Labb 15: Port-security

I denna laboration fokuserar vi på hur du kan säkra ditt nätverk genom att konfigurera Port Security på Cisco-switchar. Som standard är alla interface på en Cisco-switch i ett aktiverat tillstånd, vilket innebär att vem som helst potentiellt kan ansluta till ditt nätverk via en vägguttag, vilket utgör en säkerhetsrisk.

Port Security tillåter nätverksadministratörer att associera endast specifika MAC-adresser eller sätta ett maximalt antal MAC-adresser med varje switchport. Om en obehörig enhet försöker ansluta kan du konfigurera switchen att vidta fördefinierade åtgärder, såsom att kassera inkommande trafik, skicka ett varningsmeddelande eller stänga av porten för att mildra säkerhetshotet.

I Packet Tracer skapar vi en nätverkstopologi som nedan så att vi kan utforska följande:

  1. Aktivera port-security på porten g0/1. PC1 ansluts till g0/1 och startar ping till R1.
  2. Vad händer när PC2 ansluts till samma port?
  3. Aktivera statisk inlärning av en MAC-address
  4. Vad händer när en annan PC ansluts till samma port?
  5. Aktivera dynamisk inlärning av en MAC-adress
  6. Vad händer när en annan PC ansluts till samma port?
  7. Aktivera dynamisk inlärning av två MAC-adresser
  8. Ändra konfiguration på ”security violation” från shutdown till restrict.

Grundläggande Konfigurationer och Setup

  • Switch S1: Endast hostname konfigureras.
  • Router R1: Hostname och IP-adress 192.168.1.1/24 på interface g0/0.
  • Datorer:
    • PC1 med IP 192.168.1.10/24
    • PC2 med IP 192.168.1.11/24
    • HA1 med IP 192.168.1.13/24
    • Alla datorer har som default gateway IP-adressen 192.168.1.1.

Konfigurationer

Konfigurera port security

Det finns tre steg för att konfigurera port security på en Cisco-switch:

  1. Konfigurera switchporten som en åtkomstport (access) med kommandot ”switchport mode access”.
  2. Aktivera port security på switchporten med kommandot ”switchport port-security”.
  3. Specificera de tillåtna MAC-adresserna för att sända ramar genom interfacet. Detta kan göras antingen genom att använda kommandot ”switchport port-security mac-address {MAC_Address}” eller, för dynamisk MAC-adressinlärning, kommandot ”switchport port-security mac-address sticky” medan slutenheten är ansluten.

För att verifiera port-security-konfigurationen på ett gränssnitt kan vi använda kommandot ”show port-security interface {interface}”

S1(config)# interface g0/1
S1(config-if)# switchport mode access
S1(config-if)# switchport port-security
S1(config-if)# end
S1# show port-security interface g0/1

Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0

Trots att port-security är aktiverat visar resultatet att switchen S1 ännu inte har lärt sig någon MAC-adress, eftersom PC1 inte har skickat några ramar till switchen. Starta en ping från PC1 till R1 och kör sedan kommandot show port-security interface g0/1 igen för att verifiera att MAC-adressen har registrerats.

Switch#show port-security int g0/1

Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0060.70A7.B190:1
Security Violation Count : 0

Switchen S1 har lärt sig PC1 MAC-adressen !

Vad händer om PC2 kopplas till samma port?

  1. Koppla av PC1 och anslut PC2 till samma port.
  2. Starta ping till R1 från PC2
  3. Exekvera kommandot S1# show port-security interface g0/1 för att observera eventuella förändringar i utdatan.
Switch#show port-security int g0/1

Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0C67.5969:1
Security Violation Count : 0

Ingen ändring förutom att switchen S1 lärde sig en ny MAC-address: 0000.0C67.5969

Aktivera statisk inlärning av en MAC-address

  1. Först kopplar du bort PC2 så att ingen dator är ansluten till switchen.
  2. Starta om switchen genom att köra kommandot reload och svara no på frågan "System configuration has been modified. Save?".
  3. Justera sedan konfigurationen på S1 så att endast PC1 accepteras av switchen.
Switch> enable
Switch# configure terminal
Switch(config)# hostname S1
S1(config)# interface g0/1
S1(config-if)# switchport mode access
S1(config-if)# switchport port-security
S1(config-if)# switchport port-security mac-address 0060.70A7.B190
S1(config-if)# end
S1#
  1. Anslut PC1 till porten g0/1 och starta ping till R1
  2. Kör kommandot show port-security interface g0/1
S1#show port-security int g0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0060.70A7.B190:1
Security Violation Count : 0

Vad händer när en annan PC ansluts till samma port?

  1. Koppla av PC1 och anslut PC2 till samma port
  2. Starta ping till R1
  3. Exekvera kommandot show port-security interface g0/1
S1#show port-security int g0/1

Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0C67.5969:1
Security Violation Count : 1

Nu har porten inaktiverats på grund av en säkerhetsöverträdelse och har placerats i fel-aktiverat läge (err-disabled).

Aktivera dynamisk inlärning av en MAC-adress

  1. Koppla av ansluten PC (ingen dator är ansluten till S1).
  2. Porten g0/1 är inaktiverad (err-disabled). Återaktivera porten g0/1.
S1(config)# interface g0/1
S1(config-if)# shutdown
S1(config-if)# no shutdown
S1(config-if)# end
S1# show port-security interface g0/1
  1. Portens status är Secure-down eftersom ingen dator är ansluten.
  2. Anslut PC1 och kör kommandot show port-security int g0/1 igen. Port Status är nu Secure-up.
  3. Radera konfigurationen för statisk inlärning
S1(config)#int g0/1
S1(config-if)#no switchport port-security mac-address 0060.70A7.B190
S1(config-if)#switchport port-security mac-address sticky
S1(config-if)#end
  1. Anslut PC1 till switchen på porten g0/1 och starta ping till R1. Switchen har lärt sig en MAC-adress

Vad händer när en annan PC ansluts till samma port?

  1. Switchen har lärt sig PC1 MAC-adressen: 0060.70A7.B190
  2. Koppla av PC1 och anslut HA1 till samma port.
  3. Starta ping till R1
  4. Porten aktiveras av direkt.

Aktivera dynamisk inlärning av en MAC-adress

  1. Koppla av ansluten PC (ingen dator är ansluten till S1).
  2. Porten g0/1 är inaktiverad (err-disabled). Återaktivera porten g0/1.
S1(config)# interface g0/1
S1(config-if)# shutdown
S1(config-if)# no shutdown
S1(config-if)# end
S1# show port-security interface g0/1

Portens status är Secure-down eftersom ingen dator är ansluten.

  1. Radera konfigurationen för dynamisk inlärning av en MAC-adress.
  2. Aktivera dynamisk inlärning av två MAC-adresser att komma ihåg.
S1(config)#int g0/1
S1(config-if)# switchport port-security
S1(config-if)# switchport port-security mac-address sticky
S1(config-if)# switchport port-security maximum 2
S1(config-if)#end
  1. Anslut PC1 till switchen på porten g0/1 och starta ping till R1.
  2. Koppla av PC1 och anslut PC2 på samma port och starta ping till R1
  3. Exekvera kommandot show port-security interface g0/1
S1#show port-security int g0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 2
Total MAC Addresses : 2
Configured MAC Addresses : 0
Sticky MAC Addresses : 2
Last Source Address:Vlan : 0000.0C67.5969:1
Security Violation Count : 0
  1. Koppla av Pc2 och därefter anslut HA1 till porten g0/1
  2. Starta ping till R1. Porten aktiveras av direkt.
  3. Exekvera kommandot show port-security interface g0/1
S1#show port-security int g0/1
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 2
Total MAC Addresses : 2
Configured MAC Addresses : 0
Sticky MAC Addresses : 2
Last Source Address:Vlan : 0090.0C36.2799:1
Security Violation Count : 1