Port security su Switch Cisco

Lascia un commento

Apprendimento degli indirizzi

Le funzionalità di port security possono mitigare alcuni attacchi limitando il numero massimo di indirizzi MAC sorgenti provenienti su una porta o mappando staticamente gli indirizzi su una porta. Le associazioni possono essere di tre tipi:

  1. Statiche: utilizzando il comando switchport port-security mac-address “nome_mac a livello di interfaccia che viene inserito staticamente nella tabella di switching
  2. Sticky: utilizzando il comando switchport port-security mac-address sticky a livello di interfaccia si abilita l’apprendimento sticky che aggiunge in configurazione staticamente gli indirizzi dinamici presenti in tabella di
    switching e quelli che si aggiungeranno successivamente. Possono essere aggiunti anche indirizzi non fisicamente presenti in tabella con il comando di interfaccia switchport port-security mac-address sticky nome_mac (sconsigliato). Se questa modalità viene disabilitata gli indirizzi vengono cancellati dalla tabella ma non dalla configurazione.
  3. Dinamici: gli indirizzi vengono inseriti in tabella con apprendimento dinamico

Modalità di violazione

Possono presentarsi alcune violazioni sulle interfacce se:
– un indirizzo non presente in tabella prova ad accedere e la tabella è piena
– un indirizzo presente in tabella prova ad accedere su una porta differente della
stessa VLAN

Possono essere configurate diverse reazioni ad una violazione:
Restrict: quando il numero di indirizzi MAC sicuri supera il limite, vengono scartati i pacchetti provenienti dagli altri indirizzi
Protect: come restrict, ma viene inviato un messaggio di sicurezza violata
Shutdown: quando il numero di indirizzi MAC sicuri supera il limite configurato la porta viene spenta e viene mandato un messaggio di sicurezza

Configurazione

Il comando generale per abilitare il port security su una interfaccia di uno switch è il
seguente (il limite massimo di indirizzi sicuri su una interfaccia è 132):

switchport port-security [mac-address mac-address] | [mac-address sticky [macaddress]]
| [maximum value] | [violation {protect | restrict | shutdown}]

Di seguito alcuni esempi di configurazione:

Articoli Correlati:

  1. Configurazione Port Span su cisco switch
  2. Fencing utilizzando uno switch
  3. TCPDUMP
taggato con , , , , ,

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.