Como configurar Port Security para evitar acessos indevidos

Para configurar o Port Security e evitar acessos indevidos, acesse a interface de linha de comando (CLI) do seu switch, entre na interface desejada e ative o recurso com o comando switchport port-security. Em seguida, defina o limite maximo de enderecos MAC permitidos usando switchport port-security maximum [numero] e configure a acao de violacao, como switchport port-security violation restrict ou shutdown, para bloquear portas imediatamente caso dispositivos nao autorizados sejam conectados a sua rede.

Principais Aprendizados

• O Port Security protege a camada 2 da rede, limitando os enderecos MAC autorizados a se conectarem em portas fisicas especificas do switch.
• Existem tres modos de violacao principais para lidar com intrusos: Protect (descarta pacotes), Restrict (descarta e gera alertas) e Shutdown (desliga a porta).
• A funcao 'Sticky' permite que o switch aprenda dinamicamente os enderecos MAC legitimos e os salve automaticamente na configuracao de inicializacao.

O que e Port Security e por que e essencial?

A seguranca da infraestrutura de TI frequentemente foca em firewalls de borda e sistemas antivirus, mas as invasoes fisicas nas instalacoes sao igualmente perigosas. O Port Security e um recurso fundamental de camada 2 do Modelo OSI que restringe a entrada de dados em uma interface de switch baseada exclusivamente no endereco de hardware do dispositivo de origem. Compreender o enderecamento MAC e o primeiro passo para dominar esta tecnologia de bloqueio.

Segundo as rigorosas diretrizes de seguranca do NIST (National Institute of Standards and Technology), o controle de acesso logico no nivel da porta fisica e uma camada obrigatoria de defesa em profundidade. Sem essa protecao ativa, um invasor interno pode conectar um laptop nao autorizado ou um hub na tomada de rede de uma sala de reuniao vazia e comprometer toda a topologia corporativa.

Como funcionam os Modos de Violacao

Ao implementar este recurso de seguranca em redes LAN corporativas, voce deve instruir o switch sobre o que fazer exatamente quando uma violacao de regras ocorrer. Existem tres modos de violacao operacionais:

• Protect: O switch descarta silenciosamente o trafego do endereco MAC nao autorizado, mas nao gera logs de erro no sistema.
• Restrict: Semelhante ao modo Protect, porem e mais seguro, pois gera um alerta SNMP, envia logs via Syslog e incrementa o contador de violacoes. E altamente recomendado para auditorias.
• Shutdown (Padrao): A porta e imediatamente colocada em estado de erro (err-disable) e o LED correspondente e desligado. Requer intervencao manual do administrador para ser reativada.

Passo a Passo: Como configurar Port Security

A configuracao e realizada via CLI (Command Line Interface). Este topico e fundamental e frequentemente exigido em qualquer guia de estudo para certificacoes de infraestrutura. De acordo com as melhores praticas da documentacao oficial da Cisco, os passos basicos de implementacao sao:

1. Acessar a interface e definir como modo de acesso

O recurso de seguranca de porta nao funciona em portas configuradas como tronco dinamico. Voce deve forcar o modo de acesso para computadores finais:

Switch(config)# interface FastEthernet 0/1
Switch(config-if)# switchport mode access

2. Ativar o Port Security e definir limites

Ative a funcionalidade e limite o numero de dispositivos permitidos simultaneamente na mesma porta fisica:

Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2

3. Configurando a funcionalidade Sticky MAC

Digitar enderecos MAC manualmente e inviavel em grandes redes. A funcao "Sticky" permite que o switch aprenda o primeiro MAC conectado e o grave no arquivo de configuracao (running-config). Para uma protecao ainda mais avancada, voce pode combinar esta logica com o padrao 802.1X para autenticacao baseada em identidade. Para configurar nativamente o sticky e a violacao, use:

Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security violation restrict

Perguntas Frequentes

Como reativar uma porta que entrou em estado de shutdown pelo Port Security?

Para reativar a porta, o administrador de redes deve acessar a interface afetada via CLI e executar o comando shutdown seguido imediatamente de no shutdown. Isso reinicia administrativamente a porta e limpa o estado de seguranca err-disable.

Posso usar Port Security em portas Trunk?

Geralmente, o recurso e projetado para portas de acesso (Access Ports) ligadas a hosts finais. Embora alguns switches suportem a configuracao parcial em portas trunk, isso exige cuidado extremo e configuracoes complexas de maximo de MACs para nao bloquear o trafego legitimo de multiplas VLANs.

Qual a diferenca entre os modos Protect e Restrict?

Ambos descartam o trafego do dispositivo invasor sem desligar a porta fisicamente. A principal diferenca e que o modo Restrict gera mensagens de log (Syslog) e alertas SNMP para o sistema de monitoramento, enquanto o modo Protect age silenciosamente, dificultando a auditoria de seguranca da equipe de TI.