SZC logo

Kecskeméti SZC

OM kód: 203041/002 | 6090 Kunszentmiklós, Apostol P. u. 2-6.

Intézmény logo

Kecskeméti SZC Virágh Gedeon Technikum

HírekKözérdekű adatokCLASSROOMKRÉTA

11. évf.: ACL-ek és hálózatbiztonság

11. évf.: ACL-ek és hálózatbiztonság

Hálózatbiztonság: ACL, Port Security és switch védelmi megoldások

halozatbiztonsag.png

Bevezetés

A hálózatokban nem elegendő:

  • eszközöket összekötni,
  • IP-címeket kiosztani,
  • internetet biztosítani.

A hálózatot védeni is kell:

  • jogosulatlan hozzáférés ellen
  • hibás konfigurációk ellen
  • támadások ellen
  • véletlen hibák ellen

A Cisco hálózatokban gyakori védelmi technológiák:

  • ACL
  • Port Security
  • DHCP Snooping
  • BPDU Guard

Mert egy nyitott hálózat néha úgy működik, mint egy iskolaajtó zár nélkül: előbb-utóbb valaki kíváncsiságból benyit.

Mi az ACL?

ACL: Access Control List

Az ACL:

  • szabálylista,
  • amely engedélyezi vagy tiltja a hálózati forgalmat.

Mire használható?

Példák:

  • felhasználók tiltása
  • szerverek védelme
  • internetelérés szabályozása
  • VLAN-ok közötti hozzáférés
  • biztonsági szűrés

ACL működése

A router vagy switch:

  1. megvizsgálja a csomagot
  2. összehasonlítja a szabályokkal
  3. végrehajtja az első megfelelő szabályt

Fontos szabály

Az ACL:

  • felülről lefelé dolgozik.

Az első találat:

  • végrehajtódik.

Implicit tiltás

Minden ACL végén automatikusan szerepel: deny any

Ez nincs kiírva, de létezik.

ACL típusok

Két fő típus:

  • Standard ACL
  • Extended ACL

Standard ACL

A Standard ACL:

  • csak a forrás IP-címet vizsgálja.

Működés: Forrás IP → Engedély/Tiltás

Példa

Tiltani: 192.168.1.50

Cisco: 

access-list 10 deny 192.168.1.50

access-list 10 permit any

Interface-re alkalmazás

interface g0/0

ip access-group 10 in

 

Extended ACL

Az Extended ACL:

  • forrás IP
  • cél IP
  • protokoll
  • port

alapján szűr.

Mire jó?

Példák:

  • HTTP tiltás
  • FTP engedélyezés
  • DNS szűrés
  • szervervédelem

Extended ACL szerkezete: access-list szám engedély protokoll forrás cél

Példa

HTTP tiltása:

access-list 100 deny tcp any any eq 80

access-list 100 permit ip any any

HTTPS engedélyezése: access-list 100 permit tcp any any eq 443

ACL portszámok

SzolgáltatásPort
HTTP80
HTTPS443
FTP21
SSH22
DNS53

ACL elhelyezése

Szabály:

Standard ACL:

  • célhoz közel

Extended ACL:

  • forráshoz közel

ACL ellenőrzése: show access-lists

Interface ellenőrzése: show running-config

ACL hibák

Gyakori problémák:

  • rossz sorrend
  • hiányzó permit
  • hibás wildcard maszk
  • rossz interface

Port Security

A Port Security:

  • korlátozza,
    milyen eszközök csatlakozhatnak egy portra.

Mire jó?

Előnyök:

  • jogosulatlan eszközök tiltása
  • MAC-cím védelem
  • hálózati hozzáférés szabályozása

Működési elv

A switch:

  • eltárolja a megengedett MAC címet.

Ha más eszköz jelenik meg:

  • intézkedik.

Port Security módok

MódMűködés
Protectcsomagdobás
Restrictcsomagdobás + napló
Shutdownport letiltása

Cisco Port Security konfiguráció: 

interface fa0/10

switchport mode access

switchport port-security

switchport port-security maximum 1

switchport port-security violation shutdown

 

MAC cím automatikus tanulása: switchport port-security mac-address sticky

Port Security ellenőrzése: 

  • show port-security
  • show port-security interface fa0/10

DHCP Snooping

A DHCP Snooping:

  • megakadályozza
    a hamis DHCP szerverek működését.

Miért veszélyes a hamis DHCP?

Támadó:

  • hibás gateway-t adhat
  • saját DNS-t adhat
  • forgalmat figyelhet

DHCP Snooping működése

A switch:

  • trusted
  • untrusted

portokat használ.

Trusted port

Trusted:

  • DHCP szerver felé néz.

Untrusted port

Untrusted:

  • kliens portok.

DHCP Snooping konfiguráció

Bekapcsolás: ip dhcp snooping

VLAN megadása: ip dhcp snooping vlan 10

Trusted port: 

  • interface g0/1
    ip dhcp snooping trust

DHCP Snooping ellenőrzése: show ip dhcp snooping

DHCP Binding Table

A switch eltárolja:

  • MAC
  • IP
  • VLAN
  • port

adatokat.

BPDU Guard

A BPDU Guard:

  • védi az access portokat.

Miért kell?

Normál esetben:

  • kliens portokra
    nem kerülhet switch.

Probléma

Ha valaki:

  • saját switchet csatlakoztat

akkor:

  • STP problémák,
  • loopok

jelenhetnek meg.

BPDU Guard működése

Ha BPDU érkezik:

  • a port automatikusan letiltódik.

BPDU Guard konfiguráció

PortFast bekapcsolása:

interface fa0/10

spanning-tree portfast

BPDU Guard: spanning-tree bpduguard enable

Ellenőrzés: show spanning-tree summary

Switch hardening

A hardening:

  • a hálózati eszközök biztonságosabbá tétele.

Gyakori hardening lépések

Példák:

  • nem használt portok tiltása
  • SSH használata Telnet helyett
  • Port Security
  • DHCP Snooping
  • BPDU Guard
  • jelszóvédelem
  • ACL-ek használata

Nem használt portok tiltása

interface range fa0/15-24

shutdown

SSH engedélyezése

ip domain-name iskola.local

crypto key generate rsa

transport input ssh

Gyakorlati példa

Iskolai hálózat

VLAN10:

  • tanárok

VLAN20:

  • diákok

Biztonsági megoldások:

  • ACL internet szűrés
  • Port Security
  • DHCP Snooping
  • BPDU Guard

 


Partnereink

SZC logo

Kecskeméti SZC


Kecskeméti SZC Virágh Gedeon Technikum

6090 Kunszentmiklós, Apostol P. u. 2-6.

Telefon: 76/550-180

E-mail: viragh(kukac)kecskemetiszc.hu

OM azonosító: 203041/002

Felnőttképzési nyilvántartás száma: Fnysz: E-001288/2015


2026Kecskeméti SZC Virágh Gedeon Technikum