Comprar ou Renovar
Comprar ou Renovar
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Criar um novo artigo
479
Apresentações
1
Útil
0
Comentários

Implementando segurança a nível de acesso com Port-Security

Janderson Pontes
Spotlight
Spotlight

em ‎11-26-2024 04:20 AM

Aprenda a configurar o Port-Security e reduza vulnerabilidades em seu ambiente. 

Entendendo e Configurando a Feature

O Port-Security é um recurso de segurança utilizado a nível de camada de acesso, onde geralmente temos posicionados Switches Layer 2 e que tem por objetivo, restringir uma interface em específico para que apenas um Endpoint específico possa ser conectado, baseado no endereço MAC de origem dos frames enviados. Isso reduz a vulnerabilidade a ataques comuns a nível de camada enlace como os do tipo MAC Spoofing e CAM Overflow, por exemplo. 

Na parte de configuração, devemos habilitar a feature na interface, alterando ou não o número máximo de endereços MAC permitidos associados a uma interface, determinar uma ação em caso de violação de segurança e definir a forma de aprendizagem de endereços MAC, entre outras não muito utilizadas no dia a dia de mercado.  

Alteramos o número máximo de endereços MAC permitidos em cenários onde temos PCs conectados a IP Phones ou quando temos um SRV Host rodando várias instâncias virtuais, como o Microsoft Hyper-V ou VMware por exemplo.

Em caso de violação de segurança, podemos dizer ao Switch para descartar o tráfego ofensivo, desligar ou não a interface de conexão, bem como enviar mensagens Syslog e SNMP para gerenciamento. Essas ações são do tipo protect, restrict ou shutdown. Ações do tipo protect e restrict bloqueiam o tráfego sem desativar a interface, com a diferença de que a ação restrict incrementa a contagem de violação. A ação do tipo shutdown desativa a interface gerando mensagens de log e Traps SNMP. A opção shutdown coloca a interface em um estado de desabilitado por erro (err-disabled).

Por fim, e não menos importante podemos definir se a aprendizagem dos endereços MAC será do tipo dinâmica (sticky learn) ou estática, que é quando nós engenheiros configuramos o endereço MAC. Não recomendo de forma alguma, por gerar um enorme esforço administrativo. 

Por simplicidade, considere um cenário onde temos um PC conectado a interface Fa0/1 do Switch. Vamos habilitar a feature nessa interface, definindo o modo dinâmico de aprendizagem de endereços MAC e a ação de violação shutdown.

JandersonPontes_0-1732584073869.png

Não determinar o violation shutdown significa que a interface vai para o default, que é shutdown. O shutdown já está lá por default.

A saída abaixo verifica em quais interfaces habilitamos a feature.

JandersonPontes_1-1732584122869.png

Podemos verificar as configurações de port-security por interface através da saída abaixo.

JandersonPontes_2-1732584189441.png

Por boas práticas recomenda-se não configurar port-security em interfaces do tipo Trunk e em conjunto a outras features como 802.1x (ISE) e Etherchannel.

Outros comandos 

JandersonPontes_3-1732587294797.png

Faça o seus testes e bons estudos.   

Compartilhe esse conteúdo com alunos e profissionais que precisam dominar esse tópico para os seus exames de certificação. 

 

Primeiros Passos

Encontre respostas, faça perguntas e conecte-se com nossa comunidade de especialistas da Cisco de todo o mundo.

Estamos felizes por você estar aqui! Participe de conversas e conecte-se com sua comunidade.

Quick links

Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo:

Pergunte aos Especialistas Comunidade de FSO Vídeo dos últimos eventos
Customers Also Viewed These Support Documents