15 Configurações Avançadas segurança e espelhamento de

Prévia do material em texto

Plano de Aula: Configurações Avançadas - segurança e espelhamento de 
portas 
REDES LOCAIS E COMUTAÇÃO - CCT0331 
Título 
Configurações Avançadas - segurança e espelhamento de portas 
Número de Aulas por Semana 
Número de Semana de Aula 
15 
Tema 
Configurações Avançadas - segurança e espelhamento de portas 
Objetivos 
 Ao final desta semana o aluno deverá ser capaz de: 
 Compreender e configurar a segurança de portas de switch com Port-security 
 Compreender e configurar o espelhamento de portas para gerência ou segurança da rede com 
IDS ou IPS, através de Switch Port Analyzer local e remoto (SPAN e RSPAN) 
Estrutura do Conteúdo 
Port-security 
A configuração do port-security é bastante fácil e é baseada em quantidade de nós conectados a mesma 
porta, que também pode definir o endereço mac address que vai utilizar a interface e até mesmo definir 
que o 1º mac será registrado (stick). Ressalto que não existe um controlador de mac address por porta 
centralizado. 
Essa técnica evita que em regiões onde existe o acesso de público externo, por exemplo uma sala de 
reuniões, esse público não possa, por default, conectar qualquer equipamento não autorizado pelo TI da 
empresa. Ao restringir a porta para aceitar apenas o endereço MAC do dispositivo autorizado, você 
impede o acesso não autorizado se alguém ligar outro dispositivo à porta. 
Comandos de configuração port-security 
Habilitar a segurança de porta (port-security) 
SWA(config- if)#switchport port-security 
 
Comando opcional que determina quantos MAC address a porta pode ter simultaneamente. (o limitador 
máximo depende do hardware) 
SWA(config- if)#switchport port-security maximum <1-132> 
Switch(config-if)#switchport port-security ? 
mac-address Secure mac address 
maximum Max secure addresses 
violation Security violation mode 
<cr> 
 
Switch(config-if)#switchport port-security maximum ? 
<1-132> Maximum addresses 
 
Switch(config-if)#switchport port-security maximum 1 
%LINK-5-CHANGED: Interface FastEthernet0/1, changed state 
to up 
%LINEPROTO-5-UPDOWN: Line protocol on Interface 
FastEthernet0/1, changed state to up 
 
Comando opcional que determina o endereço MAC que tem permissão para acessar os recursos da rede, 
de forma estática ou dinâmica(sticky ? aprende o 1º MAC que entrar na interface). 
SWA(config- if)#switchport port-security mac-address <MAC end.> 
 
Switch(config-if)#switchport port-security mac-address ? 
 H.H.H 48 bit mac address 
 sticky Configure dynamic secure addresses as sticky 
 
Switch(config-if)#switchport port-security mac-address 
0000.0000.1111 
 
Comando opcional para definir o que fazer quando houver uma violação. 
SWA(config- if)#switchport port-security violation <protect|restrict|shutdown> 
 
Switch(config-if)#switchport port-security violation ? 
 protect Security violation protect mode 
 restrict Security violation restrict mode 
 shutdown Security violation shutdown mode 
 
Switch(config-if)#switchport port-security violation 
shutdown 
 
Agora vamos entender melhor os 3 modos: 
Protect - descarta o tráfego, mas mantém a porta UP e NÃO ENVIA mensagem SNMP. 
Restrict ? descarta o tráfego e ENVIA mensagem SNMP 
Shutdown ? descarta o tráfego e ENVIA mensagem SNMP e desabilita a porta (default) 
 
Exemplo de configuração 
------------------------------------------------------------------------------------------- 
Apresentar uma figura de topologia com: 
- 1 switch com 2 hosts conectados; 
- Host 10.1.1.1/24 MAC 0000.0000.1111; 
- Host 10.1.1.2/24 MAC 0000.0000.2222. 
------------------------------------------------------------------------------------------- 
SWA(config)# interface Fa0/1 
SWA(config-if)# switchport port-security 
SWA(config-if)# switchport port-security maximum 1 
SWA(config-if)# switchport port-security mac-address 
0000.0000.1111 
SWA(config-if)# switchport port-security violation shutdown 
 
Quando retiramos o cabo do host 10.1.1.1 e colocamos no 10.1.1.3 com o MAC 0001.422E.DB79, na 
primeira ação do host a porta entra em modo secure. 
------------------------------------------------------------------------------------------- 
Apresentar uma figura alterando a topologia anterior: 
- Acrescendo 1 host e movendo a ligação do host 10.1.1.1/24 anterior para o atual; 
- Host 10.1.1.1/24 MAC 0001.422E.DB79; 
------------------------------------------------------------------------------------------- 
%LINK-5-CHANGED: Interface FastEthernet0/1, changed state 
to administratively down 
%LINEPROTO-5-UPDOWN: Line protocol on Interface 
FastEthernet0/1, changed state to down 
Switch#show port-security interface fastEthernet 0/1 
Port Security : Enabled 
Port Status : Secure-shutdown 
Violation Mode : Shutdown 
Aging Time : 0 mins 
Aging Type : Absolute 
SecureStatic Address Aging : Disabled 
Maximum MAC Addresses : 1 
Total MAC Addresses : 1 
Configured MAC Addresses : 1 
Sticky MAC Addresses : 0 
Last Source Address:Vlan : 0001.422E.DB79:1 
Security Violation Count : 1 
Switch# 
 
SPAN e RSPAN 
Introdução comparar comutação camadas 1 e camada 2 
O equipamento de camada 1 HUB sempre realiza um flooding, enviando sua unidade de dados(bit) para 
todas as portas exceto pela qual recebeu o bit. Já o equipamento camada 2 realiza uma 
microsegmentação entre portas de destino e origem, desde que sua tabela MAC Address Table esteja 
atualizada. 
Monitorar e solucionar problemas de uma rede com um analisador de pacotes, é bastante simples, 
quando os nós estão conectados através equipamentos camada 1, com equipamentos camada 2 
realizando a microsegmentação ou store and forward entre portas origem e destino, fica bem mais difícil. 
Como monitorar o tráfego em dispositivos camada 2? 
HUB ? equipamento camada 1 
------------------------------------------------------------------------------------------- 
Apresentar a figura de um HUB com 4 estações na mesma rede lógica e demmonstrar que os bits sofrem 
flooding para todas as estações inclusive a que está como wireshark.. 
------------------------------------------------------------------------------------------- 
 
Switch ? equipamento camada 2 
------------------------------------------------------------------------------------------- 
Apresentar a figura de um SWITCH com 4 estações, 2 estações em cda VLAN e demonstrar a 
microsegmentação entre o rráfego dos respectivos transmissor e receptor não deixando o tráfego passar 
para as outras portas. 
------------------------------------------------------------------------------------------- 
Com equipamentos camada 2 as únicas portas que recebem o tráfego unicast são as de origem e 
destino(tabela totalmente construída). Naturalmente os únicos tráfegos que passariam por todas as 
portas inclusive a do sniffer seria: 
 
 Tráfego de broadcast 
 Tráfego multicast com CGMP ou Internet Group Management Protocol (IGMP) snooping disable 
 Tráfego unicast desconhecido pelo switch 
 
A solução é estabelecer uma sessão de monitoramento de portas ou redes (VLANs), também conhec ida 
como espelhamento de portas. É a copia dos frames para a porta de destino da sessão de 
monitoramento. Conforme topologia a seguir: 
------------------------------------------------------------------------------------------- 
Apresentar a figura de uma topologia com 1 SWITCH e 3 estações, onde Host-A e Host-B se coomunicam 
com tráfego unicast e cópia do mesmo é enviada para outra porta onde se encontra a estação com o 
wireshark. 
------------------------------------------------------------------------------------------- 
Na CISCO possuímos 2 tipos de monitoramento olocal e o remoto 
SPAN - Switched Port Analyzer 
RSPAN ? Remote Switched Port Analyzer 
O recurso Switched Porto Analyzer (SPAN) em switches CISCO é um tipo de espelhamento de porta que 
envia cópias do quadro ou frame, que entram em uma porta e sai por outra no mesmo switch. Com 
finalidades como: 
 analisador de pacotes ? para verificar e analisar o conteúdo do tráfego de determinadas 
portas; 
 Sistema de Detecção de Intrusão (IDS) ou um Sistema de Prevenção de Intrusão (IPS) ? para 
a segurança da rede, quando o dispositivo não está na arquitetura em linha 
 
A seguir alguns termos comumente utilizados nas diversas tecnologias de espelhamento ou 
monitoramento de portas: 
 
Ingress traffic 
tráfego de ingresso 
Este é o tráfego que entra no switch. 
Egress traffic 
tráfego de saída 
Este é o tráfego que sai do switch. 
Source (SPAN) port 
Porta de origem (SPAN) 
Esta é uma porta que é monitorada com o uso do recurso SPAN. 
Destination (SPAN) port 
Porta destino (SPAN) 
Esta é uma porta que monitora as portas de origem, geralmente onde um 
analisador de pacotes, IDS ou IPS está conectado. Esta porta também é 
chamada de porta do monitor. 
SPAN session 
sessão SPAN 
Esta é uma associação de uma porta de destino com um ou mais portas de 
origem. 
Source VLAN 
VLAN origen 
Esta é a VLAN monitorados por análise de tráfego. 
------------------------------------------------------------------------------------------- 
Apresentar a figura semelhante a anterior indicando o tráfego INGRESSO e EGRESSO entre os Host-A e 
Host-B e o envio da cópia para a porta da estação como wireshark. 
------------------------------------------------------------------------------------------- 
A sessão SPAN é a associação entre uma ou mais portas de origem ou VLANs para ser monitorada em 
uma porta de destino. 
A porta de destino não é mais uma porta de switch normal. Apenas o tráfego monitorado passa por essa 
porta. 
 
Remote SPAN 
Até o presente momento abordamos o monitoramento de portas , origem e destino no mesmo switch. 
Pode ser monitorado tráfegos em diferentes switches? 
A resposta é sim através do RSPAN ? Remote SPAN 
Utilizado principalmente quando o analisador de pacotes fica conectado a um switch diferente do que será 
monitorado. A seguir alguns termos comumente utilizados nas diversas tecnologias de 
espelhamento remoto: 
 
RSPAN source session 
Sessão origem RSPAN 
Porta ou VLAN de origem da cópia dos dados 
RSPAN destination session Porta ou VLAN de destino para enviar a cópia dos dados 
 
 
 
 
 
 
 
 
O Remote SPAN utiliza duas sessões, uma de origem e outra de destino para copiar o tráfego ou o 
tráfego de uma VLAN. 
SPAN remoto utiliza duas sessões, uma sessão como origem e uma sessão para copiar ou receber o 
tráfego de uma VLAN. 
Observe a figura a seguir um exemplo de RSPAN, onde o link de trunk usado para transportar a VLAN 
remote-span em toda a rede. 
------------------------------------------------------------------------------------------- 
Apresentar a figura semelhante a anterior, acrescentando um switch entre a estação com o wireshark e o 
outro switch e faça alusão ao RSPAN VLAN no link trunk 
------------------------------------------------------------------------------------------- 
Configuração do SPAN local 
 
------------------------------------------------------------------------------------------- 
Apresentar a figura de uma topologia com 1 SWITCH e 3 estações, onde Host-A e Host-B se comunicam 
com tráfego unicast e cópia do mesmo é enviada para outra porta onde se encontra a estação com o 
wireshark. 
sessão 1 monitora as portas Fa0/1-2 enviando cópia do tráfego para Fa0/24 (estação com wireshark) 
------------------------------------------------------------------------------------------- 
SPAN VLAN 
SWA(config)# no monitor session 1 
SWA(config)# monitor session 1 source interface fastethernet 0/1 
SWA(config)# monitor session 1 source interface fastethernet 0/2 
Sessão destino RSPAN 
RSPAN VLAN 
VLAN RSPAN 
Dentro da configuração específica da VLAN selecionada, executar o 
comando remote span. 
A VLAN deve exclusiva e tem que possuir autorização para atravessar 
todos os trunks da origem até o destino 
SWA(config)# monitor session 1 destination interface 
fastethernet 0/3 
 
SWA# show monitor 
Session 
--------- 
Type : Local Session 
Source Ports : 
Both :Fa0/1 Fa0/2 
Destination Ports : Fa0/3 
 Encapsulation :Native 
 Ingress :Disable 
SWA(config)# monitor session <nr> destination <interface | vlan> 
 
Configurando RSPAN 
------------------------------------------------------------------------------------------- 
Apresentar a figura de uma topologia com: 
2 SWITCHES interligados entre si, chamaremos de SWA e SWB; 
onde serão conectadoas 2 estações no SWA e será realizada a sessão 1 onde a origem portas Fa0/1 -2 
para remota VLAN 191 
RSPAN no link trunk para a Remote VLAN191; 
no SWB será conectada à porta Fa0/1 a estação com o wireshark; 
onde será cria da sessão de monitoramento 1 origem VLAN remota 191 para a porta Fa0/1 
------------------------------------------------------------------------------------------- 
Inicialmente devemos criar uma VLAN para transportar o monitoramento da origem até o destino 
RSPAN VLAN 
SWA(config)#vlan 191 
SWA(config-vlan)# remote span 
 
RSPAN VLAN 
SWB(config)#vlan 191 
SWB(config-vlan)# remote span 
Obs: 
? A mesma RSPAN VLAN é utilizada por todos o switches para uma mesma sessão de 
RSPAN; 
? Todos os switches participantes necessitam suportar RSPAN. 
? Não pode ser a VLAN 1 ( ou a nativa) 
O primeiro passo foi dado agora vamos configurar a sessão origem e destino. 
Sessão origem RSPAN (RSPAN Source session) 
SWA(config)# no monitor session 1 
SWA(config)# monitor session 1 source interface fastethernet 0/1 
SWA(config)# monitor session 1 source interface fastethernet 0/2 
SWA(config)# monitor session 1 destination remote vlan 191 
Sessão destino RSPAN (RSPAN Destination session) 
SWB(config)# monitor session 1 source remote vlan 191 
SWB(config)# monitor session 1 destination interface 
fastethernet 0/1 
 
Visão da tecnologia de SPAN para resolução de problemas w segurança da rede 
O SPAN permite aos administradores entregar cópia de determinados tráfegos para dispositivos 
especializados, por exemplo analisadores de pacotes e sistemas de detecção e proteção contra intrusões 
(IDS e/ou IPS). Com a análise desse tráfego podemos descobrir e solucionar problemas bem como 
através das ferramentas IDS e/ou IPS avaliar se existem algumas assinaturas de ataques no tráfego 
analisado e tomar as providências ou disparando alarmes ou bloqueando tráfego indevido ou suspeito.. 
Nas redes comutadas (camada 2) a técnica de SPAN é um conhecimento recomendado a todo 
administrador de redes. 
Aplicação Prática Teórica 
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960/software/release/12-
2_55_se/configuration/guide/scg_2960.pdf