İş yerinizde bilgisayar ağının bakımını üstleniyorsanız Cisco cihazlarında Port Security (Port Güvenliği) kullanarak güvenli hale getirebilirsiniz. Yani, hangi cihazların bağlantı noktalarına bağlanabileceğini belirleme yetkisine sahip olduğunuz anlamına gelir. Yani yerel ağdaki bilgisayarları yalnızca şirkette çalışan kişilerin kullanmasına izin verirsiniz.
Teknolojiyi çok kullandığımız ve çevrimiçi risklerle karşı karşıya kaldığımız günümüzde güvende kalmak çok önemli. Ağ bilgisayarlarını güvende tutmanın yanı sıra, her şeyi güvenli yapmak için başka şeyler de yapmak gerekir. Bunu yapmanın kolay bir yolu, ağda olmaması gereken kişilerin ağa girmesini engellemektir. Bu rehberde Cisco Port Security nedir ve dahası türleri ve modları nelerdir ayrıca ağda bununla neler yapabileceğinizden bahsedeceğiz.
Cisco Port Security (Bağlantı Noktası Güvenliği) Nedir ve Ne İşe Yarar?
Cisco Port güvenliği sayesinde Switch’in portuna bağlanabilecek cihazı MAC adresi ile kısıtlamış olursunuz. Yani adreslerin sayısını sınırlayarak ağınıza erişimi kontrol edersiniz. Yani yetkili cihazın MAC adresini Switch’in portuyla ilişkilendirirsiniz.
Bu durumda ağa bağlanmak isteyen kullanıcı yalnızca kendisine atanan bağlantı noktasını kullanacaktır. Kısaca kullanıcı, cihazını belirlenen porta bağlar. Bu aşamada Switch, MAC adresini yetkili MAC adres listesiyle karşılaştırarak kontrol eder. Eğer MAC listede yoksa Switch cihazın bağlanmasına izin vermez.
Bağlantı noktası güvenliğinin ne olduğunu anlayarak ağı süper güvenli yapabilirsiniz. Genellikle Switch’e bağlı herhangi bir bilgisayar ağa hızlı şekilde erişebilir. Ancak güvenlik açısından bundan daha iyi fikirler var. Ancak kontrol edebileceğiniz anahtarlarda Port Security (Arayüz Güvenliği) açmanızı öneririz.
Neden Cisco Port Güvenliğini Kullanmalıyım?
Port Security ne olduğunu bildiğinizde ağınızı sağlam ve güvenli yapabilirsiniz. Genelde anahtara bağlı PC ağa hızlıca katılabilir. Ancak güvende kalmak için cihazların ağa otomatik olarak katılmasına izin vermeyin. Bu yüzden ağ Switch’lerinizde bunu açmanızı öneririm.
Daha sonra, MAC Spoofing adı verilen bir tür numarayı durdurabilirsiniz. Bu hilede saldırganlar, onaylanan cihazlarınızın benzersiz kimliğini kendi cihazlarına benzeyecek şekilde değiştirir. Ağınızdaki güvenliği aşmaya çalıştıkları yoldur. Temel olarak port güvenliği, MAC adresleriyle yapılan zorlu hamlelere hayır demenize yardımcı olur.
Kullanıcıların izinsiz olarak ağa girmelerini engellemek için kullanılmayan bağlantı noktalarını kapatmak önemlidir. Ayrıca aktif bağlantı noktalarınızda Cisco port güvenliği özelliğini açtığınızdan emin olun.
Bunu şu şekilde düşünün: Kapsamlı ağda işleri süper güvenli tutmak için çalışmak gerekir. Her zayıf noktaya bakıp düzeltmeniz gerekiyor. Bazen dışarıdan içeri girmeye çalışan, oraya girmesi yasak kişiler olabiliyor. Bu durumda zararlı bilgisayarlarını ağınızdaki anahtara takıp sorun çıkarabilirler.
Switch’te Port Security Nasıl Çalışır?
Port Security (Güvenliği), OSI modelinin ikinci katmanında çalışır. Bu katmanda MAC adreslerine göre kısıtlamalar koyar.
Port güvenliği özelliğini kullanarak Cisco Switch’in portuna sınır belirlediğinizi düşünün. Birisi bilgisayarını ağa bağlamak amacıyla bağlantı noktasına taktığında onu engellersiniz. Basitçe, kullanıcıların ağ kablolarını yalnızca kullanmalarına izin verilen porta takmaları gerekir.
Şimdi, Cisco Port Security tam olarak nasıl çalışır bakalım:
- MAC Adreslerini İzleme
İlk olarak, ağ bağlantı noktasına bağlı cihazların benzersiz kimliklerini (MAC adresleri) takip eder. Her cihazın ağda benzersiz kimliği vardır.
- Öğrenme Modu
Öğrenme modunda ağ portundan geçen trafiği izler. Daha sonra port üzerinden ilettiği cihazların MAC’lerini öğrenir.
- Adres Sayısına Sınır Koyma
Ağ yöneticisi her bağlantı noktasının kaç tane MAC’e sahip olabileceğine karar verir. Ayrıca, birçok cihazın aynı portu kullanmasını engeller.
- Güvenli MAC Adres Listesi
Artık ağ yöneticisi, MAC adresinin belirli bilgisayarlara ayarladıkları listeyle eşleşip eşleşmediğini kontrol ederek cihazın bağlanabildiğinden emin oluyor.
- Violation (İhlal) Modları
Bundan sonra Switch listesinde kısıtlanmış kayıt görürse ihlal moduna geçer. Üç mod vardır: Protect (Koruma), Restrict (Kısıtlama) ve Shutdown (Kapatma).
- Olay Günlüğü ve Uyarılar
Son olarak izinsiz girişleri yakalarsa bunu not ediyor ve cihazı uyarıyor.
Port Güvenliği İçin İhlal Modları (Violation Modes) Nelerdir?
- Protect Mode (Koruma Modu)
- Switch’in güvenliğini sağlamak amacıyla açtığınız Protect modudur. Yetkisiz makine güvenli bağlantı noktasına bağlanmaya çalıştığında onu kapatabilirsiniz. Kısaca erişimi engellemede etkili olduğundan bunu tercih edebilirsiniz.
- Ancak onaylı cihazın ağ üzerinde bağlantısında sorun varsa, bir şeyler yapmaya çalışırken sorunlarla karşılaşabilirsiniz. Basit ifadeyle, cihazları sık sık değiştirirseniz ağın işleyişi bozulur.
- Restrict Mode (Kısıtlama Modu)
- Koruma modu kadar katı olmayan kurallar için kısıtlama modunu seçebilirsiniz. Bu modda, yetkisiz bir cihaz Switch’in bağlantı noktasına bağlanarak ağa erişebilir. Ancak Switch üzerinde bunun kaç kez gerçekleşebileceğine dair limit belirlerseniz, limite ulaşıldığında kısıtlama modunu tetikler.
- Restrict modu bağlantı noktasını kapatır. Temel olarak, ağın kullanılabilir ve güvenli kalmasını sağlamak amacıyla bunu kullanabilirsiniz. Böylece, ağın iyi çalışması ile güvende kalması arasında ancak belirli sınırdan sonra bir denge kurarsınız.
- Shutdown Mode (Kapatma Modu)
- Shutdown modu kullanabileceğiniz en katı kuraldır. Bir cihazı yalnızca tanımladığınız güvenli MAC ID’sine sahip olması durumunda Switch’in portuna bağlayabilirsiniz. Yetkisiz kişi cihazına bağladığı anda kapatma modu o portu anında kapatır. Ayrıca Switch’in konsolunda uyarı mesajı gösterir.
- Her şeyin son derece güvenli olduğundan emin olmak için Shutdown modunu kullanmanızı öneririz.
MAC Adresi Öğrenme Modları Nelerdir?
Cisco Switches’teki port güvenliği üç farklı modda gelir:
- Static (Statik), ağa bağlamak istediğiniz cihazların MAC adreslerini yazabilirsiniz.
- Dynamic (Dinamik), cihaz kimliklerini kendisi öğrenir. Bunu kullanıcılar sık sık ağa bağlanıp bağlantısını kestiklerinde kullanırız.
- Sticky (Yapışkan), biraz dinamik moda benziyor. Ancak bunun aksine öğrendiği MAC adreslerini kalıcı olarak switch portuna bağlı tutar.
Cisco Port Security Avantajları ve Dezavantajları Nelerdir?
Artıları
- Kişilerin İzinsiz Ağa Erişimini Engelleme
Başlıca faydası, orada yetkisiz kişilerin özel veya iş ağınıza girmesini engellemektir. Yani, bir cihaz, onaylı MAC adresiyle kurduğunuz Switch’e bağlandığında devreye girer. MAC adresi listede değilse Switch doğrudan bağlantı noktasını kontrol eder ardından kapatır.
- Ağın Daha İyi Çalışmasını Sağlama
Diyelim ki ağınızda yetkisiz cihazlar var. Bu durumda eğer bunlar varsa internet hızını da çok fazla tüketirler. Hatta kötü şeyler göndererek ağı yavaşlatabilirler. Dolayısıyla bağlantı noktası kısıtlamasına sahip olmak iyidir çünkü LAN’ın iyi çalışmasını sağlar.
- Bakımı Basit
Port Security, Switch cihazlarında açmak veya kapatmak basittir. Bu sayede tüm ağınızı tek yerden kontrol edebilirsiniz. Ayrıca ona bağlı cihazları da kontrol edebilirsiniz. Bunu anlamak için Packet Tracer ile Port Security yapılandırması yapabilirsiniz.
- LAN’ı Daha İyi Anlama
Her bağlantı noktasını kimin kullanabileceğine karar vererek ağınızı daha iyi görürsünüz. Temel olarak, anahtarlarınıza hangi cihazların bağlandığını kolayca izleyebilirsiniz. Böylece LAN ile ilgili sorunların bulunması ve çözülmesi daha hızlı olur.
Eksileri
- Özel Kimliklere (MAC Adresleri) İlişkin Sınırlamalar
Cisco port security özelliği, cihazları tanımak için MAC kayıtlarını kullanır. Ancak kötü niyetli aktörler bunları taklit edebilir ve yine de ağınıza erişim sağlayabilir. Ayrıca Switch yalnızca belirli sayıda MAC’i depolayabilir. Dolayısıyla geniş ağlarda büyük sorunlara neden olabilir.
- Yanlış İşlemler
Switch, izin verildiğinde bazen bağlantı noktalarını kapatabilir veya sınırlayabilir. Çalışanlar gibi kişiler bundan pek hoşlanmayabilir. Aynı zamanda ağları yöneten kişilerin sorunları çözmesinde zaman harcaması gerektiği anlamına da gelir.
- Çok Fazla Koruma Yok
Port güvenliği ağ güvenliğine yardım eder, ancak daha fazlasına ihtiyaç vardır. Yetkisiz erişimi durdurur ancak her türlü ağ sorununa karşı koruma sağlamaz. Dolayısıyla zararlı yazılımlar veya hileli saldırılar gibi şeylere karşı koruma sağlayamaz. Bundan dolayı korumayı arttırmaya yönelik diğer güvenlik yöntemlerini de kullanmak akıllıca olacaktır.
- Daha Fazla Çalışma Yükü
Port izinlerini yönetmek basittir. Ancak elbette ağ cihazına biraz yük ekler. Sonuçta onaylı MAC adresleri listesinin her zaman güncel olduğundan emin olmalısınız.
Port Security Komutları
IOS kullanan cihazlarda Cisco’nun port güvenliği çalışmasını sağlamak nedeniyle basit komutlar şunlardır:
- Port Security Açma
Çoğu cihaz varsayılan olarak bağlantı noktalarını korumaz. Ancak aşağıdaki komutla Port Security özelliğini açabilirsiniz.
switchport port-security
- Öğrenilecek Maksimum MAC Adresi Sayısını Ayarlama
Bu komut, portun öğrenebileceği çoğu MAC adresini bulmanızı sağlar. Sayı 1’den 3072’ye kadar herhangi bir yerde olabilir. Ancak genellikle varsayılan olarak 1’e ayarlanır.
switchport port-security maximum <max_count>
- Switch’e Belirli Bir MAC Adresi Ekleme
Bu komutla istediğiniz herhangi bir adresi güvenilir MAC listesine ekleyebilirsiniz.
switchport port-security mac-address <mac_address>
- İhlal Olduğunda Ne Olacağını Seçin
Port ihlali olduğunda ne olacağına karar vermede aşağıdaki komutu kullanabilirsiniz. Örneğin, “Protect” ile ihlal sırasında paketler düşer. “Restrict” seçeneğini kullanırsanız paketleri bırakır ancak aynı zamanda günlük kaydı da oluşturur. Son olarak, “Shutdown” seçeneğini seçerseniz ihlal sırasında portu hemen kapatır.
switchport port-security violation {protect | restrict | shutdown}
- MAC Adreslerinin Ne Kadar Süre Geçerli Kalacağına Karar Verin
Bununla Switch’in MAC adreslerini ne kadar süreyle geçerli göreceğine karar verebilirsiniz.
switchport port-security aging time <seconds>
- Yanlış MAC Paketlerini Durdurma
Yanlış MAC adresine sahip paketlerin sayısını saniyeler içinde değiştirebilirsiniz.
switchport port-security limit rate invalid-source-mac <packets_per_sec>
- Port Güvenliğini Resetleme
Belirli arayüzde yaptığınız tüm bağlantı noktası izin ayarlarını silersiniz.
clear port-security interface <interface_name>
Show Komutları
- Belirli Bağlantı Noktasının İstatistiklerini Kontrol Etme
Switch’in hangi MAC adreslerini öğrendiğini, ihlalleri veya diğer bilgileri görmek amacıyla kullanabilirsiniz.
show port-security interface <interface_name>
- Switch’teki Tüm Portların Bilgilerini Kontrol Etme
Aşağıdaki komut Switch’in tüm arayüzlerdeki Port ayarlarını göstermektedir.
show port-security
- Güvenli MAC Listesini Kontrol Etme
Switch’te izin verdiğiniz cihazlara tüm güvenli MAC’lerin listesini bulmak için de bunu kullanın.
show port-security address
- Olan Biten Kayıtları İnceleme
Portta olup bitenlerin kaydını incelemek için ilgili komutu kullanabilirsiniz. Özellikle güvenlik sorunu olup olmadığını kontrol edersiniz.
show port-security interface <interface_type> <interface_number> status
Örnek Kurulum
Cisco Port Security, CLI komut isteminde Global modda “switchport port-security” ile etkinleştirebilirsiniz. Ayrıca, ihlal durumunda cihazınızın davranış şeklini de ayarlamanız gerekir.
- Switch# config terminal – (Global Yapılandırma Moduna geçin.)
- Switch(config)# interface FastEthernet 0/1 – (Ayarlamak istediğiniz bağlantı noktasını seçin.)
- Switch(config-if)# switchport port-security – (Güvenlik özelliğini açın.)
- Switch(config-if)# switchport port-security maximum 1 – (Porta en fazla tek aygıta izin verin.)
- Switch(config-if)# switchport port-security mac-address sticky – (MAC’leri kalıcı hale getirin.)
- Switch(config-if)# switchport port-security violation shutdown – (İhlal varsa portu derhal kapatmayı seçin.)
Kısaca FastEthernet0/1 üzerinde Port izinlerini ayarladınız. Arayüz üzerinden ağa yalnızca bir adet MAC adresi erişir. Ayrıca MAC adresini Sticky olarak hatırlayacak şekilde ayarladınız. İhlal durumunda porta bağlı bilgisayar LAN’a bağlanamayacaktır. Yani FastEthernet arayüzü ihlal nedeniyle kendini kapatacaktır.
NOT: İhlal edilen bağlantı noktasını arayüzünden “no shutdown” komutunu kullanarak tekrar açabilirsiniz. Bu sayede ihlal sorunundan kurtulabilirsiniz. Daha sonra ağ bağlantı noktasını yeniden etkinleştirerek tekrar erişilebilir hale getirirsiniz.
Örnek kurulumun sanal laboratuvarda nasıl çalıştığını görmelisiniz. Öyleyse Port Security daha iyi anlayabilmeniz için YouTube videomuza göz atabilirsiniz.
Cisco Port Güvenliği Hakkında Sık Sorulan Sorular (SSS / FAQ)
- Cisco Port Güvenliği nedir?
- Port güvenliği nasıl çalışır?
- Cisco port güvenliği kullanmanın faydaları nelerdir?
Sonuç
Kısacası Cisco, Port Güvenliğini kullanmanın iyi bir fikir olduğunu söylüyor. Ağınızı dış tehlikelerden korur. Bu güvenlik önleminin ne olduğunu ve ne işe yaradığını anlamanızda fayda var. Bir kuruluşun parçasıysanız, MAC Kimlik Sahtekarlığı saldırılarının riskini azaltmaya destek olur. Sonuç olarak, hem içeriden hem de dışarıdan gelen tehditleri azaltabilirsiniz.
Zaman geçtikçe ağ güvenliğine olan ihtiyaç önemini korumaya devam ediyor. Sürekli değişen bu süreçte gelişen tehditlere ayak uydurmak hayati önem taşıyor. Kendinizi düzenli olarak güncelleyin ve ayarlayın. Cisco veya diğer cihazlarda bunun gibi önlemleri alarak risklerden kaçınırsınız. Böylece güvenli network topolojisi sağlarsınız. Sonuç olarak yeni tehlikelere karşı sağlam kalma konusunda üzerinize düşeni yapmış olursunuz.