Saltar al contenido

Conceptos de seguridad de la puerta de enlace

Resumen

Cuando se configura la seguridad de una red, es importante aprovechar las características de seguridad de todos los dispositivos desplegados. Una de las características de seguridad disponibles con los conmutadores Cisco (entre otros proveedores) es la seguridad de las puertas de conmutación . Aunque el nombre de esta característica es un poco vago, permite limitar el número y el tipo de dispositivos que se permiten en los conmutadores individuales. Este artículo echa un vistazo a los conceptos que hay detrás de la función de seguridad de las puertas de conmutación.

Violaciones de Switchport

Antes de entrar en la mecánica del funcionamiento de la seguridad de las puertas de enlace; es importante revisar lo que sucede si se produce una violación. En los equipos Cisco hay tres tipos de violación principales: apagar , proteger , y restringir . A continuación se describen con más detalle:

Conceptos de seguridad de la puerta de enlace
Conceptos de seguridad de la puerta de enlace
  • Apagado – Cuando se produce una violación en este modo, el puerto de conmutación será sacado del servicio y puesto en el estado de desactivación por error. El puerto de conmutación permanecerá en este estado hasta que sea eliminado manualmente; este es el modo predeterminado de violación de la seguridad del puerto de conmutación.
  • Proteger – Cuando se produce una violación en este modo, el puerto de conmutación permitirá que el tráfico de las direcciones MAC conocidas continúe enviando tráfico mientras que se elimina el tráfico de las direcciones MAC desconocidas. Cuando se utiliza este modo, no se envía ningún mensaje de notificación cuando se produce esta violación.
  • Restringir – Cuando se produce una violación en este modo, el switchport permitirá que el tráfico de las direcciones MAC conocidas continúe enviando tráfico mientras que se deja caer el tráfico de las direcciones MAC desconocidas. Sin embargo, a diferencia del tipo de violación de protección, también se envía un mensaje indicando que se ha producido una violación.

Seguridad de Switchport Direcciones MAC

Cuando se utiliza la función de seguridad de switchport, las direcciones MAC de origen se separan en tres categorías diferentes, entre las que se incluyen:

  • Estática – Las direcciones MAC estáticas y seguras se configuran estáticamente en cada puerto de conmutación y se almacenan en la tabla de direcciones. La configuración para una dirección MAC estática segura se almacena en la configuración de ejecución por defecto y puede hacerse permanente guardándola en la configuración de inicio.
  • Dinámico – Las direcciones MAC seguras y dinámicas se aprenden del dispositivo (o dispositivos) conectados al switchport. Estas direcciones se almacenan sólo en la tabla de direcciones y se perderán cuando el estado del switchport baje o cuando el switch se reinicie.
  • Pegajoso – Las direcciones MAC seguras pegajosas son un híbrido. Se aprenden dinámicamente de los dispositivos conectados al puerto de conmutación, se ponen en la tabla de direcciones Y se introducen en la configuración de funcionamiento como una dirección MAC estática segura (a veces denominada dirección MAC pegajosa estática). Al igual que una dirección MAC estática y segura, estas direcciones MAC se perderán a menos que se guarden en la configuración de inicio.

El tipo de direcciones MAC seguras que utiliza una organización depende del entorno de red específico.

¿Qué causa una violación de Switchport?

La siguiente pregunta que hay que hacer es qué es lo que causa una violación del switchport; hay dos situaciones que pueden causar una violación, estas dos situaciones incluyen:

  • Cuando se ha añadido el número máximo de direcciones MAC seguras a la tabla de direcciones de un conmutador y se recibe el tráfico de otra dirección MAC en el conmutador.
  • Cuando una dirección que ha sido vista en un puerto seguro ya ha sido vista en otro puerto seguro en la misma VLAN.

Por defecto, cada puerto de conmutación seguro está configurado con un máximo de una dirección MAC. Lo que esto significa es que si se ve más de una dirección MAC en cualquier puerto dado, se producirá una violación. Por defecto, las entradas de MAC dinámicas en la tabla de direcciones nunca se agotarán (dinámico es el método por defecto utilizado para el aprendizaje de las direcciones MAC seguras) mientras el estado del switchport permanezca activo.

Cuando se utilizan direcciones MAC dinámicas, los ingenieros deben desconectar físicamente el cable o cerrar el switchport para restablecer las entradas dinámicas en la tabla de direcciones. Cuando se utilizan direcciones MAC pegajosas, las direcciones MAC deben ser retiradas manualmente de la configuración en ejecución o el conmutador debe ser reiniciado para eliminar el contenido de la tabla de direcciones. Si el switchport está configurado con una dirección MAC estática segura, deben ser eliminadas manualmente de la configuración en ejecución para eliminar el contenido de la tabla de direcciones. Sólo después de que se haya eliminado la dirección inicial de la tabla de direcciones, se puede conectar un dispositivo con una nueva dirección MAC al puerto de conmutación (esto es por defecto, ya que el número máximo de direcciones MAC permitidas por puerto de conmutación es 1).

Resumen

Ciertamente hay una serie de conceptos diferentes que hay que aprender para que la característica de seguridad portuaria funcione bien en un entorno organizativo, si se configura mal puede convertirse rápidamente más en un obstáculo que en una ayuda. El propósito de este artículo es cubrir los conceptos básicos que hay detrás de la característica de seguridad de los puertos como preparación de la configuración de seguridad de los puertos. Es de esperar que este artículo pueda utilizarse como punto de partida para aprender sobre la característica de seguridad de las puertas de enlace y proporcione suficientes detalles para que la configuración sea más fácil de entender.

¿Listo para probar tus habilidades en CISCO? Mira como se apilan con esta evaluación de Smarterer, la nueva adición a la familia. Comienza esta prueba CISCO ahora