Aşağıdaki simülasyonda gösterdiğim üzere, şirket ağına bağlı bilgisayarların mac adreslerini switche kaydedip, port güvenliğini sağlayacağız. Şirket içi çalışan kabloyu çıkartıp başka bir laptop vb. cihaza bağlanamayacak. Böylece ağda olası güvenlik sorunlarının birçoğunun önüne geçmiş olacağız. Client evinden getirdiği laptopla download yapamayacak, olası zararlı yazılım tehdidi olan kişisel bilgisayarı ağda bir tehdit oluşturmayacak.
Olası bir ihlal durumu olduğunda alınabilecek aksiyonlar;
- Shut Down (İlgili portun kapatılması)
- Protect
- Restriction (Kısıtlama)
Yapılan ihlallerde “Violetion Counter” denen sayaç artmaya başlar. Protect modu violetion counter’ ı arttırmazken, shutdown ve restriction modları bu sayacı arttırmaktadır. Aynı zamanda restict ve protect modları portları kapatmazken, sadece shut down modu tanımlanan portu kapatır.
#interface range ile yapacağım işlemlerin tüm portları kapsamasını sağladım.
Access moduna geçip, sticky ile mac adresini kalıcı hale getirdim. Maximum komutu, ilgili porta 1 adet mac tanımlanabilmesini sağladım. Bu değer iki olursa, fazladan 1 adet mac adresi tanımlanabilir. “violation shutdown” ihlal halinde ilgili portu kapattırmış olduk.
Bu işlemlerden sonra switchimize tanımlı mac adreslerini incelediğimizde mac adres tablosunun boş olduğunu görürüz.
Aşağıdaki görselde görüldüğü üzere;
192.168.1.2 f0/1 portundan ping 192.168.1.4 pinglendiğinde artık switchimizin mac tablosunda ilgili cihazların mac adreslerini, hangi portlara bağlı olduğunu görebiliyoruz. “Type” kısmında STATIC yazmasının sebebi portları sticky olarak yapılandırmamızdan kaynaklıdır. Sticky kullanmasaydık, DYNAMIC yazacaktı ki; bunu genelde istemeyiz.
Switchimizde 1 nolu portu incelediğimizde herhangi bir ihlal gerçekleştirmediğini ve 1 adet mac adresi kayıt edildiğini aşağıda görüyoruz.
Şimdi bir ihlal gerçekleştiriyoruz.
Kullanıcı fastEthernet 0/1 portundan kablosunu çıkarıp, evinden getirdiği laptopa takıyor. Herhangi bir makineye ping attığında yada internete girdiği anda laptop kablosu simülasyonumuzda kırmızı renge dönüyor. Yani port Shut Down oluyor.
Ağ yöneticisi olarak #show port-security komutuyla gerçekleştirilen ihlalleri Violation Count sayısında görebiliriz.
İlgili kapanan portu tekrar açmak için;
#interface fastEthernet 0/1
#shutdown
#no sh
İmkan buldukça yazıda değinemediğim noktaları tamamlayacağım.