Implementando port-security en los switches de acceso

Fundamentos:

Conjunto de medidas de seguridad a nivel de puertos disponibles en la mayora de los switchs de

gama media y alta, la funciones provistas dependen de la marca, el modelo y la versin de
firmware del switch en cuestin.

Es as que Port Security es un feature (rasgo) de los switches Cisco que nos permite retener las
direcciones MAC conectadas a cada puerto del dispositivo o switch y permitir solamente a esas
direcciones MAC registradas comunicarse a travs de ese puerto del switch.

Qu nos permite restringir entre otras cosas?

Restringir el acceso a los puertos del switch segn la MAC.

Restringir el nmero de MACs por puerto en el switch.

Reaccionar de diferentes maneras a violaciones de las restricciones anteriores.

Establecer la duracin de las asociaciones MAC-Puerto.

Si un dispositivo con otra direccin MAC intenta comunicarse a travs de un puerto de la LAN,
port-security deshabilitar el puerto. Incluso se puede implementar SNMP(ver definiciones) para
recibir al momento en el sistema de monitoreo la notificacin correspondiente al bloqueo del
puerto.

Configuracin de Port-Security:

El proceso de configuracin requiere ingresar a la configuracin de la interfaz en cuestin e

ingresar el comando port-security. Ejemplo (para nuestros ejemplos vamos a tomar el puerto del
switch:

Switch)#config ter

Switch(config)#int fa0/15

Switch(config-if)#switchport port-security ?

..aging.........Port-security aging commands

..mac-address...Secure mac address

..maximum.......Max secure addresses

..violation.....Security violation mode

Switch(config-if)# switchport port-security

Si se ingresa solamente el comando bsico, se asumen los valores por defecto: solo permite una
direccin MAC en el puerto, que ser la primera que se conecte al mismo, en caso de que otra
direccin MAC intente conectarse utilizando el mismo puerto, este ser deshabilitado o bloqueado.
Claro esta que todos estos parmetros son modificables:
Switch(config-ig)#switchport port-security maximum [cantidad de MAC permitidas]

Esta opcin permite definir el nmero de direcciones MAC que est permitido que se conecten a
travs de la interfaz del swtich. El nmero mximo de direcciones permitidas por puerto va desde
1 a 132. Es importante tener presente que este feature (rasgo) tambin limita la posibilidad de un
ataque de seguridad por inundacin de la tabla CAM (ver definiciones) del switch. El siguiente
ejemplo ilustra la configuracin del puerto 15 y que solo acepte hasta 10 direcciones MAC
mximas posibles:

Switch(config)#interface FastEthernet 0/15

(Dentro del modo configuracin de interface del puerto a configurar)
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security

Switch(config-if)#switchport port-security maximum 10

Switch(config-if)# switchport port-security violation [shutdown restrict protect]

Este comando establece la accin que tomar el switch en caso de que se supere el nmero de
direcciones MAC que se establece con el comando anterior. Las opciones son deshabilitar el
puerto, alertar al Administrador de la Red o permitir exclusivamente el trfico de la MAC que se
registr inicialmente.
En el siguiente ejemplo trabajando con el puerto 15 del switch, podemos especificar qu hacer si
ese nmero de direcciones MAC es superado (por default deshabilitar el puerto)

Switch(config)#interface FastEthernet 0/15

Que deje de prender:

Switch(config-if)# switchport port-security violation protect

Que enve una alerta administrativa:

Switch(config-if)# switchport port-security violation restrict

Que desabilite el Puerto del switch:

Switch(config-if)# switchport port-security violation shutdown

Posterior al haber deshabilitado el puerto del switch, este se puede volver habilitar con el
siguiente comando previa autorizacin del Administrador de la Red:
Switch(config-if)# switchport port-security mac-address
Switch(config-if)# shutdown
Switch(config-if)# no shutdown

switchport port-security mac-address [MAC address]

Esta opcin permite definir manualmente la direccin MAC que se permite conectar a travs de
ese puerto, o dejar que la aprenda dinmicamente varias direcciones MAC. Ejemplo:

Switch(config)#interface FastEthernet 0/15

(Dentro del modo configuracin de interface del puerto a configurar)
Switch(config-if)# switchport port-security mac-address sticky (esta opcion leera y aprendera la
primera mac-address que se conecte)

Switch(config-if)# switchport port-security mac-address xxxx.xxxx.xxxx (este comando te permitira

definir una mac-address estatica) es decir:

Con la primera lnea de comando le digo que agregue las MACs que va aprendiendo a la lista de
MACs seguras.

Con la segunda linea de comando, que agregue la MAC 00:0a:5e:5a:18:1b a la lista de MACs
seguras.

Si no agrego una segunda MAC, la primera MAC que escuche distinta a 00:0a:5e:5a:18:1b ser
agregada a la lista de MACs seguras.

Atencin..! Este comando no debe ser configurado en un puerto troncal o de backbone, ya que por
estos puertos circulan tramas con mltiples direcciones MAC, diferentes de origen. Esto dara
como resultara el bloqueo del puerto.

El monitoreo de este feature (rasgo):

Hay comandos especficos que permiten monitorear el estado de los puertos que tienen
implementado port-security, Ejemplo:

Switch# show port-security address

......Secure Mac Address Table

---------------------------------------------------------

Vlan..Mac Address....Type..........Ports..Remaining Age

..............................................(mins)

----..-----------....----..........-----..-------------

1....xxxx.xxxx.xxxx..SecureDynamic Fa0/15.......

-----------------------------------------------------------

Total Addresses in System (excluding one mac per port).....:.0

Max Addresses limit in System (excluding one mac per port) : 1024

Switch# show port-security interface fa0/15

Port Security.....................: EnabledPort

Status.......................: Secure-up

Violation Mode....................: Shutdown

Aging Time........................: 0 mins

Aging Type........................: Absolute

SecureStatic Address Aging........: Disabled

Maximum MAC Addresses.............: 1

Total MAC Addresses...............: 1

Configured MAC Addresses..........: 0

Sticky MAC Addresses..............: 0

Last Source Address...............: xxxx.xxxx.xxxx

Security Violation Count..........: 0

Switch#

Deficiones Complementarias

Tabla CAM:

Los switchs guardan las asociaciones MAC e informacin de VLAN en un tabla llamada tabla CAM.

La tabla CAM de un switch tiene un tamao fijo y finito.

Cuando la tabla CAM no tiene espacio para almacenar ms asociaciones MAC, enva a todos los
puertos las tramas que tengan una direccin MAC destino no almacenada en la tabla CAM. (Acta
como un HUB para cualquier MAC que no haya aprendido).

Existe un ataque que se basa en el tamao limitado de la tabla CAM.

Para realizar el ataque slo hace falta enviar gran nmero de tramas con direcciones MAC distintas
(usualmente generadas al azar) a cualquier puerto del switch hasta que se llene la tabla CAM.

Port Security:

Port Security es un conjunto de medidas de seguridad a nivel de puertos disponibles.

Permite entre otras cosas: restringir el acceso a los puertos segn la MAC, restringir el nmero de
MACs por puerto, reaccionar de diferentes maneras a violaciones de las restricciones anteriores,
establecer la duracin de las asociaciones MAC.

Tomar en cuenta que: No se puede activar port security en puertos dynamic access o trunk, por
defecto Port Security est desactivado y slo almacena una MAC por puerto.

Simple Network Management Protocol - SNMP

El Protocolo Simple de Administracin de Red o SNMP es un protocolo de la capa de aplicacin

que facilita el intercambio de informacin de administracin entre dispositivos de red. Es parte de
la familia de protocolos TCP/IP. SNMP permite a los administradores supervisar el desempeo de
la red, buscar y resolver sus problemas, y planear su crecimiento.

Las versiones de SNMP ms utilizadas son dos: SNMP versin 1 (SNMPv1) y SNMP versin 2
(SNMPv2). Ambas versiones tienen un nmero de caractersticas en comn, pero SNMPv2 ofrece
mejoras, como por ejemplo, operaciones adicionales.

SNMP en su ltima versin (SNMPv3) posee cambios significativos con relacin a sus
predecesores, sobre todo en aspectos de seguridad, sin embargo no ha sido mayoritariamente
aceptado en la industria.
Configuracin de Etherchannel

En el ejemplo, vamos a ver cmo configurar Etherchannel en modo manual con mode on.
Tenemos dos switches (CHIP y CHOP) conectados entre s en cuatro de sus puertos (fa0/1, fa0/2,
fa0/3 y fa0/4). Lo primero que vamos hacer es ingresar en el modo de configuracin de interfaz, e
indicar el grupo y el modo de configuracin del etherchannel.
CHIP#configure terminal
CHIP(config)#interface range fastethernet 0/1 4
CHIP(config-if-range)#channel-group 1 mode on
CHIP(config-if-range)#exit
CHIP(config)# exit

Configuramos el mismo modo y grupo en el otro extremo.

CHOP#configure terminal
CHOP(config)# interface range fastethernet 0/1 4
CHOP(config-if-range)# channel-group 1 mode on
CHOP(config-if-range)#exit
CHOP(config)# exit

Para configurar etherchanel como enlace troncal, hacemos lo siguiente.

CHIP(config)#interface port-channel 1
CHIP(config-if)#switchport mode trunk
CHIP(config-if)# exit
CHIP(config)# exit

Y hacemos lo mismo en el otro extremo.

CHOP(config)#interface port-channel 1
CHOP(config-if)#switchport mode trunk
CHOP(config-if)#exit
CHOP(config)# exit

Y por ltimo hacemos una breve comprobacin mediante el siguiente comando.

CHOP(config)# show etherchannel port-channel