Bilgisayar, ağ yazıcısı veya IP kamera gibi cihazların LAN içerisinde birbirileriyle iletişim kurabilmesi için en çok kullanılan merkezi birim switch cihazıdır. Switchler, portlarına bağlanan cihazlar arasındaki veri iletişiminin sağlanmasından sorumludur. Switchi eve, üzerindeki portları ise evin kapısına benzetebiliriz. Evin güvenliğini sağlamadaki en önemli ve öncelikli bölüm kapının güvenliği olacaktır. Bu sebeple ağın güvenliğini sağlamada öncelikli olarak switch üzerindeki güvenlik önlemleri alınmalıdır. Bu güvenlik önlemlerinden ilki port security konusudur.
Port security ile switch üzerindeki portlara bağlanabilecek cihazlar (pc, yazıcı, kamera vb.) denetim altına alınır. Böylece istenmeyen, tanınmayan bir cihazın switche bağlanarak ağa dahil olması engellenir. Port security işlemi dinamik ve statik olmak üzere ikiye ayrılır.
Statik port security işleminde switchin hangi portuna hangi cihazın bağlanabileceği tek tek tanımlanır. Cihazları tanımlamak için MAC adresi kullanılır. Bilindiği gibi MAC adresleri benzersiz özelliktedir. Aynı MAC adresine sahip iki cihaz yoktur. Port security işleminin diğer bir adımı ise güvenlik ihlali olduğunda yani tanınmayan bir cihaz porta bağlandığında alınacak aksiyondur. Güvenlik ihlali gerçekleştiğinde aşağıdaki 3 önlemden birisi devreye alınabilir. Hangi güvenlik önleminin uygulanacağı konfigürasyon sırasında belirlenir.
Güvenlik Önlemleri
Shutdown: Güvenlik ihlali tespit edildiğinde ilgili port kapatılır. Güvenlik ihlali olduktan sonra güvenilir bilgisayar porta geri takılsa bile sistem yöneticisi portu açana kadar port kapalı kalır.
Protect: Güvenlik ihlali olduğunda ilgili port kapatılmaz. Güvenlik ihlaline sebep olan bilgisayarın iletişim kurması engellenir.
Restrict: Protect ile aynı işlemi yapar. Protecten farklı olarak güvenlik ihlali gerçekleştiğinde bu durumu kayıt altına alır.
Örnek Uygulama
İşlem Adımları
1- Port güvenliği uygulanacak porta giriş yapılır.
2- Portun modu access olarak belirlenir.
3- Port güvenliği etkinleştirilir.
4- Porta bağlı güvenilir cihazın MAC adresi girilir.
5- Güvenilir cihaz dışında farklı bir cihaz bağlandığında uygulanacak önlem belirlenir.
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 0030.A363.67614
Switch(config-if)#SWitchport Port-security violation shutdown
Switch(config-if)#exit
Switch(config)#interface fastEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 0001.C9EB.31C2
Switch(config-if)#switchport port-security violation protect
Switch(config-if)#exit
Switch(config)#exit
Switch#
Switch(config)#
Switch(config)#interface fastEthernet 0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 00D0.BA34.D613
Switch(config-if)#switchport port-security violation restrict
Switch(config-if)#exit
Switch(config)#exit
Port Güvenliği Alınan Portları ve Güvenlik İhlallerini Görüntüleme
Switchin hangi portlarında port security işleminin uygulandığı, hangi portta kaç defa güvenlik ihlali meydana geldiği bilgisini görüntülemek için aşağıdaki komut kullanılır. Komut çıktısındaki SecurityViolation (count) bölümü meydana gelen güvenlik ihlallerinin sayısını verir. Protect ile korunan portlardaki güvenlik ihlalleri kayıt altına alınmadığından sayı 0 olacaktır.
Viewing Port Security Received Ports and Security Violations
The following command is used to display the information on which ports of the switch the port security operation is applied and how many security violations occurred on which port. The SecurityViolation (count) section in the command output gives the number of security breaches that have occurred. The number will be 0 as security breaches on ports protected by Protect are not recorded.
Switch#show port-security
It is the most widely used central unit switch device for devices such as computers, network printers or IP cameras to communicate with each other in the LAN. Switches are responsible for providing data communication between devices connected to their ports. We can compare the switch to the house and the ports on it to the door of the house. The most important and priority part in ensuring the security of the house will be the security of the door. For this reason, security measures on the switch should be taken primarily to ensure the security of the network. The first of these security measures is port security.
With port security, devices (pc, printer, camera, etc.) that can be connected to the ports on the switch are taken under control. Thus, an unwanted, unrecognized device is prevented from being included in the network by connecting to the switch. The port security process is divided into two as dynamic and static.
In the static port security process, which device can be connected to which port of the switch is defined one by one. MAC address is used to identify devices. As is known, MAC addresses are unique. There are no two devices with the same MAC address. Another step of the port security process is the action to be taken when there is a security breach, that is, when an unrecognized device is connected to the port. When a security breach occurs, one of the following 3 measures can be activated. Which security measure to apply is determined during configuration.
Security precautions
Shutdown: When a security violation is detected, the relevant port is closed. Even if the trusted computer is plugged back into the port after a security breach, the port remains closed until the system administrator opens the port.
Protect: The relevant port is not closed when there is a security breach. The computer that caused the security breach is prevented from communicating.
Restrict: It does the same as Protect. Unlike Protecten, it records this situation when a security breach occurs.
