Wie konfiguriert man Port Security?

Port Security - Ein Muss für Switche

Der Mechanismus hinter Port Security soll dazu beitragen, dass nur zugelassene MAC-Adressen im Netzwerk kommunizieren dürfen. Dazu kann man auf einzelnen Access-Ports gewisse MAC-Adressen freigeben. Beispielsweise ist ein Mitarbeiter in einem Unternehmen nur mit einem Computer am Port des Switches, so lässt sich das explizit festlegen. Ist dieser Computer eines Tages defekt und es wird ein neuer Computer angeschlossen, so ensteht eine Violation, da sich die MAC-Adresse entsprechend geändert hat und diese auf dem Port nicht zugelassen ist oder auch das Maximum erschöpft ist. Wie das Ganze konfiguriert wird schauen wir uns jetzt an.

Wichtig: Port Security funktioniert natürlich nur auf Access-Ports, nicht auf Trunks!

Port Security konfigurieren

Grundlegende Aktivierung

Zu Beginn muss natürlich der Port ausgewählt werden, auf dem Port Security aktiviert werden soll. Empfehlenswert ist es, natürlich alle Access-Ports einzubeziehen, um die bestmögliche Sicherheit im Netzwerk zu gewährleisten. Mit dem zweiten Befehl ist standardmäßig ein default-Wert von einer zugelassenen MAC-Adresse gesetzt.

Switch(config)#int fa0/1
Switch(config-if)#switchport port-security

Weiterführende Konfigurationsmöglichkeiten

  1. Der nachfolgende Befehl bietet die Möglichkeit, mehr als nur eine MAC-Adresse je Port zuzulassen, falls es in einem bestimmten Anwendungsfall nötig ist:
Switch(config-if)#switchport port-security maximum 3

2. Es besteht auch die Möglichkeit, sofern auf dem Port noch keine MAC-Adresse vorhanden ist, eine fest einzutragen. Also muss man an dem Endgerät, welches später über den Port angebunden werden soll, die MAC-Adresse raussuchen:

Switch(config-if)#switchport port-security mac-address aaaa.bbbb.ccdd

3. Ist bereits ein Gerät am Port angeschlossen, so kann man diese automatisch erkennen und eintragen lassen. Dies geht über folgenden Kommando:

Switch(config-if)#switchport port-security mac-address sticky

Vorgehen bei Verletzung der Port-Security

Wird gegen die konfigurierten Port Security Richtlinien verstoßen, so hat man die Möglichkeit festzulegen, wie der Switch damit umgehen soll. Hier gibt es drei Auswahlmöglichkeiten zum weiteren Vorgehen:

Switch(config-if)#switchport port-security violation shutdown|restricted|protected
  • shutdown: Wie der Name schon sagt, der Port wird heruntergefahren und damit die Netzwerkverbindung unterbrochen
  • restricted: Frames von nicht-erlaubten MACs werden verworfen und es wird ein Log-Eintrag erzeugt
  • protected: Frames von nicht-erlaubten MACs werden verworfen

Konfiguriert man restricted oder protected, so bleiben die Ports weiterhin aktiv.

Nützliche show-Befehle

Um die Port Security anzuschauen bzw. zu überprüfen, so geht das aber folgendes Kommando:

Switch#show port-security

Um die Konfiguration eines Interfaces anzuschauen, so geht das mit:

Switch#show port-security int fa0/1

Der nachfolgende Befehl zeigt die eingetragenen MAC-Adressen auf dem Switch an:

Switch#show port-security address

Abschluss

Das war es auch schon zum Thema. Port Security ist zwar kein hundertprozentiger Schutz, aber bietet einem potentiellen Angreifer eine weitere Hürde, die er erstmal überwinden muss. Wie immer, möchte man dem Angreifer soviele Steine, wie möglich in den Weg legen, daher ist es absolut zu empfehlen, sich diese Guide als Admin zu Herzen zu nehmen. Weitere Information zum Thema sind hier nachzulesen.

Start the discussion

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert