Port security ile bir switch üzerinde aşağıdakiler yapılabilir:
- (Genel Güvenlik) Her bir porttaki MAC adres sayısını sınırlandırmak.
- (Arttırılmış Güvenlik) Hangi MAC adresinin hangi porta erişebileceğini belirlemek.
Örneğin birisi wireless adaptör takabilir. Bu porttan 1 yerine 20 tane MAC adresi alınmasını önlemektir. Güvenlik odaklı bir kuruluşta ise her bir porttan hangi MAC adresi ile erişilebileceğini sınırlandırabilirsiniz.
Portlar static olarak belirlendiğinde her biri için static olarak elle girilmiş bir MAC adresi olur. Sticky olarak belirlendiğinde ise verilen sayıda ilk takılanlara izin verilir. Peki güvenlik politikası çiğnendiğinde ise üç çeşit cevap vardır. Protect, Restrict, Shutdown. Shutdown default tercihtir.
Port Security Lab:
- Switch’inize (S1) iki cihaz bağlayın. Port 1 ve Port 2.
- Cihazlara aynı network üzerinden birer IP adresi verin ve aralarında devamlı bir ping bağlantısı oluşturun.
- MAC adres tablosuna bakarak cihazların beklendiği gibi görüntülendiklerini doğrulayın.
- Portlarda port security’i aktif hale getirerek tek bir MAC adresine izin verecek şekilde yapılandırın.
- Cihazlardan birinde Scapy gibi bir araç kullanarak birden fazla kaynak adresten gelen trafik yaratın. (Alternatif olarak başka bir switch veya hub kullanılabilir.) Port security’nin çalıştığını doğrulayın.
- Portu tekrar aktif hale getirin. Ping’in devam ettiğini doğrulayın.
- Her iki portta da sticky mac address özelliğini aktif hale getirin.
- Port1’deki cihazı Port2’ye taşıyın. Ardından tersini yapın. Port security’nin beklendiği gibi işlediğini doğrulayın.
- Portları tekrar aktif hale getirin. Port security’i kaldırın.
1. Adım : Switch’e Cihazların Bağlanması
Cihazları port 1 ve port 2’ye takıyoruz. Portların aktif hale gelmesi 30 saniye alır. Önce koyu sarı yanarlar bu STP kontrolünün yapıldığı anlamına gelir. Yeşil olduklarında port aktiftir.
2. Adım : Cihazlara IP adresi Verilmesi ve Devamlı Ping Atılması
Bilgisayarlara aşağıdaki IP adreslerini verdik:
1 2 |
10.1.2.50 10.1.2.51 |
Devamlı pingleri her iki cihazdan birbirine olacak şekilde aşağıdaki gibi etkinleştiriyoruz.
1 |
ping 10.1.2.51 -t |
1 |
ping 10.1.2.52 -t |
3. Adım : Switch’de MAC Adresi Tablosunun Görüntülenmesi
Aşağıdaki komutla MAC adresi tablosunu görüntüleyelim.
1 |
show mac address-table |
Default statik MAC adreslerinin altında portlara atanmış adresleri görebiliyoruz.
Bilgisayarları açıp mac adreslerini kontrol ettiğimizde uyum sağladığını görüyoruz.
4. Adım : Switch’de Port Security’nin Aktif Hale Getirilmesi
Port security birden fazla basamağı olan bir komuttur. İlk olarak portların port security’i kabul etmeleri için “access port” olmaları gerekmektedir.
1 2 |
interface range fastEthernet 0/1-2 switchport mode access |
Portlarda port-security’i aktif hale getirebilmemiz için access port olmaları gerekiyor fakat trunk portlar üzerinde port security aslında yapılabilir. Fakat bu genellikle yapılan bir şey değildir çünkü oradan başka ne geleceğini bilemeyiz. Bir porta başka bir switch bağladıysak o porttan bir sürü MAC adresi gelebilir.
Fakat dinamic bir portta kesinlikle yapılamaz. Command rejected mesajı verecektir.
1 2 |
interface fastEthernet 0/1 switchport port-security ? |
? işareti ile opsiyonları görüntülediğimizde,
- aging: mac adreslerinin ne kadar süre ile hatırlanacağı.
- mac-address: spesifik bir mac adresi veya sticky mac adresi kullanabiliriz.
- maximum: Kaç tane maksimum adrese izin verdiğimiz.
- violation: Kural aşıldığında ne yapacağı, protect,restrict ve shutdown modları vardı.
İster yalnızca tek bir mac adresine izin vermemizi söylüyor.
1 |
switchport port-security maximum 1 |
Running-config’i görüntülediğimizde yukarıdaki komutun yer almadığını görüyoruz.
1 |
do sh run int fa0/1 |
Bunun nedeni yukarıdakinin aslında default komut olması. Aşağıdaki gibi port security’i aktif ettiğimizde – bunu zaten aktif hale getirmek için yazmamız gerekiyor – maximum 1 istediğimizi varsayıyor.
1 |
switchport port-security |
Priviledged mode’a geçip aşağıdaki komut ile fa0/1’de port security bilgilerini görüntülediğimizde
1 |
sh port-security interface fa0/1 |
Port Security’nin enabled, Poer Status’un Secure-up, Maximum MAC Address’in ise 1 olduğunu görüyoruz. Bu konfigürasyon default olduğu için gizlenmiş. Eğer maximum değerini 2 yapmış olsaydık konfigürasyonda görecektik.
Daha sonra interface fa0/2’ye geçerek port-security’i benzer şekilde aktif hale getirebiliriz.
Bu örnek için maximum değerini girmemize gerek yok.
1 2 |
interface fastEthernet 0/2 switchport port-security |
5. Adım : Birden Fazla MAC Adresinden Trafik Oluştur
Bunu Scapy gibi bir uygulamadan yapabileceğimiz gibi bir daha az fonksiyonel bir dummy switch bağlayarak da yapabiliriz.
Scapy ile “ab:cd:ef:ab:cd:ef” kaynak MAC adresinden “00:50:79:66:68:00” hedef MAC adresine bir frame yollanması aşağıdaki gibi:
İlk olarak bilgisayardaki interfaceleri öğreniyoruz,
1 |
netsh interface show interface |
Ardından scapy içerisinde girekrek aşağıdaki mac adreesinden frame’imizi yollayabiliriz.
1 |
sendp(Ether(src="ab:cd:ef:ab:cd:ef", dst="00:50:79:66:68:00"), iface="VMware Network Adapter VMnet8") |
Her iki durumda da eğer şu ana kadar gerekli adımları doğru yaptıysak switch’de port security’nin etkin hale gelerek violation detect ettiğini göreceğiz.
Son bağladığımız cihaz iletişim kurmayı denediğinde – muhtemelen bir IP adresine ihtiyacım var gibi bir DHCP isteği göndererek – 1 mac adresi kısıtlamasını geçmiş oluyor. Aşağıdaki gibi portun port-security bilgilerini görüntülediğimizde,
1 |
show port-security interface fa0/1 |
Port Security: Enable, Port-Status: Secure-Shutdown olarak görüyoruz. Bu portun kapatıldığı anlamına geliyor. Bu default violation mode çünkü. Protect, Restrict yanında default Shutdown’du. Aynı zamanda Last Source Address olarak son mac adresini kayıt altına almış ve Violation counter ile saydığını görüyoruz. Restrict bu counter’ı arttırıyor.
Sonuç olarak portun gittiğini ışığının söndüğünü görüyoruz. Basitçe no shutdown diyerek aktif hale getiremeyiz.
1 |
show interfaces fa0/1 |
Çünkü yukarıdaki komutun çıktısında gördüğümüz üzere error-disabled pozisyonda. Bu bir yönetici tarafından kapatılmadığı bir hatadan dolayı kapatıldığı anlamına geliyor.
Bir cevap yazın