Zabezpieczenie i administracja switcha

Ta lekcja nie jest instrukcją obsługi ani listą komend CLI. Każdy przełącznik zarządzalny działa według tej samej logiki: administrator chroni urządzenia sieciowe i kontroluje ruch. Producent (np. Cisco) to tylko przykład — sens i mechanizmy są wspólne dla wszystkich marek.

1. Scenariusz z życia — najpierw zagrożenie

Zanim przejdziesz do zabezpieczeń, zobacz, co może pójść nie tak.

• Ktoś podłącza laptopa do szafy rack. Wolny port w przełączniku to wejście do sieci firmy. Bez kontroli kto i co jest podłączone obcy host dostaje adres IP i może przeglądać ruch lub atakować zasoby.
• Ktoś przejmuje hasło admina. Dostęp do konfiguracji switcha to pełna kontrola nad siecią: zmiana VLAN-ów, wyłączenie portów, podsłuch. Jedno słabe lub domyślne hasło wystarczy.
• Ktoś podsłuchuje ruch w sieci. Ruch w sieci lokalnej da się przechwycić, jeśli nie ma szyfrowania i atakujący ma dostęp do portu. Administrator musi ograniczać, kto ma fizyczny dostęp i jak ruch jest chroniony.
• Switch przestaje działać przez pętlę lub przeciążenie. Złe podłączenie kabli (pętla) albo przeciążony uplink zatrzymują przełącznik lub całą sieć. Trzeba zabezpieczyć fizyczne porty i przepustowość.

Z tych sytuacji wynika, co administrator musi zabezpieczyć: dostęp (kto wchodzi do urządzenia), tożsamość (kim jest i co może), transmisję (żeby nie dało się podsłuchać), porty (kto może się podłączyć) i przepustowość (żeby sieć nie padła od przeciążenia).

2. Dostęp administracyjny — pierwsza linia obrony

Wejście do konfiguracji switcha zabezpieczasz w pierwszej kolejności. Nie opisujemy tu komend — tylko sens.

• Konto admin ≠ bezpieczeństwo. Jedno konto „admin” z jednym hasłem to standardowy cel ataków. Potrzebne są: silne hasła, możliwie osobne konta dla osób i — w większych sieciach — centralne zarządzanie dostępem.
• Hasła lokalne vs centralne. Lokalne są na samym switchu. Centralne — na serwerze (RADIUS, TACACS+): jedna zmiana hasła lub blokada konta działa na wszystkich urządzeniach. W sieciach z wieloma przełącznikami stosuje się centralne.
• Poziomy uprawnień. Nie każdy z dostępem musi móc wszystko. Role: tylko odczyt, konfiguracja portów, pełna konfiguracja. Błąd lub złośliwy pracownik nie niszczy od razu całej konfiguracji.
• Dlaczego telnet jest niebezpieczny. Przesyła dane (w tym hasła) w jawnej postaci. Każdy z dostępem do sieci między tobą a switchem może przechwycić hasło. Do zarządzania się go nie używa.
• SSH jako standard. Szyfruje całą sesję. Hasła i polecenia nie są widoczne w sieci. Na każdym przełączniku zarządzalnym ustawia się dostęp przez SSH i wyłącza telnet — niezależnie od producenta.

3. AAA — kim jesteś zanim coś zrobisz

AAA to model myślenia o dostępie do urządzeń sieciowych. Trzy litery = trzy pytania.

• Authentication (uwierzytelnienie) — kim jesteś? Login i hasło (lub certyfikat) potwierdzają tożsamość.
• Authorization (autoryzacja) — co możesz zrobić? System sprawdza, czy użytkownik ma prawo do danej czynności (np. tylko odczyt, tylko porty).
• Accounting (ewidencjonowanie) — co zrobiłeś? Logi zapisują, kto, kiedy i jakie działania wykonał. Podstawa audytu i analizy incydentu.

Po co RADIUS i TACACS+? Centralne zarządzanie dostępem do wielu urządzeń. Zamiast list użytkowników na dziesiątkach switchów i routerów — jeden serwer. Dodajesz użytkownika raz, działa wszędzie. Zmiana hasła — od razu na wszystkich urządzeniach. Standard w sieciach z wieloma urządzeniami, niezależnie od producenta.

4. Ochrona portów — fizyczne bezpieczeństwo sieci

Switch to punkt wejścia do firmy. Każdy wolny port to potencjalna brama.

• Port security (ochrona portu). Ogranicza, które adresy MAC mogą korzystać z portu. Można zezwolić tylko na jeden lub kilka znanych MAC-ów. Nieznane urządzenie nie dostanie ruchu albo port zostanie zablokowany. Mechanizm dostępny na przełącznikach zarządzalnych różnych marek — pod różnymi nazwami.
• Blokowanie nieznanych MAC. Podłączenie hosta z innym adresem MAC niż dopuszczony skutkuje wyłączeniem portu lub alarmem. Uniemożliwia podpięcie obcego sprzętu przy szafie rack.
• Dlaczego switch to punkt wejścia. Większość hostów w biurze łączy się przez switch. Kto ma dostęp do portu, ma dostęp do sieci. Dlatego administrator zabezpiecza porty, wyłącza nieużywane i kontroluje, co jest podłączone.

Nie chodzi o konfigurację — o działanie (switch sprawdza MAC, blokuje nieznane) i konsekwencje (brak ochrony portów = łatwe wejście do sieci z biura lub szafy).

5. Monitorowanie ruchu — jak admin diagnozuje sieć

Gdy coś nie działa albo trzeba zbadać incydent, administrator musi „zobaczyć” ruch.

• Port Mirroring. Przełącznik kopiuje ruch z wybranego portu (lub grupy portów) na port diagnostyczny. Na ten port podłączasz komputer z oprogramowaniem do analizy — bez mirroringu nie zobaczysz ruchu innych hostów. U różnych producentów funkcja nosi różne nazwy (np. SPAN).
• Wireshark i analiza. Na komputerze pod portem mirrorowym uruchamiasz analizator (np. Wireshark). Widzisz ramki z monitorowanego portu: protokoły, adresy, payload. Służy to diagnozie problemów aplikacji i sieci oraz analizie incydentu (kto z kim się łączył, jakie dane szły).
• Kiedy się tego używa. Port mirroring stosuje się przy: diagnozie wolnego działania lub zerwania połączenia, analizie incydentu bezpieczeństwa, weryfikacji, czy aplikacja poprawnie wysyła dane. Nie na co dzień do zwykłego ruchu — tylko do celów diagnostycznych.

6. EtherChannel — stabilność i przepustowość

Chodzi o ideę, nie o komendy ani nazwy protokołów (LACP, PAgP itd.).

• Wiele kabli = jeden logiczny link. Zamiast jednego połączenia między dwoma switchami (albo switch a routerem) łączy się kilka kabli. Urządzenia traktują je jako jeden agregowany kanał: jeden link logiczny, większa przepustowość.
• Redundancja + wydajność. Zerwanie jednego kabla — ruch idzie pozostałymi. Suma przepustowości jest większa niż przy jednym kablu, więc brak wąskiego gardła na uplinku.
• Ochrona przed przeciążeniem uplinku. Gdy wiele hostów wysyła dane przez jeden uplink, łatwo o przeciążenie. Agregacja kilku portów zwiększa przepustowość i ogranicza ryzyko zatkania łącza. Mechanizm ten jest wspólny dla wielu producentów — uczeń ma zrozumieć sens, nie składnię.

7. Myślenie administratora

Kolejność ma znaczenie.

1. Najpierw zabezpiecz urządzenie — dostęp przez SSH, wyłączenie niebezpiecznych usług, silne hasła.
2. Potem kontroluj, kto ma dostęp — AAA, konta, uprawnienia, ewentualnie RADIUS/TACACS+.
3. Potem obserwuj ruch — port mirroring, logi, monitoring gdy trzeba coś zdiagnozować.
4. Na końcu optymalizuj wydajność — EtherChannel, QoS itd., gdy podstawy bezpieczeństwa i dostępu są na miejscu.

Administrator nie zaczyna od „szybkości”. Zaczyna od tego, żeby nikt niepowołany nie wszedł i żeby było wiadomo, kto co zrobił.

8. Zapamiętaj — fakty egzaminacyjne

• Każdy przełącznik zarządzalny działa według tej samej logiki — różni się interfejs i nazwy opcji, nie sens.
• Dostęp administracyjny: SSH zamiast telnetu (telnet przesyła hasła jawnie).
• AAA: Authentication (kim jesteś), Authorization (co możesz), Accounting (co zrobiłeś).
• RADIUS i TACACS+ — centralne zarządzanie dostępem do wielu urządzeń.
• Port security ogranicza dostęp do portu na podstawie adresów MAC; switch to punkt wejścia do sieci.
• Port Mirroring kopiuje ruch na port diagnostyczny — do analizy w narzędziach typu Wireshark; używa się go do diagnozy i analizy incydentu.
• EtherChannel (agregacja łączy): wiele kabli = jeden link logiczny — redundancja i większa przepustowość; bez listy komend — tylko mechanizm.
• Kolejność: najpierw zabezpiecz urządzenie, potem kontroluj dostęp, potem obserwuj ruch, na końcu optymalizuj.