Port Security
Damian Stelmach
Wstępna konfiguracja przełącznika juz za nami. Teraz możemy już spokojnie zająć się kolejnymi funkcjonalnościami jakie oferuje sprzęt marki TP-LINK. O tym, że bezpieczeństwo sieci powinno być dla każdego administratora priorytetem w dzisiejszych czasach nie trzeba nikogo specjalnie przekonywać. Nowoczesne urządzenia sieciowe, w tym oczywiście przełączniki, oferują szereg funkcji, które ułatwią zapewnienie takiego bezpieczeństwa. Jedną z takich funkcji jest właśnie Port Security, który pozwala tak skonfigurować poszczególne porty przełącznika, aby te obsługiwały tylko jeden, określony adres fizyczny karty sieciowej czyli adres MAC. Dzięki temu, tylko zaufane w sieci komputery mogą być obsługiwane przez przełącznik. Podłączenie do portu innego urządzenia, innego komputera z kartą sieciową o innym adresie MAC niż ten przypisany do portu spowoduje, że port ten zostanie zablokowany i przełącznik nie będzie obsługiwał na nim ruchu sieciowego. Pozwoli to uniknąć sytuacji, w której obca osoba, haker podłącza się do naszej sieci swoim, niezaufanym komputerem i dokonuje spustoszenia. Aby taką funkcje na przełączniku TP-LINK zrealizować:
Korzystając z interfejsu WWW przechodzimy do pozycji Switching
w menu, następnie wybieramy Port
i przechodzimy do zakładki Port Security
:
Zaznaczamy porty dla których chcemy skonfigurować funkcjonalność i dalej w sekcji Max Learned MAC
wprowadzamy wartość 1
. Następnie Learn Mode
ustawaimy na Permanent
, a Status
na Drop
. Permanent
oznacza, że adres MAC komputera podłączonego do tego portu zostanie zapamiętany przez przełącznik nawet po jego restarcie, a Status: Drop
oznacza, że ramka z innym źródłowym adresem MAC niż zapamiętany zostanie odrzucona. Po dokonaniu odpowiednich zmian klikamy Apply
w celu ich zapisania:
Po krótkiej chwili aktywności komputerów w sieci, przełącznik zapisze w swojej pamięci adresy MAC komputerów podłączonych do skonfigurowanych przed chwilą portów. Widoczne to będzie w sekcji Learned Num
:
Korzystając z CLI (uruchamianego poprzez Telnet lub SSH) wydajemy następujące polecenia:
- T1600G-18TS> enable
- T1600G-18TS# configure
- T1600G-18TS(config)# interface range gigabitEthernet 1/0/1-2
- T1600G-18TS(config-if-range)# mac address-table max-mac-count max-number 1 mode permanent status drop
Pierwsze polecenie to przejście do trybu uprzywilejowanego, następne to przejście do trybu konfiguracji.
Polecenie interface range gigabitEthernet 1/0/1-2
uruchamia zbiorczą konfigurację portów 1 i 2. Ostatnie polecenie, czyli mac address-table max-mac-count max-number 1 mode permanent status drop
uruchamia obsługę tylko jednego adresu MAC dla portów 1 i 2:
Jeśli jedna ze stacji podłączonych do portów 1 i 2 prześle jakieś dane w sieci, to wówczas przełącznik zapamięta jej adres MAC, a w konsoli CLI pojawi się odpowiedni komunikat:
Status konfiguracji Port Security dla poszczególnych portów można sprawdzić wydając w trybie konfiguracji interfejsów polecenie: show mac address-table max-mac-count interface gigabitEthernet 1/0/1
– gdzie 1/0/1
to numer portu:
Polecamy: Mega Sekurak Hacking Party
Kolejna edycja największej imprezy hakerskiej w Polsce, czyli Mega Sekurak Hacking Party odbędzie się już 20 maja 2024r. Z tej okazji mamy dla Was kod: pasjamshp - wpiszcie go w koszyku, dzięki czemu otrzymacie 40% zniżki na bilet standard. Więcej szczegółów znajdziecie tutaj.
Książka: Wprowadzenie do bezpieczeństwa IT
Niedawno wystartował dodruk świetnej, rozchwytywanej książki pt. "Wprowadzenie do bezpieczeństwa IT, Tom I" (około 940 stron). Mamy dla Was kod: pasja (wpisz go w koszyku), dzięki któremu otrzymacie 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla naszych Widzów! Jest to pierwszy tom serii o ITsec, który wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!
Pomóż dzieciom
Polska Akcja Humanitarna od wielu lat dożywia dzieci. Prosimy, poświęć teraz dosłownie chwilę i pomóż klikając w oznaczony strzałką zielony brzuszek Pajacyka. Dziękujemy!
Komentarze
Czy macie jakieś pytania, sugestie, uwagi? A może zauważyliście literówkę albo błąd? Dajcie koniecznie znać: kontakt@pasja-informatyki.pl. Dziękujemy za poświęcony czas - to dzięki Wam serwis staje się coraz lepszy!