Detectarea conexiunilor neautorizate la porturile cisco echipamente active

Detectarea conexiunilor neautorizate la porturile cisco echipamente active

În prezentul articol descrie o tehnică pentru construirea de rețele virtuale dinamice. Acesta prezintă în detaliu procesul de configurarea acestora pe echipamente Cisco.

În prezent, întreprinderile mari sunt utilizate pe scară largă rețea locală dinamică. În prezentul articol descrie o tehnică pentru construirea de rețele virtuale dinamice. Acesta prezintă în detaliu procesul de configurarea acestora pe echipamente Cisco.

Luați în considerare crearea unui program care permite Reshet următoarele probleme:

  • genera automat configurarea dinamică a rețelelor virtuale de fișiere de baze de date și încărcați-l comutatorul;
  • detecta conexiuni neautorizate la porturile echipamentului de rețea și trimite e-mail administrator de rețea de notificare;
  • pentru a efectua o secvență predeterminată de comenzi pe un întrerupător la distanță.

configurare Declarat și depanare, precum și configurarea comutatorul pentru a interacționa cu el.

1.1 VLAN (VLAN)

switch Ethernet segmente de vedere fizic o rețea locală (LAN) în domenii de coliziune separate. Cu toate acestea, fiecare segment face parte din același domeniu de difuzare. Toate segmentele de switch sunt un domeniu de difuzare. Acest lucru înseamnă că un nod segment este capabil de a seta modul de difuzare pentru toate nodurile din toate segmentele.

rețea virtuală (virtuală LAN, VLAN) este o grupare logică de dispozitive de rețea sau de utilizatori, fără a se limita de un singur segment fizic. Dispozitivele VLAN sau utilizatorii pot fi grupate în funcție de funcție, de care aparține aceleiași organizații, natura aplicațiilor utilizate, etc. indiferent de locația fizică a acestora în segmentele. VLAN creează un spațiu unic de difuzare nu este limitată de segmentul fizic, și poate fi tratată ca o subrețea.

crearea de VLAN se face pe comutatorul cu software-ul corespunzător. VLAN nu sunt standardizate și necesită utilizarea de software licențiat de la furnizor de comutare.

implementările inițiale ale rețelelor virtuale folosesc aspect de port, care combină grupurile de dispozitive de domeniu de difuzare selectate în mod implicit. Cerințele actuale includ necesitatea de a extinde domeniul de aplicare al rețelei virtuale pentru întreaga rețea. Această abordare permite combinarea utilizatorilor separate geografic, prin crearea unei rețele LAN virtuale. configurația rețelei virtuale oferă o asociere fizică logică, mai degrabă decât (Fig. 1.1).

Detectarea conexiunilor neautorizate la porturile cisco echipamente active

Fig. 1.1 „Exemplu de utilizare VLAN»

1.2 Dinamic VLANs

1.3 Avantajele de rețele virtuale

Adăugarea de utilizatori noi, relocarea lor și schimbarea Locul de amplasare:

rețea virtuală reduce semnificativ fluxul de difuzare globală eliberează de lățime de bandă pentru fluxul de date de utilizator și reduce sensibilitatea generală a rețelei pentru a difuza avalanșa (furtuna de difuzare).

Este mai mic grup de rețea virtuală, este mai mic numărul de utilizatori care primesc mesaje de difuzare distribuite în cadrul unui grup. Gruparea de utilizatori virtuale de pe rețea poate fi, de asemenea, pusă în aplicare în funcție de tipul de aplicație sau tip de mesaje de difuzare recepționate de la aplicație. Puteți plasa utilizatorii de partajare o cerere de difuzare, cu activitate ridicată în același grup și de a distribui aplicația în întreaga rețea de întreprindere.

Consolidată de securitate de rețea:

În ultimii ani, domeniul de aplicare al utilizării rețelelor locale sa extins considerabil. Pe rețele de multe ori transmise date confidențiale. Protecția informațiilor confidențiale impune restricționarea accesului la rețea. Problema cauzată de utilizarea rețelelor locale, este că este relativ ușor să pătrundă într-o astfel de rețea. Conectat la un port activ, intrusul fără permisiunea rețelei de un utilizator are acces la toate datele transmise pe segmentul. În același timp, cu atât mai mare grup, cu atât mai mare amenințarea potențială a accesului neautorizat.

Unul eficient financiar și administrativ pus în aplicare cu ușurință a îmbunătăți metodele de securitate este segmentarea rețelei într-un număr mare de grupuri de multicast. Acest lucru permite administratorului de rețea să:

Această secțiune descrie modul de efectuare de configurare și administrare DVLAN'a pe switch-uri Cisco, pentru a continua să aibă o idee a programului de lucru.

2.1 Crearea unui fișier de configurare a bazei de date VMPS

Înainte de a putea utiliza VMPS, trebuie să creați un fișier de bază de date VMPS în format ASCII și salvați-l pe server TFTP. Fiecare nouă intrare trebuie să înceapă cu o nouă linie.

VMPS fișier de configurare a bazei de date poate conține următorii parametri:

Mai jos este o mostră de bază de date fișier de configurare VMPS.

Exemplul 2.1, „Baza de date fișier de configurare VMPS»

2.2 Configurarea VMPS

De îndată ce vă este permis să ruleze VMPS, comutatorul încearcă să descarce baza de date cu VMPS de la TFTP sau serverul rcp. După aceea, comutatorul va fi în măsură să ia cereri VMPS.

Pentru a configura VMPS următoarele comenzi în mod privilegiat, trebuie:

Pentru a dezactiva modul VMPS, executați următoarea comandă în modul privilegiat:

set dezactivare stare vmps

2.3 Configurarea porturilor dinamice pe clienții VMPS.

Pentru a configura dinamic switch-uri client porturi VMPS, următoarele comenzi trebuie să fie executați în modul privilegiat:

2.4 Administrarea și VMPS Monitorizare

Pentru a afișa informații despre statisticile VMPS:

arată statisticile vmps

Pentru a reseta statisticile VMPS:

statistici vmps clare

serverip_addr vmps clar

Pentru a reconfigura de membru într-un VLAN dinamic este atribuit porturi:

Pentru a verifica comenzile introduse de mai sus:

arată statisticile dvlan

Pentru a descărca fișierul de configurare a bazei de date VMPS serverul c TFTP sau dintr-o altă sursă:

2.5 Setarea comutatorului pentru a trimite mesaje de sistem

Pentru a configura funcția de detectare a intruziunilor prin conectarea la ascultare SysLog, este necesar pentru a comuta mesajele de sistem trimise la calculatorul administratorului de rețea se execută programul.

Exemplul 2.2, „Configurarea mesajelor de sistem trimise la computerul la distanță“

De asemenea, este necesar să se adapteze granularitatea mesajelor de sistem, din moment ce ne interesează doar mesaje legate de un port.

Exemplul 2.3, „Stabilirea nivelului de detaliu al mesajelor de sistem“

În cazul în care «capcană logare 4" - Avertizare acest nivel de detaliu. în care mesajul este trimis necesită atenție. Alte mesaje care includ nivelul de detaliu vor fi ignorate de program.

3. Detectarea conexiune neautorizată

Exemplu de 3.1 „format Syslog-mesajul trimis atunci când comutatorul este conectat la portul“

Din raportul prezentat în exemplul 3.1 arată că comutatorul descoperit că portul Fast Ethernet 0/7 este conectat la comutatorul „TEST-SW5505», port 4/31 este atribuit 99 VLAN. În consecință, prin compararea numărului VLANa în comunicație cu un număr de fallback VLANa, putem concluziona conexiuni neautorizate și să trimită o notificare, cum ar fi e-mail.

Luați în considerare exemplul 3.2, în cazul în care programul este un pasaj creat folosind C ++ Builder 6.0, cu ajutorul cărora puteți selecta mesaje utile care transportă informații despre conexiuni neautorizate.

EXEMPLUL № 3.2 «program de extras“

// Aceste linii plasate în cazul OnUDPRead componente IdUDPServer

// Crearea unui flux pentru a scrie la mesajele variabile UDP

// Nu uitați să intre în componentele implicite Port IdUDPServer de proprietate - 514, deoarece comutatorul trimite mesaje în acest port

// calcula numărul de caractere necesare pentru a estima numărul de posturi de inspecție cicluri.

DlinaVlanFallBack = DlinaVlanFallBack +1;
int dlinaSysLog = strlen (Message.c_str ()); // numărul de caractere din mesajul primit
int Y = 0;
int N = 0;
int uslovieSysLog = 0;
// Verificați dacă mesajul primit simbolic pentru un mesaj, cum ar fi: „(număr VLANa)“
pentru (Y = 1 ;! Y = dlinaSysLog; Y ++)
<
AnsiString Pr = Mesajul [Y];
if (Mesaj [Y] == „(“) // deoarece numărul VLANa în paranteze începe să testați cu diferențe, „stânga“ între paranteze.
pentru (N = 1; N = DlinaVlanFallBack ;! N ++)
<
AnsiString Pr2 = FormMomVMPS-> EditNomerVlanFallBack-> Text [N];
Y = Y + 1;
if (Mesaj [Y] == FormMomVMPS-> EditNomerVlanFallBack-> Text [N])
uslovieSysLog = 1; // dacă numărul VLANa coincide cu numărul fallback VLANa

ShowMessage altceva ( «Nu există nicio conexiune cu serverul de e-mail");
if (MainForm-> SMTP-> Conectat)
SMTP-> Deconectare (); // Razedinit
Mesaj = "";
return;
>
>
>
>
Astfel, este posibil să se creeze o altă barieră de securitate.

KompaniyaSoftKey- este un serviciu unic pentru clienți, dezvoltatori, dealeri și parteneri afiliați. În plus, acesta este unul dintre cele mai bune magazine online din România, Ucraina, Kazahstan, care oferă clienților o gamă largă, varietate de metode de plată, operaționale (de multe ori instantanee), procesarea comenzilor, procesul de urmărire a comenzilor în secțiunea cu informații personale.

  • Detectarea conexiunilor neautorizate la porturile cisco echipamente active
  • Detectarea conexiunilor neautorizate la porturile cisco echipamente active
  • Detectarea conexiunilor neautorizate la porturile cisco echipamente active
  • Detectarea conexiunilor neautorizate la porturile cisco echipamente active