Tabla de Contenido
Portas seguras não utilizadas
Os dispositivos da camada 2 são considerados o elo mais fraco na infraestrutura de segurança de uma empresa. Ataques da camada 2 são alguns dos mais fáceis de serem implantados pelos hackers, mas essas ameaças também podem ser atenuadas com algumas soluções comuns da camada 2.
Todas as portas do switch (interfaces) devem ser protegidas antes que o switch seja implantado para uso em produção. Como uma porta é protegida depende de sua função.
Um método simples que muitos administradores usam para ajudar a proteger a rede contra acesso não autorizado é desabilitar todas as portas não utilizadas em um switch. Por exemplo, se um switch Catalyst 2960 tiver 24 portas e houver três conexões Fast Ethernet em uso, é uma boa prática desabilitar as 21 portas não utilizadas. Navegue para cada porta não usada e emita o comando Cisco IOS shutdown. Se uma porta precisar ser reativada posteriormente, ela pode ser habilitada com o comando no shutdown.
Para configurar um intervalo de portas, use o comando interface range.
Switch(config)# interface range type module/first-number – last-number
Por exemplo, para desligar as portas de Fa0/8 a Fa0/24 em S1, você digitaria o seguinte comando.
S1(config)# interface range fa0/8 - 24
S1(config-if-range)# shutdown
%LINK-5-CHANGED: Interface FastEthernet0/8, changed state to administratively down
(output omitted)
%LINK-5-CHANGED: Interface FastEthernet0/24, changed state to administratively down
S1(config-if-range)#
Mitigar ataques à tabela de endereços MAC
O método mais simples e eficaz para evitar ataques de estouro de tabela de endereços MAC é habilitar a segurança da porta.
A segurança da porta limita o número de endereços MAC válidos permitidos em uma porta. Ele permite que um administrador configure manualmente os endereços MAC para uma porta ou que o switch aprenda dinamicamente um número limitado de endereços MAC. Quando uma porta configurada com segurança de porta recebe um quadro, o endereço MAC de origem do quadro é comparado à lista de endereços MAC de origem segura que foram configurados manualmente ou aprendidos dinamicamente na porta.
Ao limitar o número de endereços MAC permitidos em uma porta a um, a segurança da porta pode ser usada para controlar o acesso não autorizado à rede, conforme mostrado na figura.
Nota: Os endereços MAC são mostrados como 24 bits para simplificar.
Ativar segurança da porta
Observe no exemplo, o comando switchport port-security foi rejeitado. Isso ocorre porque a segurança da porta só pode ser configurada em portas de acesso configuradas manualmente ou portas de tronco configuradas manualmente. Por padrão, as portas de switch da Camada 2 são definidas como dinâmico automático (entroncamento ativado). Portanto, no exemplo, a porta é configurada com o comando switchport mode access interface configuration.
Nota: A segurança da porta do tronco está além do escopo deste curso.
S1(config)# interface f0/1
S1(config-if)# switchport port-security
Command rejected: FastEthernet0/1 is a dynamic port.
S1(config-if)# switchport mode access
S1(config-if)# switchport port-security
S1(config-if)# end
S1#
Use o comando show port-security interface para exibir as configurações de segurança da porta atuais para FastEthernet 0/1, conforme mostrado no exemplo. Observe como a segurança da porta está ativada, o modo de violação é encerrado e como o número máximo de endereços MAC é 1. Se um dispositivo estiver conectado à porta, o switch adicionará automaticamente o endereço MAC do dispositivo como um MAC seguro. Neste exemplo, nenhum dispositivo está conectado à porta.
S1# show port-security interface f0/1
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0
S1#
Nota: Se uma porta ativa for configurada com o comando switchport port-security e mais de um dispositivo estiver conectado a essa porta, a porta passará para o estado desabilitado por erro. Essa condição é discutida posteriormente neste tópico.
Depois que a segurança da porta é habilitada, outras especificações de segurança da porta podem ser configuradas, conforme mostrado no exemplo.
S1(config-if)# switchport port-security ?
aging Port-security aging commands
mac-address Secure mac address
maximum Max secure addresses
violation Security violation mode
<cr>
S1(config-if)# switchport port-security
Limite e aprenda endereços MAC
Para definir o número máximo de endereços MAC permitidos em uma porta, use o seguinte comando:
Switch(config-if)# switchport port-security maximum value
O valor de segurança da porta padrão é 1. O número máximo de endereços MAC seguros que podem ser configurados depende do switch e do IOS. Neste exemplo, o máximo é 8192.
S1(config)# interface f0/1
S1(config-if)# switchport port-security maximum ?
<1-8192> Maximum addresses
S1(config-if)# switchport port-security maximum
O switch pode ser configurado para aprender sobre endereços MAC em uma porta segura de uma das três maneiras:
- Configurado Manualmente
O administrador configura manualmente um (s) endereço (s) MAC estático (s) usando o seguinte comando para cada endereço MAC seguro na porta:
Switch(config-if)# switchport port-security mac-address mac-address
- Aprendido Dinamicamente
Quando o comando switchport port-security é inserido, o MAC de origem atual para o dispositivo conectado à porta é automaticamente protegido, mas não é adicionado à configuração de inicialização. Se o switch for reiniciado, a porta terá que reaprender o endereço MAC do dispositivo.
- Aprendido dinamicamente – Pegajoso
O administrador pode habilitar o switch para aprender dinamicamente o endereço MAC e “fixá-lo” na configuração em execução usando o seguinte comando:
Switch(config-if)# switchport port-security mac-address sticky
Salvar a configuração em execução comprometerá o endereço MAC aprendido dinamicamente para a NVRAM.
O exemplo a seguir demonstra uma configuração de segurança de porta completa para FastEthernet 0/1. O administrador especifica um máximo de 4 endereços MAC, configura manualmente um endereço MAC seguro e, em seguida, configura a porta para aprender dinamicamente endereços MAC seguros adicionais até o máximo de 4 endereços MAC seguros. Use a interface show port-security e o comando show port-security address para verificar a configuração.
S1(config)# interface fa0/1
S1(config-if)# switchport mode access
S1(config-if)# switchport port-security
S1(config-if)# switchport port-security maximum 4
S1(config-if)# switchport port-security mac-address aaaa.bbbb.1234
S1(config-if)# switchport port-security mac-address sticky
S1(config-if)# end
S1# show port-security interface fa0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 4
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0000.0000.0000:0
Security Violation Count : 0
S1# show port-security address
Secure Mac Address Table
-----------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 aaaa.bbbb.1234 SecureConfigured Fa0/1 -
-----------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 8192
S1#
Envelhecimento da segurança portuária
O envelhecimento da segurança da porta pode ser usado para definir o tempo de envelhecimento para endereços seguros estáticos e dinâmicos em uma porta. Dois tipos de envelhecimento são suportados por porta:
- Absoluto – Os endereços seguros na porta são excluídos após o tempo de envelhecimento especificado.
- Inatividade – Os endereços seguros na porta são excluídos apenas se ficarem inativos pelo tempo de validade especificado.
Use o envelhecimento para remover endereços MAC seguros em uma porta segura sem excluir manualmente os endereços MAC seguros existentes. Os limites de tempo de envelhecimento também podem ser aumentados para garantir que os endereços MAC seguros anteriores permaneçam, mesmo enquanto novos endereços MAC são adicionados. O envelhecimento de endereços seguros configurados estaticamente pode ser ativado ou desativado por porta.
Use o comando switchport port-security aging para habilitar ou desabilitar o envelhecimento estático da porta segura ou para definir o tempo ou tipo de envelhecimento.
Switch(config-if)# switchport port-security aging { static | time time | type {absolute | inactivity}}
Os parâmetros do comando são descritos na tabela.
Parâmetro | Descrição |
---|---|
static | Habilite o envelhecimento para endereços seguros configurados estaticamente nesta porta. |
time time | Especifique o tempo de envelhecimento para esta porta. O intervalo é de 0 a 1440 minutos. Se o tempo for 0, o envelhecimento está desabilitado para esta porta. |
type absolute | Defina o tempo de envelhecimento absoluto. Todos os endereços seguros nesta porta expiram exatamente após o tempo (em minutos) especificado e são removidos da lista de endereços seguros. |
type inactivity | Defina o tipo de envelhecimento por inatividade. Os endereços seguros nesta porta expiram apenas se não houver tráfego de dados do endereço de origem seguro para o período de tempo especificado. |
Nota: Os endereços MAC são mostrados como 24 bits para simplificar.
O exemplo mostra um administrador configurando o tipo de envelhecimento para 10 minutos de inatividade e usando o comando show port-security interface para verificar a configuração.
S1(config)# interface fa0/1
S1(config-if)# switchport port-security aging time 10
S1(config-if)# switchport port-security aging type inactivity
S1(config-if)# end
S1# show port-security interface fa0/1
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Restrict
Aging Time : 10 mins
Aging Type : Inactivity
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 4
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0050.56be.e4dd:1
Security Violation Count : 1
Modos de violação da segurança da porta
Se o endereço MAC de um dispositivo conectado à porta for diferente da lista de endereços seguros, ocorrerá uma violação da porta. Por padrão, a porta entra no estado desabilitado por erro.
Para definir o modo de violação de segurança da porta, use o seguinte comando:
Switch(config-if)# switchport port-security violation { protect | restrict | shutdown}
As tabelas a seguir mostram como um switch reage com base no modo de violação configurado.
Descrições do modo de violação de segurança
Modo | Descrição |
---|---|
shutdown(default) | A porta muda imediatamente para o estado desabilitado por erro, desliga o LED da porta e envia uma mensagem syslog. Ele incrementa o contador de violações. Quando uma porta segura está no estado desativado por erro, um administrador deve reativá-la digitando os comandos shutdown e no shutdown. |
restrict | A porta descarta pacotes com endereços de origem desconhecidos até que você remova um número suficiente de endereços MAC seguros para cair abaixo do valor máximo ou aumentar o valor máximo. Este modo faz com que o contador de Violação de Segurança aumente e gere uma mensagem syslog. |
protect | Este é o menos seguro dos modos de violação de segurança. A porta descarta pacotes com endereços de origem MAC desconhecidos até que você remova um número suficiente de endereços MAC seguros para cair abaixo do valor máximo ou aumentar o valor máximo. Nenhuma mensagem syslog é enviada. |
Comparação de modo de violação de segurança
Modo de Violação | Descarta tráfego ofensivo | Envia Mensagem Syslog | Aumentar contador de violações | Fecha a porta |
---|---|---|---|---|
Protect | Yes | No | No | No |
Restrict | Yes | Yes | Yes | No |
Shutdown | Yes | Yes | Yes | Yes |
O exemplo a seguir mostra um administrador alterando a violação de segurança para “restringir”. A saída do comando show port-security interface confirma que a mudança foi feita.
S1(config)# interface f0/1
S1(config-if)# switchport port-security violation restrict
S1(config-if)# end
S1#
S1# show port-security interface f0/1
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Restrict
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 4
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0050.56be.e4dd:1
Security Violation Count : 1
S1#
Portas em estado desabilitado por erro
Quando uma porta é desligada e colocada no estado desabilitado por erro, nenhum tráfego é enviado ou recebido nessa porta. Uma série de mensagens relacionadas à segurança da porta são exibidas no console, conforme mostrado no exemplo a seguir.
*Sep 20 06:44:54.966: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/18, putting Fa0/18 in err-disable state
*Sep 20 06:44:54.966: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 000c.292b.4c75 on port FastEthernet0/18.
*Sep 20 06:44:55.973: %LINEPROTO-5-PPDOWN: Line protocol on Interface FastEthernet0/18, changed state to down
*Sep 20 06:44:56.971: %LINK-3-UPDOWN: Interface FastEthernet0/18, changed state to down
Nota: O protocolo da porta e o status do link são alterados para inativos e o LED da porta é desligado.
No exemplo, o comando show interface identifica o status da porta como desabilitado para erro. A saída do comando show port-security interface agora mostra o status da porta como secure-shutdown. O contador de violação de segurança aumenta em 1.
S1# show interface fa0/18
FastEthernet0/18 is down, line protocol is down (err-disabled)
(output omitted)
S1# show port-security interface fa0/18
Port Security : Enabled
Port Status : Secure-shutdown
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Last Source Address:Vlan : c025.5cd7.ef01:1
Security Violation Count : 1
S1#
O administrador deve determinar o que causou a violação de segurança. Se um dispositivo não autorizado for conectado a uma porta segura, a ameaça à segurança será eliminada antes de reativar a porta.
Para reativar a porta, primeiro use o comando shutdown e, em seguida, use o comando no shutdown para tornar a porta operacional, conforme mostrado no exemplo.
S1(config)# interface fa0/18
S1(config-if)# shutdown
*Sep 20 07:11:18.845: %LINK-5-CHANGED: Interface FastEthernet0/18, changed state to administratively down
S1(config-if)# no shutdown
*Sep 20 07:11:32.006: %LINK-3-UPDOWN: Interface FastEthernet0/18, changed state to up
*Sep 20 07:11:33.013: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/18, changed state to up
S1(config-if)#
Verifique a segurança da porta
Depois de configurar a segurança da porta em um switch, verifique cada interface para verificar se a segurança da porta está configurada corretamente e verifique se os endereços MAC estáticos foram configurados corretamente.
Segurança de portas para todas as interfaces
Para exibir as configurações de segurança da porta para o switch, use o comando show port-security. O exemplo indica que todas as 24 interfaces são configuradas com o comando switchport port-security porque o máximo permitido é 1 e o modo de violação é o desligamento. Nenhum dispositivo está conectado. Portanto, CurrentAddr (Count) é 0 para cada interface.
S1# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Fa0/1 1 0 0 Shutdown
Fa0/2 1 0 0 Shutdown
Fa0/3 1 0 0 Shutdown
(output omitted)
Fa0/24 1 0 0 Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 4096
Switch#
Segurança portuária para uma interface específica
Use o comando show port-security interface para visualizar os detalhes de uma interface específica, conforme mostrado anteriormente e neste exemplo.
S1# show port-security interface fastethernet 0/18
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 0
Last Source Address:Vlan : 0025.83e6.4b01:1
Security Violation Count : 0
S1#
Verificar endereços MAC aprendidos
Para verificar se os endereços MAC estão “aderindo” à configuração, use o comando show run conforme mostrado no exemplo para FastEthernet 0/19.
S1# show run | begin interface FastEthernet0/19
interface FastEthernet0/19
switchport mode access
switchport port-security maximum 10
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0025.83e6.4b02
(output omitted)
S1#
Verificar endereços MAC seguros
Para exibir todos os endereços MAC seguros que são configurados manualmente ou aprendidos dinamicamente em todas as interfaces do switch, use o comando show port-security address conforme mostrado no exemplo.
S1# show port-security address
Secure Mac Address Table
--------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0025.83e6.4b01 SecureDynamic Fa0/18 -
1 0025.83e6.4b02 SecureSticky Fa0/19 -
--------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 8192
S1#
Verificador de sintaxe – Implementar segurança de porta
Implementar segurança de porta para uma interface de switch com base nos requisitos especificados
No momento, você está conectado ao S1. Configure FastEthernet 0/5 para segurança de porta usando os seguintes requisitos:
- Use o nome da interface fa0 / 5 para entrar no modo de configuração da interface.
- Habilite a porta para o modo de acesso.
- Ative a segurança da porta.
- Defina o número máximo de endereços MAC como 3.
- Configure estaticamente o endereço MAC aaaa.bbbb.1234.
- Configure a porta para aprender endereços MAC adicionais dinamicamente e adicioná-los dinamicamente à configuração em execução.
- Retorne ao modo EXEC privilegiado.
S1(config)#interface fa0/5
S1(config-if)#switchport mode access
S1(config-if)#switchport port-security
S1(config-if)#switchport port-security maximum 3
S1(config-if)#switchport port-security mac-address aaaa.bbbb.1234
S1(config-if)#switchport port-security mac-address sticky
S1(config-if)#end
Insira o comando para verificar a segurança da porta para todas as interfaces.
S1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Fa0/5 3 2 0 Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 8192
Digite o comando para verificar a segurança da porta em FastEthernet 0/5. Use fa0/5 para o nome da interface.
S1#show port-security interface fa0/5
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 3
Total MAC Addresses : 2
Configured MAC Addresses : 1
Sticky MAC Addresses : 1
Last Source Address:Vlan : 0090.2135.6B8C:1
Security Violation Count : 0
Insira o comando que exibirá todos os endereços para verificar se os endereços MAC configurados manualmente e aprendidos dinamicamente estão na configuração em execução.
S1# port-security address
Secure Mac Address Table
-----------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
1 0090.2135.6b8c SecureSticky Fa0/5 -
1 aaaa.bbbb.1234 SecureConfigured Fa0/5 -
-----------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 8192
Você configurou e verificou com êxito a segurança da porta para a interface.
Packet Tracer – Implementar segurança de portas
Nesta atividade, você configurará e verificará a segurança da porta em um switch. A segurança da porta permite que você restrinja o tráfego de entrada de uma porta, limitando os endereços MAC que têm permissão para enviar tráfego para a porta.
[button url=”https://www.ccna.network/wp-content/uploads/2021/03/11.1.10-pt.zip” target=”self” style=”default” background=”#2fa614″ color=”#FFFFFF” size=”3″ wide=”no” center=”yes” radius=”auto” icon=”” icon_color=”#FFFFFF” text_shadow=”none” desc=”” download=”” onclick=”” rel=”” title=”” id=”” class=””]BAIXE AQUI[/button]Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.