Back

Port Security

ניהול התקנים שמתחברים לרשת נחשב כקו ההגנה הראשון מפני ניסיון חיבור התקנים לא מורשים לרשת.  מתג לא יחבר לרשת התקן שהכתובת הפיסית שלו לא מורשת להתחבר לממשק.  הטכנולוגיה מתבססת על סינון גישה על בסיס כתובות MAC.

הטכנולוגיה פריצה על-ידי זיוף כתובת MAC אך לא לשכוח שהיא רק חלק ממכלול של הגנות.

 

Port Security מאפשר הגדרת שני מגבלות לכל ממשק:

  • הגבלת מספר ההתקנים שיוכלו להתחבר לממשק במתג.
  • קביעת הכתובת הפיסית שהממשק ילמד.

 

מה זה violation?

כאשר התקן לא מורשה מתחבר למתג, מתרחשת הפרה (violation) של המדיניות.

הפרה מתרחשת בשני מיקרים:

  • מחשב שלא מופיע בממשק, מנסה לשדר דרך הממשק.
  • מחשב שנלמד בממשק אחד, מנסה לשדר דרך ממשק אחר.

 

תגובות שמתרחשות בהפרה:

  • Shutdown – הממשק נסגר (הגדרת ברירת מחדל)
  • Restrict – הממשק לא נסגר אך התקן זר לא מצליח להתחבר. מתבצע Log.
  • Protect – כמו Restrict אך ללא Log.

 

{Switch01(config-if)#switchport port-security violation {shutdown/restrict/protect

 

פתיחת PORT ב- violation

Switch(config-if)#shutdown

Switch(config-if)#no shutdown

 

Auto Recovery: (לא ניתמך על-ידי Packet Tracer)

הגדרת זמן (בשניות) להתאוששות אוטומטית ממצב violation.

Switch(config)# errdisable recovery cause psecure-violation

{זמן בשניות}Switch(config)# errdisable recovery interval

 

 

הפעלת Port Security:

  • כנס לממשק.
  • הגדר את הממשק כפעיל במצב access mode.
  • הפעל את Port Security .

{{מספר}}Switch(config)#interface fastethernet  0

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security

 

 

Maximum MAC addresses:

הגדרת זו מגבילה את כמות הכתובות שממשק מוכן ללמוד (כברירת מחדל מוגדר כ- 1)

 {{מספר}}Switch(config-if)# switchport port-security maximum

 

MAC Address Learning:

ניתן ללמד מתג בשני דרכים שונות, מי הם  הכתובות ששייכות לממשק.

 

  • Static Port Security
    בשיטה זו, יש להכניס את הכתובת בצורה ידנית.

 {כתובת פיסית}Switch(config-if)#switchport port-security mac-address

 

  • Sticky Port Security
    בשיטה זו, הכתובת נלמדות בצורה דינאמית.

Switch(config-if)#switchport port-security mac-address sticky

 

מחיקת כל הכתובות שנלמדו בשיטת sticky:

Switch#clear port-security sticky

מחיקת כתובת של ממשק מסוים:

{Switch(config-if)#no switchport port-security mac-address sticky {mac_address

 

כדי שההגדרות והכתובות ישמרו גם לאחר הפעלה מחדש של המתג, יש לשמור את ההגדרות בעזרת הפקודה copy running-config startup-config.

 

 

MAC Address Aging: (לא ניתמך על-ידי Packet Tracer)

הגדרה, תוך כמה זמן ה- Port ישכח את הכתובות שהוא למד ויחליף אותן בחדשות.

ישנם שני שיטות עבודה:

  • Absolute – לאחר כמה דקות ה- Port ישכח את הכתובות.
    זוהי הגדרת ברירת המחדל. כברירת מחדל הזמן הוא 0, כלומר הכתובות לא ימחקו.
  • Inactivity – לאחר כמה דקות של חוסר פעילות ה- Port ישכח את הכתובות.
    כלומר תקופת זמן בה המתג לא קיבל Frame מי ה- Port.

 

{Switch(config-if)#switchport port-security aging type {inactivity/absolute

 {זמן בדקות}Switch(config-if)#switchport port-security aging time

 

 

Show

כדי לראות איזה כתובות למד כל port:

Switch#show port-security address

כדי לראות את הגדרות האבטחה של Port מסויים:

{מספר}/Switch#show port-security interface fastEthernet 0

 

Managing the MAC Address Table

איזה כתובות mac ה- switch למד:

Switch#show mac-address-table

מחיקת dynamic mac address:

Switch#clear mac-address-table

 

צפו במאמרים קשורים אחרים

Open chat
אנחנו זמינים גם בוואטסאפ
Powered by Joinchat
היי, מעוניינ/ת לשמוע עוד פרטים על הקורסים שלנו?
רוצה לקבל הכוונה להמשך הדרך?
שלח/י לנו הודעה ונשמח לעזור.