Port security su Switch Cisco

Apprendimento degli indirizzi

Le funzionalità di port security possono mitigare alcuni attacchi limitando il numero massimo di indirizzi MAC sorgenti provenienti su una porta o mappando staticamente gli indirizzi su una porta. Le associazioni possono essere di tre tipi:

  1. Statiche: utilizzando il comando switchport port-security mac-address “nome_mac a livello di interfaccia che viene inserito staticamente nella tabella di switching
  2. Sticky: utilizzando il comando switchport port-security mac-address sticky a livello di interfaccia si abilita l’apprendimento sticky che aggiunge in configurazione staticamente gli indirizzi dinamici presenti in tabella di
    switching e quelli che si aggiungeranno successivamente. Possono essere aggiunti anche indirizzi non fisicamente presenti in tabella con il comando di interfaccia switchport port-security mac-address sticky nome_mac (sconsigliato). Se questa modalità viene disabilitata gli indirizzi vengono cancellati dalla tabella ma non dalla configurazione.
  3. Dinamici: gli indirizzi vengono inseriti in tabella con apprendimento dinamico

Modalità di violazione

Possono presentarsi alcune violazioni sulle interfacce se:
– un indirizzo non presente in tabella prova ad accedere e la tabella è piena
– un indirizzo presente in tabella prova ad accedere su una porta differente della
stessa VLAN

Possono essere configurate diverse reazioni ad una violazione:
Restrict: quando il numero di indirizzi MAC sicuri supera il limite, vengono scartati i pacchetti provenienti dagli altri indirizzi
Protect: come restrict, ma viene inviato un messaggio di sicurezza violata
Shutdown: quando il numero di indirizzi MAC sicuri supera il limite configurato la porta viene spenta e viene mandato un messaggio di sicurezza

Configurazione

Il comando generale per abilitare il port security su una interfaccia di uno switch è il
seguente (il limite massimo di indirizzi sicuri su una interfaccia è 132):

switchport port-security [mac-address mac-address] | [mac-address sticky [macaddress]]
| [maximum value] | [violation {protect | restrict | shutdown}]

Di seguito alcuni esempi di configurazione:

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.