Cisco

Cisco: Switchport Port Security

By on ( 1 Comment )

Port Security schränkt das Limit von MAC Adressen, welche pro Switchport  gespeichert werden dürfen, ein. Beim Erreichen des Limits erfolgt eine “security violation” und der Port leitet keinen Traffic mehr weiter. Dieses Sicherheitsfeature verhindert unter anderem die Bedrohung des MAC Address Flooding.

Secure Modes
Static Secure auf fa0/1

Bei Static secure wird die MAC Adresse manuell konfiguriert. Die MAC wird in der running-config gespeichert.

interface fa0/1
switchport mode access
switchport port-security
switchport port-security mac-address 0000.0000.0005

Unbenannt.PNG

show port-security interface fa0/1 zeigt die Änderungen.

show port-security interface fa0/1

Unbenannt.PNG

Dynamic Secure auf fa0/2

Die MAC Adresse wird vom Switch gelernt. Die maximale Anzahl der MAC Adressen kann festgelegt werden. Die Adressen werden nicht in der running-config gespeichert. Nach einem Neustart des Switch beginnt der Lernvorgang wieder von vorne.

Ich lege das Maximum auf 3 fest.

interface fa0/2
switchport mode access
switchport port-security
switchport port-security maximum 3

Unbenannt.PNG

show port-security interface fa0/2 zeigt die Änderungen.

show port-security interface fa0/2

Unbenannt.PNG

Sticky Secure auf fa0/3

Die MAC Adresse wird wie bei Dynamic Secure gelernt. Unterschied: Bei Sticky werden die gelernten MAC Adressen in der running-config gespeichert, d.h. sie bleiben auch bei einem Neustart des Switch erhalten, sofern man die running-config in der startup-config speichert.

interface fa0/3
switchport mode access
switchport port-security
switchport port-security maximum 10
switchport port-security mac-address sticky

Unbenannt.PNG

Violation Modes

Was, wenn das Maximum erreicht wird? Oder die MAC Adresse des angeschlossenen Computer nicht mit der Static MAC Address übereinstimmt?

Cisco unterscheidet 3 Violation Modes:

  • Protect (Traffic wird unterbunden, Port wird nicht deaktiviert)
  • Restrict (Traffic wird unterbunden, Syslog Message wird gesendet, Counter wird erhöht, Port wird nicht deaktiviert)
  • Shutdown (Traffic wird unterbunden, Counter wird erhöht, Port wird deaktiviert)

Die Standard-Einstellung ist Shutdown.

Ich habe auf fa0/1 (siehe oben) einen PC mit einer MAC Adresse angeschlossen, welche nicht der konfigurierten Static Secure MAC Adresse entspricht.

Der Port geht sofort administratively down.

Unbenannt.PNG

Unbenannt.PNG

In dem Fall muss der Port mit dem Befehl no shutdown wieder aktiviert werden.

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/25ew/configuration/guide/conf/port_sec.html

Categories: Cisco, Cyber Security

Tagged as: , ,

Published by Patrick Gruenauer

Microsoft MVP on PowerShell [2018-2023], IT-Trainer, IT-Consultant, MCSE: Cloud Platform and Infrastructure, Cisco Certified Academy Instructor.

1 reply »

  1. Pingback: MAC Address Flooding « SID-500

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.