full-duplex, komunikácia s HUB-om zlyhá.
- Overte, že ak port Fa0 na PC0 konfigurujete do režimu half-duplex, komunikácia s HUB-om obnoví normálnu činnosť.
Úloha 2 - overenie reakcie Port Security na bezpečnostný incident:
Úloha 2a - port Fa 0/2 na Switch0
Úloha 2a1
- Vypnite napájanie u všetkých PC: PC0, PC1, PC2 a PC3. Vypnite aj Laptop0
- Skontrolujte konfiguráciu running-config.
- Overte, že staticky konfigurovaná MAC adresa aj adresy asociované metódou stick sa stali súčasťou konfiguračného súboru switche.
- Ak sú v konfigurácii ku portu Fa 0/2 asociované nejaké MAC adresy metódou stick, odstráňte ich.
Príklad postupu odstranenia neželanej MAC adresy, ktorá bola metódou sticky asociovaná ku portu Fa 0/2:
Switch0(config)#int Fa 0/2
Switch0(config-if)#no switchport port-security mac-address sticky 00E0.8FA4.B98E
Vyčistenie tabuľky dynamicky priradených MAC adries ku portom na Switch0:
Switch0#clear mac-address-table
- Postupne spustite napájanie u PC0, PC1 a PC2.
- Vykonajte na týchto PC aktivitu, ktorá si vyžaduje sieťovú komunikáciu (napríklad: ping na Laptop 0, zobrazenie stránky web.maturitanahaku.my)
- Overte, že tieto tri MAC adresy (adresy PC0, PC1 a PC2) boli systémom na Switch0 automaticky asociované ku portu Fa 0/2 (pribudli príslušné záznamy v running-config)
- Spustite napájanie PC3 a vykonajte na tomto PC činnosť, ktorá si vyžaduje sieťovú aktivitu cez Switch0. (napríklad: ping na Laptop 0, zobrazenie stránky web.maturitanahaku.my)
- Overte, že táto aktivita nebude úspešná (port-security konfigurácia znemožní akúkoľvek komunikáciu PC3 v sieti, ktorá prechádza cez Switch0)
- Overte, že komunikácia, ktorá neprechádza cez Switch0, napríklad "ping" na PC0, PC1 a PC2, bude úspešná.
Úloha 2a2
- Vypnite napájanie všetkých PC PC0, PC1, PC2 aj PC3.
- Opätovne vyčistite tabuľku priradenia MAC adries PV0, PC1 a PC2 ku portu Fa 0/2 na Switch0.
- Teraz postupne spustite PC v opačnom poradí: PC3, PC2, PC1 a PC0.
- Overte, že teraz je PC0 tým PC, ktoré v sieti nekomunikuje cez Switch0.
- Je to spôsobené tým, že pri tomto pokuse bolo PC0 spustené ako posledné a jeho MAC adresa sa už "nezmestila" do limitu troch povolených MAC adries. Overte si túto skutočnosť v konfiguračnom súbore.
Úloha 3: Prekonanie zabezpečenia port-security klonovaním MAC adresy
Úloha 3a
Úloha 3a1
- Manuálne zmeňte MAC adresu PC0 tak, aby sa zhodovala z MAC adresou PC1
(tzn. PC0 aj PC1 budú mať teraz zhodnú MAC adresu 000C.CFD5.9688, ktorá je v konfiguračnom súbore asociovaná ku portu Fa 0/2)
- Overte, že teraz PC1 aj PC0 komunikujú v sieti celkom bez problémov. Overte úspešné "pingy" na Laptop0, na HTTP server. Zobrazte na PC0 stránku web.maturitanahaku.my
- Overte, že problém nastane, ak sa pokúsite o komunikáciu medzi PC0 a PC1.
Vysvetlenie:
Nie je umožnená komunikácia medzi týmito dvoma PC, pretože obidve PC majú identickú MAC adresu.
- Všetky pakety, ktoré sú servermi zaslané pre PC1, sú doručené aj na PC0, ktorý teraz pracuje v úlohe "intrudera".
Packet Tracer už túto situáciu nezvláda a pakety doručené na PC0 označuje ako "odmietnuté systémom (červený krížik cez paket); v skutočnej sieti je však takýto paket systémom spracovaný, pretože MAC adresa príjemcu je totožná s klonovanou MAC adresou "podvrhnutého" PC. Switch pri tejto topológii nemá šancu zistiť, že na porte Fa 0/2 má dve zariadenia s identickou MAC adresou, a HUB problematiku MAC adries už vôbec nerieši - posiela prijatý paket všetkými portami ďalej. PC1 je tak kompromitovaný a všetka jeho sieťová komunikácia môže byť PC0 s podvrhnutou-klonovanou MAC adresou monitorovaná.
Dokončenie úlohy 3a1:
- Manuálne upravte MAC adresu PC0 tak, aby zodpovedala správnej, defaultnej MAC adrese. Overte, že PC0 po tejto úprave už môže komunikovať v zdieľanom segmente siete, pripojeného na HUB. Komunikácia v sieti s prechodom paketu cez Switch0 však už umožnená nie je - konfigurácia Port Security na Fa 0/2 na Switch0 komunikáciu cez tento port znemožňuje.
Úloha 4 - overenie reakcie Port Security na bezpečnostný incident v LAN sieti na Switch1
Úloha 4a - zabezpečenie portov Fa 0/22 a Fa 0/24 na Switch1
Úloha 4a1 - zmena MAC adresy zariadenia pripojeného ku zabezpečenému portu spôsobí vypnutie portu
- Ku portom Fa 0/22 a Fa 0/24 na Switch1 sú pripojené servery - HTTP server a DNS server. Overte, že linky medzi Switch1 a servermi sú v poriadku a aj komunikácia serverov v sieti je v poriadku
- Overte, že ak u HTTP servera zmeníte posledné dvojčíslie MAC adresy, napr. namiesto dvojčísla 62 použijete hodnotu 72, prestane server v sieti komunikovať, port prejde do stavu "error-disabled"
- Ten istý pokus vykonajte na DNS serveri, kde posledné dvojčíslie MAC adresy zmeníte zo 79 na 89. Výsledok bude taký istý.
- Na obidvoch serveroch ponechajte nové - zmenené MAC adresy.
Úloha 4a2 obnovenie komunikácie portov po prechodu do stavu error-disabled v dôsledku bezpečnostného incidentu.
- obnovenie komunikácie portov Fa 0/22 a Fa 0/24 na Switch1 s novými MAC adresami
Obnovte komunikáciu so servermi s MAC adresami, ktoré ste serverom pridelili v predchádzajúcom bode úlohy
Obnovenie komunikácie portov, ktoré prešli do módu error-disabled, je možné dosiahnúť touto sekvenciou krokov:
- Vypnúť napájanie serverov
- Na Switch1 musíme odstrániť z konfiguračných súborov záznamy, ktorými sú pôvodné, teraz už neplatné MAC adresy, asociované ku portom
- V konfiguračnom súbore si vyhľadáme príslušné záznamy:
- pre Interface Fa 0/22 tam je záznam: switchport port-security mac-address sticky 0001.6328.4079
- pre Interface Fa 0/24 tam je záznam: switchport port-security mac-address sticky 00E0.8F88.4A62
- Obidva porty uvedieme do stavu shutdown
- Príslušné záznamy odstránime tak, že pred príslušný príkaz zadáme príkaz NO.
Switch1(config)#int Fa 0/22
Switch1(config-if)#no switchport port-security mac-address sticky 0001.6328.4079
Switch1(config)#int Fa 0/24
Switch1(config-if)#no switchport port-security mac-address sticky 00E0.8F88.4A62
- Obidva porty uvedieme do aktívneho stavu príkazom no shutdown
- Zapnutím napájania serverov dosiahneme, že metódou "sticky" sa ku portu asociujú nové (upravené) MAC adresy.
- Overte si asociovanie nových MAC adries ku príslušným portom príkazom show run tak, že si zobrazíte parametre konfiguračného súboru. Ak je konfiguračný súbor veľmi rozsiahly, je možné zobraziť si iba príslušnú časť konfiguračného súboru.
Na zistenie stavu asociovaných MAC adries ku portom je možné použiť napríklad tieto príkazy:
- Výhodné je použitie príkazov, ktoré z konfiguračného súboru odfiltrujú požadované informácie
Switch1#show port-security
Switch1#show run | begin interface FastEthernet0/22
Switch1#show run | include interface FastEthernet0/22
Switch1#show run | include interface FastEthernet0/24
Switch1#show run | include switchport port-security mac-address sticky
- Poznámka: Znak | "pipe" je možné zadať napríklad kombináciou kláves "Alt-124"
- Overte si, že obidva servery komunikujú v sieti s novými, upravenými MAC adresami.
Úloha 4a3 - obnovenie pôvodného nastavenia MAC adries na serveroch a obnovenie komunikácie portov na Switch1
- Obnovte pôvodné nastavenia MAC adries na serveroch HTTP aj DNS a obnovte komunikácu portov Fa 0/22 a Fa 0/24 na Switch1 s rekonfigurovanými, pôvodnými MAC adresami.
- Na dôkladné precvičenie postupu pre obnovenie komunikácie portu so zmenenými MAC adresami upravte na serveroch ich MAC adresy tak, aby zodpovedali pôvodným nastaveniam MAC adresy (u HTTP servera zmeníte posledné dvojčíslie MAC adresy na pôvodnú hodnotu 62; u DNS servera hodnotu upravíte na pôvodne konfigurované dvojčíslo 79. MAC adresy serverov tak budú zodpovedať hodnotám uvedeným v popiskoch na ploche)
- Zopakujte kroky pre úpravu konfiguračného súboru tak, aby bola umožnená komunikácia serverov v sieti s ich pôvodnými orginálnymi MAC adresami.
Úloha 4b - zabezpečenie portu Fa 0/23 na Switch1 a konfigurácia komunikačných parametrov
Úloha 4b1 - zablokovanie portu switche pri bezpečnostnom incidente
- Overte si v konfiguračnom súbore, ako je konfigurovaná reakcia systému pri bezpečnostnom incidente na portu Fa 0/23
(ak máte správnu konfiguráciu, je nastavený mód restrict, čo zmanená, že zmena MAC adresy zariadenia pripojeného ku zabezpečenému portu spôsobí znemožnenie komunikácie a spustenie bezpečnostnej aktivity bez zablokovania portu)
- Na tlačiarni zopakujte pokus, ktorý sme vykonali na serveroch: posledné dvojčíslie MAC adresy zmeňte, v tomto prípade zo 67 na 77.
- Overte, že tlačiareň prestane v sieti komunikovať. Port switche však svoj stav nezmení.
- Obnovte pôvodnú MAC adresu. Tlačiareň obnoví komunikáciu v sieti. Nie je potrebný žiadny zásah na switchi.
- Zopakujte pokus tak, že nebudete meniť MAC adresu pripojeniej tlačiarne, ale ku portu pripojíte inú tlačiareň (použite nepripojenú tlačiareň pripravenú na pracovnej ploche). Overte, že reakcia systému bude identická ako v prípade, keď ste na pôvodnej tlačiarni zmenili MAC adresu.
- Pripojte ku portu pôvodnú tlačiareň so správnou MAC adresou. Tlačiareň obnoví komunikáciu v sieti. Nie je potrebný žiadny zásah na switchi.
Úloha 4b2 - testovanie reakcie systému na nesúlad komunikačných parametrov portu tlačiarne s portom switche
- Overte, že komunikačné parametre portu Fa 0/23 na Switch1 sú nastavené manuálne na 10 Mbps a režim full-duplex. V prípade, že hodnoty komunikačných parametrov portu Fa 0/23 sú iné, hodnoty opravte.
(1)
- Upravte komunikačné parametre portu tlačiarne: komunikačnú rýchlosť nastavte manuálne na 10 Mbps, hodnotu duplexu nastavte na full
- Overte, že táto zmena komunikačných parametrov na tlačiarni zabezpečí správnu komunikáciu so switchom - linka je uvedená do stavu UP-UP.
(2)
- Upravte komunikačné parametre portu tlačiarne: komunikačnú rýchlosť ponechajte manuálne nastavenú na 10 Mbps, hodnotu duplexu postupne konfigurujte do režimov half-duplex a Auto-Negotiation
- Overte, že všetky uvedené kombinácie komunikačných parametrov na tlačiarni spôsobia zlyhanie komunikácie so switchom - linka je uvedená do stavu down (a v tomto stave zotrváva pri všetkých kombináciách režimu duplex, vrátane režimu Auto-Negotiation).
(3)
- Upravte komunikačné parametre portu tlačiarne: komunikačnú rýchlosť nastavte do režimu Auto-Negotiation. Overte, že v takom prípade nie je možné hodnotu duplexu manuálne konfigurovať, režim duplexu je v takom prípade automaticky nastavený tiež do režimu Auto-Negotiation
- Overte, že aj táto kombinácia komunikačných parametrov na tlačiarni spôsobí zlyhanie komunikácie so switchom - linka je uvedená do stavu down.
(4)
- Komunikačné parametre portu Fa0 na tlačiarni nakonfigurujte do režimu Auto-Negotiation. Postupne upravujte komunikačné parametre portu Fa 0/23 na Switch1
(5)
- Upravte komunikačné parametre portu Fa 0/23 na Switch1: komunikačnú rýchlosť aj režim duplexu nastavte na Auto-Negotiation
- Overte, že táto konfigurácia komunikačných parametrov na porte na Switch1 zabezpečí komunikáciu s tlačiarňou v režime 100 Mbps v režime full-duplex. Komunikácia s tlačiarňou funguje správne, linka je v stave UP-UP.
(6)
- Upravte komunikačné parametre portu Fa 0/23 na Switch1: komunikačnú rýchlosť ponechajte v režime Auto-Negotiation a komunikačný mód zmeňte na half-duplex
- Overte, že táto konfigurácia komunikačných parametrov na porte na Switch1 zabezpečí komunikáciu s tlačiarňou v režime 100 Mbps v režime half-duplex. Komunikácia s tlačiarňou funguje správne, linka je v stave UP-UP.
(7)
- Upravte komunikačné parametre portu Fa 0/23 na Switch1: komunikačnú rýchlosť ponechajte v režime Auto-Negotiation a komunikačný mód zmeňte na full-duplex.
- Overte, že táto zmena komunikačných parametrov na Switch1 spôsobí zlyhanie komunikácie so switchom - linka je uvedená do stavu down.
(8)
- Upravte komunikačné parametre portu Fa 0/23 na Switch1: komunikačnú rýchlosť manuálne nastavte na 10 Mbps a komunikačný mód postupne meňte na Auto-Negotiation, half-duplex a full-duplex.
- Priebežne overujte, ako táto zmena komunikačných parametrov na portu switche pôsobí na stav linky
- Režimy duplexu Auto-Negotiation a half-duplex zabezpečia komunikáciu s tlačiarňou v režime 10 Mbps v režime half-duplex. Komunikácia s tlačiarňou funguje správne, linka je v stave UP-UP
- Režim full-duplex spôsobí zlyhanie komunikácie so switchom - linka je uvedená do stavu down.
(9)
- Upravte komunikačné parametre portu Fa 0/23 na Switch1: komunikačnú rýchlosť manuálne nastavte na 100 Mbps a komunikačný mód postupne meňte na Auto-Negotiation, half-duplex a full-duplex.
- Priebežne overujte, ako táto zmena komunikačných parametrov na portu switche pôsobí na stav linky
- Režimy duplexu Auto-Negotiation a half-duplex zabezpečia komunikáciu s tlačiarňou v režime 100 Mbps v režime half-duplex. Komunikácia s tlačiarňou funguje správne, linka je v stave UP-UP
- Režim full-duplex spôsobí zlyhanie komunikácie so switchom - linka je uvedená do stavu down.
(10)
- Upravte komunikačné parametre portu Fa 0/23 na Switch1: komunikačnú rýchlosť manuálne nastavte na 100 Mbps a komunikačný mód nastavte na full-duplex.
- Upravte komunikačné parametre portu Fa 0 na tlačiarni na rovnaké hodnoty: komunikačnú rýchlosť manuálne nastavte na 100 Mbps a komunikačný mód nastavte na full-duplex.
- Overte, že v tomto režime komunikuje tlačiareň so sieťou prostredníctvom Fa 0/23 portu v optimálnom režime, s využitím plnej kapacity obidvoch portov: 100 Mbps v režime full-duplex
- Resumé: Optimálne parametre komunikácie je možné dosiahnúť iba tak, že parametre portov na obidvoch stranách linky sú nastavené identicky, a to buď
- na obidvoch stranách linky bude pre všetky parametre konfigurovaný režim Auto-Negotiation; alebo
- na obidvoch stranách linky bude pre všetky parametre konfigurovaný manuálny režim 100 Mbps a full-duplex.
- Zistené výsledky Vašich pokusov spracujte do prehľadnej tabuľky. Tabuľku si uložte do Vašich poznámok tak, aby pri riešení ďalších aktivít ste mali dokonalý prehľad o tom, ktoré kombinácie parametrov sú možné, a ktoré kombinácie nie je možné použiť.
Záverečné pokyny
Táto aktivita nemá stanovený časový limit na jej splnenie. Topológia tejto aktivity vychádza z vyriešenej topológie aktivity Abel_00_09_Port_Security - časť 1 (konfigurácia Port Security).
V tejto aktivite sa vyriešené úlohy nebudú dokladovať narátanými bodmi, ale logika rátania bodov je v tomto prípade obrátená: Správna funkcia celej topológie, bez bezpečnostného incidentu, je indikovaná maximálnym počtom bodov 96. V úvode sa automaticky načíta 84 bodov, ktoré vyplývajú z preddefinovaných konfigurácií a indikujú správnoať štartovacej konfigurácie.
Každý bezpečnostný incident, prípadne zásah do konfigurácie, ktorým vyvoláte chybový stav v zmysle zadania, spôsobí pokles v úrovni bodového hodnotenia. Odstránenie následkov incidentu, resp. chybnej konfigurácie vyžiadanej zadaním, a návrat do stavu správne fungujúcej topológie bude signalizovaný návratom stratených bodov.
Assessment Tree nie je v tejto aktivite dostupný.
Pri spracovaní aktivity si nezabudnite spracovať podrobné poznámky o Vašich akciách a zásahoch do konfigurácie a o reakciách systému na Vaše zásahy. Forma poznámok je na Vás. Dôležité je, aby ste v budúcnosti pomocou týchto poznámok dokázali riešiť problémy s ktorými sa stretnete pri budúcich aktivitách.
Účelom aktivity je osvojiť si takú úroveň zručností, ktorú budete môcť použiť pri riešení pri spracovaní iných riadne bodovaných aktivít.