Port-Security w CISCO, czyli ograniczamy dostęp do portów przełącznika Catalyst

Zabezpieczanie sieci to zawsze jest problem. Dzisiaj powiem jak poradzić sobie z ograniczeniem ilości dołączonych urządzeń do portu przełącznika CISCO (np. przed podłączeniem innego przełącznika) oraz zdefiniowaniem zachowania portu w przypadku wystąpienia naruszenia zdefiniowanych zasad. Żeby nie było nieporozumień, pamiętajmy że zajmujemy się przełącznikiem, a więc i ograniczenia będą wprowadzane w warstwie w której działa przełącznik (przypomnijmy – II warstwa modeli OSI, czyli warstwa łącza danych). Możemy się więc spodziewać, że wszelkie restrykcje będą oparte o adres MAC urządzeń. Nie oszukujmy się, jako same, jest to żadne zabezpieczenie. Dopiero w połączeniu z innymi restrykcjami działającymi w różnych warstwach OSI, będzie miało większy sens. Ale zabierajmy się do pracy.

  1. Przechodzimy do trybu konfiguracji portu w przełączniku (jeżeli nie pamiętamo o co chodzi, spójrzmy na ten artykuł). Znak zachęty powinien wyglądać następująco: „nazwa_przelacznika(config-if)#„,
  2. Wyłączamy port poleceniem „shutdown” (przypominam, że dobrą szkołą jest wyłączanie portu na czas jego konfigurowania)
  3. Ustawiamy tryb pracy portu na access (wymagany) „switchport mode access„,
  4. Aktywujemy politykę bezpieczeństwa na porcie: „switchport port-security„,
  5. Uszególniamy zasady bezpieczeństwa (wpisujemy wybrane z poniższych komend – w zależności od naszych potrzeb):
    • switchport port-security violation restrict” – naruszenie zasad bezpieczeństwa na porcie spowoduje zablokowanie ruchu i wygenerowanie pułapki dla protokołu SNMP,
    • switchport port-security violation shutdown” – w tym wypadku naruszenie zasad spowoduje wyłączenie portu (różnica do poprzedniego wpisu to wymagana ingerencja administratora przełącznika w celu przywrócenia łączności na porcie – nawet jeżeli ustanie naruszenie zasad bezpieczeństwa),
    • switchport port-security maximum wartość od 1 do 1024” – maksymalna ilość urządzeń końcowych (rozumianych jako adresy MAC) które mogą uzyskać dostęp do portu przełącznika (wartość domyślna to 1),
    • switchport port-security mac-address adres_MAC_urzadzenia” – definujemy adres MAC na stałe (maksymalnie tyle ile określiliśmy poprzednio, jeżeli nie określimy lub określimy mniej niż maksymalna liczba to przełącznik będzie „uczył się” na bierząco),
    • switchport port-security mac-address sticky” – pierwsze adresy MAC, które pojawią się na porcie zostaną wpisane na stałe (tak jakby został ręcznie zdefiniowany jak w poprzednim punkcie),
  6. Reguły bezpieczeństwa zostały określone, teraz możemy włączyć port: „no shutdown” lub w skrócie „no sh„,
  7. Wracamy do trybu uprzywilejowanego (znak zachęty: „nazwa_przelacznika#„) i sprawdzamy poprawność wpisów: „show port-security” – ogólnie, lub szczegółowo (np. dla portu GigabitEthernet 2/1) „show port-security gi2/1„,

              Secure Mac Address Table

    -------------------------------------------------------------------
    Vlan    Mac Address       Type                Ports   Remaining Age
                                                             (mins)
    ----    -----------       ----                -----   -------------
       1    1000.2000.3000    SecureConfigured    Gi2/1       15 (I)

     

Naruszenie zasad bezpieczeństwa możemy sprawdzić poprzednią komendą „show port-security„. W takim przypadku otrzymamy podsumowanie, w którym wyszczególnione są porty z nałożonymi politykami bezpieczeństwa, reakcją na naruszenie, Max. liczbą adresów MAC, ilośc aktualnie zapamiętanych adresów MAC oraz ilość zanotowanych naruszeń:

Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action
                (Count)       (Count)          (Count)
---------------------------------------------------------------------------
      Gi2/1              1            1                  0         Restrict
      Gi2/2              2            2                  0         Restrict
Gi2/3              2            2                  0         Shutdown

Jeżeli jest nałożona polityka wyłączania portu ("Shutdown"), w przypadku jej naruszenia port
zostanie wyłączony ("zgaśnie link"). Jeżeli sprawdzimy jego stan ("show interface Gi2/1"), w stanie
portu będzie informacja, że port jest "err-disable". W celu przywrócenia transmisji na porcie
musimy wejść w konfigurację danego portu i ręcznie wyłączyć ("shutdown") oraz ponownie włączyć port
("no shutdown").
I to tyle, warstwę drugą na przełączniku mamy jako tako zabezpieczoną.

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany.