port security
DESCRIPTION
Seguridad en redesTRANSCRIPT
PORT SECURITY
Agenda
• INTRODUCCIÓN• ASPECTOS BÁSICOS• CONFIGURACIÓN DE PORT SECURITY • CONFIGURACIÓN DE AGING • MONITOREO DE PORT SECURITY
Introducción• Es de suma importancia respecto a la seguridad de las redes
LAN el control de quiénes pueden (y quiénes no) acceder a la red interna de la empresa.
• Situación a resolver -> Posibilidad de conectarse a la red utilizando cualquier ordenador instalado en el edificio.
• Surge una interrogante ¿Puede alguien sencillamente ingresar en el edificio, conectar una laptop a una boca disponible, y acceder a la red de la empresa?
• Recurso importante -> Deshabilitar aquellas bocas que no poseen en el momento una terminal de trabajo conectada.
• Surge otro problema -> Puede ocurrir que alguien desconecte una terminal de escritorio y conecte a esa boca su propia laptop o un hub (!No es poco frecuente¡).
Introducción• Esto se puede evitar implementando port-
security en los switches de acceso.
Aspectos Básicos• Port-security es un “feature” de los switches Cisco
que les permite retener las direcciones MAC conectadas a cada puerto del dispositivo y permitir solamente a esas direcciones MAC comunicarse a través de esa boca del switch
• Si un dispositivo con otra dirección MAC intenta
comunicarse a través de esa boca, port-security deshabilitará el puerto.
• Se puede implementar SNMP para recibir en el momento en el sistema de monitoreo la notificación correspondiente al bloqueo del puerto.
TAREA Nº1
¿QUÉ ES SNMP?.
Aspectos Básicos• Port-security es un “feature” de los switches Cisco
que les permite retener las direcciones MAC conectadas a cada puerto del dispositivo y permitir solamente a esas direcciones MAC comunicarse a través de esa boca del switch
• Si un dispositivo con otra dirección MAC intenta
comunicarse a través de esa boca, port-security deshabilitará el puerto.
• Se puede implementar SNMP para recibir en el momento en el sistema de monitoreo la notificación correspondiente al bloqueo del puerto.
Aspectos Básicos• Desventaja -> Necesario que el administrador de
red desbloquee el puerto. Pero se considera un inconveniente menor si se compara con los riesgos potenciales.
Configuración de Port-Security• El proceso de configuración requiere ingresar a la
configuración de interfaz en cuestión e ingresar el comando port-security.
Ejemplo:
Switch#configure terminal Switch(config)#interface fastethernet 0/1Switch(config-if)#switchport port-security ? aging Port-security aging comands mac-address Secure mac address maximun Max secure addresses violation Security violation mode
Switch(config-if)#switchport port-security
Configuración de Port-Security• Si se ingresa solamente el comando básico, se
asumen los valores por defecto: sólo se permite una dirección MAC en el puerto, que será la primera que se conecte al mismo, en caso de que otra dirección MAC intente conectarse utilizando esa misma boca, el puerto será deshabilitado
Configuración de Port-Security• Switchport port-security maximun [cantidad
MAC permitidas]
Permite definir el número de direcciones MAC que está permitido que se conecten a través de la interfaz del switch . El número máximo de direcciones permitidas por puerto es 132. Este comando limita la posibilidad de ataque por inundación de la tabla CAM del Switch.
TAREA Nº2• ¿ A qué se refiere con ataque por inundación
de la tabla CAM?
• ¿Qué es la tabla CAM?
Configuración de Port-Security• Switchport port-security violation [shutdown
restrict protect]
Establece la acción que tomará el switch en caso de que se supere el número de direcciones MAC que se establece en el comando anterior. Las opciones son desahbilitar el puerto, alertar al administrador o permitir exclusivamente el tráfico de
la MAC que se registró inicialmente.
Restrict: Una violación de seguridad de puerto restringe el dato y causa que el contador de violación de seguridad se incremente y envíe una notificación “SNMP trap”
Configuración de Port-Security• Switchport port-security violation [shutdown
restrict protect]
Shutdown: La interfaz entra en el estado error-deshabilitado cuando ocurre la violación
de puerto.
Cuando un puerto seguro está en el estado error-deshabilitado, se puede sacar de ese estado el comando de configuración global errdisable recovery cause psecure-violation o manualmente rehabilitando la interfaz ingresando el comando shutdown y luego el comando no shutdown en la interfaz respectiva.
Configuración de Port-Security• Switchport port-security mac-address [MAC
address]
Permite definir manualmente la dirección MAC que se permite Conectar a través de ese puerto, o dejar que la aprenda dinámicamente.
Configuración de Port-Security• Switchport port-security limit rate invalid-
source-mac
Coloca la tasa límite para paquetes incorrectos.
Configuración del envejecimiento (Aging) de Port-Security
Se puede utilizar el envejecimiento de la seguridad de puerto para colocar el tiempo de envejecimiento y el tipo de envejecimiento para todas las direcciones seguras en un puerto.
Utilice esta característica para remover y agregar PC en un puerto seguro sin tener que manualmente borrar las direcciones MAC seguras existentes mientras mantienen limitando el
número de direcciones seguras en el puerto.
Configuración del envejecimiento (Aging) de Port-Security
Paso 1:Switch(config)#interface identificador interfaz
Ingresa al modo de interfaz para el puerto en el cual se desea habilitar el envejecimiento de seguridad de puerto.
Paso 2: Switch(config-if)#switchport port-security [aging {static | time tiempo_envejecimiento | type {absolute | inactivity}}]
Static: Habilita el envejecimiento para direcciones seguras configuradas estáticamente en ese puerto o interfaz.
Time tiempo_envejecimiento: Especifica el tiempo de envejecimiento para este puerto. Rangos válidos para el tiempo de envejecimiento es de 0 a 1440 minutos. Si el tiempo es igual a 0, el envejecimiento está deshabilitado para ese puerto.
Configuración del envejecimiento (Aging) de Port-Security
Paso 2: Switch(config-if)#switchport port-security [aging {static | time tiempo_envejecimiento | type {absolute | inactivity}}]
Type: Coloca el tipo de envejecimiento como absolute o inactive. Para envejecimiento absolute, todas las direcciones seguras en este puerto se eliminan exactamente después del tiempo (minutos) especificados y son removidas de la lista de direcciones seguras. Para envejecimiento inactive, las direcciones seguras en este puerto solamente se eliminan si no hay tráfico de la dirección de seguridad para un periodo
específico de tiempo.
Verificación del envejecimiento (Aging) de Port-Security
Paso 3: Switch(config-if)#end
Vuelve a modo privilegiado
Paso 4: show port security [interface identificador_interfaz]
[dirección].
Configuración de Port-Security!WARNING¡
Este comando no debe ser configurado en un puerto troncal o de backbone, ya que por estos puertos circulan tramas con múltiples direcciones MAC diferentes de origen. Esto resultará en el bloqueo del puerto.
Monitoreo de Port-Security• Hay comandos específicos que permiten
monitorear el estado de los puertos que tienen implementado port-security:
Monitoreo de Port-SecuritySwitch#show port-security address Secure Mac Address Table_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _Vlan Mac Address Type Ports Remaining Age (mins)_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
1 0004.00d5.285d SecureDynamic Fa 0/18 -
Total Address in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port): 1024
Monitoreo de Port-SecuritySwitch#show port-security interface fa0/18
Port Security : EnabledPort Status : Secure-upViolation Mode : Shutdown Aging Time : 0 minsAging Type : Absolute SecureStatic Address Aging : DisabledMaximun MAC Addresses : 1Total MAC Addresses : 1Configured MAC Addresses : 0Sticky MAC Addresses : 0 Last Source Address : 0004.00d5.285dSecurity Violation Count : 0