Yerel ağ güvenliğini (LAN Security) sağlamanın en temel yollarından biri, switch üzerindeki fiziksel portlara erişimi sınırlandırmaktır. Port Security özelliği, bir switch portuna bağlanabilecek cihazların MAC adreslerini tanımlamamıza ve izin verilmeyen bir MAC adresi algılandığında portu otomatik olarak kapatmaya veya trafiğini engellemeye yarar. Bu sayede, ağa yetkisiz yabancı cihazların (kişisel laptoplar vb.) takılması veya MAC adresi taklidi (spoofing) saldırıları önlenir.
Bu yazıda, Ruijie switchler üzerinde Port Security ve Sticky MAC yapılandırmasını inceleyeceğiz.
1. Temel Port Security Yapılandırması
Port Security özelliğinin çalışabilmesi için ilgili fiziksel portun mutlaka Access (Erişim) modunda olması gerekir. Trunk veya LACP portlarında port güvenliği yapılandırılamaz.
Ruijie> enable
Ruijie# configure terminal
# Güvenlik uygulayacağımız fiziksel porta girelim
Ruijie(config)# interface gigabitEthernet 0/5
# Portu access moduna alalım
Ruijie(config-if-GigabitEthernet 0/5)# switchport mode access
# Port Security özelliğini aktif edelim
Ruijie(config-if-GigabitEthernet 0/5)# switchport port-security
2. MAC Adresi Sınırlandırma ve Sticky MAC Tanımlaması
Varsayılan olarak Port Security aktif edildiğinde maksimum izin verilen MAC sayısı 1‘dir. Ancak bir portun arkasında IP Telefon ve Bilgisayar gibi çoklu cihazlar varsa bu sayı artırılabilir.
MAC adreslerini manuel girmek yerine, cihazın bağlı olduğu anda öğrendiği MAC adresini kalıcı hale getiren Sticky (Yapışkan) MAC teknolojisini kullanmak yönetimsel olarak büyük kolaylık sağlar.
Ruijie(config-if-GigabitEthernet 0/5)# interface gigabitEthernet 0/5
# Porttan öğrenilebilecek maksimum MAC adresi limitini belirleyelim (Örn: 2 Cihaz)
Ruijie(config-if-GigabitEthernet 0/5)# switchport port-security maximum 2
# Sticky MAC özelliğini aktif edelim (Öğrenilen MAC'ler koşan konfigürasyona yazılır)
Ruijie(config-if-GigabitEthernet 0/5)# switchport port-security mac-address sticky
Ruijie(config-if-GigabitEthernet 0/5)# exit
3. İhlal Durumu Eylemleri (Violation Mode)
Ağ yöneticisi tarafından izin verilen limit aşıldığında veya listelenmeyen yabancı bir MAC adresi algılandığında switchin alacağı aksiyon Violation parametresi ile belirlenir:
- protect: Yetkisiz MAC adresine ait paketleri sessizce engeller, log üretmez ve port açık kalır.
- restrict: Yetkisiz MAC adresine ait paketleri engeller, SNMP tuzağı (trap) gönderir, log üretir ve ihlal sayacını artırır.
- shutdown (Varsayılan): Portu derhal kapatır ve portu err-disabled (hata nedeniyle kapalı) durumuna getirir. Yönetici müdahale edene kadar port kapalı kalır.
Ruijie(config)# interface gigabitEthernet 0/5
# İhlal durumunda portun kapatılmasını seçelim
Ruijie(config-if-GigabitEthernet 0/5)# switchport port-security violation shutdown
Ruijie(config-if-GigabitEthernet 0/5)# exit
4. İhlal Sonrası Otomatik Port Kurtarma (Auto Recovery)
shutdown modunda ihlal nedeniyle kapanan portu manuel olarak açmak için port arayüzüne girip shutdown ardından no shutdown komutu verilmelidir. Ancak bu durumu otomatikleştirmek için global olarak bir kurtarma süresi belirlenebilir:
# Hata nedeni port güvenliği ihlali olan portları kurtarmayı aktif edelim
Ruijie(config)# errdisable recovery cause security-violation
# Otomatik açılma bekleme süresini saniye cinsinden belirleyelim (Örn: 300 saniye)
Ruijie(config)# errdisable recovery interval 300
5. Doğrulama ve İzleme Komutları
Port güvenliğinin durumunu sorgulamak için aşağıdaki komutlar kullanılır:
- Tüm Portların Güvenlik Durumu:
Ruijie# show port-security - Belirli Bir Portun Güvenlik Detayları:
Ruijie# show port-security interface gigabitEthernet 0/5Bu komutla maksimum MAC limiti, sticky MAC durumu, ihlal eylemi ve o ana kadar gerçekleşen ihlal sayısı görülebilir.
- Öğrenilen Güvenli MAC Adresleri Listesi:
Ruijie# show port-security address - İhlal Nedeniyle Kapanan (err-disabled) Portları Listelemek:
Ruijie# show interfaces status err-disabled
Konfigürasyonu kalıcı kılmak için kaydetmeyi unutmayın:
Ruijie# write memory