Segurança de portas em comutadores (Switchs)

2009 Julho 10
tags: , ,
by snnangola

Um projecto de rede local bem elaborado deve incluir a todo custo a definição exacta de “quem é quem”. Os hoteis hoje em dia possuem bastidores que possuem comutadores, os escritorios possuem comutadores, portanto isto por si só é um perigo. Um atacante (quem sabe um empregado de limpeza disfarçado) precisa apenas de ir a sala com um portatil, conectar-se a uma das portas e fazer das suas.

Daí que seria melhor ao administrador de rede definir que cada porta do comutador esteja associada a um determinado endereço MAC (que possui 48 bits). Pode ser uma tarefa laboriosa em redes de alto porte, mas mesmo assim aumenta e de que maneira as probabilidades de ataques de sniffing, etc, é uma forma de aumentar a segurança fisica no caso de ser impossivel evitar o acesso indevido ao bastidor ou ao escritorio por exemplo.

No catalyst é muio facil associar uma interface X a um endereço MAC do computador do funcionario Y:

Comecemos por ‘garantir’ que a interface 0/1 (por exemplo) esteja em modo de acesso já que em modo trunk nao dá:

#interface fa0/1
#switchport mode access

Em seguida deve-se activar a interface em modo de segurança:

#switchport port-security

Em seguida definir o numero maximo de endereços MAC que podem conectar-se a esta interface

#switchport port-security maximum 2

Definir estes endereços:

#switchport port-security mac-address aaaa.bbbb.cccc
#switchport port-security mac-address bbbb.cccc.dddd

Pode-se habilitar também o aprendizado dinamico de endereços. Imagine que tenhamos configurado o numero maximo de endereços MAC para 14 e nao conheçamos todos endereços MAC ou queremos evitar o trabalho de digitar manualmente cada um dos endereços, então se apenas sabemos onde estao os PCs basta pegar cada um deles e ligar a interface do comutador que ele ‘aprenderá’ (styck learning) os endereços MAC automaticamente. Salve as configurações:

#switchport port-security maximum 14
#switchport port-security mac-address styck
#copy running-config startup-config

E as outras interfaces? Basta desabilita-las, ou até mesmo coloca-las em modo trunk, embora nao recomende este ultimo caso.

#interface range fa0/2-24
#shutdown

from → Uncategorized

Não ha comentários

Deixe uma resposta

Note: You can use basic XHTML in your comments. Your email address will never be published.

Assine o feed destes comentários via RSS