CCNA Gün 42 - Port Security - Networkous

Bu Yazıda Port Security Nedir, Neden Port Security Kullanmalıyız ve Port Security Yapılandırması Hakkında Bilgi Edineceğiz.

Port Security

• Switch Portunda Hangi Source MAC Adres / Adreslere İzin Verildiğini Kontrol Etmemizi Sağlar. Bu Nedenle Port Bazında Yapılandırılır.

• Portta İzin Verilmeyen Bir Source MAC Adrese Sahip Trafik Geldiğinde Varsayılan Eylem Portu err-disable Durumuna Getirmektir. Aslında Bu Portu Kapatmak Gibidir. Trafik Artık Bu Port Tarafından Alınmayacak ve Gönderilmeyecektir.

• Örnek

• PC1, SW1 G0/1 Portuna bağlıdır. PC1'in MAC Adresi A.A.A.
• PC1 Kullanıcısı, Çalışması için Kişisel Dizüstü Bilgisayarını da Getirdi, Bu PC2'dir ve MAC Adresi B.B.B.
• Ağ Yöneticisi, SW1 G0/1 Portunda Port Security Yapılandırdı, Bu Nedenle Yalnızca A.A.A Source MAC Adresine Sahip Frame'lerin G0/1 Portuna Girmesine İzin Veriliyor.

• PC1 Bir Frame Gönderdiğinde SW1 Source MAC Adresi Kontrol Edecek ve Bunun A.A.A olduğunu Görecek, Bu Nedenle Frame'i Normal Şekilde Hedefe İletecektir.

• Kullanıcı Kabloyu PC1'den Çıkartıp Dizüstü Bilgisayara, PC2'ye Bağlıyor. PC2 Bir Frame Gönderdiğinde Ne olacak? SW1, Source MAC Adresi Kontrol Edecek ve Bunun B.B.B olduğunu Fark Edecek ve G0/1 Portunu err-disable Durumuna Getirecektir. Siz Portu Tekrar Etkinleştirene Kadar Trafik Almayacak ve Göndermeyecektir.

• Dizüstü Bilgisayarın Ağ Üzerinden İletişim Kuramadığını Fark Eden Kullanıcı Kabloyu Dizüstü Bilgisayardan Çıkartıp Tekrar PC1'e Bağlıyor. PC1 Bir Frame Gönderdiğinde Ne olur?

• Port Hala err-disable Durumda, Yani PC1 de Artık İletişim Kuramaz.
• Port Security Tarafından Devre Dışı Bırakılmış Bir Portu Etkinleştirmenin İki Yolu Vardır, Ancak Bunları Daha Sonra Ele Alacağız.

• Switch Portunda Varsayılan Ayarlar ile Port Security Etkinleştirdiğinizde Tek Bir MAC Adresine İzin Verilir.

• İzin Verilen MAC Adresini Manuel olarak Yapılandırabilirsiniz.

• Manuel olarak Yapılandırmazsanız Switch, Porta Giren İlk Frame'in Source MAC Adresine İzin Verecektir (Dinamik).

• Switch Portunda İzin Verilen Maksimum MAC Adres Sayısını Değiştirebilirsiniz.

• Örnek

• PH1 Doğrudan SW1'e Bağlıdır ve PC1, PH1'e Bağlıdır. SW1 G0/1 Portunda Varsayılan Ayarlar ile Port Security Yapılandırılmıştır, Bu Nedenle Tek Bir MAC Adresine İzin Veriliyor. Hem PC1 Hem de PH1 Kendi MAC Adreslerini (A.A.A ve C.C.C) Kullanarak Trafik Gönderdiğinde SW1 G0/1 Portu err-disable Durumuna Gelecektir.

• Diyelim ki SW1 G0/1 Portunu Maksimum İki MAC Adresine İzin Verecek Şekilde Yapılandırdık. Ancak İzin Verilen MAC Adreslerini Manuel Yapılandırmadık, SW1'in Hangi İki MAC Adresine İzin Vereceğini Dinamik olarak Öğrenmesine İzin Vereceğiz.

• Eğer PH1 Bir Frame Gönderirse SW1 Bunu İzin Verilen MAC Adresleri Listesine Ekleyecek ve Normal Şekilde İletecektir. Daha Sonra PC1 de Bir Frame Gönderirse SW1 Onu da Listeye Ekler ve İletir.

• SW1 G0/1 Portu, İzin Verilen Maksimum MAC Adres Sayısına Ulaştı.
• Porta Başka Bir Cihaz Bağlanırsa ve Frame Gönderirse SW1 Portu Kapatacaktır (err-disable).

• Bu Örnek İki Noktayı Tanıttı.

• İlki; Port Security Etkinleştirdiğinizde İzin Verilen Maksimum MAC Adres Sayısı Varsayılan olarak Birdir, Ancak Daha Fazlasına İzin Verecek Şekilde Yapılandırabilirsiniz.
• İkincisi; İzin verilen MAC Adresleri Manuel olarak Yapılandırılabilir veya Dinamik olarak Öğrenilebilir.

• Bu Örnekte Her İki MAC Adres de Dinamik olarak Öğrenildi, Ancak SW1 G0/1 Portunda C.C.C MAC Adresini Manuel olarak Yapılandırabilir ve Ardından PC1 Bir Frame Gönderdiğinde A.A.A MAC Adresini Dinamik olarak Öğrenmesine İzin Verebilirdik.

Neden Port Security Kullanılmalı?

• Port Security, Hangi Cihazların Ağa Erişmesine İzin Verileceğini Kontrol Eder. Yetkisiz Bir Kullanıcı Switch Portuna Cihazı Takıp Ağa Erişim Sağlayamaz.

• Switch Portunda İzin Verilen MAC Adresini / Adreslerini Manuel olarak Yapılandırsanız Bile Saldırganların Uygulayabileceği Bir Saldırı Türü Var: MAC Address Spoofing. Bir Cihazı Farklı Source MAC Adrese Sahip Frame'ler Göndermek için Yapılandırmak Kolaydır. Bu Nedenle Port Security Bu Konuda Mükemmel Bir Çözüm Değildir.

• Switch Portunda İzin Verilen MAC Adresleri Manuel olarak Yapılandırmak Yerine, Portta İzin Verilen Maksimum MAC Adres Sayısını Sınırlama Yeteneği Genellikle Daha Faydalıdır. Örneğin Bir Önceki Yazıda Gerçekleştirdiğimiz DHCP Exhaustion (DHCP Starvation) Saldırısını Hatırlayalım.

• Saldırgan, Sahte Kaynak MAC Adresleri Kullanarak Ağa Sürekli DHCP Discover Mesajı Gönderir.

• DHCP Discover Mesajları DHCP Server'ın DHCP Havuzunun (DHCP Pool) Dolmasına Neden olur. Bu Durum Diğer Cihazlar için DoS ile Sonuçlanır, IP Adresi Alamazlar.

• Switch'in MAC Adres Tablosu da Böyle Bir Saldırı (MAC Address Flooding) Nedeniyle Dolabilir.

• Örnek: Switch Bir Portundan Birden Fazla MAC Adres Öğrenebilir.

• PC1 ve PC2'den R1'e (192.168.1.254) Ping Attım. SW2'nin MAC Adres Tablosuna Bakalım.

• SW2 F0/1 Portunda İki MAC Adresinin Öğrenildiğine Dikkat Edin. Switch'ler Sonsuz Sayıda MAC Adres Öğrenemezler, Dolayısıyla Saldırgan PC1 Üzerinden Bir Program Kullanarak Sahte MAC Adreslerine Sahip Frame'ler Gönderirse Switch Bu Frame'lerin Her Birini Sanki Farklı Cihazdan Almış gibi MAC Adres Tablosuna Ekleyecektir. Ancak Dediğim gibi MAC Adres Tablosunun Bir Sınırı vardır ve MAC Adres Tablosu Dolduğunda Switch Artık Yeni MAC Adres Öğrenemez ve Aldığı Her Frame'i Tüm Portlarından Gönderir (Flood). Switch Artık Anahtarlama Görevini Yapamaz, Bir Nevi Hub'a Dönüşür.
• Portta İzin Verilen MAC Adres Sayısını Sınırlamak için Port Security Kullanmak, Bu Tür Saldırılara Karşı Koruma Sağlayabilir. Port Security'nin Her İki Yönü de Yararlıdır: Hangi MAC Adreslere İzin Verildiği ve İzin verilen MAC Adres Sayısı.

Port Security Yapılandırması

Port Security Etkinleştirme

Port Security Etkinleştirme Komutu (config-if): switchport port-security

Topoloji

Port Security, Port Bazında Yapılandırılır.

switchport port-security Komutu ile Port Security Etkinleştirmeyi Denedik, Fakat Yukarıdaki Resimde Görüldüğü gibi G0/1 Portunun Dynamic Port olduğunu Söyleyen Bir Mesaj ile Komut Reddedildi. Bu Ne Anlama Geliyor? Kontrol Etmek için show interface g0/1 switchport Komutunu Kullandım.

Administrative Mode: dynamic auto

Cisco Switch Portlarında Varsayılan olarak DTP Etkin olduğundan Yönetim Modu (Administrative Mode) Dynamic Auto'dur. DTP, Switch Portunu Manuel olarak Yapılandırmadan Port Modunun (Access/Trunk) Dinamik olarak Belirlenmesini Sağlayan Cisco Tescilli Protokoldür. Temel olarak Yalnızca Birbirine Bağlanan İki Cisco Switch Trunk Port oluşturabilir, Aksi Takdirde Port Otomatik olarak Access Port olur. (DTP Yazısını Okumak için Tıklayın). Porta PC Bağlı olduğundan Operasyonel Mod (Operational Mode) static access olarak Yapılandırılmıştır.

Port Security, Trunk veya Access Portlarda Etkinleştirilebilir. Ancak Portun Trunk veya Access olarak Manuel Yapılandırılması Gerekir.

Port Modunu Manuel olarak Yapılandırmak için switchport mode access Komutunu Kullandım. Kontrol Etmek için Tekrar show interface g0/1 switchport Komutunu Kullandım.

Administrative Mode: static access

switchport port-security Komutunu Tekrar Kullandım ve Herhangi Bir Hata Yok, Port Security Etkinleştirildi.

Yalnızca switchport port-security Komutunu Kullanılırsa Varsayılan Ayarlar ile Port Security Etkinleştirilir. Port Security Ayarlarını Kontrol Edelim.

Port Security Ayarlarını Görüntüleme Komutu: show port-security interface interface-id

Port Security Varsayılan Ayarlar:

Port Security: Enabled

Port Status: Secure-up -> Portun Up Durumda olduğunu İfade Eder (no shutdown komutu).

Violation Mode: shutdown

• Porta İzin Verilmeyen MAC Adrese Sahip Frame Gelirse Port err-disable Durumuna Getirilir.

Aging Time: 0 mins

Aging Type: Absolute

SecureStatic Address Aging: Disabled

Maximum MAC Addresses: 1

Total MAC Addresses: 0

Configured MAC Addresses: 0

Sticky MAC Addresses: 0 

Last Source Address:Vlan: 0000.0000.0000:0 -> SW1 Bu Portta Trafik almadığından Adresin Tamamı 0'dır ve VLAN Numarası 0'dır.

Security Violation Count: 0 

Herhangi Bir İhlal olmadı, Bu Nedenle Buradaki Sayaç 0'da.

PC1'den R1'e Ping Gönderdim. Aşağıdaki Resimde Değişen İki Yeri Vurguladım.

SW1, PC1'in MAC Adresini Öğrendiği için Total MAC Address 0'dan 1'e Değişti. Maximum MAC Addresses 1 olduğundan SW1 G0/1 Portunda Daha Fazla MAC Adres Öğrenilemez.

Last Source Address:Vlan, PC1'in MAC Adresi olarak Değişti ve VLAN, Varsayılan VLAN olan 1'dir.

Şimdi PC1'in SW1 G0/1 Portu ile olan Bağlantısını Kesip SW1 G0/1 Portuna PC2'yi Bağlayalım.

PC2'den R1'e Ping Attım: İşte olanlar:

Port Status, Secure-shutdown olarak Değişti. Total MAC Addresses 0'a Resetlendi.

show interfaces status Komut Çıktısında G0/1 Port Durumunun err-disable olduğunu Görebilirsiniz.

Last Source Address:Vlan: 000b.000b.000b:1 -> PC2'nin MAC Adresi.

SW1, PC1'in MAC Adresini Dinamik olarak Öğrenmişti, Ancak Port Devre Dışı Kaldıktan Sonra MAC Adres Temizlenir.

Security Violation Count: 1

Port Security Tarafından Devre Dışı Bırakılan Portu Yeniden Etkinleştirme

Manuel

    1. Yetkisiz Cihazın Bağlantısını Kesin.

    2. shutdown Komutu ve Ardından no shutdown Komutunu Uygulayın.

Port Status, Secure-up Durumuna Geri Döndü.

Last Source Address, 0000.0000.0000:0 olarak Resetlendi.

Security Violation Count 0'a Resetlendi.

ErrDisable Recovery

err-disable Durumda olan Portları Belirli Bir Süre Sonra Otomatik olarak Yeniden Etkinleştirir.

ErrDisable Recovery Hakkında Bilgi Görüntüleme Komutu: show errdisable recovery

ErrDisable Reason Sütunu, Portun err-disable Duruma Girmesinin Nedenlerini Listeler. Varsayılan olarak Tüm Nedenler Devre Dışıdır, Bu Nedenle err-disable Durumda olan Portlar Otomatik olarak Yeniden Etkinleştirilmez. Timer Status Sütunu, err-disable Etkin olup olmadığını Gösterir.

❗psecure-violation -> Port Security Violation.

Timer interval:  300 seconds

ErrDisable Recovery Etkinleştirildiyse Varsayılan olarak Her 5 Dakikada Bir err-disable Durumda olan Tüm Portlar Yeniden Etkinleştirilecektir.

Port Security Violation için ErrDisable Recovery Etkinleştirelim.

ErrDisable Recovery Etkinleştirme Komutu (config): errdisable recovery cause cause-name

ErrDisable Recovery Timer Interval Yapılandırma Komutu (config): errdisable recovery interval seconds

psecure-violation: Enabled

Timer interval: 180 seconds

Yukarıdaki Resimde G0/1 Portunun Bir Sonraki Zaman Aşımında Aktif olacağını ve 149 Saniye Kaldığını Görebilirsiniz.

Portun err-disable Duruma Girmesine Neden olan Cihazı Çıkarmazsanız ErrDisable Recovery İşe Yaramaz! Bu Her Zaman Yapılması Gereken 1. Adımdır.

Yetkisiz Cihazın Bağlantısını Kesmezseniz Ne olur? MAC Adresini Manuel olarak Yapılandırdıysanız, Yetkisiz Cihazdan Frame Alındığında Port Yeniden Devre Dışı Bırakılır.

MAC Adresinin Dinamik olarak Öğrenilmesine İzin Verdiyseniz Port Devre Dışı Bırakıldığında MAC Adres Temizlenir. Port Yeniden Etkinleştirildiğinde Yetkisiz Cihazın MAC Adresi İzin Verilen MAC Adres Haline Gelebilir ve Bu da İyi Bir Durum Değildir. Bu Nedenle Yetkisiz Cihazın Bağlantısını Kesmeyi Unutmayın.

Violation Mode

Port Security ile Yapılandırılmış Bir Portta İzin Verilmeyen MAC Adrese Sahip Frame Gelirse Switch'in Ne Yapacağını Belirleyen Üç Farklı Mod Vardır.

• Shutdown (Default)

• Yetkisiz Bir Frame Porta Gelirse Port err-disable Durumuna Getirilir.

• Port Devre Dışı Bırakıldığında Syslog ve/veya SNMP Mesajı oluşturulur.

• Port Devre Dışı Kaldıktan Sonra Yetkisiz Cihaz Trafik Göndermeye Devam Etse Bile Syslog ve/veya SNMP Mesajı Üretilmeyecektir. Portun Devre Dışı Bırakıldığını Söylemek için Yalnızca Bir Mesaj oluşturulur.

• Port Devre Dışı Bırakıldığında Violation Counter 1'e Ayarlanır. Port Yeniden Etkinleştirilirse 0'a Resetlenecektir.

• Restrict

• Port Devre Dışı Bırakılmaz. Yetkisiz MAC Adreslerinden Alınan Trafik Switch Tarafından Reddedilecektir.

• Yetkisiz MAC Adres Algılandığında Her Seferinde Syslog ve/veya SNMP Mesajı oluşturulur.

• Yetkisiz Her Bir Frame için Violation Counter 1 Artırılır.

• Protect

• Port Devre Dışı Bırakılmaz. Yetkisiz MAC Adreslerinden Alınan Trafik Switch Tarafından Reddedilecektir.

• Yetkisiz Trafik için Syslog / SNMP Mesajı OLUŞTURULMAZ.

• Violation Counter, ARTIRILMAZ (0'da Kalacaktır).

Vialotion Mode: Restrict

Topoloji

Port Security Statik / Manuel MAC Adres Yapılandırma Komutu (config-if): switchport port-security mac-address mac-address

Port Security Violation Mode Yapılandırma Komutu (config-if): switchport port-security violation {shutdown | restrict | protect}

İlk olarak SW1 G0/1 Portunda Port Security Etkinleştirdim. Ardından PC1'in MAC Adresini Portta Manuel olarak Yapılandırdım. Violation Modunu ise Restrict olarak Ayarladım. 

PC2'den R1'e Ping Atmaya Çalıştım ve Aşağı Resimdeki gibi Bir Sürü Syslog Mesajı Aldım. Syslog Mesajı, G0/1 Portunda PC2 MAC Adresinin Neden olduğu Bir Güvenlik İhlali olduğunu Söylüyor.

SW1 G0/1 Portunda Port Security Ayarlarını Kontrol Edelim.

Port Status: Secure-up

Kabloyu Tekrar PC1'e Bağlarsak Yine Trafik Gönderebilir. Çünkü Port Şuan Etkin ve PC1'in MAC Adresi Manuel olarak Ayarlanmış (Configured MAC Addresses: 1).

Violation Mode: Restrict

Security Violation Count: 12

Vialotion Mode: Protect

Topoloji

PC2'den R1'e Ping atıyoruz. PC2'nin Pingleri Başarısız oldu, Ancak SW1'de Syslog Mesajı Yoktu.

Port Status: Secure-up

Kabloyu Tekrar PC1'e Bağlarsak Yine Trafik Gönderebilir. Çünkü Port Şuan Etkin ve PC1'in MAC Adresi Manuel olarak Ayarlanmış.

Violation Mode: Protect

Security Violation Count: 0

Violation Mode Özet

Secure MAC Address Aging

Port Security Etkinleştirilmiş Bir Portta Manuel olarak Yapılandırılan veya Dinamik olarak Öğrenilen MAC Adreslerine Secure MAC Address Denir.

Varsayılan olarak Secure MAC Adreslerinde Aging Devre Dışıdır. Secure MAC Adresler, Manuel olarak Silmediğiniz veya Port Devre Dışı Bırakılıp Yeniden Etkinleştirilmedikçe Kalıcıdırlar.

Port Security Secure MAC Address Aging Time Yapılandırma Komutu (config-if): switchport port-security aging time minutes

Port Security Secure MAC Address Aging Type Yapılandırma Komutu (config-if): swithport port-security aging type {absolute | inactivity}

İki Tür Aging Vardır:

Not: Aging Timer Yapılandırıldığı Varsayılmıştır.

• Absolute (Default)

• Secure MAC Adres Öğrenildikten Sonra Aging Timer Başlar ve Zamanlayıcı Sona Erdikten Sonra Switch Öğrenilen MAC Adresten Frame Almaya Devam Etse Bile MAC Adres Kaldırılır.

• Ancak MAC Adresi Kaldırıldıktan Sonra Öğrenilen MAC Adresinden Başka Bir Frame Alınırsa Hemen Yeniden Öğrenilebilir.

• Inactivity

• Secure MAC Adres Öğrenildikten Sonra, Aging Timer Başlar, Ancak Portta Öğrenilen MAC Adresinden Frame Alınmaya Devam Edildikçe Zamanlayıcı Her Seferinde Sıfırlanır ve MAC Adres Kaldırılmaz.

Aging Timer Yapılandırdığınızda Varsayılan olarak Yalnızca Dinamik Öğrenilmiş Secure MAC Adreslerinde Aging Etkindir. Manuel Yapılandırılan Secure MAC Adreslerinde Aging Varsayılan olarak Devre Dışıdır.

Varsayılan Davranış: switchport port-security mac-address x.x.x Komutu, Running-Config'e Kaydedilecek ve MAC Adres, MAC Adres Tablosunda olacaktır.

Port Security Static Secure MAC Address Aging Etkinleştirme Komutu(config-if): switchport port-security aging static

Bu Komut ile Birlikte switchport port-security mac-address x.x.x Komutu, Running-Config'den Kaldırılacak ve MAC Adres, Aging Timer Sona Erdiğinde MAC Adres Tablosundan Kaldırılacaktır.

Aging Time: 30 mins

Aging Type: Inactivity

SecureStatic Address Aging: Enabled

Port Security Hakkında Bilgi Görüntüleme Komutu: show port-security 

Bu Komut Hangi Portlarda Port Security Etkinleştirildiğini, Bu Portlardaki Maksimum ve Mevcut Secure MAC Adres Sayısını, Violation Sayısını ve Violatin Mode (Security Action) Görüntüler.

Sticky Secure MAC Address

Sticky Secure MAC Address Yapılandırma Komutu (config-if): switchport port-security mac-address sticky

Normalde Dinamik Öğrenilen Secure MAC Adresleri Running-Config'e Kaydedilmez. Bu Komut Uygulandığında Dinamik Olarak Öğrenilen Secure MAC Adresler, Running-Config'e Şu Şekilde Eklenir: switchport port-security mac-address sticky mac-address

Sticky Secure MAC Adresler, Static Secure MAC Address Aging Etkinleştirseniz Bile (switchport port-security aging static) Asla Eskimez, Kalıcıdırlar.

• Sticky Secure MAC Adreslerini Gerçekten Kalıcı Hale Getirmek için Running-Config Dosyasını Startup-Config olarak Kaydetmeniz Gerekir.

switchport port-security mac-address sticky Komutunu Verdiğinizde, Dinamik Olarak Öğrenilmiş Tüm Secure MAC Adresler, Sticky Secure MAC Adreslere Dönüştürülür ve Running-Config'e Eklenir.

no switchport port-security mac-address sticky Komutunu Verirseniz Tüm Sticky Secure MAC Adresler, Normal olarak Dinamik Öğrenilmiş Secure MAC Adreslerine Dönüştürülür.

PC1'den R1'e Ping Gönderdim.

Sticky Secure MAC Adresler, Manuel olarak Yapılandırmak Zorunda Kalmadan Static Secure MAC Adresleri Yapılandırmanın Bir Yoludur.

MAC Address Table

Secure MAC Adresler, Diğer MAC Adresler gibi MAC Adres Tablosuna Eklenir.

• Sticky ve Static Secure MAC Adreslerin Türü STATIC olacaktır.

• Dinamik olarak Öğrenilen Secure MAC Adreslerin Türü DYNAMIC olacaktır.

Port Security Secure MAC Adresleri Görüntüleme Komutu: show mac address-table secure

Mac Address: 000a.000a.000a (PC1'in MAC Adresi)

Type: STATIC

Port Security İzin Verilen Maksimum MAC Adres Sayısı Yapılandırma Komutu (config-if): switchport port-security maximum 1-132

Gereksinimlerimize göre Bir Port ile İlişkilendirilebilecek Host Sayısını Sınırlayabiliriz. Bu Sınırı 1'den 132'ye Kadar Ayarlayabiliriz.

Port Security Komutları Özet

Quizs

Cevaplar (Sırası ile):

• c
• b, e
• d -> SNMP Get Mesajı Değil, SNMP Trap Mesajı Gönderilir.
• a
• a, b
• a

LAB - ANKI

LAB Çözümü sonradan bu yazıya eklenecektir.

Okuduğunuz için teşekkürler.