Cómo utilizar la característica de seguridad del puerto en Cisco para proteger tu red
Un creciente desafío que enfrentan los administradores de redes es determinar cómo controlar quién puede acceder a la red interna de la organización, y quién no. Por ejemplo, ¿puede cualquier persona entrar a su oficina, conectar una laptop y acceder a su red? Podría argumentar que el conector de pared no está conectado a un switch, pero ¿no podría alguien simplemente desconectar el cable Ethernet de una PC en funcionamiento y conectarse a la red de esa manera?
Puede que piense que este escenario es poco probable, pero sucede. En mi organización, teníamos vendedores que venían a hacer demostraciones de productos y simplemente desconectaban el conector Ethernet de una PC y lo conectaban a su laptop, con la esperanza de obtener acceso a Internet.
La idea de que cualquiera pudiera venir y acceder a nuestra red me asustaba, y la posibilidad debería asustarlo a usted también. Lo que más me preocupaba eran los diversos virus o gusanos que sus PCs podrían contener. Recuerde, no todos reconocen la importancia de medidas de seguridad efectivas, y no desea confiar la seguridad de su red a su apatía.
Recurrí a la seguridad del puerto de switch para ayudar a resolver el problema. Veamos cómo puede utilizar la función de Port Security de Cisco para proteger su organización.
Comprender los conceptos básicos
En su forma más básica, la función de Port Security recuerda la dirección MAC Ethernet conectada al puerto del switch y solo permite que esa dirección MAC se comunique a través de ese puerto. Si cualquier otra dirección MAC intenta comunicarse a través del puerto, la seguridad del puerto deshabilitará el puerto. La mayoría de las veces, los administradores de redes configuran el switch para enviar una trampa SNMP a su solución de monitoreo de red para indicar que el puerto está deshabilitado por motivos de seguridad.
Por supuesto, implementar cualquier solución de seguridad siempre implica un compromiso, generalmente se intercambia mayor seguridad por menos conveniencia. Al utilizar la seguridad del puerto, puede evitar que se acceda a la red desde dispositivos, lo que aumenta la seguridad.
Es el filtrado de direcciones MAC una forma efectiva de seguridad en redes inalámbricasSin embargo, como sabrá, generalmente hay una desventaja. En este caso, es que el administrador de la red es el único que puede "desbloquear" el puerto, lo que puede causar problemas cuando hay razones legítimas para cambiar los dispositivos.
Configurar la seguridad del puerto
Configurar la función de Port Security es relativamente sencillo. En su forma más simple, la seguridad del puerto requiere ir a un puerto de switch que ya esté habilitado e ingresar el comando modo port-security. A continuación, se muestra un ejemplo:
Switch)# config t
Switch(config)# int fa0/18
Switch(config-if)# switchport port-security ?
aging Comandos de envejecimiento de la seguridad del puerto
Cómo ver estadísticas de uso de ACL
mac-address Dirección MAC segura
maximum Máximo número de direcciones MAC seguras
violation Modo de violación de seguridad
Switch(config-if)# switchport port-security
Switch(config-if)#^Z
Al ingresar el comando más básico para configurar la seguridad del puerto, aceptamos la configuración predeterminada de permitir solo una dirección MAC, determinando esa dirección MAC a partir del primer dispositivo que se comunica a través de este puerto del switch, y desactivar ese puerto del switch si otra dirección MAC intenta comunicarse a través del puerto. Pero no tiene que aceptar los valores predeterminados.
Conocer sus opciones
Como se puede ver en el ejemplo, hay varios otros comandos de seguridad del puerto que puede configurar. Aquí se presentan algunas opciones:
Qué es AAA y por qué los administradores de red deberían preocuparse- switchport port-security maximum {número máximo de direcciones MAC permitidas}: Puede utilizar esta opción para permitir más que el número predeterminado de direcciones MAC, que es uno. Por ejemplo, si tiene un concentrador de 12 puertos conectado a este puerto del switch, querría permitir 12 direcciones MAC, una para cada dispositivo. El número máximo de direcciones MAC seguras por puerto es de 132.
- switchport port-security violation {shutdown | restrict | protect}: Este comando indica al switch qué hacer cuando el número de direcciones MAC en el puerto ha excedido el máximo. El valor predeterminado es cerrar el puerto. Sin embargo, también puede optar por alertar al administrador de la red (es decir, restrict) o permitir únicamente el tráfico desde el puerto seguro y descartar los paquetes de otras direcciones MAC (es decir, protect).
- switchport port-security mac-address {dirección MAC}: Puede utilizar esta opción para definir manualmente la dirección MAC permitida para este puerto en lugar de permitir que el puerto determine dinámicamente la dirección MAC.
Por supuesto, también puede configurar la seguridad del puerto en un rango de puertos. A continuación, se muestra un ejemplo:
Switch)# config t
Switch(config)# int range fastEthernet 0/1 - 24
Switch(config-if)# switchport port-security
Sin embargo, debe tener mucho cuidado con esta opción si ingresa este comando en un puerto de enlace ascendente que se conecta a más de un dispositivo. Tan pronto como el segundo dispositivo envíe un paquete, todo el puerto se cerrará.
Ver el estado de la seguridad del puerto
Una vez que haya configurado la seguridad del puerto y el dispositivo Ethernet en ese puerto haya enviado tráfico, el switch registrará la dirección MAC y asegurará el puerto usando esa dirección. Para conocer el estado de la seguridad del puerto en el switch, puede utilizar los comandos show port-security address y show port-security interface. A continuación, se muestran ejemplos de la salida de cada comando:
Switch# show port-security address
Qué es la seguridad en capas y la defensa en profundidad
Tabla de direcciones MAC seguras
-------------------------------------------------------------------
Vlan Dirección MAC Tipo Puertos Edad restante
(min)
---- ----------- ---- ----- -------------
1 0004.00d5.285d SecureDynamic Fa0/18 -
10 Pasos para Proteger tu Computadora de Virus y Malware
-------------------------------------------------------------------
Total de direcciones en el sistema (excluyendo una MAC por puerto) : 0
Límite máximo de direcciones en el sistema (excluyendo una MAC por puerto) : 1024
Switch# show port-security interface fa0/18
Seguridad del puerto : Habilitada
Estado del puerto : Secure-up
Las 10 mejores herramientas para detectar y eliminar malware
Modo de violación : Shutdown
Tiempo de envejecimiento : 0 min
Tipo de envejecimiento : Absoluto
Envejecimiento de direcciones SecureStatic : Desactivado
Número máximo de direcciones MAC : 1
Número total de direcciones MAC : 1
Cómo implementar listas de verificación para consultores de IT y aumentar la eficiencia
Direcciones MAC configuradas : 0
Direcciones MAC permanentes : 0
Última dirección de origen : 0004.00d5.285d
Cantidad de violaciones de seguridad : 0
Switch#
David Davis ha trabajado en la industria de TI durante más de 12 años y tiene varias certificaciones, incluyendo CCIE, MCSE+I, CISSP, CCNA, CCDA y CCNP. Actualmente administra un grupo de administradores de sistemas/redes para una empresa minorista de propiedad privada y realiza consultoría en redes/sistemas a tiempo parcial.
¿Quiere aprender más sobre la administración de routers y switches? ¡Regístrese automáticamente en nuestro boletín gratuito sobre Cisco Routers and Switches, que se envía todos los viernes!
Los 10 botnets más activos que generan spam y sus impactantes estadísticasEn Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo utilizar la característica de seguridad del puerto en Cisco para proteger tu red , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados