Murat Delibal

Bir delinin bilişim günlüğü

Cisco-Switch Port Security

Öncelikle switch port security’nin bir ağ yapısında ne işimize yarıyacağından biraz bahsedelim.
Şirket yapınızda istemeyeceğiniz şeylerden biride ağ yada bilgisayarların viruslerle uğraşması olucaktır.
Siz kurduğunuz şirket yapısındaki bilgisayarlarda bütün güvenlik önlemlerini almış olabilirsiniz ancak kullanıcı şirket bilgisayarındaki ağ bağlantısı kablosunu evden getirdiği ve güvenlik olarak düşük seviyede olan bilgisayarına takabilir.Bu durumda bu bilgisayardaki potensiyel virüsler başınızı ağrıtabilir.

Switch Port Security’de ise şirket bilgisayarının bağlı olduğu switch’e sadece şirket bilgisayarının bağlanmasını sağlıyabileceğiz.Yani şirket çalışanı hiç bir şekilde kendisine gelen ağ bağlantısını başka bir bilgisayara takamıyacak.

Bu şekilde bir yapımız bulunmaktadır.Şimdi Switch port security için gerekli configurasyonu Switchimizde yapılandıralım.

Switch>en
Switch#conf t
Switch(config)#int range fa 0/1-23
Switchde bulunan portlardan ilk 23’ünü configüre etmek için seçtim.
Switch(config-if-range)#switchport mode access
Switchport modu accsess olarak belirledim.
Switch(config-if-range)#switchport port-security
port-security’i aktif hale getirdim.

Switch başka bir bilgisayarın takılıp takılmadığını takılı olan bilgisayarın mac adresini hafızasında tutarak anlayabilir.Ve switch port-security de birden fazla mac adresini tek port için hafızasında tutabilir.
Switch(config-if-range)#switchport port-security max 1
Biz burada sadece bir adet mac adresini aklında tutmasını söylüyoruz.

!
Switch(config-if-range)#switchport port-security mac-address ?
H.H.H 48 bit mac address
sticky Configure dynamic secure addresses as sticky
!

Switch mac adresini 2 şekilde öğrenebilir. 1.yol H.H.H’de kendimiz hangi bilgisayarın mac adresini o porta atıyacaksak onu belirleriz.
2.yol’da yani Sticky komutu ile o porta takılı olan bilgisayarın ilk network işleminde mac adresinin hafızaya alınmasını söyleyebiliriz.Ben 2.yolu seçtim.

!
Switch(config-if-range)#switchport port-security violation ?
protect Security violation protect mode
restrict Security violation restrict mode
shutdown Security violation shutdown mode
!

Burada ise farklı bir mac adresi ile bu porta bağlanan olursa switch’in ne yapıcağını belirtiyoruz.

Shutdown Seçersek farklı bir mac adresi ile porta bağlanıldığında o portu kapatıcaktır ve geri açılması için ağ yöneticisinin switche erişerek o portu tekrar Noshutdown yapması gerekicektir.
Restrict ‘i seçersek farklı bir mac adresi ile ağa bağlanıldığında o mac adresindeki bilgisayarın ağ üzerinde hiçbir işlem yapamamasını sağlarız.Tekrar mac adresi tanımlanmış olan bilgisayarı ağa eklersek sorunsuz şekilde iletişime geçicektir.

Ben Restrict modu seçiyorum.

Şimdi bilgisayarların mac adreslerinin kayıta geçmesi için bir network işleminin yapılması gerekiyor.
Basit bir işlem olarak bilgisayarların birbirlerini pinglemesini kullanabilirsiniz.
Şimdi mac adresimiz kayıta geçmişmi bakalım.

Switch#show port-security interface fastEthernet 0/1
Fastethernet0/1 in port-security bilgilerini bu komut ile görüntüleyebiliriz.

!
Switch#show port-security interface fastEthernet 0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Restrict
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address:Vlan : 0090.2BA6.2A14:1
Security Violation Count : 0
!
Last source kısmında mac adresini görebiliriz.
Security violation count kısmında ise bu portta belirlediğimiz güvenlik kurallarında kaç kere ihlal yapılmış onu görebiliriz.

Şimdi yapımıza şu şekilde bir bilgisayar ekliyoruz.

Görüldüğü gibi fasthethernet 0/2 portundaki şirket bilgisayarını laptopa bağladım.Yapımda DHCP bulunmadığı için ip adresini 192.168.1.2 şeklinde kendim girdim.

Şimdi bu laptoumuz diğer bilgisayarlar ile iletişime geçebilicekmi görelim.

Fastethernet 0/1 de bağlı olan 192.168.1.1 ip’li bilgisayara ping atamıyoruz.Peki şimdi eski bilgisayarımızı FastEthernet 0/2 ‘ye bağlıyalım ve bakalım 192.168.1.1 ‘e ulaşabilicek mi ?

Görüldüğü gibi 192.168.1.1 ip’li bilgisayara ulaşabiliryorum.

Şimdi FastEthernet 0/2 için ihlal sayacına tekrar bakalım.

!
Switch#show port-security interface fastEthernet 0/2
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Restrict
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address:Vlan : 0002.1679.3AB9:1
Security Violation Count : 1
!

Görüldüğü gibi ihlal sayacı 1 olmuş.
Cisco port-security hakkında bildiklerimi sizlere aktardım.
Yararlı olması dileğiyle

                                                                            Murat DELİBAL    
                                                                       Sistem ve Ağ Uzmanı

, , ,

Leave a comment