Fırat Boyan | MCT- Microsoft Certified Trainer.



Beğendiğiniz içerikleri sosyal medya üzerinden paylaşarak içeriklerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.

category KATEGORİ: Routing-Switching

category Fırat Boyan category 06.12.2016 category 2

Switch Port Security Nedir? Nasıl Yapılandırılır?


Port security; Çok kullanıcılı network'lerde, network güvenliğini sağlamak amacıyla MAC Adresi düzeyinde koruma sağlama olanağı sağlayan port bazlı bir yapılandırmadır. Bir switch'in herhangi bir port'una bağlanmasını izin verdiğiniz bilgisayar sayısını MAC Adresi temelinde bilgilerini port üzerinde belirtebilir, belirlediğiniz bilgisayarların dışında hiçbir bilgisayarın switch port'una bağlanmaMAsını sağlayabilirsiniz.
Aslında bunu, switch üzerinde layer2 bazlı bir güvenlik önlemi diye de düşünebiliriz.

Bildiğiniz gibi, Switch'lerinizden uzanan kablolar, kullanıcıların masalarındaki keystone jack'lere patch'li durumdadır. Hal böyle olunca, her gelenin keystone jack port'una kablosunu takıp, Switch port'unuza erişmesini istemezsiniz. Malum, kullanıcıya güven olmaz. smiley
Bunun önlemini almak için, port security uygulamanız gerekmektedir.

key stone jack

Port-security uygulanırken, bir veya birden fazla bilgisayarın MAC Adresini'ini static olarak belirleyebilir veya ilk takılan bir veya birden fazla cihazın MAC Adresi tutulsun diyebilirsiniz.

Ben de bu senaryomda, ortamda kullanıcılar tarafından kullanılan asıl bilgisayarlar ve buna ek olarak bu kullanıcıların birer de laptop'ları olabileceğini düşünerek, MAC Adresi bazında port security güvenliğimi en fazla 2 bilgisayar olarak belirliyorum.

Biraz daha netleştirecek olursam; her kullanıcı, çalıştığı masadaki bilgisayarı haricinde, masasındaki network portu'na bir tane de laptop bağlayabilecek. Bağlanan bu 2 bilgisayarın MAC adresleri, Switch tarafından hafızaya alınacak ve 2 bilgisayar dışında başka bir bilgisayar bağlanması durumunda, Switch port'u otomatik olarak kendini kapatacak, yani down durumuna geçecektir.

Port security

Switch Port Security Yapılandırma, konfigürasyon

Port security

L2-SWITCH(config)#interface range fastEthernet 0/1-06
L2-SWITCH(config-if-range)#switchport mode access
L2-SWITCH(config-if-range)#switchport port-security
L2-SWITCH(config-if-range)#switchport port-security mac-address sticky

veya
L2-SWITCH(config-if-range)#switchport port-security mac-address sticky FE80::20C:85FF:FE6E:1E88
L2-SWITCH(config-if-range)#switchport port-security maximum 2
L2-SWITCH(config-if-range)#switchport port-security violation shutdown


Komutların detaylarına değinelim;

L2-SWITCH(config)#interface range fastEthernet 0/1-06
fastEthernet 0/1 - 06 arasındaki port'lara giriş yaptık.
L2-SWITCH(config-if-range)#switchport mode access
switch port mode access komutu ile ilgili switch port'larının access port (erişim port'ları) olduğu bilgisini vermiş olduk. Bu komutu girmezseniz, port-security enable olMAyacaktır.
L2-SWITCH(config-if-range)#switchport port-security
switch port port-security komutu ile ilgili switch port'larının erişim port'ları olduğu bilgisini verdikten sonra, port security enable duruma getirildi.
L2-SWITCH(config-if-range)#switchport port-security mac-address sticky
Bu komutla, ilgili port'a bağlanacak olan mac adres(ler)i otomatik olarak hafızaya alacaktır.
Bu komuta alternatif olarak;

L2-SWITCH(config-if-range)#switchport port-security mac-address sticky FE80::20C:85FF:FE6E:1E88
Bu komut ile switch port'una bağlanan bilgisayarların Mac Adresi bilgileri özellikle belirtilerek hafızaya alınması sağlanır ve bu belirtilen mac adres(ler)i dışında port'a bağlanan hiçbir mac adresi hafızaya alınmaz ve zaten violation sebebidir.
L2-SWITCH(config-if-range)#switchport port-security maximum 2
Bu komut, hafızada en fazla 2 tane Mac Address bilgisinin tutulabileceğini belirtmiş olur. Sayı, isteğe göre artırılabilir ya da azaltılabilir.
L2-SWITCH(config-if-range)#switchport port-security violation shutdown
Bu komut, hafızaya alınan mac adresinin belirtilen sayılar aşıldığı durumda, yani senaryomuza göre 3. bir mac adresi algılandığında, ilgili switch port'un ne yapacağını belirtir.

Burada üç seçeneğimiz var;

1- 
Shutdown komutu; violation meydana geldiğinde, ilgili port'u tamamen kapatır ve error-disabled hatası verir. Meydana gelen her violation durumunda, violation sayacı bir artar.

2- 
Restrict komutu; violation meydana geldiğinde ilgili port'u tamamen kapatMAz ancak data paketleri drop edilir. Böyle bir durumda da SNMP - Trap göndererek network yöneticisini uyaracaktır. Meydana gelen her violation durumunda, violation sayacı bir artar.  

SNPM (Simple Network Management Protocol): Adında da anlaşılacağı gibi;  network'ü yönetilmesinde, network yöneticisine yardımcı olan basit bir uygulama katmanı protokolüdür. Temel anlamda, geniş ağlarda cihazların yönetimini ve denetimini kolaylaştırmak için tasarlanmıştır.
SNMP kullanılarak; network'te bulunan Router, Switch, Access Server, ve bilgisayar gibi cihazların sıcaklık, cihaza bağlı kullanıcılar, İnternet bağlantı hızı, cihaz çalışma süresi gibi temel bilgiler elde edilebilir.

TRAP: SNMP'nin çalıştırdığı 4 komuttan birisidir ve trap komutu, cihazda meydana gelecek olan değişiklikleri ağ yönetim sistemine bildirmeye yarar. Trap mesajları, UDP 162. port üzerinden gönderilir.

3- Protect komutu; violation meydana geldiğinde ilgili port'u tamamen kapatMAz ancak data paketleri drop edilir. Böyle bir durumda da restrict'te olduğu gibi SNMP TRAP gönderimi yaparak network yöneticisi bilgilendirilmez. Meydana gelen violation durumunda violation sayacı, restrict'te olduğu gibi artmaz.

Switch üzerinde Port Security ayarlarını yapılandırdık.

switch port security

SHOW: 1. bilgisayar port'a bağladıktan sonraki durum:

show port-security interface fastEthernet 0/1 komutu ile fastEthernet 0/1'in durumunu izlediğimde;

L2-SWITCH#show port-security interface fastEthernet 0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 2  

-- Hafızasına alabileceği toplam MAC Adres sayısı 
Total MAC Addresses : 1
-- Hafızasına aldığı toplam MAC Adress sayısı 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1

-- fastEthernet 0/1 port'una bağlı olan 1. cihaz ilk cihaz olduğu için, hafızaya alınan MAC Adress sayısı 1
Last Source Address:Vlan : 0002.1752.6285:1
Security Violation Count : 0
-- Maximum MAC Adress sınırını aşmadığımız için, violation count 0

port security Port security

switch port security


SHOW: 2. bilgisayar port'a bağladıktan sonraki durum:

L2-SWITCH#show port-security interface fastEthernet 0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 2  

-- Hafızasına alabileceği toplam MAC Adress sayısı 2
Total MAC Addresses : 2
-- Hafızasına aldığı toplam MAC Adress sayısı 2
Configured MAC Addresses : 0
Sticky MAC Addresses : 2

-- 2. cihazı fastEthernet 0/1 port'una bağladıktan sonra MAC Adres sayısı 2
Last Source Address:Vlan : 0060.2F45.E8E7:1
Security Violation Count : 0
-- Maximum MAC Adress sınırını aşmadığımız için violation count sayısı 0

port security
port security
switch port security

SHOW: 3. bilgisayar port'a bağladıktan sonraki durum:

L2-SWITCH#show port-security interface fastEthernet 0/1
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 2  

-- Hafızasına alabileceği toplam MAC Adress sayısı 2
Total MAC Addresses : 2
-- Hafızasına aldığı toplam MAC Adress sayısı 2
Configured MAC Addresses : 0
Sticky MAC Addresses : 2

-- 3. bilgisayarı fastEthernet 0/1 port'una bağladıktan sonra MAC Adress sayısı 2
Last Source Address:Vlan : 0009.7CE4.E3C0:1
Security Violation Count : 1

-- Maximum MAC Adress 2 sınırını aştığımız için violation count 1 oldu ve ilgili port kapandı, yani shutdown edildi.

port security

port security

switch port security

Kapanan portu tekrar açabilmek için;

L2-SWITCH(config)#interface range fastEthernet 0/1
L2-SWITCH(config)#no shutdown


Komutunu yazmanız yeterli olacaktır.
port security


Faydalı olması dileğiyle...
 


Her türlü görüş ve önerilerinizi aşağıdaki YORUM panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

Beğendiğiniz içerikleri sosyal medya üzerinden paylaşarak içeriklerin daha fazla kişi tarafından görüntülenmesine yardımcı olabilirsiniz.


YAZAR HAKKINDA:

Adım Fırat Boyan. Sistem ve Network Mühendisiyim. 1985 Alanya doğumluyum. 2008 yılından beri İstanbul'da yaşıyorum. 15 yıldır Bilgi Teknolojileri sektöründeyim.
2003 yılında lise eğitimimden sonra bir bilgisayar firmasının teknik servisinde önce stajyer, sonrasında ise yine aynı firmada teknik servis teknisyeni olarak başladığım bilişim sektörü çalışma hayatıma, üniversite eğitimimi tamamladıktan sonra, çeşitli şirketlerin bilgi işlem departmanlarında Sistem Destek Uzmanı, IT Uzmanı, Sistem Yöneticisi ve Sistem ve Network Mühendisi olarak devam ettim ve çok çeşitli projelerde aktif rol alıp Sistem ve Network alanında ciddi deneyimler edinerek bilgime bilgi, tecrübeme tecrübe kattım.
MİRSİS Bilgi Teknolojileri'nde Sistem Uzmanı konumunda görev yapıyor, Uzun yıllardır da, Türkiye'nin en önde gelen bilişim eğitimleri merkezi olan, Network Akademi bünyesinde MCT-Microsoft Certified Trainer olarak Sistem ve Network uzmanlığı eğitimleri veriyor, işlerimden arta kalan zamanlarda da bireysel olarak kurumsal firmalara Bilgi Teknolojileri Danışmanlık Hizmetleri sunuyorum.

Sertifikalarım:
MCT (Microsoft Certified Trainer)- 2016/2017 - 2017/2018 - 2018/2019 - 2019/2020
MCPS (Microsoft Certified Professional)
MCSA (Microsoft Certified Solutions Associate)- Windows Server 2012
MCSE (Microsoft Certified Solutions Expert)- Server Infrastructure
MCSE (Microsoft Certified Solutions Expert)- Cloud Platform and Infrastructure 2017
MCSE (Microsoft Certified Solutions Expert)- Messaging
MCSE (Microsoft Certified Solutions Expert)- Productivity 2017
MS (Microsoft Specialist)- Designing and Deploying Microsoft Exchange Server 2016
MCSA (Microsoft Certified Solutions Associate)- Windows Server 2016
MCSE (Microsoft Certified Solutions Expert)- Cloud Platform and Infrastructure 2018
MCSE (Microsoft Certified Solutions Expert)- Productivity 2018




comment YORUMLAR
Bu makaleye 2 yorum yapıldı.

Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.


YORUM YAZ

   
  
(yorum onay bildirimi için gereklidir, yayınlanmaz.)
  750 Karakter yazabilirsiniz.


   
Güvenlik kodunu BÜYÜK harflerle giriniz.

* Yorumlar, onaylandıktan sonra yayınlanmaktadır.




YAPILAN YORUMLAR


06-12-2016


CENK SAYGIN

Fırat Hocam. Network dersleriniz de diğer sistem dersleri kadar verimli oldu. Makalede her ayrıntı var. Kendimi çok şanslı hissediyorum. Sizden ders alabildiğim için. Teşekkür.


28-06-2017


Fırat Boyan

Faydalı olmasına sevindim Cenk. Derslerimde nasıl en ince ayrıntısına kadar anlatıyorsam, makalelerimde de olabildiğince detaylara yer vermeye çalışıyorum.