È possibile utilizzare la funzione port-security sugli switch Cisco per limitare chi può accedere alla rete connettendosi a una porta dello switch. Questa funzione viene utilizzata per limitare e identificare gli indirizzi MAC dei sistemi autorizzati ad accedere alla porta. È possibile configurare una porta dello switch in modo che sia sicura e anche specificare quali indirizzi MAC possono accedere alla porta. Port-security non inoltra i frame con indirizzi MAC di origine al di fuori del gruppo di indirizzi MAC definiti per quella porta.
Port-security consente di specificare manualmente gli indirizzi MAC per una porta o consentire allo switch di apprendere in modo dinamico un numero limitato di indirizzi MAC dai frame in arrivo. Limitando il numero di indirizzi MAC consentiti su una porta sola, è possibile assicurarsi che solo un sistema possa connettersi alla porta, impedendo l’eventuale espansione non autorizzata della rete collegando un hub o uno switch. Quando una porta protetta riceve un frame, l’indirizzo MAC di origine del frame viene confrontato con l’elenco degli indirizzi MAC sicuri associati alla porta. Questi indirizzi MAC sicuri sono configurati manualmente o configurati automaticamente o appresi sulla porta. Se l’indirizzo MAC di origine di un frame differisce dall’elenco di indirizzi sicuri, la porta si spegne o la porta elimina i frame in arrivo da host non autorizzato. Il comportamento predefinito di una porta protetta è l’arresto fino a quando non viene abilitato a livello amministrativo. Il comportamento della porta dipende da come viene configurata per rispondere a una violazione della sicurezza. la porta dello switch Fa0/1 consentirà solo quei frame in entrata che hanno un indirizzo MAC di origine MAC A. Questa porta bloccherà il traffico con l’indirizzo MAC di origine di MAC C o qualsiasi altro frame con un indirizzo MAC di origine diverso da MAC A. Allo stesso modo, la porta Fa0/2 consentirà il traffico solo con l’indirizzo MAC di origine di MAC B.
Consiglio vivamente di configurare la funzione port-security per chiudere una porta invece di eliminare i pacchetti dagli host con indirizzi non autorizzati. Se la sicurezza della porta non arresta una porta, è ancora possibile che la porta venga disabilitata a causa dell’eccessivo carico di traffico derivante da un attacco.
About Author
