Switchport Port-Security Nedir, Nasıl Yapılır ?

Elimizde bir Cisco Catalyst switchimiz var ve bunun güvenliğini sağlamak istiyorsak, yani başka birisinin cihazımıza yetkisiz olarak bir başka cihaz takmasını istemiyorsak port güvenliğini sağlamakla işe başlayabiliriz.
Port-security ile ikinci katman seviyesinde bir güvenlik sağlamış olacağız. Birinci katman güvenliğini, kullanmadığımız portları "shutdown" ederek zaten sağladığımızı varsayıyorum :)
Fakat mevcut durumda açık olan ve örneğin bir PC'nin kullanımında olan bir porta, başka bir PC takılmak istenirse oluşacak güvenlik zafiyetini engellemek için yapılacak olan switch konfigürasyonu şu şekildedir;

Switch# config terminal
Switch(config)# int FastEthernet0/22
Switch (config# switchport port-security violation restrict
Switch (config)# switchport port-security maximum 24
Switch (config)# switchport port-security mac-address sticky
Switch (config))# switchport port-security

Burada switchteki  bir porta port-security uyguladık. Ama bütün portlara da bunu uygulayabiliriz;

Switch# config terminal
Switch(config) interface range  FastEthernet 0/1-48
Switch (config-if-range)# switchport port-security violation restrict
Switch (config-if-range)# switchport port-security maximum 24
Switch (config-if-range)# switchport port-security mac-address sticky
Switch (config-if-range)# switchport port-security

Komutları biraz detaylandıracak olursak;

• switchport port-security maximum: Bu komutu default olarak izin verilen MAC adres sayısındani ki bu bir tanedir, daha fazla sayıda MAC adresi tanımlamak için kullanırız. Örneğin switchimizin bir portuna 12 portlu bir hub taktığımızı düşünürsek burada belirtmemiz gereken sayı 12 olabilir. Port başına bu sayı maksimum 132 dir.

• switchport port-security violation {shutdown | restrict | protect}: Bu komut, porttaki maksimum MAC adres sayısı aşıldığında swtiche ne yapması gerektiğini söyler. Default olarak "shutdown" dır. Restrict parametresiyle, port "alive" olacak  fakat güvenlik ihlali olduğunda SNMP trap göndererek (NMS sunucuya örneğin) ağ yöneticinizi uyaracaktır. Bir diğer parametre olan Protect parametresi ise, güvenli portlardan trafiğe izin verecek fakat diğer MAC adreslerinden gelen trafiği drop edecektir.

• switchport port-security mac-address {MAC address}: Bu komutla portlar için manuel olarak MAC adresi tanımlıyoruz.

Switchte port-security ayarlarını yaptığınızda ve bu porttaki Ethernet trafiği başladığında,  switch cihazın MAC adresini kaydetecektir ve  portun güvenliğini sağlayacaktır. Switchteki port-security konfigürasyonunu görmek için show port-security address ve show port-security interface komutlarından yararlanırız.

Switch# show port-security

Secure Port    MaxSecureAddr     CurrentAddr    SecurityViolation  Security Action
(Count)         (Count)                      (Count)
--------------------------------------------------------------------------------------------------------
Fa0/1                       24                   1                       0                       Restrict
Fa0/2                       24                   1                       0                       Restrict
Fa0/3                       24                   3                       0                       Restrict
Fa0/4                       24                   1                       0                       Restrict
Fa0/5                       24                   2                       0                       Restrict
--------------------------------------------------------------------------------------------------------

Daha detaylı bilgiyi Cisco web sitesinden edinebilirsiniz:

http://www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_46_se/command/reference/cli3.html#wp1948361