Port-security overview

1. Port Security Overview

  Port security기능을 활용하면 port에 연결될 수 있는 장비의 수를 제한하고 (secure MAC address) 확인되지 않은 장치의 access를 제한할 수 있다. 설정해놓은 최대 MAC의 수를 넘으면 security violation이 trigger되어서 설정된 violation action mode에 의해 (Shutdown, Protect, Restrict) port의 동작이 제한된다. 간단한 예로, port에 최대 MAC 수를 1로 설정한다면, 그 port에는 하나의 장비만 연결할 수 있다. Port Security는 크게 세 가지 특징을 갖는다.

• secure MAC address의 만료시간 설정이 가능하며 inactivity와 absoulte 방식이 존재한다.
• sticky 기능이 있으며 이는 스위치가 재부팅 또는 link flap이 발생하더라도 해당 port에 유지될 수 있게한다.
• 다양한 type의 port에 적용가능한 기능이다. (access, trunk, EtherChannel, voice, and private VLAN)

  port security 다시 말해 switchport security feature를 사용하게 되면 MAC address는 3가지의 범주로 분류되며 dynamic, static, 그리고 sticky가 그 종류이다. 참고로 sticky 설정을 하게되면 dynamic MAC address는 sticky secure MAC address로 변경되고 이 주소를 running configuration에 저장한다.  설정된 MAC address의 최대값을 초과하게 되면 security violation이 trigger된다. 이는 restrict와 shutdown 모드로 설정할 수 있으며 restrict 모드는 software 적으로 pakcet을 drop시키고 security violation counter를 증가시키고 SNMP trap 메시지를 발생시킨다. 

 

1. Dynamic - secure port를 통해서 전달된 packet으로 MAC address가 learning 된 경우.

2. Static - CLI or SNMP를 통해서 정적으로 MAC 주소가 설정된 경우.

3. Sticky - 앞서 소개된 내용처럼 dynamic과 동일한 형태로 MAC address를 learning하지만 스위치가 재부팅되거나 link flaps이 발생하더라도 secure MAC address 정보는 유지된다.

 

2. Aging Secure MAC address

  Secure port는 기본적으로 하나의 MAC address만 허용한다. 하지만 이 값은 1 ~ 3000 사이로 지정이 가능하다. Aging timer를 이용해서 learning 된 MAC address를 삭제할 수 있다. 별도의 설정이 없다면 Aging 기능은 enable 되지 않고 switch가 재부팅되거나 link가 down된다면 MAC address 정보는 해당 port에서 사라진다 (물론, sticky feature를 설정했다면 남아있음). Aging은 Absolute mode 또는 Inactivity mode로 설정이 가능하다. 두 방법의 큰 차이점은 Absolute mode는 설정된 aging timer 이후 actvity의 여부와 상관없이 MAC address가 삭제되고 inactivity modes는 설정된 시간동안 activity가 없는 경우에만 삭제된다.

3. Violation actions

  security violation은 아래의 두 가지 경우에 trigger되며 설정된 action 모드에 따라서 트래픽을 처리한다.

• 최대 secure MAC address의 허용 수를 넘어 장비가 추가되거나, secure MAC address로 등록되지 않은 장치가 연결을 시도할 경우
• learning 되거나 configuration을 통해 설정된 주소가 동일 VLAN 내에서 서로 다른 interface에서 보여지는 경우

앞서 설명한 것과 같이 security violation을 처리하는 action mode는 3 가지가 존재한다.

• Restrict - 설정된 최대 secure MAC address의 수를 도달한 경우라면 최대 secure MAC address 수를 늘리거나 secure MAC address를 삭제하여 table에 존재하는 장치의 수를 줄이기 전까지는 packet은 drop된다. 이 경우, security violation이 발생했음을 알려주고, SNMP trap 메시지가 발생하고 syslog 메시지도 기록된다.
• Shutdown - interface를 error-disabled 상태로 즉시 변경함과 동시에 interface를 shutdown 시킨다. error-disabled 상태를 변경하려면 global configuration을 통해서 해결할 수 있고 (errdisable recovery cause psecure-violation, 별도의 설정이 없다면 300초) 간단하게 shut / no shut을 통해서 interface를 re-enable할 수 있다.
• Protect - Restrict 설정가 동일하게 특정 조치가 되기 전까지 packet을 drop하지만 SNMP trap이나 syslog로 기록되지 않는다.

 

Reference site

1. https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/44sg/configuration/guide/Wrapper-44SG/port_sec.pdf

2. https://www.pluralsight.com/blog/it-ops/switchport-security-concepts

3.https://www.cisco.com/en/US/docs/switches/lan/catalyst3850/software/release/3.2_0_se/multibook/configuration_guide/b_consolidated_config_guide_3850_chapter_011111.htmlhttps://www.cisco.com/en/US/docs/switches/lan/catalyst3850/software/release/3.2_0_se/multibook/configuration_guide/b_consolidated_config_guide_3850_chapter_011111.html