Bezpieczeństwo portów

Domyślnie wszystkie interfejsy na przełączniku Cisco są włączone. Oznacza to, że osoba atakująca może podłączyć się do sieci przez gniazdko ścienne i potencjalnie zagrozić sieci. Jeśli wiesz, które urządzenia będą podłączone do których portów, możesz użyć funkcji bezpieczeństwa Cisco zwanej port security. Używając zabezpieczeń portów, administrator sieci może powiązać konkretne adresy MAC z interfejsem, co może uniemożliwić atakującemu podłączenie swojego urządzenia. W ten sposób można ograniczyć dostęp do interfejsu tak, aby tylko autoryzowane urządzenia mogły z niego korzystać. W przypadku podłączenia nieautoryzowanego urządzenia można zdecydować, jakie działania podejmie przełącznik, na przykład odrzucając ruch i wyłączając port.

Aby skonfigurować zabezpieczenia portów, należy wykonać trzy kroki:

1. zdefiniować interfejs jako interfejs dostępowy za pomocą podkomendy switchport mode access interface
2. włączyć zabezpieczenia portów za pomocą podkomendy switchport port-security interface
3. Zdefiniuj, które adresy MAC mogą wysyłać ramki przez ten interfejs za pomocą podkomendy switchport port-security mac-address MAC_ADDRESS interface lub za pomocą podkomendy swichport port-security mac-address sticky interface, aby dynamicznie uczyć się adresu MAC aktualnie podłączonego hosta

Dwa kroki są opcjonalne:

1. zdefiniuj, jakie działanie podejmie przełącznik, gdy otrzyma ramkę z niezatwierdzonego urządzenia za pomocą podkomendy interface port security violation {protect | restrict | shutdown}. Wszystkie trzy opcje odrzucają ruch z nieautoryzowanego urządzenia. Opcje restrict i shutdown wysyłają komunikaty dziennika w przypadku wystąpienia naruszenia. Tryb Shut down również wyłącza port.
2. Zdefiniuj maksymalną liczbę adresów MAC, które mogą być używane na porcie, używając polecenia switchport port-security maximum NUMBER interface submode

Następujący przykład pokazuje konfigurację zabezpieczeń portów na przełączniku Cisco:


Najpierw musimy włączyć zabezpieczenia portów i zdefiniować, które adresy MAC są dopuszczone do wysyłania ramek:

Następnie, używając polecenia show port-security interface fa0/1 możemy zobaczyć, że przełącznik nauczył się adresu MAC hosta A:

Domyślnie maksymalna liczba dozwolonych adresów MAC wynosi jeden, więc jeśli podłączymy inny host do tego samego portu, nastąpi naruszenie bezpieczeństwa:

Kod statusu err-disabled oznacza, że na porcie wystąpiło naruszenie bezpieczeństwa.

UWAGA
Aby włączyć port, musimy użyć podpoleceń shutdown i no shutdown interface.

.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.