Port-Security: Intrusion Protection

O port-security é uma funcionalidade de camada 2 que impõe limites para o número de endereços MAC permitidos (aprendidos) por uma determinada porta do switch e faz o registro dos endereços MAC válidos para aquela interface, de maneira estática ou dinâmica.

Por exemplo, imaginando que a porta Gi1/0/1 em um Switch 3Com/HP habilitada com port-security aprendeu e registrou dinamicamente o endereço do host A e após isso um invasor tentar remover o cabo do host A para adicionar o host X, a funcionalidade port-security não permitiria a comunicação da máquina do invasor naquela porta e registraria a tentativa de violação/intrusão. O comportamento padrão do port-security é permitir a comunicação dos hosts validos e bloquear os endereços MAC não registrados naquela porta.

Intrusion protection

o Modo intrusion protection permite ao switch tomar outras atitudes nos cenários de violação/intrusão como:

blockmac: Adiciona o endereço MAC dos frames não autorizados para uma lista de endereços MAC bloqueados e descarta a comunicação. A lista de bloqueio armazena os endereços por 3 minutos. O intervalo é fixo e não pode ser alterado.

disable-port: Desablita a porta até a mesma ser ativada manualmente (shut/undo shut)

disableport-temporarily: Desabilita a porta por um período especifico. O período pode ser configurado com o comando global port-security timer disableport time-value.

[Switch-GigabitEthernet1/0/5] port-security intrusion-mode ?
blockmac                 Block the MAC address 
disableport              Disable port 
disableport-temporarily  Disable port temporarily for a period(default is 20 seconds)

Configurando o modo blockmac

No script de configuração abaixo habilitamos o port-security para aprender 4 endereços MAC na interface G1/0/5 de forma dinâmica e com o modo de intrusão blockmac. Os endereços MAC abaixo foram aprendidos previamente de forma dinâmica.

port-security enable
#
interface GigabitEthernet1/0/5
 port access vlan 2
 port-security max-mac-count 4 
 port-security port-mode autolearn 
 port-security intrusion-mode blockmac 
 port-security mac-address security 000c-29c1-434c vlan 2
 port-security mac-address security 1c39-470d-494d vlan 2
 port-security mac-address security 98fc-e675-749c vlan 2
 port-security mac-address security 54fa-f22f-ab4e vlan 2

Comando display

Para visualizar a lista de endereços MAC bloqueados (quando o aprendizado dos 4 endereços MAC foi excedido na porta G1/0/5).

[Switch] display port-security mac-address block
MAC ADDR             From Port                  VLAN ID
c43c-b856-8cfd       GigabitEthernet1/0/5       2
b430-e029-5009       GigabitEthernet1/0/5       2
0456-291e-0b4a       GigabitEthernet1/0/5       2
2e57-5632-6b84       GigabitEthernet1/0/5       2
52aa-fc03-3123       GigabitEthernet1/0/5       2

Obs: O tráfego legitimo dos endereços MAC inserido na configuração não é afetado durante o modo de intrusão.

Configurando o modo disableport

Uma vez que a mesma configuração é efetuada mas alterando o modo para disableport, toda a interface é colocada em shutdown após exceder o numero de endereços MAC permitidos na configuração.

[Switch-GigabitEthernet1/0/5]port-security intrusion-mode disableport 
[Switch-GigabitEthernet1/0/5]
%Apr 26 12:26:04:20 2000 Switch PORTSEC/1/VIOLATION:
 OID: 1.3.6.1.4.1.43.45.1.10.2.26.1.3.2 
 An intrusion occurs! 
 IfIndex: 9437188 
 Port:GigabitEthernet1/0/5 
 MAC Addr: 1C:56:8F:2D:66:0C 
 VLAN id:2 
 IfAdminStatus: 1 
%Apr 26 12:26:04:341 2000 Switch IFNET/4/LINK UPDOWN:
 GigabitEthernet1/0/5: link status is DOWN 
#Apr 26 12:26:04:472 2000 Switch IFNET/4/INTERFACE UPDOWN:

Para retornar o tráfego da porta G1/0/5, execute o comando (shut/undo shut) e certifique que apenas há tráfego com o endereço MAC de origem apenas para os endereços descritos na interface.

Obs: no modo disableport-temporarily, após um período a porta voltaria normalmente a comunicação.

Até logo!

Outros artigos de referencia

http://www.comutadores.com.br/switches-3com-4800g-port-security/
http://www.comutadores.com.br/video-port-security/
http://www.comutadores.com.br/comware-trocando-o-endereco-mac-de-uma-porta-com-port-security-habilitado/

Vídeo: Port-security

O port security é uma funcionalidade de camada 2 que impõe limites para o número de endereços MAC permitidos (aprendidos) por uma determinada porta do switch e faz o registro dos endereços MAC válidos para aquela interface, de maneira estática ou dinâmica.

A feature port security permite o aprendizado dinâmico de endereços MAC vinculados a uma determinada interface Ethernet de um host para fins de segurança, não permitindo que outros dispositivos funcionem naquela interface; ou que aquele endereço MAC registrado funcione em outra porta. Se a condição não for satisfeita (a utilização do MAC correto), a porta entrará em estado de violação e não trafegará dados. A endereço MAC fica registrado na configuração da porta junto com o comando port security.

Até logo!

Comware: Trocando o endereço MAC de uma porta com Port-security habilitado

Galera, quando configuramos o port-security em uma interface Ethernet de um Switch, aquela porta aprenderá o endereço MAC da máquina conectada e não permitirá que outra máquina funcione naquela porta (caso você tenha configurado o aprendizado de apenas um endereço MAC).

Uma vez aprendido o endereço MAC de um host, este não poderá conectar-se em outra porta caso o port-security esteja habilitado.

No post http://www.comutadores.com.br/switches-3com-4800g-port-security/ há mais informações da configuração do port-security.

Logo abaixo segue o exemplo de configuração de um Switch HP 1910 com a porta configurada com port-security:

< HP\v1910_SW04> display current interface giga1/0/8
#
interface GigabitEthernet1/0/8
port-security max-mac-count 1
port-security port-mode autolearn
port-security mac-address security 0040-63c0-aaaa vlan 1
#

Mas há cenários que é preciso trocar uma máquina queimada ou por qualquer outro motivo. Nesse caso ao conectarmos a nova placa de rede ao Switch aparecerá a seguinte mensagem gerada de log, alertando sobre a impossibilidade de comunicação do novo host:

[HP\v1910_SW04]
#Apr 27 07:14:21:820 2000 HP\v1910_SW04 IFNET/4/INTERFACE UPDOWN:
 Trap 1.3.6.1.6.3.1.1.5.4: Interface 9437191 is Up, ifAdminStatus is 1, ifOperStatus is 1
#Apr 27 07:14:22:025 2000 HP\v1910_SW04 MSTP/1/PFWD:
 Trap 1.3.6.1.4.1.25506.8.35.14.0.1: Instance 0's Port 0.9437191 has been set to forwarding state!
%Apr 27 07:14:22:225 2000 HP\v1910_SW04 IFNET/3/LINK_UPDOWN: GigabitEthernet1/0/8 link status is UP.
%Apr 27 07:14:22:355 2000 HP\v1910_SW04 MSTP/6/MSTP_FORWARDING: Instance 0's port GigabitEthernet1/0/8 has been set to forwarding state.
%Apr 27 07:14:22:535 2000 HP\v1910_SW04 PORTSEC/5/PORTSEC_VIOLATION: -IfName=GigabitEthernet1/0/8-MACAddr=00:90:DC:05:E9:4F-VlanId=-1-IfStatus=Up; Intrusion detected.
%Apr 27 07:14:23:270 2000 HP\v1910_SW04 PORTSEC/5/PORTSEC_VIOLATION: -IfName=GigabitEthernet1/0/8-MACAddr=00:90:DC:05:E9:4F-VlanId=-1-IfStatus=Up; Intrusion detected.

Trocando o endereço MAC

Para resolver essa questão, desconecte o novo host do Switch para cessar a mensagem de log. Já para remoção do endereço basta copiar a linha que contem o endereço MAC.

[HP\v1910_SW04-GigabitEthernet1/0/8]undo  port-security mac-address security 0040-63c0-aaaa vlan 1
         --- 1 security MAC address(es) deleted. ---

Conecte a nova máquina e espere o Switch aprender o novo endereço MAC (após este iniciar a primeira comunicação com a rede) …

[HP\v1910_SW04]
#Apr 27 07:16:01:290 2000 HP\v1910_SW04 IFNET/4/INTERFACE UPDOWN:
 Trap 1.3.6.1.6.3.1.1.5.4: Interface 9437191 is Up, ifAdminStatus is 1, ifOperStatus is 1
#Apr 27 07:16:01:495 2000 HP\v1910_SW04 MSTP/1/PFWD:
 Trap 1.3.6.1.4.1.25506.8.35.14.0.1: Instance 0's Port 0.9437191 has been set to forwarding state!
%Apr 27 07:16:01:705 2000 HP\v1910_SW04 IFNET/3/LINK_UPDOWN: GigabitEthernet1/0/8 link status is UP.
%Apr 27 07:16:01:835 2000 HP\v1910_SW04 MSTP/6/MSTP_FORWARDING: Instance 0's port GigabitEthernet1/0/8 has been set to forwarding state.
%Apr 27 07:16:02:016 2000 HP\v1910_SW04 PORTSEC/6/PORTSEC_LEARNED_MACADDR: -IfName=GigabitEthernet1/0/8-MACAddr=00:90:DC:05:E9:4F-VlanId=1; A new MAC address learned.
#
[HP\v1910_SW04]disp current-configuration interface giga1/0/8
#
interface GigabitEthernet1/0/8
 port-security max-mac-count 1
 port-security port-mode autolearn
 port-security mac-address security 0090-dc05-e94f vlan 1
#

Pronto, a porta está configurada com port-security e vinculará as restrições de endereço MAC como anteriormente.

Até logo.

Switches 3Com 4800G – Port Security

A feature port security permite o aprendizado dinâmico de endereço MAC vinculado a uma interface GibabitEthernet para fins de segurança, não permitindo que outro host funcione naquela interface. Se a condição não for satisfeita (a utilização do MAC correto), a porta entrará em estado de violação e não trafegará dados.

É possível configurar a quantidade de endereços MAC aprendidos dinamicamente pela Interface, inserindo assim (após o aprendizado estático ou dinâmico dos endereços) entradas fixas na tabela de endereços MAC.

A feature é bastante útil em ambientes que os hosts/Servidores precisam ser vinculados a uma interface (como em CPDs, DataCenters, etc) ou em localidades que o usuário costuma migrar a estação sem comunicar a equipe de suporte!

As configurações aprendidas serão atribuídas à configuração da memória volátil. Se o dispositivo for reiniciado ele aprenderá novos endereços. Na necessidade de manter os endereços aprendidos, sugerimos salvar a configuração.

Configuração

[4800] port-security enable
! Habilitando o port-security no Switch
[4800] interface gigabitethernet 1/0/1
[4800-GigabitEthernet1/0/1] port-security max-mac-count 1
! Habilitando o port-security para o aprendizado dinamico de
! apenas 1 endereço MAC ( o primeiro descoberto)
[4800-GigabitEthernet1/0/1] port-security port-mode autolearn
! Habilitando o port-security para aprendizado dinamico do endereço
! MAC para a interface GigabitEthernet 1/0/1

Obs: Após o aprendizado do endereço MAC, a interface GigabitEthernet não permitirá a conexão de outra máquina na porta giga 1/0/1. O endereço aprendido na interface giga 1/0/1 não poderá ser utilizado em outra interface no mesmo Switch. Sugerimos não configurar o Port-Security em interfaces TRUNK

Display

Segue abaixo a configuração da interface após o aprendizado:

#
interface GigabitEthernet1/0/1
port access vlan 10
stp edged-port enable
port-security max-mac-count 1
port-security port-mode autolearn
port-security mac-address security 000a-aab2-a33b vlan 10

! A saída abaixo relata a troca de máquina na int GigabitEthernet 1/0/1

%Apr 26 17:23:01:527 2000 SBSSWCOR03 PORTSEC/1/VIOLATION:
OID: 1.3.6.1.4.1.43.45.1.10.2.26.1.3.2
An intrusion occurs!
IfIndex: 9437189
Port:GigabitEthernet1/0/1
MAC Addr: 00:0F:DF:B4:FA:49
VLAN id:10
IfAdminStatus: 1