Cisco SG 300: Port Security mit MAC-Filterung konfigurieren

Wer einen Cisco SG 200/300 Switch besitzt verfügt über den Luxus, Port Security und MAC-Filterung zu konfigurieren. Der Vorteil hierbei ist, dass man so vorschreiben kann, an welchen Ports welche MAC-Adressen Verbindungen herstellen dürfen. Abweichende Geräte erhalten keinen Netzwerkzugriff – das bietet sich vor allem an öffentlich zugänglichen Netzwerkdosen an.

Die Konfiguration dieses Verhaltens ist recht trivial – wenn man weiß, welche Schritte befolgt werden müssen. In diesem Beispiel wird exakt ein Gerät an einen Netzwerkport fixiert – es ist jedoch auch möglich, mehrere Geräte für einen Netzwerkport vorzusehen. Es empfiehlt sich, dass zum Zeitpunkt der Konfiguration die freizuschaltende Geräte eingeschaltet und mit dem Switch verbunden sind.

Statische MAC-Zuordnung

Statische MAC-Zuordnung

Zuerst müssen statischen MAC-Zuordnungen für die betroffenen Geräte/Netzwerkports vorgenommen werden. Unterhalb des Menüpunkts „MAC Address Tables > Static Addresses“ können entsprechende Einträge vorgenommen werden.

In diesem Beispiel wird der Dialog wie folgt ausgefüllt:

  • MAC Address: (MAC-Adresse des Geräts)
  • Interface: Port GEx (entsprechender Netzwerkport)
  • Status: Secure (unbedingt diese Einstellung verwenden!)
Protected Port-Einstellung

Protected Port-Einstellung

Wenn alle zu erlaubenden MAC-Adressen dem Switch bekannt gemacht wurden (es können auch mehrere konfiguriert werden), wird für den entsprechenden Switch-Port „Protection“ aktiviert (IMHO wäre hier eine bessere Beschreibung gut gewesen, Cisco!). Diese Einstellung kann über den Menüpunkt „Port Management > Port Settings“ vorgenommen werden. In den Port-Einstellungen wird der Haken „Protected Port“ auf „Enable“ gesetzt. Anschließend sollte in der Port-Tabelle die Spalte „Protected Port“ den Wert „Protected“ enthalten:

Protected Port

Protected Port

Anschließend muss Port Security für den entsprechenden Switch-Port konfiguriert werden. Hierzu wird die entsprechende Schnittstelle unterhalb des Menüpunkts „Security > Port Security“ editiert. Der Dialog wird in diesem Beispiel wie folgt ausgefüllt:

Port Security-Einstellungen

Port Security-Einstellungen

  • Interface Status: Lock (andernfalls wird Port Security nicht aktiviert – klingt jedoch verwirrend)
  • Learning Mode: Secure Permanent
  • Action on Violation: Discard (wenn die Pakete fremder Hosts verworfen werden sollen) bzw. Shutdown (wenn zusätzlich die Netzwerkschnittstelle heruntergefahren werden soll)

Wenn die Einstellung „Shutdown“ gewählt wird, wird die Netzwerkschnittstelle deaktiviert, nachdem das erste „fremde“ Netzwerkgerät angesteckt wird. Das erfordert zwar manuelle Arbeit, um die Verbindung wieder zu aktivieren, bedeutet aber im Falle einer Brute-Force Attacke (MAC-Adressen lassen sich bekanntlicherweise ja softwareseitig fälschen) bedeutend mehr Sicherheit.

Anschließend sind Port Security und MAC-Filterung aktiv – ich empfehle dringend, die Funktionalität auszuprobieren. Oftmals vergisst man irgendwo einen Haken zu setzen und die Sperre funktioniert gar nicht – ärgerlich, wenn so eine Sicherheitslücke entsteht.

Sharing is caring


Tweet about this on TwitterShare on FacebookShare on Google+Share on LinkedInShare on XingShare on RedditPrint this pageEmail this to someone

6 Kommentare Schreibe einen Kommentar

    • Hallo Ikem,
      das ist völlig korrekt – habe ich ja auch so im Artikel erwähnt:


      Das erfordert zwar manuelle Arbeit, um die Verbindung wieder zu aktivieren, bedeutet aber im Falle einer Brute-Force Attacke (MAC-Adressen lassen sich bekanntlicherweise ja softwareseitig fälschen) bedeutend mehr Sicherheit.

      Beste Grüße,
      Christian 😉

  1. Softwareseitig ? Du kannst mit den Tools der Controller-Hersteller einfach eine beliebige MAC in den eeprom des Controllers schreiben und hast sie somit auch Hardwareseitig gesetzt…
    Sofern ich eine der zugelassenen MACs kenne, brauche ich die ja nur einmal schreiben – nix mit Brute-Force. Sobald physikalischer Zugriff im Segment herstellt ist, sehe ich ja die entsprechenden MACs.
    Gegen simple Angriffe mag es aber ein erster Schutz sein…

    Beste Grüße,
    Sebastian

    • Hi Sebastian,
      hast Du da mal ein Beispiel? Das war mir bisher neu, dass die Hersteller selbst Tools zum Flashen des EEPROMs anbieten – das würde mich sehr interessieren.

      Sobald man eine zugelassene MAC-Adresse kennt (und weiß, dass Port Security zum Einsatz kommt!), kann man sich natürlich Zugang zum Netz verschaffen, da hast Du recht.
      Das traue ich meinen weniger Technik-affinen Nachbarn aber eher nicht zu. 😛

      Das Auslesen von MAC-Adressen im Netzwerk habe ich getestet, was in meinem Fall nicht erfolgreich war. Das liegt daran, dass der Switchport beim Erkennen einer fremden Netzwerkkarte direkt abgeschaltet wird (und nicht wieder später aktiviert wird). Somit kann auch der ursprüngliche Host keine Verbindung mehr herstellen und manuelle Arbeit ist notwendig.
      Ergo – wenn das jemand versucht, bekomme ich das ja mit und kann bei häufigerem Auftreten andere Schutzmechanismen in Betracht ziehen (z.B. Abschließen der Netzwerkdose).

      Beste Grüße,
      Christian!

  2. Hi!
    Excellent solution! But I’ve got one problem – could You help me to solve it?
    After I’ve added MACs to static addresses (few MACs to one port, few to other because I’ve connected access point etc.) I can get access to hosts connected to the same switch port (i.e. from fe2 to fe2), but connection from host (connected to fe3 ) to host connected to fe2 is impossible.
    What am I doing wrong?

    • Hey Fred,
      good question – to be quite honest, I have not worked with Cisco products for a couple of years. Did you use the web UI or the CLI? Does your configuration look like those I mentioned in the screenshots?

      Best regards,
      Christian.

Schreibe einen Kommentar