Port Security, birden fazla ağ cihazının bulunduğu networklerde layer 2’de MAC adresi ile sağlanan port güvenliğidir.
Özetle Port Security konfigürasyonunda;
- Swtich’in portlarına maksimum kaç adet ağ cihazı bağlanabileceği belirlenir. (“switchport port-security max X” komutu)
- Hangi MAC adreslerine sahip ağ cihazları olacağı belirlenir. (“switchport port-security mac-address xxxx.xxxx.xxxx” komutu)
- Yetkisiz cihazlar için nasıl bir işlem uygulanacağı belirlenir. (“switchport port-security violation X” komutu)
- Son olarak servis aktif edilir. (“switchport port-security” komutu)
802.1x’ten farkı bir sunucu olmadan, sadece MAC adresi üzerinden yetkilendirme yapılıyor olması ve client tarafında bir işleme gerek olmamasıdır. Port-security yapılan switch karşıdaki ağ cihazının MAC adresini kontrol eder. 802.1x konusu için Radius Lab isimli kategorime göz atabilirsiniz.
Aşağıdaki topolojide bir ortamda masaüstü bilgisayar ve laptop bulunuyor. Bu bilgisayarlar SW isimli layer 2 bir switch’e bağlanıyorlar. Ardından SW_SEC isimli layer 2 bir switch üzerinden router’a bağlanıyorlar. Router’da ise DHCP servisi aktif olacak. Sonuç olarak 2 bilgisayar da bu Router’dan IP adresi almak isteyecekler. Fakat sadece yetkili olan bilgisayar ağa bağlanabildiği için IP alabilmiş olacak.
İlk olarak router da DHCP ayarlarını aşağıdaki şekilde yapalım. IP dağıtılacak interface’e IP adresi verelim. Daha detaylı bilgi için Ders 9- Network Cihazlarına IP Atamak isimli makaleme göz atabilirsiniz.
IP dağıtılacak Pool ayarlarını yapalım. DHCP servisi için Cisco Router İle DHCP Server makalemi inceleyebilirsiniz.
1: “192.168.1.1 ile 192.168.1.10 arasındaki IP adreslerini hariç tut ve dağıtma.
2: “havuzum” isimli bir IP Pool aç.
3: 192.168.1.0/24 network’ünden IP adresi dağıt.
4: 192.168.1.1 IP adresli Interface aracılığıyla dağıt.
İkinci aşamada router öncesinde kullandığımız SW_SEC isimli switch’in fast ethernet 0/2 portuna Port Security uygulayalım. Böylece fast ethernet 0/2 portuna sadece bizim belirttiğimiz adette ve bizim belirttiğimiz MAC adresli cihaz bağlanabilecek.
1: FastEthernet 0/2 Interface’ini Access mod’a al.
2: Port Security servisini aktif et.
3: İhlal anında Restrict moduna geç.
Not: Burada aslında 3 adet ihlal modu var.
Protect ve restirict modları aynı işi yapıyor denilebilir. Restrict modu log da tutmaya yarıyor. Shutdown modu ise yetkisiz girişlerde direkt olarak portu kapatıyor. Fakat tıpkı örnek topolojimizde oldupu gibi aynı port da yetkili cihazlar da olabileceği için kullanılması pek önerilmiyor.
4: “0040.0B64.7B37” MAC adresli ağ cihazını yetkili kıl, izin ver.
Not: Burada da toplamda 2 seçenek mevcuttur.
İlkini zaten örneğimizde kullanıyoruz. Direkt olarak sabit bir MAC adresi tanımlamaya yarıyor. Sticky seçeneği ise o anda bağlı olan ağ cihazının MAC adresini otomatik olarak al, kaydet ve yetkili kıl anlamına geliyor. Yerine göre çok bilgisayarlı ağlarda büyük avantaj sağlayan bir seçenektir.
5: Burada görünmese de “switchport port-security max 1” komutu ile sadece 1 adet ağ cihazı ile sınırlama da yapılır.
Şimdi 2 bilgisayarı da kontrol edelim. Görüldüğü üzere laptop yetkisiz olduğu için engellendi, ağa erişemedi ve dolaysıyla router’dan IP adresi alamadı.
Sadece MAC adresi “0040.0B64.7B37” olan masaüstü bilgisayar tanımlanan Pool’dan IP aldı ve “192.168.1.11” adresi ile ağa erişti.
Dolayısıyla yetkili olan masaüstü bilgisayar, Router’a da ping atabiliyor.
“Port Security Nedir?” üzerine bir yorum
Merhabalar iş yerinde çok sık karşılaştığımız bir konu.bilgiler çok yardımcı oldu