Pular para o conteúdo

Segurança de portas em comutadores (Switchs)

10 de julho de 2009
tags: , ,

Um projecto de rede local bem elaborado deve incluir a todo custo a definição exacta de “quem é quem”. Os hotéis hoje em dia possuem bastidores que possuem comutadores, os escritórios possuem comutadores, portanto isto por si só é um perigo. Um atacante (quem sabe um empregado de limpeza disfarçado) precisa apenas de ir a sala com um portátil, conectar-se a uma das portas e fazer das suas.

Daí que seria melhor ao administrador de rede definir que cada porta do comutador esteja associada a um determinado endereço MAC (que possui 48 bits). Pode ser uma tarefa laboriosa em redes de alto porte, mas mesmo assim aumenta e de que maneira as probabilidades de ataques de sniffing, etc, é uma forma de aumentar a segurança física no caso de ser impossível evitar o acesso indevido ao bastidor ou ao escritório por exemplo.

No catalyst é muio facil associar uma interface X a um endereço MAC do computador do funcionario Y:

Comecemos por ‘garantir’ que a interface 0/1 (por exemplo) esteja em modo de acesso já que em modo trunk nao dá:

#interface fa0/1
#switchport mode access

Em seguida deve-se activar a interface em modo de segurança:

#switchport port-security

Em seguida definir o numero máximo de endereços MAC que podem conectar-se a esta interface

#switchport port-security maximum 2

Definir estes endereços:

#switchport port-security mac-address aaaa.bbbb.cccc
#switchport port-security mac-address bbbb.cccc.dddd

Pode-se habilitar também o aprendizado dinâmico de endereços. Imagine que tenhamos configurado o numero máximo de endereços MAC para 14 e não conheçamos todos endereços MAC ou queremos evitar o trabalho de digitar manualmente cada um dos endereços, então se apenas sabemos onde estão os PCs basta pegar cada um deles e ligar a interface do comutador que ele ‘aprenderá’ (styck learning) os endereços MAC automaticamente. Salve as configurações:

#switchport port-security maximum 14
#switchport port-security mac-address styck
#copy running-config startup-config

E as outras interfaces? Basta desabilita-las, ou até mesmo coloca-las em modo trunk, embora não recomende este ultimo caso.

#interface range fa0/2-24
#shutdown

from → Uncategorized

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Sair / Alterar )

Imagem do Twitter

You are commenting using your Twitter account. Sair / Alterar )

Foto do Facebook

You are commenting using your Facebook account. Sair / Alterar )

Cancelar

Connecting to %s

Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Join 67 other followers