2.39. Protección en la capa 2 – Port Security



Casos de uso Port-security




Configuración y verificación Port-Security



Nota: Lastimosamente el contenido completo solo está disponible para miembros… por favor suscríbete

PREGUNTAS!

Las preguntas que encontraras en esta sección, son similares a las que te encontraras en el examen de certificación.
 
logo
SI QUIERES DISFRUTAR DE ESTE CONTENIDO, TE INVITAMOS A QUE TE SUSCRIBAS.

¡PARTICIPEMOS!

Si te quedaron dudas de la lección, escríbela a continuación y así todos podemos participar y ayudarte.
¿Quieres participar en los debates?… por favor suscríbete

NUESTROS CURSOS Foros Port Security

Viendo 12 entradas - de la 1 a la 12 (de un total de 12)
  • Autor
    Entradas
  • #11395
    AdminNG
    Superadministrador
    #19555
    jbaezc120
    Participante

    Hola Alvaro me Podrias explicar un poco mas la pregunta 3 para poder entenderla mejor
    Gracias de antemano Saludos

    #19566
    AlvaroM
    Superadministrador

    Hola!

    Claro que sí.

    Vayamos por partes, nos indican que el mecanismo de seguridad configurado en el puerto es «restrict». De acuerdo a la clase, sabes que «restrict», descarta las tramas que violen la regla de port-security, envía logs y mensajes SNMP al detectarse una violación a la regla de port-security, e incrementa el contador de violaciones.

    Ok… ahora nos dicen que una trama llega al switch y VIOLA la regla de port-security (de acuerdo a tus configuraciones de MAC permitidas), entonces que acción va tomar el switch?… como el switch está configurado con el mecanismo de seguridad “restrict”, va descartar la trama, va generar un log y va incrementar el contador de violaciones. A continuación nos indican que llega una segunda trama al switch, que NO VIOLA la regla de port-security (de acuerdo a tus configuraciones de MAC permitidas), ¿qué acción va tomar el switch?… cuando una trama no viola la regla de port-security, no existe ninguna acción por parte del switch y conmuta la trama de acuerdo a su tabla MAC.

    De acuerdo a esto, podemos responder a la pregunta que está enfocada en la acción que toma el switch al recibir la SEGUNDA trama.

    La opción Se van a incrementar los contadores de violación es incorrecta ya que no se ha experimentado una violación a la regla de port-security con la segunda trama.

    La opción Tendremos que ejecutar el comando «shutdown» seguido de «no shutdown» para habilitar la interface, también es incorrecta, ya que la interface no se apagó porque que no existió una violación de port-security, y además el modo «restrict» no apaga las interfaces al detectar una violación.

    Las opciones Se van a enviar logs al usuario para notificarle de una violación y Se va descartar la trama también son incorrectas ya que no ha existido una violación de port-security cuando llegó la segunda trama.

    Por lo tanto la opción correcta es Ninguna de las anteriores. No ocurre nada con la trama si es que no viola la regla de port-security.

    Espero que ahora quede claro!

    Estoy atento a tus comentarios.

    Saludos cordiales.

    #32683
    Victor Camino
    Participante

    Hola Alvaro.

    Tengo una consulta con respecto al comando switchport port-security violation. Si no configuro este comando, cualquier tipo de violacion que ocurra va a deshabilitar la interfaz o solo va descartar la trama? El comportamiento por defecto al violar la seguridad es deshabiltar la interfaz?

    Si esto es asi, en que casos aplicaria usar el comando switchport port-security violation shutdown?

    Gracias por la aclaracion.

    #32694
    AlvaroM
    Superadministrador

    Hola Victor!

    Es correcto, cuando tu ejecutas «switchport port-security», automáticamente ya se habilita el modo «shutdown», es decir que se deshabilita la interface cada vez que se viola la seguridad configurada; si a tu configuración anterior le añades «switchport port-security mode shutdown» no estas cambiando nada. No existe un motivo en particular por el cual se tenga esa opción, simplemente es una forma de cambiar entre diferentes modos de violación sin tener que ejecutar «no switchport port-security violation restrict» o «no switchport port-security violation protect» para pasar al modo shutdown, que como puedes ver un tanto más complicado trabajar de esa manera. Solo se trata de consistencia en los comandos.

    Saludos! =)

    #33121

    Estimado Alvaro, en la siguiente fuente:

    http://cisco.num.edu.mn/CCNA_R&S2/course/module2/2.2.4.4/2.2.4.4.html

    Indican que cuando se establece un VIOLATION MODE: Shutdown (por defecto) y se recibe una trama que viola la regla de Port-Security. El modo Shutdown no envía Syslogs Messages. En el curso, comentas que si…

    Te pediría que puedas aclarar esta duda, debido que esta interpretación será evaluada en el examen de certificación.

    #33122
    AlvaroM
    Superadministrador

    Hola Cristhian, el modo shutdown SÍ genera syslogs y SÍ genera mensajes SNMP, lastimosamente no es congruente la documentación respecto a este tema, ya que inclusive en algunas páginas de Cisco indican que no se generan estos mensajes, pero en otras páginas de Cisco dicen que sí; al final se tiene que validar todo esto en la práctica.

    Te paso lo que se genera cuando se detecta una violación en un puerto de un switch con el modo shutdown:

    Show port-security:

    Switch#show port-security
    Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action
                    (Count)       (Count)          (Count)
    ---------------------------------------------------------------------------
          Gi0/0              1            0                  1         Shutdown
    ---------------------------------------------------------------------------
    Total Addresses in System (excluding one mac per port)     : 0
    Max Addresses limit in System (excluding one mac per port) : 4096
    

    Syslog:

    *Nov  3 00:12:34.637: %PM-4-ERR_DISABLE: psecure-violation error detected on Gi0/0, putting Gi0/0 in err-disable state
    *Nov  3 00:12:34.641: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0050.7966.6801 o                                                                 n port GigabitEthernet0/0.
    *Nov  3 00:12:35.699: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to down
    *Nov  3 00:12:36.641: %LINK-3-UPDOWN: Interface GigabitEthernet0/0, changed state to down

    SNMP:

    Switch#
    *Nov  3 00:18:29.050: %PM-4-ERR_DISABLE: psecure-violation error detected on Gi0/0, putting Gi0/0 in err-disable state
    *Nov  3 00:18:29.053: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0050.7966.6801 o                                                                 n port GigabitEthernet0/0.
    *Nov  3 00:18:29.058: SNMP: Queuing packet to 192.168.10.1
    *Nov  3 00:18:29.059: SNMP: V2 Trap, reqid 10, errstat 0, erridx 0
     sysUpTime.0 = 52791
     snmpTrapOID.0 = ciscoSyslogMIB.2.0.1
     clogHistoryEntry.2.12 = PM
     clogHistoryEntry.3.12 = 5
     clogHistoryEntry.4.12 = ERR_DISABLE
     clogHistoryEntry.5.12 = psecure-violation error detected on Gi0/0, putting Gi0/0 in err-disable state
     clogHistoryEntry.6.12 = 52790
    *Nov  3 00:18:29.072: SNMP: Queuing packet to 192.168.10.1
    *Nov  3 00:18:29.072: SNMP: V2 Trap, reqid 11, errstat 0, erridx 0
     sysUpTime.0 = 52793
     snmpTrapOID.0 = ciscoSyslogMIB.2.0.1
     clogHistoryEntry.2.13 = PORT_SECURITY
     clogHistoryEntry.3.13 = 3
     clogHistoryEntry.4.13 = PSECURE_VIOLATION
     clogHistoryEntry.5.13 = Security violation occurred, caused by MAC address 0050.7966.6801 on port GigabitEthernet0/0.
     clogHistoryEntry.6.13 = 52791
    *Nov  3 00:18:29.308: SNMP: Packet sent via UDP to 192.168.10.1
    *Nov  3 00:18:29.561: SNMP: Packet sent via UDP to 192.168.10.1
    *Nov  3 00:18:30.130: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to down
    *Nov  3 00:18:30.135: SNMP: Queuing packet to 192.168.10.1
    *Nov  3 00:18:30.136: SNMP: V2 Trap, reqid 12, errstat 0, erridx 0
     sysUpTime.0 = 52899
     snmpTrapOID.0 = snmpTraps.3
     ifIndex.1 = 1
     ifDescr.1 = GigabitEthernet0/0
     ifType.1 = 6
     lifEntry.20.1 = down
    *Nov  3 00:18:30.387: SNMP: Packet sent via UDP to 192.168.10.1
    *Nov  3 00:18:31.053: %LINK-3-UPDOWN: Interface GigabitEthernet0/0, changed state to down
    *Nov  3 00:18:31.060: SNMP: Queuing packet to 192.168.10.1
    *Nov  3 00:18:31.061: SNMP: V2 Trap, reqid 13, errstat 0, erridx 0
     sysUpTime.0 = 52991
     snmpTrapOID.0 = ciscoSyslogMIB.2.0.1
     clogHistoryEntry.2.14 = LINK
     clogHistoryEntry.3.14 = 4
     clogHistoryEntry.4.14 = UPDOWN
     clogHistoryEntry.5.14 = Interface GigabitEthernet0/0, changed state to down
     clogHistoryEntry.6.14 = 52991
    *Nov  3 00:18:31.418: SNMP: Packet sent via UDP to 192.168.10.1
    
    

    Espero que quede claro.

    Saludos! =)

    #33130

    Comprendido…!! muchas gracias por la aclaración.

    #37080
    mdelta70908
    Participante

    Hola Alvaro,

    En que parte del video explicas los esquemas de violacion de port security ? solo mencionas «shutdwon»

    Saludos,
    Angel

    #37086
    AlvaroM
    Superadministrador

    Hola Angel,

    Segundo video a partir del minuto 12 vamos hablando sobre los mecanismos existentes; o tal vez te referías a otra cosa en particular?

    Saludos! =)

    #37159
    mdelta70908
    Participante

    Hola Alvaro,

    Preguntaba por las tecnicas que aplica si se viola la politica. Ya que en el custionario pregunta por Protect y Restrict (Ya busque el significado en Google para entenderlo) pero lo preguntaba por qu no recuerdo que se mencionara en este video y quiera estar segura de que no me estuviera saltando un video

    Saludos,
    Angel

    #37165
    AlvaroM
    Superadministrador

    Hola Angel, eso mismo se menciona en el segundo video a partir del minuto 12.

    Saludos! =)

Viendo 12 entradas - de la 1 a la 12 (de un total de 12)
  • Debes estar registrado para responder a este debate.