jueves, 25 de septiembre de 2014

Seguridad en los puertos del Switch  (Port Security )

Port security reduce la exposicion a ataques , en el que el atacante se conecta directamente a algun puerto del switch.  Cuando el dispositivo intenta enviar algún tipo de trafico  , el Switch puede tomar diferentes acciones , por defecto el Switch apagara el puerto.

Port Security identifica el dispositivo basado en la dirección MAC.

Port Security no tiene restricción  si el paquete viene local o ha sido reenviado por otros dispositivos.



 

Basado en el ejemplo anterior , si tengo habilitado port-security en el Puerto FA0/24  del switch1 puedo verificar la MAC address de PC0 cuando se envia por el switch 0



Port-security es muy flexible pero todas las opciones usan el mismo principio.

 Primero el Switch habilita port security en el puerto , cada puerto tiene un numero máximo de direcciones MAC permitidas, Si se excede este maximo de direcciones MAC permitidas el puerto se bloquea o se apaga.


Port security tiene 3 opciones principales:

·         Definir un maximo de direcciones MAC permitidas.
·         Definir la direccion MAC enganchada al Puerto de manera estatica o dinamica
·         Definir la acción a tomar apagar/ restringir / proteger  


Puede sonar grandiosa la idea de permitir acceso a mi red con  por dirección MAC, pero buscar la dirección MAC de todos los dispositivos de la red puede ser frustrante. 

 Port security tiene una función que fácilita esta labor  llamada “Sticky secure MAC address” , implementando esto el puerto aprende la MAC del dispositivo dinámicamente.

Nota: Port security no guarda la configuración de las direcciones MAC aprendidas dinámicamente.

Cuando ocurre una violacion del Puerto, la interface pasa al modo de “err-disabled” el cual detiene por completo el traffico en el puerto.

Para recobrar el Puerto el administrador debe manualmente deshabilitar la interface “shutdown” y prenderla de nuevo “no shutdown”

Ejemplo de configuracion de port security

interface FastEthernet0/2
 switchport mode access
 switchport port-security
switchport port-security  maximium 2
 switchport port-security mac-address 0060.2F65.C17A

o

interface FastEthernet0/2
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky


Switch#show port-security interface fastEthernet 0/2
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 0
Last Source Address:Vlan   : 0000.0000.0000:0
Security Violation Count   : 0

Espero sea de ayuda

-Randy -


Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)