Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Configuración de Port-Security en switch CISCO

  • 1 Respuestas
  • 2802 Vistas

0 Usuarios y 3 Visitantes están viendo este tema.

Desconectado HATI

  • *
  • Moderador Global
  • Mensajes: 438
  • Actividad:
    10%
  • Reputación 13
    • Ver Perfil
« en: Abril 23, 2016, 11:35:05 am »

Port Security es una función de los switches CISCO destinada a restringir el acceso a los puertos. Esto permite crear una política de seguridad en la capa 2 para evitar conexiones no deseadas, además teniendo cómo posibilidad realizar acciones en caso de que esto ocurra (security violation).
Lo que se quiere prevenir es un uso ilegítimo de nuestra red o evitar ataques realizados con direcciones MAC falsas.

Para explicar el uso de está característica trabajaremos a nivel de interfaz, accediendo al modo configuración, y luego al CLI.

Código: [Seleccionar]
Switch01# config terminal
Switch01(config)# interface FastEthernet 0/1
Switch01(config-if)#


Port-Security solo admite el mode access o el mode trunk, por lo que quedan descartadas configuraciones en mode dynamic desirable. Dependiendo de nuestra deberemos usar un modo u otro.

Código: [Seleccionar]
Switch01(config-if)# switchport mode access

Port-Security viene desactivado por defecto, asique deberemos activarlo.

Código: [Seleccionar]
Switch01(config-if)#switchport port-security

Tenemos la opción de limitar el número de direcciones MAC que tienen permitido el acceso a cada puerto. Por defecto es 1, por lo que no haría falta especificarlo, pero pongo el comando porque puede ser necesario su uso (en caso de la instalación de un telefono IP en el puerto del switch junto a una PC).

Código: [Seleccionar]
Switch01(config-if)#switchport port-security maximum 1

Una gran ventaja de está función, es la posibilidad de tomar medidas en caso de violación de la seguridad de un puertoes decir, que se conecte a la interfaz una MAC distinta a las permitidas.
Tenemos tres opciones a elegir:
  • Protect: una vez que se alcanzó el máximo de direcciones MAC en un puerto, todo el tráfico de orígenes desconocidos (es decir, de direcciones MAC que no sean válidas para ese puerto) es descartado. No obstante, se continúa enviando el tráfico legal normalmente. No se notifica al administrador de esta situación.
  • Restrict: el mismo comportamiento que el caso anterior pero con la diferencia que se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.
  • Shutdown: en este caso el puerto se da de baja dejándolo en estado err-disabled (deshabilitado por error). Además se envía un aviso al administrador mediante SNMP, se registra el evento en el syslog y se incrementa el contador de violaciones.
  • Shutdown VLAN: la única diferencia con el caso anterior es que se deshabilita la VLAN en ese puerto en lugar de dar de baja el puerto completo. Es particularmente atractivo para los puertos de trunk.

Código: [Seleccionar]
Switch01(config-if)# switchport port-security violation { protect | restrict | shutdown }

Ahora debemos seleccionar el modo en el que el switch guardará las direcciones MAC. Existen tres modos:

Dirección MAC segura estática
  • Se configura manualmente.
  • Se agrega a la tabla de direcciones MAC.
  • Se guarda en la running-config.
  • Se puede hacer permanente guardando la configuración.
   
Código: [Seleccionar]
Switch01(config-if)# switchport port-security mac-address DIRECCION-MAC   
Dirección MAC segura dinámica
  • Se aprende del tráfico que atraviesa la interfaz.
  • Se la guarda en la tabla de direcciones MAC.
  • Se pierde cuando se reinicia el equipo.
   
Código: [Seleccionar]
Switch01(config-if)# switchport port-security
Dirección MAC segura sticky
  • Se la puede configurar de forma manual o dinámica.
  • Se la guarda en la tabla de direcciones MAC.
  • Se almacena en la running-config.
  • Se puede hacer permanente guardando la configuración.
 

Código: [Seleccionar]
Switch01(config-if)# switchport port-security mac-address sticky [DIRECCION-MAC]

Podemos comprobar el estado de Port-Security:
Código: [Seleccionar]
Switch01# show port-security
Para la monitorización del estado de los puertos:
Código: [Seleccionar]
Switch01# show port-security interface [INTERFAZ]


Un saludo, HATI  ;D


Jugar o perder

Desconectado Cl0udswX

  • *
  • Moderator
  • *
  • Mensajes: 875
  • Actividad:
    1.67%
  • Reputación 4
  • La fisica es el sistema operativo del universo.
    • Ver Perfil
    • cl0udswz - Sequre
  • Skype: cl0udzwx
  • Twitter: @cl0udswzsequre
« Respuesta #1 en: Abril 27, 2016, 09:12:56 pm »
Muy buen trabajo, esta muy bien redactado y muy ameno a la lectura, felicidades..!!!


Saludos por alla y gracias.
El talento se parece al tirador que da en un blanco que los demás no pueden alcanzar; el genio se parece al tirador que da en un blanco que los demás no pueden ver.


 

¿Te gustó el post? COMPARTILO!



IPsec [Internet Protocol security]

Iniciado por $ad

Respuestas: 0
Vistas: 1836
Último mensaje Abril 23, 2010, 04:56:05 pm
por $ad
NetLearning: CCNA Security 640-553 (Español)

Iniciado por Aryenal.Bt

Respuestas: 0
Vistas: 3456
Último mensaje Agosto 01, 2013, 02:20:09 am
por Aryenal.Bt
[Tutorial] Configuracion de servidor DHCP ubuntu

Iniciado por $ad

Respuestas: 0
Vistas: 2034
Último mensaje Abril 23, 2010, 04:54:31 pm
por $ad
Comandos para la configuración de Routers y Switchs

Iniciado por HATI

Respuestas: 2
Vistas: 2764
Último mensaje Marzo 17, 2016, 06:47:52 am
por macodlim
Mikrotik - Configuración de Netflow con Ntopng (Monitor de Red)

Iniciado por xyz

Respuestas: 1
Vistas: 3171
Último mensaje Julio 08, 2019, 06:51:12 am
por horlick563