SID-500

Home » Cisco » Cisco: Switchport Port Security

Cisco: Switchport Port Security

Port Security schränkt das Limit von MAC Adressen, welche pro Switchport  gespeichert werden dürfen, ein. Beim Erreichen des Limits erfolgt eine “security violation” und der Port leitet keinen Traffic mehr weiter. Dieses Sicherheitsfeature verhindert unter anderem die Bedrohung des MAC Address Flooding.

Secure Modes
Static Secure auf fa0/1

Bei Static secure wird die MAC Adresse manuell konfiguriert. Die MAC wird in der running-config gespeichert.

interface fa0/1
switchport mode access
switchport port-security
switchport port-security mac-address 0000.0000.0005

Unbenannt.PNG

show port-security interface fa0/1 zeigt die Änderungen.

show port-security interface fa0/1

Unbenannt.PNG

Dynamic Secure auf fa0/2

Die MAC Adresse wird vom Switch gelernt. Die maximale Anzahl der MAC Adressen kann festgelegt werden. Die Adressen werden nicht in der running-config gespeichert. Nach einem Neustart des Switch beginnt der Lernvorgang wieder von vorne.

Ich lege das Maximum auf 3 fest.

interface fa0/2
switchport mode access
switchport port-security
switchport port-security maximum 3

Unbenannt.PNG

show port-security interface fa0/2 zeigt die Änderungen.

show port-security interface fa0/2

Unbenannt.PNG

Sticky Secure auf fa0/3

Die MAC Adresse wird wie bei Dynamic Secure gelernt. Unterschied: Bei Sticky werden die gelernten MAC Adressen in der running-config gespeichert, d.h. sie bleiben auch bei einem Neustart des Switch erhalten, sofern man die running-config in der startup-config speichert.

interface fa0/3
switchport mode access
switchport port-security
switchport port-security maximum 10
switchport port-security mac-address sticky

Unbenannt.PNG

Violation Modes

Was, wenn das Maximum erreicht wird? Oder die MAC Adresse des angeschlossenen Computer nicht mit der Static MAC Address übereinstimmt?

Cisco unterscheidet 3 Violation Modes:

  • Protect (Traffic wird unterbunden, Port wird nicht deaktiviert)
  • Restrict (Traffic wird unterbunden, Syslog Message wird gesendet, Counter wird erhöht, Port wird nicht deaktiviert)
  • Shutdown (Traffic wird unterbunden, Counter wird erhöht, Port wird deaktiviert)

Die Standard-Einstellung ist Shutdown.

Ich habe auf fa0/1 (siehe oben) einen PC mit einer MAC Adresse angeschlossen, welche nicht der konfigurierten Static Secure MAC Adresse entspricht.

Der Port geht sofort administratively down.

Unbenannt.PNG

Unbenannt.PNG

In dem Fall muss der Port mit dem Befehl no shutdown wieder aktiviert werden.

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/25ew/configuration/guide/conf/port_sec.html


1 Comment

  1. […] Wie man Port-Security konfiguriert können Sie hier nachlesen: Switchport Port-Security […]

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

WHOIS

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com