Seguridad en el Switch: Puertos y Acceso

Qué es Seguridad en el Puerto ó Port Security

Cunado hablamos de seguridad en un switch a nivel de puertos y acceso hablamos de Port Security.

Port security identifica dispositivos en base a su dirección MAC de origen de las tramas Ethernet enviadas.

Ejemplo:

Por ejemplo, en la siguiente figura tenemos dos PCs (PC1 y PC2), PC1 envía una trama con su dirección MAC de origen.

Seguridad en el puerto de un Switch (Port Security)

La interfaz F0/1 del SW1 puede ser configurada con seguridad en el puerto y por tanto SW1 examinara la dirección MAC proveniente de PC1 y decidirá si PC1 tiene permitido enviar tramas a través del puerto F0/1.

La seguridad del puerto no tiene restricción si la trama se origino desde un dispositivo local o fue reenviado a través de otro switch.

Por ejemplo, SW1 puede usar seguridad en el puerto para la interfaz G0/1 chequeando la dirección MAC de origen de la trama de PC2 cuando se reenvía hasta SW1 pasando por SW2.

Variantes de la Seguridad en el Puerto

Define un número máximo de direcciones MAC de origen permitidas para todas las tramas que llegan a la interfaz.
Mira todas las tramas de ingreso y mantiene una lista de todas las direcciones MAC de origen, además un conteo del número de direcciones MAC diferentes.
Cuando se agrega una nueva dirección MAC de origen a la lista, si el numero de la direcciones MAC sobrepasa al máximo configurado, una violación de seguridad en el puerto ocurre. El switch realiza una acción (por defecto apaga administrativamente la interfaz).

Cómo configurar Seguridad en el Puerto

Configura la interfaz del switch entre acceso estático o interfaz trunk usando el comando switchport mode access o switchport mode trunk respectivamente.
Habilita la seguridad del puerto usando dentro de la interfaz el comando switchport port-security.
(Opcional) Sobrescribe el máximo número de direcciones MAC asociadas a la interfaz por defecto usando dentro de la interfaz el comando switchport port-security maximum number.
(Opcional) Sobrescribe la acción por defecto es deshabilitar la interfaz (shutdown) cuando ocurre una violación de seguridad del puerto usando en la interfaz el comando switchport port-security violation {protect | restrict | shutdown}.
(Opcional) Predefinir cualquier dirección MAC de origen permitida para la interfaz usando el comando switchport port-security mac-address mac-address. Usa el comando múltiples veces para definir más de una dirección MAC.
(Opcional) Dile al switch que haga “sticky learn” ó en español «aprendizaje pegajoso» para las direcciones MAC aprendidas de forma dinámica usando dentro de la interfaz el comando switchport port-security mac-address sticky.

Ejemplo de configuración:

SW1# show running-config
(Lines omitted for brevity)

interface FastEthernet0/1
 switchport mode access
 switchport port-security
 switchport port-security mac-address 0200.1111.1111
!
interface FastEthernet0/2
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
interface FastEthernet0/3
 switchport mode access
 switchport port-security
!
interface FastEthernet0/4
 switchport mode trunk
 switchport port-security
 switchport port-security maximum 8

switchport port-security habilita la seguridad en el puerto con la configuración por defecto.

switchport mode access para cumplir con el requisito de configurar el puerto como un puerto de acceso (access) o troncal (trunk).

switchport port-security mac-address 0200.1111.1111 define una dirección MAC de origen especifica. Con la máxima dirección MAC permitida por defecto de 1, sólo tramas con la dirección MAC 0200.1111.1111 de origen serán permitidas en éste puerto. Cuando una trama diferente a ésta ingresa al puerto F0/1, el switch realiza la acción de violación por defecto que es deshabilitar la interfaz (shutdown).

switchport port-security mac-address sticky le dice al switch que de forma dinámica aprenda la dirección MAC de origen y agregue los comandos port-security al running-config.

Verificando la configuración:

SW1# show port-security interface fastEthernet 0/1
Port Security              : Enabled
Port Status                : Secure-shutdown
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 0013.197b.5004:1
Security Violation Count   : 1

SW1# show port-security interface fastEthernet 0/2
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : 0200.2222.2222:1
Security Violation Count   : 0

SW1# show running-config interface f0/2
Building configuration...
Current configuration : 188 bytes
!
interface FastEthernet0/2
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
 switchport port-security mac-address sticky 0200.2222.2222

Acciones de Violación para la Seguridad en el Puerto

switchport port-security violation {protect | restrict | shutdown}

Opciones de comandos para la violación de puerto con switchport port-security violation	Protegido (protect)	Restringido (restrict)	Shutdown*
Descartar tráfico ofensivo	Si	Si	Si
Envía mensajes de registro y SNMP	No	Si	Si
Incrementa el contador de violación por cada violación de trama que llega	No	Si	Si
Deshabilita la interfaz poniéndola en estado err-disable y descartando todo el tráfico	No	No	Si

*shutdown es la acción de configuración por defecto.

Cómo ver la tabla de direcciones MAC cuando se habilita Seguridad en el Puerto del Switch

Una vez que se ha configurado un puerto del switch con seguridad, el switch ya no considera las direcciones MAC asociadas con ese puerto como entradas dinámicas como se muestra con el comando show mac address-table dynamic. Incluso si las direcciones MAC se aprenden dinámicamente, una vez que se haya habilitado la seguridad del puerto, debe usar una de las siguientes opciones para ver las entradas de la tabla MAC asociadas a los puertos que utilizan la seguridad del puerto:

show mac address-table secure: Lista las direcciones MAC asociadas con puertos que usan port security

show mac address-table static: Lista las direcciones MAC asociadas con puertos que usan port security, así como cualquier otra dirección MAC definida estéticamente.

Ejemplo

SW1# show mac address-table secure interface F0/2
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
   1    0200.2222.2222    STATIC      Fa0/2
Total Mac Addresses for this criterion: 1

SW1# show mac address-table dynamic interface f0/2
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
SW1#

4.8/5 - (9 votos)

8 comentarios en «Seguridad en el Switch: Puertos y Acceso»

ROlando
23 noviembre, 2023 a las 9:16 pm
Buen día, y en caso que use el comando switchport port-security mac-address sticky, suponiendo que cambié el equipo del usuario, cómo reseteo el puerto para que ahora acepte la Mac Address del nuevo equipo?
De antemano, gracias.
Saludos.
Responder
- Marcelo
  10 enero, 2024 a las 11:31 am
  Hola Rolando, siempre puedes negar el comando [no]
  no switchport port-security mac-address sticky
  Responder
Aaron
2 noviembre, 2020 a las 8:22 pm
Excelente tu contenido, muy accesible y se entiende perfecto. Muchas gracias por el aporte y espero hagas mas guías como ésta, un choque de puños a la distancia! jajaja
Responder
- Marcelo Suárez
  4 noviembre, 2020 a las 2:12 pm
  Muchas gracias Aaron!
  Responder
tiabini
14 julio, 2020 a las 7:42 pm
bravoooo primer bloc que encuentro y tiene todo detallado y se logra entender
ojala puedas subir mas informacion como esta , se que este bloc no te genera ingresos,pero eses genial espero que todos tus planes y metas se cumplan eres una excelente perosna gracias por tus conocimientos
Responder
- Marcelo Suárez
  14 julio, 2020 a las 8:08 pm
  Hola tiabini, muchas gracias por tus palabras, es verdad que no hay mucho sitio sobre estos temas de calidad, eso sucede porque están centrados exclusivamente en generar ganancias. Lo que yo intento es dar un valor real en el contenido y que las ganancias vengan luego si tienen que venir.
  Espero disfrutes del curso, por mi parte seguiré avanzando en el contenido del curso.
  Responder
yordi
10 abril, 2020 a las 3:13 am
hola cuando publicaras el volumen 2 ?
Responder
- Marcelo Suárez
  13 abril, 2020 a las 3:30 pm
  Hola Yordi, la verdad es que aun no lo sé, voy publicando de a poco, este proyecto me consume tiempo y no me da dinero por lo que avanzó a medida que puedo, me gustaría dedicarle más tiempo. Estate al tanto de las actualizaciones, gracias por visitar el sitio.
  Responder