le jest potrzebny), niedostępnej dla użytkowników i przeznaczonej wy- łącznie na potrzeby administratora, — skonfigurowanie portów...
Serwis znalezionych hasełOdnośniki
- Smutek to uczucie, jak gdyby się tonęło, jak gdyby grzebano cię w ziemi.
- — Proszę pani, jeśli pojedzie pani do siedziby detektywów Dystryktu Zachodniego przy Pięćdziesiątej Piątej i Pine, gdzie podpisze pani dokument...
- Tak więc nie można też ustalić, czy pewne rodzaje literackie ukształtowały się raczej pod naciskiem zjawisk realnych, czy raczej — norm kulturowych jako...
- dobiegł do jej wytężonego słuchu — cichy jak brzęczenie komara daleki dzwonek, za chwilę ponowny • dzwonek, już bliżej, potem stukot...
- Niemniej obawiałem się wyjść z lasu — choć skądinąd było oczywiste, że prędzej albo później wyjść muszę...
- par³ margraf — ale nie jeno przeto, jeno ¿e przez Odrê³acniej siê przeprawiæ, w górnym biegu...
- ciekawe i co mnie osobiście bardzo zaskoczyło — zdałem sobie spra- wę, że czasami pracując mniej i krócej, można było zrobić więcej, niż...
- wyreperował dach i ściany, wybił otwory i wstawił okna, żeby był przewiew — zmienił całe pomieszczenie tak, że wyglądało prawie jak mieszkanie...
- — Od dawna panowało przekonanie, że rzeka Nil wypływa z wielkich jezior leżących u stóp Gór Księżycowych[46]...
- mogła umknąć uwagi czatowników pilnujących granicy — i niepostrzeżenie prze- dostać się w głąb terenów Armektu...
- 2 — Głodna kotka 33 - Świetnie się dogadujecie - stwierdził kiedyś, jeszcze w próbnym okresie Maryjkowego panowania...
Smutek to uczucie, jak gdyby się tonęło, jak gdyby grzebano cię w ziemi.
4,
— zabezpieczenie domeny VTP hasłem, ewentualnie rezygnacja z protokołu
VTP,
— odpowiednia konfiguracja STP, zgodnie z zaleceniami przedstawionymi
w rozdziale 6.
7.3. Bezpieczeństwo portów
Typowy przykład złamania zasad polityki bezpieczeństwa sieci jest przed-
stawiony na rys. 7.1 i 7.2. Początkowo (rys. 7.1) do przełącznika dołączone
były dwa firmowe komputery PC. Następnie użytkownicy, zamiast jednego
z nich, bez wiedzy i zgody administratora, podłączyli własny przełącznik
(ang. rogue switch), kolejne komputery oraz router bezprzewodowy (rys.
7.2). Urządzenia te są całkowicie poza kontrolą administratora. Szczególne
zagrożenie stwarza router bezprzewodowy (lub bezprzewodowy punkt do-
stępowy), ponieważ może udostępniać wszystkim znajdującym się w pobliżu
użytkownikom urządzeń WiFi zasoby sieci korporacyjnej.
Innym zagrożeniem jest przepełnienie tablicy adresów MAC przełącz-
nika, przechowywanej w pamięci CAM. Jest oczywiste, że ma ona ogra-
niczoną pojemność. W przypadku jej przekroczenia, przełącznik zaczyna
zachowywać się podobnie jak koncentrator, tzn. przychodzące ramki są prze-
kazywane do wszystkich interfejsów. Można do takiej sytuacji doprowadzić
108
7. Bezpieczeństwo sieci LAN
Rysunek 7.1. Fragment sieci korporacyjnej
Rysunek 7.2. Fragment sieci korporacyjnej samodzielnie rozbudowanej przez użytkowników
generując duża liczbę ramek ze sfałszowanymi adresami źródłowymi. Atak
tego typu ( CAM Table Overflow) jest łatwy do przeprowadzenia, przy pomocy dostępnego oprogramowania. Skutkiem jest spadek wydajności sieci
(tracimy korzyści wynikające z zastosowania przełączników) oraz możliwość
podsłuchiwania (ang. sniffing) całego ruchu przechodzącego przez przełącznik.
Takim nadużyciom można zapobiegać (ale nie wyeliminować całkowicie)
stosując mechanizmy tzw. bezpieczeństwa portów (ang. port security)[40].
Umożliwiają one zdefiniowanie adresów MAC “bezpiecznych” urządzeń, któ-
7.3. Bezpieczeństwo portów
109
re mogą być podłączane do danego interfejsu, oraz określenie maksymalnej
liczby adresów MAC, które mogą być jednocześnie obsługiwane przez in-
terfejs. Ramki z adresami źródłowymi spoza zdefiniowanej grupy są odrzu-
cane, a ich pojawienie się traktowane jest jako złamanie zasad bezpieczeń-
stwa i skutkuje wykonaniem działań zdefiniowanych przez administratora.
Podobnie traktowana jest sytuacja, gdy urządzenie zdefiniowane jako bez-
pieczne na danym interfejsie zostanie podłączone do innego interfejsu, na
którym także włączono mechanizm bezpieczeństwa portów.
Mechanizm bezpieczeństwa portów domyślnie jest wyłączony (w usta-
wieniach konfiguracyjnych interfejsu fizycznego). Zwykle stosuje się go dla
portów dostępowych, do których mogą być podłączane urządzenia użytkow-
ników (chociaż można również w przypadku interfejsów trunk). Tryb pracy
interfejsu (dostępowy lub trunk) musi być skonfigurowany statycznie (w ra-
zie pozostawienia domyślnej opcji dynamic auto, bezpieczeństwa portów
włączyć się nie da), np.:
s
w
i
t
h
p
o
r
t
m
o
d
e
a
e
s
s
Mechanizm bezpieczeństwa danego interfejsu uruchamia się poleceniem:
−
s
w
i
t
h
p
o
r
t
p
o
r
t
s
e
u
r
i
t
y
Maksymalną liczbę bezpiecznych adresów MAC można określić poleceniem:
−
s
w
i
t
h
p
o
r
t
p
o
r
t
s
e
u
r
i
t
y
m
a
x
i
m
u
m
li
zb
a