Standardmäßig sind alle Schnittstellen eines Cisco-Switches eingeschaltet. Das bedeutet, dass ein Angreifer über eine Steckdose eine Verbindung zu Ihrem Netzwerk herstellen und Ihr Netzwerk bedrohen könnte. Wenn Sie wissen, welche Geräte an welche Ports angeschlossen werden, können Sie die Cisco-Sicherheitsfunktion „Port Security“ verwenden. Mit Hilfe der Portsicherheit kann ein Netzwerkadministrator bestimmte MAC-Adressen mit der Schnittstelle verknüpfen, wodurch ein Angreifer daran gehindert werden kann, sein Gerät anzuschließen. Auf diese Weise können Sie den Zugriff auf eine Schnittstelle beschränken, so dass nur autorisierte Geräte diese nutzen können. Wenn ein nicht autorisiertes Gerät angeschlossen wird, können Sie entscheiden, welche Maßnahmen der Switch ergreift, z. B. das Verwerfen des Datenverkehrs und das Abschalten des Ports.
Um die Portsicherheit zu konfigurieren, sind drei Schritte erforderlich:
1. Definieren Sie die Schnittstelle als Zugriffsschnittstelle, indem Sie den Unterbefehl switchport mode access interface
verwenden2. Aktivieren Sie die Portsicherheit, indem Sie den Unterbefehl switchport port-security interface
verwenden3. Definieren Sie, welche MAC-Adressen Frames über diese Schnittstelle senden dürfen, indem Sie den Unterbefehl switchport port-security mac-address MAC_ADDRESS interface verwenden oder den Unterbefehl swichport port-security mac-address sticky interface verwenden, um die MAC-Adresse des aktuell verbundenen Hosts dynamisch zu lernen
Zwei Schritte sind optional:
1. Definieren Sie, welche Aktion der Switch beim Empfang eines Frames von einem nicht autorisierten Gerät durchführt, indem Sie den Unterbefehl port security violation {protect | restrict | shutdown} interface verwenden. Alle drei Optionen verwerfen den Datenverkehr von dem nicht autorisierten Gerät. Die Optionen restrict und shutdown senden eine Protokollnachricht, wenn eine Verletzung auftritt. Der Modus „Herunterfahren“ schaltet den Anschluss ebenfalls ab.
2. Definieren Sie die maximale Anzahl von MAC-Adressen, die auf dem Port verwendet werden können, indem Sie den Befehl switchport port-security maximum NUMBER interface submode verwenden
Das folgende Beispiel zeigt die Konfiguration der Portsicherheit auf einem Cisco-Switch:
Zunächst müssen wir die Portsicherheit aktivieren und definieren, welche MAC-Adressen Frames senden dürfen:
Nächstes Beispiel: Mit show port-security interface fa0/1 können wir sehen, dass der Switch die MAC-Adresse von Host A gelernt hat:
Standardmäßig ist maximal eine MAC-Adresse erlaubt. Wenn wir also einen anderen Host mit demselben Port verbinden, kommt es zu einer Sicherheitsverletzung:
Der Statuscode err-disabled bedeutet, dass die Sicherheitsverletzung am Port aufgetreten ist.
Um den Port zu aktivieren, müssen wir die Unterbefehle shutdown und no shutdown interface verwenden.