Port Security Mitigera VLAN attacker
Om en enhet ansluten till en switchport använder en MAC-adress som inte finns i listan över säkra adresser, registrerar port security en överträdelse och vidtar åtgärder baserade på det konfigurerade överträdelseläget (violation mode).
Det finns tre olika överträdelselägen som kan konfigureras för att hantera sådana situationer:
- Protect: Port security blockerar trafiken från den obehöriga MAC-adressen på porten men skickar inga meddelanden eller loggar felet.
- Restrict: Port security blockerar trafik från den obehöriga MAC-adressen på porten och loggar överträdelsen. Ett syslog-meddelande genereras (inte skickas), och en räknare ökar för varje överträdelse.
- Shutdown (standard): Port security sätter omedelbart porten i error-disabled-läge, vilket stänger av all trafik. En manuell återställning krävs med kommandona
shutdownochno shutdown.
Switch(config-if)# switchport port-security violation { protect | restrict | shutdown}
Security Violation Mode Comparison
| Violation Mode |
Discards Offending Traffic |
Sends Syslog Message |
Increase Violation Counter |
Shuts Down Port |
|---|---|---|---|---|
| Protect | Yes | No | No | No |
| Restrict | Yes | Yes | Yes | No |
| Shutdown | Yes | Yes | Yes | Yes |
Följande exempel visar hur en administratör ändrar säkerhetsöverträdelseläget för interfacet f0/1 till ”restrict”. Utdata från kommandot show port-security interface bekräftar att ändringen har genomförts.
S1(config)# interface f0/1 S1(config-if)# switchport port-security violation restrict S1(config-if)# end S1# S1# show port-security interface f0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Restrict Aging Time : 10 mins Aging Type : Inactivity SecureStatic Address Aging : Disabled Maximum MAC Addresses : 2 Total MAC Addresses : 2 Configured MAC Addresses : 1 Sticky MAC Addresses : 1 Last Source Address:Vlan : a41f.7272.676a:1 Security Violation Count : 0 S1#
Portar i error-disabled tillstånd
När säkerhetsöverträdelseläget är inställt på shutdown och en överträdelse inträffar, stängs porten av och placeras i error-disabled-läge, vilket innebär att ingen trafik kan skickas eller tas emot på porten.
I exemplet nedan visar jag hur detta fungerar:
Konfiguration av överträdelseläget:
- Kommandot
switchport port-security violation shutdownställer in port security på att använda shutdown-läget. Detta innebär att om en säkerhetsöverträdelse inträffar (t.ex. en obehörig MAC-adress), kommer porten att stängas av och sättas i error-disabled-läge.
S1(config)# int fa0/1 S1(config-if)# switchport port-security violation shutdown S1(config-if)# end S1# *Mar 1 00:24:15.599: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down *Mar 1 00:24:16.606: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down *Mar 1 00:24:19.114: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up *Mar 1 00:24:20.121: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
Överträdelse upptäcks:
- När en ny enhet med en MAC-adress som inte finns i listan över säkra MAC-adresser ansluts, registreras en säkerhetsöverträdelse. Konsolen visar detta som en händelse med meddelanden som:
%PM-4-ERR_DISABLE: Indikerar att porten sätts i err-disable-läge.%PORT_SECURITY-2-PSECURE_VIOLATION: Visar vilken MAC-adress som orsakade överträdelsen och på vilken port det hände.
*Mar 1 00:24:32.829: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/1, putting Fa0/1 in err-disable state *Mar 1 00:24:32.838: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address a5e1.1272.018c on port FastEthernet0/1. *Mar 1 00:24:33.836: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down *Mar 1 00:24:34.843: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down S1#
Portstatus ändras:
- Porten går från att vara up till err-disabled. Detta indikeras i kommandoutdata som:
FastEthernet0/1 is down, line protocol is down (err-disabled).
S1# show interface fa0/1 | include down
FastEthernet0/18 is down, line protocol is down (err-disabled)
(output omitted)
- LED och portens status:
- LED-lampan på porten slocknar, vilket bekräftar att porten har inaktiverats.
- Kommandot
show port-security interfacevisar att portstatus är Secure-shutdown, vilket är statusen för en port med port security i shutdown-läge.
- Räknare för säkerhetsöverträdelser:
- Säkerhetsöverträdelsens räknare (
Security Violation Count) ökar med varje överträdelse.
- Säkerhetsöverträdelsens räknare (
S1# show port-security interface fa0/1 Port Security : Enabled Port Status : Secure-shutdown Violation Mode : Shutdown Aging Time : 10 mins Aging Type : Inactivity SecureStatic Address Aging : Disabled Maximum MAC Addresses : 2 Total MAC Addresses : 2 Configured MAC Addresses : 1 Sticky MAC Addresses : 1 Last Source Address:Vlan : a41f.7273.018c:1 Security Violation Count : 1 S1#
Manuell återställning krävs:
- För att återaktivera porten måste administratören manuellt använda kommandona
shutdownföljt avno shutdown.
S1(config)# interface fa0/1 S1(config-if)# shutdown S1(config-if)# *Mar 1 00:39:54.981: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down S1(config-if)# no shutdown S1(config-if)# *Mar 1 00:40:04.275: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up *Mar 1 00:40:05.282: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up S1(config-if)#
Verifiera Port security
När port security har konfigurerats på en switch, kontrollera varje interface för att se till att inställningarna är korrekta och att de statiska MAC-adresserna är rätt konfigurerade.
För att visa port security-inställningarna för hela switchen, använd kommandot show port-security. I exemplet visas att endast en port är konfigurerad med switchport port-security.
S1# show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) --------------------------------------------------------------------------- Fa0/1 2 2 0 Shutdown --------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 1 Max Addresses limit in System (excluding one mac per port) : 8192 S1#
Port Säkerhet för Ett Specifikt interface
Använd kommandot show port-security interface för att visa detaljer för ett specifikt interface, som tidigare visats och i detta exempel.
S1# show port-security interface fastethernet 0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 10 mins
Aging Type : Inactivity
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 2
Total MAC Addresses : 2
Configured MAC Addresses : 1
Sticky MAC Addresses : 1
Last Source Address:Vlan : a41f.7273.018c:1
Security Violation Count : 0
S1#
Verifiera lärda MAC-adresser
För att verifiera att MAC-adresserna ”fastnar” i konfigurationen, använd kommandot show run.
S1# show run interface fa0/1 Building configuration... Current configuration : 365 bytes ! interface FastEthernet0/1 switchport mode access switchport port-security maximum 2 switchport port-security mac-address sticky switchport port-security mac-address sticky a41f.7272.676a switchport port-security mac-address aaaa.bbbb.1234 switchport port-security aging time 10 switchport port-security aging type inactivity switchport port-security end S#1
Verifiera Säkra MAC-adresser
För att visa alla säkra MAC-adresser som är manuellt konfigurerade eller dynamiskt inlärda på alla switchportar, använd kommandot show port-security address som visas i exemplet.
1# show port-security address
Secure Mac Address Table<
-----------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 a41f.7272.676a SecureSticky Fa0/1 -
1 aaaa.bbbb.1234 SecureConfigured Fa0/1 -
-----------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 1
Max Addresses limit in System (excluding one mac per port) : 8192
S1#