21T19 Port Security w 10 min. [Konfiguracja]

1 Port -> 1 Urządzenie -> Blokada

Link do artykułu.

0:00 Wprowadzenie

0:15 Topologia i Konfiguracja

4:51 Sprawdzenie Konfiguracji

9:38 Podsumowanie

Transkrypcja

Cześć! Chcesz się dowiedzieć, jak skonfigurować Port Security, czyli podstawowy mechanizm ograniczania dostępu do portów fizycznych przełącznika? Jeżeli tak, to ten odcinek będzie właśnie o tym.

Przejdźmy do topologii. Mamy w naszym dzisiejszym przykładzie dwóch użytkowników PC: User1, User2. Mamy też Administratora, czyli stację końcową administratora. Mamy też dwa switche: przełącznik pierwszy i przełącznik zerowy. Na koniec będziemy też podłączać urządzenie obce, urządzenie końcowe, które dla nas jest nieznane. Zacznijmy od konfiguracji. Pierwszą rzeczą, którą tutaj należy zrobić-i Kamil nam to przygotował, to zmienić, żeby interface’y IP tych stacji końcowych w naszym środowisku brały adres z DHCP. Taki typowy scenariusz. Kolejnym krokiem konfiguracji będzie sprawdzenie, jaką mamy konfigurację na switchu. Czyli show run i patrzymy, że konfiguracji praktycznie na tym przełączniku nie ma. Możemy zobaczyć, że wszystkie interface’y do 24 również nie mają żadnej konfiguracji. Jeżeli chodzi o konfigurację, to trzeba wejść kontekst interface’u. Tu przypadek interface’u 2 i 3. Zmieniamy typ pracy tego interface’ na mode access, czyli na tryb dostępowy. Następnie wystarczy przełączyć tryb port security, czyli uruchamiamy ten tryb i przełączamy tryb pracy port security Mac address sticky. Czyli że chcemy, żeby pierwszy adres, który się pojawi na tym przełączniku dla tego portu, był do niego przyklejony, czyli na stałe przywiązany. Dzięki temu kolejne adresy mac, które będziemy podłączać czy widzieć na tym przełączniku na danym porcie, nie będą obsługiwane. Konfigurujemy dalej.

Kolejny krok to jest ograniczenie maksymalnej ilości mac addressów na port do jednego i ustawienie trybu pracy tego mechanizmu port security. Tryb pracy violation restrict oznacza, że będzie blokowany ruch dla mc addressów innych niż ten już przyklejony do portu i będzie taka informacja zapisywana dla administratora. Idźmy dalej. Zapisujemy konfigurację oczywiście i sprawdzamy w konfiguracji bieżącej, jaka jest aktualna konfiguracja. Teraz widzimy, że dla portu 0/2, jak i portu 0/3, zostały przepisane mac addressy, czyli takie mac addressy zostały zauważone na tych portach. Teraz możemy zobaczyć tablice Mac tego przełącznika. Widzimy tutaj porty 3 i 2-one mają tryb przypisania tego mac addressu static. Czyli na stałe, statycznie są przypisane mac addressy do portu. Możemy też wydać takie polecenie show port security i zobaczyć, czy wystąpiły do tej pory jakieś zdarzenia, które są niezgodne z naszą polityką.
Na razie takich zdarzeń nie ma. Okej, teraz konfiguracja przełącznika 0, czyli przełącznika, do którego jest podpięty administrator. Tutaj podobnie, w konfiguracji nic nie ma w zakresie port security. W związku z tym wchodzimy
w kontekst interface’u, 0/2 interface w tym przypadku i tryb pracy portu access,
czyli port dostępowy.

Teraz port security. Mac address sticky, czyli przypisanie, takie przyklejanie mac addressu aktualnego pierwszego wystąpionego, ograniczanie maksymalnej ilości Mac addressów na porcie do jednego, tryb obsługi port security violation restrict i zapisanie konfiguracji. Czyli taka sama konfiguracja, jak mieliśmy na przełączniku zero. Możemy sobie w konfiguracji zauważyć, że faktycznie taka zmiana nastąpiła. Wyświetlmy sobie show port security. Nie ma żadnych zdarzeń. Teraz to, co zrobimy, to sprawdzimy, czy wszystko działa. Czyli najpierw zapingujemy od użytkownika pierwszego do użytkownika drugiego. Przypominam, że adresy IP z DHCP były wskazane, że będą przydzielane, w związku z tym patrzymy, jaki adres IP jest wygenerowany na tej stacji końcowej. Nie było oczywiście HCP w naszej konfiguracji, w związku z tym Windows przypisał sobie zarówno w jednej, jak i w drugiej stacji swój adres IP taki losowany. Czyli dla Usera1 mamy 73.149. Dla Usera2 sprawdźmy. Dla Usera2 za chwilę zobaczymy, jaki jest adres. Na razie możemy zobaczyć, że User2 jest w stanie pingować Usera1, czyli adres 73.149, jest taki ping i on przechodzi i ten ping nie odpowiada. Czyli widzimy, że jest time out.

Widać, że urządzenie obce nie jest właściwie obsługiwane. Co więcej, możemy na przełączniku pierwszym zobaczyć, że przełączenie portu nastąpiło, czyli był changed state to down, a następnie stan portu fastEthernet 0/3, był port podniesiony, port up. Czyli mimo że port jest podniesiony, to ten obcy host nie jest obsługiwany. Teraz jak spojrzymy sobie show port security, widzimy, że pojawiają się liczniki naruszeń, czyli ten violation. Widać, że pięć razy był taki pakiet wysyłany i został on skasowany. Czyli nie był przesyłany dalej. Zobaczmy informacje o interface. Będzie lepsze polecenie: port show security interface fastEthernet 0/3. Tu mamy informację tabelaryczną o parametrach tego portu.

Przyjrzyjmy się temu bliżej. Czyli mamy tutaj wpisane, że aging time jest 0 mins, czyli zero minut. Violation mode jest restrict, czyli będzie blokowany ten port, jeżeli nastąpi naruszenie. Aging time oznacza, że przypisanie tego mac addressu, tego sticky mac addressu będzie upływało po jakiej ilości czasu.
Jeżeli jest wpisane zero domyślnie, tak jak tutaj, to znaczy, że ten mac address
nigdy sam nie zniknie z tego portu. Mamy też tutaj security violation count,
czyli ilość zdarzeń, które na tym porcie zostały zauważone-5 zdarzeń zostało zauważonych. To wszystko, jeżeli chodzi o konfigurację port security. Jest to prosty mechanizm, ale działający, więc jeżeli chcesz się dowiedzieć więcej na temat zalet, wad i alternatyw, to zapraszam Cię do mojego podcastu. Tam rozwinę bardziej temat dotyczący teorii, dotyczący możliwości, i dotyczący zalet i wad tego rozwiązania.

Jeżeli jesteś ciekaw, jak skonfigurować takie środowisko, chcesz zobaczyć w formie artykułu tę instrukcję, to oczywiście może zaglądnąć na bloga i tam cały artykuł na ten temat jest opisany. Link oczywiście do tego artykułu będzie pod video. Dziękuję Ci za uwagę dzisiaj i do usłyszenia już za tydzień.