Port security

Материал из Xgu.ru

Перейти к: навигация, поиск

Эта статья находится в процессе написания.
Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Автор: Наташа Самойленко

Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.

Используется для предотвращения:

Содержание

[править] Port security на коммутаторах ProCurve

[править] Режимы запоминания адресов

Port security может работать в нескольких режимах запоминания MAC-адресов и реагирования на нарушения:

  • Continuous — устройство с любым MAC-адресом может без ограничений работать через порт коммутатора.
  • Static — от 0 до 8 MAC-адресов могут быть статически заданы, остальные могут быть динамически выучены.
  • Configured — от 1 до 8 MAC-адресов могут быть статически заданы, динамически адреса выучены быть не могут.
  • Limited-continuous — от 1 до 32 MAC-адресов могут быть динамически выучены.
  • Port-access — используется вместе с 802.1X для того чтобы временно выучить MAC-адрес аутентифицированной сессии 802.1X.

[править] Режимы реагирования на нарушения безопасности

Нарушением безопасности для port security считаются ситуации:

  • максимальное количество безопасных MAC-адресов было добавлено в таблицу адресов и хост, чей MAC-адрес не записан в таблице адресов пытается получить доступ через интерфейс.

На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:

  • none — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. Оповещения о нарушении безопасности нет.
  • send-alarm — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. В этом режиме при нарушении безопасности отправляется SNMP trap и сообщение syslog.
  • send-disable — нарушение безопасности приводит к тому, что интерфейс переводится в заблокированное состояние и выключается немедленно. Отправляется SNMP trap и сообщение syslog. Когда порт в заблокированном состоянии, вывести из этого состояния его можно введя команду port-security <port-id> clear-intrusion-flag и затем вручную включить интерфейс введя в режиме настройки интерфейса enable.

[править] Настройка port security

Настройка port security: 

switch(config)# port-security <port-list> 
                [learn-mode < continuous | static | port-access | configured | limited-continuous>]
                [action < none | send-alarm | send-disable >]
                [address-limit <1-8 | 1-32>
                [mac-address <mac-addr1 [mac-addr2]...>]
                [clear-intrusion-flag]

Параметры команды port-security:

  • learn-mode — режим запоминания MAC-адресов. По умолчанию все порты в режиме continuous.
  • action — действие, которое будет выполняться при нарушении:
    • none — не выполнять никаких действий
    • send-alarm — отправить сообщение о нарушении (SNMP, log)
    • send-disable — отправить сообщение о нарушении и выключить порт
  • address-limit — максимальное количество MAC-адресов, которое будет разрешено на порту:
    • Применяется к режимам static, configured и limited-continuous
    • Для static и configured значения от 1 до 8
    • Для limited-continuous — от 1 до 32
    • По умолчанию для всех режимов разрешен 1 MAC-адрес
  • mac-address — статическое задание разрешенных MAC-адресов для режимов static и configured.
  • clear-intrusion-flag — очистить intrusion flag для указанных портов. После этого можно включать порт, который выключился из-за нарушения port security.

[править] Отмена настройки port security

Отмена настройки port security: 

switch(config)# no port-security <port>

[править] Включение порта после его блокировки

Включение порта после того, как он был выключен port security: 

switch(config)# port-security 10 clear-intrusion-flag
switch(config)# interface 10 enable

[править] Настройка port security с аутентификацией 802.1X

Необходимо настроить port security в режиме запоминания port-access: 

switch(config)# port-security 10 learn-mode port-access

Установить при настройке аутентификации 802.1X режим контроля auto: 

switch(config)# aaa port-access authenticator 10 control auto

Port security и режим контроля аутентификации 802.1X:

  • Если аутентификация 802.1X настроена в режиме контроля auto (режим по умолчанию), то коммутатор запоминает MAC-адрес хоста с которого подключился аутентифицированный пользователь как безопасный,
  • Если аутентификация 802.1X настроена в режиме контроля authorized, то коммутатор запоминает MAC-адрес первого появившегося хоста как безопасный.

[править] Port security на коммутаторах Cisco

[править] Безопасные MAC-адреса

Коммутатор поддерживает такие типы безопасных MAC-адресов:

  • Статические MAC-адреса:
    • задаются статически командой switchport port-security mac-address mac-address в режиме настройки интерфейса,
    • хранятся в таблице адресов,
    • добавляются в текущую конфигурацию коммутатора;
  • Динамические MAC-адреса:
    • динамически выучиваются,
    • хранятся только в таблице адресов,
    • удаляются при перезагрузке коммутатора;
  • Sticky MAC-адреса:
    • могут быть статически настроены или динамически выучены,
    • хранятся в таблице адресов,
    • добавляются в текущую конфигурацию коммутатора. Если эти адреса сохранены в конфигурационном файле, после перезагрузки коммутатора, их не надо заново перенастраивать.

[править] Режимы реагирования на нарушения безопасности

Нарушением безопасности для port security считаются ситуации:

  • максимальное количество безопасных MAC-адресов было добавлено в таблицу адресов и хост, чей MAC-адрес не записан в таблице адресов пытается получить доступ через интерфейс,
  • адрес, выученный или настроенный как безопасный на одном интерфейсе, появился на другом безопасном интерфейсе в том же VLAN'е.

На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:

  • protect — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. Оповещения о нарушении безопасности нет.
  • restrict — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. В этом режиме при нарушении безопасности отправляется оповещение — отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter).
  • shutdown — нарушение безопасности приводит к тому, что интерфейс переводится в состояние error-disabled и выключается немедленно, и выключается LED порта. Отправляется SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter). Когда порт в состоянии error-disabled, вывести из этого состояния его можно введя команду errdisable recovery cause psecure-violation или вручную включить интерфейс введя в режиме настройки интерфейса shutdown и no shutdown. Это режим по умолчанию.

Режим protect не рекомендуется настраивать для транка. Этот режим выключает запоминание адресов, когда какой-либо VLAN достигает максимума адресов, даже если порт не достиг максимального ограничения.

[править] Настройки по умолчанию

На коммутаторах Cisco такие настройки по умолчанию для функции port security:

  • Port security — выключен.
  • Запоминание sticky-адресов — выключено.
  • Максимальное количество безопасных MAC-адресов на порту — 1.
  • Режим реагирования на нарушения — shutdown.
  • Время хранения адресов:
    • отключено. Значение aging time — 0,
    • для статических адресов — отключено,
    • тип времени — абсолютное.

[править] Настройка port security

Port security настраивается в режиме настройки интерфейса. На многих коммутаторах Cisco по умолчанию порт находится в режиме dynamic auto, однако этот режим не совместим с функцией port security. Поэтому интерфейс надо перевести в режим trunk или access: 

switch(config-if)# switchport mode <access | trunk>

Включение port security на интерфейсе (после этого включены настройки по умолчанию): 

switch(config-if)# switchport port-security

[править] Максимальное количество безопасных MAC-адресов

Максимальное количество безопасных MAC-адресов на интерфейсе или в VLAN: 

switch(config-if)# switchport port-security maximum <value> [vlan <vlan-list>]

Например, на интерфейсе разрешить 2 MAC-адреса, а остальные настройки по умолчанию: 

switch(config)# interface Fastethernet0/3
switch(config-if)# switchport mode access
switch(config-if)# switchport port-security 
switch(config-if)# switchport port-security maximum 2

Заданием опционального параметра vlan, при указании максимального количества безопасных MAC-адресов, можно ограничить количество MAC-адресов для VLAN или перечня VLAN (добавлено с версии IOS 12.2.37SE).

Например, настроить транк и разрешить 20 MAC-адресов в VLAN 7: 

switch(config)# interface Fastethernet0/3
switch(config-if)# switchport mode trunk
switch(config-if)# switchport port-security 
switch(config-if)# switchport port-security maximum 20 vlan 7

Если на интерфейсе fa0/3 возникнет нарушение безопасности в VLAN 7, например, появится 21 адрес, то заблокирован будет только трафик этого VLAN.

Просмотр информации о настройках port-security для VLAN 7: 

switch# show port-security vlan 7

[править] Настройка безопасных MAC-адресов

Включение sticky запоминания адресов: 

switch(config-if)# switchport port-security mac-address sticky 

switch(config-if)# switchport port-security mac-address sticky [mac-address | vlan <vlan-id | <access | voice>>]

[править] Настройка режима реагирования на нарушения безопасности

Режим реагирования на нарушения безопасности (по умолчанию shutdown): 

switch(config-if)# switchport port-security violation <protect | restrict | shutdown>

Если порт был настроен (или оставлен по умолчанию) режиме реагирования shutdown, то при нарушении порт перейдет в состояние error-disabled.

Посмотреть, что порт перешел в состояние error-disabled: 

switch# show interfaces <interface-number> status

[править] Настройка port security с аутентификацией 802.1X

[править] Просмотр информации о настройках port security 

switch# show port-security

switch# show port-security vlan <vlan>

switch# show port-security interface fa0/3



switch# show port-security address

[править] Совместимость port security с другими функциями коммутатора

Port security несовместима с такими функциями коммутатора:

  • порт на котором включен DTP (switchport mode dynamic),
  • интерфейс переведенный в режим третьего уровня (no switchport),
  • SPAN destination port,
  • EtherChannel.

Port security совместима с такими функциями коммутатора:

[править] Примеры настройки port security

Источник — «http://xgu.ru/wiki/Port_security»