M6 · Segurança

Port Security em Switches Cisco

O que é

Port Security é um recurso de segurança de camada 2 disponível em switches Cisco que permite controlar quais endereços MAC têm permissão de trafegar por uma porta — e quantos deles ao mesmo tempo. Quando um dispositivo não autorizado tenta usar uma porta protegida, o switch executa uma ação configurável: pode derrubar a porta, descartar silenciosamente o tráfego, ou descartar e registrar o evento.

É um dos principais mecanismos de proteção contra acesso físico não autorizado à rede e contra ataques de esgotamento de tabela MAC e pool DHCP.

Como funciona

Pré-requisito: porta estática

Port security exige que a porta esteja configurada estaticamente como access ou trunk. Portas em modo dinâmico (padrão dynamic auto) não aceitam o recurso.

Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security

MACs autorizados

Por padrão, apenas 1 endereço MAC é permitido por porta. Você pode:

  • Deixar o switch aprender o primeiro MAC que aparecer (aprendizado dinâmico)
  • Configurar um MAC manualmente:

`` Switch(config-if)# switchport port-security mac-address 0050.7966.6800 ``

  • Usar sticky MACs: o switch aprende dinamicamente e grava no running-config automaticamente:

`` Switch(config-if)# switchport port-security mac-address sticky ``

Para aumentar o limite de MACs simultâneos — necessário, por exemplo, em portas com IP Phone + PC conectados em série:

Switch(config-if)# switchport port-security maximum 2

Modos de violação

Quando um MAC não autorizado tenta usar a porta, o comportamento depende do modo configurado:

Modo Porta desativada? Descarta tráfego? Gera log/SNMP? Incrementa contador?
shutdown Sim (err-disabled) Sim Sim (1x) Sim (reseta ao reativar)
restrict Não Sim Sim (por frame) Sim
protect Não Sim Não Não

O padrão é shutdown. Para alterar:

Switch(config-if)# switchport port-security violation restrict

Estado err-disabled

Quando a violação ocorre no modo shutdown, a porta entra em estado err-disabled — equivalente a um shutdown por política, não manual. O comando show interfaces status exibe err-disabled; o comando show port-security interface exibe Secure-shutdown.

Recuperação da porta

Manual (sempre prefira desconectar o dispositivo invasor antes):

Switch(config-if)# shutdown
Switch(config-if)# no shutdown

Automática via errdisable recovery:

Switch(config)# errdisable recovery cause psecure-violation
Switch(config)# errdisable recovery interval 180

Após o intervalo configurado (padrão: 300 s), a porta é reativada automaticamente. Se o dispositivo invasor ainda estiver conectado e o MAC seguro original foi limpo, o MAC invasor pode se tornar o novo MAC autorizado — por isso, desconecte o dispositivo antes.

Na prática

Cenário brasileiro típico: uma escola técnica em São Paulo usa switches Cisco nos laboratórios. O técnico de TI configura port security nas portas dos bancos de trabalho para impedir que alunos conectem notebooks pessoais ou pen drives com adaptador de rede, que causariam conflitos de endereçamento e riscos de segurança.

Configuração completa de uma porta com sticky MAC e modo restrict:

Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 1
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security violation restrict
Switch(config-if)# end

Switch# show port-security interface GigabitEthernet0/1

Exemplo de saída do show port-security interface:

Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Restrict
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 1
Total MAC Addresses        : 1
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : 0050.7966.6800:1
Security Violation Count   : 0

Verificar MACs seguros na tabela:

Switch# show mac address-table secure
Switch# show port-security address

Verificar e configurar errdisable recovery:

Switch# show errdisable recovery
Switch(config)# errdisable recovery cause psecure-violation
Switch(config)# errdisable recovery interval 120

Importante para ambientes VoIP: portas com IP Phone Cisco conectado e PC atrás do telefone precisam de maximum 2, pois tanto o telefone quanto o PC enviam tráfego com seus próprios MACs.

Por que cai no exame

Port security é cobrado diretamente no blueprint do CCNA (tópico de segurança de camada 2, junto com DHCP Snooping e Dynamic ARP Inspection). As questões mais frequentes exploram:

  1. Diferença entre os três modos de violação — principalmente restrict vs protect (ambos mantêm a porta ativa, mas só restrict gera log e incrementa o contador).
  2. Comportamento do sticky MAC — aprendido dinamicamente, salvo no running-config, tipo static na tabela de MACs; não é salvo no startup-config automaticamente.
  3. Pré-requisito de porta estáticaswitchport port-security é rejeitado em portas dynamic auto.
  4. Contagem de MACs dinâmicos — sticky MACs são dinamicamente aprendidos mesmo aparecendo como static na tabela.
  5. Recuperação de porta err-disabled — dois métodos: manual (shutdown/no shutdown) ou automático (errdisable recovery cause psecure-violation).
  6. Cenários de IP Phone — necessidade de maximum 2 quando PC e telefone compartilham a mesma porta do switch.

Uma pegadinha clássica: no modo shutdown, o contador de violações é resetado para 0 quando a porta é reativada, porque a porta foi re-inicializada. Nos modos restrict e protect, o contador acumula.

Resumo em uma linha

Port security restringe quantos e quais MACs podem usar uma porta de switch, reagindo a violações com shutdown (err-disabled), restrict (descarta e loga) ou protect (descarta silenciosamente).