О компании
Где купить
Блог
Поддержка
Главная
Блог
Port Security: защита сети от несанкционированного доступа

Port Security: защита сети от несанкционированного доступа

16 сентября 2024 г.

В современном мире защита сети от несанкционированного доступа является ключевым фактором для сохранения конфиденциальности данных и бесперебойной работы всех систем. Технология Port Security - это один из инструментов безопасности сети, который позволяет администраторам контролировать доступ определенных устройств к сегменту сети через определенный порт коммутатора. Она предотвращает несанкционированный доступ к сети, блокируя подключения от неизвестных или неавторизованных устройств.

Преимущества Port Security

  • Предотвращение атаки Man in the middle (MITM): Port Security предотвращает подмену злоумышленниками MAC-адреса для доступа к сети.
  • Защита от несанкционированного доступа: только разрешенные устройства получают доступ к сети.
  • Повышение безопасности сети: ограничение доступа к сети помогает предотвратить атаки на доступные ресурсы.
  • Упрощение управления сетью: администраторы могут легко управлять доступом к сети, редактируя список разрешенных MAC-адресов.

Типы Port Security

Static Port Lock

Принцип работы:

  • Вручную формируется привязка MAC-адреса устройства к порту.
  • Порты не будут пропускать кадры с MAC-адресами, отличными от указанных.

Недостатки:

  • Необходимость ручной конфигурации при добавлении новых устройств и в случае выхода коммутатора из строя.
  • После срабатывания правила Port Security с установленным действием “shutdown” необходимо вручную включать интерфейс обратно.

Dynamic Port Lock

Принцип работы:

  • Устанавливается ограничение количества MAC-адресов, которые может «выучить» порт.
  • Порт автоматически изучает MAC-адреса.
  • Когда максимально установленное количество MAC-адресов на порте достигнуто, он будет либо отбрасывать пакеты с новыми MAC-адресами или заблокируется.

Недостатки:

  • После срабатывания правила Port Security с установленным действием “shutdown” необходимо вручную включать интерфейс обратно.

Настройка Port Security на коммутаторах Kyland

Теперь перейдем к примерам настройки Port Security на коммутаторах серии SICOM3000A.

Static Port Lock

1. Перед настройкой в режиме Static Port Lock на коммутатор необходимо загрузить определенную версию прошивки, которую можно скачать по ссылке.

2. Далее переходим во вкладку MAC Table -> MAC Table Configuration  и прописываем разрешенный MAC-адрес устройства для определенного порта, который будет иметь доступ к сети.

3. После этого переходим во вкладку Network -> Port Security -> Configuration и включаем использование технологии Port Security.

4. А также включаем режим на выбранном порте 2, выставляем лимит 0 (это специфика работы Port Security на коммутаторах SICOM3000A) и действие shutdown.

Столбец Action отвечает за действия коммутатора при несанкционированном подключении. Таких действий на коммутаторе SICOM3000A всего 4.

None – порт не переходит в состояние «shutdown», но несанкционированный MAC блокируется.

Trap – порт не переходит в состояние «shutdown», несанкционированный MAC блокируется и отправляется Trap-сообщение.

Shutdown – порт переходит в состояние «shutdown».

Trap & Shutdown – порт переходит в состояние «shutdown» и отправляется Trap-сообщение.

После завершения всех настроек не забываем сохранить конфигурацию: Maintenance -> Save Current Configuration.

Теперь доступ в сеть может осуществляться только со 2 порта устройством с MAC-адресом E0-1C-FC-AE-A7-CF. При получении пакетов с MAC-адресами, отличными от указанного, коммутатор переведёт порт в состояние shutdown. Для разблокировки порта необходимо нажать кнопку Reopen.

Dynamic Port Lock

!   При работе с Dynamic Port Lock специализированная прошивка не потребуется.

1. Переходим во вкладку Network -> Port Security -> Configuration и включаем использование технологии Port Security.

2. После чего включаем режим на выбранном порте 1, выставляем лимит 2 и действие shutdown.

* Максимальное количество MAC-адресов - 1024.

3. После завершения всех настроек необходимо сохранить конфигурацию: Maintenance -> Save Current Configuration.

Теперь коммутатор на порте 1 будет изучать MAC-адреса согласно лимиту, а при достижении максимального количества MAC-адресов (для примера - 3 MAC-адреса) порт перейдет в состояние shutdown.