אתר מגמת תקשוב - Tikshuv-CCNA

אבטחת ממשקים – port-security

by ·

אבטחת ממשקים מתבצעת על הסוויץ', ותפקידה למנוע מגורם זר להתחבר לסוויץ' לממשקים. החסימה מתבצעת ע"י שיוך כתובת ה- MAC (הכתובת הפיזית של הרכיב) לממשק (לפורט) בסוויץ' אליו הוא מחובר.

שתי אפשרויות ליישום אבטחת הממשק

ניתן באופן ידני לשייך את כתובת ה- MAC).

ניתן לשייך באופן אוטומטי את כתובת ה- MAC לממשק ע"י זיהוי כתובת ה- MAC של הרכיב המחובר כעת לפורט שאותו אנו מאבטחים (מצב mac-address sticky).

כמו כן ישנן שלוש אפשרויות של חסימה (Port-Security Violation):

  • חסימת כיבוי – Shutdown. – הממשק כבה כאשר מזהה רכיב לא מזוהה.
  • חסימת Restrict – חסימה החוסמת קבלת מידע מרכיב שאינו משוייך לפורט וגם רושמת "עבירה" במד העבירות (Security Violation Counter).
  • חסימת Protect – חסימה החוסמת קבלת מידע מרכיב שאינו משוייך לפורט ולא רושמת דיווח.

מאפייני Port-Security

  • כדי להגדיר Port Security הממשקים צריכים להיות בדרך כלל ב- Access.
  • ברירות המחדל המוגדרות במצב Port Security:
    • האבטחה היא על מצב Shutdown.
    • ההדבקה של כתובות ה- MAC היא רק למקסימום של כתובת אחת בלבד.
    • זמן ההזדקנות (Aging Time) הוא על 0 כלומר ללא הגבלה.
  • אבטחת ממשקים המחוברים לסוויצ'ים, ראוטרים וכו' (כל רכיב שאינו מכשיר קצה) היא מעט מורכבת בגלל כמות הכתובות שיש לאפשר. לכן איננו עוסקים בכך אלא רק באבטחת ממשקים המחוברים למכשירי קצה.

פקודות

הכנסת הפורטים הרצויים למצב Access:

Switch>enable
Switch#configure terminal
Switch(config)#interface range fa0/1-24
Switch(config-if-range)#switchport mode access

הגדרת אבטחת ממשקים Port-Security והדבקת כתובות ה- MAC באופן אוטומטי:

Switch(config-if-range)#switchport port-security
Switch(config-if-range)#switchport port-security mac-address sticky

ביצוע פינגים בין כל המחשבים על מנת שהסוויץ' ידביק את הכתובות.

שמירת ההגדרות בסוויץ':

Switch#write

 

 

בד"כ גם רצוי לסגור פורטים שלא משתמשים בהם:

Switch>enable
Switch#configure terminal
Switch(config)#interface range fa0/11-15, fa0/17-19
Switch(config-if-range)#shutdown

 

ישנה אפשרות גם להגדיר את כמות כתובות ה- MAC המקסימליות שישויכו לכל פורט, וגם לשנות את ההפרה הרצויה.

הפקודות: maximum [1-132] ו- violation [protect | restrict | shutdown] בהתאמה, מבצעות זאת.

פקודות Show

פקודה המציגה את הממשקים, מצב הממשקים, מצב שיוך הממשק לכתובת ה- MAC וכמות העבירות:

Switch#show port-security

פלט לדוגמא:

Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action

 (Count) (Count) (Count)

--------------------------------------------------------------------
Fa0/1 1 1 0 Shutdown
Fa0/2 1 1 1 Shutdown
Fa0/3 1 0 0 Shutdown

----------------------------------------------------------------------

פקודה המציגה את הגדרות אבטחת ממשק ספציפי (כולל הפרות, כתובת משויכת ועוד):

Switch#show port-security interface fa0/1

פלט לדוגמא:

 

Port Security:                                    Enabled
Port Status:                                       Secure-up
Violation Mode:                                Shutdown
Aging Time:                                       0 mins
Aging Type:                                       Absolute
SecureStatic Address Aging:         Disabled
Maximum MAC Addresses:            1
Total MAC Addresses:                    1
Configured MAC Addresses:         0
Sticky MAC Addresses:                  1
Last Source Address:Vlan:            0004.9AEB.2512:1
Security Violation Count:                0

You may also like...

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.