[TR] Switch’lerde Port Security ve SSH Yapılandırılması

Switch Konfigürasyonu

Switch’ler de IP adresi VLAN altına tanımlanır. Router cihazlarda olduğu gibi bir interface altına tanımlama yapılmaz. Bu yüzden öncelikle Switch’imize uzaktan yönetebilmemiz için IP adresi tanımlıyoruz.

Switch>
Switch>en
Switch#conf terminal
Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.1.1 255.255.255.0
Switch(config-if)#no shutdown
Switch#show ip interface brief (Komutuyla switchdeki portların durumunu detaylı bir şekilde görebiliriz.)
Interface IP-Address OK? Method Status Protocol
FastEthernet0/1 unassigned YES manual down down
FastEthernet0/2 unassigned YES manual down down
FastEthernet0/3 unassigned YES manual down down
.
.
.
FastEthernet0/22 unassigned YES manual down down
FastEthernet0/23 unassigned YES manual down down
FastEthernet0/24 unassigned YES manual down down
GigabitEthernet0/1 unassigned YES manual down down
GigabitEthernet0/2 unassigned YES manual down down
Vlan1 192.168.1.1 YES manual up down (Switche verdiğim IP’yi buradan görmüş oldum. Ayrıca tüm portların down durumda olduğunu gördüm.)
Switch#

Port Veri İletişim Konfigürasyonu

Veri iletişim türleri Half Dublex ve Full Dublex olarak ikiye ayrılır. Half Dublex cihazlar çift yönlü veri gönderip alabilirler; fakat bunu eş zamanlı olarak yapamazlar. Walkie-talkie (Bas-konuş) cihazlar yarı çift yönlü iletişime iyi birer örnektir. Full Dublex ise veri almayı ve göndermeyi eş zamanlı olarak gerçekleştirebilen iletişim türüdür. Kablolu veya kablosuz telefonlar tam çift yönlü cihazlara iyi birer örnek teşkil ederler.
Cisco ve günümüzde kullanılan çoğu switchde bu özellik varsayılan olarak bulunmaktadır. Biz istediğimiz gibi bunu konfigüre edebiliriz.

Switch>
Switch>en
Switch#conf terminal
Switch(config)#interface fastEthernet 0/2 (fastEthernet0/2 portunun full dublex çalışmasını istiyorum.)
Switch(config-if)#duplex full
Switch(config-if)#speed 10 (Hızı da 10 Mbps olmasını istedim)
Switch(config-if)#end
Switch#show interfaces fastEthernet 0/2 (Komutuyla bu interface hakkında detaylı bilgi alıyorum ve portun down olduğunu Full-Dublex çalıştığını ve hızını görmüş oldum.)
.
.
FastEthernet0/2 is down, line protocol is down (disabled)
Full-duplex, 10Mb/s (Görüldüğü gibi FastEthernet0/2 portum Full-dublex yapıda hızı ise belirttiğim gibi.)
..
Switch#

Switch’lerde SSH ile Uzaktan Erişim

SSH (Secure Shell) şifrelenmiş uzaktan erişim sağlar. Bu yüzden Telnet’e göre daha güvenlidir.
SSH konfigürasyonuna başlamadan önce hostname ve domain-name belirlememiz gerekiyor. Hostname ve domain-name oluşturalım. Hostnamemi sw1 olarak , domain-name ise SALIH olarak belirledim. Daha sonra ise bir crypto key oluşturmamız gerekiyor. Açık anahtarlı şifreleme türlerinden olan RSA’yı seçtim.360 ve 2048 bit arasında bir şifreleme yapabilirim diyor. Kaç bitlik olsun diye sorduğunda ise 1024 olarak belirledim.

SSH ile bağlanabilmem için bir kullanıcı adı ve şifre girmem gerekiyor. Kullanıcı adı salih olan ve şifresi sifre123 olan bir kullanıcı oluşturdum. Daha sonra interfacelerde SSH bağlantısının kabul edilebilmesi için diğer komutları yazıyorum. Line vty ile kaç kişinin bağlanabileceğini belirledim. Transport input ssh ile veri girişlerini ve taşıması için SSH modu aktif ediyorum. Login local diyerek ise SSH ile bağlanırken parola sormasını istedim.

Switch#conf terminal
Switch(config)#hostname sw1
sw1(config)#ip domain-name SALIH
sw1(config)#crypto key generate rsa
The name for the keys will be: sw1.SALIH
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

sw1(config)#username salih password sifre123
sw1(config)#line vty 0 15
sw1(config-line)#transport input ssh
sw1(config-line)#login local
sw1(config-line)#end
sw1#

Daha sonra uzaktaki bir cihazdan switche bağlanabilmek için enable parolası oluşturmam gerekiyor. Oluşturmadığımda beni enable durumuna getirmez. Bunun için switchde sifre789 isimli bir enable parolası oluşturdum.

sw1>en
sw1#conf terminal
sw1(config)#enable secret sifre789
sw1(config)#

Bilgisayar üzerinden Switch’e bağlanabilmek için ssh –l salih 192.168.1.1 yazıyorum. Yani belirlediğim kullancı adı ve Switch IP adresini yazdım. Daha sonra benden SSH parolasını istiyor sifre123 yazıyorum ve switche ulaşıyorum. Enable moda geçebilmek için sifre789 yazarak konfigürasyon işlemlerimi yapabilirim.

Switch’lerde Port Security Konfigürasyonu

Switch portlarında sadece istenilen sayıda MAC adresine izin verilmesini sağlar. İhlal durumunda 3 farklı aksiyon alınabilir.

• Shutdown (Port kapatılır)
• Protect (İhlali yapılan cihazın trafiğini engelleyip diğerlerine izin verir.)
• Restrict (İhlali yapılan cihazın trafiğini engelleyip diğerlerine izin verir ve bir log ile mesaj verir.)

Böyle bir örneğimiz olsun. Diyelim ki sol taraftaki bilgisayarlar PC2’ye veya Switch’e ping atmak istesin. Gönderilen ICMP paketi fazla olduğunda FastEthernet0/22 portunu kapatsın istiyorum. Gelin bu örneği PC2 üzerinden SSH ile bağlanarak konfigüre edelim.

Konfigürasyon adımları resimde görüldüğü gibidir. Switchport mode access komutuyla FastEthernet0/22 portunu access moda alıyorum. Daha sonra maksimum 2 paket geçmesini istiyorum. İkiden fazla paket geçtiğinde portumu shutdown etmesini istiyorum. Bu ” shutdown ” seçeneği çok tercih edilmez bunun sebebi ise portun tamamen kapatılıyor olmasıdır. Bağlantının sağlanabilmesi için Switch üzerinden portun tekrar up duruma getirilmesi gerekir.

Burada en çok tercih edilen seçenek ” restrict ” seçeneğidir. Ağımıza erişmek isteyen bilgisayarın bilgilerini logladığı için daha sonra kontrol ettiğimizde hangi bilgisayarların ağımıza erişmek istediğini görebiliriz. Ancak biz bu örnekde shutdown seçeniğini kullancağız.

Resimde görüldüğü gibi PC3 VE LAPTOP0 cihazları Switch’e ICMP paketi gönderiyor. Gönderilen paketler başarılı bir şekilde geri dönüyor. Ancak 3. bir bilgisayar, PC4 paket göndermek istediğinde ise port otomatik olarak kendini kapatıyor.

 

Bu resimde ise show port-securty ile interface bazında port-security detaylarını görebiliyoruz. Yapılandırma yaptığımız porta baktığımızda kaç tane ihlalin (vilation) olduğunu ve ihlal aksiyonunun ne olduğunu görebiliyoruz.

Port security yapılandırması network güvenliği açısından önem arz eden bir konudur. Birkaç kısa komutlarla kolaylıkla yapılandırabilirsiniz. Bu yapılandırmayla ağınızı fiziksel olarak 2. katman bazında koruma altına alabilirsiniz.

KAYNAKLAR
https://bidb.itu.edu.tr/seyir-defteri
https://bidb.nevsehir.edu.tr/tr/
https://www.youtube.com/MDUZGUNN