Säkerhetskonfigurationer Port Security Violation
Lager 2 enheter är ofta de mest sårbara i ett företags nätverkssäkerhet. Attacker på detta lager kan vara enkla att genomföra, men kan motverkas med grundläggande säkerhetsåtgärder.
Inaktivera oanvända portar
Innan en switch sätts i drift bör alla oanvända portar inaktiveras. Till exempel, om en Catalyst 2960-switch har 24 portar men endast 3 är i bruk, bör de 21 oanvända portarna stängas av. Gör detta genom att navigera till varje oanvänd port och köra kommandot.
För att konfigurera en grupp av portar, använd kommandot interface range.
Switch(config)# interface range type module/first-number – last-number
Till exempel, för att stänga av portarna från Fa0/8 till Fa0/24 på S1, skulle du ange följande kommando.
S1(config)# interface range fa0/8 - 24 S1(config-if-range)# shutdown %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down (output omitted) %LINK-5-CHANGED: Interface FastEthernet0/24, changed state to administratively down S1(config-if-range)#
Att skydda MAC-adresstabellen
För att förhindra attacker mot MAC-adresstabellen kan port security aktiveras. Denna funktion begränsar antalet tillåtna MAC-adresser per port och förhindrar överbelastnings attacker. Administratören kan antingen manuellt konfigurera tillåtna MAC-adresser eller låta switchen automatiskt lära sig ett begränsat antal adresser.
När port security är aktiverat kontrollerar switchen varje inkommen ram mot listan över säkra MAC-adresser. Om en okänd MAC-adress försöker ansluta, kan porten blockeras för att skydda nätverket mot oönskade anslutningar och obehörig åtkomst. Detta hjälper till att säkerställa nätverkets integritet och stabilitet, som illustreras i bilden nedan.
Obs: MAC-adresserna visas som 24 bitar för enkelhetens skull.
Aktivera port security
Observera i exemplet nedan att kommandot switchport port-security avvisades. Detta beror på att port security endast kan aktiveras på portar som manuellt har konfigurerats som access eller trunk. Som standard är Lager 2-switchportar inställda på dynamisk auto (trunking på). För att aktivera port security i exemplet ändrades porten först till access-läge med kommandot switchport mode access i portens konfigurations-läge.
Obs: Trunkportssäkerhet ligger utanför kursens omfattning.
S1(config)# interface f0/1 S1(config-if)# switchport port-security Command rejected: FastEthernet0/1 is a dynamic port. S1(config-if)# switchport mode access S1(config-if)# switchport port-security S1(config-if)# end S1#
Använd kommandot show port-security interface för att se säkerhetsinställningarna. Till exempel för FastEthernet 0/1 som visar att port-security är aktiverat, och portstatusen visar Secure-down, vilket betyder att ingen enhet är ansluten och ingen överträdelse har inträffat. Överträdelseläget är inställt på Shutdown, och det maximala antalet MAC-adresser är 1. Om en enhet ansluts till porten, skulle status ändras till Secure-up, och switchen skulle automatiskt lägga till enhetens MAC-adress som en säker MAC. I detta exempel är porten tom.
S1# show port-security interface f0/1 Port Security : Enabled Port Status : Secure-down Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0000.0000.0000:0 Security Violation Count : 0 S1#
Observera: Om kommandot switchport port-security är aktiverat på en port och fler än en enhet ansluts, kommer porten att gå till error-disabled-läge.
Efter att port-security har aktiverats kan andra specifika säkerhets inställningar konfigureras, som visas i exemplet här neda:
S1(config-if)# switchport port-security ? aging Port-security aging commands mac-address Secure mac address maximum Max secure addresses violation Security violation mode S1(config-if)# switchport port-security
Att begränsa antal tillåtna MAC-adresser:
För att ange det maximala antalet MAC-adresser som tillåts på en port, använd följande kommando:
Switch(config-if)# switchport port-security maximum value
Standardvärdet (default) för portskydd är 1. Det maximala antalet säkra MAC-adresser som kan konfigureras beror på switchen och IOS. I exempel nedan är det maximala antalet 8192.
S1(config)# interface f0/1
S1(config-if)# switchport port-security maximum ?
<1-8192> Maximum addresses
S1(config-if)# switchport port-security maximum
Att bestämma hur switchen lär sig MAC-adresser
Switchen kan konfigureras för att lära sig om MAC-adresser på en säker port på ett av tre sätt:
- Manuellt konfigurerad
Administratören konfigurerar manuellt en statisk MAC-adress(er) genom att använda följande kommando för varje säkrad MAC-adress på porten:
Switch(config-if)# switchport port-security mac-address mac-address
- Dynamiskt lärd
När kommandot switchport port-security matas in säkras den aktuella source-MAC-adressen för den enhet som är ansluten till porten automatiskt, men den läggs inte till i start-config filen. Om switchen startas om måste porten åter lära sig enhetens MAC-adress. - Dynamiskt lärd – Sticky
Administratören kan aktivera switchen att dynamiskt lära sig MAC-adressen och ”fästa” dem till den aktuella konfigurationen genom att använda följande kommando:
Switch(config-if)# switchport port-security mac-address sticky
Att spara den aktuella konfigurationen kommer att skriva den dynamiskt inlärda MAC-adressen till NVRAM.
Exempel på konfiguration av port security för FastEthernet 0/1
Det här exemplet visar att administratören konfigurerar följande:
- Sätter ett maxantal på 2 MAC-adresser
- Konfigurerar en säker MAC-adress manuellt
- Låter porten dynamiskt lära sig ytterligare MAC-adresser upp till maxantalet (2).
*Mar 1 00:12:38.179: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up *Mar 1 00:12:39.194: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up S1#conf t Enter configuration commands, one per line. End with CNTL/Z. S1(config)# S1(config)# interface fa0/1 S1(config-if)# switchport mode access S1(config-if)# switchport port-security S1(config-if)# switchport port-security maximum 2 S1(config-if)# switchport port-security mac-address aaaa.bbbb.1234 S1(config-if)# switchport port-security mac-address sticky S1(config-if)# end
För att verifiera konfigurationen, använd kommandona show port-security interface och show port-security address.
S1# show port-security interface fa0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 2 Total MAC Addresses : 2 Configured MAC Addresses : 1 Sticky MAC Addresses : 1 Last Source Address:Vlan : a41f.7272.676a:1 Security Violation Count : 0 <S1# show port-security address Secure Mac Address Table ----------------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 1 a41f.7272.676a SecureSticky Fa0/1 - 1 aaaa.bbbb.1234 SecureConfigured Fa0/1 - ----------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 1 Max Addresses limit in System (excluding one mac per port) : 8192 S1#
Utdata från kommandot show port-security interface verifierar att port-säkerhet är aktiverad, det finns en dator ansluten till porten (dvs. Secure-up), totalt kommer 2 MAC-adresser att tillåtas, och S1 har lärt sig en MAC-adress statiskt och en MAC-adress dynamiskt (dvs. sticky).
Utdata från kommandot show port-security address listar de två inlärda MAC-adresserna.
Port Security Aging
Port Security Aging används för att automatiskt ta bort gamla säkra MAC-adresser från en port. Det finns två typer av åldring:
- Absolute: De säkra adresserna raderas automatiskt efter en viss tid.
- Inactivity: De säkra adresserna raderas endast om de inte används under en viss tid.
Aging gör att säkra MAC-adresser kan tas bort utan att behöva radera dem manuellt. Man kan även justera åldringstiden för att behålla gamla säkra adresser längre om nya läggs till. Åldring för statiskt konfigurerade säkra adresser kan aktiveras eller inaktiveras per port.
Använd kommandot switchport port-security aging för att aktivera/avaktivera åldring, ställa in åldringstiden eller välja åldringstyp för en säker port.
Switch(config-if)# switchport port-security aging {static | time time | type {absolute | inactivity}}
Parametrarna för kommandot beskrivs i tabellen nedan.
| Parameter | Description |
|---|---|
| Static | Aktiverar åldrande för statiskt konfigurerade säkra adresser på denna port. |
| time time | Specificera åldrandetiden för denna port. Intervallet är 0 till 1440 minuter. Om tiden är 0 är åldrandet inaktiverat för denna port. |
| type absolute | Ställ in absolut åldringstid. Alla säkra adresser på denna port åldras ut exakt efter den angivna tiden (i minuter) och tas bort från listan över säkra adresser. |
| Type inactivity | Ställ in åldringstypen för inaktivitet. De säkra adresserna på denna port åldras ut endast om det inte finns någon datatrafik från den säkra källadressen under den angivna tidsperioden |
Exemplet visar hur en administratör konfigurerar åldringstypen till 10 minuters inaktivitet och använder kommandot ”show port-security interface” för att verifiera konfigurationen.
S1(config)# interface fa0/1 S1(config-if)# switchport port-security aging time 10 S1(config-if)# switchport port-security aging type inactivity S1(config-if)# end S1# show port-security interface fa0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 10 mins Aging Type : Inactivity SecureStatic Address Aging : Disabled Maximum MAC Addresses : 2 Total MAC Addresses : 2 Configured MAC Addresses : 1 Sticky MAC Addresses : 1 Last Source Address:Vlan : a41f.7272.676a:1 Security Violation Count : 0 S1#