- Katılım
- 15 May 2013
- Konular
- 971
- Mesajlar
- 6,650
- Online süresi
- 2ay 11g
- Reaksiyon Skoru
- 5,350
- Altın Konu
- 314
- Başarım Puanı
- 319
- TM Yaşı
- 12 Yıl 11 Ay 12 Gün
- MmoLira
- 22,212
- DevLira
- 15
Metin2 EP, Valorant VP dahil tüm oyun ürünlerini en uygun fiyatlarla bulabilir, Item ve Karakterlerinizi hızlıca satabilirsiniz. HEMEN TIKLA!
Güvenlikle ilgili bir söz vardır: “Ağ, en zayıf halkası kadar güçlüdür.” Bir kampüs LAN'ında, en zayıf nokta genellikle çekirdek veya internet kenarı değil, erişim katmanıdır. Herkes, erişim anahtarına giden duvardaki prize bir kablo takabilir. Ve anahtar, varsayılan olarak, ortaya çıkan her cihaz için (PC, yazıcı veya izinsiz bir dizüstü bilgisayar) trafiği iletecektir.
Peki neden port güvenliğine ihtiyacımız var?
Erişim anahtarları, insanların ve cihazların bağlandığı uç noktada bulunur. Bu uç nokta, ağın en dinamik katmanıdır. İnsanlar masalarını değiştirir. Müteahhitler ve tedarikçiler ziyaret eder. IP telefonlar PC'ler ve anahtarlar arasında bulunur. Yazıcılar değiştirilir ve benzeri. Bu, ağın en zayıf katmanlarından biridir. Aşağıdaki örneği ele alalım.
Her yerde masaların bulunduğu açık bir ofis alanını hayal edin. Ofise erişimi olan birinin, boş bir masadaki bir cihazın fişini çekip, diyagramda gösterildiği gibi izinsiz cihazını duvardaki prize takmasını ne engeller?
Varsayılan olarak, anahtarlar herhangi bir erişim kontrolü uygulamaz. Herhangi bir cihazı takan herkes yerel ağa bağlanabilir, DHCP aracılığıyla bir IP adresi alabilir ve kurumsal ağa erişim sağlayabilir. Tahmin edebileceğiniz gibi, bu önemli bir güvenlik açığıdır.
Birkaç katman 2 güvenlik özelliği bu güvenlik açığını kapatmak için tasarlanmıştır. Erişim katmanını bu tür saldırılardan korumanın en hızlı ve en basit yolu port güvenliğini kullanmaktır. Bir portta görünebilecek MAC adreslerinin sayısını sınırlar ve hangi MAC adreslerinin bağlanmasına izin verildiğini belirtir.
Her yerde masaların bulunduğu açık bir ofis alanını hayal edin. Ofise erişimi olan birinin, boş bir masadaki bir cihazın fişini çekip, diyagramda gösterildiği gibi izinsiz cihazını duvardaki prize takmasını ne engeller?
Varsayılan olarak, anahtarlar herhangi bir erişim kontrolü uygulamaz. Herhangi bir cihazı takan herkes yerel ağa bağlanabilir, DHCP aracılığıyla bir IP adresi alabilir ve kurumsal ağa erişim sağlayabilir. Tahmin edebileceğiniz gibi, bu önemli bir güvenlik açığıdır.
Birkaç katman 2 güvenlik özelliği bu güvenlik açığını kapatmak için tasarlanmıştır. Erişim katmanını bu tür saldırılardan korumanın en hızlı ve en basit yolu port güvenliğini kullanmaktır. Bir portta görünebilecek MAC adreslerinin sayısını sınırlar ve hangi MAC adreslerinin bağlanmasına izin verildiğini belirtir.
Port Güvenliği Nedir?
Cisco Catalyst anahtarlarında port güvenliği, bir sınır ve izin verilen MAC adreslerinin bir listesini uygulayan arayüz başına bir özelliktir. Bir cihaz bağlanırsa ve MAC adresine izin verilirse, her şey yolundadır. Çok fazla MAC adresi görünürse veya beklenmedik bir MAC adresi algılanırsa, port aşağıdaki şemada gösterildiği gibi hata devre dışı durumuna geçer.
Özetle, port güvenliği erişim portlarında temel koruma olarak kullanılır. İki ana işlevi yerine getirir:
Bir portta izin verilen MAC adreslerinin sayısını sınırlar.
Statik veya dinamik bir listeye göre hangi MAC adreslerine izin verileceğini kontrol eder.
Mühendislerin, kuruluşun güvenlik stratejisinin bir parçası olarak erişim anahtarlarında port güvenliğini kullandığı çeşitli kullanım durumları vardır:
Bir duvar prizini tek bir cihaza kilitleme - İnsanların bir bilgisayarın fişini çekip yetkisiz bir AP, mini anahtar veya başka bir cihaz bağlamasını engeller. Ayrıca o prizden MAC adresi saldırısı girişimlerini de sınırlar.
Yazıcılar, kameralar, sensörler, IoT - Bilinen cihazın MAC adresini sabitleyerek yalnızca o cihazın ağa bağlanmasını sağlar. Duvar prizlerinin gözlemlenmesinin ve korunmasının zor olduğu koridorlar, tavanlar ve dolaplar için idealdir.
Port güvenliği nasıl çalışır?
Port güvenliği, erişim arayüzü başına bir özelliktir. Bu, erişim portlarında arayüz başına yapılandırdığımız anlamına gelir. Özelliği, bir arayüz yapılandırma modunda aşağıdaki komutu kullanarak etkinleştiririz:
Ancak, portun önceden erişim için yapılandırılması gerekir; aksi takdirde, aşağıdaki çıktıda gösterildiği gibi, anahtar bu özelliği etkinleştirmemize izin vermez.
Gördüğünüz gibi, anahtar port-security komutunu reddetti çünkü port dinamiktir - uzak tarafla DTP görüşmesine bağlı olarak erişim veya trunk olabilir.
Öncelikle portu VLAN 10'da erişim olarak yapılandıralım ve ardından port güvenliğini etkinleştirelim.
Komut artık kabul edildi ve port güvenliği etkinleştirildi. Ancak şu anda hiçbir şey yapmıyor. Aşağıda gösterildiği gibi dört parametre belirtmemiz gerekiyor:
Adım 1: Maksimum MAC adresi sayısını sınırlayın
Yapılandırabileceğimiz ilk port güvenliği seçeneği, portun kabul etmesi gereken farklı kaynak MAC adreslerinin sayısını belirtmektir. Varsayılan olarak, bir switchport çok sayıda MAC adresi öğrenebilir; bu da birinin switch'i erişim katmanına bağlamasına ve kurumsal ağa birden fazla yetkisiz cihaz bağlamasına olanak tanır. Port güvenliği, aşağıdaki CLI bloğunda yeşil renkte gösterildiği gibi, bir portun öğrenebileceği maksimum MAC adresi sayısını yapılandırarak bunu önler.
Kod:
interface Ethernet0/1
switchport mode access
switchport access vlan 20
switchport port-security
switchport port-security maximum 2Yukarıdaki komutla, port en fazla iki öğrenilmiş MAC adresine izin verecektir. Eğer birisi yetkisiz bir switch takar ve aşağıdaki şemada gösterildiği gibi üç veya daha fazla cihaz bağlarsa, bu bir ihlaldir ve ihlal eylemi tetiklenir (bunu daha sonra ele alacağız).
Günümüzde bu özelliğin en yaygın kullanım alanı, çalışanların BYOD veya laboratuvar ekipmanlarını takmak için masa altına küçük bir 5 portlu switch saklamalarını önlemektir. Çok fazla MAC adresi tespit edildiği için port bloke edilecektir.
Adım 2. İzin verilen MAC adreslerinin listesi
Yapılandırabileceğimiz port güvenliğinin bir sonraki özelliği, bir portta izin verilen MAC adreslerinin listesidir. Kullanabileceğimiz iki seçenek vardır.
Önceden yapılandırılmış liste
Küçük statik ortamlarda, aşağıdaki CLI bloğunda gösterildiği gibi, bağlı cihazın MAC adresini port yapılandırmasına manuel olarak önceden yapılandırabiliriz.
Bu güvenlik özelliği, izlenmesi ve fiziksel olarak korunması zor alanlarda bulunan yazıcıları, kameraları veya diğer IoT cihazlarını bağlarken kullanışlıdır. Örneğin, bir CCTV kamerası, kimsenin izlemediği çatıdaki bir dolaba bağlanabilir. Bir saldırgan, kamerayı kolayca fişten çekip kendi cihazını kimse fark etmeden bağlayabilir.
Ancak bu manuel yöntem ölçeklenebilir değildir. Yüzlerce yazıcı ve CCTV kamerasının bulunduğu bir kampüsü düşünün. Bağlı porttaki her cihazın MAC adresini önceden yapılandırmak çok fazla manuel iş demektir. Bu nedenle Cisco, MAC-address sticky adı verilen yarı otomatik bir yöntem tanıttı.
Kod:
interface Ethernet0/1
switchport access vlan 10
switchport port-security
switchport port-security mac-address 0011.2233.4455Bu güvenlik özelliği, izlenmesi ve fiziksel olarak korunması zor alanlarda bulunan yazıcıları, kameraları veya diğer IoT cihazlarını bağlarken kullanışlıdır. Örneğin, bir CCTV kamerası, kimsenin izlemediği çatıdaki bir dolaba bağlanabilir. Bir saldırgan, kamerayı kolayca fişten çekip kendi cihazını kimse fark etmeden bağlayabilir.
Ancak bu manuel yöntem ölçeklenebilir değildir. Yüzlerce yazıcı ve CCTV kamerasının bulunduğu bir kampüsü düşünün. Bağlı porttaki her cihazın MAC adresini önceden yapılandırmak çok fazla manuel iş demektir. Bu nedenle Cisco, MAC-address sticky adı verilen yarı otomatik bir yöntem tanıttı.
MAC-address sticky
MAC-address sticky, anahtarın otomatik olarak bir MAC adresini öğrenmesini ve ardından çalışan yapılandırmaya "yapıştırmasını" sağlayan bir port güvenlik özelliğidir. Aşağıda gösterildiği gibi etkinleştiriyoruz.
Ağ yöneticisinin MAC adresini elle yazması yerine, switch ilk bağlanan cihazı görür, MAC adresini çalışan yapılandırmaya kaydeder ve onu güvenilir bir cihaz olarak kabul eder. Bundan sonra, portta yalnızca o MAC adresine izin verilir (yönetici temizlemediği veya değiştirmediği sürece).
ÖNEMLİ NOT: Basitçe söylemek gerekirse, MAC adresi kalıcılığı yapılandırıldığında, switch çalışan yapılandırmada takılan ilk MAC adresini hatırlar.
MAC adresi kalıcılığının kullanıldığı tipik bir örnek, ağ ekibinin yazıcılar, kameralar, sensörler veya diğer IoT cihazları gibi statik cihazların büyük ölçekli dağıtımlarını güvence altına almak istediği durumlardır; burada MAC adreslerini elle yazmak ölçeklenebilir olmaz ve zahmetli olur. Örneğin, kampüs ağında birden fazla yazıcı kurma projesi vardır. Yazıcılar ağa bağlandığı gün, ağ ekibi aşağıdaki şemada gösterildiği gibi switch portlarını port güvenliği ve MAC adresi kalıcılığı ile yapılandırır.
Bu noktada, her yazıcının MAC adresi, bağlandığı switchport'un çalışan yapılandırmasına kaydedilir. Bu noktadan itibaren, herhangi biri bir yazıcının bağlantısını kesip kendi cihazını duvardaki prize takarsa, yetkisiz erişimi önlemek için switchport portu kapatır.
Kod:
interface Ethernet0/1
switchport access vlan 10
switchport port-security
switchport port-security mac-address stickyAğ yöneticisinin MAC adresini elle yazması yerine, switch ilk bağlanan cihazı görür, MAC adresini çalışan yapılandırmaya kaydeder ve onu güvenilir bir cihaz olarak kabul eder. Bundan sonra, portta yalnızca o MAC adresine izin verilir (yönetici temizlemediği veya değiştirmediği sürece).
ÖNEMLİ NOT: Basitçe söylemek gerekirse, MAC adresi kalıcılığı yapılandırıldığında, switch çalışan yapılandırmada takılan ilk MAC adresini hatırlar.
MAC adresi kalıcılığının kullanıldığı tipik bir örnek, ağ ekibinin yazıcılar, kameralar, sensörler veya diğer IoT cihazları gibi statik cihazların büyük ölçekli dağıtımlarını güvence altına almak istediği durumlardır; burada MAC adreslerini elle yazmak ölçeklenebilir olmaz ve zahmetli olur. Örneğin, kampüs ağında birden fazla yazıcı kurma projesi vardır. Yazıcılar ağa bağlandığı gün, ağ ekibi aşağıdaki şemada gösterildiği gibi switch portlarını port güvenliği ve MAC adresi kalıcılığı ile yapılandırır.
Bu noktada, her yazıcının MAC adresi, bağlandığı switchport'un çalışan yapılandırmasına kaydedilir. Bu noktadan itibaren, herhangi biri bir yazıcının bağlantısını kesip kendi cihazını duvardaki prize takarsa, yetkisiz erişimi önlemek için switchport portu kapatır.
mac-address sticky CLI örneği
Şimdi bu özelliğin bir CLI örneğini görelim. İlk olarak, aşağıdaki diyagramın üst kısmında gösterildiği gibi switchport'u yapılandırıyoruz. Bu işlem, kalıcı cihazı switchport'a bağlamadan önce yapılır.
Şemanın alt kısmında gösterildiği gibi cihaz bağlandıktan sonra, anahtar MAC adresini öğrenir ve aşağıdaki CLI çıktısında görebileceğiniz gibi, bunu anahtar portunun çalışan yapılandırmasına yazar.
Bu noktada, birisi yazıcıyı ayırıp switchport'a yetkisiz bir cihaz bağlarsa, switchport port güvenliği ihlali eylemini tetikleyecektir (bunu aşağıda göreceğiz).
Yeniden başlatmanın ardından kalıcı olarak saklanan MAC adresinin korunması için, aşağıdaki CLI'da gösterildiği gibi çalışan yapılandırma dosyasını kopyalamanız gerektiğini unutmayın:
Şemanın alt kısmında gösterildiği gibi cihaz bağlandıktan sonra, anahtar MAC adresini öğrenir ve aşağıdaki CLI çıktısında görebileceğiniz gibi, bunu anahtar portunun çalışan yapılandırmasına yazar.
Kod:
Switch# show mac address-table interface eth0/1
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
20 aabb.cc00.7000 STATIC Et0/1
Total Mac Addresses for this criterion: 1
Kod:
Switch# show run int Et0/0
Building configuration...
Current configuration : 235 bytes
!
interface Ethernet0/1
switchport access vlan 20
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky aabb.cc00.7000
endBu noktada, birisi yazıcıyı ayırıp switchport'a yetkisiz bir cihaz bağlarsa, switchport port güvenliği ihlali eylemini tetikleyecektir (bunu aşağıda göreceğiz).
Yeniden başlatmanın ardından kalıcı olarak saklanan MAC adresinin korunması için, aşağıdaki CLI'da gösterildiği gibi çalışan yapılandırma dosyasını kopyalamanız gerektiğini unutmayın:
Kod:
Switch# copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]3. Adım. İhlal Eylemleri
Özetle, şimdiye kadar gördüklerimiz şu şekilde: port güvenliği erişim portlarında iki şeyi kontrol eder:
Bir switchport'un öğrenebileceği maksimum MAC adresi sayısı.
İzin verilen MAC adreslerinin listesi.
Peki, birisi bu kurallardan birini ihlal ettiğinde ne olur? Port, yapılandırılmış ihlal eylemini gerçekleştirir; bu eylem aşağıdakilerden biri olabilir:
Koruma: Bilinmeyen veya fazla MAC adreslerinden gelen çerçeveleri bırakın. Kayıt tutmayın. Bağlantı noktasını devre dışı bırakmayın. Yetkilendirilmiş cihazlar çalışmaya devam eder. Sessiz ama sıkı.
Kısıtla: Bilinmeyen veya fazla MAC adreslerinden gelen çerçeveleri bırakın. Bir ihlal sayacını artırın ve bir SNMP tuzağı/sistem günlüğü gönderin. Daha az kesintiyle görünürlük için iyidir.
Kapatma (varsayılan): Bağlantı noktasını hata devre dışı durumuna getirin. Arayüzü manuel olarak kapatıp tekrar açana veya yapılandırdıysanız otomatik kurtarma devreye girene kadar kapalı kalır.
Kapatma seçeneği en yaygın kullanılanıdır ve modern anahtarlarda varsayılan ihlal seçeneğidir. Burada, bir bağlantı noktası hata devre dışı durumuna girdikten sonra, manuel veya otomatik kurtarma yapılana kadar bu durumda kaldığını belirtmek önemlidir.
Örneğin, yazıcıyı ayırıp anahtar bağlantı noktasına başka bir cihaz bağlarsak ne olacağını görelim.
Portun hemen hata devre dışı durumuna geçtiğini ve anahtarın bir syslog gönderdiğini görebilirsiniz.
Bir switchport'un öğrenebileceği maksimum MAC adresi sayısı.
İzin verilen MAC adreslerinin listesi.
Peki, birisi bu kurallardan birini ihlal ettiğinde ne olur? Port, yapılandırılmış ihlal eylemini gerçekleştirir; bu eylem aşağıdakilerden biri olabilir:
Kod:
Switch(config-if)# switchport port-security violation ?
protect Security violation protect mode
restrict Security violation restrict mode
shutdown Security violation shutdown modeKoruma: Bilinmeyen veya fazla MAC adreslerinden gelen çerçeveleri bırakın. Kayıt tutmayın. Bağlantı noktasını devre dışı bırakmayın. Yetkilendirilmiş cihazlar çalışmaya devam eder. Sessiz ama sıkı.
Kısıtla: Bilinmeyen veya fazla MAC adreslerinden gelen çerçeveleri bırakın. Bir ihlal sayacını artırın ve bir SNMP tuzağı/sistem günlüğü gönderin. Daha az kesintiyle görünürlük için iyidir.
Kapatma (varsayılan): Bağlantı noktasını hata devre dışı durumuna getirin. Arayüzü manuel olarak kapatıp tekrar açana veya yapılandırdıysanız otomatik kurtarma devreye girene kadar kapalı kalır.
Kapatma seçeneği en yaygın kullanılanıdır ve modern anahtarlarda varsayılan ihlal seçeneğidir. Burada, bir bağlantı noktası hata devre dışı durumuna girdikten sonra, manuel veya otomatik kurtarma yapılana kadar bu durumda kaldığını belirtmek önemlidir.
Örneğin, yazıcıyı ayırıp anahtar bağlantı noktasına başka bir cihaz bağlarsak ne olacağını görelim.
Kod:
# we disconnect the printer and connect another device
Switch#
*Oct 31: %PORT_SECURITY-2-PSECURE_VIOLATION:
Security violation occurred,caused by MAC address aaaa.bbbb.cccc on port Ethernet0/1
*Oct 31: %PM-4-ERR_DISABLE:
psecure-violation error detected on Et0/1, putting Et0/1 in err-disable state
*Oct 31: %LINEPROTO-5-UPDOWN:
Line protocol on Interface Ethernet0/1, changed state to down
*Oct 31: %LINK-3-UPDOWN:
Interface Ethernet0/1, changed state to down
Kod:
Switch# show interfaces Ethernet0/1
Ethernet0/1 is down, line protocol is down (err-disabled)
Hardware is Ethernet, address is aabb.cc00.1000 (bia aabb.cc00.1000)
MTU 1500 bytes, BW 10000 Kbit/sec, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, Auto-speed, media type is 10/100/1000BaseTX
input flow-control is off, output flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:01, output 00:03:16, output hang never
Last clearing of "show interface" counters never
Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
133 packets input, 14800 bytes, 0 no buffer
Received 21 broadcasts (0 multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 input packets with dribble condition detected
479 packets output, 37648 bytes, 0 underruns
Output 479 broadcasts (479 multicasts)
0 output errors, 0 collisions, 1 interface resets
0 unknown protocol drops
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped outPortun hemen hata devre dışı durumuna geçtiğini ve anahtarın bir syslog gönderdiğini görebilirsiniz.
Hata Devre Dışı Kurtarma
Varsayılan olarak, bir switchport portu hata devre dışı durumuna geçtiğinde, anahtar yeniden başlatılana kadar kapalı kalır. Bu, CCNA/CCNP sınavlarında sıklıkla karşımıza çıktığı için anlamanız ve hatırlamanız çok önemlidir.
Hata devre dışı bırakılmış bir portu kurtarmanın iki yolu vardır:
Hata devre dışı bırakılmış bir portu kurtarmanın iki yolu vardır:
Manuel Hata Devre Dışı Kurtarma
Port güvenliği (veya STP gibi başka bir özellik) tarafından kapatılan bir portu kurtarmanın en basit yolu, aşağıdaki CLI bloğunda gösterildiği gibi, onu kapatıp tekrar açmaktır.
Ancak, bu yaklaşım açıkça ölçeklenebilir değildir ve insan müdahalesi gerektirir; bu da 7/24 destek masası bulunmayan bazı ağ ortamlarında uygulanamaz.
Kod:
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface Ethernet0/1
Switch(config-if)# shutdown
Switch(config-if)# no shutdownAncak, bu yaklaşım açıkça ölçeklenebilir değildir ve insan müdahalesi gerektirir; bu da 7/24 destek masası bulunmayan bazı ağ ortamlarında uygulanamaz.
Otomatik Hata Devre Dışı Bırakma Kurtarma
Cisco anahtarları, hata nedeniyle devre dışı bırakılmış portların kurtarılması için daha ölçeklenebilir ve otomatik bir yaklaşım sunar. Bunu, aşağıdaki CLI bloğunda gösterildiği gibi, genel yapılandırma modunda errdisable recovery komutunu kullanarak etkinleştiriyoruz.
Bu yapılandırma örneği, err-disabled portları 5 dakika sonra tekrar etkinleştirerek yardım masası aramalarını azaltır. Şöyle düşünebilirsiniz: Peki ya kötü amaçlı cihaz hala bağlıysa? Portu etkinleştirmek istiyor muyuz?
Unutmayın, kötü amaçlı cihaz hala bağlıysa, port hemen tekrar devre dışı bırakılacak ve saldırgan yine de ağa erişemeyecektir.
Errdisable kurtarma işleminin yalnızca port güvenliğiyle sınırlı olmadığını unutmayın; aşağıdaki CLI bloğunda görebileceğiniz gibi, EtherChannels ve Spanning Tree gibi çeşitli diğer özellikler tarafından devre dışı bırakılan portları da kurtarabilir.
Unutmayın ki, hata durumunda devre dışı bırakılmış kurtarma (err-disabled recovery) CCNA laboratuvar bölümünde sıkça sorulan bir sorudur, bu nedenle pratik yapmak için biraz zaman ayırdığınızdan emin olun.
Kod:
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# errdisable recovery cause psecure-violation
Switch(config)# errdisable recovery interval 300Bu yapılandırma örneği, err-disabled portları 5 dakika sonra tekrar etkinleştirerek yardım masası aramalarını azaltır. Şöyle düşünebilirsiniz: Peki ya kötü amaçlı cihaz hala bağlıysa? Portu etkinleştirmek istiyor muyuz?
Unutmayın, kötü amaçlı cihaz hala bağlıysa, port hemen tekrar devre dışı bırakılacak ve saldırgan yine de ağa erişemeyecektir.
Errdisable kurtarma işleminin yalnızca port güvenliğiyle sınırlı olmadığını unutmayın; aşağıdaki CLI bloğunda görebileceğiniz gibi, EtherChannels ve Spanning Tree gibi çeşitli diğer özellikler tarafından devre dışı bırakılan portları da kurtarabilir.
Kod:
Switch(config)# errdisable recovery cause ?
all Enable timer to recover from all error causes
arp-inspection Enable timer to recover from arp inspection error
disable state
bpduguard Enable timer to recover from BPDU Guard error
channel-misconfig Enable timer to recover from channel misconfig error
(STP)
dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error
dtp-flap Enable timer to recover from dtp-flap error
gbic-invalid Enable timer to recover from invalid GBIC error
inline-power Enable timer to recover from inline-power error
l2ptguard Enable timer to recover from l2protocol-tunnel error
link-flap Enable timer to recover from link-flap errorUnutmayın ki, hata durumunda devre dışı bırakılmış kurtarma (err-disabled recovery) CCNA laboratuvar bölümünde sıkça sorulan bir sorudur, bu nedenle pratik yapmak için biraz zaman ayırdığınızdan emin olun.
Port Güvenliğinin Sınırlamaları
Port güvenliği, kuruluşun güvenlik stratejisinde yeri olan eski bir özelliktir. Ancak, modern ağ ortamlarında, kötü amaçlı cihazların kurumsal ağa bağlanmasını önlemek için yetersizdir.
En büyük zayıf noktası, erişim kontrolü için yalnızca MAC adreslerine dayanmasıdır. MAC adresleri kolayca taklit edilebilir. Genellikle bir cihazın MAC adresini tek bir komutla değiştirebilirsiniz. Bu nedenle, port güvenliği kötü niyetli bir kullanıcının meşru bir cihazı taklit etmesini ve yetkisiz erişim elde etmesini engelleyemez.
Port güvenliği ayrıca kimin bağlandığını doğrulamaz; yalnızca cihazın MAC adresini kontrol eder. Kullanıcıların masalar arasında hareket ettiği, yerleştirme istasyonları kullandığı veya sık sık donanım değiştirdiği ortamlarda, MAC listelerini yönetmek zor ve hataya açık hale gelebilir. Bir NIC'i değiştirmek veya bir USB Ethernet adaptörü eklemek gibi zararsız bir değişiklik, bir ihlali tetikleyebilir ve portu kapatabilir. Bu, operasyonel yük ve potansiyel kesinti süresi yaratır.
Bu zorluklar nedeniyle, modern ağlar IEEE 802.1X gibi kimlik tabanlı erişim yöntemlerine daha fazla güvenmektedir. 802.1X, MAC adresine güvenmek yerine, erişim izni vermeden önce kimlik bilgileri veya sertifikalar kullanarak kullanıcıyı veya cihazı doğrular. Daha güçlü bir güvenlik modeli sağlar, dinamik politikaları, VLAN atamasını destekler ve hatta bağlantıya izin vermeden önce cihaz sağlığını kontrol edebilir.
Kısacası, port güvenliği, özellikle basit dağıtımlar veya IoT uç noktaları için temel bir koruma katmanı olarak hala değerlidir. Bununla birlikte, 802.1X daha ölçeklenebilir, esnek ve güvenli kontrol sunarak kurumsal ağlar için tercih edilen çözüm haline gelmektedir.
En büyük zayıf noktası, erişim kontrolü için yalnızca MAC adreslerine dayanmasıdır. MAC adresleri kolayca taklit edilebilir. Genellikle bir cihazın MAC adresini tek bir komutla değiştirebilirsiniz. Bu nedenle, port güvenliği kötü niyetli bir kullanıcının meşru bir cihazı taklit etmesini ve yetkisiz erişim elde etmesini engelleyemez.
Port güvenliği ayrıca kimin bağlandığını doğrulamaz; yalnızca cihazın MAC adresini kontrol eder. Kullanıcıların masalar arasında hareket ettiği, yerleştirme istasyonları kullandığı veya sık sık donanım değiştirdiği ortamlarda, MAC listelerini yönetmek zor ve hataya açık hale gelebilir. Bir NIC'i değiştirmek veya bir USB Ethernet adaptörü eklemek gibi zararsız bir değişiklik, bir ihlali tetikleyebilir ve portu kapatabilir. Bu, operasyonel yük ve potansiyel kesinti süresi yaratır.
Bu zorluklar nedeniyle, modern ağlar IEEE 802.1X gibi kimlik tabanlı erişim yöntemlerine daha fazla güvenmektedir. 802.1X, MAC adresine güvenmek yerine, erişim izni vermeden önce kimlik bilgileri veya sertifikalar kullanarak kullanıcıyı veya cihazı doğrular. Daha güçlü bir güvenlik modeli sağlar, dinamik politikaları, VLAN atamasını destekler ve hatta bağlantıya izin vermeden önce cihaz sağlığını kontrol edebilir.
Kısacası, port güvenliği, özellikle basit dağıtımlar veya IoT uç noktaları için temel bir koruma katmanı olarak hala değerlidir. Bununla birlikte, 802.1X daha ölçeklenebilir, esnek ve güvenli kontrol sunarak kurumsal ağlar için tercih edilen çözüm haline gelmektedir.
Önemli Noktalar
Port güvenliği, MAC adreslerini sınırlayarak ve kontrol ederek erişim portlarını korur.
Yetkisiz cihazların LAN'a bağlanmasını engeller.
Port güvenliğini etkinleştirmeden önce portu erişim moduna ayarlamanız gerekir.
Maksimum MAC komutu, portun öğrenebileceği MAC adreslerinin sayısını sınırlar.
İzin verilen MAC adresleri şunlar olabilir:
Manuel olarak yapılandırılabilir veya
Yapışkan MAC ile otomatik olarak öğrenilebilir
İhlal modları:
Koruma – trafiği düşür, kayıt yok, port açık kalır
Kısıtlama – trafiği düşür, kayıt + SNMP tuzağı, port açık kalır
Kapatma (varsayılan) – port hata devre dışı bırakılır
Port, manuel olarak sıfırlanana veya otomatik olarak kurtarılana kadar kapatıldıktan sonra kapalı kalır.
Hata devre dışı bırakma kurtarma işlemi, bir zamanlayıcıdan sonra portları otomatik olarak açabilir.
Port güvenliği temel Katman-2 erişim kontrolüdür; kullanışlı ancak sınırlıdır.
MAC sahtekarlığı mümkündür - modern ağların 802.1X kullanmasının nedeni budur.
Yetkisiz cihazların LAN'a bağlanmasını engeller.
Port güvenliğini etkinleştirmeden önce portu erişim moduna ayarlamanız gerekir.
Maksimum MAC komutu, portun öğrenebileceği MAC adreslerinin sayısını sınırlar.
İzin verilen MAC adresleri şunlar olabilir:
Manuel olarak yapılandırılabilir veya
Yapışkan MAC ile otomatik olarak öğrenilebilir
İhlal modları:
Koruma – trafiği düşür, kayıt yok, port açık kalır
Kısıtlama – trafiği düşür, kayıt + SNMP tuzağı, port açık kalır
Kapatma (varsayılan) – port hata devre dışı bırakılır
Port, manuel olarak sıfırlanana veya otomatik olarak kurtarılana kadar kapatıldıktan sonra kapalı kalır.
Hata devre dışı bırakma kurtarma işlemi, bir zamanlayıcıdan sonra portları otomatik olarak açabilir.
Port güvenliği temel Katman-2 erişim kontrolüdür; kullanışlı ancak sınırlıdır.
MAC sahtekarlığı mümkündür - modern ağların 802.1X kullanmasının nedeni budur.