- 31 Ara 2015
- 1,506
- 1
Öncelikle senaryomuzu gösterelim:
Mantıksal Topolojimiz bu şekilde
Örnek olarak bir PC, Ip-Mac adresleri içeren tablomuz olduğunu varsayalım
***Ip-Mac adresleri tamamen rastgele yazılmıştır. Gerçek cihazlara ait değildir.***
Hedefler
* Switch aygıtına yetkisiz bağlantıları engellemek için bağlantı noktası güvenliğini etkinleştireceğiz.
Kaynak
* Switch 2. Katman cihazı olduğundan dolayı, bağlantı noktası güvenliğini taşınan paketin içindeki mac adresi ile yapılır. Etkinleştirmek için arayüz yapılandırma kipinde "switchport port-security" komutu kullanılır. Bilindiği gibi bağlantı noktası anahtarlama kipi dynamic desirable (dinamik istenen), access (erişim), trunk (gövde) olmak üzere üç tanedir. Bağlantı noktası güvenliği etkinleştirilebilmesi için access kipinde yapılandırılmalıdır.
**Bağlantı noktası güvenliğini etkinleştirmenin üç yolu vardır.
(1. Yol) Statik; yönetici tarafından erişime izin verilecek mac adresleri manuel olarak atanır. Yapılandırmanın doğrulanması için bir adet konak bilgisayar mac adresi (örn. AAAA.AAAA.AAAA) girilir, farklı mac adrese sahip bir bilgisayar bağlantı noktasına bağlandığında devre dışı kaldığı görünür. Statik mac adresleri, switch adres tablosunda saklanır ve çalışan yapılandırmaya eklenir. MAC adresleri her açılışta yeniden eklememek için kayıtlı yapılandırmaya kaydedilebilir.
Switch(config)#int fa 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address [mac adresi]
(2. Yol) Dinamik; erişime izin verilecek mac adresleri dinamik bir şekilde öğrenilir. Bu yöntemle sadece öğrenilecek mac adresi sayısı denetlenir. Mac adresleri, switch adres tablosunda saklanır. Bağlantı noktası kapatılırsa veya aygıt kapanıp açıldığında öğrenilen mac adresleri tablodan silinir. Bu durumda mac adresleri yeniden öğrenilecektir. Statik yapılandırmadan farklı olarak, öğrenilen mac adresi bilgilerinin çalışan yapılandırmada ya da arayüz yapılandırmada görünmediğini doğrulayabilirsiniz.
Switch(config)#int fa 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Sticky; uzun süreli (ing. sticky) anlamına gelen bu yöntem dinamik yönteme benzer ancak tek farklı öğrenilen mac adresi bilgileri çalışan yapılandırmaya saklanıyor olması. Yani hem statik hem de dinamik yöntemin özelliklerini taşır. O halde şöyle bir tanımlama yanlış olmaz. Sticky, mac adreslerini dinamik bir şekilde öğrenerek statik hale getirir.
Switch(config)#int fa 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky
(3. Yol) Yukarıdaki komutlara ek olarak, her bağlantı noktası için varsayılan değerleri belirtmemiz gerekir. Bunlar; güvenlik varsayılan olarak devre dışıdır. Etkinleştirmek için aşağıdaki komut girilir.
Switch(config-if)#switchport port-security
Öğrenilecek mac adresi varsayılan olarak en fazla 1 dir, fakat bu sayı değiştirilebilir.
Bu şekilde => Switch(config-if)#switchport port-security maximum [sayı]
Güvenlik ihlali meydana geldiğinde bağlantı noktaları varsayılan olarak "shutdown" kipinde davranacaktır, ancak yine de yönetici aşağıdaki komutlar ile bu durumu manuel olarak kontrol edebilir. Protect; düşük seviyeli bir koruma yöntemidir. Güvenlik ihlali meydana geldiğinde bağlantı noktasını açık tutar ancak iletime izin vermez. Restrict; orta seviyeli bir koruma yöntemidir. Güvenlik ihlali meydana geldiğinde bağlantı noktasını açık tutar ve "Security Violation Count" isimli sayacı bir artırılır. Bu sayaç "show port-securtity" veya "show portsecurtity int fa 0/1" komutu ile görüntüleyebiliriz. Shutdown; yüksek seviyeli bir koruma yöntemidir. Güvenlik ihlali meydana geldiğinde bağlantı noktasını kapatır.
Switch(config-if)#switchport port-security violation protect
Switch(config-if)#switchport port-security violation restrict
Switch(config-if)#switchport port-security violation shutdown
Ve Son Olarak
Bağlantı noktası güvenlik bilgilerinin görüntülenmesi için aşağıdaki
komutları kullanırız.
Switch#sh run
interface FastEthernet0/1
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 000C.85C3.640A
...
Switch#show port-securtity
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
--------------------------------------------------------------------
Fa0/1 1 1 1 Shutdown
----------------------------------------------------------------------
Switch#show port-securtity int fa 0/1
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address:Vlan : 0060.7003.ACD8:1
Security Violation Count : 1
Port güvenliği konumuz bu kadardı bir başka konuda görüşmek dileğiyle