Nawigacja:
Ścieżka:
Strona główna » Poradnik dla działów IT » F1 Hotline dla IT » WINDOWS 7 | Blokowanie portów sieciowych urządzeń przełączających »
2011-07-01, Jacek Kurek
WINDOWS 7 | Blokowanie portów sieciowych urządzeń przełączających
PROBLEM | W urzędowej sieci korzystamy z ochrony portów urządzeń przełączających (tzw. port-security). Polega ona na przypisaniu adresów MAC jednego lub wielu urządzeń sieciowych do portów switcha, z których urządzenia te mają prawo korzystać. W wypadku wykrycia obcego adresu fizycznego „na gniazdku” urządzenie automatycznie wyłącza port, uniemożliwiając intruzowi uzyskanie dostępu do sieci. Od pewnego czasu obserwujemy dziwne zjawisko – niemal o tej samej godzinie blokowanych jest masowo wiele portów. Na różnych urządzeniach przełączających w sieci rejestrowane są wtedy prawie identyczne adresy MAC, których pierwsze 24 bity to 00:0d:3a. Z informacji zamieszczonych na stronie standards.ieee.org wynika, że dysponentem tych adresów jest Microsoft Corp. Dodanie nowych adresów MAC do poszczególnych portów jest nieskuteczne, ponieważ za każdym razem rejestrowane są inne, lecz podobne do siebie adresy fizyczne. Co powoduje wspomniane naruszenia bezpieczeństwa? Jak rozwiązać ten problem, nie rezygnując jednocześnie z funkcji port-security?
Rozwiązanie:
Blokowanie portów sieciowych urządzeń przełączających korzystających z port-security może mieć różne przyczyny. Za każdym razem gdy dochodzi do tego typu naruszeń, należy przeanalizować dzienniki rejestrowanych zdarzeń. Warto przyjrzeć się odnotowanym adresom fizycznym, które spowodowały aktywację blokady portu (lub innej zdefiniowanej przez administratora akcji). W takiej sytuacji często można dostrzec koincydencję, która może pomóc nam znaleźć źródło problemu.
Jedną z przyczyn pojawiania się „dodatkowych” adresów fizycznych na portach mogą być wirtualne maszyny instalowane na coraz bardziej zaawansowanych i wydajnych stacjach roboczych. Jeśli użytkownik instalujący wirtualną maszynę nie ma wiedzy o konfiguracji sieci (np. nie wie o ochronie portów) i zdecyduje się na pracę wirtualnego interfejsu sieciowego w tzw. trybie bridged (zamiast NAT), wówczas na porcie przełącznika zarejestrowany zostanie obcy adres fizyczny i włączy się blokada. Przyczyna przedstawionego problemu wydaje się jednak mieć inne źródło. Najskuteczniejszym sposobem pozbycia się uciążliwego dla administratora problemu masowego blokowania portów jest dezaktywacja komponentów odpowiedzialnych za obsługę LLTD na maszynach z Windows 7 oraz Vista. Aby to zrobić, uruchamiamy Edytor lokalnych zasad grupy ([Win]+[R] | gpedit.msc), a następnie wybieramy Zasady komputer lokalny | Konfiguracja komputera | Szablony administracyjne | Sieć | Wykrywanie topologii warstwy łączy. Znajdziemy tam wpisy odpowiadające dwóm składnikom obsługującym LLTD: Włącz sterownik mapowania We/Wy (LLTDIO) oraz Włącz sterownik obiektu odpowiadającego (RSPNDR). Obydwa te składniki mają domyślnie ustawiony status „Nie skonfigurowano”. Przechodząc do właściwości wymienionych komponentów, wybieramy pozycję Wyłączone.
Nieco odmiennego sposobu wyłączenia protokołu LLTD wymagać będą komputery z Windows 7 w wersji Home Edition, gdzie nie znajdziemy Edytora lokalnych zasad grupy. Zamiast tego wybieramy Panel sterowania | Centrum sieci i udostępniania | Zmień ustawienia karty sieciowej i we właściwościach używanego połączenia (najczęściej: „Połączenie lokalne”) wyłączamy następujące komponenty: Sterownik We/Wy mapowania z odnajdowaniem topologii oraz Responder odnajdowania warstwy łącza. Od tej pory maszyna nie będzie mogła badać topologii sieci oraz odpowiadać na pakiety LLTD pochodzące od innych hostów. Jeśli opisane modyfikacje wprowadzimy na wszystkich stacjach roboczych z Windows 7 oraz Vista, problem blokowania portów na przełącznikach sieciowych powinien ustąpić.
Polecamy
Biblioteka Informacja Publiczna
Specjalistyczne publikacje książkowe dla pracowników administracji publicznej
