Cómo configurar Port Security en switches Cisco

Cursos Empresas Blog Live Conf Precios

Contenido del curso

Introducción

Segmentación de redes y redes virtuales

Seguridad en puertos físicos

Firewalls

Otros conceptos en seguridad on-premise

Tomar examen

Cómo configurar Port Security en switches Cisco

Resumen

La seguridad de puertos en switches Cisco te permite blindar la capa 2 del modelo OSI controlando qué dispositivos pueden conectarse físicamente a tu red. Con Port Security limitas las direcciones MAC permitidas por puerto y sumas una capa de defensa que complementa la segmentación por IP y por VLAN.

¿Qué es Port Security y por qué importa en redes Cisco?

Port Security es una función de los switches Cisco que controla cuántas direcciones MAC pueden conectarse a un puerto específico y qué hacer cuando alguien rompe esa regla. Trabaja en la capa 2 del modelo OSI, así que actúa antes de que cualquier tráfico IP llegue a moverse por tu red.

¿Qué es Port Security? Es una característica de los switches que limita las direcciones MAC autorizadas por puerto. Si se conecta un dispositivo no permitido, el puerto reacciona según la política configurada.

La idea es simple: si solo una computadora debería estar en ese puerto, el switch se encarga de que nadie más pueda usarlo, aunque consigan acceso físico al cable.

¿Cómo configurar Port Security en una interfaz fastethernet?

Para activar Port Security necesitas entrar al switch, seleccionar la interfaz y aplicar los comandos en orden. En el ejemplo trabajamos sobre la interfaz fastethernet 0/1 del switch uno.

Los pasos básicos son estos:

Ingresa a la interfaz que vas a proteger, en este caso fastethernet 0/1.
Configura el puerto en modo access con switchport mode access.
Activa la función con switchport port-security.
Define el máximo de MACs permitidas con switchport port-security maximum 1.
Establece la acción frente a una violación con switchport port-security violation shutdown.
Indica la MAC autorizada manualmente o usa el modo sticky.

Después de aplicar la configuración, conecta el equipo al puerto y verifica con show port-security interface fastethernet 0/1 para confirmar que todo quedó habilitado.

¿Qué hace el modo sticky en Port Security?

El modo sticky le dice al switch que tome automáticamente la primera dirección MAC que detecte en el puerto y la registre como autorizada. Es útil cuando no quieres escribir la MAC a mano o cuando administras muchos puertos.

El comando es switchport port-security mac-address sticky. Apenas el equipo se conecta, el switch captura la MAC, en el ejemplo tomó una que terminaba en 5 enano 14, y la deja fija para ese puerto.

¿Cuál es la diferencia entre MAC manual y sticky? La manual la escribes tú con mac-address seguido del valor exacto. La sticky la aprende el switch automáticamente con el primer dispositivo que conecta.

¿Qué opciones de violación existen y cuándo usar shutdown?

Cuando un dispositivo no autorizado intenta conectarse, Port Security puede reaccionar de tres formas distintas. Cada una se ajusta a un nivel de tolerancia distinto.

Shutdown: apaga el puerto y lo deja en estado down hasta que un administrador lo reactive.
Restrict: redirecciona o descarta el tráfico no autorizado y registra el evento en los logs.
Protect: simplemente bloquea el tráfico extra sin generar reportes ni apagar el puerto.

En el ejemplo se eligió shutdown porque es la más estricta: ante cualquier violación, el puerto queda inactivo y obliga a una intervención manual.

¿Qué pasa cuando se viola la regla de Port Security?

Al conectar un segundo equipo en el mismo puerto, el switch detecta una MAC distinta a la autorizada y aplica la acción configurada. Si tienes shutdown, el puerto se bloquea inmediatamente y queda en estado down, incluso si el nuevo dispositivo intenta obtener IP por DHCP.

Para recuperar el puerto debes hacer dos cosas:

Desconectar el dispositivo no autorizado del cable.
Entrar a la interfaz y ejecutar no shutdown para volverla a habilitar.

Si vuelves a conectar el equipo original, el puerto retoma su funcionamiento normal con la MAC permitida.

¿Cómo verificar la configuración de Port Security?

Para revisar el estado de un puerto protegido usa show port-security interface fastethernet 0/1. Ese comando te muestra si la función está habilitada, el modo de violación activo, el máximo de MACs permitidas y la dirección que el sistema aprendió por sticky.

Es la forma más rápida de confirmar que la política se aplicó correctamente y que el puerto está listo para detectar intentos de acceso no autorizados.

Buenas prácticas para asegurar puertos en switches

Más allá de Port Security, hay un hábito que reduce muchísimo la superficie de ataque: desactivar todos los puertos que no estés usando. Un puerto activo sin política es una puerta abierta para cualquiera que tenga acceso físico al rack.

Combina Port Security con segmentación por VLAN y por rangos de IP para construir una defensa en capas. Cada técnica cubre un nivel distinto del modelo OSI y juntas hacen mucho más difícil que un dispositivo no autorizado se mueva dentro de tu red.

¿Ya probaste configurar Port Security en tu propio laboratorio? Cuéntame en los comentarios qué modo de violación elegiste y por qué.

Juan Carlos Gutiérrez Ayala

Estudiante

La seguridad en los puertos de red es un aspecto fundamental de la seguridad de la red que implica proteger los puntos de entrada y salida de datos en dispositivos de red como switches, routers y firewalls. La gestión adecuada de estos puertos ayuda a prevenir accesos no autorizados, ataques de red y otras vulnerabilidades de seguridad. Aquí se detallan conceptos avanzados y prácticas recomendadas para asegurar los puertos de red en un entorno empresarial.

1. Cerrar Puertos No Utilizados

Cerrar o deshabilitar física y lógicamente los puertos de red no utilizados reduce la superficie de ataque, limitando las vías de acceso potenciales para los atacantes. Esto implica tanto los puertos físicos en dispositivos de red como los puertos lógicos o de software utilizados por aplicaciones y servicios.

2. Implementar Políticas de Seguridad de Puertos

Desarrollar e implementar políticas de seguridad específicas para la gestión de puertos, incluyendo procedimientos para abrir o cerrar puertos, asignación de roles y responsabilidades, y procesos de revisión y auditoría periódicos.

3. Uso de VLANs para la Segmentación de Red

La implementación de VLANs (Redes Locales Virtuales) ayuda a segmentar la red en múltiples zonas de seguridad. La segmentación mediante VLANs puede restringir el acceso a recursos críticos y limitar la propagación de ataques dentro de la red.

4. Aplicar el Principio de Menor Privilegio

Asegurar que los dispositivos y usuarios solo tengan acceso a los puertos y servicios que son estrictamente necesarios para sus funciones. Esto minimiza las posibilidades de que un servicio vulnerable sea explotado por atacantes.

5. Monitoreo y Administración de Puertos

Implementar soluciones de monitoreo y administración de red para detectar y alertar sobre actividades sospechosas, uso no autorizado de puertos, y otros indicadores de compromiso. Herramientas como sistemas de detección de intrusos (IDS) y sistemas de gestión de eventos e información de seguridad (SIEM) son cruciales para esta tarea.

6. Control de Acceso Basado en Puertos (Port-Based Access Control)

Utilizar técnicas como 802.1X para controlar el acceso a la red a nivel de puerto, permitiendo que solo dispositivos autenticados puedan establecer conexión. Esto es particularmente útil en entornos donde la seguridad física de los dispositivos de red no puede garantizarse.

7. Filtrado de Tráfico en Puertos

Implementar firewalls y listas de control de acceso (ACLs) para filtrar el tráfico entrante y saliente en puertos específicos, permitiendo solo el tráfico autorizado basado en reglas predefinidas. Esto incluye bloquear puertos conocidos por ser utilizados por malware y ataques.

8. Uso de Técnicas de Cifrado

Para los servicios que deben ser accesibles a través de la red, utilizar técnicas de cifrado como TLS/SSL para proteger la transmisión de datos. Esto es especialmente importante para servicios críticos expuestos a Internet, como servidores web y de correo.

9. Hardening de Dispositivos de Red

Además de la seguridad de puertos, es esencial realizar un hardening de los dispositivos de red, actualizando firmware y software, deshabilitando servicios innecesarios, y aplicando las mejores prácticas de seguridad recomendadas por los fabricantes.

10. Auditorías y Pruebas de Penetración

Realizar auditorías de seguridad y pruebas de penetración regularmente para identificar y mitigar vulnerabilidades asociadas a los puertos de red. Esto debe incluir tanto la evaluación de la configuración de la red como la simulación de ataques para evaluar la resistencia de la red.

Implementar una estrategia de seguridad en los puertos de red robusta y multicapa es crucial para proteger los activos de información de una organización contra amenazas y vulnerabilidades. La combinación de controles técnicos, políticas de seguridad, y prácticas de gestión adecuadas puede significativamente fortalecer la postura de seguridad de la infraestructura de red de cualquier organización.

Diego Fernando Ramos Aguirre

Estudiante

Gracias por el aporte.

Introducción

Seguridad en Redes: Segmentación y Configuración de VLAN

ISO 27001, CIS y NIST para redes seguras

Segmentación de redes y redes virtuales

Segmentación de Redes y Configuración de VLANs para Seguridad TI

Configuración de VLANs: Troncal y Acceso en Switches

Configurar OpenVPN con clientes Linux y Windows

Seguridad en puertos físicos