Konfiguracja Port Security
Damian Stelmach
Port Security to rodzaj zabezpieczenia, które pozwala przekazywać ramki, tylko zaufanych urządzeń, a nie każdego, które do przełącznika podłączymy. Dzięki odpowiedniej konfiguracji tej funkcjonalności, zabezpieczymy sieć w taki sposób, że tylko jeden komputer będzie mógł korzystać z danego portu.
Kiedy jakiś intruz będzie chciał dostać się do naszej sieci, np. poprzez próbę podłączenia swojego komputera, przełącznik zareaguje i zablokuje ruch na tym porcie. Zablokuje ponieważ adres MAC urządzenia intruza, nie będzie zaufany dla naszego przełącznika. Aby skonfigurować funkcjonalność Port Security na przełączniku CISCO (tutaj dla portu pierwszego) w trybie konfiguracji globalnej wykonujemy następujące polecenia:
- Switch(config)#interface fastEthernet 0/1 /przejście do trybu konfiguracji szczegółowej 1 interfejsu przełącznika
- Switch(config-if)#switchport mode access /zmiana trybu pracy portu przełącznika z dynamicznej na dostępową – wymagane do uruchomiania port security
- Switch(config-if)#switchport port-security /uruchomienie funkcjonalności Port Security na 1 porcie
- Switch(config-if)#switchport port-security mac-address sticky /przypisanie do port security adresu mac podłączonego komputera
- Switch(config-if)#switchport port-security maximum 1 /przypisanie do port security tylko jednego, zaufanego adresu MAC
Należy pamiętać, że w przypadku symulatora CISCO Packet Tracer, wymagane jest wymuszenie ruchu pomiędzy urządzeniami, aby przełącznik zapisał adresy MAC poszczególnych komputerów jako zaufane. Można to zrobić wybierając z dodatkowych narzędzi symbol koperty i umieścić na ikonach komputerów (oczywiście muszą mieć przypisane adresy IP). Zasymuluje to działanie polecenia PING i pozwoli zapamiętać adresy MAC komputerów jako zaufane.
W realnej sieci nie ma takiej konieczności, gdyż ruch wówczas na pewno sam zostanie wygenerowany. Pamiętajcie również o tym, że podobne zabezpieczenie należy skonfigurować na wszystkich portach przełącznika, a jeśli któreś z nich są nieużywane to należy je wyłączyć. Służy do tego polecenie SHUTDOWN, wykonane na poziomie konfiguracji danego interfejsu.
Jeśli podczas testowania funkcjonalności Port Security zablokujecie port (podłączenie komputera z innym adresem MAC niż zaufany i wykonanie komunikacji zablokuje port), to należy w konfiguracji tego portu wykonać polecenia SHUTDOWN – to wyłączy port całkowicie, następnie wykonujemy polecenie NO SHUTDOWN, to ponownie uruchomi port i po podłączeniu właściwego komputer będzie już możliwa komunikacja.
Polecamy: Mega Sekurak Hacking Party
Kolejna edycja największej imprezy hakerskiej w Polsce, czyli Mega Sekurak Hacking Party odbędzie się już 20 maja 2024r. Z tej okazji mamy dla Was kod: pasjamshp - wpiszcie go w koszyku, dzięki czemu otrzymacie 40% zniżki na bilet standard. Więcej szczegółów znajdziecie tutaj.
Książka: Wprowadzenie do bezpieczeństwa IT
Niedawno wystartował dodruk świetnej, rozchwytywanej książki pt. "Wprowadzenie do bezpieczeństwa IT, Tom I" (około 940 stron). Mamy dla Was kod: pasja (wpisz go w koszyku), dzięki któremu otrzymacie 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla naszych Widzów! Jest to pierwszy tom serii o ITsec, który wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!
Pomóż dzieciom
Polska Akcja Humanitarna od wielu lat dożywia dzieci. Prosimy, poświęć teraz dosłownie chwilę i pomóż klikając w oznaczony strzałką zielony brzuszek Pajacyka. Dziękujemy!
Komentarze
Czy macie jakieś pytania, sugestie, uwagi? A może zauważyliście literówkę albo błąd? Dajcie koniecznie znać: kontakt@pasja-informatyki.pl. Dziękujemy za poświęcony czas - to dzięki Wam serwis staje się coraz lepszy!