Segurança de portas em comutadores (Switchs)

Um projecto de rede local bem elaborado deve incluir a todo custo a definição exacta de “quem é quem”. Os hotéis hoje em dia possuem bastidores que possuem comutadores, os escritórios possuem comutadores, portanto isto por si só é um perigo. Um atacante (quem sabe um empregado de limpeza disfarçado) precisa apenas de ir a sala com um portátil, conectar-se a uma das portas e fazer das suas.

Daí que seria melhor ao administrador de rede definir que cada porta do comutador esteja associada a um determinado endereço MAC (que possui 48 bits). Pode ser uma tarefa laboriosa em redes de alto porte, mas mesmo assim aumenta e de que maneira as probabilidades de ataques de sniffing, etc, é uma forma de aumentar a segurança física no caso de ser impossível evitar o acesso indevido ao bastidor ou ao escritório por exemplo.

No catalyst é muio facil associar uma interface X a um endereço MAC do computador do funcionario Y:

Comecemos por ‘garantir’ que a interface 0/1 (por exemplo) esteja em modo de acesso já que em modo trunk nao dá:

#interface fa0/1
#switchport mode access

Em seguida deve-se activar a interface em modo de segurança:

#switchport port-security

Em seguida definir o numero máximo de endereços MAC que podem conectar-se a esta interface

#switchport port-security maximum 2

Definir estes endereços:

#switchport port-security mac-address aaaa.bbbb.cccc
#switchport port-security mac-address bbbb.cccc.dddd

Pode-se habilitar também o aprendizado dinâmico de endereços. Imagine que tenhamos configurado o numero máximo de endereços MAC para 14 e não conheçamos todos endereços MAC ou queremos evitar o trabalho de digitar manualmente cada um dos endereços, então se apenas sabemos onde estão os PCs basta pegar cada um deles e ligar a interface do comutador que ele ‘aprenderá’ (styck learning) os endereços MAC automaticamente. Salve as configurações:

#switchport port-security maximum 14
#switchport port-security mac-address styck
#copy running-config startup-config

E as outras interfaces? Basta desabilita-las, ou até mesmo coloca-las em modo trunk, embora não recomende este ultimo caso.

#interface range fa0/2-24
#shutdown

Um pensamento sobre “Segurança de portas em comutadores (Switchs)

  1. Pingback: Segurança em redes locais V: Protegendo-se contra CAM Table Overflow « Switching News Network Angola (SNN Angola)

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s