În mod implicit, toate interfețele de pe un switch Cisco sunt activate. Aceasta înseamnă că un atacator s-ar putea conecta la rețeaua dvs. printr-o priză de perete și v-ar putea amenința rețeaua. Dacă știți ce dispozitive vor fi conectate la ce porturi, puteți utiliza funcția de securitate Cisco numită securitate a porturilor. Prin utilizarea securității porturilor, un administrator de rețea poate asocia adrese MAC specifice cu interfața, ceea ce poate împiedica un atacator să își conecteze dispozitivul. În acest fel, puteți restricționa accesul la o interfață, astfel încât numai dispozitivele autorizate să o poată utiliza. Dacă se conectează un dispozitiv neautorizat, puteți decide ce acțiune va întreprinde comutatorul, de exemplu, respingerea traficului și închiderea portului.
Pentru a configura securitatea portului, sunt necesari trei pași:
1. definiți interfața ca interfață de acces utilizând subcomanda switchport mode access interface
2. activați securitatea portului utilizând subcomanda switchport port-security interface
3. definiți ce adrese MAC sunt autorizate să trimită cadre prin această interfață folosind subcomanda de interfață switchport port-security mac-address MAC_ADDRESS sau folosind subcomanda de interfață swichport port-security mac-address sticky pentru a afla în mod dinamic adresa MAC a gazdei conectate în acel moment
Doi pași sunt opționali:
1. definiți ce acțiune va întreprinde switch-ul la primirea unui cadru de la un dispozitiv neatârnat folosind subcomanda de interfață port security violation {protect | restrict | shutdown}. Toate cele trei opțiuni elimină traficul de la dispozitivul neautorizat. Opțiunile restrict și shutdown trimit un mesaj de jurnal atunci când are loc o încălcare. Modul de închidere închide, de asemenea, portul.
2. definiți numărul maxim de adrese MAC care pot fi utilizate pe port folosind comanda switchport port-security maximum NUMBER interface submode
Exemplul următor arată configurarea securității portului pe un switch Cisco:
În primul rând, trebuie să activăm securitatea portului și să definim ce adrese MAC sunt autorizate să trimită cadre:
În continuare, folosind show port-security interface fa0/1, putem vedea că switch-ul a învățat adresa MAC a gazdei A:
În mod implicit, numărul maxim de adrese MAC permise este unul, astfel încât, dacă conectăm o altă gazdă la același port, va avea loc încălcarea securității:
Codul de stare err-disabled înseamnă că a avut loc încălcarea securității pe port.
Pentru a activa portul, trebuie să folosim subcomandațiile shutdown și no shutdown interface.
.