Protected Port, bir switch üzerinde belirlenen portların birbirleriyle doğrudan iletişime geçmesini engelleyen bir güvenlik özelliğidir. Bu özellik etkinleştirildiğinde, aynı subnet ve VLAN içinde olsalar dahi ilgili portlara bağlı cihazlar birbirleriyle haberleşemez.
Normal şartlarda, aynı VLAN ve IP adres bloğunda bulunan cihazlar arasındaki trafik, aşağıdaki görselde gösterildiği şekilde gerçekleşmektedir.
Ancak, bilgisayarların bağlı olduğu portlarda “Protected” özelliğini etkinleştirirsek, bu iki bilgisayar yalnızca sunucu ile haberleşebilir ve birbirleriyle iletişim kuramazlar.
Özellikle istemci-sunucu tabanlı ağ mimarilerinde güvenliği artıran bir çözüm olarak kullanılan Protected Port, son kullanıcıların birbirleriyle doğrudan iletişimini kısıtlamak için idealdir. Ayrıca, misafir ağlarında cihazların birbirleriyle haberleşmesini engellemek amacıyla da tercih edilebilir.
Bunun yanı sıra, Protected Port özelliği “Ortadaki Adam” (Man-in-the-Middle) saldırılarını önlemeye yardımcı olabilir. Son kullanıcılar arasındaki doğrudan iletişimi engelleyerek, saldırganların ağ içinde diğer cihazlara erişimini zorlaştırır.
Bu özellik sunucular arasında da uygulanabilir. Örneğin, sunucuların bağlı olduğu switch üzerinde her bir port için Protected Port etkinleştirilirse, bir sunucu siber saldırıya uğradığında tehdit aktörünün diğer sunuculara yayılması büyük ölçüde engellenmiş olur. Böylece, ağ güvenliği artırılarak olası lateral hareketler sınırlandırılır.
Protected Port özelliği, basit bir konfigürasyon ile etkinleştirilebilir. Aşağıdaki komutları kullanarak bu işlemi gerçekleştirebilirsiniz:
Huseyin# configure terminal
Huseyin(config)# interface range fastEthernet 0/1-2
Huseyin(config-if-range)# switchport protected (İlgili portlar üzerinde "Protected" özelliğinin etkinleştirilmesi)
Huseyin(config-if-range)# end
Huseyin# write memoryYukarıdaki komutları kullanarak “Protected” özelliğini “FastEthernet 0/1” ve “FastEthernet 0/2” portlarında etkinleştirdik. Artık bu portlar üzerinde bulunan cihazlar aynı vlan’de aynı subnette yer alsa bile birbirleriyle haberleşemeyecektir. Birbirleri dışında “Unprotected” olan tüm portlarla haberleşebileceklerdir.
Protected Port özelliğinin etkinleştirildiğini kontrol etmek için aşağıdaki komut kullanılabilir:
Huseyin# show interface fastEthernet 0/1 switchport
.
.
.
Protected: trueProtected Port özelliğini devre dışı bırakmak için aşağıdaki komutları kullanabilirsiniz:
Huseyin# configure terminal
Huseyin(config)# interface fastEthernet 0/1
Huseyin(config-if)# no switchport protected
Huseyin(config-if)# end
Huseyin# write memoryDaha fazla bilgisayar-ağları içeriği için takipte kalın…
Leave a Reply