Configuracin de Switch: Portsecurity

Publicado el 11 junio, 2016por AllinR

Laboratorio 1
En switches Cisco existe la posibilidad de restringir a partir de la direccin MAC
quien se puede conectar a un determinado puerto del switch, de este modo nos
permite crear una poltica de seguridad en capa 2 para evitar conexiones que no
queremos en los puertos y ejecutar una accin cuando esto ocurra (violacin de
la seguridad).
Entonces que es una MAC? simple,es una direccin fsica nica para cada tarjeta
de red sea alambrica o inalambrica que existe.

Como se muestra en la topologa usamos los

siguientes dispositivos
1 Servidor con servicio de DHCP
1Switch Cisco
2 Computadores

En esta ocasin estamos utilizando una direccin de red en clase C, siendo la

direccin de red 192.168.2.0 con mascara por defecto 255.255.255.0
Lo primero que vamos a configurar va a ser nuestro servidor DHCP.
Hacemos la configuracin IP

En esta ocasin estamos colocando una direccin IP esttica manualmente.

Configuramos el servicio de DHCP

La direccin 192.168.2.1 es la puerta de enlace (Default Gateway)en pocas

palabras es la interfaz por la cual todos los dispositivos activos se conectan a la
red local.
Colocamos es la casilla de direccin de servidor DNS la IP de nuestro servidor,ya que no
tenemos algn dispositivo que nos brinde este servicio,de este modo este servicio solo es
ficticio.

Configuramos las IP estticas en los computadores

PC1

PC2

En los computadores no es necesario colocar la direccin de un servidor DNS ya que en

nuestra red no hay un servidor que nos brinde ese servicio y no es necesario para lo que
realizaremos.

Deshabilitar todas las interfaces FastEthernet (fa0/1-24)

Utilizamos los siguientes comandos:

para poder ver si los puertos deshabilitados usaremos

el siguiente comando

s1#show ip interface brief

una vez que deshabilitamos todas las interfaces, habilitremos las interfaces que
necesitamos.
Habilitar las interfaces FastEthernet0/1 al FastEthernet0/6
Utilizamos los siguientes comandos:

para poder ver si los puertos habilitados usaremos el

siguiente comando

S1#show ip interface brief

Hacemos un ping entre los dispositivos para verificar si hay comunicacin entre
todos.
Los puertos Fa0/4 0/5 y 0/6 seguirn apareciendo en estado deshabilitado porque no tiene
ningn dispositivo conectado a esos puertos,cuando se conecte un dispositivo estos se
activaran de manera automtica.

Ahora vamos a gestionar la tabla de direcciones MAC

Gestin de tabla de direcciones MAC
Paso 1: Anotar las direcciones MAC de los Hosts
Anotaremos las direcciones de Capa2 (Fsicas) de las tarjetas de interfaz de red
de la PC,realizaremos los siguiente:

luego que entramos al Command Prompt ejecutamos el siguiente

comando ipconfig /all

hacemos lo mismo en las dos PCs y copiamos la direccin fsica(MAC) de ambos.

En mi caso son PC1: 0050.0f98.B6EA

PC2: 00E0.F7BD.D313
Paso2: Determinamos las direcciones MAC que el switch a aprendido.Debemos
mostrar las direcciones MAC,para esto utilizamos el comando show macaddress-table en modo EXEC privilegiado.

Deberia aparecernos 3 direcciones dinamicas que son de los computadores y de el servidor,en

total deberia haber 3 direcciones MAC.

Configurar la seguridad de puerto en un puerto de acceso.

Vamos a configurar el puerto del switch Fast Ethernet 0/4 para que acepte slo
dos dispositivos, para que aprenda las direcciones MAC de dichos dispositivos
dinmica mente y para que bloquee el trfico de hosts invlidos en caso de
violacin.
Utilizamos los siguientes comandos:

Maximun 2: Va a aprender la direccin MAC de solo dos dispositivos,si

tratamos de conectar un tercer dispositivo a este puerto simplemente no le va a
asignar una direccin DHCP porque no podr aprender la direccin MAC del
nuevo dispositivo que tratamos de conectar y se producir una violacin.
Sticky: Este comando es capaz de asociar la direccin MAC de manera dinmica
al puerto. Sin la opcin sticky , la direccin MAC asociada desaparecer despus
de
un
periodo
de
tiempo
determinado
.
Violation protect: Este comando hace que el puerto deje de encender en caso de
violacin.
Verificamos los resultados.
Para esto ejecutamos el comando para mostrar la configuracin de seguridad de puerto.

Debera mostrarnos algo as.

Ponemos a prueba la seguridad del puerto

Agregamos los tres nuevos hosts tal y como se muestra en la imagen,conectamos
cada host a Fa0/4 y configuramos la IP con DHCP(Dinamic)y ejecutamos el
comando show port-security

Copiamos las direcciones MAC de las PC USUARIO

PC1 USUARIO: 00D0.D38D.4C41 PC2 USUARIO: 0060.2F33.E58C
El siguiente paso seria conectar cada PC a Fa0/4 y asignarle una IP dinamica
Agregamos PC1 USUARIO a Fa0/4

Como podemos ver en la imagen anterior PC1 USUARIO se conecto a Fa0/4 y

se asigno de manera exitosa una direccin IP por DHCP.

Al ejecutar el comando show port-security nos muestra el puerto fa0/4 que solo
puede aprender dos direcciones como mximo y tan solo una direccin a sido
agregada por el momento,esto se debe a que solo agregamos 1 PC ,y tenemos
comunicacin con el resto de PCs.
Ahora vamos a agregar la PC2 USUARIO a Fa0/4

y nuevamente aqu podemos observar que PC2 USUARIO se conecto a Fa0/4 y

se asigno de manera exitosa una direccin IP por DHCP.
Al ejecutar el comando show port-security nos muestra que se han agregado
dos direcciones seguras ,esto se debe a que ya agregamos las dos PCs ,y de igual
manera que la vez anterior tambien tenemos comunicacin con el resto de PCs.
y por ultimo vamos a agregar la PC3 MALINTENCIONADA

podemos observar que PC2 MALINTENCIONADA se conecto a Fa0/4 pero

no se le pudo asignar una direccin IP por DHCP. Esto ocurri por que no hay
comunicacin desde esta PC a los dems dispositivos de la red.
Al ejecutar el comando show mac address-table nos muestra que solo se ha
podido agregar dos direcciones MAC seguras ,pero no pudo agregar una tercera
direccin MAC esto paso gracias a la opcin del comando maximun 2 en
consecuencia la conectividad desde esta PC fallo y gracias a esto pudimos estar
a salvo de un posible ataque a nuestra red por este puerto.

Ahora vamos a configurar las interfaces habilitadas que faltan.

En la interfaz Fast Ethernet 0/5,vamos a establecer la direccin MAC de

seguridad mxima del puerto en 1 y que se desactive en caso de violacin.
Ejecutamos los siguientes comandos:

la pc conectada a fa0/5 como se puede visualizar en la siguiente imagen si tiene comunicacin con el resto de dispositivos de la

red ya que el switch aprendi la MAC del computador conectado.

Pero cuando se conecta la LAPTOP-MALINTENCIONADA! el puerto

automticamente se des habilita porque el switch no conoce a este equipo y no
lo tiene en la lista de MAC seguras,lo toma por no seguro y se produce una

violacin de puerto.

Cuando tratamos de colocar el equipo confiable el puerto tampoco se habilitara.

Por ultimo vamos a configurar la interfaz Fast Ethernet 0/6 y vamos a indicar
una direccin MAC para que la solo la PC con esa MAC pueda conectarse y
cualquier otro computador simplemente no podr conectarse a la red y la
interfaz se deshabilitara.
Ejecutamos los siguientes comandos:

algo as como el siguiente ejemplo

aqui estamos indicando que la nica pc que se podr conectar al puerto es la que tiene esa
direccin MAC.

para poder verificar las MAC seguras configuradas en el switch por interfaces
ejecutamos el siguiente comando:

se mostrara algo como esto:

Habilitar los puertos que estn deshabilitados por Portsecurity

podemos habilitar los puertos del switch que estn deshabilitados, estos se
pueden volver a habilitar con el siguiente comando previa autorizacin del
Administrador de la Red:
Switch(config-if)# switchport port-security mac-address [MAC address]
Switch(config-if)# shutdown
Switch(config-if)# no shutdown
switchport port-security mac-address [MAC address] Esta opcin permite definir manualmente
la direccin MAC que se permite conectar a travs de ese puerto, o dejar que la aprenda
dinmicamente varias direcciones MAC.