Archiwa tagu: cisco

Bezpieczeństwo sieci — port security

Bezpieczeństwo sieci na przełącznikach Cisco ( IOS )

W celu zabez­pieczenia sieci kom­put­erowej przed niezi­den­ty­fikowany­mi kom­put­era­mi sto­su­je się szereg zabez­pieczeń, jed­ną prost­szych jest zaim­ple­men­towanie w kon­fig­u­racji przełączników funkcjon­al­noś­ci port secu­ri­ty. Ma szereg przy­dat­nych admin­is­tra­torowi opcji.

Wskazówki dotyczące konfiguracji port security na przełącznikach Cisco Catalyst:
  • zabez­piec­zony port nie może być portem typu trunk
  • zabez­piec­zony port nie może być inter­fe­jsem docelowym dla Switch Port Ana­lyz­er ( mon­i­torowanie inter­fe­jsów )
  • zabez­piec­zony port nie moze należeć do portów w grupie portów które należą do grupy z włąc­zoną agre­gacją ( Ether­Chan­nel )
  • zabez­piec­zony port i kon­fig­u­rac­ja staty­cznych adresów MAC wyk­lucza się

Kon­fig­u­rac­ja port secu­ri­ty na inter­fe­jsach sieciowych ( zakres portów )

switch(config)# inter­face range giga­biteth­er­net 0/1–24

switch(config)#switch­port mode access

switch(config)#switch­port port-secu­ri­ty max­i­mum 2  //liczba 2 oznacza to, że dwa urządzenia, które będą wpięte do inter­fe­j­su będą mogły pra­cow­ać

switch(config)#switch­port port-secu­ri­ty vio­la­tion shut­down //polecenie oznacza, że każde pod­pię­cie urządzenia nieau­to­ry­zowanego spowodu­je zamknię­cie inter­fe­j­su ( shut­down )

switch(config)#switch­port port secu­ri­ty mac-address 1234.4321.abcd.dcba //oznacza wprowadze­nie auto­ry­zowanego przez nas adresu MAC

switch(config)#switch­port port secu­ri­ty mac-address sticky

switch(config)#switch­port port secu­ri­ty aging time 60 // po cza­sie 60 min­ut port podłąc­zony i nie będą­cy “sticky” zostanie usunię­ty z bazy i będzie moż­na się podłączyć ponown­ie innym adresem MAC na inter­fe­jsie.

 

Sprawdzenie wprowadzonych zmian i poprawa konfiguracji

Aby sprawdz­ić wprowad­zone zmi­any na urządze­niu sto­su­je­my następu­jące polece­nia

show port secu­ri­ty address inter­face fas­theth­er­net 0/1  //dla konkret­nego inter­fe­j­su

switch#sh port-secu­ri­ty inter­face fastEth­er­net 0/1
Port Secu­ri­ty : Enabled
Port Sta­tus : Secure-shut­down
Vio­la­tion Mode : Shut­down
Aging Time : 60 mins
Aging Type : Absolute
SecureSta­t­ic Address Aging : Dis­abled
Max­i­mum MAC Address­es : 2
Total MAC Address­es : 2
Con­fig­ured MAC Address­es : 0
Sticky MAC Address­es : 2
Last Source Address:Vlan : ecf4.bb23.a6e5:1
Secu­ri­ty Vio­la­tion Count : 1

//widzimy Vio­la­tion mode shut­down po ostat­nim adresie MAC o adresie ecf4.bb23.a6e5 i VLAN nr 1

show port secu­ri­ty address //dla wszys­t­kich inter­fe­jsów na konkret­nym urządze­niu

switch#show port-secu­ri­ty address
Secure Mac Address Table
————————————————————————
Vlan Mac Address Type Ports Remain­ing Age
(mins)
—- ———– —- —– ————-
1 000f.b0dd.2bf1 Secure­Sticky Fa0/1 -
————————————————————————
Total Address­es in Sys­tem (exclud­ing one mac per port) : 0
Max Address­es lim­it in Sys­tem (exclud­ing one mac per port) : 8192

no switch­port port-secu­ri­ty mac-address sticky // wyłącze­nie “uczenia się” adresów MAC ( sticky learn­ing )

no switch­port port-secu­ri­ty sticky mac-address 1234.4321.abcd.dcba //usuwamy zapisany mac address

Automatycznie odblokowanie interfejsu

Admin­is­tra­tor w zależnoś­ci od poli­ty­ki bez­pieczeńst­wa sieci może/nie może ułatwić sobie pracę poprzez ustaw­ie­nie polece­niem:

errdis­able recov­ery cause pse­cure-vio­la­tion

errdis­able recov­ery inter­val 600  //sekundy

możli­woś­ci automaty­cznego odblokowa­nia inter­fe­jsów po zadanym cza­sie, w tym przy­pad­ku będzie to 10 min­ut ( 600 sekund )

Inter­fe­jsy zablokowane sprawdza­my polece­niem

show errdis­able recov­ery

switch#show errdis­able recov­ery
ErrDis­able Rea­son Timer Sta­tus
—————– ————–
bpduguard Dis­abled
(…)
pse­cure-vio­la­tion Enabled
(…)

vmps Dis­abled

Timer inter­val: 600 sec­onds

Inter­faces that will be enabled at the next time­out:

Inter­face Errdis­able rea­son Time left(sec)
——— —————– ————–
Fa0/1 pse­cure-vio­la­tion 135
Fa0/3 pse­cure-vio­la­tion 79

Więcej na ten tem­at pod adresem cis­co