Login 
Port Security MAC limiting Junos
07.02 2024 | by massimilianoPer port security si intende caratteristiche quali il MAC limiting, DHCP snooping, Dynamic ARP inspection (DAI) ed infine il IP […]
Per port security si intende caratteristiche quali il MAC limiting, DHCP snooping, Dynamic ARP inspection (DAI) ed infine il IP Source Guard.
Di default le porte non hanno nessun limite di MAC addresses che esse possono imparare.
MAC Limiting:
Limita il numero di MAC addresses imparati da ogni singola porta in access
Previene azioni di MAC address spoofing, esplicitando il numero di MAC address per porta oppure monitorando cambiamenti da un MAC address ad un altro tra porte all’interno di un segmento Vlan (MAC move limiting).
Quando un MAC address oppure MAC move limit supera un valore di «exceeded» lo switch performa le seguenti azioni:
None: specificando l’azione come «none» nessuna azione viene intrapresa in caso di mac-limiting or ma-move-limiting exceeded.
Syslog Only: genera un errore log
Drop and Syslog: scarta le frame in eccesso (considerate di hacking) e genera un error log (nota: comportamento di default in caso di nessuna azione specificata)
Shutdown: spegne la porta e genera un errore log
Aspetti di Configurazione:
set ethernet-switching-option secure-access-port interface ge-0/0/6.0 allowed-mac [ mac-address-1 mac-address-2 ]
set ethernet-switching-option secure-access-port interface ge-0/0/7.0 mac-limit 2 action log
set ethernet-switching-option secure-access-port interface ge-0/0/8.0 mac-limit 2 action drop
set ethernet-switching-option secure-access-port interface ge-0/0/9.0 mac-limit 2 action shutdown
set ethernet-switching-option secure-access-port vlan default mac-move-limit 1 action shutdown
Verifica:
show log messages | match limit | match 0/0/6
Autorecovery è una tecnica che permette allo switch di essere configurato con il comando «port-error-disable» e consente di disabilitare le interfacce per un recovery automatico definito da un periodo temporale.
Esempio di configurazione:
set ethernet-switching-options port-error-disable disable-timeout 3600
Di default autorecovery è disabilitato ed il range timeout ha un valore compreso tra 10 – 3600 secondi; in caso non si specifichi un tempo è possibile utilizzare il «clear» per la disabled port da volere disabilitare.
clear ethernet-switching port-error interface
Persistent MAC Learning anche conosciuto come MAC sticky è una tecnica di sicurezza utilizzata per trattenere MAC addresses appresi in modo dinamico in caso di restart di uno switch oppure in caso di una interfaccia che subisce un up/down/up
Questa tecnica è disabilita di default ed abilitando persistent MAC learning insieme al MAC limit è possibile avere una configurazione trust di indirizzi provenienti da ambienti sicuri.
Le linee guida per il Persistent MAC Learning sono:
Le interfacce debbono essere in mode access;
Non si può configurare persistent mac learning su interfacce di tipo redundant trunk group;
Non si può configurare persistent mac learning su interfacce con 802.1X configurato
Non si può configurare persistent mac learning su interfacce dove il «no-mac-learning» è configurato
Esempio di configurazione:
set ethernet-switching-option secure-port-access interface ge-0/0/6.0 persistent-learning
Verifica:
show ethernet-switching table à verifica la colonna Type Flood with Persistent