Port security

Материал из Xgu.ru

Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной. Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Автор: Наташа Самойленко

Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.

Используется для предотвращения:

• несанкционированной смены MAC-адреса сетевого устройства или подключения к сети,
• атак направленных на переполнение таблицы коммутации.

Содержание 1 Port security на коммутаторах ProCurve 1.1 Режимы запоминания адресов 1.2 Режимы реагирования на нарушения безопасности 1.3 Eavesdrop Prevention 1.4 Настройка port security 1.4.1 Отмена настройки port security 1.4.2 Включение порта после его блокировки 1.4.3 Настройка Eavesdrop Prevention 1.4.4 Настройка port security с аутентификацией 802.1X 2 Port security на коммутаторах Cisco 2.1 Безопасные MAC-адреса 2.2 Режимы реагирования на нарушения безопасности 2.3 Настройки по умолчанию 2.4 Настройка port security 2.4.1 Максимальное количество безопасных MAC-адресов 2.4.2 Настройка безопасных MAC-адресов 2.4.3 Настройка режима реагирования на нарушения безопасности 2.4.4 Очистка таблицы MAC-адресов 2.4.5 Настройка port security с аутентификацией 802.1X 2.5 Просмотр информации о настройках port security 2.6 Совместимость port security с другими функциями коммутатора 2.7 Примеры настройки port security

[править] Port security на коммутаторах ProCurve

[править] Режимы запоминания адресов

Port security может работать в нескольких режимах запоминания MAC-адресов и реагирования на нарушения:

• Continuous — устройство с любым MAC-адресом может без ограничений работать через порт коммутатора.
• Static — от 0 до 8 MAC-адресов могут быть статически заданы, остальные могут быть динамически выучены.
• Configured — от 1 до 8 MAC-адресов могут быть статически заданы, динамически адреса выучены быть не могут.
• Limited-continuous — от 1 до 32 MAC-адресов могут быть динамически выучены.
• Port-access — используется вместе с 802.1X для того, чтобы временно выучить MAC-адрес аутентифицированной сессии 802.1X.

[править] Режимы реагирования на нарушения безопасности

Нарушением безопасности для port security считаются ситуации:

• максимальное количество безопасных MAC-адресов было добавлено в таблицу адресов, и хост, чей MAC-адрес не записан в таблице адресов, пытается получить доступ через интерфейс.

На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:

• none — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. Оповещения о нарушении безопасности нет.
• send-alarm — когда количество безопасных MAC-адресов достигает максимального ограничения, настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. В этом режиме при нарушении безопасности отправляются SNMP trap и сообщение syslog.
• send-disable — нарушение безопасности приводит к тому, что интерфейс переводится в заблокированное состояние и выключается немедленно. Отправляются SNMP trap и сообщение syslog. Когда порт в заблокированном состоянии — вывести его из этого состояния можно, введя команду port-security <port-id> clear-intrusion-flag, и затем вручную включить интерфейс, введя в режиме настройки интерфейса enable.

[править] Eavesdrop Prevention

Eavesdrop Prevention — функция, запрещающая передавать unicast-пакеты, которые передаются на неизвестные для коммутатора MAC-адреса, на порты, на которых она включена. Это не позволяет неавторизованным пользователям прослушивать трафик, который передается на MAC-адреса, удалённые из таблицы коммутации по таймауту (aged-out).

Eavesdrop Prevention не влияет на multicast и broadcast трафик. Коммутатор передает этот трафик через соответствующие порты независимо от того настроена ли на них port security.

Настройка port security на интерфейсе автоматически включает на этом интерфейсе Eavesdrop Prevention.

[править] Настройка port security

Настройка port security:

switch(config)# port-security <port-list> 
                [learn-mode < continuous | static | port-access | configured | limited-continuous>]
                [action < none | send-alarm | send-disable >]
                [address-limit <1-8 | 1-32>
                [mac-address <mac-addr1 [mac-addr2]...>]
                [clear-intrusion-flag] 

Параметры команды port-security:

• learn-mode — режим запоминания MAC-адресов. По умолчанию все порты в режиме continuous.
• action — действие, которое будет выполняться при нарушении:
  • none — не выполнять никаких действий
  • send-alarm — отправить сообщение о нарушении (SNMP, log)
  • send-disable — отправить сообщение о нарушении и выключить порт
• address-limit — максимальное количество MAC-адресов, которое будет разрешено на порту:
  • Применяется к режимам static, configured и limited-continuous
  • Для static и configured значения от 1 до 8
  • Для limited-continuous — от 1 до 32
  • По умолчанию для всех режи