Enheter på lager 2 betraktas som den svagaste delen av ett företags säkerhetsstruktur. Lager 2-attacker är relativt enkla för hackare att utföra, men dessa hot kan motverkas med vanliga säkerhetsåtgärder för detta lager.
Inaktivera oanvända portar
Innan en switch används i drift bör samtliga switchportar säkras. Säkerhetsmetoderna för portarna varierar beroende på deras användningsområde. Till exempel, om en Catalyst 2960-switch har 24 portar och det finns tre Fast Ethernet-anslutningar i bruk, är det en god praxis att inaktivera de 21 oanvända portarna. Navigera till varje oanvänd port och exekvera Cisco IOS-kommandot shutdown. Om en port måste aktiveras igen vid ett senare tillfälle kan den aktiveras med kommandot no shutdown.
För att konfigurera en grupp av portar, använd kommandot interface range.
Switch(config)# interface range type module/first-number – last-number
Till exempel, för att stänga av portarna från Fa0/8 till Fa0/24 på S1, skulle du ange följande kommando.
S1(config)# interface range fa0/8 - 24 S1(config-if-range)# shutdown %LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down (output omitted) %LINK-5-CHANGED: Interface FastEthernet0/24, changed state to administratively down S1(config-if-range)#
Mildra attacker mot MAC-adresstabellen
Det enklaste och mest effektiva sättet att förhindra attacker mot överflöd i MAC-adresstabellen är att aktivera port security. Portskydd begränsar antalet giltiga MAC-adresser som tillåts på en port. Det låter en administratör manuellt konfigurera MAC-adresser för en port eller tillåta att switchen dynamiskt lär sig ett begränsat antal MAC-adresser. När en port som är konfigurerad med portskydd tar emot en ram jämförs avsändarens (source)-MAC-adressen med listan över säkra source-MAC-adresser som antingen manuellt konfigurerats eller dynamiskt lärt sig på porten.
Genom att begränsa antalet tillåtna MAC-adresser per port kan port-security användas för att kontrollera obehörig åtkomst till nätverket, som visas i figuren.
Obs: MAC-adresserna visas som 24 bitar för enkelhetens skull.
Aktivera port security
Notera i exemplet nedan att kommandot switchport port-security avvisades. Det beror på att portskydd endast kan konfigureras på manuellt konfigurerade accessportar eller manuellt konfigurerade trunkportar. Som standard är Lager 2 switchportar inställda på dynamisk auto (trunking på). Därför är porten i exemplet konfigurerad med kommandot switchport mode access i interfacets konfigurationsläget.
Obs: Trunkportssäkerhet ligger utanför kursens omfattning.
S1(config)# interface f0/1
S1(config-if)# switchport port-security
Command rejected: FastEthernet0/1 is a dynamic port.
S1(config-if)# switchport mode access
S1(config-if)# switchport port-security
S1(config-if)# end
S1#
Använd kommandot show port-security interface för att visa de aktuella säkerhetsinställningarna för FastEthernet 0/1, som visas i exemplet. Observera hur port-security är aktiverat, portstatus är Secure-down vilket betyder att inga enheter är anslutna och ingen överträdelse har inträffat, överträdelsemoden är Shutdown, och hur det maximala antalet MAC-adresser är 1. Om en enhet ansluts till porten, skulle switchportens status visa Secure-up och switchen skulle automatiskt lägga till enhetens MAC-adress som en säker MAC. I detta exempel är ingen enhet ansluten till porten.
S1# show port-security interface f0/1 Port Security : Enabled Port Status : Secure-down Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0000.0000.0000:0 Security Violation Count : 0 S1#
Notera: Om en aktiv port är konfigurerad med kommandot switchport port-security och fler än en enhet är ansluten till den porten, kommer porten att övergå till tillståndet error-disabled. Detta tillstånd diskuteras senare i detta avsnitt.
Efter att port-security har aktiverats kan andra specifika portskyddsinställningar konfigureras, som visas i exemplet.
S1(config-if)# switchport port-security ? aging Port-security aging commands mac-address Secure mac address maximum Max secure addresses violation Security violation mode S1(config-if)# switchport port-security
Att begränsa antal tillåtna MAC-adresser:
För att ange det maximala antalet MAC-adresser som tillåts på en port, använd följande kommando:
Switch(config-if)# switchport port-security maximum value
Standardvärdet (default) för portskydd är 1. Det maximala antalet säkra MAC-adresser som kan konfigureras beror på switchen och IOS. I detta exempel är det maximala antalet 8192.
S1(config)# interface f0/1
S1(config-if)# switchport port-security maximum ?
<1-8192> Maximum addresses
S1(config-if)# switchport port-security maximum
Att bestämma hur switchen lär sig MAC-adresser
Switchen kan konfigureras för att lära sig om MAC-adresser på en säker port på ett av tre sätt:
- Manuellt konfigurerad
Administratören konfigurerar manuellt en statisk MAC-adress(er) genom att använda följande kommando för varje säkrad MAC-adress på porten:
Switch(config-if)# switchport port-security mac-address mac-address
- Dynamiskt lärd
När kommandot switchport port-security matas in säkras den aktuella source-MAC-adressen för den enhet som är ansluten till porten automatiskt, men den läggs inte till i start-config filen. Om switchen startas om måste porten åter lära sig enhetens MAC-adress. - Dynamiskt lärd – Sticky
Administratören kan aktivera switchen att dynamiskt lära sig MAC-adressen och ”fästa” dem till den aktuella konfigurationen genom att använda följande kommando:
Switch(config-if)# switchport port-security mac-address sticky
Att spara den aktuella konfigurationen kommer att skriva den dynamiskt inlärda MAC-adressen till NVRAM.
Följande exempel demonstrerar en komplett port-säkerhetskonfiguration för FastEthernet 0/1 med en värd ansluten till port Fa0/1.
- Administratören anger ett maximum av 2 MAC-adresser,
- konfigurerar manuellt en säker MAC-adress,
- och konfigurerar sedan porten att dynamiskt lära sig ytterligare säkra MAC-adresser upp till maximum på 2 säkra MAC-adresser.
Använd kommandot show port-security interface och show port-security address för att verifiera konfigurationen.
*Mar 1 00:12:38.179: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up *Mar 1 00:12:39.194: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up S1#conf t Enter configuration commands, one per line. End with CNTL/Z. S1(config)# S1(config)# interface fa0/1 S1(config-if)# switchport mode access S1(config-if)# switchport port-security S1(config-if)# switchport port-security maximum 2 S1(config-if)# switchport port-security mac-address aaaa.bbbb.1234 S1(config-if)# switchport port-security mac-address sticky S1(config-if)# end S1# show port-security interface fa0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 2 Total MAC Addresses : 2 Configured MAC Addresses : 1 Sticky MAC Addresses : 1 Last Source Address:Vlan : a41f.7272.676a:1 Security Violation Count : 0 <S1# show port-security address Secure Mac Address Table ----------------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 1 a41f.7272.676a SecureSticky Fa0/1 - 1 aaaa.bbbb.1234 SecureConfigured Fa0/1 - ----------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 1 Max Addresses limit in System (excluding one mac per port) : 8192 S1#
Utdata från kommandot show port-security interface verifierar att port-säkerhet är aktiverad, det finns en dator ansluten till porten (dvs. Secure-up), totalt kommer 2 MAC-adresser att tillåtas, och S1 har lärt sig en MAC-adress statiskt och en MAC-adress dynamiskt (dvs. sticky).
Utdata från kommandot show port-security address listar de två inlärda MAC-adresserna.
Port Security Aging
Port Security Aging kan användas för att ställa in åldringstiden för statiska och dynamiska säkra adresser på en port. Två typer av åldrande stöds per port:
- Absolute – De säkra adresserna på porten raderas efter den angivna åldringstiden.
- Inactivity – De säkra adresserna på porten raderas endast om de är inaktiva under den angivna åldringstiden.
Använd Aging för att ta bort säkra MAC-adresser på en säker port utan att manuellt radera de befintliga säkra MAC-adresserna. Åldrandegränser kan också ökas för att säkerställa att tidigare säkra MAC-adresser kvarstår, även medan nya MAC-adresser läggs till. Aging (åldring) av statiskt konfigurerade säkra adresser kan aktiveras eller inaktiveras på portbasis.
Använd kommandot switchport port-security aging för att aktivera eller inaktivera statiskt åldrande för den säkra porten, eller för att ställa in åldringstid eller typ.
Switch(config-if)# switchport port-security aging {static | time time | type {absolute | inactivity}}
Parametrarna för kommandot beskrivs i tabellen nedan.
| Parameter | Description |
|---|---|
| Static | Aktiverar åldrande för statiskt konfigurerade säkra adresser på denna port. |
| time time | Specificera åldrandetiden för denna port. Intervallet är 0 till 1440 minuter. Om tiden är 0 är åldrandet inaktiverat för denna port. |
| type absolute | Ställ in absolut åldringstid. Alla säkra adresser på denna port åldras ut exakt efter den angivna tiden (i minuter) och tas bort från listan över säkra adresser. |
| Type inactivity | Ställ in åldringstypen för inaktivitet. De säkra adresserna på denna port åldras ut endast om det inte finns någon datatrafik från den säkra källadressen under den angivna tidsperioden |
Exemplet visar hur en administratör konfigurerar åldringstypen till 10 minuters inaktivitet och använder kommandot ”show port-security interface” för att verifiera konfigurationen.
S1(config)# interface fa0/1 S1(config-if)# switchport port-security aging time 10 S1(config-if)# switchport port-security aging type inactivity S1(config-if)# end S1# show port-security interface fa0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 10 mins Aging Type : Inactivity SecureStatic Address Aging : Disabled Maximum MAC Addresses : 2 Total MAC Addresses : 2 Configured MAC Addresses : 1 Sticky MAC Addresses : 1 Last Source Address:Vlan : a41f.7272.676a:1 Security Violation Count : 0 S1#