Wdrożenie i najlepsze praktyki w środowiskach Cisco i MikroTik

Bezpieczeństwo warstwy dostępowej sieci jest fundamentem ochrony zasobów organizacji. W niniejszym artykule przeprowadzimy akademicką analizę mechanizmów Port Security, porównując filozofię i implementację dwóch gigantów rynku sieciowego: Cisco oraz MikroTik. Zbadamy, w jaki sposób te platformy podchodzą do problemu nieautoryzowanego dostępu do portów przełącznika i jakie narzędzia oferują administratorom.

1. Czym jest port security i dlaczego jest krytyczne?

W uproszczeniu, Port Security to zbiór funkcji przełącznika (switcha) działających w warstwie 2 (L2) modelu OSI, których celem jest filtrowanie i kontrolowanie ruchu wchodzącego do sieci na podstawie adresów MAC urządzeń końcowych. Jest to pierwsza linia obrony przed fizycznym, nieautoryzowanym podłączeniem urządzenia do infrastruktury sieciowej.

Głównym zadaniem jest zapobieganie prostym, lecz skutecznym atakom, takim jak:

• MAC Flooding (przepełnienie tablicy CAM): Atakujący zalewa przełącznik pakietami z losowymi źródłowymi adresami MAC, aby wyczerpać pamięć tablicy CAM (Content Addressable Memory). Gdy tablica jest pełna, przełącznik zaczyna zachowywać się jak koncentrator (hub), rozsyłając wszystkie ramki na wszystkie porty, co umożliwia atakującemu podsłuchiwanie (sniffing) ruchu.
• MAC Spoofing (podszywanie się): Atakujący zmienia adres MAC swojej karty sieciowej na adres zaufanego urządzenia (np. serwera lub bramy), aby ominąć filtry lub przechwycić ruch przeznaczony dla tego urządzenia.
• Podłączenie nieautoryzowanego urządzenia: Podłączenie przez pracownika lub gościa prywatnego laptopa, routera czy bezprzewodowego punktu dostępowego (AP), co stwarza „tylną furtkę” do sieci i może prowadzić do rozprzestrzeniania złośliwego oprogramowania lub konfliktów (np. przez nieautoryzowany serwer DHCP).

Poniższy schemat ilustruje podstawową koncepcję ataku MAC Flooding, któremu zapobiega Port Security.

   +-------------+
   | Atakujący   |
   +-------------+
         |
         | Wysyła 10 000 ramek
         | z losowymi adresami MAC
         |
   +-----v-------+
   | Przełącznik |
   +-------------+
   | Tablica CAM | -----...
   |           |
+--------+   +-------+
| Serwer |   | Inny  |

2. Port security w świecie Cisco (IOS)

W ekosystemie Cisco, Port Security jest dojrzałą, dedykowaną funkcją dostępną na większości przełączników z serii Catalyst. Konfiguracja odbywa się głównie za pomocą poleceń z rodziny

switchport port-security

w trybie konfiguracji interfejsu. Filozofia Cisco jest bardzo ustrukturyzowana i opiera się na trzech filarach: limitowaniu adresów , metodach ich pozyskiwania oraz trybach naruszenia (violation) .

Tryby naruszenia (violation modes)

To kluczowy element. Określa on, co stanie się z portem, gdy zasady Port Security zostaną złamane (np. podłączone zostanie nieautoryzowane urządzenie):

• Shutdown (domyślny): Najbardziej restrykcyjny. Port natychmiast przechodzi w stan
  err-disable
  (logicznie wyłączony), dioda na przełączniku gaśnie, a ruch jest blokowany. Wymaga manualnej interwencji administratora ( shutdown) a następnie (no shutdown)
lub automatycznego przywrócenia po określonym czasie ( errdisable recovery). Wysyłany jest komunikat logu i trap SNMP.
• Restrict: Mniej inwazyjny. Port pozostaje aktywny, ale odrzuca wszystkie ramki pochodzące z nieautoryzowanych adresów MAC. Inkrementowany jest licznik naruszeń widoczny w show port-security interface oraz wysyłany jest log i trap SNMP. Legalny ruch jest nadal przepuszczany.
• Protect: Najmniej „gadatliwy” tryb. Działa identycznie jak restrict (odrzuca nieautoryzowane ramki), ale nie inkrementuje licznika naruszeń ani nie wysyła żadnych powiadomień (logów, trapów). Jest to „ciche” odrzucanie, które może utrudnić diagnostykę.

           [Nieautoryzowany MAC]
                   |
            +------v------+
            | Port Switcha|
            +-------------+
                   |
         +---------+---------+
         |         |         |
      PROTECT    RESTRICT   SHUTDOWN
         |         |         |
         v         v         v
     (Ciche     (Log +     (Port
     odrzucenie) licznik)   wyłączony)

10 kluczowych funkcji i przykładów konfiguracji port security w cisco ios

Poniższe przykłady zakładają pracę w trybie konfiguracji interfejsu config-if.

1. Podstawowa aktywacja port security

Port Security działa tylko na portach dostępowych (access) lub trunkach (choć na trunkach jest rzadko stosowane i wymaga innej logiki). Najpierw należy ustawić port w tryb dostępowy.

Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode access
! Ustawia port jako port dostępowy
Switch(config-if)# switchport port-security
! Włącza Port Security na tym interfejsie

2. Limitowanie liczby adresów MAC

Domyślnie Cisco pozwala na tylko jeden adres MAC na porcie. Jest to najlepsza praktyka dla portów końcowych (komputery, drukarki). Można tę wartość zwiększyć, np. dla telefonu IP z wbudowanym switchem, do którego podłączony jest komputer.

Switch(config-if)# switchport port-security maximum 2
! Zezwala na maksymalnie 2 adresy MAC na porcie (np. telefon + PC)

3. Definiowanie trybu naruszenia (violation mode)

Jak opisano wcześniej, domyślnie jest to shutdown. W środowiskach o wysokiej dostępności, gdzie wyłączenie portu jest niepożądane (np. port serwera), można użyć restrict.

Switch(config-if)# switchport port-security violation restrict
! Zmienia domyślny tryb 'shutdown' na 'restrict'.
! Port będzie odrzucał ruch z nieznanych MAC, ale pozostanie aktywny.

4. Dynamiczne uczenie (sticky mac addresses)

To najpopularniejsza i najbardziej skalowalna metoda. Zamiast ręcznie wpisywać adresy MAC dla tysięcy portów, polecenie sticky każe przełącznikowi nauczyć się pierwszego adresu MAC, który pojawi się na porcie i zapisać go w konfiguracji bieżącej (running-config) . Ten adres jest traktowany jak statyczny. Jeśli administrator zapisze konfigurację ( write memory), adresy te przetrwają restart przełącznika.

Switch(config-if)# switchport port-security mac-address sticky
! Włącza tryb "lepkich" adresów MAC.
! Pierwszy MAC nauczony na porcie zostanie dodany do konfiguracji.

5. Statyczne definiowanie adresów MAC

Dla krytycznych zasobów (np. serwery, kontrolery domeny) można ręcznie zdefiniować, jaki adres MAC jest dozwolony na danym porcie. Jest to najbezpieczniejsza, ale najmniej skalowalna metoda.

Switch(config-if)# switchport port-security mac-address aabb.cc00.1234
! Ręcznie przypisuje dozwolony adres MAC do portu.
! Tylko to urządzenie może korzystać z tego portu.

6. Starzenie się adresów (aging)

Port Security może usuwać nauczone adresy MAC po pewnym czasie. Ma to dwa tryby: absolute (adres jest usuwany po X minutach, niezależnie od aktywności) oraz inactivity (licznik resetuje się za każdym razem, gdy urządzenie wysyła ramkę). Jest to przydatne w środowiskach dynamicznych, np. salach konferencyjnych.

Switch(config-if)# switchport port-security aging time 60
! Ustawia czas starzenia na 60 minut.
Switch(config-if)# switchport port-security aging type inactivity
! Ustawia tryb starzenia na 'brak aktywności'.

7. Ochrona BPDU (bpdu guard)

Choć technicznie jest to funkcja Spanning Tree, jest nieodłącznym elementem bezpieczeństwa portów dostępowych. BPDU Guard wyłącza port (w tryb err-disable), jeśli otrzyma on ramkę BPDU (Bridge Protocol Data Unit), która jest wysyłana tylko przez inne przełączniki. Zapobiega to podłączeniu nieautoryzowanego przełącznika, co mogłoby zdestabilizować topologię STP (np. przez przejęcie roli roota).

Switch(config-if)# spanning-tree bpduguard enable
! Włącza BPDU Guard na porcie. Zalecane na wszystkich portach 'access'.

8. DHCP snooping

To kolejna kluczowa technologia wspierająca bezpieczeństwo portów. DHCP Snooping pozwala przełącznikowi „podsłuchiwać” komunikację DHCP (DHCPOFFER, DHCPACK) i budować bazę powiązań (binding database) adresów IP, MAC, VLAN i portu. Chroni to przed nieautoryzowanymi serwerami DHCP (rogue DHCP). Porty podłączone do legalnych serwerów DHCP oznacza się jako trust, a wszystkie inne (dostępowe) jako untrust.

Switch(config)# ip dhcp snooping
! Włącza globalnie DHCP Snooping
Switch(config)# ip dhcp snooping vlan 10,20
! Aktywuje funkcję dla konkretnych VLANów
Switch(config)# interface GigabitEthernet0/24
Switch(config-if)# ip dhcp snooping trust
! Port prowadzący do serwera DHCP jest zaufany
Switch(config)# interface GigabitEthernet0/1
! Porty dostępowe są domyślnie niezaufane

9. Dynamiczna inspekcja ARP (DAI – dynamic arp inspection)

DAI jest bezpośrednio zależne od DHCP Snooping. Wykorzystuje bazę powiązań stworzoną przez Snooping do walidacji pakietów ARP. DAI przechwytuje wszystkie odpowiedzi ARP i sprawdza, czy para IP-MAC w pakiecie zgadza się z tym, co przełącznik zapisał w bazie. Jeśli się nie zgadza (co wskazuje na atak ARP spoofing / poisoning ), pakiet jest odrzucany. Porty zaufane (np. do routera) są wyłączone z inspekcji.

Switch(config)# ip arp inspection vlan 10,20
! Włącza DAI dla określonych VLANów (wymaga DHCP Snooping)
Switch(config)# interface GigabitEthernet0/24
Switch(config-if)# ip arp inspection trust
! Ufa pakietom ARP z portu routera/bramy

10. Ochrona źródła IP (ip source guard)

To mechanizm idący o krok dalej niż DAI. IP Source Guard (IPSG) buduje filtr na porcie, który zezwala na ruch IP tylko z adresu źródłowego, który znajduje się w bazie powiązań DHCP Snooping. W praktyce oznacza to, że jeśli użytkownik na porcie Gi0/1 otrzymał z DHCP adres 192.168.1.100, przełącznik odrzuci każdy pakiet z tego portu, który będzie miał inny źródłowy adres IP (np. jeśli użytkownik ręcznie ustawi sobie adres 192.168.1.101). Jest to ostateczna ochrona przed IP spoofingiem w warstwie dostępowej.

Switch(config-if)# ip verify source
! Włącza IP Source Guard na porcie (wymaga DHCP Snooping)
! Filtr zezwala tylko na IP z bazy powiązań DHCP Snooping

---

3. Port security w świecie mikrotik (routeros)

Filozofia MikroTik jest fundamentalnie inna. RouterOS nie posiada jednego, monolitycznego zestawu poleceń port-security jak Cisco. Zamiast tego, bezpieczeństwo portów jest realizowane jako zbiór różnych, często niezależnych od siebie mechanizmów , które administrator musi połączyć, aby osiągnąć pożądany efekt. Podstawowymi narzędziami są tu: konfiguracja mostu (Bridge) , filtry mostu (Bridge Filters – firewall L2) oraz, w przypadku przełączników z serii CRS, konfiguracja układu przełączającego (Switch Chip) .

Ta „skrzynka z narzędziami” jest z jednej strony bardziej elastyczna (np. pozwala na filtrowanie L2 w oparciu o protokoły L3/L4), ale z drugiej strony jest bardziej złożona w konfiguracji i wymaga głębszego zrozumienia przepływu pakietów w RouterOS.

[Pakiet z ether2]
       |
+------v------+
|  Port Mostu | (np. br-lan)
+-------------+
       |
       v
+-------------+
| Filtry Mostu|

10 kluczowych funkcji i przykładów konfiguracji port security w Mikrotik RouterOs

Poniższe przykłady zakładają pracę w terminalu RouterOS.

1. Statyczne wpisy w tabeli host (bridge host table)

Jest to najbardziej bezpośredni odpowiednik statycznego Port Security w Cisco. Ręcznie informujemy most, że dany adres MAC jest na stałe przypisany do konkretnego portu. Jeśli ten MAC pojawi się na innym porcie, zostanie zignorowany.

/interface bridge host
add bridge=br-lan mac-address=AA:BB:CC:11:22:33 interface=ether2 static=yes
# Przypisuje statycznie MAC do portu ether2 w moście br-lan
# 'static=yes' oznacza, że wpis nie wygaśnie

2. Ograniczenie nauki adresów MAC na porcie (learn limit)

Jest to odpowiednik Cisco maximum. W konfiguracji portu mostu można ustawić, ile maksymalnie dynamicznych adresów MAC port może się nauczyć. Domyślnie ta wartość jest bardzo wysoka. Ustawienie jej na 1 jest podstawową ochroną.

/interface bridge port
set [find interface=ether2] learn-limit=1
# Ustawia limit nauczonych adresów MAC na porcie ether2 na 1
# Nie ma tu "trybów naruszenia" - po prostu drugi MAC nie zostanie nauczony

3. Blokowanie nieznanego ruchu (unknown unicast flood)

Domyślnie, jeśli most otrzyma ramkę z adresem MAC, którego nie ma w tabeli host, roześle ją na wszystkie porty (flooding). Wyłączenie tego mechanizmu w połączeniu ze statycznymi wpisami (pkt 1.) tworzy bardzo bezpieczne środowisko, gdzie tylko znane adresy MAC mogą się komunikować.

/interface bridge
set [find name=br-lan] unknown-unicast-flood=no
# Wyłącza rozgłaszanie ramek z nieznanym docelowym adresem MAC

4. Filtry mostu (bridge filters – biała lista mac)

To jest „firewall L2” MikroTika i jego najpotężniejsze narzędzie. Można tu tworzyć reguły podobne do IP firewall, ale operujące na adresach MAC. Możemy stworzyć regułę „białej listy”, która akceptuje ruch tylko ze znanego MAC na danym porcie i odrzuca wszystko inne.

/interface bridge filter
add chain=forward in-interface=ether2 src-mac-address=AA:BB:CC:11:22:33 action=accept
# Akceptuj ruch z tego MAC na tym porcie
add chain=forward in-interface=ether2 action=drop
# Odrzuć cały pozostały ruch z tego portu
# Uwaga: Kolejność reguł ma kluczowe znaczenie!

5. DHCP snooping (na moście)

Podobnie jak w Cisco, MikroTik implementuje DHCP Snooping na poziomie mostu. Wymaga to oznaczenia portów jako zaufane ( trusted=yes ) – tam, gdzie jest legalny serwer DHCP i router – oraz niezaufane (domyślne) dla portów klienckich.

/interface bridge
set [find name=br-lan] dhcp-snooping=yes
# Włącza DHCP Snooping na całym moście

/interface bridge port
set [find interface=ether1] trusted=yes
# Oznacz port do routera/serwera DHCP jako zaufany

6. Kontrola ARP (tryb „reply-only”)

To jest odpowiednik DAI z Cisco. Ustawienie trybu ARP na interfejsie na reply-only powoduje, że router będzie odpowiadał tylko na zapytania ARP dla adresów, które ma w swojej tablicy ARP. Co ważniejsze, porty klienckie z tym ustawieniem nie mogą wysyłać fałszywych odpowiedzi ARP (ARP Poisoning). Użycie proxy-arp na routerze i reply-only na portach klienckich w połączeniu z DHCP Snooping tworzy bardzo bezpieczne środowisko L2/L3.

/interface ethernet
set [find name=ether2] arp=reply-only
# Ustawia port kliencki w tryb 'tylko odpowiedź'
# Zapobiega to wysyłaniu przez klienta odpowiedzi ARP za inne urządzenia

7. Sprzętowe listy ACL (switch chip – seria crs)

W przełącznikach CRS, które mają dedykowane układy przełączające, można konfigurować reguły bezpieczeństwa bezpośrednio na chipie. Działa to z pełną prędkością łącza (wire-speed) i nie obciąża procesora routera. Można tu stworzyć reguły zezwalające na ruch tylko z określonego MAC na określonym porcie.

/interface ethernet switch rule
add switch=switch1 ports=ether2 src-mac-address=AA:BB:CC:11:22:33 action=forward
# Sprzętowa reguła ACL na chipie switcha
add switch=switch1 ports=ether2 action=drop
# Sprzętowe odrzucenie reszty ruchu

8. Izolacja portów (bridge horizon)

Jest to implementacja „Private VLAN”. Ustawienie tej samej (niezerowej) wartości horizon na grupie portów w moście powoduje, że porty te nie mogą komunikować się ze sobą nawzajem . Mogą komunikować się tylko z portami o innej wartości horizon
(np. z portem uplink do routera). Jest to idealne rozwiązanie np. dla gościnnych sieci Wi-Fi lub w hotelach, gdzie klienci nie powinni widzieć się nawzajem.

/interface bridge port
set [find interface=ether2] horizon=1
set [find interface=ether3] horizon=1
set [find interface=ether1] horizon=none
# ether2 i ether3 nie mogą się ze sobą komunikować,
# ale oba mogą komunikować się z ether1 (uplink)

9. Ochrona BPDU (bridge)

MikroTik również posiada odpowiednik BPDU Guard. Włącza się go w ustawieniach mostu (jeśli STP jest aktywne) lub na poziomie portu (jeśli STP jest wyłączone). Działanie jest podobne – port, który otrzyma ramkę BPDU, zostaje wyłączony.

/interface bridge port
set [find interface=ether2] bpdu-guard=yes
# Włącza BPDU Guard na porcie ether2
# Jeśli port otrzyma BPDU, przejdzie w stan 'disabled'

10. Zaawansowane filtry L2 (np. blokowanie ruchu „jak leci”)

Filtry mostu pozwalają na bardzo granularną kontrolę. Można np. zablokować na porcie klienckim cały ruch IP z wyjątkiem DHCP, ARP i DNS do konkretnego serwera. To uniemożliwia użytkownikowi prawie każdą formę ataku lub nieautoryzowanej komunikacji.

/interface bridge filter
# Zezwól na DHCP (klient do serwera)
add chain=forward in-interface=ether2 mac-protocol=ip ip-protocol=udp src-port=68 dst-port=67 action=accept
# Zezwól na ARP
add chain=forward in-interface=ether2 mac-protocol=arp action=accept
# Odrzuć cały pozostały ruch IP
add chain=forward in-interface=ether2 mac-protocol=ip action=drop

---

4. Porównanie filozofii i najlepsze praktyki

Obie platformy osiągają te same cele bezpieczeństwa L2, ale robią to w radykalnie różny sposób. Poniższa tabela zestawia kluczowe różnice w podejściu.

Kryterium	Cisco IOS (Catalyst)	MikroTik RouterOS (Bridge/Switch)
Podstawowa Implementacja	Dedykowany zestaw poleceń switchport port-security na interfejsie.	Kombinacja ustawień mostu (Bridge Host, Port Settings) i filtrów mostu (Bridge Filters).
Tryby Naruszenia	Jasno zdefiniowane: shutdown, restrict, protect. Dają kontrolę nad logowaniem i stanem portu.	Brak bezpośrednich trybów naruszenia. Efekt „restrict” osiąga się przez learn-limit lub filtry. Efekt „shutdown” można zasymulować skryptem, ale nie jest to natywne.
Uczenie Dynamiczne	mac-address sticky – bardzo wygodne, automatycznie dodaje MAC do running-config.	Brak bezpośredniego odpowiednika „sticky”. Można dynamicznie nauczyć (domyślnie) lub ustawić statycznie. Wpisy dynamiczne nie są zapisywane do konfiguracji.
Elastyczność	Mniejsza. Ograniczona do filtrowania MAC i zależności (DAI, IPSG).	Ekstremalnie wysoka. Filtry mostu pozwalają na filtrowanie L2 w oparciu o kryteria L3 (IP) i L4 (porty UDP/TCP).
Ochrona ARP/DHCP	Dedykowane funkcje: DHCP Snooping, Dynamic ARP Inspection (DAI), IP Source Guard (IPSG).	Implementowane jako DHCP Snooping na moście oraz kontrola ARP na interfejsach (np. reply-only).
Złożoność Konfiguracji	Niska do średniej. Polecenia są intuicyjne i dobrze udokumentowane.	Wysoka. Wymaga zrozumienia przepływu pakietów przez most, filtry i tabelę host. Łatwo o błąd w konfiguracji.

Uniwersalne dobre praktyki (niezależne od platformy)

• Zawsze wyłączaj nieużywane porty i umieszczaj je w „czarnym” VLAN-ie (blackhole VLAN), który nie jest nigdzie routowany. To najprostsza i najskuteczniejsza forma Port Security.
• Stosuj  BPDU Guard (lub odpowiednik) na wszystkich portach dostępowych , aby zapobiec podłączeniu nieautoryzowanych przełączników.
• Implementuj DHCP Snooping. Jest to fundament dla bardziej zaawansowanych technik, takich jak DAI (Cisco) czy ochrona ARP (MikroTik).
• Na portach dla użytkowników końcowych (komputery stacjonarne) używaj limitu jednego adresu MAC (lub dwóch, jeśli używany jest telefon IP).
• Używaj trybu shutdown(Cisco) lub jego odpowiednika tam, gdzie to możliwe. Natychmiastowe powiadomienie o naruszeniu i wyłączenie portu jest lepsze niż ciche odrzucanie ruchu, które może maskować problem.
• Nigdy nie używaj Port Security na portach typu TRUNK (łączących przełączniki). Trunk z definicji musi uczyć się wielu adresów MAC. Do ochrony trunków służą inne mechanizmy (np. filtrowanie VLAN, BPDU Guard na portach access).

5. Wnioski

Bezpieczeństwo portów jest absolutnie krytycznym, choć często pomijanym elementem hardeningu sieci. Zarówno Cisco, jak i MikroTik dostarczają potężnych narzędzi do jego realizacji, jednak ich filozofie implementacyjne diametralnie się różnią.

Cisco oferuje wysoce ustrukturyzowane, dedykowane i „przyjazne” dla administratora podejście ( switchport port-security, DAI, IPSG). Jest ono idealne dla dużych, standaryzowanych środowisk korporacyjnych, gdzie powtarzalność i łatwość wdrożenia (np. przez „sticky MAC”) są kluczowe.

MikroTik z kolei dostarcza „szwajcarski scyzoryk” w postaci filtrów mostu. Wymaga to od administratora znacznie głębszej wiedzy na poziomie L2, ale w zamian oferuje niemal nieograniczoną elastyczność, pozwalając na tworzenie bardzo szczegółowych, wielowarstwowych reguł bezpieczeństwa. Jest to potężne rozwiązanie, ale obarczone większym ryzykiem błędnej konfiguracji.

Ostatecznie, wybór platformy zależy od specyfiki sieci i kompetencji zespołu. Niezależnie od wyboru, świadoma implementacja mechanizmów Port Security jest niezbędnym krokiem w budowaniu odpornej i bezpiecznej infrastruktury sieciowej.