Port-security

Switchar fungerar som uppkopplingsmaskiner till vilka ansluts alla sorter av nätverksenheter. Varje nätverksenhet har ett nätverkskort som identifieras med en specifikt MAC-adress och när en nätverksenheten ansluts till en switch lär sig denne just den MAC adressen. Adressen lagras i switchens CAM-tabellen (Content Addressable Memory) som har en viss specifik storlek. När nästa gång en annan nätverksenheter ansluts till samma switch och samma port lär sig switchen den nya MAC-adressen. Det innebär att vilken nätverksenhet som helst kan anslutas till switcharnas portar.

Port-security är en säkerhetsfunktion för L2 switchar som ger nätverksadministratörer mer kontroll över vad som får anslutas till switcharnas portar. Med port-security kan vi säkra en switch exempelvis genom att begränsa antalet MAC-adresser per port.

Port security  avgör vilken eller vilka MAC-adresser får anslutas till switchar. MAC-adresserna från behöriga nätverksenheter accepteras av switchen medan obehöriga MAC-adresser nekas. Dessutom kan antalet giltiga MAC-adresser per port begränsas.

 

Vi kan också specificera vilka MAC-adresser som är tillåtna att ansluta till specifika portar. Funktionen är användbar inte minst när man ska mitigera hack-attacker, till exempel CAM-table overflow.

Typ av MAC-adresser

I port security konfigurationer finns följande typer av MAC-adresser:

  • Statiska – MAC-adresser som manuellt konfigureras på en port genom att använda kommandot switchport port-security mac-adress <mac-adress>. MAC-adresser som konfigureras på detta sätt lagras i adresstabellen och läggs till i konfigurationsfilen running-config. När du sparar running-config till startup-config kommer konfigurationen att finnas kvar efter en omstart.
  • Dynamiska – Cisco switchar lär sig MAC-adresser på ett dynamisk sätt genom att läsa MAC-adresserna i mottagna ramar eller frames och registrera de i en CAM-tabell. MAC-adresser som konfigureras på detta sätt tas bort när switchen startas om eller porten slocknar.
  • Sticky – MAC-adresser som switchar kan lära sig dynamiskt eller manuellt konfigurerade. Denna typ av MAC-adress lagras i adresstabellen och läggs till i konfigurationsfilen running-config tills switchen startas om. Sticky MAC-adresser konfigureras med kommandot switchport port-security mac-address sticky. När filen running-config kopieras till startup-config blir lärda MAC-adresser permanenta (sticky) även efter en omstart. Syftet med sticky säkerhetsfunktionen är det att förhindra switchen lär sig nya MAC-adresser.

Sticky MAC-adresser

Direkt efter exekveringen av kommandot switchport port-security mac-adress sticky omvandlar switchen alla MAC-adresser till sticky-MAC-adresser, inklusive de som var dynamiskt inlärda innan sticky lärande aktiverades. Alla sticky-MAC-adresser lagras i NVRAM-minnet och därför är de persistenta även när switchen startar om.

Port-security maximum

När du aktiverar port-security tillåts, som default, endast en MAC-adress per port. För att definiera det maximala antalet godkända MAC-adresser per port (tillåtna) använder du kommandot switchport port-security maximum <antal>.

Port säkerhetsöverträdelse – violation

När vi har definierat antal tillåtna MAC-adresser per port måste man bestämma vad som ska göras vid säkerhetsöverträdelse. Det finns tre alternativ:

  • Protect – Ramar med osäkra MAC-adresser tas bort från nätet. det fungerar endast med “Sticky” MAC-adresser. Ingen händelsemeddelande genereras.
  • Restric – Förutom att osäkra MAC-adresser accepteras inte, händelsemeddelande genereras, SNMP varningar skickas ut och överträdelse räknevärde ökas när man exekverar kommando show port-security interface.
  • Shutdown – Default åtgärd. Porten stängs ner (aktiveras av) och läggs till err-disabled läge.