Seguridad en el Switch: Puertos y Acceso

Qué es Seguridad en el Puerto ó Port Security

Cunado hablamos de seguridad en un switch a nivel de puertos y acceso hablamos de Port Security.

Port security identifica dispositivos en base a su dirección MAC de origen de las tramas Ethernet enviadas.

Ejemplo:

Por ejemplo, en la siguiente figura tenemos dos PCs (PC1 y PC2), PC1 envía una trama con su dirección MAC de origen.

Seguridad en el puerto de un Switch (Port Security)
Seguridad en el puerto de un Switch (Port Security)

La interfaz F0/1 del SW1 puede ser configurada con seguridad en el puerto y por tanto SW1 examinara la dirección MAC proveniente de PC1 y decidirá si PC1 tiene permitido enviar tramas a través del puerto F0/1.

La seguridad del puerto no tiene restricción si la trama se origino desde un dispositivo local o fue reenviado a través de otro switch.

Por ejemplo, SW1 puede usar seguridad en el puerto para la interfaz G0/1 chequeando la dirección MAC de origen de la trama de PC2 cuando se reenvía hasta SW1 pasando por SW2.

Variantes de la Seguridad en el Puerto

  • Define un número máximo de direcciones MAC de origen permitidas para todas las tramas que llegan a la interfaz.
  • Mira todas las tramas de ingreso y mantiene una lista de todas las direcciones MAC de origen, además un conteo del número de direcciones MAC diferentes.
  • Cuando se agrega una nueva dirección MAC de origen a la lista, si el numero de la direcciones MAC sobrepasa al máximo configurado, una violación de seguridad en el puerto ocurre. El switch realiza una acción (por defecto apaga administrativamente la interfaz).

Cómo configurar Seguridad en el Puerto

  1. Configura la interfaz del switch entre acceso estático o interfaz trunk usando el comando switchport mode access o switchport mode trunk respectivamente.
  2. Habilita la seguridad del puerto usando dentro de la interfaz el comando switchport port-security.
  3. (Opcional) Sobrescribe el máximo número de direcciones MAC asociadas a la interfaz por defecto usando dentro de la interfaz el comando switchport port-security maximum number.
  4. (Opcional) Sobrescribe la acción por defecto es deshabilitar la interfaz (shutdown) cuando ocurre una violación de seguridad del puerto usando en la interfaz el comando switchport port-security violation {protect | restrict | shutdown}.
  5. (Opcional) Predefinir cualquier dirección MAC de origen permitida para la interfaz usando el comando switchport port-security mac-address mac-address. Usa el comando múltiples veces para definir más de una dirección MAC.
  6. (Opcional) Dile al switch que haga “sticky learn” ó en español «aprendizaje pegajoso» para las direcciones MAC aprendidas de forma dinámica usando dentro de la interfaz el comando switchport port-security mac-address sticky.

Ejemplo de configuración:

Ejemplo de configuración para la seguridad en el puerto del switch
Ejemplo de configuración para la seguridad en el puerto del switch
SW1# show running-config
(Lines omitted for brevity)

interface FastEthernet0/1
 switchport mode access
 switchport port-security
 switchport port-security mac-address 0200.1111.1111
!
interface FastEthernet0/2
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
!
interface FastEthernet0/3
 switchport mode access
 switchport port-security
!
interface FastEthernet0/4
 switchport mode trunk
 switchport port-security
 switchport port-security maximum 8

switchport port-security habilita la seguridad en el puerto con la configuración por defecto.

switchport mode access para cumplir con el requisito de configurar el puerto como un puerto de acceso (access) o troncal (trunk).

switchport port-security mac-address 0200.1111.1111 define una dirección MAC de origen especifica. Con la máxima dirección MAC permitida por defecto de 1, sólo tramas con la dirección MAC 0200.1111.1111 de origen serán permitidas en éste puerto. Cuando una trama diferente a ésta ingresa al puerto F0/1, el switch realiza la acción de violación por defecto que es deshabilitar la interfaz (shutdown).

switchport port-security mac-address sticky le dice al switch que de forma dinámica aprenda la dirección MAC de origen y agregue los comandos port-security al running-config.

Verificando la configuración:

SW1# show port-security interface fastEthernet 0/1
Port Security              : Enabled
Port Status                : Secure-shutdown
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 0013.197b.5004:1
Security Violation Count   : 1

SW1# show port-security interface fastEthernet 0/2
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : 0200.2222.2222:1
Security Violation Count   : 0

SW1# show running-config interface f0/2
Building configuration...
Current configuration : 188 bytes
!
interface FastEthernet0/2
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
 switchport port-security mac-address sticky 0200.2222.2222

Acciones de Violación para la Seguridad en el Puerto

switchport port-security violation {protect | restrict | shutdown}

Opciones de comandos para la violación de puerto con switchport port-security violationProtegido (protect)Restringido (restrict)Shutdown*
Descartar tráfico ofensivoSiSiSi
Envía mensajes de registro y SNMPNoSiSi
Incrementa el contador de violación por cada violación de trama que llegaNoSiSi
Deshabilita la interfaz poniéndola en estado err-disable y descartando todo el tráficoNoNoSi

*shutdown es la acción de configuración por defecto.

Cómo ver la tabla de direcciones MAC cuando se habilita Seguridad en el Puerto del Switch

Una vez que se ha configurado un puerto del switch con seguridad, el switch ya no considera las direcciones MAC asociadas con ese puerto como entradas dinámicas como se muestra con el comando show mac address-table dynamic. Incluso si las direcciones MAC se aprenden dinámicamente, una vez que se haya habilitado la seguridad del puerto, debe usar una de las siguientes opciones para ver las entradas de la tabla MAC asociadas a los puertos que utilizan la seguridad del puerto:

show mac address-table secure: Lista las direcciones MAC asociadas con puertos que usan port security

show mac address-table static: Lista las direcciones MAC asociadas con puertos que usan port security, así como cualquier otra dirección MAC definida estéticamente.

Ejemplo

SW1# show mac address-table secure interface F0/2
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
   1    0200.2222.2222    STATIC      Fa0/2
Total Mac Addresses for this criterion: 1

SW1# show mac address-table dynamic interface f0/2
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
SW1#

Deja un comentario