8 de ago. de 2009

Capitulo 2 – Segurança Integrada em Switches Catalyst


Dando continuidade aos estudos para a Prova de Arch, vamos agora conhecer um pouco mais das features de segurança que os Switches Catalyst nos trazem.

O primeiro recurso é um velho conhecido nosso, o Port Security, que permite definir um numero máximo de MACs que devem ser aprendidos por interface.
Port Security permite também definir estaticamente quais os MACS pode ser utilizados e qual será a ação a ser executada caso um MAC estranho tente fazer parte da tabela CAM: desativar a interface, gerar uma trap SNMP relatando o ocorrido ou simplemente apenas permitir o tráfego dos MACs autorizados, filtrando os MACs desconhecidos --> Shutdown, Restrict e Protection.
Port Security evita ataques do tipo MAC Flooding, no qual o atacker estoura a capacidade de aprendizado do Switch para faze-lo se comportar como um Hub burro, fazendo broadcasts para todos os endereços que não consegue mais aprender (vide post sobre DSNIFF para maiores detalhes).


Já o DHCP Snooping é a feature de segurança que permite controlar as requisições de clientes DHCP na rede. É criada uma tabela com o endereço IP, MAC address, tempo de concessão, número da VLAN e nome da interface para a qual foi atribuido um endereço dinâmico. Isto evita que um mesmo cliente faça inúmeras requisições com o objetivo de ocupar todo o range disponivel de um Servidor DHCP . Além disso, somente interfaces confiaveis (Trusted) podem enviar DHCP offers, evitando assim que DHCPs "clandestinos" sejam usados na rede.


Com base na tabela de endereços criada pelo DHCP Snooping, é possivel evitar um outro tipo de ataque de camada 2 muito comum conhecido como ARP Spoof, no qual uma máquina reponde a todas as solicitações de ARP como se fosse a máquina correta. Agora, para toda resposta ARP, o Switch vai "bisbilhotar" (snoop) na tabela de concessões DHCP se quem responde a solicitação realmente é o verdadeiro dono do IP.


Para complementar a proteção oferecida pelo Dynamic ARP Inspection, é preciso configurar as interfaces não confiaveis do Switch (UNTRUSTED) para checarem se o host pendurado nesta interface está respondendo a uma solicitação ARP com o seu IP correto ou se está tentando spoofar o IP de alguém na rede.Este recurso é conhecido como IP Source Guard.

Quanto as máquinas com IP estático, é possivel criar ARP ACLs no Switch para que o mesmo verifique estas entradas estáticas que nçao constam na tabela criada pelo DHCP Snooping.



Para saber maiores detalhes de como configurar cada Feature citada, acesse os links abaixo:


Port Security

DHCP Snooping

ARP Inspection

IP Source Guard

Nenhum comentário:

LinkWithin

Related Posts with Thumbnails