Port security
Материал из Xgu.ru
- Автор: Наташа Самойленко
Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.
Используется для предотвращения:
- несанкционированной смены MAC-адреса сетевого устройства или подключения к сети,
- атак направленных на переполнение таблицы коммутации.
Содержание
|
[править] Port security на коммутаторах ProCurve
[править] Режимы запоминания адресов
Port security может работать в нескольких режимах запоминания MAC-адресов и реагирования на нарушения:
- Continuous — устройство с любым MAC-адресом может без ограничений работать через порт коммутатора.
- Static — от 0 до 8 MAC-адресов могут быть статически заданы, остальные могут быть динамически выучены.
- Configured — от 1 до 8 MAC-адресов могут быть статически заданы, динамически адреса выучены быть не могут.
- Limited-continuous — от 1 до 32 MAC-адресов могут быть динамически выучены.
- Port-access — используется вместе с 802.1X для того, чтобы временно выучить MAC-адрес аутентифицированной сессии 802.1X.
[править] Режимы реагирования на нарушения безопасности
Нарушением безопасности для port security считаются ситуации:
- максимальное количество безопасных MAC-адресов было добавлено в таблицу адресов, и хост, чей MAC-адрес не записан в таблице адресов, пытается получить доступ через интерфейс.
На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:
- none — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. Оповещения о нарушении безопасности нет.
- send-alarm — когда количество безопасных MAC-адресов достигает максимального ограничения, настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. В этом режиме при нарушении безопасности отправляются SNMP trap и сообщение syslog.
- send-disable — нарушение безопасности приводит к тому, что интерфейс переводится в заблокированное состояние и выключается немедленно. Отправляются SNMP trap и сообщение syslog. Когда порт в заблокированном состоянии — вывести его из этого состояния можно, введя команду port-security <port-id> clear-intrusion-flag, и затем вручную включить интерфейс, введя в режиме настройки интерфейса enable.
[править] Eavesdrop Prevention
Eavesdrop Prevention — функция, запрещающая передавать unicast-пакеты, которые передаются на неизвестные для коммутатора MAC-адреса, на порты, на которых она включена. Это не позволяет неавторизованным пользователям прослушивать трафик, который передается на MAC-адреса, удалённые из таблицы коммутации по таймауту (aged-out).
Eavesdrop Prevention не влияет на multicast и broadcast трафик. Коммутатор передает этот трафик через соответствующие порты независимо от того настроена ли на них port security.
Настройка port security на интерфейсе автоматически включает на этом интерфейсе Eavesdrop Prevention.
[править] Настройка port security
Настройка port security:
switch(config)# port-security <port-list> [learn-mode < continuous | static | port-access | configured | limited-continuous>] [action < none | send-alarm | send-disable >] [address-limit <1-8 | 1-32> [mac-address <mac-addr1 [mac-addr2]...>] [clear-intrusion-flag]
Параметры команды port-security:
- learn-mode — режим запоминания MAC-адресов. По умолчанию все порты в режиме continuous.
- action — действие, которое будет выполняться при нарушении:
- none — не выполнять никаких действий
- send-alarm — отправить сообщение о нарушении (SNMP, log)
- send-disable — отправить сообщение о нарушении и выключить порт
- address-limit — максимальное количество MAC-адресов, которое будет разрешено на порту:
- Применяется к режимам static, configured и limited-continuous
- Для static и configured значения от 1 до 8
- Для limited-continuous — от 1 до 32
- По умолчанию для всех режи