Cisco SG 300: configure Port Security with MAC filtering

If you own a Cisco SG-200/300 switch you are lucky to configure Port Security and MAC filtering. The advantage of this is that you are able to define which MAC addresses may establish connections on particular ports. Other devices will not be able to access the network – which is a good idea especially for public network sockets.

Configuring this mechanism is quite easy – if you know the particular steps. In this example one device is configures to access a particular network port – but it is also possible to enable more than one device for accessing ports. It is a good idea to connect all devices that need to be able to establish connections to the switch while configuration.

Statische MAC-Zuordnung

Statische MAC-Zuordnung

First of all static MAC assignments need to be configured for all affected devices/network ports. This can be done using a dialog. You will find this dialog by browsing the menu underneath the items “MAC Address Tables > Static Addresses“.

In this example the dialog is filled like this:

  • MAC Address: (device MAC address)
  • Interface: Port GEx (appropriate network port)
  • Status: Secure (make sure to use this!)
Protected Port-Einstellung

Protected Port-Einstellung

After all required MAC addresses have been configured on the switch (it is also possible to configure more than one) switch port “Protection” needs to be enabled for the appropriate switch port (IMHO a better description would have been great, Cisco!). This setting can be configured by browsing the menu underneath “Port Management > Port Settings“. During the port configuration the checkbox “Protected Port” needs to be set to “Enable“. After that the the port table column “Protected Port” should contain the value “Protected“:

Protected Port

Protected Port

Afterwards Port Security needs to be configured for that affected switch ports. This configuration is made by editing the appropriate switch port underneath the menu “Security > Port Security” editiert. In this example the dialog is filled like this:

Port Security-Einstellungen

Port Security-Einstellungen

  • Interface Status: Lock (otherwise Port Security isn’t enabled – sounds strange, I know)
  • Learning Mode: Secure Permanent
  • Action on Violation: Discard (if you want to drop packages of other hosts) or Shutdown (if you also want the network interface to be shut down)

If you select the setting “Shutdown” the network interface is shut down after the first “unknown” network device is connected. This means manual tasks are necessary to re-enable the network interface but this offers much greater security in case of brute-force attacks (various software might fake MAC addresses).

Afterwards Port Security and MAC filtering is implemented – I highly recommend to check the functionality. Often a checkbox is missed and the lock is not working which might result in a major security vulnerability.

Sharing is caring


Tweet about this on TwitterShare on FacebookShare on Google+Share on LinkedInShare on XingShare on RedditPrint this pageEmail this to someone

6 comments Write a comment

    • Hallo Ikem,
      das ist völlig korrekt – habe ich ja auch so im Artikel erwähnt:


      Das erfordert zwar manuelle Arbeit, um die Verbindung wieder zu aktivieren, bedeutet aber im Falle einer Brute-Force Attacke (MAC-Adressen lassen sich bekanntlicherweise ja softwareseitig fälschen) bedeutend mehr Sicherheit.

      Beste Grüße,
      Christian 😉

  1. Softwareseitig ? Du kannst mit den Tools der Controller-Hersteller einfach eine beliebige MAC in den eeprom des Controllers schreiben und hast sie somit auch Hardwareseitig gesetzt…
    Sofern ich eine der zugelassenen MACs kenne, brauche ich die ja nur einmal schreiben – nix mit Brute-Force. Sobald physikalischer Zugriff im Segment herstellt ist, sehe ich ja die entsprechenden MACs.
    Gegen simple Angriffe mag es aber ein erster Schutz sein…

    Beste Grüße,
    Sebastian

    • Hi Sebastian,
      hast Du da mal ein Beispiel? Das war mir bisher neu, dass die Hersteller selbst Tools zum Flashen des EEPROMs anbieten – das würde mich sehr interessieren.

      Sobald man eine zugelassene MAC-Adresse kennt (und weiß, dass Port Security zum Einsatz kommt!), kann man sich natürlich Zugang zum Netz verschaffen, da hast Du recht.
      Das traue ich meinen weniger Technik-affinen Nachbarn aber eher nicht zu. 😛

      Das Auslesen von MAC-Adressen im Netzwerk habe ich getestet, was in meinem Fall nicht erfolgreich war. Das liegt daran, dass der Switchport beim Erkennen einer fremden Netzwerkkarte direkt abgeschaltet wird (und nicht wieder später aktiviert wird). Somit kann auch der ursprüngliche Host keine Verbindung mehr herstellen und manuelle Arbeit ist notwendig.
      Ergo – wenn das jemand versucht, bekomme ich das ja mit und kann bei häufigerem Auftreten andere Schutzmechanismen in Betracht ziehen (z.B. Abschließen der Netzwerkdose).

      Beste Grüße,
      Christian!

  2. Hi!
    Excellent solution! But I’ve got one problem – could You help me to solve it?
    After I’ve added MACs to static addresses (few MACs to one port, few to other because I’ve connected access point etc.) I can get access to hosts connected to the same switch port (i.e. from fe2 to fe2), but connection from host (connected to fe3 ) to host connected to fe2 is impossible.
    What am I doing wrong?

    • Hey Fred,
      good question – to be quite honest, I have not worked with Cisco products for a couple of years. Did you use the web UI or the CLI? Does your configuration look like those I mentioned in the screenshots?

      Best regards,
      Christian.

Leave a Reply