• Author / Uploaded
• Robert Eduard

Citation preview

RIP

Port Security Profesor: Adolfo Cárdenas Asignatura: RIP (Nivel) Fecha: Objetivo de aprendizaje: Configurar seguridad en acceso a puertos ethernet Contenidos: Port Security Instrucciones: 1. Lea comprensivamente la guía. 2. Trabaje de forma individual 3. Mantenga orden y limpieza del laboratorio. Port Security Port Security es una característica de los switches Cisco que les permite retener las direcciones MAC conectadas a cada puerto del dispositivo y permitir solamente a esas direcciones MAC comunicarse a través de esa boca del switch. Si un dispositivo con otra dirección MAC intenta comunicarse a través de esa boca, se deshabilitará el puerto. Incluso se puede implementar SNMP para recibir en el sistema de monitoreo la notificación correspondiente al bloqueo del puerto. Dependiendo del tipo de uso que le daremos al puerto, será la cantidad de direcciones MAC que autorizaremos para acceder a la red. Por ejemplo, si instalamos un teléfono IP en el puerto del switch junto a un PC tendrían que existir dos direcciones MAC asignadas a ese puerto. Otro ejemplo puede ser la instalación de varios servidores virtuales conectados a un único puerto, donde se deberían autorizar una MAC por cada servicio virtualizado. Lo que se intenta prevenir con Port Security es que un usuario malicioso tenga la capacidad de conectar un hub, switch o Access Point en nuestra red para brindarle acceso a un tercero sin nuestro consentimiento. También Port Security se utiliza para prevenir el agotamiento de las direcciones IP en el DHCP Server de la red a través de un ataque donde se empleen múltiples direcciones MAC falsas con el objetivo de agotar las direcciones IP que puede asignar el DHCP Server. Configuración de port-security El proceso de configuración requiere ingresar a la configuración de la interfaz en cuestión Switch)#configure terminal Switch(config)#interface fastEthernet 0/1 Switch(config-if)#switchport port-security ? mac-address Secure mac address maximum Max secure addresses violation Security violation mode 1. Switch(config-if)# switchport port-security Si se ingresa solamente el comando básico, se asumen los valores por defecto: solo permite una dirección MAC en el puerto, que será la primera que se conecte al mismo, en caso de que otra dirección MAC intente conectarse utilizando esa misma boca, el puerto será deshabilitado. Por supuesto que todos estos parámetros son modificables: 2. switchport port-security maximum [cant MAC permitidas] Esta opción permite definir el número de direcciones MAC que está permitido que se conecten a través de la interfaz del swtich. El número máximo de direcciones permitidas por puerto es 132. Es importante tener presente que esta característica también limita la posibilidad de ataque de seguridad por inundación de la tabla MAC del switch. 3. switchport port-security violation [shutdown restrict protect] Este comando establece la acción que tomará el switch en caso de que se supere el número de direcciones MAC que se establece con el comando anterior. Las opciones son: Shutdown: deshabilitar el puerto, Restrict: alertar al Administrador o Protect: permitir exclusivamente el tráfico de la MAC que se registró inicialmente. 4.

switchport port-security mac-address [MAC address]

Esta opción permite definir manualmente la dirección MAC que se permite conectar a través de ese puerto, o dejar que la aprenda dinámicamente con el comando sticky. ¡Atención! Este comando no debe ser configurado en un puerto troncal o de backbone, ya que por estos puertos circulan tramas con múltiples direcciones MAC diferentes de origen. Esto resultaría en el bloqueo del puerto. Hay comandos específicos que permiten monitorear el estado de los puertos que tienen implementado portsecurity: Switch# show port-security address Secure Mac Address Table --------------------------------------------------------------Vlan Mac Address Type Ports Remaining Age (mins) ---- --------------- ---------- ----------------1 0004.00d5.285d SecureDynamic Fa0/18 ------------------------------------------------------------------------------Total Addresses in System (excluding one mac per port) :0 Max Addresses limit in System (excluding one mac per port) : 1024

Switch# show port-security interface fa0/18 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses :1 Total MAC Addresses :1 Configured MAC Addresses :0 Sticky MAC Addresses :0 Last Source Address : 0004.00d5.285d Security Violation Count :0