PORT SECURITY

Agenda
INTRODUCCIN ASPECTOS BSICOS CONFIGURACIN DE PORT SECURITY CONFIGURACIN DE AGING MONITOREO DE PORT SECURITY

Introduccin
Es de suma importancia respecto a la seguridad de las redes LAN el control de quines pueden (y quines no) acceder a la red interna de la empresa.
Situacin a resolver -> Posibilidad de conectarse a la red utilizando cualquier ordenador instalado en el edificio. Surge una interrogante Puede alguien sencillamente ingresar en el edificio, conectar una laptop a una boca disponible, y acceder a la red de la empresa? Recurso importante -> Deshabilitar aquellas bocas que no poseen en el momento una terminal de trabajo conectada. Surge otro problema -> Puede ocurrir que alguien desconecte una terminal de escritorio y conecte a esa boca su propia laptop o un hub (!No es poco frecuente).

Introduccin
Esto se puede evitar implementando portsecurity en los switches de acceso.

Aspectos Bsicos
Port-security es un feature de los switches Cisco que les permite retener las direcciones MAC conectadas a cada puerto del dispositivo y permitir solamente a esas direcciones MAC comunicarse a travs de esa boca del switch
Si un dispositivo con otra direccin MAC intenta comunicarse a travs de esa boca, port-security deshabilitar el puerto. Se puede implementar SNMP para recibir en el momento en el sistema de monitoreo la notificacin correspondiente al bloqueo del puerto.

TAREA N1

QU ES SNMP?.

Aspectos Bsicos
Port-security es un feature de los switches Cisco que les permite retener las direcciones MAC conectadas a cada puerto del dispositivo y permitir solamente a esas direcciones MAC comunicarse a travs de esa boca del switch
Si un dispositivo con otra direccin MAC intenta comunicarse a travs de esa boca, port-security deshabilitar el puerto. Se puede implementar SNMP para recibir en el momento en el sistema de monitoreo la notificacin correspondiente al bloqueo del puerto.

Aspectos Bsicos
Desventaja -> Necesario que el administrador de red desbloquee el puerto. Pero se considera un inconveniente menor si se compara con los riesgos potenciales.

Configuracin de Port-Security
El proceso de configuracin requiere ingresar a la configuracin de interfaz en cuestin e ingresar el comando port-security.
Ejemplo: Switch#configure terminal Switch(config)#interface fastethernet 0/1 Switch(config-if)#switchport port-security ? aging Port-security aging comands mac-address Secure mac address maximun Max secure addresses violation Security violation mode Switch(config-if)#switchport port-security

Configuracin de Port-Security
Si se ingresa solamente el comando bsico, se asumen los valores por defecto: slo se permite una direccin MAC en el puerto, que ser la primera que se conecte al mismo, en caso de que otra direccin MAC intente conectarse utilizando esa misma boca, el puerto ser deshabilitado

Configuracin de Port-Security
Switchport port-security maximun [cantidad MAC permitidas]
Permite definir el nmero de direcciones MAC que est permitido que se conecten a travs de la interfaz del switch . El nmero mximo de direcciones permitidas por puerto es 132. Este comando limita la posibilidad de ataque por inundacin de la tabla CAM del Switch.

TAREA N2
A qu se refiere con ataque por inundacin de la tabla CAM?
Qu es la tabla CAM?

Configuracin de Port-Security
Switchport port-security violation [shutdown restrict protect]
Establece la accin que tomar el switch en caso de que se supere el nmero de direcciones MAC que se establece en el comando anterior. Las opciones son desahbilitar el puerto, alertar al administrador o permitir exclusivamente el trfico de la MAC que se registr inicialmente. Restrict: Una violacin de seguridad de puerto restringe el dato y causa que el contador de violacin de seguridad se incremente y enve una notificacin SNMP trap

Configuracin de Port-Security
Switchport port-security violation [shutdown restrict protect]
Shutdown: La interfaz entra en el estado error-deshabilitado cuando ocurre la violacin de puerto. Cuando un puerto seguro est en el estado error-deshabilitado, se puede sacar de ese estado el comando de configuracin global errdisable recovery cause psecure-violation o manualmente rehabilitando la interfaz ingresando el comando shutdown y luego el comando no shutdown en la interfaz respectiva.

Configuracin de Port-Security
Switchport port-security mac-address [MAC address]
Permite definir manualmente la direccin MAC que se permite Conectar a travs de ese puerto, o dejar que la aprenda dinmicamente.

Configuracin de Port-Security
Switchport port-security limit rate invalidsource-mac
Coloca la tasa lmite para paquetes incorrectos.

Configuracin del envejecimiento (Aging) de Port-Security

Se puede utilizar el envejecimiento de la seguridad de puerto para colocar el tiempo de envejecimiento y el tipo de envejecimiento para todas las direcciones seguras en un puerto. Utilice esta caracterstica para remover y agregar PC en un puerto seguro sin tener que manualmente borrar las direcciones MAC seguras existentes mientras mantienen limitando el

nmero de direcciones seguras en el puerto.

Configuracin del envejecimiento (Aging) de Port-Security

Paso 1:Switch(config)#interface identificador interfaz Ingresa al modo de interfaz para el puerto en el cual se desea habilitar el envejecimiento de seguridad de puerto. Paso 2: Switch(config-if)#switchport port-security [aging {static | time tiempo_envejecimiento | type {absolute | inactivity}}]

Static: Habilita el envejecimiento para direcciones seguras configuradas estticamente en ese puerto o interfaz.
Time tiempo_envejecimiento: Especifica el tiempo de envejecimiento para este puerto. Rangos vlidos para el tiempo de envejecimiento es de 0 a 1440 minutos. Si el tiempo es igual a 0, el envejecimiento est deshabilitado para ese puerto.

Configuracin del envejecimiento (Aging) de Port-Security

Paso 2: Switch(config-if)#switchport port-security [aging {static | time tiempo_envejecimiento | type {absolute | inactivity}}]
Type: Coloca el tipo de envejecimiento como absolute o inactive. Para envejecimiento absolute, todas las direcciones seguras en este puerto se eliminan exactamente despus del tiempo (minutos) especificados y son removidas de la lista de direcciones seguras. Para envejecimiento inactive, las direcciones seguras en este puerto solamente se eliminan si no hay trfico de la direccin de seguridad para un periodo especfico de tiempo.

Verificacin del envejecimiento (Aging) de Port-Security

Paso 3: Switch(config-if)#end
Vuelve a modo privilegiado

Paso 4: show port security [interface identificador_interfaz]

[direccin].

Configuracin de Port-Security !WARNING

Este comando no debe ser configurado en un puerto troncal o de backbone, ya que por estos puertos circulan tramas con mltiples direcciones MAC diferentes de origen. Esto resultar en el bloqueo del puerto.

Monitoreo de Port-Security
Hay comandos especficos que permiten monitorear el estado de los puertos que tienen implementado port-security:

Monitoreo de Port-Security
Switch#show port-security address Secure Mac Address Table _________________________ Vlan Mac Address Type Ports Remaining Age (mins) __ _______ ___ ____ _______
1 0004.00d5.285d SecureDynamic Fa 0/18 -

Total Address in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port): 1024

Monitoreo de Port-Security
Switch#show port-security interface fa0/18
Port Security Port Status Violation Mode Aging Time Aging Type SecureStatic Address Aging Maximun MAC Addresses Total MAC Addresses Configured MAC Addresses Sticky MAC Addresses Last Source Address Security Violation Count : Enabled : Secure-up : Shutdown : 0 mins : Absolute : Disabled :1 :1 :0 :0 : 0004.00d5.285d :0