Bezpieczeństwo sieci na przełącznikach Cisco ( IOS )
W celu zabezpieczenia sieci komputerowej przed niezidentyfikowanymi komputerami stosuje się szereg zabezpieczeń, jedną prostszych jest zaimplementowanie w konfiguracji przełączników funkcjonalności port security. Ma szereg przydatnych administratorowi opcji.
Wskazówki dotyczące konfiguracji port security na przełącznikach Cisco Catalyst:
- zabezpieczony port nie może być portem typu trunk
- zabezpieczony port nie może być interfejsem docelowym dla Switch Port Analyzer ( monitorowanie interfejsów )
- zabezpieczony port nie moze należeć do portów w grupie portów które należą do grupy z włączoną agregacją ( EtherChannel )
- zabezpieczony port i konfiguracja statycznych adresów MAC wyklucza się
Konfiguracja port security na interfejsach sieciowych ( zakres portów )
switch(config)# interface range gigabitethernet 0/1–24
switch(config)#switchport mode access
switch(config)#switchport port-security maximum 2 //liczba 2 oznacza to, że dwa urządzenia, które będą wpięte do interfejsu będą mogły pracować
switch(config)#switchport port-security violation shutdown //polecenie oznacza, że każde podpięcie urządzenia nieautoryzowanego spowoduje zamknięcie interfejsu ( shutdown )
switch(config)#switchport port security mac-address 1234.4321.abcd.dcba //oznacza wprowadzenie autoryzowanego przez nas adresu MAC
switch(config)#switchport port security mac-address sticky
switch(config)#switchport port security aging time 60 // po czasie 60 minut port podłączony i nie będący “sticky” zostanie usunięty z bazy i będzie można się podłączyć ponownie innym adresem MAC na interfejsie.
Sprawdzenie wprowadzonych zmian i poprawa konfiguracji
Aby sprawdzić wprowadzone zmiany na urządzeniu stosujemy następujące polecenia
show port security address interface fasthethernet 0/1 //dla konkretnego interfejsu
switch#sh port-security interface fastEthernet 0/1
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 60 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 2
Total MAC Addresses : 2
Configured MAC Addresses : 0
Sticky MAC Addresses : 2
Last Source Address:Vlan : ecf4.bb23.a6e5:1
Security Violation Count : 1
//widzimy Violation mode shutdown po ostatnim adresie MAC o adresie ecf4.bb23.a6e5 i VLAN nr 1
show port security address //dla wszystkich interfejsów na konkretnym urządzeniu
switch#show port-security address
Secure Mac Address Table
————————————————————————
Vlan Mac Address Type Ports Remaining Age
(mins)
—- ———– —- —– ————-
1 000f.b0dd.2bf1 SecureSticky Fa0/1 -
————————————————————————
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 8192
no switchport port-security mac-address sticky // wyłączenie “uczenia się” adresów MAC ( sticky learning )
no switchport port-security sticky mac-address 1234.4321.abcd.dcba //usuwamy zapisany mac address
Automatycznie odblokowanie interfejsu
Administrator w zależności od polityki bezpieczeństwa sieci może/nie może ułatwić sobie pracę poprzez ustawienie poleceniem:
errdisable recovery cause psecure-violation
errdisable recovery interval 600 //sekundy
możliwości automatycznego odblokowania interfejsów po zadanym czasie, w tym przypadku będzie to 10 minut ( 600 sekund )
Interfejsy zablokowane sprawdzamy poleceniem
show errdisable recovery
switch#show errdisable recovery
ErrDisable Reason Timer Status
—————– ————–
bpduguard Disabled
(…)
psecure-violation Enabled
(…)
vmps Disabled
Timer interval: 600 seconds
Interfaces that will be enabled at the next timeout:
Interface Errdisable reason Time left(sec)
——— —————– ————–
Fa0/1 psecure-violation 135
Fa0/3 psecure-violation 79
Więcej na ten temat pod adresem cisco