Baixe o app para aproveitar ainda mais
Prévia do material em texto
© 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 1 de 17 www.netacad.com Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a Segurança STP Topologia Tabela de endereçamento Dispositiv o Interface Endereço IP Máscara de Sub-Rede Gateway padrão Porta do Switch R1 G0/0/1 192.168.1.1 255.255.255.0 N/D S1 F0/5 S1 VLAN 1 192.168.1.2 255.255.255.0 N/D N/D S2 VLAN 1 192.168.1.3 255.255.255.0 N/D N/D PC-A NIC 192.168.1.10 255.255.255.0 192.168.1.1 S1 F0/6 PC-B Placa de rede 192.168.1.11 255.255.255.0 192.168.1.1 S2 F0/18 Blank Line, No additional information Objetivos Parte 1: configurar as definições básicas do Switch Construir a topologia. Configure o nome do host, o endereço IP e as senhas de acesso. Parte 2: Configurar portas de troncos seguros Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a Segurança STP © 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 2 de 17 www.netacad.com Configure o modo de porta do tronco. Altere a VLAN nativa para portas do tronco. Verifique a configuração do tronco. Desativar troncos. Parte 3: Proteger contra ataques STP Enable PortFast and BPDU guard. Verifique a guarda do BPDU. Ativar guarda-raiz. Ativar guarda de loop. Parte 4: Configurar a segurança da porta e desativar portas não utilizadas Configure e verifique a segurança de porta. Desativar portas não utilizadas. Mova as portas da VLAN padrão 1 para alternar VLAN. Configure o recurso de borda PVLAN em uma porta. Histórico/Cenário A infraestrutura da camada 2 consiste principalmente de interruptores Ethernet interconectados. A maioria dos dispositivos de usuário final, como computadores, impressoras, telefones IP e outros hosts, conecte-se à rede via switches de acesso da LAYER 2. Como resultado, os switches podem apresentar um risco de segurança de rede. Semelhante aos roteadores, os switches estão sujeitos a ataques de usuários internos mal-intencionados. O software Switch Cisco IOS fornece muitos recursos de segurança específicos para alternar funções e protocolos. Neste laboratório, você configurará várias medidas de proteção do comutador, incluindo recursos de segurança de porta de acesso e abrangência (STP), como proteção BPDU e protetor raiz. Nota: Os roteadores usados com o CCNA Hands-on Labs são Cisco 4221 com o Cisco Ios Xe Release 16.9.6 (imagem Universalk9). Os switches usados nos laboratórios são Cisco Catalyst 2960+ com a versão Cisco IOS 15.2 (7) (imagem lanbasek9). Outros roteadores, switches e versões do Cisco IOS podem ser usados. De acordo com o modelo e a versão do Cisco IOS, os comandos disponíveis e a saída produzida poderão variar em relação ao que é mostrado nos laboratórios. Consulte a Tabela de resumo de interfaces dos roteadores no final do laboratório para saber quais são os identificadores de interface corretos. Nota: Antes de começar, verifique se os roteadores e os comutadores foram apagados e não têm configurações de inicialização. Recursos necessários 1 roteador (Cisco 4221 com a Liberação Cisco Xe 16.9.6 Imagem universal ou comparável com uma licença de pacote de tecnologia de segurança) 2 switches (Cisco 2960+ com lançamento do Cisco IOS 15.2 (7) imagem lanbasek9 ou comparável) Nota: Antes de Achar, Verifique SE OS Roteia e OS Comutadores Foram Apagados e Não têm configurações de inicialização. Cabos de console para configurar dispositivos de rede Cisco Cabos ethernet conforme mostrado na topologia Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a Segurança STP © 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 3 de 17 www.netacad.com Instruções Parte 1: Configurar as definições básicas do Switch Na Parte 1, você configurará a topologia da rede e configurará as configurações básicas, como os nomes de host, endereços IP e senha de acesso ao dispositivo. Etapa 1: Cabeie a rede conforme mostrado na topologia. Anexar os dispositivos, conforme mostrado no diagrama de topologia e cabo conforme necessário. Etapa 2: Configure as configurações básicas para o roteador e cada interruptor. Execute todas as tarefas em R1, S1 e S2. O procedimento para S1 é mostrado aqui como exemplo. Abrir a janela de configuração a. Configure HostNames, conforme mostrado na topologia. b. Configure endereços IP da interface, conforme mostrado na tabela de endereçamento IP. A configuração a seguir exibe a interface de gerenciamento VLAN 1 em S1: S1(config)# interface vlan 1 S1(config-if)# ip address 192.168.1.2 255.255.255.0 S1(config-if)# no shutdown c. Impedir que o roteador ou alterne a tentativa de traduzir comandos inseridos incorretamente desativando a pesquisa DNS. S1 é mostrado aqui como exemplo. S1(config)# no ip domain-lookup d. O acesso HTTP ao comutador é ativado por padrão. Impedir o acesso HTTP desativando o servidor HTTP e o HTTP Secure Server. S1(config)# no ip http server S1(config)# no ip http secure-server Nota: O switch deve ter uma imagem iOS de criptografia para suportar o comando ip http secure- server. O acesso HTTP ao roteador é desativado por padrão. e. Configure a senha Ativar Secreta. S1(config)# enable algorithm-type scrypt secret cisco12345 f. Configure a senha do console. S1(config)#line console 0 S1(config-line)# password ciscoconpass S1(config-line)# exec-timeout 5 0 S1(config-line)# login S1(config-line)# logging synchronous Etapa 3: Defina as configurações de IP do host do PC. Configure um endereço IP estático, máscara de sub-rede e gateway padrão para PC-A e PC-B, conforme mostrado na tabela de endereçamento. Etapa 4: Verifique a conectividade de rede básica. a. Ping do PC-A e PC-B para a interface R1 G0 / 0/1 no endereço IP 192.168.1.1. Se os pings não tiverem sucesso, solucione problemas de configurações básicas do dispositivo antes de continuar. Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a Segurança STP © 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 4 de 17 www.netacad.com b. Ping do pc-a para pc-b. Se os pings não tiverem sucesso, solucione problemas de configurações básicas do dispositivo antes de continuar. Etapa 5: Salve as configurações básicas para o roteador e os dois switches. Salve a configuração em execução para a configuração de inicialização no prompt do modo Exec Privilegiado. S1# copy running-config startup-config Fechar janela de configuração Parte 2: Configurar portas de tronco seguro Nesta parte, você configurará as portas do tronco, alterará a VLAN nativa para portas do tronco e verificará a configuração do tronco. Proteger as portas do tronco pode ajudar a parar os ataques de pulsão de VLAN. A melhor maneira de impedir que um ataque básico de salto de VLAN seja explicitamente desativar o entroncamento em todas as portas, exceto as portas que especificamente exigem trunking. Nas portas de troncos necessárias, desative as negociações DTP (trunking automático) e habilitasse manualmente. Se nenhum tronco for necessário em uma interface, configure a porta como uma porta de acesso. Isso desativa o tronco na interface. Nota: As tarefas devem ser executadas em S1 ou S2, conforme indicado. Etapa 1: Configure S1 como interruptor raiz. Para os propósitos deste laboratório, o S2 é atualmente a ponte raiz. Você configurará S1 como a ponte raiz, alterando o nível de prioridade do ID da ponte. a. No console no S1, insira o modo de configuração global. Abrir a janela de configuração b. A prioridade padrão para S1 e S2 é 32769 (32768 + 1 com extensão de identificação do sistema). Definir prioridade S1 como 0 para que se torne o interruptor raiz. S1(config)# spanning-treevlan 1 priority 0 S1(config)# exit Nota: Você também pode usar o comando spanning-tree vlan 1 root primary para tornar o S1 a chave root para VLAN 1. c. Emita o comando show spanning-tree para verificar se S1 é a ponte raiz, para ver as portas em uso e para ver seu status. S1# show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 1 Address 001d.4635.0c80 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 1 (priority 0 sys-id-ext 1) Address 001d.4635.0c80 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Role Sts Cost Prio.Nbr Type Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a Segurança STP © 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 5 de 17 www.netacad.com ---------------- ---- --- --------- -------- -------------------------------- Fa0/1 Desg FWD 19 128.1 P2p Fa0/5 Desg FWD 19 128.5 P2p Fa0/6 Desg FWD 19 128.6 P2p Pergunta: Qual é a prioridade S1? Quais portas estão em uso e qual é o status deles? Digite suas respostas aqui. Etapa 2: Configure as portas do tronco no S1 e S2. a. Configure a porta F0 / 1 no S1 como uma porta de tronco. S1(config)# interface f0/1 S1(config-if)# switchport mode trunk Observação: se estiver realizando este laboratório com um switch 3560, o usuário deve primeiro entrar o comandoswitchport trunk encapsulation dot1q . b. Configure a porta F0 / 1 no S2 como porta de tronco. S2(config)# interface f0/1 S2(config-if)# switchport mode trunk c. Verifique se a porta S1 F0 / 1 está no modo de troncos com o comando show interfaces trunk S1# show interfaces trunk Port Mode Encapsulation Status Native vlan Fa0/1 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/1 1-4094 Port Vlans allowed and active in management domain Fa0/1 1 Port Vlans in spanning tree forwarding state and not pruned Fa0/1 1 Etapa 3: Altere a VLAN nativa para as portas do tronco no S1 e S2. a. Alterando a VLAN nativa para portas de tronco para uma VLAN não utilizada ajuda a impedir ataques de pulsão VLAN. Pergunta: Da saída do comando show interfaces trunk na etapa anterior, qual é a atual VLAN nativa para a interface do tronco S1 F0 / 1? Digite suas respostas aqui. b. Defina a VLAN nativa na interface do tronco S1 F0 / 1 para uma VLAN 99 não utilizada. S1(config)# interface f0/1 Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a Segurança STP © 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 6 de 17 www.netacad.com S1(config-if)# switchport trunk native vlan 99 S1(config-if)#end c. A seguinte mensagem deve exibir após um breve período de tempo: 02:16:28: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on FastEthernet0/1 (99), with S2 FastEthernet0/1 (1). Pergunta: O que significa a mensagem? Digite suas respostas aqui. d. Defina a VLAN nativa na interface do tronco S2 F0 / 1 para a VLAN 99. S2(config)# interface f0/1 S2(config-if)# switchport trunk native vlan 99 S2(config-if)# end Etapa 4: Impedir o uso do DTP no S1 e S2. Configurando a porta do tronco para nonegotiate atambém ajuda a mitigar o salto de VLAN, desligando a geração de quadros DTP S1(config)# interface f0/1 S1(config-if)# switchport nonegotiate S2(config)# interface f0/1 S2(config-if)# switchport nonegotiate Etapa 5: Verifique a configuração de troncos na porta F0 / 1. S1# show interfaces f0/1 trunk Port Mode Encapsulation Status Native vlan Fa0/1 on 802.1q trunking 99 Port Vlans allowed on trunk Fa0/1 1-4094 Port Vlans allowed and active in management domain Fa0/1 1 Port Vlans in spanning tree forwarding state and not pruned Fa0/1 1 S1# show interfaces f0/1 switchport Nome: Fa0/1 Switchport: Enabled Administrative Mode: trunk Operational Mode: trunk Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: dot1q Negotiation of Trunking: Off Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a Segurança STP © 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 7 de 17 www.netacad.com Modo deacesso VLAN: 1 (padrão) Trunking Native Mode VLAN: 99 (Inactive) Administrative Native VLAN tagging: enabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Protected: false Unknown unicast blocked: disabled Unknown multicast blocked: disabled Appliance trust: none Etapa 6: Verifique a configuração com o comando show run. Use o comando show run para exibir a configuração em execução, começando com a primeira linha que contém a string de texto “0/1”. S1# show run | begin 0/1 interface FastEthernet0/1 switchport trunk native vlan 99 switchport mode trunk switchport nonegotiate <output omitted> Etapa 7: Desative o trunking em portas de acesso S1. a. No S1, configure F0 / 5, a porta à qual o R1 é conectado apenas como modo de acesso. S1(config)# interface f0/5 S1(config-if)# switchport mode access b. No S1, configure F0 / 6, a porta a qual o PC-A está conectado apenas como modo de acesso. S1(config)# interface f0/6 S1(config-if)# switchport mode access Etapa 8: Desativar troncos em portas de acesso S2. No S2, configure F0 / 18, a porta a qual o PC-B está conectado apenas como modo de acesso. S2(config)# interface f0/18 S2(config-if)# switchport mode access Fechar janela de configuração Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a Segurança STP © 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 8 de 17 www.netacad.com Parte 3: Proteger contra ataques STP Os invasores de rede esperam que paronte seu sistema, ou um interruptor desonesto que eles adicionam à rede, como a ponte raiz na topologia, manipulando os parâmetros da ponte raiz STP. Se uma porta que estiver configurada com o Portfast recebe um BPDU, o STP pode colocar a porta no estado de bloqueio usando um recurso chamado BPDU Guard. A topologia tem apenas dois interruptores e nenhum caminho redundante, mas o STP ainda está ativo. Nesta parte, você permitirá que os recursos de segurança do Switch que possam ajudar a reduzir a possibilidade de um comutador de manipulação do invasor via métodos relacionados à STP. Etapa 1: Ativar portfast. A Portfast é configurada em portas de acesso que se conectam a uma única estação de trabalho ou servidor, o que lhes permite tornar-se ativo mais rapidamente. Abrir a janela de configuração a. Ativar portfast na porta de acesso S1 F0 / 5. S1(config)# interface f0/5 S1(config-if)# spanning-tree portfast %Warning: portfast should only be enabled on ports connected to a single host. A conexão de hubs, concentradores, switches, bridges, etc… a essa interface quando portfast está ativado, pode causar loops temporários de bridging. Use with CAUTION %Portfast has been configured on FastEthernet0/5 but will only %Portfast has been configured on FastEthernet0/5 but will only b. Ativar portfast na porta de acesso S1 F0 / 6. S1(config)# interface f0/6 S1(config-if)# spanning-treeportfast c. Ativar portfast nas portas de acesso S2 F0 / 18. S2(config)# interface f0/18 S2(config-if)# spanning-tree portfast Etapa 2: Ativar a guarda do BPDU. O BPDU Guard é um recurso que pode ajudar a evitar interruptores desonestos e falsificação nas portas de acesso. a. Ativar a proteção do BPDU na porta do comutador f0 / 6. S1(config)# interface f0/6 S1(config-if)# spanning-tree bpduguard enable S2(config)# interface f0/18 S2(config-if)# spanning-tree bpduguard enable Nota: PortFast e guarda BPDU também podem ser habilitados globalmente com os comandos no modo de configuração global spanning-tree portfast default a spanning-tree portfast bpduguard. Nota: A Guarda do BPDU pode ser ativada em todas as portas de acesso que tenham o PortFast ativado. Essas portas nunca devem receber um BPDU. O BPDU Guarda é melhor implantado em portas voltadas para o usuário para evitar extensões de rede desonestas por um invasor. Se uma porta estiver ativada com o BPDU Guard e receba um BPDU, ele está desativado e deve ser reativado manualmente. Um err-disable timeout pode ser configurado na porta para que possa se recuperar automaticamente após um período de tempo especificado. Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a Segurança STP © 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 9 de 17 www.netacad.com b. Verifique se a proteção BPDU está configurada usando o comando show spanning-tree interface f0/6 detail em S1. S1# show spanning-tree interface f0/6 detail Port 6 (FastEthernet0/6) of VLAN0001 is designated forwarding Port path cost 19, Port priority 128, Port Identifier 128.6. Designated root has priority 1, address 001d.4635.0c80 Designated bridge has priority 1, address 001d.4635.0c80 Designated port id is 128.6, designated path cost 0 Timers: message age 0, forward delay 0, hold 0 Number of transitions to forwarding state: 1 The port is in the portfast mode Link type is point-to-point by default Bpdu guard is enabled BPDU: sent 3349, received 0 Etapa 3: Ativar guarda-raiz. Guarda raiz é outra opção para ajudar a evitar interruptores e falsões desonestos. Protetor de raiz pode ser ativado em todas as portas em um interruptor que não são portas raiz. Normalmente é ativado apenas nas portas que se conectam aos interruptores da borda onde um BPDU superior nunca deve ser recebido. Cada interruptor deve ter apenas uma porta raiz, que é o melhor caminho para o interruptor raiz. a. O seguinte comando configura a protetor raiz na interface S2 G0 / 1. Normalmente, isso é feito se outra chave estiver presa a esta porta. Protetor raiz é melhor implantado em portas que se conectam a switches que não devem ser a ponte raiz. Na topologia do laboratório, o S1 F0 / 1 seria o candidato mais lógico para a guarda de raiz. No entanto, o S2 G0 / 1 é mostrado aqui como exemplo, pois as portas de Gigabit são mais comumente usadas para conexões inter-switch. S2(config)# interface g0/1 S2(config-if)# spanning-tree guard root b. Emita o comando show run | begin Gig para verificar se o protetor de raiz está configurado. S2# show run | begin Gig interface GigabitEthernet0/1 spanning-tree guard root Nota: A porta S2 GI0 / 1 não está atualmente para cima, por isso não está participando do STP. Caso contrário, você poderia usar o comando show spanning-tree interface Gi0/1 detail. Nota: A expressão no comando show run |begin é sensível a maiúsculas e minúsculas. c. Se uma porta que estiver habilitada com o BPDU Guard receba um BPDU superior, ele entra em um estado inconsistente. Use o comando show spanning-tree inconsistentports para determinar se há quaisquer portas atualmente recebendo BPDs superiores que não devem ser. S2# show spanning-tree inconsistentports Name Interface Inconsistency ------------------------------------------ ------------------ Number of inconsistent ports (segments) in the system : 0 Nota: Protetor raiz permite que um interruptor conectado participe do STP, desde que o dispositivo não tente se tornar a raiz. Se a proteção root bloquear a porta, a recuperação subseqüente é automática. A porta retorna ao estado de encaminhamento se o Superior BPDUs parar. Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a Segurança STP © 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 10 de 17 www.netacad.com Etapa 4: Ativar guarda de loop. O recurso STP Loop Guard fornece proteção adicional contra loops de encaminhamento da Camada 2 (STP Loops). Um loop STP é criado quando uma porta de bloqueio STP em uma topologia redundante erroneamente transita para o estado de encaminhamento. Isso geralmente acontece porque um dos portos de uma topologia fisicamente redundante (não necessariamente o porto de bloqueio STP) não recebe mais o BPDS STP. Ter todas as portas no estado de encaminhamento resultarão no encaminhamento de loops. Se uma porta habilitada com loopguard parar de ouvir BPDUs da porta designada no segmento, ele entra no estado inconsistente em loop em vez de transição para o estado de encaminhamento. Loop inconsistente é basicamente bloqueando, e nenhum tráfego é encaminhado. Quando a porta detecta BPDUs novamente, ele automaticamente se recupera, voltando para o estado de bloqueio. a. Guarda de loop deve ser aplicada a portas não designadas. Portanto, o comando global pode ser configurado em interruptores não root. S2(config)# spanning-tree loopguard default b. Verifique a configuração do loopguard. S2# show spanning-tree summary Switch is in pvst mode Extended system ID is enabled Portfast Default is disabled PortFast BPDU Guard Default is disabled Portfast BPDU Filter Default is disabled Loopguard Default is enabled EtherChannel misconfig guard is enabled UplinkFast is disabled BackboneFast is disabled Configured Pathcost method used is short Name Blocking Listening Learning Forwarding STP Active ------------------------------ ------------------------------------------------------- -------------------------------------------------------------------------------------- -------------------------------------------------------------------------------------- ---------- VLAN0001 0 0 0 3 3 ------------------------------ ------------------------------------------------------- -------------------------------------------------------------------------------------- -------------------------------------------------------------------------------------- --------- Close configuration window Parte 4: Configurar segurança da porta e desativar portas não usadas Os switches podem ser sujeitos a uma tabela de CAM, também conhecida como uma tabela de endereços MAC, overflow, ataques de falsificação de Mac e conexões não autorizadas para alternar as portas. Nesta tarefa, você configurará a segurança da porta para limitar o número de endereços MAC que podem ser aprendidos em uma porta do switch e desativar a porta se esse número for excedido. Etapa 1: Registre o endereço MAC R1 g0 / 0/1. Do R1 CLI, use o comando show interface e registre o endereço MAC da interface. Abrir a janela de configuração R1# show interfaces g0/0/1 GigabitEthernet0/1 está ativa; o protocolo de linha está ativo Hardware is CN Gigabit Ethernet, address is fc99.4775.c3e1 (bia fc99.4775.c3e1) Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a Segurança STP © 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 11 de 17 www.netacad.com Internet address is 192.168.1.1/24 MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full Duplex, 100Mbps,media type is RJ45 <Output Omitted> Pergunta: Qual é o endereço MAC da interface R1 g0 / 0/1? Digite suas respostas aqui. Etapa 2: Configure a segurança de porta básica. Este procedimento deve ser realizado em todas as portas de acesso que estão em uso. A porta S1 F0 / 5 é mostrada aqui como exemplo. a. A partir do S1 CLI, insira o modo de configuração da interface para a porta que se conecta ao roteador (Ethernet rápido 0/5). S1(config)# interface f0/5 b. Desligue a porta do interruptor. S1(config-if)# shutdown c. Ativar segurança da porta na porta. S1(config-if)# switchport port-security Nota: Uma porta de switch deve ser configurada como uma porta de acesso para ativar a segurança da porta. Nota: Inserir apenas o comando switchport port-security define o máximo de endereços MAC para 1 e a ação de violação ao shutdown. Os comandos switchport port-security maximum e switchport port-security violation podem ser utilizados para alterar o comportamento padrão. d. Configure uma entrada estática para o endereço MAC da interface R1 G0 / 0/1 gravada na etapa 1. S1(config-if)# switchport port-security mac-address xxxx.xxxx.xxxx Nota: xxxx.xxxx.xxxx é o endereço MAC real da interface G0 / 0/1 do roteador. Nota: Você também pode usar o comando switchport port-security mac-address sticky para adicionar todos os endereços MAC seguros que são aprendidos dinamicamente em uma porta (até o conjunto máximo) à configuração de execução do switch. e. Habilite a porta do switch. S1(config-if)# no shutdown Etapa 3: Verifique a segurança da porta no S1 F0 / 5. a. No S1, emita o comando show port-security para verificar se a segurança da porta foi configurada no S1 F0 / 5. S1# show port-security interface f0/5 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a Segurança STP © 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 12 de 17 www.netacad.com SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0000.0000.0000:0 Security Violation Count : 0 Perguntas: Qual é a contagem de violação de segurança? Digite suas respostas aqui. 0 Qual é o status da porta F0 / 5? Digite suas respostas aqui. Qual é o último endereço de fonte e VLAN? Digite suas respostas aqui. b. Do R1 CLI, ping ping-a para verificar a conectividade. Isso também garante que o endereço MAC R1 G0 / 0/1 seja aprendido pelo comutador. R1# ping 192.168.1.10 c. Agora, viole a segurança alterando o endereço MAC na interface do roteador. Digite o modo de configuração da interface para o Fast Ethernet 0/1. Configure um endereço MAC para a interface na interface, usando aaaa.bbb.ccc como o endereço. R1(config)# interface g0/0/1 R1(config-if)# mac-address aaaa.bbbb.cccc R1(config-if)# end Nota: Você também pode alterar o endereço MAC do PC anexo ao S1 F0 / 6 e obter resultados semelhantes aos mostrados aqui. Pergunta: Do R1 CLI, ping ping-a.O ping foi bem sucedido? Explique. Digite suas respostas aqui. d. No console S1, observe as mensagens quando a porta F0 / 5 detecta o endereço MAC de violação. *Jan 14 01:34:39.750: %PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/5, putting Fa0/5 in err-disable state *Jan 14 01:34:39.750: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address aaaa.bbbb.cccc on port FastEthernet0/5. *Jan 14 01:34:40.756: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down *Jan 14 01:34:41.755: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to down e. No switch, use o comando show port-security para verificar se a segurança da porta foi violada. S1# show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) -------------------------------------------------------------------- Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a Segurança STP © 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 13 de 17 www.netacad.com Fa0/5 1 1 1 Shutdown ---------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 8192 S1# show port-security interface f0/5 Port Security : Enabled Port Status : Secure-shutdown Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address:Vlan : aaaa.bbbb.cccc:1 Security Violation Count : 1 S1# show port-security address Secure Mac Address Table ----------------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 1 fc99.4775.c3e1 SecureConfigured Fa0/5 - ----------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 8192 f. Remova o endereço MAC codificado pelo roteador e reative a interface G0 / 0/1. R1 (configuração) # interface g0/0/1 R1(config-if)# no mac-address aaaa.bbbb.cccc Nota: Isso irá restaurar o endereço MAC da interface GigabitEthernet original. Pergunta: De R1, tente ping o PC-A novamente em 192.168.1.10. O ping obteve sucesso? Explique. Digite suas respostas aqui. Etapa 4: Limpe o status de erro da F0/5 do S1. a. No console S1, limpe o erro e reative a porta usando os comandos mostrados no exemplo. Isso alterará o status da porta do Secure-Shutdown para Secure-Up. S1(config)# interface f0/5 S1(config-if)# shutdown S1(config-if)# no shutdown Nota: Isso pressupõe que o dispositivo / interface com o endereço MAC de violação foi removido e substituído pela configuração do dispositivo / interface original. Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a Segurança STP © 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 14 de 17 www.netacad.com b. De R1, ping pc-a novamente. Você deve ter sucesso desta vez. R1# ping 192.168.1.10 Etapa 5: Remova a segurança da porta básica no S1 F0 / 5. No console S1, remova a segurança da porta em F0 / 5. Este procedimento também pode ser usado para reativar a porta, mas os comandos de port security devem ser reconfigurados. S1(config)# interface f0/5 S1(config-if)# no switchport port-security S1(config-if)# no switchport port-security mac-address fc99.4775.c3e1 Você também pode usar os seguintes comandos para redefinir a interface para suas configurações padrão: S1(config)# default interface f0/5 S1(config)# interface f0/5 Nota: Esse comando de default interface também requer que você reconfigure a porta como uma porta de acesso para reativar os comandos de segurança. Etapa 6: (Opcional) Configure a Segurança da porta para VoIP. Este exemplo mostra uma configuração típica de segurança de porta para uma porta de voz. Três endereços MAC são permitidos e devem ser aprendidos dinamicamente. Um endereço MAC é para o telefone IP, um é para o switch, e um é para o PC conectado ao telefone IP. Violações deste resultado da política no porto sendo desligado. O tempo limite do envelhecimento dos endereços MAC aprendidos é definido para duas horas. O exemplo a seguir exibe a portaS2 F0 / 18: S2(config)# interface f0/18 S2(config-if)# switchport mode access S2(config-if)# switchport port-security S2(config-if)# switchport port-security maximum 3 S2(config-if)# switchport port-security violation shutdown S2(config-if)# switchport port-security aging time 120 Etapa 7: Desativar portas não utilizadas no S1 e S2. Como medida de segurança adicional, desative portas que não estão sendo usadas no interruptor. a. Portas F0 / 1, F0 / 5 e F0 / 6 são usadas em S1. As restantes portas Ethernet rápidas e as duas portas Gigabit Ethernet serão desligadas. S1(config)# interface range f0/2 - 4 S1(config-if-range)#shutdown S1(config-if-range)# interface range f0/7 - 24 S1(config-if-range)#shutdown S1(config-if-range)# interface range g0/1 - 2 S1(config-if-range)#shutdown b. As portas F0 / 1 e F0 / 18 são usadas no S2. As restantes portas Ethernet rápidas e as portas Gigabit Ethernet serão desligadas. S2(config)# interface range f0/2 – 17, f0/19 – 24, g0/1 - 2 S2(config-if-range)# shutdown Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a Segurança STP © 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 15 de 17 www.netacad.com Etapa 8: Mova portas ativas para uma VLAN diferente da VLAN padrão 1. Como uma medida de segurança adicional, você pode mover todas as portas ativas do usuário final e portas do roteador para uma VLAN diferente do VLAN 1 padrão em ambos os switches. a. Configure um novo VLAN para usuários em cada interruptor usando os seguintes comandos: S1(config)# vlan 20 S1(config-vlan)# name Users S2(config)# vlan 20 S2(config-vlan)# name Users b. Adicione os portos ativos ativos ativos (não-tronco) à nova VLAN. S1(config)# interface f0/6 S1(config-if-range)# switchport access vlan 20 S2(config)# interface f0/18 S2(config-if)# switchport access vlan 20 Nota: Isso impedirá a comunicação entre os hosts do usuário final e o endereço IP do VLAN do gerenciamento do switch, atualmente VLAN 1. O switch ainda pode ser acessado e configurado usando a conexão do console. Nota: Para fornecer acesso SSH ao switch, uma porta específica pode ser designada como porta de gerenciamento e adicionada à VLAN 1 com uma estação de trabalho de gerenciamento específica anexada. Uma solução mais elaborada é criar um novo VLAN para gerenciamento de comutador (ou usar o tronco nativo VLAN 99) existente e configurar uma sub-rede separada para a VLANs de gerenciamento e usuário. Etapa 9: Configure uma porta com o recurso de borda PVLAN. Alguns aplicativos exigem que nenhum tráfego seja encaminhado na camada 2 entre as portas no mesmo switch para que um vizinho não vê o tráfego gerado por outro vizinho. Em tal ambiente, o uso do recurso de borda privada VLAN (PVLAN), também conhecido como portas protegidas, garante que não haja troca de tráfego unicast, transmissão ou multicast entre essas portas no switch. O recurso PVLAN Edge só pode ser implementado para portas no mesmo switch e é localmente significativo. Por exemplo, para evitar o tráfego entre o PC-A host em S1 (porta F0 / 6) e um host em outra porta S1 (por exemplo, porta F0 / 7, que foi desligada anteriormente), você pode usar o comando switchport protected para ativar o recurso PVLAN Edge nessas duas portas. Use o comando no switchport protected de configuração de interface para desativar a porta protegida. a. Configure o recurso de borda PVLAN no modo de configuração de interface usando os seguintes comandos: S1(config)# interface f0/6 S1(config-if)# switchport protected S1(config-if)# interface f0/7 S1(config-if)# switchport protected S1(config-if)#no shut S1(config-if)#end b. Verifique se o recurso PVLAN EDGE (porta protegida) é ativada em F0 / 6. S1# show interfaces f0/6 switchport Name: Fa0/6 Switchport: Enabled Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a Segurança STP © 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 16 de 17 www.netacad.com Administrative Mode: dynamic auto Operational Mode: static access Administrative Trunking Encapsulation: dot1q Negotiation of Trunking: On Access Mode VLAN: 20 (Users) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk Native VLAN tagging: enabled Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Protected: true Unknown unicast blocked: disabled Unknown multicast blocked: disabled Appliance trust: none c. Desativar a porta protegida em interfaces F0 / 6 e F0 / 7 usando os seguintes comandos: S1(config)# interface range f0/6 - 7 S1(config-if-range)# no switchport protected Fechar janela de configuração Tabela de resumo das interfaces dos roteadores Modelo do roteador Interface Ethernet 1 Interface Ethernet 2 Interface serial 1 Interface serial 2 1900 Gigabit Ethernet 0/0 (G0/0) Gigabit Ethernet 0/1 (G0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) 2900 Gigabit Ethernet 0/0 (G0/0) Gigabit Ethernet 0/1 (G0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1) 4221 Gigabit Ethernet 0/0/0 (G0/0/0) Gigabit Ethernet 0/0/1 (G0/0/1) Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1) 4300 Gigabit Ethernet 0/0/0 (G0/0/0) Gigabit Ethernet 0/0/1 (G0/0/1) Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1) Linha em branco, sem informações adicionais Nota: Para descobrir como o roteador está configurado, consulte as interfaces para identificar o tipo de roteador e quantas interfaces o roteador possui. Não há como listar efetivamente todas as combinações de configurações para cada classe de roteador. Esta tabela inclui identificadores para as combinações possíveis de Ethernet e Interfaces seriais no dispositivo. Esse tabela não inclui nenhum outro tipo de interface, embora um roteador específico possa conter algum. Um exemplo disso poderia ser uma interface ISDN BRI. A string entre parênteses é a abreviatura legal que pode ser usada no comando do Cisco IOS para representar a interface. Laboratório Descreva Como Ferramenta USADAS EM TESTA DE SEGURANÇA DE REDE - Configurar a Segurança STP © 2019 – 2021 Cisco e/ou suas afiliadas. Todos os direitos reservados. Pública da Cisco Página 17 de 17 www.netacad.com
Compartilhar