Press "Enter" to skip to content

Redes Cisco – Funcionalidades de segurança em camada 2

0

Principais funcionalidades de segurança de rede na camada 2?

SWITCH CISCO – PORT-SECURITY

Em alguns ambientes de rede deve estar assegurado o controle de que estações terminais poderão ter acesso a rede. Quando as estações de trabalho são fixos, seus endereços MAC normalmente sempre conectam na mesma porta da camada de acesso. As estações móveis a MAC pode ser aprendida dinamicamente ou adicionada a uma lista de endereços que são esperados em determinada porta. Os switches Catalyst possuem uma característica chamada port-security que controla os endereços MAC atribuídos a cada porta.

Para iniciar a configuração de segurança de portas em um switch começamos com o seguinte comando:

Switch(config-if)# switchport port-security

Posteriormente devemos identificar um conjunto de endereços MAC permitidos para essa porta. Esses MACs podem ser configurados explicitamente ou de forma dinâmica através do trafego entrante por essa porta, em cada interface que se utilize port-security devemos especificar um numero máximo de endereços MAC que serão permitidos:

Switch(config-if)# switchport port-security maximum max-addr

O range de MAC permitidos vai de 1 a 1024. Cada interface configurada com port-security aprende dinamicamente os endereços MAC por padrão e espera que esses endereços apareçam nessa interface no futuro. Esse processo é chamado de stick MAC adresses. Os endereços MAC são aprendidos quando os quadros dos hosts passam a traves da interface, que aprende até o numero máximo de endereços que tem permitida. Os endereços aprendidos também são eliminados se os hosts conectados não transmitem em um período determinado. A sintaxe mostra a configuração de no máximo 5 endereços MAC para uma porta:

switch#(config-if)#switchport port-security maximum 5

Também podemos definir estaticamente um ou mais endereços MAC em uma interface, qualquer dos endereços configurados terão permitido o acesso a rede através dessa porta:

Switch(config-if)#switchport port-security mac-address mac-addr

Se o número de endereços estáticos fornecido é menor que o numero máximo de endereços que podem aprender dinamicamente, o resto dos endereços serão aprendidos dinamicamente. No entanto, devemos ter um controle apropriado sobre quantos endereços devemos permitir.

Finalmente devemos definir como uma interface com segurança de porta deveria reagir se ocorre uma tentativa de violação para isso utiliza-se o seguinte comando:

Switch(config-if)# switchport port-security violation {shutdown | restrict | protect}

Quando o switch detecta um número maior de endereços MAC permitido ou um MAC desconhecido é detectado o SW interpreta como uma violação. A porta do switch toma algumas das seguintes ações quando ocorre a violação:

  • Shutdown, a porta automaticamente é colocada em estado errdisable, o que faz com que fique desabilitada e terá que ser habilitada manualmente ou utilizando a recuperação do errdisable
  • Restrict, a porta permanece ativa mas os pacotes dos endereços MAC que estão violando a restrição são eliminados. O switch continua executando o temporizados dos pacotes que estão violando a condição e pode enviar um trap SNMP a um servidor syslog para alertar o ocorrido.
  • Protect, a porta segue habilitada mas os pacotes dos endereços que estão violando a condição são eliminados, não fica nenhum registro do que está acontecendo.

Um exemplo do modo restric:

interface GigabitEthernet0/11
switchport access vlan 991
switchport mode access
switchport port-security
switchport port-security violation restrict
spanning-tree portfast

Quando o numero máximo de endereços MAC é excedido, o switch Cisco exibe o seguinte log:

Jun 3 17:18:41.888 EDT: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation
occurred, caused by MAC address 0000.5e00.0101 on port GigabitEthernet0/11.

Em caso de cumprir a condição restrict ou protect, será necessário limpar os MAC com o seguinte comando:

Switch# clear port-security dynamic [address mac-addr | interface type mod/num]

No modo shutdown a ação do port-security é muito mais drástica. Quando o numero máximo de endereços MAC é ultrapassado a seguinte mensagem de log indica que a porta foi colocada em errdisable:

Jun 3 17:14:19.018 EDT: %PM-4-ERR_DISABLE: psecure-violation error detected on
Gi0/11, putting Gi0/11 in err-disable state
Jun 3 17:14:19.022 EDT: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation
occurred, caused by MAC address 0003.a089.efc5 on port GigabitEthernet0/11.
Jun 3 17:14:20.022 EDT: %LINEPROTO-5-UPDOWN: Line protocol on Interface Gigabit
Ethernet0/11, changed state to down
Jun 3 17:14:21.023 EDT: %LINK-3-UPDOWN: Interface GigabitEthernet0/11, changed
state to down

Podemos ver o estado de uma porta com o comando show port-security interface:

Switch# show port-security interface gigabitethernet 0/11
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address : 0003.a089.efc5
Security Violation Count : 1
Switch#

Para ver o resumo rápido do estado da porta utilizamos o comando:

Switch# show interfaces status err-disabled
Port Name Status Reason
Gi0/11 Test port err-disabled psecure-violation
Switch#

Temos que recordar que quando uma porta está em estado errdisable podemos recuperá-la manualmente ou de maneira automática. A seqüência de comandos para a recuperação manual é a seguinte:

Switch(config)# interface type mod/num
Switch(config-if)# shutdown
Switch(config-if)# no shutdown

Finalmente podemos ver um resumo do estado do port-security com o comando:

Switch# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Gi0/11 5 1 0 Restrict
Gi0/12 1 0 0 Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 6176
Switch#

SWITCH CISCO – AUTENTICAÇÃO DE PORTA

Os switches Catalyst podem suportar autenticação baseada em porta que combina a autenticação AAA (Authentication, Authorization, Account) e a função port-security.

Essa característica é baseada no padrão IEEE 802.1x, quando está habilitada em uma porta do switch não passará o trafego até que o usuário seja autenticado com o switch. Se a autenticação é satisfatória o usuário poderá utilizar a porta com normalidade.

Na autenticação baseada em uma porta tanto o switch como o PC do usuário tem que suportar o padrão 802.1X utilizando EAPOL (Extensible Authentication Protocol over LAN). Esse padrão é um protocolo executado entre o cliente e o switch que está blindando o serviço de rede. Se o cliente do PC está configurado para utilizar 802.1X mas o switch não suporta, o PC abandona o protocolo e comunica normalmente; mas o inverso, ou seja, se o switch está configurado com autenticação e o PC não suporta, a porta do switch permanecerá no estado “não autorizado” de maneira que não enviará tráfego a esse cliente.

Uma porta do switch com 802.1X começa no estado não autorizado, de maneira que somente o único tipo de dados que permite passar é o próprio protocolo 802.1X. Tanto o cliente como o switch pode começar a sessão 802.1X. O estado autorizado da porta finaliza quando o usuário da porta termina a sessão causando que o cliente 802.1X informe ao switch que volte ao estado não autorizado. O switch pode finalizar a sessão do usuário quando seja necessário; em caso de que isso ocorra, o cliente tem que re-autenticar para continuar utilizando a porta.

SWITCH CISCO – AUTENTICA 802.1X

A autenticação baseada em porta pode ser administrada por um ou mais servidores RADIUS (Remote Authentication Dial-In User Service). Mesmo que muitos switches Cisco suportam outros métodos de autenticação, só o RADIUS suporta o padrão 802.1X.

 

O método de autenticação real de RADIUS tem que ser configurado inicialmente e logo o 802.1X. Os seguintes passos mostram essa configuração:

Habilita o AAA no switch. Por padrão AAA está desabilitado, para habilitar é utilizado o seguinte comando:

 Switch(config)# aaa new-model

O parâmetro new-model faz referencia ao método de listas que serão utilizados para a autenticação.

Definição dos servidores RADIUS externos. Em primeiro lugar define todos os serviços junto com a chave compartilhada; isso somente é conhecido pelo switch e servidor e proporciona uma chave criptografada para a autenticação do usuário.

Switch(config)# radius-server host {hostname | ip-address} [key string]

Esse comando deve ser repetido de acordo com a quantidade de servidores existentes na rede.

Definição do método de autenticação 802.1X. Com o seguinte comando os servidores de autenticação RADIUS que foram definidos no switch utilizarão a autenticação 802.1X:

Switch(config) aaa authentication dot1x default group radius
 //Habilita o 802.1X no switch
Switch(config)# dot1x system-auth-control
 //Configuração das portas do switch com 802.1X
Switch(config)# interface type mod/num
Switch(config-if)# dot1x port-control {force-authorized | forceunauthorized | auto}

Onde:

  • Force-authorized: A porta é forçada para que sempre autorize qualquer conexão do cliente, não é necessário a autenticação; esse é o estado padrão para todas as portas quando 802.1X está habilitado.
  • Force-unauthorized: A porta é forçada para não autorizar nunca a conexão de um cliente, como resultado essa porta não passará ao estado autorizado.
  • Auto: A porta utiliza uma troca de 802.1X para se mover do estado unauthorized até o estado authorized quando a autenticação seja satisfatória. Isso requer uma aplicação capaz de suporta esse padrão no PC do cliente.

Por padrão todas as portas do switch estão no estado force-authorized mas  se o objetivo é a utilização do 802.1X, as portas devem estar configuradas em auto, dessa maneira empregará o mecanismo de autenticação.

Permite múltiplos host em uma porta do switch. O padrão 802.1X suporta casos em que múltiplos host estão conectados a uma única porta do switch, seja através de um hub ou de outros switches de acesso. Em esse caso devemos configurar a porta com o seguinte comando:

Switch(config-if)#dot1x host-mode multi-host

 O seguinte comando show dot1x all é utilizado para verificar as operações do 802.1X em cada porta do switch onde está configurada.

O seguinte é um exemplo de autenticação baseada em 802.1X, onde existe configurado dois servidores RADIUS e varias portas do switch estão utilizando 802.1X para autenticação e associação com a VLAN 100:

Switch(config)# aaa new-model
Switch(config)# radius-server host 10.1.1.1 key BigSecret
Switch(config)# radius-server host 10.1.1.2 key AnotherBigSecret
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# dot1x system-auth-control
Switch(config)# interface range FastEthernet0/1 - 40
Switch(config-if)# switchport access vlan 100
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x port-control auto

SWITCH CISCO –  SPOOFING ATTACKS

Os usuários maliciosos tentam enviar informações falsas aos switches ou hosts tentam utilizam mecanismos de falsificação nos default gateways. O objetivo do atacante é interceptar o trafego enviando pacotes ao efetado como se ele fosse a porta de enlace ou o roteador. O atacante pode obter informação do trafego de pacotes antes que cheguem a seu verdadeiro destino. Os switches Catalyst possuem três mecanismos de proteção diante desses ataques.

DHCP SNOOPING

Um servidor DHCP proporciona a informação que um cliente necessita para operar dentro de uma rede. Uma atacante pode ativar um servidor DHCP falso no mesmo segmento do cliente, quando o cliente faz a petição DHCP o falso servidor poderia enviar o DHCP reply com seu próprio endereço IP substituindo ao verdadeiro default gateway. Os pacotes destinados para fora da rede local seriam enviados ao servidor do atacante que poderá enviá-los para a direção correta, mas primeiro poderá examinar cada pacote interceptado. O atacante está no meio do caminho, o cliente nunca se dará conta disso, ação conhecida como man-in-the-middle.

Os switches Catalyst possuem a característica DHCP Snooping para prevenir esse tipo de ataque. Quando está configurado, as portas estão categorizadas como confiáveis ou não confiáveis. Os servidores DHCP legítimos podem encontrar nas portas confiáveis, enquanto que todos os demais hosts estão atrás das portas não confiáveis. Um switch intercepta todas as petições DHCP que vem das portas não confiáveis antes de passá-las para a VLAN correspondente. Qualquer resposta DHCP reply vindo da porta não confiável é descartada, e a porta passará para o estado errdisable.

DHCP Snooping mantém um registro de todos os enlaces dos DHCP completados, o que significa que possui conhecimento dos endereços MAC, endereços IP, tempo de lease, etc do cliente.

O seguinte comando configura DHCP Snooping no switch:

Switch(config)# ip dhcp snooping

 O seguinte passo consiste em identificar a VLAN onde DHCP Snooping será implantado:

Switch(config)# ip dhcp snooping vlan vlan-id [vlan-id]

Posteriormente configuramos as portas confiáveis onde estão localizados os servidores DHCP:

Switch(config)# interface type mod/num
Switch(config-if)# ip dhcp snooping trust

Para as portas não confiáveis é permitido um numero ilimitado de petições DHCP, para limitar podemos utilizar o seguinte comando:

Switch(config)# interface type mod/num
Switch(config-if)# ip dhcp snooping limit rate rate

O parâmetro rate tem um range de 1 a 2048 pacotes DHCP por Segundo.

Podemos também configurar o switch para que utilize a opção DHCP 82 descrita na RFC 3046. Adicionando a opção 82 a informação sobre o cliente que gerou a petição DHCP é mais ampla. A resposta DHCP trará contida a informação da opção 82. O switch intercepta a resposta e compara os dados da opção 82 para confirmar se a resposta vem de uma porta válida. Essa característica está habilitada por padrão, não obstante, para habilitar a opção 82 é utilizado o seguinte comando:

Switch(config)# [no] ip dhcp snooping information option

O estado do DHCP Snooping pode-se ver com o seguinte comando:

Switch# show ip dhcp snooping [binding]

O parâmetro binding é utilizado para mostrar todas as relações conhecidas do DHCP que foram recebidas.

O seguinte exemplo observamos a configuração do DHCP Snooping, as interfaces FastEthernet 0/5 e a 0/16 são consideradas não confiáveis, a quantidade de petições estão limitadas a 3 segundos. O servidor DHCP conhecido está localizado na interface GigaEthernet0/1:

Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 104
Switch(config)# interface range fastethernet 0/5 – 16
Switch(config-if)# ip dhcp snooping limit rate 3
Switch(config-if)# interface gigabitethernet 0/1
Switch(config-if)# ip dhcp snooping trust
Switch# show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
104
Insertion of option 82 is enabled
Interface Trusted Rate limit (pps)
----------------------- ------- ----------------
FastEthernet0/5 no 3
FastEthernet0/16 no 3
GigabitEthernet0/1 yes unlimited
Switch#

SWITCH CISCO – IP SOURCE GUARD

A falsificação de endereços é mais uma forma diferente de ataques que são difíceis de eliminar. Normalmente um host é atribuído a um endereço IP e é esperado o mesmo para todo o trafego enviado. Um PC que está comprometido não tem que utilizar seu endereço IP, poderia começar a utilizar endereços falsos.

Essas métodos são frequentemente utilizados como a origem de ataques de DoS. Se o endereço origem não existe realmente o trafego de volta nunca encontrará o caminho até sua origem. Os roteadores ou dispositivos de camada 3 levam a cabo o simples teste para endereços de origem falsas quando estas passam através deles.

Se a rede é conhecida e pertence a uma VLAN determinada, os pacotes entrantes desde essa VLAN nunca deveriam ter um endereço IP diferente em seu endereçamento.

Mas é difícil detectar endereços falsos quando são utilizados dentro da VLAN ou subrede correspondente. Dessa maneira um host comprometido poderia atacar todos os hosts dentro de sua própria subrede. Por exemplo, dentro de uma rede 10.1.1.0/24 na VLAN1, conforme topologia abaixo, um host falso começa a enviar pacotes spoofed com o endereço de origem 10.1.1.1. O endereço 10.1.1.1 está dentro da subrede 10.1.1.0/24, nesses casos os spoofs se tornam de difícil detecção.

Os switch Catalyst utiliza a função IP Source Guard para detectar e eliminar ataques de endereços falsos, incluso dentro da mesma subrede. Um switch de camada 2 aprende e guarda o endereço MAC por porta, e utiliza um método para buscar o endereço MAC e ver a associação IP correspondente.

switch cisco seguranca camada 2

IP Souce Guard realiza esse processo fazendo uso da base de dados do DHCP Snooping, como também da base de dados estática.

Os pacotes que chegam ao switch podem ser comprovados por qualquer dessas condições:

  1. O endereço IP de origem tem que ser idêntico ao endereço IP aprendido pelo DHCP Snooping ou por uma entrada estática. Uma porta com ACL dinâmica é utilizada para filtrar o trafego, o switch automaticamente cria essa ACL adicionando o endereço de origem aprendido na ACL e aplicando na porta onde aprendeu o endereço correspondente.
  2. O endereço MAC de origem tem que ser idêntico ao endereço MAC aprendido na porta do switch e no DHCP Snooping. Utilizamos port-security para filtrar o trafego não desejado.

Se o endereço é diferente ao que foi aprendido ou configurado estaticamente, o switch descarta o pacote.

Para a configuração do IP Source Guard devemos configurar DHCP Snooping. Para que seja detectado endereços MAC falsos é necessário a configuração de port-security. Para os hosts que não utilizam DHCP podemos configurá-los com um endereçamento estático com o seguinte comando:

Switch(config)# ip source binding mac-address vlan vlan-id ip-address interface type mod/num

Nesse caso o endereço MAC do host é associado a VLAN e endereço IP correspondente junto com a porta adequada.

Habilita-se IP Source Guard em uma ou mais portas do switch com o seguinte comando:

Switch(config)# interface type mod/num
Switch(config-if)# ip verify source [port-security]

O comando ip verify source inspecionará a origem do endereço IP, é possível adicionar o parâmetro port-security para fazer o mesmo com o endereço MAC.

Para verificar o estado do IP Source Guard utilizamos o seguinte comando:

Switch# show ip source [interface type mod/num]

Se for necessário verificar a informação contida na base de dados de endereços de origem aprendidos dinamicamente ou estaticamente, utilizamos o seguinte comando:

Switch# show ip source bindng [ip-address] [mac-address] [dhcp-snooping | static][interface type mod/num] [vlan vlan-id]

Inspeção dinâmica de ARP: Os host utilizam normalmente ARP (Adress Resolution Protocol) para resolver endereços MAC não conhecidos a endereços IP conhecidos. O endereço MAC é necessário para enviar um pacote e encapsular em camada 2, o host envia um broadcast com uma petição ARP com o endereço IP do destino solicitando o MAC. Se alguns dos hosts estão utilizando esse endereço IP, responderá com um ARP reply contendo seu endereço MAC;

O processo de ARP funciona adequadamente entre dispositivos confiáveis, mas se um atacante pode enviar sua própria resposta ARP com um endereço MAC malicioso, a origem da petição associará o IP na MAC do atacante. A origem armazenará em sua tabela ARP uma MAC falsa podendo enviar os pacotes IP até esse endereço. Nesse cenário o atacante está no meio do caminho, os pacotes são enviados ao atacante em lugar do host real de destino.

Esse ataque é conhecido como ARP poisoning ou ARP spoofing, e é considerado com um ataque do tipo man-in-the-middle. Os switches Catalyst podem utilizar DAI (Dynamic ARP Inspection) para mitigar esse tipo de ataque. DAI trabalha de maneira simular ao DHCP snooping, todas as portas do switch são classificadas com confiáveis ou não. O switch intercepta e inspeciona todos os pacotes ARP que chegam nas portas não confiáveis.

Quando uma resposta ARP é recebida em uma porta não confiável, o switch verifica o MAC e o endereço IP reportado no pacote de resposta contra os valores conhecidos. O switch pode obter a informação confiável do ARP pelas entradas estáticas ou aprendidas dinamicamente na base de dados do DHCP Snooping habilitado previamente. Se a resposta contem valores contraditórios, é eliminada, gerando mensagem de log.

Para a configuração do DAI devemos habilitar em uma ou mais VLAN com o seguinte comando:

Switch(config)# ip arp inspection vlan vlan-range

O parâmetro vlan permite a configuração de uma VLAN ou um range determinado. Por padrão as portas associadas com o range de VLAN são consideradas como não confiáveis. O switch local não inspecionará os pacotes ARP que cheguem nas portas confiáveis. Para configurar uma porta como confiável utilizar-se os seguintes comandos:

Switch(config)# interface type mod/num
Switch(config-if)# ip arp inspection trust

Se existem host com endereços IP estático configurado não haverá mensagens DHCP trocadas e que possam ser inspecionada, pelo qual teremos que configurar uma ACL de ARP que defina estaticamente as associações MAC a endereços IP. Os seguintes comandos são aplicados a um ou mais hosts e configurados da seguinte maneira:

Switch(config)# arp access-list acl-name
Switch(config-acl)# permit ip host sender-ip mac host sender-mac [log]
Switch(config-acl)# exit

As ACLs devem ser associadas ao DAI através dos seguintes comandos:

Switch(config)# ip arp inspection filter arp-acl-name vlan vlan-range [static]

Existe uma negação implícita ao final da ACL do ARP: se não é encontrado nenhuma coincidência, a resposta ARP é considerada invalida.

É possível especificar mais validações nos conteúdos dos pacotes de resposta ARP. Por padrão só se utilizam para verificação dos endereços MAC e endereços IP contidas nos pacotes de resposta ARP. Isso não significa que as verificações dos endereços MAC sejam as reais contidas no cabeçalho ARP. Para que isso ocorra e sejam verificados os endereços MAC para que sejam realmente os que estão listadas dentro do próprio pacote de resposta, se utiliza o seguinte comando:

Switch(config)# ip arp inspection validate {[src-mac] [dst-mac] [ip]}

Teremos que configurar ao menos 3 das seguintes opções:

  • Src-mac: compara o endereço MAC de origem no cabeçalho Ethernet com o MAC enviado na resposta ARP.
  • Dst-mac: compara o endereço MAC de destino no cabeçalho Ethernet com o endereço MAC de resposta ARP.
  • Ip: Verifica o endereço IP do remetente de todas as petições ARP, compara o endereço IP de destino com o endereço de destino de todas as respostas ARP.

O seguinte comando é um exemplo de configuração DAI:

Switch(config)# ip arp inspection vlan 104
Switch(config)# arp access-list StaticARP
Switch(config-acl)# permit ip host 192.168.1.10 mac host 0006.5b02.a841
Switch(config-acl)# exit
Switch(config)# ip arp inspection filter StaticARP vlan 104
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# ip arp inspection trust

Para a verificação do estado de configuração do DAI podemos utilizar o comando show ip arp inspection.

REDES CISCO – MELHORES PRATICAS DE SEGURANÇA EM CAMADA 2

  • Configuração de senhas seguras: sempre que seja possível devemos utilizar o comando enable secret para configurar a senha no modo privilegiado no switch, dessa maneira obtemos um mecanismo de criptografia (MD5) mais segura que com o obtido através do comando enable password.

 Para que automaticamente as senhas sem criptografia sejam criptografadas é preciso utilizar o comando servisse password-encryption. Poderíamos utilizar servidores AAA externos para autenticar os usuários sempre que sejam possíveis. Os nomes de usuários e senha são mantidos externamente de tal maneira que não são armazenados nem administrados pelo switch. Com um sistema centralizado de usuários é mais escalável que a configuração de cada um deles separadamente em cada switch.

  • Utilização de banners do sistema: Quando os usuários acessam a um switch deveriam saber quais são as políticas da organização. Os banners deveriam estar configurados com esse tipo de informação para que os usuários sejam notificados cada vez que se conectem. O comando banner motd define o texto para que apareça ao se conectar.
  • Desabilitar os serviços desnecessários ou inseguros: Os dispositivos Cisco tem serviços habilitados por padrão que não são utilizados. Para ajustar ainda mais a segurança deveríamos definir quais serviços são necessários na organização, tudo que esteja em funcionamento pode ser explorado com fins maliciosos. Um exemplo típico é o serviço HTTP dos switches Catalyst, que deveria ser desabilitado com o comando no ip http server.

Da mesma maneira outros serviços como servisse tcp-small-servers, servisse udp-small-servers, servisse finger e servisse config deveriam estar desabilitados.

  • Proteger a console do switch: tem muitos ambientes em que o switch está isolado fisicamente para que ninguém possa conectar um cabo de console, mesmo assim a senha de console deveria estar sempre habilitada. É apropriado utilizar as mesmas pautas de autenticação que tenha nas linhas VTY.
  • Segurança de acesso VTY: todas as linhas VTY do switch devem ter controle de acesso. A utilização de ACL pode limitar a origem dos endereços IPs permitidos via telnet ou SSH. O comando show user all é utilizado para ver cada uma das linhas VTY que estão sendo utilizadas para entrar no switch.
  • Utilizar SSH sempre que seja possível: Mesmo telnet sendo fácil de configurar e utilizar, não é um método seguro. Cada caractere escrito em telnet viaja em texto plano sem nenhum tipo de criptografia. SSH utiliza um método de criptografia seguro e forte.
  • Proteger o acesso SNMP: Para prevenir que usuários não autorizados executem alterações na configuração do switch deveríamos desabilitar qualquer acesso de leitura escritura SNMP. Os comandos para fazer são snmp-server community string É recomendável a configuração de comandos somente leitura, somado com ACL com permissões especificas.
  • Proteger as portas do switch não utilizadas: Cada porta do switch não utilizada deveria estar desabilitada porque não é esperado que nenhum usuário conecte nela. O comando shutdown deixa a porta em estado de desconexão administrativa. Outra opção é criar uma VLAN isolada para associar todas as portas do switch não utilizadas.
  • Operações STP: Um usuário malicioso poderia injetar BPDU de STP para de essa maneira estragar a topologia da organização. Sempre deveria estar habilitado a característica BPDU Guard de tal forma que as portas seriam desativas caso receba um BPDU inesperado.
  •  CDP: Por padrão os anúncios de CDP são enviados a cada porta do switch a cada 60 segundos. Mesmo que o CDP seja uma potente ferramenta, deveria estar habilitado somente contra outros dispositivos Cisco confiáveis. O comando no cdp desabilita o protocolo nas interfaces não desejadas.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

%d blogueiros gostam disto: