Configuración de Port-Security en switch CISCO

Port Security es una función de los switches CISCO destinada a restringir el acceso a los puertos. Esto permite crear una política de seguridad en la capa 2 para evitar conexiones no deseadas, además teniendo cómo posibilidad realizar acciones en caso de que esto ocurra (security violation).
Lo que se quiere prevenir es un uso ilegítimo de nuestra red o evitar ataques realizados con direcciones MAC falsas.

Para explicar el uso de está característica trabajaremos a nivel de interfaz, accediendo al modo configuración, y luego al CLI.

Switch01# config terminal
Switch01(config)# interface FastEthernet 0/1
Switch01(config-if)#

Port-Security solo admite el mode access o el mode trunk, por lo que quedan descartadas configuraciones en mode dynamic desirable. Dependiendo de nuestra deberemos usar un modo u otro.

Switch01(config-if)# switchport mode access

Port-Security viene desactivado por defecto, asique deberemos activarlo.

Switch01(config-if)#switchport port-security

Tenemos la opción de limitar el número de direcciones MAC que tienen permitido el acceso a cada puerto. Por defecto es 1, por lo que no haría falta especificarlo, pero pongo el comando porque puede ser necesario su uso (en caso de la instalación de un telefono IP en el puerto del switch junto a una PC).

Switch01(config-if)#switchport port-security maximum 1

Una gran ventaja de está función, es la posibilidad de tomar medidas en caso de violación de la seguridad de un puertoes decir, que se conecte a la interfaz una MAC distinta a las permitidas.
Tenemos tres opciones a elegir:

• Protect: una vez que se alcanzó el máximo de direcciones MAC en un puerto, todo el tráfico de orígenes desconocidos (es decir, de direcciones MAC que no sean válidas para ese puerto) es descartado. No obstante, se continúa enviando el tráfico legal normalmente. No se notifica al administrador de esta situación.


• Restrict: el mismo comportamiento que el caso anterior pero con la diferencia que se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.



• Shutdown: en este caso el puerto se da de baja dejándolo en estado err-disabled (deshabilitado por error). Además se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.


• Shutdown VLAN: la única diferencia con el caso anterior es que se deshabilita la VLAN en ese puerto en lugar de dar de baja el puerto completo. Es particularmente atractivo para los puertos de trunk.

Switch01(config-if)# switchport port-security violation { protect | restrict | shutdown }

Ahora debemos seleccionar el modo en el que el switch guardará las direcciones MAC. Existen tres modos:

Dirección MAC segura estática

• Se configura manualmente.
• Se agrega a la tabla de direcciones MAC.
• Se guarda en la running-config.
• Se puede hacer permanente guardando la configuración.

   

 Switch01(config-if)# switchport port-security mac-address DIRECCION-MAC

   
Dirección MAC segura dinámica

• Se aprende del tráfico que atraviesa la interfaz.
• Se la guarda en la tabla de direcciones MAC.
• Se pierde cuando se reinicia el equipo.

   

Switch01(config-if)# switchport port-security

Dirección MAC segura sticky

• Se la puede configurar de forma manual o dinámica.
• Se la guarda en la tabla de direcciones MAC.
• Se almacena en la running-config.
• Se puede hacer permanente guardando la configuración.

Switch01(config-if)# switchport port-security mac-address sticky [DIRECCION-MAC]

Podemos comprobar el estado de Port-Security:

Switch01# show port-security

Para la monitorización del estado de los puertos:

Switch01# show port-security interface [INTERFAZ]

Un saludo, HATI 

Muy buen trabajo, esta muy bien redactado y muy ameno a la lectura, felicidades..!!!


Saludos por alla y gracias.