Защита портов
Метки: MAC | port security
Понедельник, 2 февраля 2009 г.
Просмотров: 7029
Очень многие коммутаторы среднего и высокого уровней обладают специальной функцией - безопасность портов, так называемый port security. Эта функция позволяет предотвратить подделку МАС-адреса. Она дает администратору возможность вручную определить МАС-ад-рес устройства, подключенного к данному порту.
Если к этому порту будет подключено устройство с MAC-адресом, отличным от заданного, порт будет отключен. На коммутаторах такого класса есть функция динамического определения адреса подключенного устройства. Она срабатывает один раз: при подключении к порту, автоматически определяется MAC-адрес устройства и запоминается в памяти коммутатора. Если подключить другое устройство, с другим MAC-адресом, то порт будет отключен.
Защита портов - безусловно, полезная функция, но она имеет и ряд недостатков. Усложняется администрирование сети, ведь при подключении другого компьютера к порту, ранее использовавшемуся, придется заново изменить конфигурацию коммутатора. Приходится выбирать между безопасностью и удобством администрирования сети.
Еще одна проблема возникает при использовании коммутатора в качестве магистрального, к портам которого подключены концентраторы. В этом случае через порт могут проходить данные от разных MAC-адресов. Функция защиты портов просто заблокирует все порты, к которым подключены хабы.
Функция защиты портов очень хороша, но она не может полностью решить проблему подмены MAC-адреса. Очень многие операционные системы (в том числе и Linux) позволяют администратору динамически менять MAC-адрес сетевого адаптера. Можно изменить MAC-адрес устройства и подключить его к порту, к которому уже было подключено устройство с таким MAC-адресом. Таким образом, крекер может перехватывать данные, несмотря на защиту портов коммутатора.