Portbiztonság

Alapértelmezés szerint a Cisco switch minden interfésze be van kapcsolva. Ez azt jelenti, hogy egy támadó csatlakozhat a hálózatához egy fali aljzaton keresztül, és potenciálisan veszélyeztetheti a hálózatát. Ha tudja, hogy mely eszközök mely portokhoz lesznek csatlakoztatva, használhatja a Cisco portbiztonság nevű biztonsági funkcióját. A portbiztonság használatával a hálózati rendszergazda konkrét MAC-címeket társíthat az interfészhez, ami megakadályozhatja, hogy egy támadó csatlakoztassa az eszközét. Így korlátozhatja az interfészhez való hozzáférést, hogy csak az engedélyezett eszközök használhassák azt. Ha egy nem engedélyezett eszköz csatlakozik, eldöntheti, hogy a kapcsoló milyen műveletet hajtson végre, például elutasítja a forgalmat és leállítja a portot.

A portbiztonság konfigurálásához három lépés szükséges:

1. definiálja az interfészt hozzáférési interfészként a switchport mode access interface alparanccsal
2. engedélyezze a portbiztonságot a switchport port-security interface alparanccsal
3. engedélyezze a portbiztonságot. definiálja, hogy mely MAC-címek küldhetnek kereteket ezen az interfészen keresztül a switchport port-security mac-address MAC_ADDRESS interface alparancs használatával, vagy a swichport port-security mac-address sticky interface alparancs használatával dinamikusan megtanulja az éppen csatlakoztatott állomás MAC-címét

Két lépés választható:

1. a port security violation {protect | restrict | shutdown} interface alparancs használatával határozza meg, hogy a switch mit tegyen, ha keretet kap egy nem azonosított eszközről. Mindhárom opció elveti a jogosulatlan eszközről érkező forgalmat. A korlátozó és a leállító beállítások naplóüzenetet küldenek, ha jogsértés történik. A leállítás mód a portot is leállítja.
2. definiálja a porton használható MAC-címek maximális számát a switchport port-security maximum NUMBER interface submode paranccsal

A következő példa a portbiztonság konfigurálását mutatja be egy Cisco switchen:


Először is engedélyeznünk kell a portbiztonságot, és meg kell határoznunk, hogy mely MAC-címek küldhetnek kereteket:

Ezután a show port-security interface fa0/1 segítségével láthatjuk, hogy a switch megtanulta az A állomás MAC-címét:

Alapértelmezés szerint a megengedett MAC-címek maximális száma egy, így ha ugyanarra a portra egy másik hostot csatlakoztatunk, a biztonság megsértése következik be:

Az err-disabled állapotkód azt jelenti, hogy a porton a biztonság megsértése történt.

MEGJEGYZÉS
A port engedélyezéséhez a shutdown és no shutdown interface alparancsokat kell használnunk.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.