domingo, 13 de novembro de 2011

Configurando a Segurança de Porta em um Switch Cisco Catalyst

Um switch que não fornece a segurança de porta permite a um invasor anexar um sistema a uma porta não usada, habilitada, e executar a coleta de informações ou ataques. Assim, um invasor poderia coletar tráfego que contivesse nomes de usuário, senhas ou informações de configuração sobre os sistemas na rede.

Todas as portas de switch ou interfaces devem ser protegidas antes da implantação do switch. A segurança de porta limita o número de endereços MAC válidos permitidos em uma porta. Quando você atribui endereços MAC seguros a uma porta segura, a porta não encaminha pacotes com endereços de origem fora do grupo de endereços definidos.


Configurando a segurança da porta

Implemente a segurança em todas as portas de switch:
  • Especifique um grupo de endereços MAC válidos permitidos em uma porta.
  • Permita apenas a um endereço MAC acessar a porta.
  • Especifique que a porta será desativada automaticamente se forem detectados endereços MAC não autorizados.
As portas em um switch Cisco são pré-configuradas com padrões. A figura abaixo resume a configuração da segurança de porta padrão.

 Imagem retirada do material CCNA Exploration V4.0

Tipos de endereço MAC seguro

Os endereços MAC seguros são dos seguintes tipos:
  • Endereços MAC seguros estáticos
  • Endereços MAC seguros dinâmicos
  • Endereços MAC seguros fixos (sticky)
 Endereços MAC fixos (sticky) seguros têm estas características:
  •  Endereços MAC aprendidos dinamicamente, convertidos em seguros fixos (sticky), armazenados na configuração de execução.
  • Desabilitar a aprendizagem fixa remove endereços MAC da configuração de execução, mas não da tabela MAC.
  • Os endereços MAC seguros fixos (sticky) são perdidos quando o switch é reiniciado.
  • Salvar endereços MAC seguros fixos (sticky) no arquivo de configuração de inicialização para que o switch os tenha quando for reiniciado.
  • Desabilitar a aprendizagem fixa converte endereços MAC fixos em endereços seguros dinâmicos e os remove da configuração de execução.


Configurar segurança de porta estática

Há várias formas de configurar a segurança de porta. Esta é uma descrição das formas como é possível configurar a segurança de porta em um switch Cisco:
  • Endereços MAC seguros estáticos: os endereços MAC são configurados manualmente, usando o comando de configuração da interface switchport port-security mac-address mac-address. Os endereços MAC configurados dessa forma são armazenados na tabela de endereços, sendo adicionados à configuração de execução no switch. 

Configurar segurança de porta dinâmica

Os endereços MAC são aprendidos dinamicamente e armazenados apenas na tabela de endereços. Os endereços MAC configurados dessa forma são removidos quando o switch reinicia.

A figura abaixo mostra os comandos CLI do Cisco IOS necessários à configuração da segurança de porta na porta Fast Ethernet F0/18 do switch S1. Observe que o exemplo não especifica um modo de violação. Neste exemplo, o modo de violação é definido como shutdown.

 Imagem retirada do material CCNA Exploration V4.0


Configurar segurança de porta fixa

É possível configurar uma porta para saber endereços MAC dinamicamente e salvar esses endereços MAC na configuração de execução.

Quando você habilita a aprendizagem fixa em uma interface usando o comando de configuração da interface switchport port-security mac-address sticky, a interface converte todos os endereços MAC seguros dinâmicos, inclusive os que foram aprendidos dinamicamente antes da habilitação da aprendizagem fixa, para fixar endereços MAC seguros e adiciona todos os endereços MAC seguros à configuração de execução. 

Se você desabilitar a aprendizagem fixa usando o comando de configuração da interface no switchport port-security mac-address sticky, os endereços MAC seguros fixos continuarão parte da tabela de endereços, mas serão removidos da configuração de execução.

Quando você configura endereços MAC seguros fixos usando o comando de configuração da interface switchport port-security mac-address sticky mac-address, esses endereços serão adicionados à tabela de endereços e à configuração de execução. Se a segurança de porta for desabilitada, os endereços MAC seguros fixos permanecerão na configuração de execução. 

Se você salvar os endereços MAC seguros fixos no arquivo de configuração, quando o switch for reiniciado ou a interface for desligada, a interface não precisará reaprender esses endereços. Se você não salvar os endereços seguros fixos, eles serão perdidos. 

A figura abaixo mostra como habilitar a segurança de porta fixa na porta Fast Ethernet 0/18 do switch S1. Conforme dito antes, é possível configurar o número máximo de endereços MAC seguros. Neste exemplo, você pode ver a sintaxe de comando do Cisco IOS usada para definir o número máximo de endereços MAC como 50. Por padrão, o modo de violação é definido como shutdown.



 Imagem retirada do material CCNA Exploration V4.0

Se você desabilitar a aprendizagem fixa e digitar o comando de configuração da interface switchport port-security mac-address sticky mac-address, uma mensagem de erro será exibida, e o endereço MAC seguro fixo não será adicionado à configuração de execução.


Modos de violação da segurança


É possível configurar a interface para um dos três modos de violação, com base na ação a ser executada em caso de uma violação. 

Ocorrem violações de segurança nestas situações:
  • Uma estação cujo endereço MAC não está na tabela de endereços tenta acessar a interface quando a tabela está cheia.
  • Um endereço estpa sendo usado em duas interfaces seguras na mesma VLAN.
Entre os modos de violação de segurança estão: proteger (protect), restringir (restrict) e desabilitar (shutdown).
A figura apresenta que tipos de tráfego de dados são encaminhados quando um dos seguintes modos de violação de segurança é configurado em uma porta: 

 Imagem retirada do material CCNA Exploration V4.0

proteger: quando o número de endereços MAC seguros atinge o limite permitido na porta, pacotes com endereços de origem desconhecidos são ignorados até que você remova um número suficiente de endereços MAC seguros ou aumente o número máximo de endereços permitidos. Você não é notificado de que houve uma violação de segurança.

restringir: quando o número de endereços MAC seguros atinge o limite permitido na porta, pacotes com endereços de origem desconhecidos são ignorados até que você remova um número suficiente de endereços MAC seguros ou aumente o número máximo de endereços permitidos. Nesse modo, você é notificado de que houve uma violação de segurança. Especificamente, uma interceptação SNMP é enviada, uma mensagem syslog é registrada em log e o contador de violação é incrementado. 

desligamento: nesse modo, uma violação de segurança de porta faz com que a interface seja desabilitada para erro imediatamente e apaga o LED da porta. Ele também envia uma interceptação SNMP, registra em log uma mensagem syslog e incrementa o contador de violação. Quando uma porta segura estiver no estado desabilitado para erro, será possível tirá-la desse estado, digitando-se os comandos de configuração da interface shutdown e no shutdown. Este é o modo padrão.



Fonte: Texto e imagens retirados do material CCNA Exploration 4.0 na parte de Comutação e Rede Local - Configuração e Conceitos Básicos de Switch.

5 comentários: