Перейти к содержанию

01. Port-Security

Введение в Port Security

Port Security – это механизм безопасности коммутаторов, позволяющий ограничивать количество MAC-адресов, которые могут быть изучены на определенном порту, а также определять действия при нарушении политики безопасности. Этот механизм предотвращает атаки, такие как MAC Flooding, и помогает контролировать доступ к сети.

1. Зачем нужен Port Security?

Угрозы безопасности:

  1. MAC Flooding (Переполнение таблицы MAC-адресов) – злоумышленник отправляет большое количество пакетов с разными MAC-адресами, заполняя таблицу коммутатора. В результате он начинает работать как хаб, отправляя трафик всем портам.
  2. Несанкционированное подключение – возможность подключения неавторизованных устройств.
  3. Подмена устройства (MAC Spoofing) – атака, при которой злоумышленник использует MAC-адрес доверенного устройства для обхода фильтрации.

2. Принцип работы Port Security

Port Security контролирует MAC-адреса на портах коммутатора. Он может:

  • Ограничивать количество MAC-адресов.
  • Запоминать MAC-адреса статически или динамически.
  • Определять реакцию на нарушение политики безопасности (режимы защиты).

3. Режимы работы Port Security

  1. Protect – отбрасывает пакеты с неизвестными MAC-адресами, не создавая записей в логах.
  2. Restrict – отбрасывает пакеты и фиксирует нарушение в логах, а также увеличивает счетчик нарушений.
  3. Shutdown (по умолчанию) – отключает порт при нарушении.

4. Режимы запоминания MAC-адресов

  1. Static – MAC-адрес задается вручную администратором.
  2. Dynamic – коммутатор автоматически изучает MAC-адреса устройств, но они не сохраняются после перезагрузки.
  3. Sticky – коммутатор автоматически изучает MAC-адреса и сохраняет их в конфигурации, даже после перезагрузки.

5. Основные параметры Port Security

  1. switchport port-security – включает механизм Port Security на порту.
  2. switchport port-security maximum <количество> – устанавливает максимальное количество MAC-адресов, которые могут быть изучены на данном порту.
  3. switchport port-security violation <режим> – определяет действие при обнаружении неизвестного MAC-адреса (режимы: protect, restrict, shutdown).
  4. switchport port-security mac-address – вручную задает доверенный MAC-адрес.
  5. switchport port-security mac-address sticky – позволяет автоматически изучать и сохранять MAC-адреса в конфигурации.
  6. show port-security – выводит общую информацию о Port Security на коммутаторе.
  7. show port-security interface <интерфейс> – показывает статус Port Security на конкретном порту.

6. Настройка Port Security с разными режимами запоминания MAC-адресов

6.1 Статическая настройка MAC-адресов

Описание: Вручную указывается MAC-адрес устройства, которому разрешен доступ. Используется в высокозащищенных средах.

Команды:

Switch(config)# interface fa0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security mac-address 00A1.B2C3.D4E5
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security violation shutdown

Плюсы:

  • Высокий уровень безопасности.
  • Исключает возможность подключения неизвестных устройств.

Минусы:

  • Администратор должен вручную управлять списком MAC-адресов.
  • Сложно масштабировать.

6.2 Динамическое изучение MAC-адресов

Описание: MAC-адреса автоматически изучаются, но не сохраняются после перезагрузки коммутатора.

Команды:

Switch(config)# interface fa0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport port-security violation restrict

Плюсы:

  • Упрощает управление устройствами, которые могут подключаться динамически.
  • Автоматически изучает MAC-адреса.

Минусы:

  • После перезагрузки устройства должны повторно отправлять трафик, чтобы быть изученными.
  • Менее надежно, чем статическая настройка.

6.3 Sticky MAC-адреса

Описание: Sticky MAC-адреса автоматически изучаются и сохраняются в конфигурации, даже после перезагрузки.

Команды:

Switch(config)# interface fa0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security maximum 3
Switch(config-if)# switchport port-security violation restrict

Плюсы:

  • Автоматическое сохранение изученных MAC-адресов.
  • Баланс между безопасностью и удобством управления.

Минусы:

  • Если в сети используются временные устройства, потребуется ручное удаление MAC-адресов из конфигурации.

7. Мониторинг и ведение журналов

Настройка журналирования событий безопасности

Для мониторинга событий Port Security можно использовать логи, SNMP и Syslog. Основные команды:

  1. Включение логирования нарушений:

    bash Switch(config)# logging enable

  2. Отправка логов на сервер Syslog:

    bash Switch(config)# logging host <IP-адрес Syslog-сервера>

  3. Проверка логов нарушений:

    bash Switch# show log

  4. Мониторинг Port Security на всех портах:

    bash Switch# show port-security

  5. Проверка состояния конкретного интерфейса:

    bash Switch# show port-security interface fa0/1

  6. Мониторинг статистики нарушений:

    bash Switch# show port-security address

Анализ инцидентов

  • При частых срабатываниях Port Security необходимо выявить источник нарушений.
  • Использование SNMP позволяет централизованно отслеживать изменения состояния портов.
  • Настройка уведомлений на Syslog-сервер поможет оперативно реагировать на инциденты.

8. Ограничения и недостатки Port Security

Несмотря на свою эффективность, Port Security имеет несколько ограничений и недостатков:

1. Уязвимость к MAC-спуфингу (MAC Spoofing)

Port Security может быть обойден с помощью MAC-спуфинга, когда злоумышленник подменяет свой MAC-адрес на разрешенный в сети. Чтобы минимизировать этот риск, рекомендуется:

  • Использовать динамическое зондирование DHCP Snooping для проверки легитимности MAC-адресов.
  • Комбинировать Port Security с 802.1X (авторизация по сети).
  • Ограничивать количество MAC-адресов на порту, чтобы злоумышленник не мог легко сменить его.

2. Неэффективность против продвинутых атак

Port Security не защищает от атак более высокого уровня, таких как ARP-спуфинг и атаки MitM (Man-in-the-Middle). Для комплексной защиты необходимо использовать дополнительные механизмы, такие как:

  • Dynamic ARP Inspection (DAI) – предотвращает ARP-спуфинг.
  • IP Source Guard (IPSG) – фильтрует пакеты на основе привязки IP и MAC-адреса.

3. Возможность блокировки легитимных устройств

Если неправильно настроить Port Security, легитимные устройства могут быть заблокированы. Чтобы избежать этого:

  • Используйте режим sticky для автоматического сохранения MAC-адресов.
  • Настраивайте уведомления через Syslog о срабатываниях Port Security.
  • Регулярно проверяйте журналы нарушений.

4. Ограниченность в масштабируемости

Port Security работает только на уровне отдельных портов, что может создавать сложности в больших сетях. Альтернативный подход – использование 802.1X, который предлагает централизованное управление доступом.

9. Практические рекомендации по Port Security

  • Включайте Port Security на всех портовых портах, кроме uplink и trunk.
  • Используйте sticky MAC для автоматического сохранения доверенных устройств.
  • Настраивайте ограничение по количеству MAC-адресов для предотвращения атак.
  • Регулярно проверяйте логи нарушений и исправляйте проблемные порты.
  • Используйте SNMP и Syslog для мониторинга событий безопасности.