Konfiguracja Port Security

Damian Stelmach

Port Security to rodzaj zabezpieczenia, które pozwala przekazywać ramki, tylko zaufanych urządzeń, a nie każdego, które do przełącznika podłączymy. Dzięki odpowiedniej konfiguracji tej funkcjonalności, zabezpieczymy sieć w taki sposób, że tylko jeden komputer będzie mógł korzystać z danego portu.

Kiedy jakiś intruz będzie chciał dostać się do naszej sieci, np. poprzez próbę podłączenia swojego komputera, przełącznik zareaguje i zablokuje ruch na tym porcie. Zablokuje ponieważ adres MAC urządzenia intruza, nie będzie zaufany dla naszego przełącznika. W trybie konfiguracji globalnej wykonujemy następujące polecenia:

  • Switch(config)#interface fastEthernet 0/1 /przejście do trybu konfiguracji szczegółowej 1 interfejsu przełącznika
  • Switch(config-if)#switchport mode access /zmiana trybu pracy portu przełącznika z dynamicznej na dostępową – wymagane do uruchomiania port security
  • Switch(config-if)#switchport port-security /uruchomienie funkcjonalności Port Security na 1 porcie
  • Switch(config-if)#switchport port-security mac-address sticky /przypisanie do port security adresu mac podłączonego komputera
  • Switch(config-if)#switchport port-security maximum 1 /przypisanie do port security tylko jednego, zaufanego adresu MAC

Należy pamiętać, że w przypadku symulatora CISCO Packet Tracer, wymagane jest wymuszenie ruchu pomiędzy urządzeniami, aby przełącznik zapisał adresy MAC poszczególnych komputerów jako zaufane. Można to zrobić wybierając z dodatkowych narzędzi symbol koperty i umieścić na ikonach komputerów (oczywiście muszą mieć przypisane adresy IP). Zasymuluje to działanie polecenia PING i pozwoli zapamiętać adresy MAC komputerów jako zaufane.

W realnej sieci nie ma takiej konieczności, gdyż ruch wówczas na pewno sam zostanie wygenerowany. Pamiętajcie również o tym, że podobne zabezpieczenie należy skonfigurować na wszystkich portach przełącznika, a jeśli któreś z nich są nieużywane to należy je wyłączyć. Służy do tego polecenie SHUTDOWN, wykonane na poziomie konfiguracji danego interfejsu.

Jeśli podczas testowania funkcjonalności Port Security zablokujecie port (podłączenie komputera z innym adresem MAC niż zaufany i wykonanie komunikacji zablokuje port), to należy w konfiguracji tego portu wykonać polecenia SHUTDOWN – to wyłączy port całkowicie, następnie wykonujemy polecenie NO SHUTDOWN, to ponownie uruchomi port i po podłączeniu właściwego komputer będzie już możliwa komunikacja.