Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Port Security

    Cargado por

    ablascol
    120 vistas4 páginas
    Este documento describe cómo configurar la seguridad de puertos en un switch para restringir el acceso a una sola dirección MAC por puerto. Explica cómo habilitar la seguridad de puertos, establecer un límite máximo de direcciones MAC, y especificar las acciones ante una violación. También cubre cómo aprender direcciones MAC de forma dinámica y hacerlas persistentes.

    Descripción original:

    Cisco training

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Este documento describe cómo configurar la seguridad de puertos en un switch para restringir el acceso a una sola dirección MAC por puerto. Explica cómo habilitar la seguridad de puertos, establecer un límite máximo de direcciones MAC, y especificar las acciones ante una violación. También cubre cómo aprender direcciones MAC de forma dinámica y hacerlas persistentes.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    120 vistas4 páginas

    Port Security

    Cargado por

    ablascol
    Este documento describe cómo configurar la seguridad de puertos en un switch para restringir el acceso a una sola dirección MAC por puerto. Explica cómo habilitar la seguridad de puertos, establecer un límite máximo de direcciones MAC, y especificar las acciones ante una violación. También cubre cómo aprender direcciones MAC de forma dinámica y hacerlas persistentes.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 4

    Seguridad en los Puertos:

    - Permite a los administradores especificar las direcciones MAC permitidas en un puerto determinado.
    - Permite al switch aprender de forma dinámica un número limitado de direcciones MAC.

    Configuración:

    - S(config)#int + (tipo/nº)
    - S(config-if)#swichport mode + (modo) -> (trunk o access: si no hay un modo configurado el switch está
    configurado como dinámico y no se puede habilitar la seguridad).
    - S(config-if)#switchport port-security
    - S(config-if)# switchport port-security + maximum + (nº de macs permitidas) -> (nº máximo de MACs permitidas,
    entre 1 – 132 MACs)
    - S(config-if)# switchport port-security + mac-address sticky -> (habilita el aprendizaje por resistencia)
    - S(config-if)# switchport port-security + violation + (tipo de violación)

    - Sticky: convertimos las MAC dinámicas en seguras persistentes, de esta forma se agregan a la configuración en
    ejecución. Las MAC dinámicas se almacenan en la tabla de direcciones MAC y se pierden cuando se reinicia al
    switch.

    - Para eliminar la restricción de nº máximo de MACs primero hay que borrar switchport portsecurity en la interfaz,
    después realizar un reload, reconfigurar las caracteristicas de seguridad del puerto y levantarlo
    - S(config)#int + (tipo/nº)
    - S(config-if)#no switchport port-security
    - S(config-if)#end
    - S#reload
    - S#conf term
    - S(conf)#int + (tipo/nº)
    - S(config-if)#switchport port-security
    - << continuar con la configuración de seguridad del puerto>>
    - S(config-if)#no shut

    Nivel de violación:

    - Protect: sólo se permite el tráfico de la cantidad de MACs permitidas en la configuración descartando el resto.
    No informa sobre la intrusión.
    - Restrict: cuando la cantidad de direcciones MAC seguras alcanza el limite permitido para el puerto. En este caso
    se envía una notificación de que se ha producido una violación.
    - Shutdown: una violación de seguridad de puerto produce que se inhabilite el puerto. Para levantar un puerto
    caído después de este tipo de violación hay que entrar en el interface hacer un shutdown y después no
    shutdown.

    MAC´s Seguras persistentes:

    - Descubiertas dinámicamente, se almacenan en el running-config.


    - Se eliminan del running-config cuando se inhabilita la seguridad de puerto.
    - Se pierden cuando se reinicia el switch.
    - Si se guardan en el startup-config se vuelven permanentes.
    - Si se elimina el aprendizaje por persistencia las direcciones MAC se convierten en dinámicas y se eliminan del
    running-config.

    Borrar/ eliminar las MAC:


    - s#clear port-security all -> (todas las MACs).
    - s#clear port-security configured -> (todas las MACs estáticas).
    - s#clear port-security dynamic -> (todas las MACs dinámicas).
    - s#clear port-security sticky -> (todas las MACs sticky).

    Verificaciones:

    - S#sh port-security address


    - S#sh ru
    - S#sh port-security int tipo/ nº
    - S#sh port-security

    Ejercicio:
    Realizar configuraciones de tal manera que solo un equipo por puerto de switch se pueda conectar:

    1. Laptop1: 192.168.0.1/24
    2. Laptop2: 192.168.0.2/24
    3. Laptop3: 192.168.0.3/24

    Switch1
    - Configurar en interface FastEthernet0/23:
    Puerto en modo acceso
    Configurar port-security en la interface
    Restringir para solo acceso a mac-address 0003.E4EE.E796
    Permitir solo 1 mac
    Si se produce la violación realizar shutdown en la interface

    - Configurar en interface FastEthernet0/24:


    Puerto en modo acceso
    Configurar port-security en la interface
    Permitir solo 1 mac
    Si se produce la violación realizar shutdown en la interface
    Que aprenda la primera MAC (Comando sticky)

    Pruebas:
    - Conectar Laptop 1 a Hub
    - Verificar que int f0/24 aprendió mac de Laptop 1 (usar comando "sho run")
    - Conectar Laptop 2 a Hub y verificar que int f0/24 se fue a shutdown
    - Cambiar MAC a Laptop3 y verificar que int f0/23 se va a shutdown.
    Switch1>en
    Switch1#conf term
    Enter configuration commands, one per line. End with CNTL/Z.
    Switch1(config)#int f0/23
    Switch1(config-if)#switchport mode access -> para que funcione debe estar en modo trunk o access
    Switch1(config-if)#switchport port-security
    Switch1(config-if)#switchport port-security mac-address 0003.e4ee.e796 -> solo se autoriza el acceso al equipo conectado con esta mac.
    Switch1(config-if)#switchport port-security maximum 1
    Switch1(config-if)#switchport port-security violation shutdown -> si hay una violación tira el puerto abajo, para recuperarlo hay que hacer un
    shutdown y después no shutdown en el puerto
    Switch1(config-if)#exit

    Switch1(config)#int f0/24
    Switch1(config-if)#switchport mode access
    Switch1(config-if)#switchport port-security
    Switch1(config-if)#switchport port-security maximum 1
    Switch1(config-if)#switchport port-security violation shutdown
    Switch1(config-if)#switchport port-security mac-address sticky -> con el comando sticky se memoriza la mac y se mantiene incluso se se
    reinicia el sistema
    Switch1(config-if)#end
    Switch1#
    %SYS-5-CONFIG_I: Configured from console by console

    Switch1#wr

    Switch1#sh ru

    interface FastEthernet0/23

    switchport mode access


    switchport port-security
    switchport port-security mac-address 0003.E4EE.E796
    !
    interface FastEthernet0/24
    switchport mode access
    switchport port-security
    switchport port-security mac-address sticky
    switchport port-security mac-address sticky 00D0.BC8A.168B -> ha aprendido la mac

    En este momento se conecta al Hub el PC2 y se observa como tira el puerto f0/24 abajo porque tenemos configurada la violación en shutdown
    si se detecta más de una mac conectada al puerto.

    %LINK-5-CHANGED: Interface FastEthernet0/24, changed state to administratively down

    %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to down

    Para recuperar el puerto f0/24 tenemos que pasarlo a shutdown y después a no shutdown.

    Switch1(config)#int f0/24
    Switch1(config-if)#shut

    %LINK-5-CHANGED: Interface FastEthernet0/24, changed state to administratively down


    Switch1(config-if)#no shut

    Switch1(config-if)#
    %LINK-5-CHANGED: Interface FastEthernet0/24, changed state to up

    %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to up


    En el puerto f0/24 solo se podrá conectar un dispositivo, sí se conectara otro y debido a que la violación está configurada en shutdown el
    puerto se vendría abajo.

    Sí quisieramos conectar otro dispositivo distinto habría que borrar la configuración de seguridad del puerto primero y después hacer un
    reload, volver a configurar el puerto a los valores deseados y levantarlo, en este momento se ha borrado la mac antigua y está en disposición
    de memorizar una mac nueva.

    Si conectara los PCs 1 y 2 al hub y realizara un ping al PC3 solo me devolvería los paquetes del ping realizado desde el dispositivo desde donde
    se hiciera primero el ping, es decir si lanzó el ping desde PC2 a PC3 y después desde PC1 a PC3 solo se acusaría el ping de PC2. Esto ocurre
    porque le hemos configurado una restricción de un máximo de una mac.

    También podría gustarte