Port-Security Yapıladırması

-


 Port Security, birden fazla bilgisayar veya cihazların bulunduğu networklerde 2. katman bazında MAC adresi düzeyinde güvenliği üst seviyelere taşımak amacıyla geliştirilmiş bir yapılandırmadır. Bir swtichin herhangi bir portuna kaç tane bilgisayar bağanabileceğini ve bu bilgisayarların hangi MAC adreslerine sahip olduğunu belirtiriz, bunların dışındaki cihazların bu porttan networke erişimi engellenir.  Bu şekilde dışarıdan gelen cihazların networke dahil olması engellenir.
 Bu yapılandırmayı Cisco Packet Tracer üzerinde göstereceğim.

 Elimizde bu şekilde küçük bir network var. Bu networkte SwitchA ya bağlı 4 adet bilgisayar var ve bu bilgisayarlar bizim güvenli bilgisayarlarımız. Bunların dışında ağımıza herhangi bir bilgisayarın erişmesini istemiyoruz, bunu sağlamak için port-security yapılandırmasını uygulayacağız.


 Bu resimde gördüğünüz gibi öncelikle " interface range fastEthernet 0/1 - 4 " komutuyla config-if-range moduna düşüyoruz. Daha sonra " switchport mode access " komutuyla bu seçtiğimiz portların erişim portu olduğunu belirtiyoruz.



 Burada  yazdığımız " swtichport port-security maximum 1 " komutu ile her porta kaç farklı bilgisayarın erişim sağlayabileceğini belirmiş oluyoruz. Ben her porta 1 adet bilgisayarın erişim sağlayabilmesini istediğim için 1 yazdım, 1 - 132 arasında  bilgisayarın erişim sağlamasına izin verebiliriz.



 Bu resimde gördüğümüz " switchport port-security mac-address " komutunda ise switche bağlanmasına izin verilecek bilgisayarın MAC adresi bilgisini nasıl alınacagını belirtiyoruz. Resimde gördüğünüz gibi komutun sonuna "?" yazdığımda manuel olarak MAC adresini girebileceğim veya " sticky " komutunu seçerek şuan bağlı olan bilgisayarın MAC adresini dinamic olarak alacağı bilgisini görüyoruz. Büyük networklerde her bilgisayarın MAC edresini manuel olarak girmek çok uzun süreceği için " sticky " komutu seçilerek dinamik olarak MAC adreslerinin kaydedilmesi sağlanır. Bende " sticky " komutunu ekleyerek dinamik olarak MAC adreslerini kaydedilmesini sağladım.


 Yukarıda ki resimde gördüğünüz gibi " switchport port-security violation " komutunu kullanarak ethernet kablosunun ortama getirilen farklı bir  bilgisayara takıldığında portun durumunun ne olacağını belirtiyoruz. Burada " protect " seçeneği porta gelen bağlantı isteğinin iptal edilmesini ve bağlantıyı engellemesini sağlıyor, " restrict " seçeneği  protect komutu ile aynı işlemi yapıyor ve   bu işlemin loglarının tutulmasını sağlıyor,  " shutdown " seçeneği ise portun down duruma düşürülmesini sağlıyor yani port tamamen kapatılıyor. Bu " shutdown " seçeneği çok tercih edilmez bunun sebebi ise portun tamamen kapatılıyor olmasıdır, port kapatıldığında bizim güvenli bilgisayarımız ağa bağlanmak istese bile port kapalı olduğu için bağlantıyı sağlayamayacaktır. Bağlantının sağlanabilmesi için switch üzerinden portun tekrar up duruma getirilmesi gerekir. Burada en çok tercih edilen seçenek " restrict " seçeneğidir, ağımıza erişmek isteyen bilgisayarın bilgilerini logladığı için bizim bunu daha sonra kontrol ettiğimizde hangi bilgisayarların ağımıza erişmek istediğini görebiliriz. Bunun tercih edilmesindeki asıl sebep ise portun tamamen kapatılmıyor olmasıdır sadece bağlantı engellenir ve  porta güvenli bilgisayar tekrar takıldığında port MAC adresini kontrol eder ve bağlantıya izin verir.


 Son olarak da " switchport port-securty " komutunu girerek port-security yapılandırmasını aktif hale getiriyoruz. Burası önemlidir, bu komutu girmezsek yapılandırmamız havada kalır çalışmaz, bu komutla yapılandırmayı aktif hale getirmemiz gerekiyor.
 Port-security tarafında yapılandırmamız bu kadar.


 Yukarıdaki resimde gördüğümüz " show port-security " komutula genel yapılandırma hakkında bilgi alabiliriz.



 Yukarıdaki resimde gördüğünüz " show port-security address " komutu ile portlara kaydedilen güvenli bilgisayarların MAC adreslerini görebiliriz.



 Yukarıdaki resimde ise " port-security interface fastEthernet 0/1 " komutuyla FastEthernet 0/1 portunda yapılandırılmış detaylı port-security bilgilerini görmekteyiz.

 Yukarıdaki resimde gördüğünüz gibi ortama bir Laptop cihazı geldi ve switchin fastEthernet 0/1 portuna bağlanmak istedi. Bu durumda switch üzerinde neler oldu  bakalım.


 Resimde gördüğünüz " Security Violation Count " değeri " 8 " oldu, bunun sebebi ise bağlanmaya çalışan Laptop' un sürekli bağlantı isteği göndermesi ve port-securiynin bunu sürekli engellemesidir. Bu değer Laptop ağa bağlanmak istediği sürece artacaktır.
 Birde Laptop üzerinden bakalım.


 Gördüğünüz gibi Laptop' un DHCP Serverinden IP alması engellenmiş ve cihaz hiçbir şekilde ağa dahil olamiyor.

 Port security yapılandırması network güvenliği açısından önem arz eden bir konudur. Birkaç kısa komutlarla kolaylıkla yapılandırabilirsiniz. Bu yapılandırmayla ağınızı fiziksel olarak  2. katman bazında koruma altına alabilirsiniz.





Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Active Directory GPO(Group Policy Objects) Nedir ? Ne İşe Yarar ? Nasıl Uygulanır ?

-
Resim
 Öncelikle group policy' i tanıyalım. GPO(Group Policy), Active Directory ile birlikte gelen bir özelliktir. Dc server üzerinden  güvenlik ayarları, kısıtlamalar, standart konfigürasyonlar, yazılım dağıtımı gibi işlemleri yapmamızı sağlayan bir merkezi yönetim protokolüdür. Bu protokol sites, OU, Domainler üzerinde bulunan bütün kullanıcı ve cihazlara uygulanabilir.      GPO iki bölümden oluşur. Bu da demek oluyor ki GPO iki farklı şekilde uygulanır. Bunlar;         Computer Configuration  User Configuration  Computer Configuration,  Bilgisayar tabanlı policy ayarlarını kapsar. Dc makimanıza bağlı olan bilgisayarlar üzerinde işlem yapmamızı sağlar.  User Configuration ise kullanıcı tabanlı policy ayarlarını kapsar. Dc makinamızda kayıtlı olan kullancıların ayarlarını yapmamızı sağlar.  CPO hakkında bilgi sahibi olduktan sonra biraz kullanmaya başlayalım. Dc Serverimizde Server Maneger penceresini başlatalım.   Resimde gördüğümüz gibi Tools seçeneğinden Group Polic
Devamı

Cisco Packet Tracer ile Cisco Cihazlarda Vlan Yapılandırması

-
Resim
 VLAN (Virtual Local Area Network) yani Sanal Yerel Alan Ağı anlamına gelir, switch üzerine yapılan mantıksal bir gruplama şekli olarak tanımlanır. IEEE tarafından geliştirilmiştir ve  Layer 2 çalışır.  VLAN switch üzerindeki portlara uygulanır. Her Port default olarak VLAN1' dedir, VLAN1 default olarak gelidiği için silinemez, değiştirilemez ve yeniden adlandırılamaz.  VLAN' lar  Static VLAN  ve Dinamik VLAN olarak ikiye ayrılır. Portların VLAN' lara Network yöneticileri tarafından atanmasıyla oluşan yapıya Static VLAN denir. Sistemde bulunan cihazların veritabanına kaydedilerek Switchler tarafından otomatik olarak VLAN' lara atanmasına Dinamik VLAN denir.  Günümüzde Static VLAN' lar yönetim ve bakımı kolay olması hem de daha güvenli olaması bakımında  Dinamik VLAN' lara göre daha çok tercih edilir. Ben bu yazımda Static VLAN yapılandırmasından bahsedeceğim.  Temel olarak VLAN' dan bahsettik artık VLAN yapılandırmasına başlayabiliriz. Bu uygulamayı Cisco
Devamı

Linux'da $PATH Kullanımı

-
Linux'da PATH Kullanarak Çalıştırılabilir Dosya Oluşturma Linux'da program yapmanın en kolay yolarından birisi PATH'dir. Bu yazımda ise size PATH ile bir uygulama örneği gösterecem. Bu örnekde rasgele bir programlama yaptıralım. Komut satırına “yap” dediğimizde bize önce Merhaba yazsın, /home/ramazan içerisine ramo adında bir dizin oluştursun ve içerisine bir dosya oluştursun, sonra ise bu dosyayı çalıştırsın, dosya çalıtığında bulunduğumuz dizindeki tüm verileri ayrıntılı bir şekilde göstersin, ve en sonunda “Teşekkürler” Yazsın. PATH ile böyle bir programlama örneği yapalım. İlk olarak /home/ramazan içerisine bin dizini oluşturalım. mkdir /home/ramazan/bin komutuyla oluşturabiliriz. Şimdi bu dizini PATH' e öğretelim. Bunun için /home/ramazan/.bashrc dosyasını açalım içine komut girelim. Vi /home/ramazan/.bashrc bashrc dosyasını açtığımızda ' i ' tuşuna basarak INSERT moduna geçelim ve export sırasının altına boşluk açıp şu
Devamı