| Configurando a segurança em switches Cisco Catalyst |
 |
 |
 |
| Escrito por The NetExpert |
| Qua, 06 de Abril de 2011 19:33 |
|
DHCP Snooping O DHCPsnooping é um recurso de segurança que filtra mensagens indesejadas de DHCP epode proteger clientes de rede de um servidor DHCP não autorizado. Quando habilitado, ele constrói uma tabela de endereços IP, MAC, tempo de aluguel, tipode binding e informações da interface. Há tambémuma diferença entre interfaces trusted(confiáveis) e untrusted (nãoconfiáveis). Portas de switch ligadas a estações de trabalho são untrustedenquanto portas ligadas a servidores DHCP são trusted. Quando o DHCP snoopingestá habilitado, o switch age como um firewall. Você pode habilitar o DHCPsnooping por VLAN também. Abaixo um exemplo de implantação. !Ligar snooping em todo o switch !Nosso servidor DHCP !Portas normais de switch (não obrigatório) Todos os pedidosDHCP serão descartados até que uma porta seja configurada como trusted e istodeve ser feito manualmente por porta. Você pode usar faixas (ranges) parafacilitar seu trabalho como abaixo: Switch(config)#interface range GigabitEthernet1/0/1 - 3 A últimaquestão em relação ao DHCP Snooping é que você deve estabelecer uma relação deconfiança com os DHCP snoopers interligados emu ma porta de trunk Switch(config-if)# ip dhcp relayinformation trusted Um dosproblemas do DHCP snooping ocorre durante o reboot. O switch não tem uma basede dados de leases. Se isto não for feito, pode ocorrer um grande número deconflitos de IP onde estações novas passam a receber leases de outras máquinas.A Cisco pensou nisso e você pode salvar a base de leases em flash ou em umservidor TFTP externo. Switch(config)# ip dhcp snooping databasetftp://10.1.1.1/file A base de dadosé constantemente atualizada e sobrevive um reboot rápido. O bom do DHCPSnooping é que ele impede os usuários de instalar rogue access points eroteadores wireless sem o seu conhecimento. IP Source Guard e Port Security Para impediro uso de endereços IP que não foram designados, nós usamos o IP Source Guard.Ainda melhor, nós podemos impedir que clientes forjem seu endereço MAC. Afiltragem de endereços MAC impede a inundação de pacotes no switch em um ataqueque conhecemos como MAC Flooding. Quando o switch é inundado de diferentes MACsa tabela do switch enche e o switch é obrigado a repetir os pacotes em todas asportas permitindo ao atacante capturar pacotes na rede. Alguns vírus jádemonstraram esta capacidade. Switch(config-if)# ip verify source vlandhcp-snooping No entantose a tabela DHCP ainda não tem uma associação para esta porta, vocêsimplesmente parou todo o tráfego IP. O recomendado é habilitar o DHCP Snoopingem um dia e o source guard no outro. Para aplicar a segurança de endereços MAC,você deve ligá-la e configures as opções apropriadas. !Coloque em modo acesso, não pode ser usadaem trunk. !O que fazer se houver uma violação Umviolation restrict nao desabilita a porta, mas aumenta o contador de violaçõesde segurança e envia um trap snmp. Dynamic ARP Inspection A inspeçãode ARP permite que o switch descarte os pacotes IP com um mapeamento invalidode IP para MAC. Isto efetivamente impede ataques do tipo Man in the Middle. Emum ataque do tipo ARP Poisoning usando por exemplo, pelo Ethercap e UCsnifferum hacker pode injetar falsos pacotes de ARP redirecionando o tráfego para amáquina do hacker. Para evitaristo o Dynamic ARP Inspection (DAI) pode ajudá-lo. Você pode habilitá-lo paratodo o switch usando comando abaixo: Switch(config)# ip arp inspection vlan 1 As portasde trunk precisam ser confiáveis (trusted) Switch(config)# int range f1/1 - 4 , f2/24 Você pode vero status com: Switch# show ip arp inspection ? Usandoestes recursos e o conhecimento adquirido a partir do DHCP Snooping, você podecriar um novo nível de segurança na rede local. Cuidado na hora de implantar, alguns destesrecursos podem ter efeitos colaterais se aplicados na ordem incorreta. |
| LAST_UPDATED2 |
