Professional Documents
Culture Documents
Fundamentos:
Es as que Port Security es un feature (rasgo) de los switches Cisco que nos permite retener las
direcciones MAC conectadas a cada puerto del dispositivo o switch y permitir solamente a esas
direcciones MAC registradas comunicarse a travs de ese puerto del switch.
Si un dispositivo con otra direccin MAC intenta comunicarse a travs de un puerto de la LAN,
port-security deshabilitar el puerto. Incluso se puede implementar SNMP(ver definiciones) para
recibir al momento en el sistema de monitoreo la notificacin correspondiente al bloqueo del
puerto.
Configuracin de Port-Security:
Switch)#config ter
Switch(config)#int fa0/15
Switch(config-if)#switchport port-security ?
Si se ingresa solamente el comando bsico, se asumen los valores por defecto: solo permite una
direccin MAC en el puerto, que ser la primera que se conecte al mismo, en caso de que otra
direccin MAC intente conectarse utilizando el mismo puerto, este ser deshabilitado o bloqueado.
Claro esta que todos estos parmetros son modificables:
Switch(config-ig)#switchport port-security maximum [cantidad de MAC permitidas]
Esta opcin permite definir el nmero de direcciones MAC que est permitido que se conecten a
travs de la interfaz del swtich. El nmero mximo de direcciones permitidas por puerto va desde
1 a 132. Es importante tener presente que este feature (rasgo) tambin limita la posibilidad de un
ataque de seguridad por inundacin de la tabla CAM (ver definiciones) del switch. El siguiente
ejemplo ilustra la configuracin del puerto 15 y que solo acepte hasta 10 direcciones MAC
mximas posibles:
Este comando establece la accin que tomar el switch en caso de que se supere el nmero de
direcciones MAC que se establece con el comando anterior. Las opciones son deshabilitar el
puerto, alertar al Administrador de la Red o permitir exclusivamente el trfico de la MAC que se
registr inicialmente.
En el siguiente ejemplo trabajando con el puerto 15 del switch, podemos especificar qu hacer si
ese nmero de direcciones MAC es superado (por default deshabilitar el puerto)
Posterior al haber deshabilitado el puerto del switch, este se puede volver habilitar con el
siguiente comando previa autorizacin del Administrador de la Red:
Switch(config-if)# switchport port-security mac-address
Switch(config-if)# shutdown
Switch(config-if)# no shutdown
Esta opcin permite definir manualmente la direccin MAC que se permite conectar a travs de
ese puerto, o dejar que la aprenda dinmicamente varias direcciones MAC. Ejemplo:
Con la primera lnea de comando le digo que agregue las MACs que va aprendiendo a la lista de
MACs seguras.
Con la segunda linea de comando, que agregue la MAC 00:0a:5e:5a:18:1b a la lista de MACs
seguras.
Si no agrego una segunda MAC, la primera MAC que escuche distinta a 00:0a:5e:5a:18:1b ser
agregada a la lista de MACs seguras.
Atencin..! Este comando no debe ser configurado en un puerto troncal o de backbone, ya que por
estos puertos circulan tramas con mltiples direcciones MAC, diferentes de origen. Esto dara
como resultara el bloqueo del puerto.
Hay comandos especficos que permiten monitorear el estado de los puertos que tienen
implementado port-security, Ejemplo:
---------------------------------------------------------
..............................................(mins)
----..-----------....----..........-----..-------------
1....xxxx.xxxx.xxxx..SecureDynamic Fa0/15.......
-----------------------------------------------------------
Max Addresses limit in System (excluding one mac per port) : 1024
Status.......................: Secure-up
Switch#
Deficiones Complementarias
Tabla CAM:
Los switchs guardan las asociaciones MAC e informacin de VLAN en un tabla llamada tabla CAM.
Cuando la tabla CAM no tiene espacio para almacenar ms asociaciones MAC, enva a todos los
puertos las tramas que tengan una direccin MAC destino no almacenada en la tabla CAM. (Acta
como un HUB para cualquier MAC que no haya aprendido).
Para realizar el ataque slo hace falta enviar gran nmero de tramas con direcciones MAC distintas
(usualmente generadas al azar) a cualquier puerto del switch hasta que se llene la tabla CAM.
Port Security:
Permite entre otras cosas: restringir el acceso a los puertos segn la MAC, restringir el nmero de
MACs por puerto, reaccionar de diferentes maneras a violaciones de las restricciones anteriores,
establecer la duracin de las asociaciones MAC.
Tomar en cuenta que: No se puede activar port security en puertos dynamic access o trunk, por
defecto Port Security est desactivado y slo almacena una MAC por puerto.
Las versiones de SNMP ms utilizadas son dos: SNMP versin 1 (SNMPv1) y SNMP versin 2
(SNMPv2). Ambas versiones tienen un nmero de caractersticas en comn, pero SNMPv2 ofrece
mejoras, como por ejemplo, operaciones adicionales.
SNMP en su ltima versin (SNMPv3) posee cambios significativos con relacin a sus
predecesores, sobre todo en aspectos de seguridad, sin embargo no ha sido mayoritariamente
aceptado en la industria.
Configuracin de Etherchannel
En el ejemplo, vamos a ver cmo configurar Etherchannel en modo manual con mode on.
Tenemos dos switches (CHIP y CHOP) conectados entre s en cuatro de sus puertos (fa0/1, fa0/2,
fa0/3 y fa0/4). Lo primero que vamos hacer es ingresar en el modo de configuracin de interfaz, e
indicar el grupo y el modo de configuracin del etherchannel.
CHIP#configure terminal
CHIP(config)#interface range fastethernet 0/1 4
CHIP(config-if-range)#channel-group 1 mode on
CHIP(config-if-range)#exit
CHIP(config)# exit
CHOP#configure terminal
CHOP(config)# interface range fastethernet 0/1 4
CHOP(config-if-range)# channel-group 1 mode on
CHOP(config-if-range)#exit
CHOP(config)# exit
CHIP(config)#interface port-channel 1
CHIP(config-if)#switchport mode trunk
CHIP(config-if)# exit
CHIP(config)# exit
CHOP(config)#interface port-channel 1
CHOP(config-if)#switchport mode trunk
CHOP(config-if)#exit
CHOP(config)# exit