Bezpieczeństwo sieci – port security

Bezpieczeństwo sieci na przełącznikach Cisco ( IOS )

W celu zabezpieczenia sieci komputerowej przed niezidentyfikowanymi komputerami stosuje się szereg zabezpieczeń, jedną prostszych jest zaimplementowanie w konfiguracji przełączników funkcjonalności port security. Ma szereg przydatnych administratorowi opcji.

Wskazówki dotyczące konfiguracji port security na przełącznikach Cisco Catalyst:
  • zabezpieczony port nie może być portem typu trunk
  • zabezpieczony port nie może być interfejsem docelowym dla Switch Port Analyzer ( monitorowanie interfejsów )
  • zabezpieczony port nie moze należeć do portów w grupie portów które należą do grupy z włączoną agregacją ( EtherChannel )
  • zabezpieczony port i konfiguracja statycznych adresów MAC wyklucza się

Konfiguracja port security na interfejsach sieciowych ( zakres portów )

switch(config)# interface range gigabitethernet 0/1-24

switch(config)#switchport mode access

switch(config)#switchport port-security maximum 2  //liczba 2 oznacza to, że dwa urządzenia, które będą wpięte do interfejsu będą mogły pracować

switch(config)#switchport port-security violation shutdown //polecenie oznacza, że każde podpięcie urządzenia nieautoryzowanego spowoduje zamknięcie interfejsu ( shutdown )

switch(config)#switchport port security mac-address 1234.4321.abcd.dcba //oznacza wprowadzenie autoryzowanego przez nas adresu MAC

switch(config)#switchport port security mac-address sticky

switch(config)#switchport port security aging time 60 // po czasie 60 minut port podłączony i nie będący „sticky” zostanie usunięty z bazy i będzie można się podłączyć ponownie innym adresem MAC na interfejsie.

 

Sprawdzenie wprowadzonych zmian i poprawa konfiguracji

Aby sprawdzić wprowadzone zmiany na urządzeniu stosujemy następujące polecenia

show port security address interface fasthethernet 0/1  //dla konkretnego interfejsu

switch#sh port-security interface fastEthernet 0/1
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 60 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 2
Total MAC Addresses : 2
Configured MAC Addresses : 0
Sticky MAC Addresses : 2
Last Source Address:Vlan : ecf4.bb23.a6e5:1
Security Violation Count : 1

//widzimy Violation mode shutdown po ostatnim adresie MAC o adresie ecf4.bb23.a6e5 i VLAN nr 1

show port security address //dla wszystkich interfejsów na konkretnym urządzeniu

switch#show port-security address
Secure Mac Address Table
————————————————————————
Vlan Mac Address Type Ports Remaining Age
(mins)
—- ———– —- —– ————-
1 000f.b0dd.2bf1 SecureSticky Fa0/1 –
————————————————————————
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 8192

no switchport port-security mac-address sticky // wyłączenie „uczenia się” adresów MAC ( sticky learning )

no switchport port-security sticky mac-address 1234.4321.abcd.dcba //usuwamy zapisany mac address

Automatycznie odblokowanie interfejsu

Administrator w zależności od polityki bezpieczeństwa sieci może/nie może ułatwić sobie pracę poprzez ustawienie poleceniem:

errdisable recovery cause psecure-violation

errdisable recovery interval 600  //sekundy

możliwości automatycznego odblokowania interfejsów po zadanym czasie, w tym przypadku będzie to 10 minut ( 600 sekund )

Interfejsy zablokowane sprawdzamy poleceniem

show errdisable recovery

switch#show errdisable recovery
ErrDisable Reason Timer Status
—————– ————–
bpduguard Disabled
(…)
psecure-violation Enabled
(…)

vmps Disabled

Timer interval: 600 seconds

Interfaces that will be enabled at the next timeout:

Interface Errdisable reason Time left(sec)
——— —————– ————–
Fa0/1 psecure-violation 135
Fa0/3 psecure-violation 79

Więcej na ten temat pod adresem cisco

Comments

comments

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

+ 4 = 6