Labb 24: 802.1x Labb 27: Säkra switchar
Denna laboration visar hur du säkrar ditt nätverk genom att konfigurera Port Security på Cisco-switchar. Normalt är alla switchportar aktiverade, vilket innebär att vem som helst kan ansluta via ett vägguttag, vilket kan vara en säkerhetsrisk.
Med Port Security kan administratörer begränsa switchportar till specifika MAC-adresser eller ett maximalt antal adresser. Om en obehörig enhet försöker ansluta kan switchen vidta åtgärder som att blockera trafiken, skicka en varning eller stänga av porten för att motverka hotet.
I Packet Tracer skapar vi en nätverkstopologi för att undersöka detta vidare.
Instruktioner för Port Security-konfiguration
-
- Aktivera Port Security på switchport g0/1.
- Scenario 1: PC1 ansluter till g0/1
- PC1 är ansluten till port g0/1 och startar en ping mot routern R1.
- Fråga: Vad händer om PC2 också ansluts till samma port?
- Scenario 2: Statisk inlärning av MAC-adress
- Aktivera Port Security med statisk inlärning av en specifik MAC-adress.
- Fråga: Vad händer om en annan dator försöker ansluta till samma port?
- Scenario 3: Dynamisk inlärning av en MAC-adress
- Konfigurera port g0/1 för dynamisk inlärning av en MAC-adress.
- Fråga: Vad händer om en annan dator ansluts till samma port?
- Scenario 4: Dynamisk inlärning av två MAC-adresser
- Aktivera Port Security för att tillåta dynamisk inlärning av upp till två MAC-adresser.
- Ändra konfiguration av säkerhetsbrott (Security Violation)
- Konfigurera Port Security så att vid ett säkerhetsbrott porten inte stängs av (shutdown), utan istället begränsas (restrict).
Grundläggande Konfigurationer och Setup
- Switch S1:
- Konfigurera endast switchens namn till S1.
- Router R1:
- Sätt namn på routern till R1.
- Konfigurera IP-adress 192.168.1.1/24 på interface g0/0.
- Datorer:
- PC1 – IP-adress 192.168.1.10/24
- PC2 – IP-adress 192.168.1.11/24
- HA1 – IP-adress 192.168.1.13/24
- Default Gateway:
- Alla datorer har 192.168.1.1 som sin default gateway.
Konfigurationer
Konfigurera port security
Det finns tre steg för att konfigurera port security på en Cisco-switch:
- Konfigurera switchporten som en åtkomstport (access) med kommandot ”switchport mode access”.
- Aktivera port security på switchporten med kommandot ”switchport port-security”.
- Specificera de tillåtna MAC-adresserna för att sända ramar genom interfacet. Detta kan göras antingen genom att använda kommandot ”switchport port-security mac-address {MAC_Address}” eller, för dynamisk MAC-adressinlärning, kommandot ”switchport port-security mac-address sticky” medan slutenheten är ansluten.
För att verifiera port-security-konfigurationen på ett gränssnitt kan vi använda kommandot ”show port-security interface {interface}”
S1(config)# interface g0/1 S1(config-if)# switchport mode access S1(config-if)# switchport port-security S1(config-if)# end S1# show port-security interface g0/1 Port Security : Enabled Port Status : Secure-shutdown Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0000.0000.0000:0 Security Violation Count : 0
Trots att port-security är aktiverat visar resultatet att switchen S1 ännu inte har lärt sig någon MAC-adress, eftersom PC1 inte har skickat några ramar till switchen. Starta en ping från PC1 till R1 och kör sedan kommandot show port-security interface g0/1 igen för att verifiera att MAC-adressen har registrerats.
Switch# show port-security int g0/1 Port Security : Enabled Port Status : Secure-shutdown Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0060.70A7.B190:1 Security Violation Count : 0
Switchen S1 har lärt sig PC1 MAC-adressen !
Vad händer om PC2 kopplas till samma port?
- Koppla av PC1 och anslut PC2 till samma port.
- Starta ping till R1 från PC2
- Exekvera kommandot S1# show port-security interface g0/1 för att observera eventuella förändringar i utdatan.
Switch# show port-security int g0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0000.0C67.5969:1 Security Violation Count : 0
Ingen ändring förutom att switchen S1 lärde sig en ny MAC-address: 0000.0C67.5969
Aktivera statisk inlärning av en MAC-address
- Först kopplar du bort PC2 så att ingen dator är ansluten till switchen.
- Starta om switchen genom att köra kommandot reload och svara no på frågan "System configuration has been modified. Save?".
- Justera sedan konfigurationen på S1 så att endast PC1 accepteras av switchen.
Switch> enable Switch# configure terminal Switch(config)# hostname S1 S1(config)# interface g0/1 S1(config-if)# switchport mode access S1(config-if)# switchport port-security S1(config-if)# switchport port-security mac-address 0060.70A7.B190 S1(config-if)# end S1#
- Anslut PC1 till porten g0/1 och starta ping till R1
- Kör kommandot show port-security interface g0/1
S1# show port-security int g0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0060.70A7.B190:1 Security Violation Count : 0
Vad händer när en annan PC ansluts till samma port?
- Koppla av PC1 och anslut PC2 till samma port
- Starta ping till R1
- Exekvera kommandot show port-security interface g0/1
S1# show port-security int g0/1 Port Security : Enabled Port Status : Secure-shutdown Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0000.0C67.5969:1 Security Violation Count : 1
Nu har porten inaktiverats på grund av en säkerhetsöverträdelse och har placerats i fel-aktiverat läge (err-disabled).
Aktivera dynamisk inlärning av en MAC-adress
- Koppla av ansluten PC (ingen dator är ansluten till S1).
- Porten g0/1 är inaktiverad (err-disabled). Återaktivera porten g0/1.
S1(config)# interface g0/1 S1(config-if)# shutdown S1(config-if)# no shutdown S1(config-if)# end S1# show port-security interface g0/1
- Portens status är Secure-down eftersom ingen dator är ansluten.
- Anslut PC1 och kör kommandot show port-security int g0/1 igen. Port Status är nu Secure-up.
- Radera konfigurationen för statisk inlärning
S1(config)# int g0/1 S1(config-if)# no switchport port-security mac-address 0060.70A7.B190 S1(config-if)# switchport port-security mac-address sticky S1(config-if)# end
- Anslut PC1 till switchen på porten g0/1 och starta ping till R1. Switchen har lärt sig en MAC-adress
Vad händer när en annan PC ansluts till samma port?
- Switchen har lärt sig PC1 MAC-adressen: 0060.70A7.B190
- Koppla av PC1 och anslut HA1 till samma port.
- Starta ping till R1
- Porten aktiveras av direkt.
Aktivera dynamisk inlärning av en MAC-adress
- Koppla av ansluten PC (ingen dator är ansluten till S1).
- Porten g0/1 är inaktiverad (err-disabled). Återaktivera porten g0/1.
S1(config)# interface g0/1 S1(config-if)# shutdown S1(config-if)# no shutdown S1(config-if)# end S1# show port-security interface g0/1
- Portens status är Secure-down eftersom ingen dator är ansluten.
- Anslut PC1 och kör kommandot show port-security int g0/1 igen. Port Status är nu Secure-up.
- Radera konfigurationen för statisk inlärning
S1(config)# int g0/1 S1(config-if)# no switchport port-security mac-address 0060.70A7.B190 S1(config-if)# switchport port-security mac-address sticky S1(config-if)# end
S1#
- Anslut PC1 till switchen på porten g0/1 och starta ping till R1. Switchen har lärt sig en MAC-adress