Port security

Материал из Xgu.ru

Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной. Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Автор: Наташа Самойленко

Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.

Используется для предотвращения:

• несанкционированной смены MAC-адреса сетевого устройства или подключения к сети,
• атак направленных на переполнение таблицы коммутации.

Содержание 1 Port security на коммутаторах ProCurve 1.1 Режимы запоминания адресов 1.2 Режимы реагирования на нарушения безопасности 1.3 Eavesdrop Prevention 1.4 Настройка port security 1.4.1 Отмена настройки port security 1.4.2 Включение порта после его блокировки 1.4.3 Настройка Eavesdrop Prevention 1.4.4 Настройка port security с аутентификацией 802.1X 2 Port security на коммутаторах Cisco 2.1 Безопасные MAC-адреса 2.2 Режимы реагирования на нарушения безопасности 2.3 Настройки по умолчанию 2.4 Настройка port security 2.4.1 Максимальное количество безопасных MAC-адресов 2.4.2 Настройка безопасных MAC-адресов 2.4.3 Настройка режима реагирования на нарушения безопасности 2.4.4 Очистка таблицы MAC-адресов 2.4.5 Настройка port security с аутентификацией 802.1X 2.5 Просмотр информации о настройках port security 2.6 Совместимость port security с другими функциями коммутатора 2.7 Примеры настройки port security

[править] Port security на коммутаторах ProCurve

[править] Режимы запоминания адресов

Port security может работать в нескольких режимах запоминания MAC-адресов и реагирования на нарушения:

• Continuous — устройство с любым MAC-адресом может без ограничений работать через порт коммутатора.
• Static — от 0 до 8 MAC-адресов могут быть статически заданы, остальные могут быть динамически выучены.
• Configured — от 1 до 8 MAC-адресов могут быть статически заданы, динамически адреса выучены быть не могут.
• Limited-continuous — от 1 до 32 MAC-адресов могут быть динамически выучены.
• Port-access — используется вместе с 802.1X для того, чтобы временно выучить MAC-адрес аутентифицированной сессии 802.1X.

[править] Режимы реагирования на нарушения безопасности

Нарушением безопасности для port security считаются ситуации:

• максимальное количество безопасных MAC-адресов было добавлено в таблицу адресов, и хост, чей MAC-адрес не записан в таблице адресов, пытается получить доступ через интерфейс.

На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:

• none — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. Оповещения о нарушении безопасности нет.
• send-alarm — когда количество безопасных MAC-адресов достигает максимального ограничения, настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или �