Port-security

Switchar och routrar hanterar ett företags nätverkstrafik därmed bör de skyddas från alla möjliga risker. Switchar fungerar som uppkopplingsmaskiner till vilka ansluts alla sorter av nätverksenheter. Varje nätverksenhet har ett nätverkskort som identifieras med en specifikt MAC-adress och när enheten ansluts till en switch lär sig denne just det MAC adresser. Dessa adresser lagras i switchens CAM-tabellen (Content Addressable Memory) som har en viss specifik storlek.

När nästa gång en annan nätverksenheter ansluts till samma switch och samma port lär sig switchen den nya MAC-adressen. Dessa MAC-adresser tillåts komma åt till organisationens nätverk vilket kan innebära risker när obehöriga nätverksenheter ansluts till switchar. Det är här som PORT SECURITY kommer in i denna lektion.

Port-security är en säkerhetsfunktion för L2 switchar som ger nätverksadministratörer mer kontroll över vad som får anslutas till switcharnas portar. Med port-security kan vi säkra en switch exempelvis genom att begränsa antalet MAC-adresser per port. Vi kan också specificera vilka MAC-adresser som är tillåtna att ansluta till specifika portar. Funktionen är användbar inte minst när man ska mitigera hack-attacker, till exempel CAM-table overflow.

Port security  avgör vilken eller vilka MAC-adresser får anslutas till switchar. MAC-adresserna från behöriga nätverksenheter accepteras av switchen medan obehöriga MAC-adresser nekas. Dessutom kan antalet giltiga MAC-adresser per port begränsas.

Typ av MAC-adresser

I port security konfigurationer finns följande typer av MAC-adresser:

  • Statiska – MAC-adresser som manuellt konfigureras på en port genom att använda kommandot switchport port-security mac-adress <mac-adress>. MAC-adresser som konfigureras på detta sätt lagras i adresstabellen och läggs till i konfigurationsfilen running-config. När du sparar running-config till startup-config kommer konfigurationen att finnas kvar efter en omstart.
  • Dynamiska – Cisco switchar lär sig MAC-adresser på ett dynamisk sätt genom att läsa MAC-adresserna i mottagna ramar eller frames och registrera de i en CAM-tabellen. MAC-adresser som konfigureras på detta sätt tas bort när switchen startas om eller porten slocknar.
  • Sticky – MAC-adresser som switchar kan lära sig dynamiskt eller manuellt konfigurerade. Denna typ av MAC-adress lagras i adresstabellen och läggs till i konfigurationsfilen running-config tills switchen startas om. Sticky MAC-adresser konfigureras med kommandot switchport port-security mac-address sticky. När filen running-config kopieras till startup-config blir lärda MAC-adresser permanenta (sticky) även efter en omstart. Syftet med sticky säkerhetsfunktionen är det att förhindra switchen lär sig nya MAC-adresser.

Sticky MAC-adresser

Direkt efter exekveringen av kommandot switchport port-security mac-adress sticky omvandlar switchen alla MAC-adresser till sticky-MAC-adresser, inklusive de som var dynamiskt inlärda innan sticky lärande aktiverades. Alla sticky-MAC-adresser lagras i NVRAM-minnet och därför är de persistenta även när switchen startar om.

Port-security har för syfte att ha kontroll på switchens portar genom att identifiera MAC-adresser och associera de till specifika portar. Dessa portar säkerhetskonfigureras genom att:

  • Identifiera MAC-adresser och binda ihop med switchens portar.
  • Specificera antal tillåtna MAC-adresser per port.

Port-security maximum

När du aktiverar port-security tillåts, som default, endast en MAC-adress per port. För att definiera det maximala antalet godkända MAC-adresser per port (tillåtna) använder du kommandot
switchport port-security maximum <antal>.

Port säkerhetsöverträdelse – violation

När vi har definierat antal tillåtna MAC-adresser per port måste man bestämma vad som ska göras vid säkerhetsöverträdelse. Det finns tre alternativ:

  • Protect – Ramar med osäkra MAC-adresser tas bort från nätet. det fungerar endast med “Sticky” MAC-adresser. Ingen händelsemeddelande genereras.
  • Restric – Förutom att osäkra MAC-adresser accepteras inte, händelsemeddelande genereras, SNMP varningar skickas ut och överträdelse räknevärde ökas när man exekverar kommando show port-security interface.
  • Shutdown – Default åtgärd. Porten stängs ner (aktiveras av) och läggs till err-disabled läge.