Port security
Материал из Xgu.ru
- Автор: Наташа Самойленко
Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.
Используется для предотвращения:
- несанкционированной смены MAC-адреса сетевого устройства или подключения к сети,
- атак направленных на переполнение таблицы коммутации.
Содержание
|
[править] Port security на коммутаторах ProCurve
[править] Режимы запоминания адресов
Port security может работать в нескольких режимах запоминания MAC-адресов и реагирования на нарушения:
- Continuous — устройство с любым MAC-адресом может без ограничений работать через порт коммутатора.
- Static — от 0 до 8 MAC-адресов могут быть статически заданы, остальные могут быть динамически выучены.
- Configured — от 1 до 8 MAC-адресов могут быть статически заданы, динамически адреса выучены быть не могут.
- Limited-continuous — от 1 до 32 MAC-адресов могут быть динамически выучены.
- Port-access — используется вместе с 802.1X для того, чтобы временно выучить MAC-адрес аутентифицированной сессии 802.1X.
[править] Режимы реагирования на нарушения безопасности
Нарушением безопасности для port security считаются ситуации:
- максимальное количество безопасных MAC-адресов было добавлено в таблицу адресов, и хост, чей MAC-адрес не записан в таблице адресов, пытается получить доступ через интерфейс.
На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:
- none — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. Оповещения о нарушении безопасности нет.
- send-alarm — когда количество безопасных MAC-адресов достигает максимального ограничения, настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. В этом режиме при нарушении безопасности отправляются SNMP trap и сообщение syslog.
- send-disable — нарушение безопасности приводит к тому, что интерфейс переводится в заблокированное состояние и выключается немедленно. Отправляются SNMP trap и сообщение syslog. Когда порт в заблокированном состоянии — вывести его из этого состояния можно, введя команду port-security <port-id> clear-intrusion-flag, и затем вручную включить интерфейс, введя в режиме настройки интерфейса enable.
[править] Eavesdrop Prevention
Eavesdrop Prevention — функция, запрещающая передавать unicast-пакеты, которые передаются на неизвестные для коммутатора MAC-адреса, на порты, на которых она включена. Это не позволяет неавторизованным пользователям прослушивать трафик, который передается на MAC-адреса, удалённые из таблицы коммутации по таймауту (aged-out).
Eavesdrop Prevention не влияет на multicast и broadcast трафик. Коммутатор передает этот трафик через соответствующие порты независимо от того настроена ли на них port security.
Настройка port security на интерфейсе автоматически включает на этом интерфейсе Eavesdrop Prevention.
[править] Настройка port security
Настройка port security:
switch(config)# port-security <port-list> [learn-mode < continuous | static | port-access | configured | limited-continuous>] [action < none | send-alarm | send-disable >] [address-limit <1-8 | 1-32> [mac-address <mac-addr1 [mac-addr2]...>] [clear-intrusion-flag]
Параметры команды port-security:
- learn-mode — режим запоминания MAC-адресов. По умолчанию все порты в режиме continuous.
- action — действие, которое будет выполняться при нарушении:
- none — не выполнять никаких действий
- send-alarm — отправить сообщение о нарушении (SNMP, log)
- send-disable — отправить сообщение о нарушении и выключить порт
- address-limit — максимальное количество MAC-адресов, которое будет разрешено на порту:
- Применяется к режимам static, configured и limited-continuous
- Для static и configured значения от 1 до 8
- Для limited-continuous — от 1 до 32
- По умолчанию для всех режимов разрешен 1 MAC-адрес
- mac-address — статическое задание разрешенных MAC-адресов для режимов static и configured.
- clear-intrusion-flag — очистить intrusion flag для указанных портов. После этого можно включать порт, который выключился из-за нарушения port security.
[править] Отмена настройки port security
Отмена настройки port security:
switch(config)# no port-security <port>
[править] Включение порта после его блокировки
Включение порта после того, как он был выключен port security:
switch(config)# port-security 10 clear-intrusion-flag switch(config)# interface 10 enable
[править] Настройка Eavesdrop Prevention
switch(config)# port-security <port-list> eavesdrop-prevention
[править] Настройка port security с аутентификацией 802.1X
Необходимо настроить port security в режиме запоминания port-access:
switch(config)# port-security 10 learn-mode port-access
Установить при настройке аутентификации 802.1X режим контроля auto:
switch(config)# aaa port-access authenticator 10 control auto
Port security и режим контроля аутентификации 802.1X:
- Если аутентификация 802.1X настроена в режиме контроля auto (режим по умолчанию), то коммутатор запоминает MAC-адрес хоста с которого подключился аутентифицированный пользователь как безопасный,
- Если аутентификация 802.1X настроена в режиме контроля authorized, то коммутатор запоминает MAC-адрес первого появившегося хоста как безопасный.
[править] Port security на коммутаторах Cisco
[править] Безопасные MAC-адреса
Коммутатор поддерживает такие типы безопасных MAC-адресов:
- Статические MAC-адреса:
- задаются статически командой switchport port-security mac-address mac-address в режиме настройки интерфейса,
- хранятся в таблице адресов,
- добавляются в текущую конфигурацию коммутатора;
- Динамические MAC-адреса:
- динамически выучиваются,
- хранятся только в таблице адресов,
- удаляются при перезагрузке коммутатора;
- Sticky MAC-адреса:
- могут быть статически настроены или динамически выучены,
- хранятся в таблице адресов,
- добавляются в текущую конфигурацию коммутатора. Если эти адреса сохранены в конфигурационном файле, после перезагрузки коммутатора, их не надо заново перенастраивать.
[править] Режимы реагирования на нарушения безопасности
Нарушением безопасности для port security считаются ситуации:
- максимальное количество безопасных MAC-адресов было добавлено в таблицу адресов и хост, чей MAC-адрес не записан в таблице адресов пытается получить доступ через интерфейс,
- адрес, выученный или настроенный как безопасный на одном интерфейсе, появился на другом безопасном интерфейсе в том же VLAN'е.
На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:
- protect — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. Оповещения о нарушении безопасности нет.
- restrict — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. В этом режиме при нарушении безопасности отправляется оповещение — отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter).
- shutdown — нарушение безопасности приводит к тому, что интерфейс переводится в состояние error-disabled и выключается немедленно, и выключается LED порта. Отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter). Когда порт в состоянии error-disabled, вывести из этого состояния его можно введя команду errdisable recovery cause psecure-violation или вручную включить интерфейс введя в режиме настройки интерфейса shutdown и no shutdown. Это режим по умолчанию.
|
Режим protect не рекомендуется настраивать для транка. Этот режим выключает запоминание адресов, когда какой-либо VLAN достигает максимума адресов, даже если порт не достиг максимального ограничения. |
[править] Настройки по умолчанию
На коммутаторах Cisco такие настройки по умолчанию для функции port security:
- Port security — выключен.
- Запоминание sticky-адресов — выключено.
- Максимальное количество безопасных MAC-адресов на порту — 1.
- Режим реагирования на нарушения — shutdown.
- Время хранения адресов:
- отключено. Значение aging time — 0,
- для статических адресов — отключено,
- тип времени — абсолютное.
[править] Настройка port security
Port security настраивается в режиме настройки интерфейса. На многих коммутаторах Cisco по умолчанию порт находится в режиме dynamic auto, однако этот режим не совместим с функцией port security. Поэтому интерфейс надо перевести в режим trunk или access:
switch(config-if)# switchport mode <access | trunk>
Включение port security на интерфейсе (после этого включены настройки по умолчанию):
switch(config-if)# switchport port-security
Так как после команды switchport port-security, сразу включается Port security с настройками по умолчанию, то ее стоит давать вначале только если настройки по умолчанию подходят. Если требуется исправить какие-то параметры, то сначала нужно их исправить, а затем включить функцию. |
[править] Максимальное количество безопасных MAC-адресов
Максимальное количество безопасных MAC-адресов на интерфейсе или в VLAN:
switch(config-if)# switchport port-security maximum <value> [vlan <vlan-list>]
Например, на интерфейсе разрешить 2 MAC-адреса, а остальные настройки по умолчанию:
switch(config)# interface Fastethernet0/3 switch(config-if)# switchport mode access switch(config-if)# switchport port-security maximum 2 switch(config-if)# switchport port-security
Заданием опционального параметра vlan, при указании максимального количества безопасных MAC-адресов, можно ограничить количество MAC-адресов для VLAN или перечня VLAN (добавлено с версии IOS 12.2.37SE).
Например, настроить транк и разрешить 20 MAC-адресов в VLAN 7:
switch(config)# interface Fastethernet0/3 switch(config-if)# switchport mode trunk switch(config-if)# switchport port-security maximum 20 vlan 7 switch(config-if)# switchport port-security
Если на интерфейсе fa0/3 возникнет нарушение безопасности в VLAN 7, например, появится 21 адрес, то заблокирован будет только трафик этого VLAN.
Просмотр информации о настройках port-security для VLAN 7:
switch# show port-security vlan 7
Если вы запишите на порт меньше безопасных адресов, чем указано в значении switchport port-security maximum, то оставшееся количество свободных адресов дополнится динамическими адресами по принципу "кто первый встал того и тапки".
Если компьютер подключен к сети через PC-порт ip телефона Cisco, и у вас отдельный vlan для телефонии, то телефон продублирует свой mac-адрес в двух vlan'ах. Настройка port-security в таком случае будет выглядеть следующим образом:
switch(config-if)# switchport port-security maximum 3 switch(config-if)# switchport port-security mac-address mac_телефона switch(config-if)# switchport port-security mac-address mac_телефона vlan voice switch(config-if)# switchport port-security mac-address mac_компьютера vlan access switch(config-if)# switchport port-security
[править] Настройка безопасных MAC-адресов
Включение sticky запоминания адресов:
switch(config-if)# switchport port-security mac-address sticky
switch(config-if)# switchport port-security mac-address sticky [mac-address | vlan <vlan-id | <access | voice>>]
[править] Настройка режима реагирования на нарушения безопасности
Режим реагирования на нарушения безопасности (по умолчанию shutdown):
switch(config-if)# switchport port-security violation <protect | restrict | shutdown>
Если порт был настроен (или оставлен по умолчанию) режиме реагирования shutdown, то при нарушении порт перейдет в состояние error-disabled.
Посмотреть, что порт перешел в состояние error-disabled:
switch# show interfaces <interface-number> status
[править] Очистка таблицы MAC-адресов
Очистить таблицу MAC-адресов, для подключения других устройств:
switch# clear port-security [all|configured|dynamic|sticky] [address <mac>|interface <int-id>]
[править] Настройка port security с аутентификацией 802.1X
[править] Просмотр информации о настройках port security
switch# show port-security
switch# show port-security vlan <vlan>
switch# show port-security interface fa0/3
switch# show port-security address
[править] Совместимость port security с другими функциями коммутатора
Port security несовместима с такими функциями коммутатора:
- порт на котором включен DTP (switchport mode dynamic),
- интерфейс переведенный в режим третьего уровня (no switchport),
- SPAN destination port,
Port security совместима с такими функциями коммутатора:
- Trunk port,
- SPAN source port,
- Tunneling port,
- Protected port,
- Voice VLAN port,
- IP Source Guard,
- Dynamic ARP Inspection.
[править] Примеры настройки port security
ProCurve | ||
---|---|---|
Основы | ProCurve Adaptive Edge | ProCurve ProActive Defense | ProCurve Network Access Control | ProCurve Wireless | |
Программы | ProCurve Manager | ProCurve Identity Driven Manager | ProCurve Network Immunity Manager | ProCurve Mobility Manager | |
Устройства | ProCurve Switch | ProCurve Router | ProCurve ONE Module | ProCurve TMS Module | ProCurve NAC 800 | ProCurve Access Point | ProCurve WESM | |
Настройка | ||
Безопасность | ProCurve Security | Доступ к коммутатору ProCurve | DHCP snooping | Dynamic ARP Protection | IP Source Guard | Port security | Аутентификация при доступе к сети | 802.1X в ProCurve | Web-аутентификация в ProCurve | MAC-аутентификация в ProCurve | |
Канальный уровень | CDP | LLDP | VLAN в ProCurve | GVRP | STP в ProCurve | ProCurve Mesh | Агрегирование каналов | Зеркалирование трафика | QinQ | |
Сетевой уровень | RIP в ProCurve | OSPF в ProCurve | VRRP в ProCurve | XRRP в ProCurve | QoS в ProCurve | Multicast в ProCurve | PIM в ProCurve | |
Разное | Опция 82 DHCP | SNMP в ProCurve |