switches Cisco
Port Security es un rasgo de los switches Cisco que les permite retener las direcciones MAC conectadas a cada puerto del dispositivo y permitir solamente a esas direcciones MAC comunicarse a través de ese puerto del switch. Si un dispositivo con otra dirección MAC intenta comunicarse a través de este puerto, port-security deshabilitará el puerto. Incluso se puede implementar SNMP para recibir en el momento en el sistema de monitoreo la notificación correspondiente al bloqueo del puerto. en este caso es necesario que el Administrador de la red desbloquee el puerto. Esto puede ser un inconveniente en algunos casos. Pero quizás un inconveniente menor si lo comparamos con los riesgos potenciales.Configuración de port-security
El proceso de configuración requiere ingresar a la configuración de la interfaz en cuestión e ingresar el comando port-security. Un ejemplo:Switch)#config t
Switch(config)#int fa0/1
Switch(config-if)#switchport port-security ?
..aging.........Port-security aging commands
..mac-address...Secure mac address
..maximum.......Max secure addresses
..violation.....Security violation mode
Switch(config-if)# switchport port-security
Si se ingresa solamente el comando básico, se asumen los valores por defecto: solo permite una dirección MAC en el puerto, que será la primera que se conecte al mismo, en caso de que otra dirección MAC intente conectarse utilizando ese mismo puerto, será desabilitado. Por supuesto que todos estos parámetros son modificables:
switchport port-security maximum [cantidad de MAC permitidas]
Esta opción permite definir el número de direcciones MAC que está permitido que se conecten a través de la interfaz del swtich. El número máximo de direcciones permitidas por puerto es 132.
Es importante tener presente que este feature también limita la posibilidad de ataque de seguridad por inundación de la tabla CAM del switch.
switchport port-security violation[shutdown restrict protect]
Este comando establece la acción que tomará el switch en caso de que se supere el número de direcciones MAC que se establece con el comando anterior. Las opciones son deshabilitar el puerto, alertar al Adminsitrador o permitir exclusivamente el tráfico de la MAC que se registró inicialmente.
switchport port-security mac-addres [MAC address]
Esta opción permite definir manualmente la dirección MAC que se permite conectar a través de ese puerto, o dejar que la aprenda dinámicamente.
estado de port security
Hay comandos específicos que permiten manitorear el estado de los puertos que tienen implementado port-security:
Switch# show port-security address
Secure Mac Address Table
---------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
----- ------------------ ---------------- -------- -----------
1 0004.00d5.285d SecureDynamic Fa0/18 -
---------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) :0
Max Addresses limit in System (excluding one mac per port) : 1024
Switch# show port-security interface fa0/18
Port Security..................... : Enabled
Port Status....................... : Secure-up
Violation Mode.................... : Shutdown
Aging Time........................ : 0 mins
Aging Type........................ : Absolute
SecureStatic Address Aging........ : Disabled
Maximum MAC Addresses............. : 1
Total MAC Addresses............... : 1
Configured MAC Addresses.......... : 0
Sticky MAC Addresses.............. : 0
Last Source Address............... : 0004.00d5.285d
Security Violation Count.......... : 0
Switch#
