Fırat Boyan | MCT- Microsoft Certified Trainer.



Beğendiğiniz içerikleri sosyal medya üzerinden paylaşarak makalelerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.

category KATEGORİ: Routing-Switching
category Fırat Boyan category 06.12.2016 category 2

Switch Port Security Nedir? Nasıl Yapılandırılır?


Port security; Çok kullanıcılı network'lerde, network güvenliğini sağlamak amacıyla MAC Adresi düzeyinde koruma sağlama olanağı sağlayan port bazlı bir yapılandırmadır. Bir switch'in herhangi bir port'una bağlanmasını izin verdiğiniz bilgisayar sayısını MAC Adresi temelinde bilgilerini port üzerinde belirtebilir, belirlediğiniz bilgisayarların dışında hiçbir bilgisayarın switch port'una bağlanmaMAsını sağlayabilirsiniz.
Aslında bunu, switch üzerinde layer2 bazlı bir güvenlik önlemi diye de düşünebiliriz.

Bildiğiniz gibi, Switch'lerinizden uzanan kablolar, kullanıcıların masalarındaki keystone jack'lere patch'li durumdadır. Hal böyle olunca, her gelenin keystone jack port'una kablosunu takıp, Switch port'unuza erişmesini istemezsiniz. Malum, kullanıcıya güven olmaz. smiley
Bunun önlemini almak için, port security uygulamanız gerekmektedir.

Port-security uygulanırken, bir veya birden fazla bilgisayarın MAC Adresini'ini static olarak belirleyebilir veya ilk takılan bir veya birden fazla cihazın MAC Adresi tutulsun diyebilirsiniz.

Ben de bu senaryomda, ortamda kullanıcılar tarafından kullanılan asıl bilgisayarlar ve buna ek olarak bu kullanıcıların birer de laptop'ları olabileceğini düşünerek, MAC Adresi bazında port security güvenliğimi 2 en fazla bilgisayar olarak belirliyorum.

Biraz daha netleştirecek olursam; her kullanıcı, çalıştığı masadaki bilgisayarı haricinde, masasındaki network portuna bir tane de laptop bağlayabilecek. Bağlanan bu iki bilgisayarın MAC Adresleri, Switch tarafından hafızaya alınacak ve 2 bilgisayar dışında başka bir bilgisayar bağlanması durumunda, Switch port'u otomatik olarak kendini kapatacaktır.

Port security

Switch Port Security Yapılandırma, konfigürasyon

Port security

L2-SWITCH(config)#interface range fastEthernet 0/1-06
L2-SWITCH(config-if-range)#switchport mode access
L2-SWITCH(config-if-range)#switchport port-security
L2-SWITCH(config-if-range)#switchport port-security mac-address sticky

veya
L2-SWITCH(config-if-range)#switchport port-security mac-address sticky FE80::20C:85FF:FE6E:1E88
L2-SWITCH(config-if-range)#switchport port-security maximum 2
L2-SWITCH(config-if-range)#switchport port-security violation shutdown


Komutların detaylarına değinelim;

L2-SWITCH(config)#interface range fastEthernet 0/1-06
fastEthernet 0/1 - 06 arasındaki port'lara giriş yaptık.
L2-SWITCH(config-if-range)#switchport mode access
switch port mode access komutu ile ilgili switch port'larının access port (erişim port'ları) olduğu bilgisini vermiş olduk. Bu komutu girmezseniz, port-security enable olMAyacaktır.
L2-SWITCH(config-if-range)#switchport port-security
switch port port-security komutu ile ilgili switch port'larının erişim port'ları olduğu bilgisini verdikten sonra, port security enable duruma getirildi.
L2-SWITCH(config-if-range)#switchport port-security mac-address sticky
Bu komutla, ilgili port'a bağlanacak olan mac adres(ler)i otomatik olarak hafızaya alacaktır.
Bu komuta alternatif olarak;

L2-SWITCH(config-if-range)#switchport port-security mac-address sticky FE80::20C:85FF:FE6E:1E88
Bu komut ile switch port'una bağlanan bilgisayarların Mac Adresi bilgileri özellikle belirtilerek hafızaya alınması sağlanır ve bu belirtilen mac adres(ler)i dışında port'a bağlanan hiçbir mac adresi hafızaya alınmaz ve zaten violation sebebidir.
L2-SWITCH(config-if-range)#switchport port-security maximum 2
Bu komut, hafızada en fazla 2 tane Mac Address bilgisinin tutulabileceğini belirtmiş olur. Sayı isteğe göre artırılabilir ya da azaltılabilir.
L2-SWITCH(config-if-range)#switchport port-security violation shutdown
Bu komut, hafızaya alınan mac adresinin belirtilen sayılar aşıldığı durumda, yani senaryomuza göre 3. bir mac adresi algılandığında, ilgili switch port'un ne yapacağını belirtir.

Burada üç seçeneğimiz var;

1- 
Shutdown komutu; violation meydana geldiğinde, ilgili port'u tamamen kapatır ve error-disabled hatası verir. Meydana gelen her violation durumunda, violation sayacı bir artar.

2- 
Restrict komutu; violation meydana geldiğinde ilgili port'u tamamen kapatMAz ancak data paketleri drop edilir. Böyle bir durumda da SNMP - Trap göndererek network yöneticisini uyaracaktır. Meydana gelen her violation durumunda, violation sayacı bir artar.  

SNPM (Simple Network Management Protocol): Adında da anlaşılacağı gibi;  network'ü yönetilmesinde, network yöneticisine yardımcı olan basit bir uygulama katmanı protokolüdür. Temel anlamda, geniş ağlarda cihazların yönetimini ve denetimini kolaylaştırmak için tasarlanmıştır.
SNMP kullanılarak; network'te bulunan Router, Switch, Access Server, ve bilgisayar gibi cihazların sıcaklık, cihaza bağlı kullanıcılar, İnternet bağlantı hızı, cihaz çalışma süresi gibi temel bilgiler elde edilebilir.

TRAP: SNMP'nin çalıştırdığı 4 komuttan birisidir ve trap komutu, cihazda meydana gelecek olan değişiklikleri ağ yönetim sistemine bildirmeye yarar. Trap mesajları, UDP 162. port üzerinden gönderilir.

3- Protect komutu; violation meydana geldiğinde ilgili port'u tamamen kapatMAz ancak data paketleri drop edilir. Böyle bir durumda da restrict'te olduğu gibi SNMP TRAP gönderimi yaparak network yöneticisi bilgilendirilmez. Meydana gelen violation durumunda violation sayacı, restrict'te olduğu gibi artmaz.

Switch üzerinde Port Security ayarlarını yapılandırdık.

switch port security

SHOW: 1. bilgisayar port'a bağladıktan sonraki durum:

show port-security interface fastEthernet 0/1 komutu ile fastEthernet 0/1'in durumunu izlediğimde;

L2-SWITCH#show port-security interface fastEthernet 0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 2  

-- Hafızasına alabileceği toplam MAC Adres sayısı 
Total MAC Addresses : 1
-- Hafızasına aldığı toplam MAC Adress sayısı 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1

-- fastEthernet 0/1 port'una bağlı olan 1. cihaz ilk cihaz olduğu için, hafızaya alınan MAC Adress sayısı 1
Last Source Address:Vlan : 0002.1752.6285:1
Security Violation Count : 0
-- Maximum MAC Adress sınırını aşmadığımız için, violation count 0

port security Port security

switch port security


SHOW: 2. bilgisayar port'a bağladıktan sonraki durum:

L2-SWITCH#show port-security interface fastEthernet 0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 2  

-- Hafızasına alabileceği toplam MAC Adress sayısı 2
Total MAC Addresses : 2
-- Hafızasına aldığı toplam MAC Adress sayısı 2
Configured MAC Addresses : 0
Sticky MAC Addresses : 2

-- 2. cihazı fastEthernet 0/1 port'una bağladıktan sonra MAC Adres sayısı 2
Last Source Address:Vlan : 0060.2F45.E8E7:1
Security Violation Count : 0
-- Maximum MAC Adress sınırını aşmadığımız için violation count sayısı 0

port security
port security
switch port security

SHOW: 3. bilgisayar port'a bağladıktan sonraki durum:

L2-SWITCH#show port-security interface fastEthernet 0/1
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 2  

-- Hafızasına alabileceği toplam MAC Adress sayısı 2
Total MAC Addresses : 2
-- Hafızasına aldığı toplam MAC Adress sayısı 2
Configured MAC Addresses : 0
Sticky MAC Addresses : 2

-- 3. bilgisayarı fastEthernet 0/1 port'una bağladıktan sonra MAC Adress sayısı 2
Last Source Address:Vlan : 0009.7CE4.E3C0:1
Security Violation Count : 1

-- Maximum MAC Adress 2 sınırını aştığımız için violation count 1 oldu ve ilgili port kapandı, yani shutdown edildi.

port security

port security

switch port security

Kapanan portu tekrar açabilmek için;

L2-SWITCH(config)#interface range fastEthernet 0/1
L2-SWITCH(config)#no shutdown


Komutunu yazmanız yeterli olacaktır.
port security


Faydalı olması dileğiyle...
 


Beğendiğiniz içerikleri facebook, twitter, g+1 veya LinkedIn üzerinden paylaşarak makalelerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.


Her türlü görüş ve önerilerinizi aşağıdaki YORUM panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

YAZAR HAKKINDA:

Microsoft Certified Trainer-MCT.
Microsoft Certified Solution Expert-MCSE: Cloud Platorm and Infrastructure.

Adım Fırat Boyan. Bilgi Teknolojileri Sistem ve Ağ Mühendisiyim. 1985 Alanya doğumluyum. 2008 yılından beri İstanbul'da yaşıyorum. 15 yıldır Bilişim Teknolojileri sektöründeyim.

2003 yılında lise eğitimimden sonra bir bilgisayar teknik servisinde önce stajyer, sonrasında ise teknik servis teknisyeni olarak başladığım bilişim sektörü çalışma hayatıma, üniversite eğitimimi tamamladıktan sonra, çeşitli şirketlerin bilgi işlem departmanlarında Sistem Destek Uzmanı, IT Uzmanı, IT Sistem Sorumlusu ve IT Sistem Yöneticisi olarak devam ettim ve çok çeşitli projelerde aktif rol alıp Sistem ve Network alanında ciddi deneyimler edinerek bilgime bilgi, tecrübeme tecrübe kattım.

JP. Morgan Chase Bank'ta Sistem Uzmanı ve Analisti olarak görev yapıyor, Türkiye’nin bilişim eğitimleri alanında hizmet veren Bilgi Tekolojileri Eğitim Merkezleri olan Bilge Adam’da MCT-Microsoft Certified Trainer (Microsoft Sertifikalı Eğitmen) ünvanı ile Sistem, Network ve Güvenlik eğitimleri veriyor, kurumsal firmalara Bilişim Teknolojileri Danışmanlık Hizmetleri sunuyorum.

Sertifikalarım:

MCT (Microsoft Certified Trainer)- 2016/2017 - 2017/2018 - 2018/2019
MCPS (Microsoft Certified Professional)
MCSA (Microsoft Certified Solutions Associate)- Windows Server 2012
MCSE (Microsoft Certified Solutions Expert)- Server Infrastructure
MCSE (Microsoft Certified Solutions Expert)- Cloud Platform and Infrastructure 2017
MCSE (Microsoft Certified Solutions Expert)- Messaging
MCSE (Microsoft Certified Solutions Expert)- Productivity 2017
MS (Microsoft Specialist)- Designing and Deploying Microsoft Exchange Server 2016
MCSA (Microsoft Certified Solutions Associate)- Windows Server 2016
MCSE (Microsoft Certified Solutions Expert)- Cloud Platform and Infrastructure 2018
MCSE (Microsoft Certified Solutions Expert)- Productivity 2018




comment YORUMLAR
Bu makaleye 2 yorum yapıldı.

Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.


YORUM YAZ

   
  
(yorum onay bildirimi için gereklidir, yayınlanmaz.)
  750 Karakter yazabilirsiniz.
   
Güvenlik kodunu BÜYÜK harflerle giriniz.

* Yorumlar, onaylandıktan sonra yayınlanmaktadır.




YAPILAN YORUMLAR


06-12-2016


CENK SAYGIN

Fırat Hocam. Network dersleriniz de diğer sistem dersleri kadar verimli oldu. Makalede her ayrıntı var. Kendimi çok şanslı hissediyorum. Sizden ders alabildiğim için. Teşekkür.


28-06-2017


Fırat Boyan

Faydalı olmasına sevindim Cenk. Derslerimde nasıl en ince ayrıntısına kadar anlatıyorsam, makalelerimde de olabildiğince detaylara yer vermeye çalışıyorum.






BT EĞİTİM

Kurumsal eğitimler veren bir Microsoft Sertifikalı IT eğitmeniyim. IT Danışmanlık Hizmetleri verdiğim kurumlarda sürekli olarak, bilgi işlem personellerinin yaptığı işleri genelde ezbere ve neden yaptıklarını tam olarak kavrayamadan, bilmeden yaptıklarına şahit oldum. Böyle durumlarda da genelde firmalar, çalışanlarına IT eğitimleri aldırarak, daha profesyonel ve biliçli personeller istihdam etmektedirler. Sizler de kurumunuzda istihdam ettirdiğiniz bilgi işlem personellerinize IT Eğimleri aldırarak, kurumsal olarak yeni teknolojilere daha güçlü ve bilinçli geçişler yaparak ya da mevcut teknolojiler ile yapılandırılmış alt yapınızın bilgi işlem personelleriniz tarafından bilinçli ve profesyonel olarak ayakta tutmasını ve yürütmesini sağlayabilirsiniz.

Detaylar »





BT DANIŞMANLIK

Kendi bünyesinde IT departmanı isitihdam etmeyen ve bu hizmeti danışmanlık kapsamında outsource olarak alan firmalar, bilgisayar sistemlerinin bakımı ve onarımı için profesyonellerden bakım anlaşması kapsamında hizmet talep etmektedirler. Bilişim sektöründe danışmanlık önemli bir konudur. Bu nedenle, işinin ehli olmayan kişilere sisteminizi emanet edemezsiniz. Profesonel IT Uzmanı olarak; işletmelerin Kurumsal IT ihtiyaçlarına yönelik IT ekipmanlarının ve sistemlerinin kurulum,bakım ve konfigürasyonlarının yapılması hizmetlerini sunuyorum.

Detaylar »





İLETİŞİM

Taleplerinizi iletişim formu aracılığıyla direkt olarak bana iletebilirsiniz.
İletilerinize cevap verebilmem için mutlaka gerçeli bir e-posta adresi girin. Gönderdiğiniz iletiler en kısa sürede cevaplanacaktır. Girdiğiniz bilgiler asla üçüncü taraflarla paylaşılmaz. İletilerinizi iletişim formu aracılığı ile direkt olarak iletebileceğiniz gibi, kendi e-posta sunucunuzu kullanarak da mail adresime iletebilirsiniz.

İletişim Formu »