switchport port security mac address sticky что это
ИТ База знаний
Полезно
— Онлайн генератор устойчивых паролей
— Онлайн калькулятор подсетей
— Руководство администратора FreePBX на русском языке
— Руководство администратора Cisco UCM/CME на русском языке
— Руководство администратора по Linux/Unix
Навигация
Серверные решения
Телефония
FreePBX и Asterisk
Настройка программных телефонов
Корпоративные сети
Протоколы и стандарты
Настройка Cisco Port-Security
Базовая сетевая безопасность
Привет! Сегодня мы оговорим немного о базовой сетевой безопасности, а именно о Port-Security и о том, как его настроить на коммутаторах Cisco.
Полный курс по Сетевым Технологиям
В курсе тебя ждет концентрат ТОП 15 навыков, которые обязан знать ведущий инженер или senior Network Operation Engineer
Для начала разберемся, что же вообще такое Port-Security. Port-Security – это функция коммутатора, при помощи которой мы можем указать каким устройствам можно пропускать трафик через определенные порты. Устройство определяется по его MAC-адресу.
Эта функция предназначена для защиты от несанкционированного подключения к сети и атак, направленных на переполнение таблицы MAC-адресов. При помощи нее мы можем указывать конкретные адреса, с которых разрешен доступ или указывать максимальное количество MAC-адресов, которые могут передавать трафик через порт.
Типы Port-Security
Существует несколько способов настройки port-security:
Sticky MAC-адреса
Если необходимо настроить port-security со sticky MAC-адресами, которые преобразуются с из динамически изученных адресов и добавляются в текущую конфигурацию, то необходимо настроить так называемое sticky изучение. Для того чтобы его включить необходимо на интерфейсе коммутатора выполнить команду switchport port-security mac-address sticky из режима конфигурации интерфейса.
Когда эта команда введена, коммутатор преобразует все динамически изученные MAC-адреса (включая те, которые были динамически изучены до того, как было включено sticky обучение) к sticky MAC-адресам. Все sticky MAC-адреса добавляются в таблицу адресов и в текущую конфигурацию.
Также sticky адреса можно указать вручную. Когда sticky MAC-адреса настроены при помощи команды switchport port-security mac-address sticky [MAC-адрес], все указанные адреса добавляются в таблицу адресов и текущую конфигурацию.
Если sticky MAC-адреса сохранены в файле конфигурации, то при перезапуске коммутатора или отключении интерфейса интерфейс не должен будет переучивать адреса. Если же sticky адреса не будут сохранены, то они будут потеряны.
Нарушение безопасности
Нарушением безопасности являются следующие ситуации:
На интерфейсе может быть настроен один из трех режимов реагирования при нарушении:
Чтобы изменить режим нарушения на порту коммутатора, используется команда port-security violation в режиме конфигурации интерфейса.
| Режим реагирования | Передача траффика | Отправка сообщения syslog | Отображение сообщения об ошибке | Увеличение счетчика нарушений | Выключение порта |
|---|---|---|---|---|---|
| Protect | Нет | Нет | Нет | Нет | Нет |
| Restrict | Нет | Да | Нет | Да | Нет |
| Shutdown | Нет | Нет | Нет | Да | Да |
Настройка
Рассмотрим пример настройки:
Если мы не будем ничего уточнять и просто включим port-security командой switchport port-security в режиме конфигурации интерфейса, то максимальное количество адресов на порту будет один, sticky изучение будет выключено, а режим нарушения безопасности будет shutdown.
Проверка порта
Чтобы отобразить все защищенные MAC-адреса используется команда show port-security address.
Полный курс по Сетевым Технологиям
В курсе тебя ждет концентрат ТОП 15 навыков, которые обязан знать ведущий инженер или senior Network Operation Engineer
Настройка Port Security на коммутаторах Cisco
В данной статье, я расскажу что такое Port Security и приведу пример настройки интерфейса коммутатора cisco с использованием этой функции.
Port Security — это функция канального уровня, которая создана для предотвращения несанкционированной смены MAC адреса сетевого подключения. Также, данная функция ограждает коммутатор от атак, которые могут быть направлены на переполнение таблицы MAC адресов.
С помощью Port Security можно ограничить (на канальном уровне) количество подключений (MAC адресов) на интерфейсе, а так же, при необходимости, ввести безопасные MAC адреса вручную (статические MAC адреса).
Пример настройки Port Security на интерфейсе коммутатора cisco:
Рисунок 1 — Типичное подключение IP телефона и компьютера к интерфейсу коммутатора.
На рисунке 1 мы видим распространенное подключение устройств в больших организациях. Как правило к порту подключаются два устройства: IP телефон и компьютер пользователя. Пример конфига интерфейса коммутатора с использованием Port Security:
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
switchport voice vlan 2
switchport port-security
switchport port-security maximum 2
switchport port-security violation restrict
На выше приведенном конфиге видно, что 10 влан настроен для компьютеров, 2 влан используется для IP телефонии. Далее, по фукнциям Port Security:
— «switchport port-security» означает, что мы включили Port Security на данном интерфейсе;
— «switchport port-security maximum 2» говорит о том, что только 2 MAC адреса, могут «светиться» на интерфейсе одновременно (MAC адрес телефона и компьютера);
— «switchport port-security violation restrict» указывает режим реагирование на нарушение. Таким образом, если на данном интерфейсе одновременно «засветится» третий (неизвестный) MAC адрес, то все пакеты с этого адреса будут отбрасываться, при этом отправляется оповещение – syslog, SNMP trap, увеличивается счетчик нарушений (violetion counter).
Немного расскажу о режимах реагирования на нарушение безопасности. Существует три способа реагирование на нарушение безопасности:
— «switchport port-security violation restrict»;
— «switchport port-security violation shutdown»;
— «switchport port-security violation protect».
Команду «switchport port-security violation restrict» я описал выше.
Вторая команда — «switchport port-security violation shutdown» при выявлении нарушений переводит интерфейс в состояние error-disabled и выключает его. При этом отправляется оповещение SNMP trap, сообщение syslog и увеличивается счетчик нарушений (violation counter). Кстати, если интерфейс находится в состоянии error-disabled, то самым легким путем разблокировать его, является выключить и включить интерфейс (ввести в настройках интерфейса команду — «shutdown», а потом — «no shundown»).
Если же на интерфейсе введена команда — «switchport port-security violation protect», то при нарушениях, от неизвестного MAC адреса пакеты отбрасываются, но при этом никаких сообщений об ошибках не генерируется.
Какой именно способ выбрать дело каждого, но как мне кажется, «switchport port-security violation restrict» является оптимальной для большинства случаев.
Идем дальше. Если необходимо, то можно статически ввести MAC адреса, тогда конфиг будет иметь вид:
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
switchport voice vlan 2
switchport port-security
switchport port-security maximum 2
switchport port-security violation restrict
switchport port-security mac-address 0005.5E80.22A3
switchport port-security mac-address 00E0.F75B.C101
Теперь, только от этих двух MAC адресов (0005.5E80.22A3, 00E0.F75B.C101) на данный интерфейс будут разрешены входящие пакеты.
Немного поговорим о MAC адресах. При использовании Port Security существуют такие типы MAC адресов:
— Динамические;
— Статические;
— Sticky MAC адреса.
Динамические MAC адреса хранятся в таблице коммутации, но удаляются при истечении «aging time» или при перезагрузке коммутатора.
Статические адреса хранятся в таблице MAC адресов и записываются в памяти коммутатора. Не удаляются при истечении «aging time» и при перезагрузке свитча.
Sticky MAC адреса могут быть внесены в таблицу коммутации статически (в ручную) или динамически выучены. Они хранятся в таблице коммутации и в памяти свитча. Не удаляются при истечении «aging time» или перезагрузке коммутатора.
Хочу отметить, что при использовании Port Security «aging time» по умолчанию равен 0.
Теперь, приведу не большой пример настройки Port Security с использованием Sticky MAC адресов:
Switch#conf t
Switch(config)#
Switch(config)#interface fa0/1
Switch(config-if)#
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#switchport voice vlan 2
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 2
Switch(config-if)#switchport port-security mac-address 0005.5E80.22A3
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security violation restrict
В примере приведенном выше, был сконфигурирован один MAC адрес статически («switchport port-security mac-address 0005.5E80.22A3»), а все остальные MAC адреса (в нашем случае еще один) будут выучены динамически, но записаны в память коммутатора («switchport port-security mac-address sticky»). Вот что мы увидим, если в привилегированном режиме введем команду — «show run int fa0/1»:
Технологии безопасности сети на 2-ом уровне OSI. Часть 1
Казалось бы, получив доступ во внутреннюю сеть, злоумышленник может относительно беспрепятственно исследовать соседние узлы, собирать передаваемую информацию и в общем уже все потеряно.
Тем не менее при корректном подходе к контролю уровня доступа можно существенно осложнить упомянутые процедуры. При этом грамотно подготовленная сетевая инфраструктура, заметив зловредную аномалию, об этом своевременно сообщит, что поможет снизить ущерб.
Под катом перечень механизмов, которые помогут выполнить данную функцию.
Хотелось бы привести общую выжимку без лишних Вики-обоснований, но с описанием вариаций конфигурации, тем не менее иногда отступаю в ликбез, что бы стороннему читателю статья показалась более дружелюбной.
Статья выходила объемной, и, по-моему, слишком большие статьи не читаются, а складываются в долгий ящик с мыслью «как-нибудь осилю». Поэтому материал пришлось разделить, и при должном успехе составлю вторую часть с менее распространенными (по крайней мере у нас) технологиями.
Предполагаю, что данный вендор самый процентуально распространенный, да и самый информационно богатый, и вызывает бОльшую заинтересованность у начинающих изучать подобные темы.
Тем не менее, уверен, что после усвоения каждой конкретной технологии на циске, корректно составить конфигурацию у другого вендора не составит труда, если у Вас есть 30 мин. и обычный User Guide.
Считаю, что информация не дублирует уже существующую на хабре, хотя что-то похожее можно встретить тут и тут.
Port Security
Описание
Технология предназначена для контроля подключенных к коммутатору устройств и предотвращения аномалий или атак, нацеленных на переполнения таблицы MAC-адресов (CAM table overflow).
С помощью Port Security устанавливается максимальное количество MAC адресов на конкретный свитчпорт (сетевой порт, оперирующий на 2-ом уровне OSI) или VLAN, и контролируется доступ по заданным MAC-адресам.
Способы работы с MAC-адресами:
Действия в случае превышения полномочий:
Конфигурация
Port-Security может быть активирован только, если тип свитчпорта явно задан (т.е. или Access, или Trunk). Если порт динамический (что уже неправильно), Port-Security на нем включить не получиться.
Access порты
Технология задается посредством команды switchport port-security… в режиме конфигурации конкретного интерфейса, доступные опции:
В результате все выглядит примерно так:
— Если хотим разрешить неизвестно какие маки, лимитируя их количество 5-ю, ставим максимум на 5 и не задаем ничего статически. Опционально указываем время жизни.
— Если известно, что за устройство стоит на втором конце провода и больше ничего там не будет и быть не должно — максимум=1, адрес прописываем статически.
— Если ждем нового работника с новым ПК или лень узнавать MAC-адрес, ставим Sticky, после подключения перепроверяем.
Trunk порты
Проверка
Не прибегая к show run информация касательно Port-Security может быть найдена:
Команда проводит проверку актуальной информации о таблице MAC-адрессов. Например, нынешнее количество записей в таблице для конкретного VLAN’a и объем доступных записей проверяется посредством show mac address-table count vlan :
DHCP snooping
Описание
Технология предотвращает использование не авторизированного DHCP сервера в сети, что позволяет например произвести атаку человек-посередине (man-in-the-middle, MITM). Еще защищает сеть от атак на истощение DHCP (DHCP starvation/exauction), которая имхо не особо актуальна.
Технология следит за DHCP коммуникацией в сети, которая (в основном) состоит из четырех пакетов:
Очень немаловажно, что после активации DHCP snooping, коммутатор начинает следить за DHCP коммуникацией в сети и отождествлять выданные IP адреса с MAC-адресами запрашивающих устройств, складируя данную информацию в таблицу DHCP snooping binding.
Конфигурация
Под доверенным интерфейсом вводится команда ip dhcp snooping trust :
Для предотвращения DHCP starvation под не доверенными интерфейсами указывается частота получаемых клиентских запросов с помощью ip dhcp snooping limit rate :
Важно не занизить данную характеристику, чтобы не порезать валидный трафик. Циска советует использовать число «10».
После этого указываем конкретный VLAN для работы DHCP snooping’a и включаем непосредственно саму технологию командой без опций:
Проверка
Dynamic ARP inspection
Описание
Технология предназначена для предотвращения ARP spoofing/poisoning атак, которая является базовым способом организации перехвата трафика (опять же атака человек-посередине/MITM), находясь в одном широковещательном домене с жертвой.
Конфигурация
Что бы эффективно предотвратить ARP spoofing, коммутатор должен иметь информацию о связке MAC-адрес/IP-адрес. Как упоминалось выше, данная информация хранится в таблице DHCP snooping. По этому корректная конфигурация эти две технологии практически всегда использует вместе.
При совместном использовании с DHCP snooping, технология активируется в режиме глобальной конфигурации командой:
После этого в данном VLAN’е будет разрешен трафик только тех устройств, которые фигурируют в таблице DHCP snooping.
В случае, если устройства НЕ используют DHCP, необходимо проводить дополнительные меры. ARP inspection позволяет использовать статические записи. Для этого создаются списки доступа ARP, создается который из режима глобальной конфигурации командой:
Синтаксис отдельной записи ниже:
помимо указания единичного MAC-адреса, в arp access-list’е можно указать диапазон. И это делается посредством !обратных ARP! масок:
Под таким arp access-list’ом указываются все необходимые статические записи. Далее технология активируется не как прежде, а с опцией filter:
Отдельный интерфейс(ы) можно пометить как доверенные. На этих интерфейсах ARP inspection проводиться не будет:
Практически всегда доверенными устанавливаются Trunk порты (главное об этом не забыть перед активированием всего механизма). Но в этом случае важно поднять установленный по умолчанию лимит ARP сообщений — он равен 15, и может быть слишком узким, особенно для транка. Советую поставить 100-ку:
Опционально можно добавить дополнительные проверки на соответствие MAC адресов в заголовках ARP и Ethernet. Делается это командой ip arp inspection validate :
Функционал по каждой опции отдельно можно прочитать тут.
Проверка
Проверить статус технологии, включена ли, использует ли список доступа, статус проверки дополнительных опций и т.п. информацию:
Полезные опции у предыдущей команды (добавить в конце строки) — statistics (показывает счетчики дропов и т.п.) и interfaces (доверенные интерфейсы, лимиты ARP сообщений).
Source Guard
Описание
В случае, если нет нужды проверять всю подсеть по ARP inspection, но хотелось бы защитить от подобных угроз пару-тройку узлов, можно использовать Source Guard. На практике их функционал дублирует друг друга, хотя и есть нюансы.
Технология привязывает заданные IP-MAC к конкретному физическому интерфейсу. В результате тоже предотвращает ARP спуфинг, а также один узел сети не сможет отправить трафик от имени другого, подменив IP и MAC адреса источника (в случае ARP inspection это возможно, хотя и не является критичным).
Конфигурация
Source Guard тоже использует таблицу DHCP snooping. Она содержит не только связку IP-MAC, но и еще интерфейс, за которым находится конкретный узел.
Если узлы опять же не используют DHCP, в режиме глобальной конфигурации создается мануальная запись:
Source Guard активируется непосредственно на интерфейсе:
Проверка
Проверка записей, которые использует технология, проводится командой:
show ip source binding
Что полезно, команда выводит как мануальные записи, так и взятые из таблицы DHCP snooping.
Список интерфейсов, на которых Source Guard активирован, выводится командой:
show ip verify source
Port security
Материал из Xgu.ru
 |
| Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной. |
Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.
Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.
Используется для предотвращения:
Содержание
[править] Port security на коммутаторах ProCurve
[править] Режимы запоминания адресов
Port security может работать в нескольких режимах запоминания MAC-адресов и реагирования на нарушения:
[править] Режимы реагирования на нарушения безопасности
Нарушением безопасности для port security считаются ситуации:
На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:
clear-intrusion-flag, и затем вручную включить интерфейс, введя в режиме настройки интерфейса enable.
[править] Eavesdrop Prevention
Eavesdrop Prevention — функция, запрещающая передавать unicast-пакеты, которые передаются на неизвестные для коммутатора MAC-адреса, на порты, на которых она включена. Это не позволяет неавторизованным пользователям прослушивать трафик, который передается на MAC-адреса, удалённые из таблицы коммутации по таймауту (aged-out).
Eavesdrop Prevention не влияет на multicast и broadcast трафик. Коммутатор передает этот трафик через соответствующие порты независимо от того настроена ли на них port security.
Настройка port security на интерфейсе автоматически включает на этом интерфейсе Eavesdrop Prevention.
[править] Настройка port security
Настройка port security:
Параметры команды port-security:
[править] Отмена настройки port security
Отмена настройки port security:
[править] Включение порта после его блокировки
Включение порта после того, как он был выключен port security:
[править] Настройка Eavesdrop Prevention
[править] Настройка port security с аутентификацией 802.1X
Необходимо настроить port security в режиме запоминания port-access:
Установить при настройке аутентификации 802.1X режим контроля auto:
Port security и режим контроля аутентификации 802.1X:
[править] Port security на коммутаторах Cisco
[править] Безопасные MAC-адреса
Коммутатор поддерживает такие типы безопасных MAC-адресов:
[править] Режимы реагирования на нарушения безопасности
Нарушением безопасности для port security считаются ситуации:
На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:
Режим protect не рекомендуется настраивать для транка. Этот режим выключает запоминание адресов, когда какой-либо VLAN достигает максимума адресов, даже если порт не достиг максимального ограничения.
[править] Настройки по умолчанию
На коммутаторах Cisco такие настройки по умолчанию для функции port security:
[править] Настройка port security
Port security настраивается в режиме настройки интерфейса. На многих коммутаторах Cisco по умолчанию порт находится в режиме dynamic auto, однако этот режим не совместим с функцией port security. Поэтому интерфейс надо перевести в режим trunk или access:
Включение port security на интерфейсе (после этого включены настройки по умолчанию):
Так как после команды switchport port-security, сразу включается Port security с настройками по умолчанию, то ее стоит давать вначале только если настройки по умолчанию подходят.
Если требуется исправить какие-то параметры, то сначала нужно их исправить, а затем включить функцию.
[править] Максимальное количество безопасных MAC-адресов
Максимальное количество безопасных MAC-адресов на интерфейсе или в VLAN:
Например, на интерфейсе разрешить 2 MAC-адреса, а остальные настройки по умолчанию:
Заданием опционального параметра vlan, при указании максимального количества безопасных MAC-адресов, можно ограничить количество MAC-адресов для VLAN или перечня VLAN (добавлено с версии IOS 12.2.37SE).
Например, настроить транк и разрешить 20 MAC-адресов в VLAN 7:
Если на интерфейсе fa0/3 возникнет нарушение безопасности в VLAN 7, например, появится 21 адрес, то заблокирован будет только трафик этого VLAN.
Просмотр информации о настройках port-security для VLAN 7:
Если вы запишите на порт меньше безопасных адресов, чем указано в значении switchport port-security maximum, то оставшееся количество свободных адресов дополнится динамическими адресами по принципу «кто первый встал того и тапки».
Если компьютер подключен к сети через PC-порт ip телефона Cisco, и у вас отдельный vlan для телефонии, то телефон продублирует свой mac-адрес в двух vlan’ах. Настройка port-security в таком случае будет выглядеть следующим образом:
[править] Настройка безопасных MAC-адресов
Включение sticky запоминания адресов:
[править] Настройка режима реагирования на нарушения безопасности
Режим реагирования на нарушения безопасности (по умолчанию shutdown):
Если порт был настроен (или оставлен по умолчанию) режиме реагирования shutdown, то при нарушении порт перейдет в состояние error-disabled.
Посмотреть, что порт перешел в состояние error-disabled:
[править] Очистка таблицы MAC-адресов
Очистить таблицу MAC-адресов, для подключения других устройств:
[править] Настройка port security с аутентификацией 802.1X
[править] Просмотр информации о настройках port security
[править] Совместимость port security с другими функциями коммутатора
Port security несовместима с такими функциями коммутатора:
Port security совместима с такими функциями коммутатора: