Switches 3Com 4800G – Port Security

A feature port security permite o aprendizado dinâmico de endereço MAC vinculado a uma interface GibabitEthernet para fins de segurança, não permitindo que outro host funcione naquela interface. Se a condição não for satisfeita (a utilização do MAC correto), a porta entrará em estado de violação e não trafegará dados.

É possível configurar a quantidade de endereços MAC aprendidos dinamicamente pela Interface, inserindo assim (após o aprendizado estático ou dinâmico dos endereços) entradas fixas na tabela de endereços MAC.

A feature é bastante útil em ambientes que os hosts/Servidores precisam ser vinculados a uma interface (como em CPDs, DataCenters, etc) ou em localidades que o usuário costuma migrar a estação sem comunicar a equipe de suporte!

As configurações aprendidas serão atribuídas à configuração da memória volátil. Se o dispositivo for reiniciado ele aprenderá novos endereços. Na necessidade de manter os endereços aprendidos, sugerimos salvar a configuração.

Configuração

[4800] port-security enable
! Habilitando o port-security no Switch
[4800] interface gigabitethernet 1/0/1
[4800-GigabitEthernet1/0/1] port-security max-mac-count 1
! Habilitando o port-security para o aprendizado dinamico de
! apenas 1 endereço MAC ( o primeiro descoberto)
[4800-GigabitEthernet1/0/1] port-security port-mode autolearn
! Habilitando o port-security para aprendizado dinamico do endereço
! MAC para a interface GigabitEthernet 1/0/1

Obs: Após o aprendizado do endereço MAC, a interface GigabitEthernet não permitirá a conexão de outra máquina na porta giga 1/0/1. O endereço aprendido na interface giga 1/0/1 não poderá ser utilizado em outra interface no mesmo Switch. Sugerimos não configurar o Port-Security em interfaces TRUNK

Display

Segue abaixo a configuração da interface após o aprendizado:

#
interface GigabitEthernet1/0/1
port access vlan 10
stp edged-port enable
port-security max-mac-count 1
port-security port-mode autolearn
port-security mac-address security 000a-aab2-a33b vlan 10

! A saída abaixo relata a troca de máquina na int GigabitEthernet 1/0/1

%Apr 26 17:23:01:527 2000 SBSSWCOR03 PORTSEC/1/VIOLATION:
OID: 1.3.6.1.4.1.43.45.1.10.2.26.1.3.2
An intrusion occurs!
IfIndex: 9437189
Port:GigabitEthernet1/0/1
MAC Addr: 00:0F:DF:B4:FA:49
VLAN id:10
IfAdminStatus: 1

Switches 3Com 4400 – Reset de Senha

Publicado em 22 DE NOVEMBRO DE 2010

Olá a todos, eu gostaria de compartilhar o procedimento sobre reset de senha dos Switches 3Com 4400.  O procedimento já foi bastante útil durante uma atividade há alguns anos atrás!

Use o método de recuperação de senha descritos abaixo para redefinir a senha de administrador.

1. Use um cabo console para se conectar ao Switch e digite o usuário “recovery” e a senha “recovery” para colocar o aparelho no modo de recuperação de senha. A unidade permanecerá no modo de recuperação de senha no máximo 30 segundos, antes de retornar ao prompt de login CLI.

2. Durante os 30 segundos, desligue a energia do Switch, enquanto ainda estiver em modo de recuperação de senha, espere alguns segundos e ligue-o novamente.

3. Quando o aparelho foi reiniciado digite uma nova senha para o usuário “admin”.

4. Após escolher digitar a senha do usuário admin, poderemos escolher entre “enable” ou “disable”. A opção  “enable” deixará o password recovery ativo ( para outras oportunidades) e o “disable” desativará.

Obs: Se escolhermos o “disable” o passwod recovery não poderá ser utilizado novamente. Recomendamos deixar o modo Enable. 

Referencias: 

http://jimmylio.blogspot.com/2006/12/3com-switch-lost-password-recovery_11.html

http://blog.fuelip.com/?p=423

http://3com.com/

Switches 3Com 4800G – Ataques ao protocolo ARP

O protocolo ARP possui 3 principais vulnerabilidades:

  • Não possui suporte a autenticação
  • É suscetível a vazamento de informação via análise de mensagens Broadcast do protocolo durante solicitação de conversa entre dispositivos.
  • Força o processamento para os hosts da VLAN para todas as requisições ARP, consumindo CPU e largura de banda.

Umas das principais técnicas utilizadas em ataques ao ARP são conhecidas com ARP Spoofing ou ARP Poisoning. A técnica consiste em encaminhar uma resposta falsa a requisição ARP original ou via Gratuitous ARP, permitindo ao atacante atuar no meio da comunicação (Man-in-the-Middle) para “sniffar” o trafego . O host de origem não perceberia a atuação do atacante.

Clique no link para assistir uma rápida demonstração utilizando o software Cain (em inglês) http://www.irongeek.com/i.php?page=videos/using-cain-to-do-a-man-in-the-middle-attack-by-arp-poisoning

ARP Detection

A detecção de ARP permite ao Switch encaminhar somente o tráfego válido na tabela ARP.O tráfego pode ser validado via 802.1x, entradas estáticas ou via DHCP Snooping, no script abaixo mostraremos a técnica utilizando o modo estático e via o mapeamento do DHCP Snooping.

A utilização da feature DHCP-Snooping permite aos Switches o bloqueio de respostas DHCP de Servidores não-válidos na rede e o mapeamento dos Endereços IP entregue ao usuário com o endereço MAC do host, conforme display abaixo:

[4800G]display dhcp-snooping 

DHCP Snooping is enabled.
The client binding table for all untrusted ports.
Type : D--Dynamic , S--Static
Type IP Address MAC Address Lease VLAN Interface
==== =============== ============== ============ ==== =================
D 192.168.1.102 0027-0e0f-a154 172653 1 GigabitEthernet1/0/4
D 192.168.1.103 0027-0e0f-9edb 172728 1 GigabitEthernet1/0/12
--- 2 dhcp-snooping item(s) found ---

Quando ativamos a detecção ARP, todas as portas são consideradas não confiáveis comparando o endereço MAC de origem com o mapeamento IP + MAC checado.

#
dhcp-snooping
!Ativando o DHCP Snooping
#
vlan 1
arp detection enable
!Habilitando a detecção ARP na VLAN 1
#
arp detection mode dhcp-snooping
!Ativando a detecção ARP para verificação da tabela gerada pelo DHCP Snooping
arp detection mode static-bind
!Ativando a detecção ARP para verificação da tabela estática
arp detection static-bind 192.168.1.104 0027-c686-6681
! Gerando uma entrada estática para detecção de ARP
#

Obs: É possível configurar uma interface como confiável para não haver detecção de ARP naquela porta. Configure o comando “arp detection trust” na interface.

ARP Source Suppression

Para proteção contra ataques à hosts com o envio de grande numero de requisições ARP é possível habilitar a supressão de ARP.

!
arp source-suppression enable
arp source-suppression limit 10
! Limita o numero de 10 requisições ARP da mesma origem para endereços
! não resolvidos no threshold de 5 segundos. Se o limite for excedido,
! o Switch efetuará a supressão do ARP do host por 5 segundos.

No guia de configuração dos Switches há maiores referencias e outras técnicas de proteção contra ataques ao ARP. Caso conheça outras técnicas e softwares deixe um comentário.

Abraço a todos!

Referências e Consulta

Lan Switch Security , Eric Vyncke and Christopher Paggen ,Cisco Press, 2008
http://comutadores.blogspot.com/2010/04/switches-3com-4800-dhcp-snooping-como.html
http://www.irongeek.com/i.php?page=security/arpspoof
http://imasters.com.br/artigo/10117/seguranca/arp_poisoning/