Network

Port Security ; Port Güvenliği

Merhabalar; Bu yazımızda Port Security konusundan bahsedeceğim.

Port Security Switch’lerde yetkisiz kişilerin Network’e erişmesini engellemek için Layer 2 seviyesinde uygulanan bir güvenlik önlemidir. 

Layer 2 seviyesinde MAC adresi düzeyinde yapılan saldırıları önlemek için Switch’lerde Port Security yapılandırması uygulanır. 

Layer 2 seviyesi saldırılar hackerlar tarafından en yaygın kullanılan saldırı çeşitleridir. Örneğin MAC tablosu saldırıları, CDP saldırıları, ARP saldırıları gibi birçok saldırı layer 2 seviyesinde yapılan saldırı çeşitleridir.

Normalde Ethernet Network’lerinde bir Switch portuna bağlanan bilgisayar kolaylıkla Network’e erişebilir, örneğin bir DHCP yapılandırılmışsa DHCP’den IP alarak veya Network IP adresini biliyorsa bilgisayarın IP yapılandırmasını yaparak çok kolay bir şekilde Network’e dahil olunabilir. Yani Ethernet Network’lerinde buna yönelik herhangi bir engelleme yoktur.

Örneğin çalışmış olduğunuz şirkette eğer port security yapılandırılması yapmamışsanız, kullanıcı şirket bilgisayarının yerine evinden getirdiği Laptop’ı Network kablosuna bağlayıp kolaylıkla iç Network’ünüze erişebilir.

Bunun gibi oluşabilecek ihlalleri önlemek maksadıyla çok kullanıcılı Network’lerde Port Security uygulanır.

Port Security uygulayarak bir Siwtch’in herhangi bir portuna bağlanmasını izin verdiğiniz bilgisayar sayısını MAC adresi temelinde belirleyebilirsiniz.

Belirlediğiniz bilgisayar dışında hiç bir bilgisayar Switch’in o portuna bağlanamaz.

Port Security’ye geçmeden önce Switch güvenliğini sağlamak için yapmamız gereken en önemli işlemlerden birincisi Switch’te kullanılmayan tüm portların kapatılmasıdır.

Her ne kadar Switch’i fiziksel olarak emniyete alsanız dahi kullanılmayan portların kapatılması önemlidir.

Bunu yapmak için interface altına girip shutdown diyerek veya intefece range komutu ile belli aralıktaki Switch porlarını shutdown diyerek kapatabilirsiniz.

Böylece kullanılmayan portların güvenliğini ilk etapta almış olursunuz.

Port Security’nin bir porta uygulanabilmesi için öncelikle o portun manuel olarak yapılandırılmış Access Port veya Trunk Port olması gerekir, default olarak gelen dinamik modlara Port Security uygulanamaz.

Port Security’de Switch’lerin portunda ne kadar MAC adresine izin verileceği belirlenir.

Yani kaç farklı MAC adresinin aktif olabileceği veya hangi MAC adreslerinin aktif olabileceği yapılandırılır.

Bu yapılandırmada 3 farklı yöntem uygulanır.

Birincisi Switch’in portunda çalışacak MAC adresi veya adresleri manuel olarak girilebilir,

burada birden fazla MAC adresine izin verilebilir, yani 2 olabilir, 3 olabilir, örneğin VoIP telefonların kullanıldığı ve telefonun arkasına bilgisayarın bağlandığı konfigürasyonda 2 veya 3 MAC adresine izin verilmesi gerekir.

Bu yöntemde kontrol tamamen sistem yöneticisinin elinde olur, ama çok fazla iş yükü getirir.

Switch(config-if)# switchport port-security mac-address 000D.4444.4444

       Switch(config-if)#switchport port-security maximum 2

İkincisi bu MAC adresleri dinamik olarak öğrenilebilir, fakat bu yöntemde öğrenilen MAC adresi sadece RAM’de tutulduğu için Switch reload yapıldığında MAC adresini tekrar öğrenmesi gerekir, yani bu süreçte yanlış bir MAC adresi öğrenme durumu oluşabilir.

Switch(config-if)#switchport port-security

Üçüncüsü ilk öğrenmiş olduğu MAC adresini NVRAM’e yazabilir, yani Switch reload yapıldığında MAC adresini unutmaz.

Switch(config-if)#switchport port-security mac-address sticky

Switch’te Port Security uygulandığında ve bu uygulanmış olan Port Securiy’e yönelik bir ihlal bir violation olduğunda Port Security buna karşı önlem olarak portu kapatabilir, kısıtlayabilir veya koruma uygulayabilir, yani bu 3 şekilde Port Security yapılandırılabilir.

Shutdown durumunda ilgili port tamamen kapatılır ve error-disable hatası verir, ihlal ortadan kalksa dahi sistem yöneticisi tarafından port açılmadığı sürece veri iletimi yapılmaz. 

Ayrıca Consol’a veya Log Server yapılandırıldıysa Syslog’a ihlal log mesajları gönderilir,

Switch(config-if)#switchport port-security violation shutdown

Restrict durumunda port tamamen kapatılmaz, ama veri paketleri drop edilir ve Syslog mesajları üretilir, öğrenilen MAC adresli cihaz porta tekrar takıldığında veri iletimi başlar.

Switch(config-if)#switchport port-security violation restrict

Protect durumunda da ilgili port tamamen kapatılmaz, veri paketleri drop edilir fakat burada Syslog mesajı gönderilmez, öğrenilen MAC adresi cihaza tekrar takıldığında paket iletimi tekrar başlar, bu yönteme de en az güvenli olan yöntemdir.

Switch(config-if)#switchport port-security violation protect

Port Security konusunun çalışma mantığını daha iyi anlamak ve Cisco Packet Tracer Programı üzerinde gerçekleştirilen uygulamaları izlemek için Udemy’de yayınlanan Cisco CCNA 200-301 Sınavına Hazırlık Eğitiminine aşağıdaki linkten indirimli olarak kaydolabilirsiniz.

https://www.udemy.com/course/cisco-ccna-egitimi/?couponCode=CISCOAKADEMI

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir