SZC logo

Kecskeméti SZC

OM kód: 203041/002 | 6090 Kunszentmiklós, Apostol P. u. 2-6.

Intézmény logo

Kecskeméti SZC Virágh Gedeon Technikum

HírekKözérdekű adatokCLASSROOMKRÉTA

11. évf.: ACL-ek és hálózatbiztonság

11. évf.: ACL-ek és hálózatbiztonság

Hálózatbiztonság: ACL, Port Security és switch védelmi megoldások

halozatbiztonsag.png

Bevezetés

A hálózatokban nem elegendő:

  • eszközöket összekötni,
  • IP-címeket kiosztani,
  • internetet biztosítani.

A hálózatot védeni is kell:

  • jogosulatlan hozzáférés ellen
  • hibás konfigurációk ellen
  • támadások ellen
  • véletlen hibák ellen

A Cisco hálózatokban gyakori védelmi technológiák:

  • ACL
  • Port Security
  • DHCP Snooping
  • BPDU Guard

Mert egy nyitott hálózat néha úgy működik, mint egy iskolaajtó zár nélkül: előbb-utóbb valaki kíváncsiságból benyit.

Mi az ACL?

ACL:

Access Control List

 

Az ACL:

  • szabálylista,
  • amely engedélyezi vagy tiltja a hálózati forgalmat.

Mire használható?

Példák:

  • felhasználók tiltása
  • szerverek védelme
  • internetelérés szabályozása
  • VLAN-ok közötti hozzáférés
  • biztonsági szűrés

ACL működése

A router vagy switch:

  1. megvizsgálja a csomagot
  2. összehasonlítja a szabályokkal
  3. végrehajtja az első megfelelő szabályt

Fontos szabály

Az ACL:

  • felülről lefelé dolgozik.

Az első találat:

  • végrehajtódik.

Implicit tiltás

Minden ACL végén automatikusan szerepel:

deny any

 

Ez nincs kiírva,
de létezik.

ACL típusok

Két fő típus:

  • Standard ACL
  • Extended ACL

Standard ACL

A Standard ACL:

  • csak a forrás IP-címet vizsgálja.

Működés

Forrás IP → Engedély/Tiltás

 

Példa

Tiltani:

192.168.1.50

 

Cisco:

 

access-list 10 deny 192.168.1.50

access-list 10 permit any

 

Interface-re alkalmazás

 

interface g0/0

ip access-group 10 in

 

Extended ACL

Az Extended ACL:

  • forrás IP
  • cél IP
  • protokoll
  • port

alapján szűr.

Mire jó?

Példák:

  • HTTP tiltás
  • FTP engedélyezés
  • DNS szűrés
  • szervervédelem

Extended ACL szerkezete

 

access-list szám engedély protokoll forrás cél

 

Példa

HTTP tiltása:

 

access-list 100 deny tcp any any eq 80

access-list 100 permit ip any any

 

HTTPS engedélyezése

 

access-list 100 permit tcp any any eq 443

 

ACL portszámok

SzolgáltatásPort
HTTP80
HTTPS443
FTP21
SSH22
DNS53

ACL elhelyezése

Szabály:

Standard ACL:

  • célhoz közel

Extended ACL:

  • forráshoz közel

ACL ellenőrzése

 

show access-lists

 

Interface ellenőrzése

 

show running-config

 

ACL hibák

Gyakori problémák:

  • rossz sorrend
  • hiányzó permit
  • hibás wildcard maszk
  • rossz interface

Port Security

A Port Security:

  • korlátozza,
    milyen eszközök csatlakozhatnak egy portra.

Mire jó?

Előnyök:

  • jogosulatlan eszközök tiltása
  • MAC-cím védelem
  • hálózati hozzáférés szabályozása

Működési elv

A switch:

  • eltárolja a megengedett MAC címet.

Ha más eszköz jelenik meg:

  • intézkedik.

Port Security módok

MódMűködés
Protectcsomagdobás
Restrictcsomagdobás + napló
Shutdownport letiltása

Cisco Port Security konfiguráció

 

interface fa0/10

switchport mode access

switchport port-security

switchport port-security maximum 1

switchport port-security violation shutdown

 

MAC cím automatikus tanulása

 

switchport port-security mac-address sticky

 

Port Security ellenőrzése

 

show port-security

 

 

show port-security interface fa0/10

 

DHCP Snooping

A DHCP Snooping:

  • megakadályozza
    a hamis DHCP szerverek működését.

Miért veszélyes a hamis DHCP?

Támadó:

  • hibás gateway-t adhat
  • saját DNS-t adhat
  • forgalmat figyelhet

DHCP Snooping működése

A switch:

  • trusted
  • untrusted

portokat használ.

Trusted port

Trusted:

  • DHCP szerver felé néz.

Untrusted port

Untrusted:

  • kliens portok.

DHCP Snooping konfiguráció

Bekapcsolás:

 

ip dhcp snooping

 

VLAN megadása:

 

ip dhcp snooping vlan 10

 

Trusted port:

 

interface g0/1

ip dhcp snooping trust

 

DHCP Snooping ellenőrzése

 

show ip dhcp snooping

 

DHCP Binding Table

A switch eltárolja:

  • MAC
  • IP
  • VLAN
  • port

adatokat.

BPDU Guard

A BPDU Guard:

  • védi az access portokat.

Miért kell?

Normál esetben:

  • kliens portokra
    nem kerülhet switch.

Probléma

Ha valaki:

  • saját switchet csatlakoztat

akkor:

  • STP problémák,
  • loopok

jelenhetnek meg.

BPDU Guard működése

Ha BPDU érkezik:

  • a port automatikusan letiltódik.

BPDU Guard konfiguráció

PortFast bekapcsolása:

 

interface fa0/10

spanning-tree portfast

 

BPDU Guard:

 

spanning-tree bpduguard enable

 

Ellenőrzés

 

show spanning-tree summary

 

Switch hardening

A hardening:

  • a hálózati eszközök biztonságosabbá tétele.

Gyakori hardening lépések

Példák:

  • nem használt portok tiltása
  • SSH használata Telnet helyett
  • Port Security
  • DHCP Snooping
  • BPDU Guard
  • jelszóvédelem
  • ACL-ek használata

Nem használt portok tiltása

 

interface range fa0/15-24

shutdown

 

SSH engedélyezése

 

ip domain-name iskola.local

crypto key generate rsa

transport input ssh

 

Gyakorlati példa

Iskolai hálózat

VLAN10:

  • tanárok

VLAN20:

  • diákok

Biztonsági megoldások:

  • ACL internet szűrés
  • Port Security
  • DHCP Snooping
  • BPDU Guard

 

Partnereink

SZC logo

Kecskeméti SZC

Kecskeméti SZC Virágh Gedeon Technikum

6090 Kunszentmiklós, Apostol P. u. 2-6.

CLASSROOMKRÉTA

Telefon: 76/550-180

E-mail: viragh(kukac)kecskemetiszc.hu

OM azonosító: 203041/002

Felnőttképzési nyilvántartás száma: Fnysz: E-001288/2015

2026Kecskeméti SZC Virágh Gedeon Technikum

adatkezelési tájékoztatóképzői adatszolgáltatási tájékoztatópanaszkezelési űrlapAdatkezelésImpresszum