Buenas!
Mais uma breve postagem sobre segurança de portas em Switches.
Para fazermos um switch funcionar, basicamente precisamos comprá-lo, ligá-lo na energia e plugarmos os hosts em suas portas. Simples e fácil. Isso é uma opção dos fabricantes em tornar o dispositivo o mais fácil possível, porém todos os fabricantes recomendam fortemente configurações avançadas de segurança.
Uma delas é o Port Security que trata-se de uma tecnologia para limitar e controlar a quantidade de dispositivos ligados em uma porta. Imagine a situação na qual você tem uma sala isolada em sua empresa com apenas uma porta LAN liberada para a única estação de trabalho que se encontra nessa salinha. Essa estação controla algumas câmeras IP e precisa estar sempre conectada mesmo que quase ninguém vá até a sala. Hehehe, que exemplo... : ).
Bom, mas onde eu quero chegar é que qualquer pessoa pode entrar nessa sala, plugar um HUB nesse ponto de rede, ligar a estação no HUB e mais um notebook. Pronto! Teremos uma máquina estranha conectada em nossa rede sem o nosso conhecimento e que pode estar transmitindo vírus, fazendo varreduras ou mesmo DoS na nossa LAN. Esse é um exemplo de risco com switches mal configurados.
Com Port Security podemos especificar que essa porta aceitará tráfego de apenas um (ou mais) MAC Address e caso um segundo MAC tente trafegar por essa porta, caracterizando a situação acima, o Swicth tome algumas ações automaticamente:
protect: Simplesmente descartará qualquer pacote vindo desse MAC não autorizado.
restrict: Fará a mesma coisa que o protect além de também enviar TRAPs SNMP informando o que está ocorrendo.
shutdown: Essa é a mais drástica. Dará um shutdown administrativo na porta, o que significa que ela só voltará a funcionar se o administrador conectar no switch e mandar a porta funcionar novamente.
Particularmente acho a opção restrict mais vantajosa, pois sempre que houver uma violação o "atacante" não conseguira acesso à LAN e ainda poderei ver as informações do que está ocorrendo através do SNMP. Uma dica é utilizar uma ferramenta de monitoramento como o Zenoss para ajudar nessa tarefa.
Caso eu escolha shutdown, por exemplo, posso estar dando chance para o DoS e se um larápio souber disso ele vai se divertir nas suas custas.
Mas como ele fará o controle do MAC?
Podemos optar entre duas formas sendo a primeira manual e a segunda automática.
Mas como, câmbio?
Quando habilitamos Port Security em uma porta, temos que definir a quantidade de MACs que a porta aceitará. Por padrão ela aceitará apenas 1 MAC. Independente do número x de MACs que for configurado, poderemos especificar manualmente esses endereços ou ligar a opção sticky que irá liberar os primeiros x MAC a chegarem na interface. Fique calmo que colocarei os comandos depois. : )
Eu particularmente acho a opção do Sticky muito mais vantajosa pela menor esforço no gerenciamento, mas para estruturas realmente pequenas isso pode ser interessante olhando pelo lado da segurança.
Como configurar?
Exemplo bem breve e prático de como configurar:
! Acessa um range de portas para configurar tudo de uma só vez.
# interface range FastEthernet 0/1 - 24
! Tem que ser interface de acesso. Não pode ser trunk, por exemplo.
(config-if) # switchport mode access
! Habilita Port security.
(config-if) # switchport port-security
! Define que a porta aceitará apenas 2 MACs.
(config-if) # switchport port-security maximum 2
! Se um terceiro MAC tantar acesso será descartado e traps SNMP serão enviadas.
(config-if) # switchport port-security violation restrict
! Os dois primeiros MAC que passarem pela porta serão cadastrados automaticamente.
! No lugar do sticky também pode ser digitado o MAC caso queira especificá-lo xxxx.xxxx.xxxx
(config-if) # switchport port-security mac-address sticky
Pronto!
Dicas de Segurança:
- Deixe todas as portas configuradas como portas de acesso para evitar que alguém se conecte em uma porta trunk e acesse todas as VLANs.
- Coloque portas que não são usadas em VLANs que não existem.
- Dê um shutdown administrativos em todas as portas que não estão em uso.
- Mantenha um capacitor sempre carregado para dar choque em quem tente atazanar sua LAN.
Em breve falarei sobre o 802.1x.
Abraço!
Nenhum comentário:
Postar um comentário