Cisco Switchport Security

KAAN ÖZDERE 22 Mart

 

Cisco Port Security, Cisco ağ cihazları tarafından desteklenen bir güvenlik özelliğidir ve ağa bağlı cihazların ağ kaynaklarına güvenli bir şekilde erişmelerini sağlamak için kullanılır. Bu özellik, bir ağ portuna bağlı olan cihazların MAC adreslerini, IP adreslerini veya VLAN bilgilerini yönetir.

Bir bağlantı noktasında öğrenebileceğiniz MAC adreslerinin sayısı için bir limit ayarlamanıza ve ayrıca belirli bir bağlantı noktasında gerçekte hangi MAC adreslerine izin verdiğinizi belirlemenize olanak tanır. Bu, etkili bir şekilde 2. katman güvenliğidir ve fiziksel güvenliğe yardımcı olur. Kısaca Port Security Switch portlarının istenilen sayıda MAC adresini öğrenebilmesine yarar.

Port Security özelliği, üç tür bağlantı noktasında çalışmaz.
Span, Dynamic ve PortChannel diye sıralayabiliriz.


Port Security Violation(ihlal) nedir?



Sahte bir host (veya o porta erişmesine izin verilmeyen herhangi bir host) port güvenliğinin etkin olduğu switch portuna bağlanmaya çalıştığında port güvenlik ihlali meydana gelir.  İhlal durumunda switch portları 3 farklı şekilde yöneticinin istediği gibi tepki verir. 

Port Security Violation(İhlal) Modları Nelerdir?

Shutdown (Kapatma)
Tüm trafik engellenir ve port err-disabled mode'a geçer. 
Varsayılan olarak, ihlal modu shutdown modudur ve izin verilen MAC adresi yalnızca 1'dir.

Restrict (Kısıtlı) 
İhlali gerçekleştiren cihazın trafiğini engelleyerek,  bilinen MAC adreslerinden gelen trafiğin iletilmeye devam etmesine izin verir. Trafik kesildiğinde syslog mesajı oluşmaz.

Protect (Koruma)
İhlali gerçekleştiren cihazın trafiğini engelleyerek,  bilinen MAC adreslerinden gelen trafiğin iletilmeye devam etmesine izin verir. Trafik kesildiğinde syslog mesajı oluşmaz.


Port Security nasıl yapılandırılır?

Switch# config terminal
Switch(config)# interface gig 1/0/1
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security violation shutdown

 Eğer bir port, tanımlanmış MAC adreslerinden başka bir cihaz tarafından kullanılıyorsa, port güvenliği ihlali durumu ortaya çıkar ve port kapatılır. Bu durumda ağ yöneticisi tarafından ilgili portun açılması gerekmektedir. Öncelikle  shutdown komutuyla port  kapatılır ve sonra no shutdown komutuyla tekrar aktif hale getirilir.



Ancak, bazen yanlışlıkla port güvenliği ihlali durumu oluşabilir veya sorunlu cihazların bağlantısının kesilmesi ağdaki diğer cihazların çalışmasını engelleyebilir. Bu durumda, "errdisable recovery cause psecure-violation" komutu kullanılarak, belirli bir süre sonra portun otomatik olarak kurtarılması sağlanabilir.

Aşağıdaki komutlar, port security ihlalinden 120 saniye sonra otomatik kurtarma özelliği etkinleştirir.

Switch(config)# errdisable recovery cause psecure-violation
Switch(config)#errdisable recovery interval 120



MAC adreslerini statik olarak yapılandırma;

Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security mac-address 00aabbccddeeff


Aging Time

MAC adreslerinin ne kadar süreyle saklanacağı, yani ne kadar süre boyunca portun açık kalması durumunda MAC adresleri hafızada tutulacağı belirlenebilir. Bu süreye "aging time" denir.
Aging time, ağdaki MAC adreslerinin güncel kalmasını sağlar. Eğer bir cihaz ağdan koparsa veya MAC adresi değişirse, aging time süresinin sonunda MAC adresi otomatik olarak port security tablosundan silinir.

Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security aging time 300






Yapılandırma doğrulama komutları:



show port-security: Anahtardaki tüm arayüzler için port-security yapılandırmasını ve durumunu görüntüler.

show port-security interface [interface-id]: Belirli bir arayüz için port-security yapılandırmasını ve durumunu görüntüler.

show port-security address [address]: Belirli bir MAC adresi için port-security yapılandırmasını ve durumunu görüntüler.

show port-security aging-time: Kullanılmayan bir MAC adresinin adres tablosundan kaldırılacağı süre aralığını görüntüler.

show port-security mac-address: Anahtar üzerindeki güvenli MAC adreslerinin listesini görüntüler.

show port-security violation: Güvenlik ihlali oluştuğunda alınacak işlemi görüntüler.

show port-security statistics: Anahtar üzerindeki tüm güvenli portlar için port-security istatistiklerini görüntüler.

Tags: