A ferramenta macof inunda a rede local com endereços MAC randômicos forçando alguns switches a atuarem como repetidores, permitindo ao atacante praticar o sniffing da rede.
Pode também ser utilizada em testes para validação de funcionalidades de segurança da rede, como o port-security, pentest e provas de conceito.
Até mais!
O port-security é uma funcionalidade de camada 2 que impõe limites para o número de endereços MAC permitidos (aprendidos) por uma determinada porta do switch e faz o registro dos endereços MAC válidos para aquela interface, de maneira estática ou dinâmica.
Por exemplo, imaginando que a porta Gi1/0/1 em um Switch 3Com/HP habilitada com port-security aprendeu e registrou dinamicamente o endereço do host A e após isso um invasor tentar remover o cabo do host A para adicionar o host X, a funcionalidade port-security não permitiria a comunicação da máquina do invasor naquela porta e registraria a tentativa de violação/intrusão. O comportamento padrão do port-security é permitir a comunicação dos hosts validos e bloquear os endereços MAC não registrados naquela porta.
Intrusion protection
o Modo intrusion protection permite ao switch tomar outras atitudes nos cenários de violação/intrusão como:
blockmac: Adiciona o endereço MAC dos frames não autorizados para uma lista de endereços MAC bloqueados e descarta a comunicação. A lista de bloqueio armazena os endereços por 3 minutos. O intervalo é fixo e não pode ser alterado.
disable-port: Desablita a porta até a mesma ser ativada manualmente (shut/undo shut)
disableport-temporarily: Desabilita a porta por um período especifico. O período pode ser configurado com o comando global port-security timer disableport time-value.
[Switch-GigabitEthernet1/0/5] port-security intrusion-mode ? blockmac Block the MAC address disableport Disable port disableport-temporarily Disable port temporarily for a period(default is 20 seconds)
Configurando o modo blockmac
No script de configuração abaixo habilitamos o port-security para aprender 4 endereços MAC na interface G1/0/5 de forma dinâmica e com o modo de intrusão blockmac. Os endereços MAC abaixo foram aprendidos previamente de forma dinâmica.
port-security enable # interface GigabitEthernet1/0/5 port access vlan 2 port-security max-mac-count 4 port-security port-mode autolearn port-security intrusion-mode blockmac port-security mac-address security 000c-29c1-434c vlan 2 port-security mac-address security 1c39-470d-494d vlan 2 port-security mac-address security 98fc-e675-749c vlan 2 port-security mac-address security 54fa-f22f-ab4e vlan 2
Comando display
Para visualizar a lista de endereços MAC bloqueados (quando o aprendizado dos 4 endereços MAC foi excedido na porta G1/0/5).
[Switch] display port-security mac-address block MAC ADDR From Port VLAN ID c43c-b856-8cfd GigabitEthernet1/0/5 2 b430-e029-5009 GigabitEthernet1/0/5 2 0456-291e-0b4a GigabitEthernet1/0/5 2 2e57-5632-6b84 GigabitEthernet1/0/5 2 52aa-fc03-3123 GigabitEthernet1/0/5 2
Obs: O tráfego legitimo dos endereços MAC inserido na configuração não é afetado durante o modo de intrusão.
Configurando o modo disableport
Uma vez que a mesma configuração é efetuada mas alterando o modo para disableport, toda a interface é colocada em shutdown após exceder o numero de endereços MAC permitidos na configuração.
[Switch-GigabitEthernet1/0/5]port-security intrusion-mode disableport [Switch-GigabitEthernet1/0/5] %Apr 26 12:26:04:20 2000 Switch PORTSEC/1/VIOLATION: OID: 1.3.6.1.4.1.43.45.1.10.2.26.1.3.2 An intrusion occurs! IfIndex: 9437188 Port:GigabitEthernet1/0/5 MAC Addr: 1C:56:8F:2D:66:0C VLAN id:2 IfAdminStatus: 1 %Apr 26 12:26:04:341 2000 Switch IFNET/4/LINK UPDOWN: GigabitEthernet1/0/5: link status is DOWN #Apr 26 12:26:04:472 2000 Switch IFNET/4/INTERFACE UPDOWN:
Para retornar o tráfego da porta G1/0/5, execute o comando (shut/undo shut) e certifique que apenas há tráfego com o endereço MAC de origem apenas para os endereços descritos na interface.
Obs: no modo disableport-temporarily, após um período a porta voltaria normalmente a comunicação.
Até logo!
Outros artigos de referencia
http://www.comutadores.com.br/switches-3com-4800g-port-security/
http://www.comutadores.com.br/video-port-security/
http://www.comutadores.com.br/comware-trocando-o-endereco-mac-de-uma-porta-com-port-security-habilitado/
O port security é uma funcionalidade de camada 2 que impõe limites para o número de endereços MAC permitidos (aprendidos) por uma determinada porta do switch e faz o registro dos endereços MAC válidos para aquela interface, de maneira estática ou dinâmica.
A feature port security permite o aprendizado dinâmico de endereços MAC vinculados a uma determinada interface Ethernet de um host para fins de segurança, não permitindo que outros dispositivos funcionem naquela interface; ou que aquele endereço MAC registrado funcione em outra porta. Se a condição não for satisfeita (a utilização do MAC correto), a porta entrará em estado de violação e não trafegará dados. A endereço MAC fica registrado na configuração da porta junto com o comando port security.
Galera, quando configuramos o port-security em uma interface Ethernet de um Switch, aquela porta aprenderá o endereço MAC da máquina conectada e não permitirá que outra máquina funcione naquela porta (caso você tenha configurado o aprendizado de apenas um endereço MAC).
Uma vez aprendido o endereço MAC de um host, este não poderá conectar-se em outra porta caso o port-security esteja habilitado.
No post http://www.comutadores.com.br/switches-3com-4800g-port-security/ há mais informações da configuração do port-security.
Logo abaixo segue o exemplo de configuração de um Switch HP 1910 com a porta configurada com port-security:
< HP\v1910_SW04> display current interface giga1/0/8
#
interface GigabitEthernet1/0/8
port-security max-mac-count 1
port-security port-mode autolearn
port-security mac-address security 0040-63c0-aaaa vlan 1
#
Mas há cenários que é preciso trocar uma máquina queimada ou por qualquer outro motivo. Nesse caso ao conectarmos a nova placa de rede ao Switch aparecerá a seguinte mensagem gerada de log, alertando sobre a impossibilidade de comunicação do novo host:
[HP\v1910_SW04] #Apr 27 07:14:21:820 2000 HP\v1910_SW04 IFNET/4/INTERFACE UPDOWN: Trap 1.3.6.1.6.3.1.1.5.4: Interface 9437191 is Up, ifAdminStatus is 1, ifOperStatus is 1 #Apr 27 07:14:22:025 2000 HP\v1910_SW04 MSTP/1/PFWD: Trap 1.3.6.1.4.1.25506.8.35.14.0.1: Instance 0's Port 0.9437191 has been set to forwarding state! %Apr 27 07:14:22:225 2000 HP\v1910_SW04 IFNET/3/LINK_UPDOWN: GigabitEthernet1/0/8 link status is UP. %Apr 27 07:14:22:355 2000 HP\v1910_SW04 MSTP/6/MSTP_FORWARDING: Instance 0's port GigabitEthernet1/0/8 has been set to forwarding state. %Apr 27 07:14:22:535 2000 HP\v1910_SW04 PORTSEC/5/PORTSEC_VIOLATION: -IfName=GigabitEthernet1/0/8-MACAddr=00:90:DC:05:E9:4F-VlanId=-1-IfStatus=Up; Intrusion detected. %Apr 27 07:14:23:270 2000 HP\v1910_SW04 PORTSEC/5/PORTSEC_VIOLATION: -IfName=GigabitEthernet1/0/8-MACAddr=00:90:DC:05:E9:4F-VlanId=-1-IfStatus=Up; Intrusion detected.
Trocando o endereço MAC
Para resolver essa questão, desconecte o novo host do Switch para cessar a mensagem de log. Já para remoção do endereço basta copiar a linha que contem o endereço MAC.
[HP\v1910_SW04-GigabitEthernet1/0/8]undo port-security mac-address security 0040-63c0-aaaa vlan 1
--- 1 security MAC address(es) deleted. ---
Conecte a nova máquina e espere o Switch aprender o novo endereço MAC (após este iniciar a primeira comunicação com a rede) …
[HP\v1910_SW04] #Apr 27 07:16:01:290 2000 HP\v1910_SW04 IFNET/4/INTERFACE UPDOWN: Trap 1.3.6.1.6.3.1.1.5.4: Interface 9437191 is Up, ifAdminStatus is 1, ifOperStatus is 1 #Apr 27 07:16:01:495 2000 HP\v1910_SW04 MSTP/1/PFWD: Trap 1.3.6.1.4.1.25506.8.35.14.0.1: Instance 0's Port 0.9437191 has been set to forwarding state! %Apr 27 07:16:01:705 2000 HP\v1910_SW04 IFNET/3/LINK_UPDOWN: GigabitEthernet1/0/8 link status is UP. %Apr 27 07:16:01:835 2000 HP\v1910_SW04 MSTP/6/MSTP_FORWARDING: Instance 0's port GigabitEthernet1/0/8 has been set to forwarding state. %Apr 27 07:16:02:016 2000 HP\v1910_SW04 PORTSEC/6/PORTSEC_LEARNED_MACADDR: -IfName=GigabitEthernet1/0/8-MACAddr=00:90:DC:05:E9:4F-VlanId=1; A new MAC address learned. # [HP\v1910_SW04]disp current-configuration interface giga1/0/8 # interface GigabitEthernet1/0/8 port-security max-mac-count 1 port-security port-mode autolearn port-security mac-address security 0090-dc05-e94f vlan 1 #
Pronto, a porta está configurada com port-security e vinculará as restrições de endereço MAC como anteriormente.
Até logo.
A feature port security permite o aprendizado dinâmico de endereço MAC vinculado a uma interface GibabitEthernet para fins de segurança, não permitindo que outro host funcione naquela interface. Se a condição não for satisfeita (a utilização do MAC correto), a porta entrará em estado de violação e não trafegará dados.
É possível configurar a quantidade de endereços MAC aprendidos dinamicamente pela Interface, inserindo assim (após o aprendizado estático ou dinâmico dos endereços) entradas fixas na tabela de endereços MAC.
A feature é bastante útil em ambientes que os hosts/Servidores precisam ser vinculados a uma interface (como em CPDs, DataCenters, etc) ou em localidades que o usuário costuma migrar a estação sem comunicar a equipe de suporte!
As configurações aprendidas serão atribuídas à configuração da memória volátil. Se o dispositivo for reiniciado ele aprenderá novos endereços. Na necessidade de manter os endereços aprendidos, sugerimos salvar a configuração.
Configuração
[4800] port-security enable ! Habilitando o port-security no Switch [4800] interface gigabitethernet 1/0/1 [4800-GigabitEthernet1/0/1] port-security max-mac-count 1 ! Habilitando o port-security para o aprendizado dinamico de ! apenas 1 endereço MAC ( o primeiro descoberto) [4800-GigabitEthernet1/0/1] port-security port-mode autolearn ! Habilitando o port-security para aprendizado dinamico do endereço ! MAC para a interface GigabitEthernet 1/0/1
Obs: Após o aprendizado do endereço MAC, a interface GigabitEthernet não permitirá a conexão de outra máquina na porta giga 1/0/1. O endereço aprendido na interface giga 1/0/1 não poderá ser utilizado em outra interface no mesmo Switch. Sugerimos não configurar o Port-Security em interfaces TRUNK
Display
Segue abaixo a configuração da interface após o aprendizado:
# interface GigabitEthernet1/0/1 port access vlan 10 stp edged-port enable port-security max-mac-count 1 port-security port-mode autolearn port-security mac-address security 000a-aab2-a33b vlan 10 ! A saída abaixo relata a troca de máquina na int GigabitEthernet 1/0/1 %Apr 26 17:23:01:527 2000 SBSSWCOR03 PORTSEC/1/VIOLATION: OID: 1.3.6.1.4.1.43.45.1.10.2.26.1.3.2 An intrusion occurs! IfIndex: 9437189 Port:GigabitEthernet1/0/1 MAC Addr: 00:0F:DF:B4:FA:49 VLAN id:10 IfAdminStatus: 1