Port security

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Автор: Наташа Самойленко

Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.

Используется для предотвращения:

Содержание

[править] Port security на коммутаторах ProCurve

[править] Режимы запоминания адресов

Port security может работать в нескольких режимах запоминания MAC-адресов и реагирования на нарушения:

  • Continuous — устройство с любым MAC-адресом может без ограничений работать через порт коммутатора.
  • Static — от 0 до 8 MAC-адресов могут быть статически заданы, остальные могут быть динамически выучены.
  • Configured — от 1 до 8 MAC-адресов могут быть статически заданы, динамически адреса выучены быть не могут.
  • Limited-continuous — от 1 до 32 MAC-адресов могут быть динамически выучены.
  • Port-access — используется вместе с 802.1X для того, чтобы временно выучить MAC-адрес аутентифицированной сессии 802.1X.

[править] Режимы реагирования на нарушения безопасности

Нарушением безопасности для port security считаются ситуации:

  • максимальное количество безопасных MAC-адресов было добавлено в таблицу адресов, и хост, чей MAC-адрес не записан в таблице адресов, пытается получить доступ через интерфейс.

На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:

  • none — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. Оповещения о нарушении безопасности нет.
  • send-alarm — когда количество безопасных MAC-адресов достигает максимального ограничения, настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. В этом режиме при нарушении безопасности отправляются SNMP trap и сообщение syslog.
  • send-disable — нарушение безопасности приводит к тому, что интерфейс переводится в заблокированное состояние и выключается немедленно. Отправляются SNMP trap и сообщение syslog. Когда порт в заблокированном состоянии — вывести его из этого состояния можно, введя команду port-security <port-id> clear-intrusion-flag, и затем вручную включить интерфейс, введя в режиме настройки интерфейса enable.

[править] Eavesdrop Prevention

Eavesdrop Prevention — функция, запрещающая передавать unicast-пакеты, которые передаются на неизвестные для коммутатора MAC-адреса, на порты, на которых она включена. Это не позволяет неавторизованным пользователям прослушивать трафик, который передается на MAC-адреса, удалённые из таблицы коммутации по таймауту (aged-out).

Eavesdrop Prevention не влияет на multicast и broadcast трафик. Коммутатор передает этот трафик через соответствующие порты независимо от того настроена ли на них port security.

Настройка port security на интерфейсе автоматически включает на этом интерфейсе Eavesdrop Prevention.

[править] Настройка port security

Настройка port security:

switch(config)# port-security <port-list> 
                [learn-mode < continuous | static | port-access | configured | limited-continuous>]
                [action < none | send-alarm | send-disable >]
                [address-limit <1-8 | 1-32>
                [mac-address <mac-addr1 [mac-addr2]...>]
                [clear-intrusion-flag] 

Параметры команды port-security:

  • learn-mode — режим запоминания MAC-адресов. По умолчанию все порты в режиме continuous.
  • action — действие, которое будет выполняться при нарушении:
    • none — не выполнять никаких действий
    • send-alarm — отправить сообщение о нарушении (SNMP, log)
    • send-disable — отправить сообщение о нарушении и выключить порт
  • address-limit — максимальное количество MAC-адресов, которое будет разрешено на порту:
    • Применяется к режимам static, configured и limited-continuous
    • Для static и configured значения от 1 до 8
    • Для limited-continuous — от 1 до 32
    • По умолчанию для всех режимов разрешен 1 MAC-адрес
  • mac-address — статическое задание разрешенных MAC-адресов для режимов static и configured.
  • clear-intrusion-flag — очистить intrusion flag для указанных портов. После этого можно включать порт, который выключился из-за нарушения port security.

[править] Отмена настройки port security

Отмена настройки port security:

switch(config)# no port-security <port>          

[править] Включение порта после его блокировки

Включение порта после того, как он был выключен port security:

switch(config)# port-security 10 clear-intrusion-flag
switch(config)# interface 10 enable

[править] Настройка Eavesdrop Prevention

switch(config)# port-security <port-list> eavesdrop-prevention

[править] Настройка port security с аутентификацией 802.1X

Необходимо настроить port security в режиме запоминания port-access:

switch(config)# port-security 10 learn-mode port-access

Установить при настройке аутентификации 802.1X режим контроля auto:

switch(config)# aaa port-access authenticator 10 control auto

Port security и режим контроля аутентификации 802.1X:

  • Если аутентификация 802.1X настроена в режиме контроля auto (режим по умолчанию), то коммутатор запоминает MAC-адрес хоста с которого подключился аутентифицированный пользователь как безопасный,
  • Если аутентификация 802.1X настроена в режиме контроля authorized, то коммутатор запоминает MAC-адрес первого появившегося хоста как безопасный.

[править] Port security на коммутаторах Cisco

[править] Безопасные MAC-адреса

Коммутатор поддерживает такие типы безопасных MAC-адресов:

  • Статические MAC-адреса:
    • задаются статически командой switchport port-security mac-address mac-address в режиме настройки интерфейса,
    • хранятся в таблице адресов,
    • добавляются в текущую конфигурацию коммутатора;
  • Динамические MAC-адреса:
    • динамически выучиваются,
    • хранятся только в таблице адресов,
    • удаляются при перезагрузке коммутатора;
  • Sticky MAC-адреса:
    • могут быть статически настроены или динамически выучены,
    • хранятся в таблице адресов,
    • добавляются в текущую конфигурацию коммутатора. Если эти адреса сохранены в конфигурационном файле, после перезагрузки коммутатора, их не надо заново перенастраивать.

[править] Режимы реагирования на нарушения безопасности

Нарушением безопасности для port security считаются ситуации:

  • максимальное количество безопасных MAC-адресов было добавлено в таблицу адресов и хост, чей MAC-адрес не записан в таблице адресов пытается получить доступ через интерфейс,
  • адрес, выученный или настроенный как безопасный на одном интерфейсе, появился на другом безопасном интерфейсе в том же VLAN'е.

На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:

  • protect — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. Оповещения о нарушении безопасности нет.
  • restrict — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. В этом режиме при нарушении безопасности отправляется оповещение — отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter).
  • shutdown — нарушение безопасности приводит к тому, что интерфейс переводится в состояние error-disabled и выключается немедленно, и выключается LED порта. Отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter). Когда порт в состоянии error-disabled, вывести из этого состояния его можно введя команду errdisable recovery cause psecure-violation или вручную включить интерфейс введя в режиме настройки интерфейса shutdown и no shutdown. Это режим по умолчанию.

Note-icon.gif

Режим protect не рекомендуется настраивать для транка. Этот режим выключает запоминание адресов, когда какой-либо VLAN достигает максимума адресов, даже если порт не достиг максимального ограничения.

[править] Настройки по умолчанию

На коммутаторах Cisco такие настройки по умолчанию для функции port security:

  • Port security — выключен.
  • Запоминание sticky-адресов — выключено.
  • Максимальное количество безопасных MAC-адресов на порту — 1.
  • Режим реагирования на нарушения — shutdown.
  • Время хранения адресов:
    • отключено. Значение aging time — 0,
    • для статических адресов — отключено,
    • тип времени — абсолютное.

[править] Настройка port security

Port security настраивается в режиме настройки интерфейса. На многих коммутаторах Cisco по умолчанию порт находится в режиме dynamic auto, однако этот режим не совместим с функцией port security. Поэтому интерфейс надо перевести в режим trunk или access:

switch(config-if)# switchport mode <access | trunk>

Включение port security на интерфейсе (после этого включены настройки по умолчанию):

switch(config-if)# switchport port-security 

Icon-caution.gif

Так как после команды switchport port-security, сразу включается Port security с настройками по умолчанию, то ее стоит давать вначале только если настройки по умолчанию подходят.

Если требуется исправить какие-то параметры, то сначала нужно их исправить, а затем включить функцию.

[править] Максимальное количество безопасных MAC-адресов

Максимальное количество безопасных MAC-адресов на интерфейсе или в VLAN:

switch(config-if)# switchport port-security maximum <value> [vlan <vlan-list>] 

Например, на интерфейсе разрешить 2 MAC-адреса, а остальные настройки по умолчанию:

switch(config)# interface Fastethernet0/3
switch(config-if)# switchport mode access
switch(config-if)# switchport port-security maximum 2
switch(config-if)# switchport port-security 

Заданием опционального параметра vlan, при указании максимального количества безопасных MAC-адресов, можно ограничить количество MAC-адресов для VLAN или перечня VLAN (добавлено с версии IOS 12.2.37SE).

Например, настроить транк и разрешить 20 MAC-адресов в VLAN 7:

switch(config)# interface Fastethernet0/3
switch(config-if)# switchport mode trunk
switch(config-if)# switchport port-security maximum 20 vlan 7
switch(config-if)# switchport port-security 

Если на интерфейсе fa0/3 возникнет нарушение безопасности в VLAN 7, например, появится 21 адрес, то заблокирован будет только трафик этого VLAN.

Просмотр информации о настройках port-security для VLAN 7:

switch# show port-security vlan 7

Если вы запишите на порт меньше безопасных адресов, чем указано в значении switchport port-security maximum, то оставшееся количество свободных адресов дополнится динамическими адресами по принципу "кто первый встал того и тапки".

Если компьютер подключен к сети через PC-порт ip телефона Cisco, и у вас отдельный vlan для телефонии, то телефон продублирует свой mac-адрес в двух vlan'ах. Настройка port-security в таком случае будет выглядеть следующим образом:

switch(config-if)# switchport port-security maximum 3
switch(config-if)# switchport port-security mac-address mac_телефона
switch(config-if)# switchport port-security mac-address mac_телефона vlan voice
switch(config-if)# switchport port-security mac-address mac_компьютера vlan access
switch(config-if)# switchport port-security

[править] Настройка безопасных MAC-адресов

Включение sticky запоминания адресов:

switch(config-if)# switchport port-security mac-address sticky 
switch(config-if)# switchport port-security mac-address sticky [mac-address | vlan <vlan-id | <access | voice>>]

[править] Настройка режима реагирования на нарушения безопасности

Режим реагирования на нарушения безопасности (по умолчанию shutdown):

switch(config-if)# switchport port-security violation <protect | restrict | shutdown> 

Если порт был настроен (или оставлен по умолчанию) режиме реагирования shutdown, то при нарушении порт перейдет в состояние error-disabled.

Посмотреть, что порт перешел в состояние error-disabled:

switch# show interfaces <interface-number> status

[править] Очистка таблицы MAC-адресов

Очистить таблицу MAC-адресов, для подключения других устройств:

switch# clear port-security [all|configured|dynamic|sticky] [address <mac>|interface <int-id>]

[править] Настройка port security с аутентификацией 802.1X

[править] Просмотр информации о настройках port security

switch# show port-security
switch# show port-security vlan <vlan>
switch# show port-security interface fa0/3


switch# show port-security address

[править] Совместимость port security с другими функциями коммутатора

Port security несовместима с такими функциями коммутатора:

  • порт на котором включен DTP (switchport mode dynamic),
  • интерфейс переведенный в режим третьего уровня (no switchport),
  • SPAN destination port,

Port security совместима с такими функциями коммутатора:

[править] Примеры настройки port security

Источник — «http://xgu.ru/wiki/Port_security»