GNS3 Kullanarak Cisco Switch Üzerinde Port Security Yapılandırma

Bu yazımızda GNS3’te Layer 2 Switch üzerinde Port Security (Port Güvenliği) nasıl yapılandırılır inceleyeceğiz.

GNS3 Kullanarak Cisco Switch Üzerinde Port Security Yapılandırma

Layer 2 Switch Üzerinde Port Security Nasıl Yapılandırılır?

Öncelikle, Cisco Switch’lerde Port Güvenliği mantığını ve önemini anlamak gerekir.
Bir ağda Cisco Switch kullanılıyorsa, network güvenliği için aygıtlar üzerinde Port Security (Port Güvenliği) özelliğini etkinleştirmenizi öneririz.

Bu güvenlik özelliğini, Cisco Switch üzerindeki tüm Interface (Arayüz)’lere kolayca uygulayabilirsiniz.

Örneğin, bir firmanın muhasebe odasındaki bir bilgisayar, Switch’in FastEthernet0/5 portuna bağlıysa, ve o bilgisayarı sadece bir kişi kullanıyorsa, FastEthernet 0/5 arayüzünde Port Security uygulayabilirsiniz.

Port Security uygulanan bir arayüz, bilgisayarın MAC adresi ile eşleştirilir ve böylece başka bir bilgisayarın bu arayüze bağlanması engellenerek güvenlik sağlanır.

Switch’in arayüzü bilgisayarın MAC adresi ile eşleşir ve böylece başka bir MAC adresine sahip bilgisayar, bu Switch’in arayüzü ile ağa bağlanması kısıtlanır.

Firma bilgilerinizi izinsiz olarak almak isteyen bir kişi, sadece İnternet üzerinden saldırıya geçmez. Ayrıca, firmanıza fiziksel olarakta saldırı yapabilir.

Örneğin, firmanızda bir personel olarak işe başlayabilir ve böylelikle diğer departmanlarınızdaki ağ cihazlarına kendi bilgisayarını bağlayarak önemli verilenize erişebilir.

Bu tarz bir girişimi engellemek için, firmanızda Cisco Switch kullanıyorsanız, Port Güvenliğini yapılandırmanız gerekebilir.

Ayrca, Port Güvenliğinin çeşitli senoryaları vardır;

1. Arayüzü Kapat [ shutdown ]

Bu ayar, ihlal durumunda arayüzü kapatır ve Switch üzerinde bir bildirim gönderir.

2. Arayüzü Kısıtla [ Restrict ]

Bu ayar, ihlal durumunda arayüzü kapatmaz ve sadece bildirim gönderir.

3. Arayüzü Koru [ Protect ]

Bu ayar, ihlal durumunda arayüzü kapatmaz ve bildirim de göndermez. Sadece portu korur.

Port Güvenliği yapılandırılmış bir Switch arayüzüne herhangi bir farklı bilgisayar bağlandığında, Cisco Switch o portu ya kapatır ya da kısıtlar.

Sadece kısıtlama yaparsanız, Switch yapılandırdığınız arayüzü kapatmayacak fakat erişimi kısıtlayacaktır.

Port Güvenliğini yapılandırmadan önce Graphical Network Simulator-3 üzerinde L2 Switch ekleyiniz. Ayrıca, Sanal Bilgisayar kullanabilmek için, çalışma alanına VPCS ekleyiniz.

GNS3’e Layer 2 Switch Ekleme
GNS3 VPCS Yapılandırma

Bu yazımızda, GNS3’te Layer 2 Switch üzerinde Port Security (Port Güvenliği) etkinleştirerek bahsettiğimiz saldırı yöntemi nasıl engellenir inceleyeceğiz.

GNS3’te Layer 2 Switch Port Security Yapılandırma

Cisco L2 anahtar üzerinde Port Güvenliğini etkinleştirmek için aşağıdaki adımları sırasıyla takip ediniz.

   Adım 1

GNS3 programını çalıştırdıktan sonra yeni bir proje oluşturunuz.

GNS3'te Yeni Proje Oluşturma

   Adım 2

GNS3 çalışma alanına bir adet Layer 2 anahtar ekleyiniz.

Çalışma Alanına Switch Ekleme

   Adım 3

GNS3 çalışma alanına 2 adet sanal bilgisayar VPCS ekleyiniz.

Çalışma Alanına VPCS Ekleme

   Adım 4

Cisco Layer 2 Switch’e arayüz eklemek ve performans artışı yapmak için onun üzerinde sağ tuşa tıklayınız.

Switch Üzerinde Sağ Tuşa Tıklama

   Adım 5

L2 Switch üzerinde açılan seçeneklerden Configure (Yapılandır) seçeneğine tıklayınız.

Switch'i Yapılandır

   Adım 6

L2 Switch’in RAM değerini aşağıdaki gibi arttırınız ve ardından HDD sekmesine tıklayınız.

Switch'in RAM Miktarını Arttırma

   Adım 7

HDD sekmesinde SATA seçeneğini seçerek devam ediniz. Bu seçenek Cisco Switch’in daha performanslı çalışmasını sağlayacaktır.

Disk Arayüzünü SATA Olarak Yapılandırma

   Adım 8

L2 Switch penceresinde Network sekmesine tıklayınız ve Adapters (Adaptör/Arayüz) kısmında kaç tane arayüz kullanacaksınız miktarını belirtiniz ve daha sonra OK (Tamam) butonuna tıklayarak ayarları kaydediniz.

Switch'e Ağ Bağdaştırıcı Ekleme

   Adım 9

GNS3 çalışma alanındaki ağ aygıtlarını kablolamak için, aşağıdaki görüntüdeki gibi kablolama seçeneğine tıklayınız.

GNS3'te Ağ Cihazlarını Kablolama

   Adım 10

Çalışma alanındaki aygıtları kabloladıktan sonra, Start All Nodes (Tüm Düğümleri Başlat) butonuna tıklayınız.

Tüm Düğümleri Çalıştırma

   Adım 11

Aşağıdaki görüntüdeki gibi aygıtlar sorunsuz çalışmalıdır.

Tüm Ağ Cihazları Çalıştır Durumda

   Adım 12

GNS3 çalışma alanı üzerine açıklamalar ekleyerek işlevselliği arttırabilirsiniz. Şimdi, tüm aygıtların konsol pencerelerini çalıştırınız.

CLI Komut İstemini Açma

   Adım 13

VPCS PC1’e IP adresi atamak için aşağıdaki komutu uygulayınız.

ip 192.168.5.5/24 192.168.5.1

 
ip 192.168.5.5/24 192.168.5.1

   Adım 14

VPCS PC2’ye IP adresi atamak için aşağıdaki komutu uygulayınız.

ip 192.168.5.10/24 192.168.5.1

VPCS PC’leri yapılandırdıktan sonra, show ip komutu ile TCP/IP ayalarını kontrol ediniz.

show ip

   Adım 15

PC1’den PC2’ye bağlantı testi aşağıdaki görüntüdeki gibi başarılı olacaktır.

ping 192.168.5.10

   Adım 16

PC2’den PC1’e bağlantı testi aşağıdaki görüntüdeki gibi başarılı olacaktır.

ping 192.168.5.5

   Adım 17

Layer 2 Cisco Switch üzerinde VLAN1’e IP adresi atamak için aşağıdaki komutları uygulayınız.

Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface vlan 1
*May 26 22:55:21.080: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed s
Switch(config-if)#ip address 192.168.5.100 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#end
Switch#

 
Switch(config-if)#ip address 192.168.5.100 255.255.255.0

   Adım 18

Bu adımda Switch üzerinde Port Security özelliğini etkinleştirmek için aşağıdaki komutları uygulayınız.

Eğer Port’u sadece kısıtlamak istiyorsanız, bunu violation kısmından değiştirebilirsiniz.

Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#interface gigabitethernet 0/0
Switch(config-if)#switchport host
switchport mode will be set to access
spanning-tree portfast will be enabled
channel group will be disabled

Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#exit
Switch(config)#
Switch(config)#
Switch(config)#interface gigabitethernet 0/1
Switch(config-if)#switchport host
switchport mode will be set to access
spanning-tree portfast will be enabled
channel group will be disabled

Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#end
Switch#wr

 
Switchport Host komutu ile Cisco Switch arayüzünü Dynamic moddan Access moduna ayarlayınız. Aksi takdirde, Cisco Switch arayüzü Access Port olarak ayarlanmayacaktır!

Switch(config-if)#switchport port-security

   Adım 19

Cisco Switch üzerinde privileged modda show port-security komutunu çalıştırarak, arayüzler üzerinde herhangi bir ihlalin olup olmadığını denetleyebilirsiniz.

Şuan herhangi bir atak yapılmadığı için, SecurityViolation kısmı 0 olarak görünecektir.

show port-security

   Adım 20

L2 Switch üzerinde show port-security interface gigabitethernet 0/0 komutunu uygulayarak arayüzün Port Güvenliği ile ilgili bilgileri ve ihlal durumunu inceleyebilirsiniz.

show port-security interface gigabitethernet 0/0

   Adım 21

Port Security yapılandırdıktan sonra, PC’ler arasındaki bağlantıyı test etmek için, PC1’den PC2’ye ping atınız.

VPCS'ler Arasında Ping İşlemi

   Adım 22

PC2’den PC1’e de ping işlemi başarılı olacaktır.

VPCS'ler Arasında Ping İşlemi

   Adım 23

Bilgisayarlar arası Ping işlemi sonrası Cisco Switch üzerinde MAC adres tablosu güncellenmiştir.

Switch PC1 ve PC2’nin MAC adreslerini tablosuna kaydetti ve herhangi bir ihlal durumunda buradaki MAC adresleri ile kıyaslama yapacaktır.

show mac address-table

   Adım 24

Bilgisayarlardan VLAN1’in IP adresine Ping attığınızda da test başarılı olacaktır.

VLAN'ın IP Adresine Ping Atma

   Adım 25

PC2’den VLAN1’e Ping işlemi de başarılı olacaktır.

VLAN'ın IP Adresine Ping Atma

   Adım 26

Port Security etkinleştirme adımlarından sonra, bu özelliğinin çalışıp çalışmadığını test etmek için çalışma alanına bir adet daha VPCS ekleyiniz.

Yeni Bir VPCS Ekleme

   Adım 27

VPCS PC3’ün IP ayarlarını da aşağıdaki gibi yapılandırınız.

VPCS3 IP Ayarları

   Adım 28

Şimdi, PC1 ile L2 Switch arasındaki kabloyu çıkarmak için sağ tuşa tıklayınız ve Delete (Sil) seçeneğine tıklayınız.

PC ile Switch Bağlantısını Sonlandırma

   Adım 29

VPCS PC3’ü L2 Switch’e bağlamak için kablolama seçeneğine tıklayınız.

Yeni Bilgisayarı Switch'e Bağlama

   Adım 30

L2 Switch üzerine tıkladığınızda, Ethernet0/0 arayüzü seçiniz.

Bu arayüzde PC1 bağlıydı ve PC3’ü bağlayınca ne olacağını inceleyiniz.

Ethernet0

   Adım 31

PC3’ten PC2’ye Ping attığınızda aşağıdaki gibi host ulaşılamaz mesajı alacaksınız.

Host Ulaşılamaz Mesajı

   Adım 32

Switch’in konsolunda bir ihlal olduğu için aşağıdaki gibi log kayıtları görünücektir;

Switch#
*May 26 23:03:58.687: %PM-4-ERR_DISABLE: psecure-violation error detected on Gi0/0, putting Gi0/0 in err-disable state
*May 26 23:03:58.697: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0050.7966.6802 on port GigabitEthernet0/0.
*May 26 23:03:59.687: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to down
*May 26 23:04:00.693: %LINK-3-UPDOWN: Interface GigabitEthernet0/0, changed state to down
Switch#

Yukarıdaki log kaydında GigabitEthernet0/0 üzerinde bir güvenlik ihali olduğunu görebilirsiniz.

Bu bildiriden hemen sonra, Switch ilgili portu kapatacaktır.

Portun İhlal Durumunu İnceleme

   Adım 33

L2 Anahtar üzerinde show port-security komutunu çalıştırdığınızda Gig0/0 üzerinde bir ihlal olduğunu kontrol ediniz.

show port-security

   Adım 34

Aynı şekilde, L2 üzerinde show ip interface brief komutunu çalıştırarak arayüz durumlarını kontrol ettiğinizde, GigabitEthernet0/0 arayüzün kapalı olduğunu görebilirsiniz.

show ip interface brief

   Adım 35

PC3 ağ ortamına Port Güvenliği nedeniyle ulaşamadı. PC1 bilgisayarı tekrardan L2 Anahtara bağlamak için kabloyu çıkarınız.

PC3 ile Switch Arasındaki Kabloyu Çıkarma

   Adım 36

PC1’i tekrar L2 Anahtar üzerinde 0/0 arayüzüne bağlayınız.

L2 Ethernet0

   Adım 37

Cisco Switch Gig0/0 arayüzünü kapattığı için tekrardan aktif etmeniz gereklidir. Bu arayüzü tekrar akfit etmek için önce shutdown sonra no shutdown komutunu çalıştırınız.

Switch arayüzü başarıyla kapatarak kendini savunmaya aldı. Eğer Violation (İhlal) seçeneğini Restrict olarak ayarlasaydınız arayüz kapatılmayacaktı.

Switch'in Ethernet Arayüzünü Açma

   Adım 38

Tekrardan show port-security komutunu çalıştırdığınızda ihlal kısmının boş olduğunu görebilirsiniz.

show port-security

   Adım 39

PC1’in tekrardan ağ ortamına başarıyla eriştiğini görebilirsiniz!

Ping ile Ağ Testi

Show Komutları

Switch#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Gi0/0 1 0 0 Shutdown
Gi0/1 1 0 0 Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 4096
Switch#

 

Switch#show port-security interface gigabitethernet 0/0
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0
Switch#

 

Switch#show mac address-table
Mac Address Table
-------------------------------------------

Vlan Mac Address Type Ports
---- ----------- -------- -----
1 0050.7966.6800 STATIC Gi0/0
1 0050.7966.6801 STATIC Gi0/1
Total Mac Addresses for this criterion: 2
Switch#

 

Switch# *May 26 23:03:58.687: %PM-4-ERR_DISABLE: psecure-violation error detected on Gi0/0, putting Gi0/0 in err-disable state *May 26 23:03:58.697: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0050.7966.6802 on port GigabitEthernet0/0. *May 26 23:03:59.687: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to down *May 26 23:04:00.693: %LINK-3-UPDOWN: Interface GigabitEthernet0/0, changed state to down Switch#

 

Switch#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Gi0/0 1 1 1 Shutdown
Gi0/1 1 1 0 Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 4096

 

Port Security Etkinleştirme ⇒ Video

Port Security etkinleştirmek için aşağıdaki videoyu izleyebilir ve ayrıca bize destek olmak için YouTube kanalımıza abone olabilirsiniz!

   Son Söz


Bu yazımızda, L2 Switch üzerinde Port Security konfigürasyonu işlemini tamamladık. Gerçek senaryoda Port Güvenliği uygularken, MAC adreslerini Static olarak yapılandırmanızda fayda vardır. Bizi takip ettiğiniz için teşekkürler!

   İlgili Yazılar


Cisco IOU Kurulumu
♦ VLAN Oluşturma
♦ GNS3 Katman 3 Anahtar Kullanımı
♦ Cisco IOS’u TFTP’ye Yedekleme
♦ Cisco TFTP Sunucu Kullanımı

Add a Comment

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

shares
error: