Podkast 22T20 Bezpieczeństwo sieci – Port Security

WERSJA TEKSTOWA

Cześć, witam Cię w dzisiejszym moim podkaście. Temat – Port Security na Arubie. Robiłem jakiś czas temu podobny odcinek na temat Port Security w wydaniu CISCO. Dzisiaj uzupełnienie. Jeśli chodzi o porównanie pomiędzy Port Security i funkcjonalnościami tego mechanizmu między CISCO a Arubą to nie ma w zasadzie tutaj większych różnic. Przypomnę, że to co najczęściej jest używane, jeśli chodzi o Port Security to po pierwsze – w małych środowiskach ograniczenie możliwości zmieniania urządzeń, weryfikując je tylko po MAC-u. Czyli w środowiskach, gdzie ktoś nie ma Radiusa, nie ma centralnego punktu zarządzania urządzeniami, które się do sieci podłączają. Chce to zrobić tylko lokalnie na przełączniku lub na grupie przełączników.

Może mieć to sens w przypadku małej sieci, bardzo statycznej sieci, jeżeli ktoś ma np tylko sieć kamer IP i chciałby tam ograniczyć tego typu zmiany to jest taka możliwość. Jeśli chodzi o takie biurowe środowiska to to się w zasadzie nie sprawdza, ponieważ po pierwsze MAC address jest łatwo zmienić, gdy ktoś chce celowo wykonać taki atak. A z drugiej strony uciążliwość takiego dnia codziennego dla administratora, jeżeli coś jest blokowane, bo zmienił się MAC address lub zwiększyła się ilość MAC adresów na porcie i kolejny już się nie może podłączyć, to są zgłoszenia serwisowe, które są uciążliwe. Wymagają czasu administracyjnego a nie specjalnie podwyższają poziom bezpieczeństwa. W związku z tym jest to rozwiązanie już dość stare, gdzie nie były jeszcze tak popularne takie rozwiązania RADIUSowe. W dzisiejszym świecie, gdzie można albo z freeware’owego rozwiązania bezpłatnego skorzystać albo są jakieś wersje typu do 100 urządzeń też za darmo, lub też płatnego, jeśli ktoś chce bardziej rozbudowane narzędzia. Jest z czego wybierać.

W przypadku używania RADIUSa zdecydowanie zachęcam i polecam Port Security i MAC Address Sticky albo limit MAC addressów. To jest bardzo podstawowe zabezpieczenie. Nie zmienia to jednak faktu, że w niektórych scenariuszach można je użyć i może to jakoś tam dać widoczność. Może nie bezpieczeństwo, ale jakąś widoczność, co, gdzie jest na porcie podłączone. Czyli jakiś taki bardzo minimalny poziom informacji dotyczący podłączonych urządzeń. W innych przypadkach niektórzy producenci używają też możliwości mapowania pewnych parametrów typu VLAN względem MACOUI , czyli wykrywania np telefonów. Jeżeli dany telefon czy urządzenie nie wspiera LLDP, które pozwala nam w bardziej zaawansowany sposób wykryć to urządzenie i przypisać odpowiedni VLAN, voice najczęściej.

Mówiąc o konfiguracjach na Arubie, to tu w zasadzie jest to bardzo podobne. Konfiguracja opiera się na wpisaniu jaki tryb tego Port Security będzie wykorzystywany. Czy akcja, która ma być z tym związana, w przypadku wykrycia nadużycia ma polegać tylko na monitorowaniu, czy na blokowaniu. Czy ma być auto odblokowanie po pewnym czasie, czy też ma być to odblokowanie tylko na manualne życzenie administratora. Więc tutaj możliwości mamy kilka.

Jeśli będziesz miał jakieś inne pytanie w tym zakresie to oczywiście pisz w komentarzu a na dzisiaj Ci dziękuję i do usłyszenia już za tydzień.