Network 8. Port Security

네트워크 상에서

공격자가 서버를 공격하는 걸 막기 위해선

서버의 보안도 신경써야 하지만

그 이전에 네트워크 단위, 즉

접근 전에 접근통제를 할 수 있다.

 

 

 

 

먼저 아래의 토폴로지를 라우팅 프로토콜까지 

구성해보자

[Port Security]

 스위치에 저장되는 Mac-Address-Table에

개수 또는 mac주소에 제한을 둬

초과할 시에 접속을 통제할 수 있는 기능이다.

 

첫번째 네트워크의 6,7,8 PC를 이용할 것인데

 

HUB가 꽂혀 있는 이유는

아무래도 MAC으로 통제하다 보니

스위치가 꽂히면 스위치의 MAC주소도 읽기때문에

원하는 개수에서 n+1이 되기 때문이다

 

(HUB는 mac주소가 없다)

 

이제 스위치를 확인해보자

연결하고 통신을 시도하고 난 뒤 확인해보면 

mac주소 테이블이 등록된 것을 볼 수 있다.

약 5분동안 보관한다.

(3계층 장비는 자동으로 등록된다.)

 

이제 스위치에 Port Security를 실행해보자

Switch#
Switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#int f0/3 
Switch(config-if)#switchport port-security 
Command rejected: FastEthernet0/3 is a dynamic port.
스위치 포트가 다이나믹포트일 때는 설정 불가! (포트 모드를 변경시켜주자)

Switch(config-if)#switchport mode trunk 
Switch(config-if)#switchport port-security
포트 시큐리티 실행

Switch(config-if)#switchport port-security ?
  aging        Port-security aging commands    MAC주소 등록시간 설정
  mac-address  Secure mac address              MAC주소 접근제어
  maximum      Max secure addresses            최대 MAC 갯수 접근제어
  violation    Security violation mode         통제 방식 설정

Switch(config-if)#switchport port-security maximum 2

Switch(config-if)#switchport port-security violation ?
  protect   Security violation protect mode     기존사용자는 유지, 새 접근자만 차단
  restrict  Security violation restrict mode    위와 같으나 로그를 남김
  shutdown  Security violation shutdown mode    어길시 포트 차단  
  
  
Switch(config-if)#switchport port-security violation shutdown

 

이전에 토폴로지에서

허브에 PC를 2개만 연결해둔 이유가 이것이다.

 

먼저 2개일때 mac주소 테이블에 등록되게

핑을 서로 날려보자

fa0/3 포트나 icmp에는 문제가 없다.

이제 나머지 PC도 연결한뒤 다시 해보자

 

 

그 즉시 포트가 차단 되는 것을 볼 수 있다.

 

차단된 포트 다시 복구시켜주자

그런데 no sh 명령어를 계속 입력해도

포트가 살아나지 않는다..

 

port security로 차단된 포트는

반드시 차단한 뒤에 살려줘야 한다.

sh => no sh을 거치니 다시 복구됐다.

 

 

violation restrict와 protect 의 차이는 로그가 남는 것이라고 했다.

show port로 해당 설정 포트에 남은 로그를 볼 수 있다.

 

Switch(config-if)#sw port-security  violation  restrict

 

그 다음 설정을 바꿔주고 다시한번 차단되어 보자

 

다시 해보면 포트는 차단되지 않았으나

icmp가 작동하지  않는 것을 볼 수 있다.

 

이제 show port로 확인해보자

확인 해보면 내가 시도한 횟수만큼

SecurityViolation (Count)가 오른 것을 볼 수 있다(5회 시도함)

 

 

MAC주소로도 제어해보자!

 

Switch(config-if)#sw port-security violation shutdown 
Switch(config-if)#sw port-security maximum 2
Switch(config-if)#switchport port-security mac-address 00E0.F997.118C 6번 PC
Switch(config-if)#switchport port-security mac-address 0030.A3D2.5C47 7번 PC

이제 mac주소가 등록되않은 PC가 접근할 때

포트가 차단될 것이다. (최대 갯수에 도달하지 않아도 차단됨)

 

8번 PC만 접근했는데 즉시 차단되어 버렸다.