Как предотвратить несанкционированное подключение компьютеров к сети предприятия?
Port Security это функция второго уровня, которая позволяет указать MAC адреса хостов, которым разрешено передавать данные через порт. Используется для предотвращения:
1. Несанционированной смены MAC-адреса сетевого устройства или подключения к сети.
2. Атак направленных на переполнение таблицы коммутации.
После активации, порт не будет передавать пакеты, если MAC-адрес отправителя не указан как разрешенный. Любой MAC адрес, который не был указан при настройке функции, заставит порт войти в одно из следующих состояний:
· Protect – при достижении максимального числа настроенных на порту MAC-адресов, пакеты с неизвестным MAC-адресом отправителя будут отбрасываться.
· Restrict – при достижении максимального числа настроенных на порту MAC-адресов, пакеты с неизвестным MAC-адресом отправителя будут отбрасываться. Также отправляется SNMP оповещение.
· Shutdown – нарушение безопасности приводит к тому, что интерфейс переводится в состояние error-down, выключается немедленно и отправляется SNMP сообщение. По умолчанию, интерфейс не может автоматически подняться. Поэтому необходимо дать команду undo shutdown.
Настройка port security
Перейдем к настройке функции port security и посмотрим как она работает:
interface GigabitEthernet 0/0/1
port link-type access
port-security enable
Сгенерируем трафик с PC чтобы коммутатор запомнил MAC адрес компьютера. Как видим, коммутатор запомнил MAC адрес 5489-9868-7994 и назначил его на порт GE0/0/1:
[Huawei-GigabitEthernet0/0/1] display mac-address security
MAC address table of slot 0:
-----------------------------------------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-----------------------------------------------------------------------------------------------------------------
5489-9868-7994 1 - - GE0/0/1 security -
-----------------------------------------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 1
Теперь посмотрим, что случится, когдаPC с другимMAC адресом присоединится к этому же порту:
May 17 2019 10:31:42-08:00 Huawei L2IFPPI/4/PORTSEC_ACTION_ALARM:OID 1.3.6.1.4.1.2011.5.25.42.2.1.7.6 The number of MAC address on interface (28/28) GigabitEthernet0/0/1 reaches the limit, and the port status is : 1. (1:restrict;2:protect;3:shutdown)
Коммутатор отбрасывает весь трафик, приходящий от другого PC. Порт GE 0/0/1 сменил свой статус на restrict, и только хост с MAC адресом 5489-9868-7994 может посылать трафик на этот порт. Для настройки другим режимов port security, мы можем воспользоваться следующей командой:
[Huawei-GigabitEthernet0/0/1] port-security protect-action ?
protect Discard packets
restrict Discard packets and warning
shutdown shutdown
Важно помнить, что этот безопасный MAC адрес, который был запомнен, хранится в памяти коммутатора и будет там до перезагрузки коммутатора. Чтобы избежать потери, мы можем настроить функцию MAC address sticky. Тогда коммутатор будет сохранять MAC адреса в конфигурационный файл.
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky
Также, для запоминания можно вручную задать необходимый MAC адрес. Данную опцию можно использовать, если PC не присоединен к порту коммутатора и его MAC адрес ещё не был получен:
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky 5489-9868-7994 vlan 1
[Huawei-GigabitEthernet0/0/1] display mac-address security
MAC address table of slot 0:
---------------------------------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
---------------------------------------------------------------------------------------------------------
5489-9868-7994 1 - - GE0/0/1 sticky -
---------------------------------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 1
Если мы хотим на одном порту использовать несколько устройств, то мы можем воспользоваться следующей командой:
[Huawei-GigabitEthernet0/0/1] port-security max-mac-num 2
Теперь мы можем добавить второй безопасный MAC адрес:
[Huawei-GigabitEthernet0/0/1] port-security mac-address sticky 5489-9868-7996 vlan 1
[Huawei-GigabitEthernet0/0/1] display mac-address security
MAC address table of slot 0:
---------------------------------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
---------------------------------------------------------------------------------------------------------
5489-9868-7994 1 - - GE0/0/1 sticky -
5489-9868-7996 1 - - GE0/0/1 sticky -
---------------------------------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 2
Ещё одна опция Port Security это время хранения адресов. По умолчанию, каждый MAC адрес хранится в памяти устройства неограниченное время. Задать время хранения адресов можно при помощи следующей команды:
[Huawei-GigabitEthernet0/0/1] port-security aging-time 2
Необходимо помнить, что в данной команде время задается в минутах.