Port security ile bir switch üzerinde aşağıdakiler yapılabilir:

  • (Genel Güvenlik) Her bir porttaki MAC adres sayısını sınırlandırmak.
  • (Arttırılmış Güvenlik) Hangi MAC adresinin hangi porta erişebileceğini belirlemek.

Örneğin birisi wireless adaptör takabilir. Bu porttan 1 yerine 20 tane MAC adresi alınmasını önlemektir. Güvenlik odaklı bir kuruluşta ise her bir porttan hangi MAC adresi ile erişilebileceğini sınırlandırabilirsiniz.

Portlar static olarak belirlendiğinde her biri için static olarak elle girilmiş bir MAC adresi olur. Sticky olarak belirlendiğinde ise verilen sayıda ilk takılanlara izin verilir. Peki güvenlik politikası çiğnendiğinde ise üç çeşit cevap vardır. Protect, Restrict, Shutdown. Shutdown default tercihtir.

Port Security Lab:

  1. Switch’inize (S1) iki cihaz bağlayın. Port 1 ve Port 2.
  2. Cihazlara aynı network üzerinden birer IP adresi verin ve aralarında devamlı bir ping bağlantısı oluşturun.
  3. MAC adres tablosuna bakarak cihazların beklendiği gibi görüntülendiklerini doğrulayın.
  4. Portlarda port security’i aktif hale getirerek tek bir MAC adresine izin verecek şekilde yapılandırın.
  5. Cihazlardan birinde Scapy gibi bir araç kullanarak birden fazla kaynak adresten gelen trafik yaratın. (Alternatif olarak başka bir switch veya hub kullanılabilir.) Port security’nin çalıştığını doğrulayın.
  6. Portu tekrar aktif hale getirin. Ping’in devam ettiğini doğrulayın.
  7. Her iki portta da sticky mac address özelliğini aktif hale getirin.
  8. Port1’deki cihazı Port2’ye taşıyın. Ardından tersini yapın. Port security’nin beklendiği gibi işlediğini doğrulayın.
  9. Portları tekrar aktif hale getirin. Port security’i kaldırın.

1. Adım : Switch’e Cihazların Bağlanması

Cihazları port 1 ve port 2’ye takıyoruz. Portların aktif hale gelmesi 30 saniye alır. Önce koyu sarı yanarlar bu STP kontrolünün yapıldığı anlamına gelir. Yeşil olduklarında port aktiftir.

2. Adım : Cihazlara IP adresi Verilmesi ve Devamlı Ping Atılması

Bilgisayarlara aşağıdaki IP adreslerini verdik:

Devamlı pingleri her iki cihazdan birbirine olacak şekilde aşağıdaki gibi etkinleştiriyoruz.

3. Adım : Switch’de MAC Adresi Tablosunun Görüntülenmesi

Aşağıdaki komutla MAC adresi tablosunu görüntüleyelim.

Default statik MAC adreslerinin altında portlara atanmış adresleri görebiliyoruz.

Bilgisayarları açıp mac adreslerini kontrol ettiğimizde uyum sağladığını görüyoruz.

4. Adım : Switch’de Port Security’nin Aktif Hale Getirilmesi

Port security birden fazla basamağı olan bir komuttur. İlk olarak portların port security’i kabul etmeleri için “access port” olmaları gerekmektedir.

Portlarda port-security’i aktif hale getirebilmemiz için access port olmaları gerekiyor fakat trunk portlar üzerinde port security aslında yapılabilir. Fakat bu genellikle yapılan bir şey değildir çünkü oradan başka ne geleceğini bilemeyiz. Bir porta başka bir switch bağladıysak o porttan bir sürü MAC adresi gelebilir.

Fakat dinamic bir portta kesinlikle yapılamaz. Command rejected mesajı verecektir.

? işareti ile opsiyonları görüntülediğimizde,

  • aging: mac adreslerinin ne kadar süre ile hatırlanacağı.
  • mac-address: spesifik bir mac adresi veya sticky mac adresi kullanabiliriz.
  • maximum: Kaç tane maksimum adrese izin verdiğimiz.
  • violation: Kural aşıldığında ne yapacağı, protect,restrict ve shutdown modları vardı.

İster yalnızca tek bir mac adresine izin vermemizi söylüyor.

Running-config’i görüntülediğimizde yukarıdaki komutun yer almadığını görüyoruz.

Bunun nedeni yukarıdakinin aslında default komut olması. Aşağıdaki gibi port security’i aktif ettiğimizde – bunu zaten aktif hale getirmek için yazmamız gerekiyor – maximum 1 istediğimizi varsayıyor.

Priviledged mode’a geçip aşağıdaki komut ile fa0/1’de port security bilgilerini görüntülediğimizde

Port Security’nin enabled, Poer Status’un Secure-up, Maximum MAC Address’in ise 1 olduğunu görüyoruz. Bu konfigürasyon default olduğu için gizlenmiş. Eğer maximum değerini 2 yapmış olsaydık konfigürasyonda görecektik.

Daha sonra interface fa0/2’ye geçerek port-security’i benzer şekilde aktif hale getirebiliriz.

Bu örnek için maximum değerini girmemize gerek yok.

5. Adım : Birden Fazla MAC Adresinden Trafik Oluştur

Bunu Scapy gibi bir uygulamadan yapabileceğimiz gibi bir daha az fonksiyonel bir dummy switch bağlayarak da yapabiliriz.

Scapy ile “ab:cd:ef:ab:cd:ef” kaynak MAC adresinden “00:50:79:66:68:00” hedef MAC adresine bir frame yollanması aşağıdaki gibi:

İlk olarak bilgisayardaki interfaceleri öğreniyoruz,

Ardından scapy içerisinde girekrek aşağıdaki mac adreesinden frame’imizi yollayabiliriz.

Her iki durumda da eğer şu ana kadar gerekli adımları doğru yaptıysak switch’de port security’nin etkin hale gelerek violation detect ettiğini göreceğiz.

Son bağladığımız cihaz iletişim kurmayı denediğinde – muhtemelen bir IP adresine ihtiyacım var gibi bir DHCP isteği göndererek  – 1 mac adresi kısıtlamasını geçmiş oluyor.  Aşağıdaki gibi portun port-security bilgilerini görüntülediğimizde,

Port Security: Enable, Port-Status: Secure-Shutdown olarak görüyoruz. Bu portun kapatıldığı anlamına geliyor. Bu default violation mode çünkü. Protect, Restrict yanında default Shutdown’du. Aynı zamanda Last Source Address olarak son mac adresini kayıt altına almış ve Violation counter ile saydığını görüyoruz. Restrict bu counter’ı arttırıyor.

Sonuç olarak portun gittiğini ışığının söndüğünü görüyoruz. Basitçe no shutdown diyerek aktif hale getiremeyiz.

Çünkü yukarıdaki komutun çıktısında gördüğümüz üzere error-disabled pozisyonda. Bu bir yönetici tarafından kapatılmadığı bir hatadan dolayı kapatıldığı anlamına geliyor.