02

¿Cómo Implementar Port Security?

Port Security se basa en crear una política de Seguridad de capa 2, es decir, tendremos en cuenta la dirección MAC de los dispositivos, para evitar conexiones no deseadas a los equipos o puertos en cuestión ejecutando una acción en el momento que esta violación de seguridad ocurra.

La activación de Port Security se debe realizar a nivel de interfaz y, para ello, deberemos deshabilitar el modo “dynamic auto” que viene configurado por defecto en todos los puertos de un switch y configurar estos puertos como “access” o “trunk” dependiendo de las necesidades de nuestra red.

Vamos a realizar un ejemplo sencillo para que se pueda ver su funcionamiento. Veamos un escenario donde tengamos un switch y un PC directamente conectados.

port-security 1

Configuraremos port-security en la interfaz fa0/1 del switch que es donde está conectado el PC y permitiremos única y exclusivamente la dirección MAC de ese PC.

Por lo tanto, entraremos a la interfaz donde queremos habilitar port-security y configuraremos dicha interfaz como “access”.

Switch#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport mode access

Una vez tengamos esto configurado, deberemos habilitar port-security y empezar a configurar sus características ya que, por defecto, viene deshabilitado. En este caso, como hemos dicho, configuraremos que solo permita el acceso de una única dirección MAC.

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security maximum 1

Ahora, llega el momento de configurar el tipo de acción que querremos que ocurra cuando nuestro switch detecte una violación de seguridad. Veamos los diferentes modos que tenemos:

Switch(config-if)#switchport port-security violation ?

protect Security violation protect mode

restrict Security violation restrict mode

shutdown Security violation shutdown mode

Como veis, utilizando el “?” para que nos muestre las diferentes opciones que podemos elegir, el switch nos muestra:

  • Protect: sólo se permite tráfico de las MAC permitidas en la configuración descartando el tráfico del resto, no se notifica sobre la intrusión.
  • Restrict: se envía una notificación SNMP al administrador y el tráfico del puerto se permite únicamente a las MAC especificadas, del resto se descarta.
  • Shutdown: el puerto se deshabilita.

En este ejemplo vamos a configurar la opción “shutdown“, para que, en el momento que detecte una violación de seguridad, el puerto quede deshabilitado completamente. Por lo tanto, vamos a configurarlo como “shutdown” y vamos a indicarle al switch que dirección MAC queremos permitir.

Switch(config-if)#switchport port-security violation shutdown

Switch(config-if)#switchport port-security mac-address 0090.21B4.6498

La detección de la dirección MAC permitida, se puede configurar de varios modos. En este caso hemos utilizado la manual ya que solo tenemos un dispositivo conectado y no lleva mucho trabajo configurar esa sola dirección. Los modos de detección de dirección MAC son:

  • Dynamic: configuramos el número de MACs que podrán accede al mismo tiempo sin indicar las MACs específicamente.
  • Static: configuramos específicamente la o las MACs que queremos que puedan acceder.
  • Combination: una mezcla de dynamic y static donde configuraremos el número de MACs que podrán acceder pero indicaremos alguna o todas las MACs que queremos que puedan acceder específicamente.
  • Sticky learning: aprende la dirección MAC cuando te conectas y la configurara en el dispositivo como si la hubiéramos puesto de modo static.

Llegados a este punto, ya tenemos configurado nuestro port-security básico para permitir la conexión de ese dispositivo en cuestión. Ahora, que pasaría si colocáramos un switch nuevo entre el PC0 y el switch y conectáramos un nuevo PC a el primer switch para tener conexión en ese nuevo PC?

Opción a) permitiría la conexión del nuevo PC hacia ese primer switch.

Opción b) deshabilitaría el puerto fa0/1 donde hemos configurado port-security.

¡Correcto! Todos aquellos que hayáis pensado en la opción b) estáis en lo cierto, ya que, en ese momento, tendremos 3 direcciones MACs conectadas al switch y de estas, solo estamos permitiendo la del PC0 original. El escenario nos quedaría de la siguiente manera:

port-security 2

Como vemos, tenemos la conexión entre switches deshabilitada, con lo que, hemos perdido conexión a nuestra red. Si queremos monitorear el comportamiento que ha tenido el switch al detectar esta violación de seguridad, podemos utilizar los siguientes comandos y obtendremos los siguientes outputs:

Switch#show port-security interface fastEthernet 0/1

Port Security: Enabled

Port Status: Secure-shutdown

Violation Mode: Shutdown

Aging Time: 0 mins

Aging Type: Absolute

SecureStatic Address Aging: Disabled

Maximum MAC Addresses: 1

Total MAC Addresses: 1

Configured MAC Addresses: 1

Sticky MAC Addresses: 0

Last Source Address:Vlan: 0002.16D6.9403:1

Security Violation Count: 1

Como veis tenemos un contador que especifica el número de veces que se ha producido una violación de la política de seguridad, indicando también la última MAC de origen conectada al puerto.

Si quisiéramos permitir la conectividad total en ese nuevo escenario, deberíamos permitir las direcciones MAC del switch3 y del PC1 y aumentar el máximo de conexiones permitidas hasta 3 como mínimo.

0 comentarios

Escribe tu comentario

Want to join the discussion?
Feel free to contribute!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

WP-SpamFree by Pole Position Marketing