Di default, tutte le interfacce su uno switch Cisco sono attivate. Questo significa che un aggressore potrebbe connettersi alla vostra rete attraverso una presa a muro e potenzialmente minacciare la vostra rete. Se sapete quali dispositivi saranno collegati a quali porte, potete usare la funzione di sicurezza Cisco chiamata sicurezza delle porte. Usando la sicurezza delle porte, un amministratore di rete può associare specifici indirizzi MAC all’interfaccia, il che può impedire a un aggressore di collegare il suo dispositivo. In questo modo è possibile limitare l’accesso a un’interfaccia in modo che solo i dispositivi autorizzati possano usarla. Se viene collegato un dispositivo non autorizzato, è possibile decidere quale azione lo switch intraprenderà, per esempio scartando il traffico e spegnendo la porta.
Per configurare la sicurezza della porta, sono necessari tre passi:
1. definire l’interfaccia come un’interfaccia di accesso utilizzando il sottocomando switchport mode access interface
2. abilitare la sicurezza della porta utilizzando il sottocomando switchport port-security interface
3. definire quali indirizzi MAC sono autorizzati a inviare frame attraverso questa interfaccia usando il sottocomando di interfaccia switchport port-security mac-address MAC_ADDRESS o usando il sottocomando di interfaccia swichport port-security mac-address sticky per imparare dinamicamente l’indirizzo MAC dell’host attualmente connesso
Due passi sono opzionali:
1. definire quale azione lo switch farà quando riceve un frame da un dispositivo non autorizzato usando il sottocomando di interfaccia port security violation {protect | restrict | shutdown}. Tutte e tre le opzioni scartano il traffico dal dispositivo non autorizzato. Le opzioni restrict e shutdown inviano un messaggio di log quando si verifica una violazione. La modalità shutdown spegne anche la porta.
2. definire il numero massimo di indirizzi MAC che possono essere utilizzati sulla porta utilizzando il comando switchport port-security maximum NUMBER interface submode
L’esempio seguente mostra la configurazione della sicurezza delle porte su uno switch Cisco:
Prima di tutto, dobbiamo abilitare la sicurezza delle porte e definire quali indirizzi MAC sono autorizzati a inviare frame:
Poi, usando lo show port-security interface fa0/1 possiamo vedere che lo switch ha imparato l’indirizzo MAC dell’host A:
Di default, il numero massimo di indirizzi MAC consentiti è uno, quindi se colleghiamo un altro host alla stessa porta, si verificherà una violazione della sicurezza:
Il codice di stato di err-disabled significa che la violazione della sicurezza si è verificata sulla porta.
Per abilitare la porta, dobbiamo usare i sottocomandi shutdown e no shutdown interface.