Защита коммутаторов

Port Security

Port security. Эта технология на основе мак адресов устройств регулирует, какие подключенные компьютеры могут передавать данные через конкретный сетевой интерфейс коммутатора.

Используется для:

• Предотвращения несанкционированной смены MAC-адреса сетевого устройства или подключения к сети
• Предотвращения атак направленных на переполнение таблицы коммутации.

После настройки порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.

Технология работает на основе таблицы мак адресов коммутатора. Напомню, что в данную таблицу записываются мак адреса компьютеров, обменивающихся информацией в сети. Коммутатор сопоставляет эти мак адреса со своими физическими интерфейсами, благодаря чему происходит процесс коммутации.

Получается, что мы можем назначить список разрешенных мак адресов для конкретного интерфейса. В таком случае указанные мак адреса коммутатор допустит до процесса коммутации, а любые другие – нет.

Безопасные MAC-адреса

Коммутатор поддерживает такие типы безопасных MAC-адресов:

• Статические MAC-адреса:
  • задаются статически командой switchport port-security mac-address mac-address в режиме настройки интерфейса,
  • хранятся в таблице адресов,
  • добавляются в текущую конфигурацию коммутатора;
• Динамические MAC-адреса:
  • динамически выучиваются,
  • хранятся только в таблице адресов,
  • удаляются при перезагрузке коммутатора;
• Sticky MAC-адреса:
  • могут быть статически настроены или динамически выучены,
  • хранятся в таблице адресов,
  • добавляются в текущую конфигурацию коммутатора. Если эти адреса сохранены в конфигурационном файле, после перезагрузки коммутатора, их не надо заново перенастраивать.

Режимы реагирования

Нарушением безопасности для port security считаются ситуации:

• максимальное количество безопасных MAC-адресов было добавлено в таблицу адресов и хост, чей MAC-адрес не записан в таблице адресов пытается получить доступ через интерфейс,
• адрес, выученный или настроенный как безопасный на одном интерфейсе, появился на другом безопасном интерфейсе в том же VLAN'е.

На интерфейсе могут быть настроены такие режимы реагирования на нарушения безопасности:

• Protect