Baixe o app para aproveitar ainda mais
Prévia do material em texto
Plano de Aula: Configurações Avançadas - segurança e espelhamento de portas REDES LOCAIS E COMUTAÇÃO - CCT0331 Título Configurações Avançadas - segurança e espelhamento de portas Número de Aulas por Semana Número de Semana de Aula 15 Tema Configurações Avançadas - segurança e espelhamento de portas Objetivos Ao final desta semana o aluno deverá ser capaz de: Compreender e configurar a segurança de portas de switch com Port-security Compreender e configurar o espelhamento de portas para gerência ou segurança da rede com IDS ou IPS, através de Switch Port Analyzer local e remoto (SPAN e RSPAN) Estrutura do Conteúdo Port-security A configuração do port-security é bastante fácil e é baseada em quantidade de nós conectados a mesma porta, que também pode definir o endereço mac address que vai utilizar a interface e até mesmo definir que o 1º mac será registrado (stick). Ressalto que não existe um controlador de mac address por porta centralizado. Essa técnica evita que em regiões onde existe o acesso de público externo, por exemplo uma sala de reuniões, esse público não possa, por default, conectar qualquer equipamento não autorizado pelo TI da empresa. Ao restringir a porta para aceitar apenas o endereço MAC do dispositivo autorizado, você impede o acesso não autorizado se alguém ligar outro dispositivo à porta. Comandos de configuração port-security Habilitar a segurança de porta (port-security) SWA(config- if)#switchport port-security Comando opcional que determina quantos MAC address a porta pode ter simultaneamente. (o limitador máximo depende do hardware) SWA(config- if)#switchport port-security maximum <1-132> Switch(config-if)#switchport port-security ? mac-address Secure mac address maximum Max secure addresses violation Security violation mode <cr> Switch(config-if)#switchport port-security maximum ? <1-132> Maximum addresses Switch(config-if)#switchport port-security maximum 1 %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up Comando opcional que determina o endereço MAC que tem permissão para acessar os recursos da rede, de forma estática ou dinâmica(sticky ? aprende o 1º MAC que entrar na interface). SWA(config- if)#switchport port-security mac-address <MAC end.> Switch(config-if)#switchport port-security mac-address ? H.H.H 48 bit mac address sticky Configure dynamic secure addresses as sticky Switch(config-if)#switchport port-security mac-address 0000.0000.1111 Comando opcional para definir o que fazer quando houver uma violação. SWA(config- if)#switchport port-security violation <protect|restrict|shutdown> Switch(config-if)#switchport port-security violation ? protect Security violation protect mode restrict Security violation restrict mode shutdown Security violation shutdown mode Switch(config-if)#switchport port-security violation shutdown Agora vamos entender melhor os 3 modos: Protect - descarta o tráfego, mas mantém a porta UP e NÃO ENVIA mensagem SNMP. Restrict ? descarta o tráfego e ENVIA mensagem SNMP Shutdown ? descarta o tráfego e ENVIA mensagem SNMP e desabilita a porta (default) Exemplo de configuração ------------------------------------------------------------------------------------------- Apresentar uma figura de topologia com: - 1 switch com 2 hosts conectados; - Host 10.1.1.1/24 MAC 0000.0000.1111; - Host 10.1.1.2/24 MAC 0000.0000.2222. ------------------------------------------------------------------------------------------- SWA(config)# interface Fa0/1 SWA(config-if)# switchport port-security SWA(config-if)# switchport port-security maximum 1 SWA(config-if)# switchport port-security mac-address 0000.0000.1111 SWA(config-if)# switchport port-security violation shutdown Quando retiramos o cabo do host 10.1.1.1 e colocamos no 10.1.1.3 com o MAC 0001.422E.DB79, na primeira ação do host a porta entra em modo secure. ------------------------------------------------------------------------------------------- Apresentar uma figura alterando a topologia anterior: - Acrescendo 1 host e movendo a ligação do host 10.1.1.1/24 anterior para o atual; - Host 10.1.1.1/24 MAC 0001.422E.DB79; ------------------------------------------------------------------------------------------- %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down Switch#show port-security interface fastEthernet 0/1 Port Security : Enabled Port Status : Secure-shutdown Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 1 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0001.422E.DB79:1 Security Violation Count : 1 Switch# SPAN e RSPAN Introdução comparar comutação camadas 1 e camada 2 O equipamento de camada 1 HUB sempre realiza um flooding, enviando sua unidade de dados(bit) para todas as portas exceto pela qual recebeu o bit. Já o equipamento camada 2 realiza uma microsegmentação entre portas de destino e origem, desde que sua tabela MAC Address Table esteja atualizada. Monitorar e solucionar problemas de uma rede com um analisador de pacotes, é bastante simples, quando os nós estão conectados através equipamentos camada 1, com equipamentos camada 2 realizando a microsegmentação ou store and forward entre portas origem e destino, fica bem mais difícil. Como monitorar o tráfego em dispositivos camada 2? HUB ? equipamento camada 1 ------------------------------------------------------------------------------------------- Apresentar a figura de um HUB com 4 estações na mesma rede lógica e demmonstrar que os bits sofrem flooding para todas as estações inclusive a que está como wireshark.. ------------------------------------------------------------------------------------------- Switch ? equipamento camada 2 ------------------------------------------------------------------------------------------- Apresentar a figura de um SWITCH com 4 estações, 2 estações em cda VLAN e demonstrar a microsegmentação entre o rráfego dos respectivos transmissor e receptor não deixando o tráfego passar para as outras portas. ------------------------------------------------------------------------------------------- Com equipamentos camada 2 as únicas portas que recebem o tráfego unicast são as de origem e destino(tabela totalmente construída). Naturalmente os únicos tráfegos que passariam por todas as portas inclusive a do sniffer seria: Tráfego de broadcast Tráfego multicast com CGMP ou Internet Group Management Protocol (IGMP) snooping disable Tráfego unicast desconhecido pelo switch A solução é estabelecer uma sessão de monitoramento de portas ou redes (VLANs), também conhec ida como espelhamento de portas. É a copia dos frames para a porta de destino da sessão de monitoramento. Conforme topologia a seguir: ------------------------------------------------------------------------------------------- Apresentar a figura de uma topologia com 1 SWITCH e 3 estações, onde Host-A e Host-B se coomunicam com tráfego unicast e cópia do mesmo é enviada para outra porta onde se encontra a estação com o wireshark. ------------------------------------------------------------------------------------------- Na CISCO possuímos 2 tipos de monitoramento olocal e o remoto SPAN - Switched Port Analyzer RSPAN ? Remote Switched Port Analyzer O recurso Switched Porto Analyzer (SPAN) em switches CISCO é um tipo de espelhamento de porta que envia cópias do quadro ou frame, que entram em uma porta e sai por outra no mesmo switch. Com finalidades como: analisador de pacotes ? para verificar e analisar o conteúdo do tráfego de determinadas portas; Sistema de Detecção de Intrusão (IDS) ou um Sistema de Prevenção de Intrusão (IPS) ? para a segurança da rede, quando o dispositivo não está na arquitetura em linha A seguir alguns termos comumente utilizados nas diversas tecnologias de espelhamento ou monitoramento de portas: Ingress traffic tráfego de ingresso Este é o tráfego que entra no switch. Egress traffic tráfego de saída Este é o tráfego que sai do switch. Source (SPAN) port Porta de origem (SPAN) Esta é uma porta que é monitorada com o uso do recurso SPAN. Destination (SPAN) port Porta destino (SPAN) Esta é uma porta que monitora as portas de origem, geralmente onde um analisador de pacotes, IDS ou IPS está conectado. Esta porta também é chamada de porta do monitor. SPAN session sessão SPAN Esta é uma associação de uma porta de destino com um ou mais portas de origem. Source VLAN VLAN origen Esta é a VLAN monitorados por análise de tráfego. ------------------------------------------------------------------------------------------- Apresentar a figura semelhante a anterior indicando o tráfego INGRESSO e EGRESSO entre os Host-A e Host-B e o envio da cópia para a porta da estação como wireshark. ------------------------------------------------------------------------------------------- A sessão SPAN é a associação entre uma ou mais portas de origem ou VLANs para ser monitorada em uma porta de destino. A porta de destino não é mais uma porta de switch normal. Apenas o tráfego monitorado passa por essa porta. Remote SPAN Até o presente momento abordamos o monitoramento de portas , origem e destino no mesmo switch. Pode ser monitorado tráfegos em diferentes switches? A resposta é sim através do RSPAN ? Remote SPAN Utilizado principalmente quando o analisador de pacotes fica conectado a um switch diferente do que será monitorado. A seguir alguns termos comumente utilizados nas diversas tecnologias de espelhamento remoto: RSPAN source session Sessão origem RSPAN Porta ou VLAN de origem da cópia dos dados RSPAN destination session Porta ou VLAN de destino para enviar a cópia dos dados O Remote SPAN utiliza duas sessões, uma de origem e outra de destino para copiar o tráfego ou o tráfego de uma VLAN. SPAN remoto utiliza duas sessões, uma sessão como origem e uma sessão para copiar ou receber o tráfego de uma VLAN. Observe a figura a seguir um exemplo de RSPAN, onde o link de trunk usado para transportar a VLAN remote-span em toda a rede. ------------------------------------------------------------------------------------------- Apresentar a figura semelhante a anterior, acrescentando um switch entre a estação com o wireshark e o outro switch e faça alusão ao RSPAN VLAN no link trunk ------------------------------------------------------------------------------------------- Configuração do SPAN local ------------------------------------------------------------------------------------------- Apresentar a figura de uma topologia com 1 SWITCH e 3 estações, onde Host-A e Host-B se comunicam com tráfego unicast e cópia do mesmo é enviada para outra porta onde se encontra a estação com o wireshark. sessão 1 monitora as portas Fa0/1-2 enviando cópia do tráfego para Fa0/24 (estação com wireshark) ------------------------------------------------------------------------------------------- SPAN VLAN SWA(config)# no monitor session 1 SWA(config)# monitor session 1 source interface fastethernet 0/1 SWA(config)# monitor session 1 source interface fastethernet 0/2 Sessão destino RSPAN RSPAN VLAN VLAN RSPAN Dentro da configuração específica da VLAN selecionada, executar o comando remote span. A VLAN deve exclusiva e tem que possuir autorização para atravessar todos os trunks da origem até o destino SWA(config)# monitor session 1 destination interface fastethernet 0/3 SWA# show monitor Session --------- Type : Local Session Source Ports : Both :Fa0/1 Fa0/2 Destination Ports : Fa0/3 Encapsulation :Native Ingress :Disable SWA(config)# monitor session <nr> destination <interface | vlan> Configurando RSPAN ------------------------------------------------------------------------------------------- Apresentar a figura de uma topologia com: 2 SWITCHES interligados entre si, chamaremos de SWA e SWB; onde serão conectadoas 2 estações no SWA e será realizada a sessão 1 onde a origem portas Fa0/1 -2 para remota VLAN 191 RSPAN no link trunk para a Remote VLAN191; no SWB será conectada à porta Fa0/1 a estação com o wireshark; onde será cria da sessão de monitoramento 1 origem VLAN remota 191 para a porta Fa0/1 ------------------------------------------------------------------------------------------- Inicialmente devemos criar uma VLAN para transportar o monitoramento da origem até o destino RSPAN VLAN SWA(config)#vlan 191 SWA(config-vlan)# remote span RSPAN VLAN SWB(config)#vlan 191 SWB(config-vlan)# remote span Obs: ? A mesma RSPAN VLAN é utilizada por todos o switches para uma mesma sessão de RSPAN; ? Todos os switches participantes necessitam suportar RSPAN. ? Não pode ser a VLAN 1 ( ou a nativa) O primeiro passo foi dado agora vamos configurar a sessão origem e destino. Sessão origem RSPAN (RSPAN Source session) SWA(config)# no monitor session 1 SWA(config)# monitor session 1 source interface fastethernet 0/1 SWA(config)# monitor session 1 source interface fastethernet 0/2 SWA(config)# monitor session 1 destination remote vlan 191 Sessão destino RSPAN (RSPAN Destination session) SWB(config)# monitor session 1 source remote vlan 191 SWB(config)# monitor session 1 destination interface fastethernet 0/1 Visão da tecnologia de SPAN para resolução de problemas w segurança da rede O SPAN permite aos administradores entregar cópia de determinados tráfegos para dispositivos especializados, por exemplo analisadores de pacotes e sistemas de detecção e proteção contra intrusões (IDS e/ou IPS). Com a análise desse tráfego podemos descobrir e solucionar problemas bem como através das ferramentas IDS e/ou IPS avaliar se existem algumas assinaturas de ataques no tráfego analisado e tomar as providências ou disparando alarmes ou bloqueando tráfego indevido ou suspeito.. Nas redes comutadas (camada 2) a técnica de SPAN é um conhecimento recomendado a todo administrador de redes. Aplicação Prática Teórica http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960/software/release/12- 2_55_se/configuration/guide/scg_2960.pdf
Compartilhar