Port security

Port security?

네트워크에 연결할 수 있는 장치와 연결 방법을 제한하여 네트워크에 대한 액세스를 제한하는 것이다.
특정 포트에 Port security 를 적용하면 포트에 학습할 수 있는 MAC 주소의 수를 제한하거나 허가된 MAC 주소만 접근할 수 있게 한다.
 
스위치에서 하나의 포트에 연결된 모든 장치의 MAC 주소가 학습되면 MAC 주소 테이블이 가득 차면 그 이후에 들어오는 패킷들을 학습할 수 없게 된다. 그러면 모두 플러딩시켜 스위치가 마치 허브처럼 동작하게 되는데, 이 문제를 유도하는 공격 기법은 MAC Flooding Attack 이다. 이를 방지하기 위해 Port security 를 설정해야 하는 것이다.
 

mac 주소 학습 방법

1. static : MAC주소를 직접 입력하여 설정하고 NVRAM에 저장할 수 있다.
2. dynamic : MAC주소를 동적으로 학습하고 삭제한다. 스위치가 재부팅되면 학습했던 MAC주소는 삭제된다. (default)
3. sticky : MAC주소를 동적으로 학습하고, 스위치가 재부팅되어도 Port-Security에 학습했던 MAC주소가 유지된다.

*nvram : 전원이 공급되지 않아도 저장된 정보를 계속 유지하는 컴퓨터 메모리
 

port security 보안 정책 (violation mode)

1. shutdown : 해당 포트가 Shutdown(비활성화)이 되며 err-disabled 상태로 넘어간다. (default)
2. restrict : 위반한 MAC주소를 가진 장비의 모든 Frame을 Drop(폐기)시킨다. Drop과 동시에 위반한 MAC주소에 대해서 Log가 남는다.
3. protect : restric와 동일하게 작동하지만 log가 남지 않는다.

 

유지 시간 (aging time)

port security를 설정하고 난 후 연결된 장비의 mac 주소에 대한 유지 시간이다.
0(default) ~ 1440분

1. absolute : 직접 입력해 설정한 시간이 지나면 만료된다.
2. Inactivity : 설정한 시간동안 데이터 트래픽이 없는 경우에 만료된다.

 

Port security 설정

포트에 port security를 설정하기 위해서는 포트가 dynamic 즉, trunk 모드이면 안된다. 
 

(config)# interface [ port security 적용할 인터페이스 ]
(config-if)# switchport mode access
(config-if)# switchport port-security
(config-if)# switchport port-security maximum [ 최대 학습 가능한 mac 주소 수 ] (default 1)
(config-if)# switchport port-security mac-address [ mac 주소 학습 방법 ]
(config-if)# switchport port-security violation [ 보안 정책 ]
(config-if)# switchport port-security aging time [ 유지 시간 ]
(config-if)# switchport port-security aging type [ 유지시간 타입 ]

 
확인 명령어

# show port-security interface [ 확인할 인터페이스 ]