Port Security a Sticky MAC: Základné nástroje pre bezpečnú LAN
Switchovaná LAN sieť je rýchla a efektívna, ale ak nie je zabezpečená, stáva sa zraniteľnou voči útokom ako MAC flooding či DHCP spoofing. Cisco prepínače poskytujú jednoduché, ale účinné nástroje ochrany ako Port Security a Sticky MAC. Tento článok vám ukáže, ako ich správne nakonfigurovať, monitorovať a doplniť o ďalšie bezpečnostné opatrenia.
1. Prehľad hlavných hrozieb v switchovanej sieti
- MAC flooding – útočník zaplaví prepínač falošnými MAC adresami, čo spôsobí preťaženie MAC tabuľky a prepnutie do broadcast režimu. Výsledok: útočník môže zachytiť sieťovú komunikáciu.
- DHCP spoofing – útočník sa vydáva za DHCP server a priraďuje falošné IP adresy, čím presmeruje prevádzku cez seba.
- Neautorizovaný prístup – neznáme alebo nepovolené zariadenia sa pripájajú k sieti bez vedomia administrátora.
2. Nastavenie Port Security na Cisco prepínači
Port Security umožňuje obmedziť počet povolených MAC adries na konkrétnom porte a definovať, čo sa má stať pri porušení pravidiel. Príklad základnej konfigurácie:
interface FastEthernet0/1 switchport mode access switchport port-security switchport port-security maximum 1 switchport port-security violation shutdown switchport port-security mac-address 0011.2233.4455
Popis príkazov:
maximum– maximálny počet MAC adries na porteviolation– reakcia pri porušení (shutdown, restrict, protect)mac-address– pevne nastavená MAC adresa, ktorá má prístup
3. Sticky MAC adresy: Automatizácia zabezpečenia portov
Namiesto manuálneho zadávania MAC adries môžete použiť režim sticky MAC, v ktorom si prepínač sám zapamätá prvú pripojenú MAC adresu a uloží ju do bežiacej konfigurácie:
interface FastEthernet0/1 switchport mode access switchport port-security switchport port-security maximum 1 switchport port-security mac-address sticky
Tieto adresy je možné uložiť do startup konfigurácie pomocou write memory.
4. Monitorovanie a logovanie bezpečnostných udalostí
Stav Port Security môžete sledovať príkazmi:
show port-security interface fa0/1 show port-security address show port-security violation
Pri bezpečnostnom incidente sa v logu prepínača objaví záznam ako napríklad:
%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred
5. Ďalšie bezpečnostné opatrenia na vrstve prístupu
- DHCP Snooping – ochrana pred falošnými DHCP servermi
- Dynamic ARP Inspection (DAI) – ochrana proti ARP spoofingu
- 802.1X – autentifikácia používateľov pred prístupom do siete
- ACL – prístupové zoznamy, ktoré riadia, kto a čo môže komunikovať
Chcete sa naučiť sieť zabezpečiť ako profesionál?
Vyskúšajte kurz NA2 – Prepínanie v sieťach, VLAN a konfigurácia prepínačov Cisco, kde si na praktických cvičeniach osvojíte konfiguráciu Port Security, sticky MAC, DHCP snoopingu, VLAN a ďalších sieťových nástrojov pod vedením skúseného lektora.
Ako začať programovať?
Úvod do programovania pre každého bez prechádzajúcich znalostí.
Stiahnite si náš ebook teraz výnimočne zdarma!!!
Viac informacií preberáme na kurze:
Kurz NA2 - Prepínanie v sieťach, VLAN a konfigurácia prepínačov Cisco
Súvisiace články:
- Wireshark: Nástroj na profesionálne odhaľovanie problémov v LAN/WAN
- Top 5 chýb v TCP/IP sieti, ktoré brzdia váš biznis
- Router a firewall: Základy bezpečnej a spoľahlivej siete pre menšie firmy
- Model OSI: Kľúč k efektívnemu riešeniu sieťových problémov
- Topológia siete: Kedy zvoliť hviezdicovú, kedy hierarchickú a kedy mesh?
- QoS v praxi: Zaručte si stabilné a rýchle sieťové pripojenie
- DNS problémy: Skryté riziko, ktoré ovplyvňuje rýchlosť a dostupnosť vašich služieb