Las opciones de seguridad de los switches gestionables Edimax GS-5424G y de su hermano el Edimax GS-5416PLC, son bastante amplias. Hoy os vamos a hablar del Port Security, qué es el Port Security, para qué nos va a servir, y sobre todo, cómo se configura el Port Security en estos switches para proteger la red profesional de posibles intrusos.
¿Qué es el Port Security y para qué sirve?
El Port Security en un switch gestionable es como un filtrado por MAC en la red Wi-Fi, pero aquí tendremos otras configuraciones diferentes al típico filtrado MAC del Wi-Fi. Lo primero que tenemos que tener en cuenta, es que los switches nos permitirán configurar que en un determinado puerto del switch, se aprendan automáticamente las direcciones MAC, o las demos de alta nosotros manualmente en la sección de Static MAC Address. A continuación, tenemos la posibilidad de seleccionar un límite de MACs por puerto, es decir, podemos indicar que solo pueden aprenderse 5 direcciones MAC en un determinado puerto, y si conectamos el 6º equipo, automáticamente se ejecute una acción a tomar. Las acciones a tomar en estos switches de Edimax son las siguientes:
- Forward: permite reenviar las tramas, aunque haya excedido el límite máximo de direcciones MAC por puerto configurada.
- Discard: bloquea todas las tramas que ese equipo nuevo que se ha conectado transmita, ya que ha excedido el límite máximo de MAC configuradas.
- Shutdown: apagamos el puerto físicamente durante cierto tiempo, por tanto, todo el tráfico que circule por ese puerto se cortaría.
Las configuraciones más utilizadas son la de «discard» para bloquear únicamente el equipo con la dirección MAC nueva, y también el «shutdown» para directamente apagar el puerto, y que no haya ningún tipo de transferencia de datos en ese puerto.
Configuración de Port Security en los switches Edimax
Lo primero que debemos hacer es acceder a su menú de configuración, poniendo una IP fija en el PC dentro de la subred 192.168.2.0/24, y escribiendo en la barra de direcciones «http://192.168.2.1» para acceder a su firmware. Una vez que hayamos accedido, tendremos que introducir las credenciales por defecto, que en este caso son «admin/1234».
En el menú principal es donde podremos realizar todas las configuraciones, incluyendo activar el Port Security.
Antes de activar y configurar el Port Security, es recomendable activar y configurar el «Error Disabled», para que nos salte una alarma en el switch, indicándonos que ha habido una violación de las reglas fijadas. En la sección «Port / Error Disabled» es donde podremos configurar diferentes acciones, y también un tiempo de recuperación (5 minutos por defecto), tal y como podéis ver aquí:
Aunque nosotros ahora solo vamos a utilizar el Error Disabled del Port Security, es recomendable activarlos todos para futuras configuraciones de seguridad.
En la sección «Security / Port Security» es donde tendremos todas las configuraciones. El Port Security lo podremos configurar en todos y cada uno de los puertos físicos del switch, no obstante, debemos tener en cuenta varias consideraciones:
- Solo deberíamos configurar el Port Security en los puertos de acceso, es decir, donde conectamos PC, servidores y otro tipo de dispositivos finales.
- No deberíamos configurarlo en puertos troncales, ya que por los puertos troncales viajan todas las direcciones MAC de la red profesional, y podríamos ocasionar el bloqueo de las tramas, e incluso el apagado físico del puerto.
Lo primero que debemos hacer es activar el Port Security, pinchamos en «State: Enable» que está justo en la parte superior, y pinchamos en «Apply» para aplicar los cambios.
Nosotros vamos a configurar el puerto Gigabit Ethernet 2, pinchamos sobre el puerto, y abajo pinchamos en «Edit». Ahora nos saldrá un nuevo menú para activar el Port Security en este puerto, configurar el número máximo de direcciones MAC que puede «aprender», y por último, la política que debemos seguir (reenviar, descartar trama, apagar puerto) en caso de que este número de direcciones MAC sobrepase el fijado.
Una vez que lo hemos configurado para permitir únicamente una dirección MAC, al conectar un segundo PC, automáticamente reconocerá que la dirección MAC es nueva, y por tanto, estamos violando la regla de 1 MAC en este puerto. Nosotros hemos configurado el puerto como «Shutdown», por tanto, estará físicamente apagado. En la sección de «Status / Port / Error Disabled» se puede ver perfectamente que ha ocurrido un incidente de seguridad, y la razón de dicho incidente:
Al configurar el «Error Disabled» con 5 minutos de recuperación, durante 5 minutos estará el puerto bloqueado, posteriormente se levantará y volverá a comprobar si la dirección MAC es la de antes (la permitida), o si sigue el «intruso» conectado a ese puerto.
Tal y como podéis ver, esta función de Port Security es fundamental para proteger la red de posibles «intrusos», y bloquearles directamente todo el tráfico, o apagar el puerto físico por seguridad.
Os recomendamos visitar nuestra página dedicada al fabricante Edimax donde encontraréis todos y cada uno de los análisis que hemos publicado hasta la fecha. También podéis visitar nuestra sección Edimax Pro donde encontrarás manuales de configuración de sus dispositivos.