Bloquear acceso Switch según la MAC
En esta entrada, vamos a reflexionar acerca la seguridad de los puertos switches, en concreto acerca el bloqueo de un puerto switch según su MAC y cómo habilitar nuevamente el puerto en caso de bloqueo.
Estos bloqueos se usan para limitar el numero de dispositivos que se pueden conectar a un puerto de switch.
Esto nos aporta seguridad al puerto impidiendo que se conecten dispositivos no deseados. De esa manera aportamos mucha seguridad a los puertos de acceso de nuestro switch.
Las restricciones pueden ser varias, pero en esta entrada vamos a ver
- Restricciones por número de MAC’s conectadas.
- Restricciones permitiendo acceso únicamente a una MAC
- Seguridad en puerto con dirección MAC “Sticky”
- Acciones que podemos realizar
- Como reactivar un puerto
- Ver las MaC’s conectadas al Switch
Para mas restricciones, véase documento de CISCO acerca seguridad en los puertos de switches
[imagen que te envío por correo. tiene 1 switch y dos equipos]
Estos son los comando a usar para restringir el uso de una interface aun dispositivo, o sea, a una única MAC sin definir cual es su número.
1. Retringir el acceso a un puerto switch únicamente a una sola MAC indeterminada
Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#interface fastEthernet 0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security mac Switch(config-if)#switchport port-security maximum 1
Una vez configurado, vemos el resultado
Mostar seguridad de un puerto según accesos MAC
Switch#show port-security interface fastEthernet 0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0006.2A4A.4BC5:1 Security Violation Count : 0
2. Retringir el acceso a un puerto switch únicamente a una sola MAC concreta
Switch(config-if)#switchport port-security mac-address 0006.2a4a.4bc5
Una vez configurado, vemos el resultado
Switch#show port-security interface fastEthernet 0/1 Port Security : Enabled Port Status : Secure-shutdown Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address:Vlan : 000A.F3A1.A43A:1 Security Violation Count : 1
3. Seguridad en puerto con dirección MAC “Sticky”
Este método recuerda las MAC que se han conectado al interface. Si supera el límite que se ha configurado anteriormente, ejecuta la acción que hemos decidido
Switch(config-if)# switchport port-security mac-address sticky Switch#
Ahora conectamos una máquina diferente al puerto que usamos fa 0/1 y el puerto se queda caido administrativamente
%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
VTP LOG RUNTIME: switchport trunk mode on Fa0/1 has changed
4. Acciones que podemos realizar
En cualquiera de las restricciones, podemos decidir que acción tomar en caso de un acceso no permitido
Switch(config-if)#switchport port-security violation ? protect Security violation protect mode restrict Security violation restrict mode shutdown Security violation shutdown mode
CISCO informa acerca estas opciones con las siguientes definiciones:
- protect—Drops packets with unknown source addresses until you remove a sufficient number of secure MAC addresses to drop below the maximum value.
- restrict—Drops packets with unknown source addresses until you remove a sufficient number of secure MAC addresses to drop below the maximum value and causes the SecurityViolation counter to increment.
- shutdown—Puts the interface into the error-disabled state immediately and sends an SNMP trap notification.
5. Comando para ver la tabla de ARP, que contiene las MAC’s registradas
Switch#show mac address-table
6. Como reactivar un puerto
Si un puerto ha sido bloqueado por haber violado la restricción de seguridad, se debe reiniciar el puerto del siguiente modo
Switch#conf terminal Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#interface fastEthernet 0/1 Switch(config-if)#shutdown Switch(config-if)# %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down VTP LOG RUNTIME: switchport trunk mode on Fa0/1 has changed Switch(config-if)# Switch(config-if)#no shutdown Switch(config-if)# %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up VTP LOG RUNTIME: switchport trunk mode on Fa0/1 has changed
Ver logs de seguridad
Switch#debug sw-vlan vtp events
Error “Command rejected: FastEthernet0/1 is a dynamic port.”
Switch(config-if)#switchport port-security Command rejected: FastEthernet0/1 is a dynamic port.
Esto ocurre porque el puerto de switch no esta configurado en modo access.
Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#
También se pueden hacer restricciones con ACL’s, pero esta mas allá de esta entrada.
AUTOR: David Perez
Nota: Si te sirvió lo que postié, te pido 2 segundos para contestar las encuestas que figuran abajo.
Gracias!
19 febrero, 2017 en 6:12
Muy buen aporte, mil gracias por todo!!
10 septiembre, 2017 en 17:04
de nada, he ido creando mas páginas espero que os sean de ayuda. A mi me ayuda mucho ir creando información. Mientras aprendo, ayudo a otros. A veces es difícil encontrar la información y aquí recopilo las dudas y respuestas que voy teniendo. Digamos que estoy compartiendo mis apuntes.
31 marzo, 2017 en 20:00
[…] https://todopacketracer.wordpress.com/2017/02/17/bloquear-acceso-switch-segun-la-mac/ […]