mplementacin de port security en switches Cisco

Una dimensin sumamente importante en la seguridad de nuestras redes LAN es el control de quines pueden (y quines no) acceder a la red interna de la empresa. Una situacin muy frecuente a resolver, es la posibilidad de conectarse a la red utilizando cualquier conectar instalado en el edificio, Puede alguien sencillamente ingresar en el edificio, conectar una laptop a una boca disponible o no, y acceder a la red empresaria? Un recurso importante es deshabilitar aquellas bocas que no tienen en el momento una terminal de trabajo conectada. Pero tambin puede ocurrir que alguien desconecte una terminal de escritorio y conecte a esa boca su propia laptop o un hub. Esto no es poco frecuente. Siempre hay algn visitante que requiere una conexin que es proporcionada sin respetar las polticas de seguridad de la empresa; o un trabajador de la propia organizacin que trae su propia laptop y decide conectarla a nuestra red. Para esto el recurso ms frecuente es desconectar una terminal conectada a la red y utilizar esa boca para ganar acceso a Internet. Esto se puede evitar implementando port-security en los switches de acceso. Los fundamentos Port Security es un feature de los switches Cisco que les permite retener las direcciones MAC conectadas a cada puerto del dispositivo y permitir solamente a esas direcciones MAC comunicarse a travs de esa boca del switch. Si un dispositivo con otra direccin MAC intenta comunicarse a travs de esa boca, port-security deshabilitar el puerto. Incluso se puede implementar SNMP para recibir en el momento en el sistema de monitoreo la notificacin correspondiente al bloqueo del puerto. Cul es el lado oscuro de esta implementacin de seguridad? Bien, en este caso es necesario que el Administrador de la red desbloquee el puerto. Esto puede ser un inconveniente en algunos casos. Pero quizs un inconveniente menor si lo comparamos con los riesgos potenciales. Configuracin de port-security El proceso de configuracin requiere ingresar a la configuracin de la interfaz en cuestin e ingresar el comando port-security. Un ejemplo: Switch)#config t Switch(config)#int fa0/1 Switch(config-if)#switchport port-security ? ..aging.........Port-security aging commands ..mac-address...Secure mac address ..maximum.......Max secure addresses ..violation.....Security violation mode Switch(config-if)# switchport port-security Si se ingresa solamente el comando bsico, se asumen los valores por defecto: solo permite una direccin MAC en el puerto, que ser la primera que se conecte al mismo, en caso de que otra direccin MAC intente conectarse utilizando esa misma boca, el puerto ser desabilitado. Por supuesto que todos estos parmetros son modificables: switchport port-security maximum [cant MAC permitidas] Esta opcin permite definir el nmero de direcciones MAC que est permitido que se conecten a travs de la interfaz del swtich. El nmero mximo de direcciones permitidas por puerto es 132. Es importante tener presente que este feature tambin limita la posibilidad de ataque de seguridad por inundacin de la tabla CAM del switch.

switchport port-security violation [shutdown restrict protect] Este comando establece la accin que tomar el switch en caso de que se supere el nmero de direcciones MAC que se establece con el comando anterior. Las opciones son deshabilitar el puerto, alertar al Adminsitrador o permitir exclusivamente el trfico de la MAC que se registr inicialmente. switchport port-security mac-address [MAC address] Esta opcin permite definir manualmente la direccin MAC que se permite conectar a travs de ese puerto, o dejar que la aprenda dinmicamente.

Atencin! Este comando no debe ser configurado en un puerto troncal o de backbone, ya que por estos puertos circulan tramas con mltiples direcciones MAC diferentes de origen. Esto resultara en el bloqueo del puerto. El monitoreo de este feature Hay comandos especficos que permiten manitorear el estado de los puertos que tienen implementado port-security: Switch# show port-security address ......Secure Mac Address Table --------------------------------------------------------Vlan..Mac Address....Type..........Ports..Remaining Age ..............................................(mins) ----..-----------....----..........-----..------------1....0004.00d5.285d..SecureDynamic Fa0/18.......---------------------------------------------------------Total Addresses in System (excluding one mac per port).....:.0 Max Addresses limit in System (excluding one mac per port) : 1024 Switch# show port-security interface fa0/18 Port Security.....................: Enabled Port Status.......................: Secure-up Violation Mode....................: Shutdown Aging Time........................: 0 mins Aging Type........................: Absolute SecureStatic Address Aging........: Disabled Maximum MAC Addresses.............: 1 Total MAC Addresses...............: 1 Configured MAC Addresses..........: 0 Sticky MAC Addresses..............: 0 Last Source Address...............: 0004.00d5.285d Security Violation Count..........: 0 Switch#

Switch# config terminal Switch (config)# interface range FastEthernet 0/1-48 (if you're stacked, 1/0/1-48, fa2/0/1-48, etc) Switch (config-if-range)# switchport port-security violation restrict Switch (config-if-range)# switchport port-security maximum 24 Switch (config-if-range)# switchport port-security mac-address sticky Switch (config-if-range)# switchport port-security