Scribd Logo
Importer

Bienvenue sur Scribd !

  • Seguridad Por Puerto

    Transféré par

    Emanuel Gs
    18 vues4 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    DOCX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    18 vues4 pages

    Seguridad Por Puerto

    Transféré par

    Emanuel Gs

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 4

    Implementando port-security en los switches de acceso

    Fundamentos:


    Conjunto de medidas de seguridad a nivel de puertos disponibles en la mayora de los
    switchs de gama media y alta, la funciones provistas dependen de la marca, el modelo
    y la versin de firmware del switch en cuestin.

    Es as que Port Security es un feature (rasgo) de los switches Cisco que nos permite
    retener las direcciones MAC conectadas a cada puerto del dispositivo o switch y
    permitir solamente a esas direcciones MAC registradas comunicarse a travs de ese
    puerto del switch.

    Que nos permite restringir entre otras cosas?
    Restringir el acceso a los puertos del switch segn la MAC.
    Restringir el numero de MACs por puerto en el switch.
    Reaccionar de diferentes maneras a violaciones de las restricciones anteriores.
    Establecer la duracin de las asociaciones MAC-Puerto.
    Si un dispositivo con otra direccin MAC intenta comunicarse a travs de un puerto de
    la LAN, port-security deshabilitar el puerto. Incluso se puede implementar SNMP(ver
    definiciones) para recibir al momento en el sistema de monitoreo la notificacin
    correspondiente al bloqueo del puerto.
    Configuracin de Port-Security:
    El proceso de configuracin requiere ingresar a la configuracin de la interfaz en
    cuestin e ingresar el comando port-security. Ejemplo (para nuestros ejemplos vamos
    a tomar el puerto 15 del switch:

    Switch)#config ter
    Switch(config)#int fa0/15
    Switch(config-if)#switchport port-security ?
    ..aging.........Port-security aging commands
    ..mac-address...Secure mac address
    ..maximum.......Max secure addresses
    ..violation.....Security violation mode
    Switch(config-if)# switchport port-security
    Si se ingresa solamente el comando bsico, se asumen los valores por defecto: solo
    permite una direccin MAC en el puerto, que ser la primera que se conecte al mismo,
    en caso de que otra direccin MAC intente conectarse utilizando el mismo puerto, este
    ser deshabilitado o bloqueado. Claro esta que todos estos parmetros son
    modificables:
    Switch(config-ig)#switchport port-security maximum [cantidad de MAC permitidas]
    Esta opcin permite definir el nmero de direcciones MAC que est permitido que se
    conecten a travs de la interfaz del swtich. El nmero mximo de direcciones
    permitidas por puerto va desde 1 a 132. Es importante tener presente que este feature
    (rasgo) tambin limita la posibilidad de un ataque de seguridad por inundacin de la
    tabla CAM (ver definiciones) del switch. El siguiente ejemplo ilustra la configuracin del
    puerto 15 y que solo acepte hasta 10 direcciones MAC mximas posibles:
    Switch(config)#interface FastEthernet 0/15
    (Dentro del modo configuracin de interface del puerto a configurar)
    Switch(config-if)# switchport mode access
    Switch(config-if)# switchport port-securitySwitch(config-if)#switchport port-security
    maximum 10
    Switch(config-if)# switchport port-security violation [shutdown restrict protect]
    Este comando establece la accin que tomar el switch en caso de que se supere el
    nmero de direcciones MAC que se establece con el comando anterior. Las opciones
    son deshabilitar el puerto, alertar al Administrador de la Red o permitir exclusivamente
    el trfico de la MAC que se registr inicialmente.
    En el siguiente ejemplo trabajando con el puerto 15 del switch, podemos especificar
    qu hacer si ese nmero de direcciones MAC es superado (por default deshabilitar el
    puerto
    Switch(config)#interface FastEthernet 0/15
    Que deje de prender:
    Switch(config-if)# switchport port-security violation protect
    Que enve una alerta administrativa:
    Switch(config-if)# switchport port-security violation restrict
    Que desabilite el Puerto del switch:
    Switch(config-if)# switchport port-security violation shutdown
    Posterior al haber deshabilitado el puerto del switch, este se puede volver habilitar con
    el siguiente comando previa autorizacin del Administrador de la Red:
    Switch(config-if)# switchport port-security mac-address
    Switch(config-if)# shutdown
    Switch(config-if)# no shutdown
    switchport port-security mac-address [MAC address]
    Esta opcin permite definir manualmente la direccin MAC que se permite conectar a
    travs de ese puerto, o dejar que la aprenda dinmicamente varias direcciones MAC.
    Ejemplo:
    Switch(config)#interface FastEthernet 0/15
    (Dentro del modo configuracin de interface del puerto a configurar)
    Switch(config-if)# switchport port-security mac-address sticky (esta opcion leera y
    aprendera la primera mac-address que se conecte)

    Switch(config-if)# switchport port-security mac-address xxxx.xxxx.xxxx (este
    comando te permitira definir una mac-address estatica) es decir:
    1. Con la primera lnea de comando le digo que agregue las MACs que va
    aprendiendo a la lista de MACs seguras.
    2. Con la segunda linea de comando, que agregue la MAC 00:0a:5e:5a:18:1b a la
    lista de MACs seguras.
    3. Si no agrego una segunda MAC, la primera MAC que escuche distinta a
    00:0a:5e:5a:18:1b ser agregada a la lista de MACs seguras.

    Atencin..! Este comando no debe ser configurado en un puerto troncal o de
    backbone, ya que por estos puertos circulan tramas con mltiples direcciones MAC,
    diferentes de origen. Esto dara como resultara el bloqueo del puerto.

    El monitoreo de este feature (rasgo):
    Hay comandos especficos que permiten monitorear el estado de los puertos que tienen
    implementado port-security, Ejemplo:
    Switch# show port-security address
    ......Secure Mac Address Table
    ---------------------------------------------------------
    Vlan..Mac Address....Type..........Ports..Remaining Age
    ..............................................(mins)
    ----..-----------....----..........-----..-------------
    1....xxxx.xxxx.xxxx..SecureDynamic Fa0/15.......
    -----------------------------------------------------------
    Total Addresses in System (excluding one mac per port).....:.0
    Max Addresses limit in System (excluding one mac per port) : 1024
    Switch# show port-security interface fa0/15
    Port Security.....................: EnabledPort
    Status.......................: Secure-up
    Violation Mode....................: Shutdown
    Aging Time........................: 0 mins
    Aging Type........................: Absolute
    SecureStatic Address Aging........: Disabled
    Maximum MAC Addresses.............: 1
    Total MAC Addresses...............: 1
    Configured MAC Addresses..........: 0
    Sticky MAC Addresses..............: 0
    Last Source Address...............: xxxx.xxxx.xxxx
    Security Violation Count..........: 0
    Switch#

    Vous aimerez peut-être aussi