Offene Switchports bedeuten uneingeschränkten Netzwerk-Zugriff für jeden Eindringling der sich direkten Zugang zum Switch verschaffen kann.

In kleinen Netzwerken kann man dieser Lücke leicht vorbeugen. Port-Security heißt hier das Zauberwort.
Für größere Netzwerke ist diese doch etwas umständliche und unflexible Variante der Zugriffseinschränkung nicht zu empfehlen. Hier empfiehlt sich der Einsatz von MAC Authentication Bypass (MAB, IEEE 802.1X). Mehr dazu in einem anderen Beitrag.

Port-Security macht nichts anderes als den Zugang zu einem Switchport auf OSI-Schicht 2 (Data Link Layer) zu kontrollieren - die MAC-Adresse.
Dem Switchport werden eine oder mehrere MAC-Adressen fest zugewiesen. Ankommende Pakete mit einer Source-MAC die einer der hinterlegten MACs übereinstimmt darf passieren. Bei MAC-Adressen die nicht übereinstimmen kann man das Paket ignorieren (Drop) oder den Port sperren.

Es gibt 2 Möglichkeiten einen Switchport mit Port-Security auszustatten:

• Dynamisch lernen
• Feste MAC

Zunächst muss auf einem Switchport die Portsecurity aktiviert werden:
interface fastEthernet 0/10
switchport port-security

Wenn der Port eine MAC dynamisch lernen soll:
switchport port-security mac-address sticky

Sobald der Port eine MAC-Adresse gelernt hat sehen wir in der running-config folgendes:
switchport port-security mac-address sticky 1234.1234.1234

Wenn wir eine MAC-Adresse fest an den Port binden möchten:
switchport port-security mac-address 1234.1234.1234

Und für den Fall das wir mehr als eine MAC fest an den Port binden möchten müssen wir ein Maximum festlegen:
switchport port-security maximum 132

Wenn wir die MAC von einem neuen Gerät nicht kennen können wir den Port zunächst auf Sticky setzen, die MAC auslesen und anschließend fest “einbrennen”.

Damit wäre der Port schonmal konfiguriert. Fehlen nocht die Reglen was passiert wenn die hinterlegte MAC nicht mit der des angeschlossenen Gerätes übereinstimmt. Hier gibt es bei Cisco 3 Möglichkeiten:

• Shutdown (Default)
• Restrict (ignoriert die betreffenden Pakete und zählt einen Counter hoch)
• Protect (ignoriert die betreffenden Pakete, zählt jedoch keinen Counter hoch)

switchport port-security violation [protect | restrict | shutdown]

Bei einem Shutdown müssten wir den Port manuell mit no shutdown wieder aktivieren. Um diese lästige Arbeit zu automatisieren aktivieren wir noch ein Error-Disable:
errdisable recovery cause psecure-violation
errdisable recovery interval 30

Bei einer Port-Security Verletzung und einem Shutdown des betreffenden Ports wird dieser nun alle 30 Sekunden wieder neu aktiviert.

Sobald eine Violation aufkommt setzt der Switch eine Syslogmeldung an die eingetragenen Logging-Server ab. Diese kann ausgewertet werden und wir bekommen es mit wenn eine Violation auftritt

Download: Port-Security Beispiele

Die Anbindung von einem Switch/Router über einen Tacacs+ Server ist eine feine Sache. Damit der Switch/Router auch richtig mit dem Tacacs+ kommuniziert und bei einem Tacacs-Ausfall den Zugang nicht ganz verwehrt benötigt man nur wenige Befehle. Ich gehe davon aus das auf dem ACS das Netzelement bereits hinzugefügt wurde.

Damit uns der Switch/Router bei einem Fehler den Zugang nicht verwehrt (falsche IP vom ACS o.ä.) sichern wir uns noch mit einem Reload ab. Dadurch wird der Switch/Router nach einer bestimmten Zeit neu gestarte. Mit der alten Konfiguration natürlich, da wir noch keinen write Befehl ausgeführt haben.

reload in 5
Neustart in 5 Minuten. Im Erfolgsfall, wenn alles funktioniert, brechen wir den Neustart wieder ab.

aaa new-model

aaa authentication login default group tacacs+ local
Die Anmeldung am Netzelement soll nur über den Tacacs laufen. Falls der Tacacs mal nicht erreichbar ist wird auf die Option local verwiesen. Somit kann man sich mit den auf dem Netzelement hinterlegten Zugangsdaten anmelden.

aaa authentication enable default group tacacs+ enable
Das gleiche wie bei der Anmeldung. Wäre der Tacacs nicht erreichbar wird das lokal hinterlegte Enable-Passwort abgefragt.

aaa authorization exec default group tacacs+ none
Wenn der Benutzer angemeldet ist sollen nun eventuell hinterlegte Auto-Exec Befehle ausgeführt werden wie z.B. ein automatisches Enablen. Bei einer Anmeldung ohne Tacacs-Verbindung soll nichts geschehen.

aaa authorization commands 15 default group tacacs+
Die ausführbaren und eventuell gesperrten Befehle auf Level 15 werden abgefragt (Shell Command Authorization Sets).

aaa accounting exec default start-stop group tacacs+
Im Tacacs-Accounting wird die Start- und End-Zeit der Session mit geschnitten (Exec-Befehle).

tacacs-server host 10.0.0.1 key sharedsecret
Dem Netzelement wird die IP vom Tacacs-Server und ein Shared-Secret-Key zur Kommunikation mitgeteilt

Wenn alles richtig ist und das Netzelement unter der VLAN 1 IP im ACS hinterlegt ist können wir nach dem Eintragen von Tacacs-Server Host und Key keine Befehle mehr ausführen. Wir müssen uns zunächst mit den ACS-Benutzerdaten neu am Router/Switch anmelden.

reload cancel
Natürlich nur wenn alles funktioniert und anschließend noch die running config mit write oder copy sichern.

Mit diesen wenigen Befehlen lässt sich sehr schnell jedes Netzelement mit dem Tacacs verbinden. Via Copy&Paste / Script ist so das gesammte Netz in kurzer Zeit mit dem Tacacs verbunden.

Download: AAA Konfiguration

Wer sich etwas mit Cisco-Equipment auskennt weiss das man z.B. einen 2950er Switch jederzeit mit längerem drücken auf die “Mode Taste” dazu bringt seinen Startup-Config zu löschen und einen Reload durchzuführen.

Da bringt die beste Port-Security nichts wenn der Bösewicht sich vor Ort mit Hilfe der Mode-Taste Zugang verschafft und beginnt sein Unwesen im Netz zu treiben.

Außer das man den Switch auf seinem VLAN Interface nicht mehr pollen kann kriegen wir davon nicht viel mit.

Bevor der Switch jedoch seinen Config löscht und neu startet setzt er noch eine Syslog-Meldung ab. Wenn wir einen Syslog-Server in unserem Netzwerk haben und diesen auch schön im Switch eingetragen haben (logging 10.0.0.1) können wir diese Nachricht natürlich abfangen und auswerten.

Die Syslog-Meldung:

Jan 01 00:00:00 10.0.0.1 00: Jan 01 00:00:00.000 mez: %EXPRESS_SETUP-6-CONFIG_IS_RESET: The configuration is reset and the system will now reboot

Es würde sich z.B. anbieten auf dem Syslog-Server die localmessages nach dem String CONFIG_IS_RESET durchsuchen zu lassen und bei einer Übereinstimmung z.B. eine E-Mail zu generieren.

Dadurch bekommen wir es mit wenn jemand unerlaubt die Mode-Taste länger drückt und eventuell ins Netzwerk einbrechen möchte.

Herzlich Willkommen bei der Security Workstation

Nach einer langen Pause melde ich mich zurück um das Projekt SecWS wieder mit neuem Leben zu füllen.

Viel Spass!