Bloquear acceso Switch según la MAC

Posted on Actualizado enn

En esta entrada,  vamos a reflexionar acerca la seguridad de los puertos switches, en concreto acerca el bloqueo de un puerto switch según su MAC y como habilitar nuevamente el puerto en caso de bloqueo.

Estos bloqueos se usan para limitar el numero de dispositivos que se pueden conectar a un puerto de switch.

Esto nos aporta seguridad al puerto impidiendo que se conecten dispositivos no deseados. De esa manera aportamos mucha seguridad a los puertos de acceso de nuestro switch.

Las restricciones pueden ser varias, pero en esta entrada vamos a ver

  1. Restricciones por número de MAC’s conectadas.
  2. Restricciones permitiendo acceso únicamente a una MAC
  3. Seguridad en puerto con dirección MAC “Sticky”
  4. Acciones que podemos realizar
  5. Como reactivar un puerto
  6. Ver las MaC’s conectadas al Switch

Para mas restricciones, véase documento de CISCO acerca seguridad en los puertos de switches

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX/configuration/guide/book/port_sec.pdf

bloqueo_mac

[imagen que te envío por correo. tiene 1 switch y dos equipos]

Estos son los comando a usar para restringir el uso de una interface aun dispositivo, o sea, a una única MAC sin definir cual es su número.

1.-Retringir el acceso a un puerto switch únicamente a una sola MAC indeterminada

Switch#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security mac

Switch(config-if)#switchport port-security maximum 1

Una vez configurado, vemos el resultado

Mostar seguridad de un puerto según accesos MAC

Switch#show port-security interface fastEthernet 0/1

Port Security : Enabled

Port Status : Secure-up

Violation Mode : Shutdown

Aging Time : 0 mins

Aging Type : Absolute

SecureStatic Address Aging : Disabled

Maximum MAC Addresses : 1

Total MAC Addresses : 1

Configured MAC Addresses : 0

Sticky MAC Addresses : 0

Last Source Address:Vlan : 0006.2A4A.4BC5:1

Security Violation Count : 0

2.-Retringir el acceso a un puerto switch únicamente a una sola MAC concreta

Switch(config-if)#switchport port-security mac-address 0006.2a4a.4bc5

Una vez configurado, vemos el resultado

Switch#show port-security interface fastEthernet 0/1

Port Security : Enabled

Port Status : Secure-shutdown

Violation Mode : Shutdown

Aging Time : 0 mins

Aging Type : Absolute

SecureStatic Address Aging : Disabled

Maximum MAC Addresses : 1

Total MAC Addresses : 1

Configured MAC Addresses : 1

Sticky MAC Addresses : 0

Last Source Address:Vlan : 000A.F3A1.A43A:1

Security Violation Count : 1
 

3.-Seguridad en puerto con dirección MAC “Sticky”

Este método recuerda las MAC que se han conectado al interface. Si supera el límite que se ha configurado anteriormente, ejecuta la acción que hemos decidido

Switch(config-if)# switchport port-security mac-address sticky

Switch#

Ahora conectamos una máquina diferente al puerto que usamos fa 0/1 y el puerto se queda caido administrativamente

%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down

VTP LOG RUNTIME: switchport trunk mode on Fa0/1 has changed

4.-Acciones que podemos realizar

En cualquiera de las restricciones, podemos decidir que acción tomar en caso de un acceso no permitido

Switch(config-if)#switchport port-security violation ?

protect Security violation protect mode 

restrict Security violation restrict mode

shutdown Security violation shutdown mode

CISCO informa acerca estas opciones con las siguientes definiciones:

  • protect—Drops packets with unknown source addresses until you remove a sufficient number of secure MAC addresses to drop below the maximum value.
  • restrict—Drops packets with unknown source addresses until you remove a sufficient number of secure MAC addresses to drop below the maximum value and causes the SecurityViolation counter to increment.
  • shutdown—Puts the interface into the error-disabled state immediately and sends an SNMP trap notification.

Fuente: http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX/configuration/guide/book/port_sec.pdf

5.-Comando para ver la tabla de ARP, que contiene las MAC’s registradas

Switch#show mac address-table

4.-Como reactivar un puerto

Si un puerto ha sido bloqueado por haber violado la restricción de seguridad, se debe reiniciar el puerto del siguiente modo

Switch#conf terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#shutdown

Switch(config-if)#

%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down

VTP LOG RUNTIME: switchport trunk mode on Fa0/1 has changed

Switch(config-if)#




Switch(config-if)#no shutdown

Switch(config-if)#

%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up

VTP LOG RUNTIME: switchport trunk mode on Fa0/1 has changed

Ver logs de seguridad

Switch#debug sw-vlan vtp events

Error “Command rejected: FastEthernet0/1 is a dynamic port.”

Switch(config-if)#switchport port-security

Command rejected: FastEthernet0/1 is a dynamic port.

Esto ocurre porque el puerto de switch no esta configurado en modo access.

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security

Switch(config-if)#

También se pueden hacer restricciones con ACL’s, pero esta mas allá de esta entrada.

 

 

AUTOR: David Perez

Nota: Si te sirvió lo que postié, te pido 2 segundos para contestar las encuestas que figuran abajo.

Gracias!

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s