Cisco

Seguridad de puertos de switch Cisco

Un método simple para contribuir a la seguridad de la red ante accesos no autorizados es inhabilitar todos los puertos del switch que no se utilizan.

S1(config)#interface range gigabitEthernet 0/1-2
S1(config-if-range)#shutdown

S1(config)#interface range fastEthernet 0/3-24
S1(config-if-range)#shutdown

Ahora si hacemos un show running-config debería aparecer
interface FastEthernet0/23
shutdown
!
interface FastEthernet0/24
shutdown
!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
shutdown

Seguridad de puertos

La seguridad de puerto limita la cantidad de direcciones MAC válidas permitidas en el puerto. Se permite el acceso a las direcciones MAC de los dispositivos legítimos, mientras que otras direcciones MAC se rechazan. La seguridad de puertos se puede configurar para permitir una o más direcciones MAC.

Existen varias maneras de configurar la seguridad de puerto. El tipo de dirección segura se basa en la configuración e incluye lo siguiente:

  • Direcciones MAC seguras estáticas: son direcciones MAC que se configuran manualmente en un puerto mediante el comando switchport port-security mac-address dirección-mac (comando del modo de configuración de interfaz) Las direcciones MAC configuradas de esta forma se almacenan en la tabla de direcciones y se agregan a la configuración en ejecución del switch.
  • Direcciones MAC seguras dinámicas: son direcciones MAC detectadas dinámicamente y se almacenan solamente en la tabla de direcciones. Las direcciones MAC configuradas de esta manera se eliminan cuando el switch se reinicia.
  • Direcciones MAC seguras persistentes: son direcciones MAC que pueden detectarse de forma dinámica o configurarse de forma manual, y que después se almacenan en la tabla de direcciones y se agregan a la configuración en ejecución. Para configurar una interfaz a fin de convertir las direcciones MAC detectadas dinámicamente en direcciones MAC seguras persistentes y agregarlas a la configuración en ejecución, debe habilitar el aprendizaje por persistencia. El aprendizaje por persistencia se habilita en una interfaz mediante el comando switchport port-security mac-address sticky del modo de configuración de interfaz. Las direcciones MAC seguras persistentes también se pueden definir manualmente. Cuando se configuran las direcciones MAC seguras persistentes con el comando de configuración de interfaz switchport port-security mac-address sticky dirección-mac todas las direcciones especificadas se agregan a la tabla de direcciones y a la configuración en ejecución. Si se inhabilita el aprendizaje por persistencia mediante el comando no switchport port-security mac-address sticky del modo de configuración de interfaz, las direcciones MAC seguras persistentes siguen formando parte de la tabla de direcciones, pero se eliminan de la configuración en ejecución. La introducción del comando switchport port-security establece la cantidad máxima de direcciones MAC en 1 y la acción de violación en shutdown.
S1(config)#interface fastEthernet 0/1
S1(config-if)#shutdown
S1(config-if)#switchport mode access
S1(config-if)#switchport port-security
S1(config-if)#switchport port-security maximum 2
S1(config-if)#switchport port-security mac-address sticky
S1(config-if)#no shutdown
S1(config-if)#exit
Modos de violación de seguridad

Se puede configurar una interfaz para uno de tres modos de violación, con la acción específica que se debe realizar si se produce una violación.

  • Protect (Proteger): cuando la cantidad de direcciones MAC seguras alcanza el límite permitido para el puerto, los paquetes con direcciones de origen desconocidas se descartan hasta que se elimine una cantidad suficiente de direcciones MAC seguras o se aumente la cantidad máxima de direcciones permitidas. No hay ninguna notificación de que se produjo una violación de seguridad.
  • Restrict (Restringir): cuando la cantidad de direcciones MAC seguras alcanza el límite permitido para el puerto, los paquetes con direcciones de origen desconocidas se descartan hasta que se elimine una cantidad suficiente de direcciones MAC seguras o se aumente la cantidad máxima de direcciones permitidas. En este modo, hay una notificación de que se produjo una violación de seguridad.
  • Shutdown (Desactivar): en este modo (predeterminado), una violación de seguridad de puerto produce que la interfaz se inhabilite de inmediato por errores y que se apague el LED del puerto. Aumenta el contador de violaciones. Cuando un puerto seguro está en el estado inhabilitado por errores, se lo puede sacar de este estado si se introduce el comando de modo de configuración de interfaz shutdown seguido por el comando no shutdown.

Para cambiar el modo de violación en un puerto de switch, use el comando del modo de configuración de interfaz switchport port-security violation {protect | restrict | shutdown}.

S1(config)#interface fastEthernet 0/1
S1(config-if)#switchport port-security violation restrict
S1(config-if)#exit

Verificar los parámetros de seguridad de puerto

Para mostrar la configuración de seguridad de puertos para el switch o la interfaz especificada, use el comando show port-security interface [id-interfaz]. También show port-security o show port-security address.

S1#show port-security interface fastEthernet 0/2
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Restrict
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address:Vlan : 0001.647C.697E:1
Security Violation Count : 0

Para mostrar todas las direcciones MAC seguras configuradas en todas las interfaces del switch o en una interfaz especificada con la información de vencimiento para cada una, use el comando show port-security address.

Cuando se configura un puerto con seguridad de puertos, una violación puede provocar que el puerto se inhabilite por errores. Cuando un puerto se inhabilita por errores, se desactiva eficazmente, y no se envía ni se recibe tráfico en ese puerto. El estado del enlace y del protocolo del puerto cambia a down (inactivo).

El LED del puerto se apagará. El comando show interfaces identifica el estado del puerto como err-disabled. El resultado del comando show port-security interface ahora muestra el estado del puerto como secure-shutdown. Debido a que el modo de violación de seguridad de puertos está establecido en shutdown, el puerto que experimenta la violación de seguridad pasa al estado de inhabilitación por errores.

El administrador debe determinar la causa de la violación de seguridad antes de volver a habilitar el puerto. Si hay un dispositivo no autorizado conectado a un puerto seguro, el puerto no se debe volver a habilitar hasta que se elimine la amenaza de seguridad. Para volver a habilitar el puerto, use el comando shutdown del modo de configuración de interfaz. Luego, use el comando no shutdown del modo de configuración de interfaz para que el puerto funcione.