Por padrão, todas as interfaces em um switch Cisco são ativadas. Isso significa que um atacante pode se conectar à sua rede através de uma tomada de parede e potencialmente ameaçar sua rede. Se você sabe quais dispositivos estarão conectados a quais portas, você pode usar o recurso de segurança da Cisco chamado port security. Usando a segurança da porta, um administrador de rede pode associar endereços MAC específicos com a interface, o que pode impedir que um atacante conecte seu dispositivo. Desta forma, você pode restringir o acesso a uma interface para que somente os dispositivos autorizados possam usá-la. Se um dispositivo não autorizado estiver conectado, você pode decidir que ação o switch irá tomar, por exemplo descartando o tráfego e desligando a porta.
Para configurar a segurança da porta, três passos são necessários:
1. defina a interface como uma interface de acesso usando o subcomando de interface de acesso em modo switchport
2. habilite a segurança da porta usando o subcomando de interface de segurança da porta switchport
3. defina quais endereços MAC são permitidos para enviar frames através desta interface usando o subcomando switchport port-security MAC_ADDRESS interface ou usando o subcomando swichport port-security mac-address sticky interface para aprender dinamicamente o endereço MAC do host atualmente conectado
dois passos são opcionais:
1. defina qual ação o switch tomará ao receber um frame de um dispositivo não-horizado usando o subcomando interface security violation {protect | restrict | shutdown}. Todas as três opções descartam o tráfego do dispositivo não autorizado. As opções de restrição e desligamento enviam uma mensagem de log quando ocorre uma violação. O modo de desligamento também desliga a porta.
2. defina o número máximo de endereços MAC que podem ser usados na porta usando o comando de submodo de interface switchport port-security maximum NUMBER interface submode
O exemplo seguinte mostra a configuração da segurança da porta em um switch Cisco:
Primeiro, precisamos habilitar a segurança da porta e definir quais endereços MAC são permitidos para enviar frames:
Next, usando o show port-security interface fa0/1 podemos ver que o switch aprendeu o endereço MAC do host A:
Por padrão, o número máximo de endereços MAC permitidos é um, então se conectarmos outro host à mesma porta, a violação de segurança ocorrerá:
O código de status de err-disabled significa que a violação de segurança ocorreu na porta.
Para habilitar a porta, precisamos usar os subcomandos da interface de desligamento e sem desligamento.