Port-Security Yapılandırması

-

Port Security, birden fazla bilgisayar veya cihazların bulunduğu networklerde 2. katman bazında MAC adresi düzeyinde güvenliği üst seviyelere taşımak amacıyla geliştirilmiş bir yapılandırmadır. Bir swtichin herhangi bir portuna kaç tane bilgisayar bağanabileceğini ve bu bilgisayarların hangi MAC adreslerine sahip olduğunu belirtiriz, bunların dışındaki cihazların bu porttan networke erişimi engellenir.  Bu şekilde dışarıdan gelen cihazların networke dahil olması engellenir.

 Bu yapılandırmayı Cisco Packet Tracer üzerinde göstereceğim.



Elimizde bu şekilde küçük bir network var. Bu networkte Switch A ya bağlı 4 adet bilgisayar var ve bu bilgisayarlar bizim güvenli bilgisayarlarımız. Bunların dışında ağımıza herhangi bir bilgisayarın erişmesini istemiyoruz, bunu sağlamak için port-security yapılandırmasını uygulayacağız.



Bu resimde gördüğünüz gibi öncelikle " interface range fastEthernet 0/1 - 4 " komutuyla config-if-range moduna düşüyoruz. Daha sonra " switchport mode access " komutuyla bu seçtiğimiz portların erişim portu olduğunu belirtiyoruz.


Burada  yazdığımız " Switchport port-security maximum 1 " komutu ile her porta kaç farklı bilgisayarın erişim sağlayabileceğini belirmiş oluyoruz. Ben her porta 1 adet bilgisayarın erişim sağlayabilmesini istediğim için 1 yazdım, 1 - 132 arasında  bilgisayarın erişim sağlamasına izin verebiliriz.


Bu resimde gördüğümüz " switchport port-security mac-address " komutunda ise switche bağlanmasına izin verilecek bilgisayarın MAC adresi bilgisini nasıl alınacagını belirtiyoruz. Resimde gördüğünüz gibi komutun sonuna "?" yazdığımda manuel olarak MAC adresini girebileceğim veya " sticky " komutunu seçerek şuan bağlı olan bilgisayarın MAC adresini dinamic olarak alacağı bilgisini görüyoruz. Büyük networklerde her bilgisayarın MAC edresini manuel olarak girmek çok uzun süreceği için " sticky " komutu seçilerek dinamik olarak MAC adreslerinin kaydedilmesi sağlanır. Bende " sticky " komutunu ekleyerek dinamik olarak MAC adreslerini kaydedilmesini sağladım.



Yukarıda ki resimde gördüğünüz gibi " switchport port-security violation " komutunu kullanarak Ethernet kablosunun ortama getirilen farklı bir  bilgisayara takıldığında portun durumunun ne olacağını belirtiyoruz. Burada " protect " seçeneği porta gelen bağlantı isteğinin iptal edilmesini ve bağlantıyı engellemesini sağlıyor, " restrict " seçeneği  protect komutu ile aynı işlemi yapıyor ve   bu işlemin loglarının tutulmasını sağlıyor,  " shutdown " seçeneği ise portun down duruma düşürülmesini sağlıyor yani port tamamen kapatılıyor. Bu "shutdown" seçeneği çok tercih edilmez bunun sebebi ise portun tamamen kapatılıyor olmasıdır, port kapatıldığında bizim güvenli bilgisayarımız ağa bağlanmak istese bile port kapalı olduğu için bağlantıyı sağlayamayacaktır. Bağlantının sağlanabilmesi için switch üzerinden portun tekrar up duruma getirilmesi gerekir. Burada en çok tercih edilen seçenek " restrict " seçeneğidir, ağımıza erişmek isteyen bilgisayarın bilgilerini logladığı için bizim bunu daha sonra kontrol ettiğimizde hangi bilgisayarların ağımıza erişmek istediğini görebiliriz. Bunun tercih edilmesindeki asıl sebep ise portun tamamen kapatılmıyor olmasıdır sadece bağlantı engellenir ve  porta güvenli bilgisayar tekrar takıldığında port MAC adresini kontrol eder ve bağlantıya izin verir.



Son olarak da " switchport port-securty " komutunu girerek port-security yapılandırmasını aktif hale getiriyoruz. Burası önemlidir, bu komutu girmezsek yapılandırmamız havada kalır çalışmaz, bu komutla yapılandırmayı aktif hale getirmemiz gerekiyor.
Port-security tarafında yapılandırmamız bu kadar.




Yukarıdaki resimde gördüğümüz " show port-security " komutuyla genel yapılandırma hakkında bilgi alabiliriz.


Yukarıdaki resimde gördüğünüz " show port-security address " komutu ile portlara kaydedilen güvenli bilgisayarların MAC adreslerini görebiliriz.



Yukarıdaki resimde ise " port-security interface fastEthernet 0/1 " komutuyla FastEthernet 0/1 portunda yapılandırılmış detaylı port-security bilgilerini görmekteyiz.


Yukarıdaki resimde gördüğünüz gibi ortama bir Laptop cihazı geldi ve Switch'nin fastEthernet 0/1 portuna bağlanmak istedi. Bu durumda switch üzerinde neler oldu  bakalım.



Resimde gördüğünüz " Security Violation Count " değeri " 8 " oldu, bunun sebebi ise bağlanmaya çalışan Laptop' un sürekli bağlantı isteği göndermesi ve port-security'nin bunu sürekli engellemesidir. Bu değer Laptop ağa bağlanmak istediği sürece artacaktır.
Birde Laptop üzerinden bakalım.


Gördüğünüz gibi Laptop' un DHCP Serverinden IP alması engellenmiş ve cihaz hiçbir şekilde ağa dahil olamiyor.

Port security yapılandırması network güvenliği açısından önem arz eden bir konudur. Birkaç kısa komutlarla kolaylıkla yapılandırabilirsiniz. Bu yapılandırmayla ağınızı fiziksel olarak  2. katman bazında koruma altına alabilirsiniz.

Bu yayınımda port-security yapılandırmasını anlattım.
Umarım yardımcı olabilmişimdir, okuduğun için Teşekkürler!


Sorularınızı aşağıya bırakabilirsiniz :)

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Yerel Ağ Sızma Testi - Siber Saldırı Analizi

-
Resim
şimdi bir sistem üzerinde gerçekleşen siber saldırının ağ tarafındaki aktivitelerini analiz ederek saldırganın yaptığı işlemleri ve elde ettiklerini göreceğiz. Ağ trafiğine ait kaydedilmiş pcap kaydını açarak analizimize başlayalım. Pcap dosyasını açtığım an karşıma birçok arp isteği geldi. Burada tüm ağa broadcast bir yayın yapıldığını görebiliriz. “192.168.127.130” numaralı ip adresi 192.168.127.0 subnetinde tarama işlemi gerçekleştirmiş. Burada gördüğünüz gibi saldırgan şahıs aktif olan sistemleri tespit etmeye çalışıyor. Peki neler tespit etmiş? Bunun için arp paketleri arasında reply dönenleri filtreleyelim. Burada opcode 2 filtresini uygulayarak tüm reply dönen paketleri filtreledik. Opcode==1 uygulamış olsak yapılan tüm arp isteklerini bize verirdi. Bizim için reply önemli ki bu ayakta olan cihazlar anlamına gelecek. Burada ip adreslerinin MAC adresleri arp tablosuna eklenmiş oluyor. Yani burada kısaca saldırgan kişi yerel ağ üzerinde haberleşebileceği bilgisayarları tespit etmi...
Devamı

CCNA Yönlendirme ve Anahtarlama : Ağlara Giriş ÖZET

-
Resim
  AĞI KEŞFETME (1.0) İnternet'in globalleşmesi kimsenin hayal edemeyeceği kadar hızlı gerçekleşti. Sosyal, ticari, siyasi ve kişisel etkileşimlerin gerçekleşme şekli, bu global ağın evrimine yetişebilmek için hızla değişiyor. Gelişmemizin sonraki seviyesinde yenilikçiler İnternet'i ağ yeteneklerinin avantajını kullanmak için özel olarak tasarlanmış yeni ürün ve hizmetleri oluşturma çabaları için başlangıç noktası olarak kullanacak. Geliştiriciler mümkün olanın sınırlarını zorladıkça, İnternet'i oluşturan birbirine bağlı ağların yetenekleri bu projelerin başarıya ulaşmasında artan bir rol oynayacak. GLOBAL OLARAK  Bilgisayarların birbirleriyle haberleşmeleri, birbirlerine veri aktarmaları için genellikle bir kablo kullanılarak aralarında kurulan bağlantıyla oluşturulan bütün, ağ olarak isimlendirilir. Bir ağdaki veri iletim kapasitesini genellikle bilgisayarları bağlamak için kullanılan araç belirler. Bu araçlardan günümüzde en çok kullanılanlarına koaksiyel kablo, telefon t...
Devamı

KALİ LİNUX'UN TARİHİ

-
Resim
Kali; Linux tabanlı, CD'den başlatma seçenekli BackTrack yapımcıları tarafından 2013 yılında oluşturulmuş olan bir güvenlik kontrol işletim sistemi.   Offensive Security Ltd.   aracılığıyla   Mati Aharoni ,   Devon Kearns  ve   Raphaël Hertzog   tarafından geliştirilmekte ve finanse edilmektedir. İçerisindeki araçlar sayesinde birçok alanda ( ağ, Windows, Arduino ) güvenlik testi yapmak ve yazılım geliştirmek mümkün. Kali Linux,  Armitage (grafiksel bir siber saldırı yönetim aracı) ,  nmap (bir port tarayıcı) ,  Wireshark (paket analizörü) ,  John the Ripper (şifre kırıcı) ,  Aircrack-ng  gibi (dahil olmak üzere 300'ün üzerinde nüfuz testi programı ile önceden kurulmuştur) çeşitli araçlardan ve kablosuz LAN'lar için bir nüfuz testi yazılım paketi, Burp suite ve OWASP ZAP gibi (her ikisi de web uygulama güvenlik tarayıcılarıdır) programlardan oluşur. NASIL ÇALIŞIR; Kali Linux bir bilgisayarın sabit diskine yüklenerek çalışa...
Devamı