Port-Security: Intrusion Protection

O port-security é uma funcionalidade de camada 2 que impõe limites para o número de endereços MAC permitidos (aprendidos) por uma determinada porta do switch e faz o registro dos endereços MAC válidos para aquela interface, de maneira estática ou dinâmica.

Por exemplo, imaginando que a porta Gi1/0/1 em um Switch 3Com/HP habilitada com port-security aprendeu e registrou dinamicamente o endereço do host A e após isso um invasor tentar remover o cabo do host A para adicionar o host X, a funcionalidade port-security não permitiria a comunicação da máquina do invasor naquela porta e registraria a tentativa de violação/intrusão. O comportamento padrão do port-security é permitir a comunicação dos hosts validos e bloquear os endereços MAC não registrados naquela porta.

Intrusion protection

o Modo intrusion protection permite ao switch tomar outras atitudes nos cenários de violação/intrusão como:

blockmac: Adiciona o endereço MAC dos frames não autorizados para uma lista de endereços MAC bloqueados e descarta a comunicação. A lista de bloqueio armazena os endereços por 3 minutos. O intervalo é fixo e não pode ser alterado.

disable-port: Desablita a porta até a mesma ser ativada manualmente (shut/undo shut)

disableport-temporarily: Desabilita a porta por um período especifico. O período pode ser configurado com o comando global port-security timer disableport time-value.

[Switch-GigabitEthernet1/0/5] port-security intrusion-mode ?
blockmac                 Block the MAC address 
disableport              Disable port 
disableport-temporarily  Disable port temporarily for a period(default is 20 seconds)

Configurando o modo blockmac

No script de configuração abaixo habilitamos o port-security para aprender 4 endereços MAC na interface G1/0/5 de forma dinâmica e com o modo de intrusão blockmac. Os endereços MAC abaixo foram aprendidos previamente de forma dinâmica.

port-security enable
#
interface GigabitEthernet1/0/5
 port access vlan 2
 port-security max-mac-count 4 
 port-security port-mode autolearn 
 port-security intrusion-mode blockmac 
 port-security mac-address security 000c-29c1-434c vlan 2
 port-security mac-address security 1c39-470d-494d vlan 2
 port-security mac-address security 98fc-e675-749c vlan 2
 port-security mac-address security 54fa-f22f-ab4e vlan 2

Comando display

Para visualizar a lista de endereços MAC bloqueados (quando o aprendizado dos 4 endereços MAC foi excedido na porta G1/0/5).

[Switch] display port-security mac-address block
MAC ADDR             From Port                  VLAN ID
c43c-b856-8cfd       GigabitEthernet1/0/5       2
b430-e029-5009       GigabitEthernet1/0/5       2
0456-291e-0b4a       GigabitEthernet1/0/5       2
2e57-5632-6b84       GigabitEthernet1/0/5       2
52aa-fc03-3123       GigabitEthernet1/0/5       2

Obs: O tráfego legitimo dos endereços MAC inserido na configuração não é afetado durante o modo de intrusão.

Configurando o modo disableport

Uma vez que a mesma configuração é efetuada mas alterando o modo para disableport, toda a interface é colocada em shutdown após exceder o numero de endereços MAC permitidos na configuração.

[Switch-GigabitEthernet1/0/5]port-security intrusion-mode disableport 
[Switch-GigabitEthernet1/0/5]
%Apr 26 12:26:04:20 2000 Switch PORTSEC/1/VIOLATION:
 OID: 1.3.6.1.4.1.43.45.1.10.2.26.1.3.2 
 An intrusion occurs! 
 IfIndex: 9437188 
 Port:GigabitEthernet1/0/5 
 MAC Addr: 1C:56:8F:2D:66:0C 
 VLAN id:2 
 IfAdminStatus: 1 
%Apr 26 12:26:04:341 2000 Switch IFNET/4/LINK UPDOWN:
 GigabitEthernet1/0/5: link status is DOWN 
#Apr 26 12:26:04:472 2000 Switch IFNET/4/INTERFACE UPDOWN:

Para retornar o tráfego da porta G1/0/5, execute o comando (shut/undo shut) e certifique que apenas há tráfego com o endereço MAC de origem apenas para os endereços descritos na interface.

Obs: no modo disableport-temporarily, após um período a porta voltaria normalmente a comunicação.

Até logo!

Outros artigos de referencia

http://www.comutadores.com.br/switches-3com-4800g-port-security/
http://www.comutadores.com.br/video-port-security/
http://www.comutadores.com.br/comware-trocando-o-endereco-mac-de-uma-porta-com-port-security-habilitado/

Vídeo: Port-security

O port security é uma funcionalidade de camada 2 que impõe limites para o número de endereços MAC permitidos (aprendidos) por uma determinada porta do switch e faz o registro dos endereços MAC válidos para aquela interface, de maneira estática ou dinâmica.

A feature port security permite o aprendizado dinâmico de endereços MAC vinculados a uma determinada interface Ethernet de um host para fins de segurança, não permitindo que outros dispositivos funcionem naquela interface; ou que aquele endereço MAC registrado funcione em outra porta. Se a condição não for satisfeita (a utilização do MAC correto), a porta entrará em estado de violação e não trafegará dados. A endereço MAC fica registrado na configuração da porta junto com o comando port security.

Até logo!

Vídeo: DHCP Relay Agent

A funcionalidade DHCP Relay permite ao Switch L3/Roteador encaminhar as mensagens DHCP em broadcast para determinado servidor além do dominio de broadcast do host, possibilitando assim utilização de um único servidor DHCP para toda a LAN.

Devido ao fato das solicitações de endereço IP ao servidor DHCP ocorrem em broadcast, o roteador configurado com a feature DHCP Relay encaminhará as mensagens ao Servidor DHCP em Unicast.

O servidor DHCP entregará ao cliente o escopo correto baseado na interface IP de origem ( inserida na mensagem DHCP). Para o administrador do servidor DHCP bastará apenas criar os escopos no servidor.

Vídeo: Protegendo o Spanning-Tree (STP)

Os ataques ao protocolo STP geralmente têm como objetivo assumir a identidade do switch root da rede, ocasionando assim cenários de indisponibilidade na rede. Programas como o Yersinia permitem gerar esse tipo de ataque. Há também cenários em que usuários adicionam switches não gerenciados e hubs (propositadamente ou não) com o intuito de fornecer mais pontos de rede em ambientes que deveriam ser controlados.

Funcionalidades comentadas no video para mitigar os ataques ao STP, são: Root Protection (Root Guard), BPDU Protection (BPDU guard) com STP edged-port (portfast) e loop protection (loop guard).

Até logo!

Vídeo: Port mirroring – Espelhamento de porta

O espelhamento de porta é uma técnica que permite que o Switch efetuar a cópia dos pacotes de uma porta para outra porta.

Essa técnica é bastante utilizada quando precisamos analisar o comportamento da rede, como por exemplo, para identificação de vírus, acessos “estranhos”, comportamento de aplicações, serviços, etc.

Até!

Vídeo: QinQ (802.1ad)

A feature QinQ (802.1q sobre 802.1q – 802.1ad ), conhecido também como Stacked VLAN ou VLAN sobre VLAN, suporta a utilização de duas TAGs 802.1Q no mesmo frame para trafegar uma VLAN dentro de outra VLAN – sem alterar a TAG original.

Para o cliente é como se o provedor de serviços tivesse estendido o cabo entre os seus Switches. Já para a operadora não importa se o cliente está mandando um frame com TAG ou sem TAG, pois ele adicionará mais uma TAG ao cabeçalho e removerá na outra ponta apenas a ultima TAG inserida.

Obrigado!

Vídeo: DHCP Snooping

A funcionalidade DHCP Snooping permite a proteção da rede contra Servidores DHCP não autorizados e sua configuração é bastante simples. O comando dhcp-snooping configurado globalmente, faz o Switch filtrar todas as mensagens DHCP Offer e DHCP Ack encaminhadas pelo falso Servidor DHCP. A configuração restringe todas as portas do Switch como untrusted (não confiável).

Para o funcionamento do ‘Servidor DHCP válido’ deveremos configurar a porta do Servidor DHCP como trusted (confiável), incluíndo as portas de uplink.

Até a próxima!

Vídeo: VRF (VPN-Instance)

A utilização de VRF (Virtual Routing and Forwarding) permite a criação de tabelas de roteamentos virtuais em Switches e Roteadores, independentes da tabela de roteamento “normal”(geralmente chamada de tabela de roteamento global [Global Routing Table]).

Da mesma forma como a utilização de VLANs em Switches Ethernet permitem a divisão de dominios de broadcasts e mapeamentos da tabela MAC, a utilização de VRF permite a virtualização da tabela de roteamento. Nos Switches e Roteadores utilizando o Sistema Operacional Comware (3Com, H3C e HPN) a feature é chamada de “vpn-instance“.

Obrigado!

Guia para comparação de comandos (ArubaOS-Switch/Cisco)

Pessoal, segue o link atualizado da HP Press para o guia de comparação de comandos ArubaOS com Cisco somente  e Cisco + Comware.

 

ArubaOS-Switch, Comware and Cisco IOS CLI Reference Guide
https://hpepress.hpe.com/product/ArubaOS-Switch+Comware+and+Cisco+IOS+CLI+Reference+Guide-PDF-18113

ArubaOS-Switch and Cisco IOS CLI Reference Guide
https://hpepress.hpe.com/product/ArubaOS-Switch+and+Cisco+IOS+CLI+Reference+Guide-PDF-18112

Até logo!