Introdução Os switches são usados para conectar vários dispositivos na mesma rede. Em uma rede rede projet projetada ada corret corretame amente nte,, os switc switches hes LAN LAN são respon responsáv sáveis eis por direc direcion ionar ar e gerenciar o fluxo de dados na camada de acesso para os recursos em rede. Os switches isco são configurados automaticamente! nenhuma configura"ão adicional # nece necess ssár ária ia para para $ue $ue eles eles func funcio ione nem, m, pois pois estã estão o pron pronto toss para para uso. uso. %or# %or#m, m, os switches isco executam o isco &O' e podem ser configurados manualmente para melhor atender (s necessidades da rede. &sso inclui o ajuste de velocidade da porta, largura de )anda e re$uisitos de seguran"a. Al#m disso, os switches isco isco podem ser gerenciados localmente localmente e remotamente. %ara gerenciar remotamente um switch, ele precisa ter um endere"o &% e um gatewa* padrão padrão configurad configurados. os. Essas Essas são apenas apenas duas das configura configura"+es "+es discutidas discutidas neste neste captulo. Os switches operam na camada de acesso onde os dispositivos de rede do cliente se cone conect ctam am dire direta tame ment nte e ( rede rede e onde onde os depa departa rtame ment ntos os de -& dese deseja jam m aces acesso so descomplicado ( rede para os usuários. Essa # uma das áreas mais vulneráveis da rede por$ue # exposta ao usuário. Os switches devem ser configurados para resistir a ata$ues de todos os tipos, en$uanto protegem dados do usuário e permitem conex+es de alta velocidade. A seguran"a de porta # um dos recursos de seguran"a $ue os switches gerenciados isco oferecem. Este captulo examina algumas das configura"+es )ásicas de switch necessárias para manter um am)iente de LAN comutada seguro e disponvel.
'e$uncia de iniciali/a"ão do switch
0epo 0epois is $ue $ue um swit switch ch isc isco o # liga ligado do,, ele ele pass passa a pela pela segu seguin inte te se$u se$un nci cia a de iniciali/a"ão1 2. %rimeiro, o switch carrega um programa power3on self3test 4%O'-5 arma/enado na 6O7. O %O'- verifica o su)sistema da %8. Ele testa a %8, a 06A7 e a parte do dispositivo flash $ue comp+e o sistema de ar$uivos da mem9ria flash. :. 0epois, o switch carrega o software carregador de iniciali/a"ão. O carregador de iniciali/a"ão 4)oot loader5 # um programa pe$ueno arma/enado na 6O7 e executado imediatamente ap9s a conclusão )em3sucedida do %O'-. ;. O carregador de iniciali/a"ão 4)oot loader5 executa a iniciali/a"ão da %8 em )aixo nvel. Ele iniciali/a os registros de %8, $ue gerenciam onde a mem9ria fsica # mapeada, a $uantidade de mem9ria e a velocidade. <. O carregador de iniciali/a"ão 4)oot loader5 iniciali/a o sistema de ar$uivos da mem9ria flash na placa do sistema. =. >inalmente, o carregador de iniciali/a"ão locali/a e carrega uma imagem do software de sistema operacional &O' padrão na mem9ria e passa o controle do switch para o &O'. O carregador de iniciali/a"ão 4)oot loader5 encontra a imagem do isco &O' no switch desta maneira1 o switch tenta iniciali/ar automaticamente usando as informa"+es na variável de am)iente ?OO-. 'e esta variável não estiver definida, o switch tentará carregar e executar o primeiro ar$uivo executável disponvel, reali/ando uma pes$uisa recursiva e profunda em todo o sistema de ar$uivos da mem9ria flash. Em uma pes$ pes$ui uisa sa apro aprofu fund ndad ada a no dire diret9 t9ri rio, o, cada cada su)d su)dir iret et9r 9rio io enco encont ntra rado do # anal analis isad ado o totalmente antes de prosseguir para o diret9rio original. Nos switches atal*st :@B 'eries, o ar$uivo de imagem # normalmente contido em um diret9rio com o mesmo nome do ar$uivo de imagem 4excluindo a extensão de ar$uivo .)in5. O sistema operacional &O' iniciali/a então as interfaces, usando os comandos do isco &O' &O' enco encont ntra rado doss no ar$u ar$uiv ivo o de conf config igur ura" a"ão ão e a conf config igur ura" a"ão ão de inic inicia ialili/a /a"ã "ão o arma/enada na NC6A7. Na figura, a variável de am)iente ?OO- # definida por meio do comando boot system do modo de configura"ão glo)al. O)serve $ue o &O' está locali/ado em uma pasta diferente e o caminho da pasta # especificado. 8se o comando show bootvar 4show boot em vers+es mais antigas do &O'5 para ver como o ar$uivo de iniciali/a"ão atual do &O' está definido.
'e$uncia de iniciali/a"ão do switch
0epo 0epois is $ue $ue um swit switch ch isc isco o # liga ligado do,, ele ele pass passa a pela pela segu seguin inte te se$u se$un nci cia a de iniciali/a"ão1 2. %rimeiro, o switch carrega um programa power3on self3test 4%O'-5 arma/enado na 6O7. O %O'- verifica o su)sistema da %8. Ele testa a %8, a 06A7 e a parte do dispositivo flash $ue comp+e o sistema de ar$uivos da mem9ria flash. :. 0epois, o switch carrega o software carregador de iniciali/a"ão. O carregador de iniciali/a"ão 4)oot loader5 # um programa pe$ueno arma/enado na 6O7 e executado imediatamente ap9s a conclusão )em3sucedida do %O'-. ;. O carregador de iniciali/a"ão 4)oot loader5 executa a iniciali/a"ão da %8 em )aixo nvel. Ele iniciali/a os registros de %8, $ue gerenciam onde a mem9ria fsica # mapeada, a $uantidade de mem9ria e a velocidade. <. O carregador de iniciali/a"ão 4)oot loader5 iniciali/a o sistema de ar$uivos da mem9ria flash na placa do sistema. =. >inalmente, o carregador de iniciali/a"ão locali/a e carrega uma imagem do software de sistema operacional &O' padrão na mem9ria e passa o controle do switch para o &O'. O carregador de iniciali/a"ão 4)oot loader5 encontra a imagem do isco &O' no switch desta maneira1 o switch tenta iniciali/ar automaticamente usando as informa"+es na variável de am)iente ?OO-. 'e esta variável não estiver definida, o switch tentará carregar e executar o primeiro ar$uivo executável disponvel, reali/ando uma pes$uisa recursiva e profunda em todo o sistema de ar$uivos da mem9ria flash. Em uma pes$ pes$ui uisa sa apro aprofu fund ndad ada a no dire diret9 t9ri rio, o, cada cada su)d su)dir iret et9r 9rio io enco encont ntra rado do # anal analis isad ado o totalmente antes de prosseguir para o diret9rio original. Nos switches atal*st :@B 'eries, o ar$uivo de imagem # normalmente contido em um diret9rio com o mesmo nome do ar$uivo de imagem 4excluindo a extensão de ar$uivo .)in5. O sistema operacional &O' iniciali/a então as interfaces, usando os comandos do isco &O' &O' enco encont ntra rado doss no ar$u ar$uiv ivo o de conf config igur ura" a"ão ão e a conf config igur ura" a"ão ão de inic inicia ialili/a /a"ã "ão o arma/enada na NC6A7. Na figura, a variável de am)iente ?OO- # definida por meio do comando boot system do modo de configura"ão glo)al. O)serve $ue o &O' está locali/ado em uma pasta diferente e o caminho da pasta # especificado. 8se o comando show bootvar 4show boot em vers+es mais antigas do &O'5 para ver como o ar$uivo de iniciali/a"ão atual do &O' está definido.
6ecupera"ão de uma falha do sistema
O carregador de iniciali/a"ão 4)oot loader5 fornece acesso ao switch se o sistema operacional não puder ser usado devido ( ausncia de ar$uivos de sistema ou ( falha destes. O carregador de iniciali/a"ão 4)oot loader5 possui uma linha de comando $ue fornece acesso aos ar$uivos arma/enados na mem9ria flash. O carregador de iniciali/a"ão 4)oot loader5 pode ser acessado atrav#s de uma conexão de console, de acordo com estas etapas1 Etapa 1. onecte um % por ca)o de console ( porta de console do switch. onfigure
o software de emula"ão de terminal para se conectar ao switch. Etapa 2. 0esconecte o ca)o de alimenta"ão do switch. Etapa 3. 6econecte o ca)o de alimenta"ão ao switch e, em 2= segundos, pressione e mantenha pressionado o )otão Mode en$uanto o LE0 do sistema ainda estiver
piscando em verde. Etapa 4. ontinue pressionando o )otão Mode at# $ue o LE0 do sistema mude para amarelo e, $uando ele passar a verde! solte o )otão Mode. Etapa 5. O prompt switch: do carregador de iniciali/a"ão aparecerá no software de
emula"ão de terminal no %. A linha de comando boot loader aceita comandos para formatar o sistema de ar$uivos flash, reinstalar o software de sistema operacional e recuperá3lo no caso de senhas perdidas ou es$uecidas. %or exemplo, o comando dir pode ser usado para exi)ir uma lista de ar$uivos em um diret9rio especificado, como mostrado na figura. bservação1 o)serve $ue neste exemplo, o &O' está locali/ado na rai/ da pasta da
mem9ria flash.
&ndicadores de LE0 do switch
Os switches isco atal*st possuem várias lu/es LE0 indicadoras de status. Coc pode usar os LE0s do switch para monitorar rapidamente a atividade do switch e seu desempenho. Os switches de diferentes modelos e conjuntos de recursos terão LE0s diferentes, e sua posi"ão no painel frontal do switch tam)#m poderá variar. A figura mostra os LE0s do switch e o )otão 7ode 47odo5 de um switch isco atal*st :@B. O )otão 7ode # usado para alternar entre o status da porta, o duplex da porta, a velocidade da porta e o status do %oE 4se suportado5 dos LE0s de porta. O texto a seguir descreve a finalidade dos indicadores de LE0 e o significado das cores1 •
!E" do sistema 3 7ostra se a fonte de alimenta"ão do sistema está rece)endo energia
e funcionando corretamente. 'e o LE0 estiver apagado, significa $ue o sistema não está ligado. 'e o LE0 estiver verde, o sistema está operando normalmente. 'e o LE0 estiver amarelo, o sistema está rece)endo energia, mas não está funcionando corretamente. •
!E" de #edundant $ower %ystem &#$%' 3 mostra o status do 6%'. 'e o LE0 estiver
apagado, o 6%' está desativado ou não foi conectado corretamente. 'e o LE0 estiver verde, o 6%' está conectado e pronto para fornecer energia reserva. 'e o LE0 estiver piscando em verde, o 6%' está conectado mas não está disponvel por$ue está fornecendo energia para outro dispositivo. 'e o LE0 estiver amarelo, o 6%' está no modo de espera ou em uma condi"ão de falha. 'e o LE0 estiver piscando em amarelo, a fonte de alimenta"ão interna no switch falhou e o 6%' está fornecendo energia. •
!E" do status da porta ( indica $ue o modo de status da porta está selecionado
$uando o LE0 fica verde. Este # o modo padrão. Duando selecionado, os LE0s de porta exi)irão cores com significados diferentes. 'e o LE0 estiver apagado, não há nenhum lin ou a porta foi desativada administrativamente. 'e o LE0 ficar verde, um lin está presente. 'e o LE0 estiver piscando em verde, existe atividade e a porta está enviando ou rece)endo dados. 'e o LE0 ficar alternando entre verde e amarelo, há uma falha do lin. 'e o LE0 estiver amarelo, a porta está )lo$ueada para garantir $ue não exista nenhum loop no domnio de encaminhamento e $ue este não esteja enviando dados 4normalmente, as portas permanecerão nesse estado por aproximadamente ;B segundos ap9s serem ativadas5. 'e o LE0 estiver piscando na cor amarela, a porta está )lo$ueada para evitar um possvel loop no domnio de encaminhamento. •
!E" de duple) da porta ( indica $ue o modo duplex da porta está selecionado $uando
o LE0 fica verde. Duando selecionados, os LE0s de porta $ue estão apagados ficam em modo half3duplex. 'e o LE0 de porta estiver verde, a porta está no modo full3duplex. •
!E" de velocidade da porta 3 indica $ue o modo de velocidade de porta está
selecionado. Duando selecionado, os LE0s de porta exi)irão cores com significados diferentes. 'e o LE0 estiver apagado, a porta está operando a 2B 7)Fs. 'e o LE0 estiver verde, a porta está operando a 2BB 7)Fs. 'e o LE0 estiver piscando em verde, a porta está operando a 2.BBB 7)Fs. •
!E" do modo $ower over Ethernet &$oE' 3 se %oE for suportado, um LE0 de modo
%oE estará presente. 'e o LE0 estiver apagado, isso indica $ue o modo %oE não está selecionado e $ue nenhuma das portas ficou sem energia nem foi colocada em condi"ão de falha. 'e o LE0 estiver piscando na cor amarelo, o modo %oE não está
selecionado, mas houve recusa de energia a pelo menos uma das portas ou ocorreu uma falha de %oE. 'e o LE0 estiver verde, o modo %oE está selecionado e os LE0s de porta exi)irão cores com significados diferentes. 'e o LE0 de porta estiver apagado, o %oE estará desativado. 'e o LE0 de porta estiver verde, %oE estará ativado. 'e o LE0 de porta alternar entre verde e amarelo, o %oE foi recusado por$ue o fornecimento de alimenta"ão ao dispositivo alimentado excederá a capacidade de alimenta"ão do switch. 'e o LE0 estiver piscando na cor amarela, o %oE está desativado devido a uma falha. 'e o LE0 estiver amarelo, o %oE da porta foi desativado.
%repara"ão para o gerenciamento )ásico do switch
%ara preparar um switch para acesso de gerenciamento remoto, o switch precisa ser configurado com um endere"o &% e uma máscara de su)3rede. Lem)re3se de $ue, para gerenciar o switch de uma rede remota, o switch precisa ser configurado com um gatewa* padrão. &sso # muito similar a configurar informa"+es de endere"o &% em dispositivos host. Na figura, a interface virtual do switch 4'C&5 em '2 precisa ter um endere"o &% atri)udo a ela. A 'C& # uma interface virtual, não uma porta fsica no switch. A 'C& # um conceito relativo (s CLANs. As CLANs são grupos l9gicos numerados aos $uais as portas fsicas podem ser atri)udas. As configura"+es e as defini"+es aplicadas a uma CLAN tam)#m são aplicadas a todas as portas atri)udas a essa CLAN. %or padrão, o switch # configurado para ter gerenciamento do switch controlado por meio da CLAN 2. %or padrão, todas as portas são atri)udas ( CLAN 2. %ara fins de seguran"a, a prática recomendada consiste em usar uma CLAN diferente da CLAN 2 para a CLAN de gerenciamento. O)serve $ue essas configura"+es de &% destinam3se apenas a acesso de gerenciamento remoto ao switch! as configura"+es de &% não permitem $ue o switch roteie pacotes de camada ;.
onfigura"ão de acesso de gerenciamento )ásico de switch com &%v< Etapa 1* +on,i-urar a inter,ace de -erenciamento
8m endere"o &% e máscara de su)3rede são configurados na 'C& de gerenciamento do switch no modo de configura"ão da interface de CLAN. omo mostrado na figura 2, o comando inter,ace vlan .. # usado para entrar no modo de configura"ão da interface. O comando ip address # usado para configurar o endere"o &%. O comando no shutdown ativa a interface. Neste exemplo, a CLAN @@ # configurada com o endere"o &% 2G:.2G.@@.22. A 'C& da CLAN @@ não aparecerá como HupFupI at# $ue a CLAN @@ seja criada e haja um dispositivo conectado a uma porta de switch associada ( CLAN @@. %ara criar uma CLAN com vlanJid @@ e associá3la a uma interface, use os seguintes comandos1 '24config5K vlan vlan_id '24config3vlan5K name vlan_name '24config3vlan5K e)it '24config5K inter,ace interface_id '24config3if5K switchport access vlan vlan_id Etapa 2* +on,i-urar -ateway padrão
O switch deve ser configurado com um gatewa* padrão se for gerenciado remotamente a partir de redes $ue não estão diretamente conectadas. O gatewa* padrão # o roteador ao $ual o switch está conectado. O switch encaminha seus pacotes &% com endere"os &% destino fora da rede local para o gatewa* padrão. omo mostrado na figura :, 62 # o gatewa* padrão de '2. A interface de 62 conectada ao switch possui endere"o &% 2G:.2G.@@.2. Esse endere"o # o endere"o de gatewa* padrão para '2. %ara configurar o gatewa* padrão para o switch, use o comando ip de,ault(-ateway. 0igite o endere"o &% do gatewa* padrão. O gatewa* padrão # o endere"o &% da interface do roteador ao $ual o switch está conectado. 8se o comando copy runnin-( con,i- startup(con,i- para salvar a nova configura"ão. Etapa 3* /eri,i0ue a con,i-uração
omo mostrado na figura ;, o comando show ip inter,ace brie, # til para determinar o status das interfaces fsicas e virtuais. A sada mostrada confirma $ue a interface CLAN @@ foi configurada com um endere"o &% e uma máscara de su)3rede, e $ue está operacional.
omunica"ão duplex
A figura ilustra a comunica"ão full3duplex e a half3duplex. A comunica"ão full3duplex melhora o desempenho de uma LAN comutada. A comunica"ão full3duplex aumenta a largura de )anda efetiva, permitindo $ue as duas extremidades de uma conexão transmitam e rece)am dados simultaneamente. Ela tam)#m # conhecida como )idirecional. Esse m#todo de otimi/a"ão de desempenho da rede exige a microssegmenta"ão. A LAN microssegmentada # criada $uando uma porta do switch tem apenas um dispositivo conectado e está operando em full3duplex. O resultado # um domnio de colisão micro de um nico dispositivo. ontudo, como há apenas um dispositivo conectado, uma LAN microssegmentada está livre de colis+es. 0iferentemente de uma comunica"ão full3duplex, a comunica"ão half3duplex # unidirecional. O envio e o rece)imento de dados não ocorrem ao mesmo tempo. A comunica"ão half3duplex cria pro)lemas de desempenho, pois os dados podem fluir em apenas uma dire"ão de cada ve/, o $ue geralmente causa colis+es. As conex+es em half3duplex costumam ser vistas em hardware mais antigos, como hu)s. A comunica"ão full3duplex su)stituiu a half3duplex na maioria dos hardwares. A maioria das placas de rede Ethernet e >ast Ethernet vendidas hoje oferecem a capacidade full3duplex. Miga)it Ethernet e as N&s de 2B M) exigem conex+es full3 duplex para operar. No modo full3duplex, o circuito de detec"ão de colisão na placa de rede fica desativado. Os $uadros enviados pelos dois dispositivos conectados não podem colidir por$ue os dispositivos usam dois circuitos separados no ca)o de rede. As conex+es full3duplex exigem um switch $ue suporte a configura"ão full3duplex ou uma conexão direta $ue use um ca)o Ethernet entre dois dispositivos. A configura"ão padrão de Ethernet )aseada em hu) e compartilhada # normalmente avaliada em =B a B por cento da largura de )anda declarada. O full3duplex oferece 2BB por cento de eficincia em am)as as dire"+es 4transmissão e recep"ão5. &sso resulta em um uso potencial de :BB por cento da largura de )anda declarada.
onfigurar as portas de switch na camada fsica /elocidade e duple)
As portas podem ser configuradas manualmente com configura"+es especficas de duplex e de velocidade. 8se o comando do modo de configura"ão de interface duple) para especificar manualmente o modo duplex de uma porta de switch. 8se o comando do modo de configura"ão de interface speed para especificar manualmente a velocidade de uma porta de switch. Na figura 2, a porta >aBF2 nos switches '2 e ': # configurada manualmente com a palavra3chave ,ull para o comando duple), e a palavra3chave 1 para o comando speed. A configura"ão padrão para duplex e velocidade de portas em switches isco atal*st s#ries :@B e ;=B # automática. As portas 2BF2BBF2.BBB operam no modo half ou full3 duplex $uando são definidas como 2B ou 2BB 7)Fs, mas $uando definidas como 2.BBB 7)Fs 42 M)Fs5, elas operam apenas no modo full3duplex. A negocia"ão automática # til $uando as configura"+es de velocidade e duplex do dispositivo $ue se conecta ( porta são desconhecidas ou podem mudar. Ao se conectar a dispositivos conhecidos, como servidores, esta"+es de tra)alho dedicadas ou dispositivos de rede, a prática recomendada # definir manualmente as configura"+es de velocidade e duplex. Ao identificar e solucionar pro)lemas na porta do switch, # necessário verificar as configura"+es de duplex e de velocidade. bservação1 as configura"+es incompatveis do modo duplex e da velocidade das
portas de switches podem causar pro)lemas de conectividade. A falha de negocia"ão automática cria configura"+es incompatveis. -odas as portas de fi)ra 9tica, como as portas 2BB?A'E3>, operam apenas em uma velocidade predefinida e são sempre full3duplex. 8se o Cerificador de 'intaxe na figura : para configurar a porta >aBF2 do switch '2.
70& automático
At# recentemente, certos tipos de ca)o 4diretos ou cru/ados5 eram necessários para conectar dispositivos. As conex+es de switch para switch ou de switch para roteador exigiam o uso de ca)os Ethernet diferentes. O uso do recurso de 70& automático em uma interface elimina esse pro)lema. Duando o 70& automático está ativado, a interface detecta automaticamente o tipo de conexão necessária para o ca)o 4direta ou cru/ado5 e configura a conexão apropriadamente. Na conexão de switches sem o recurso de 70& automático, os ca)os diretos devem ser usados para conex+es com dispositivos como servidores, esta"+es de tra)alho ou roteadores, e os ca)os cru/ados devem ser usados para conex+es com outros switches ou repetidores. om o 70& automático ativado, $ual$uer tipo de ca)o pode ser usado para conectar a outros dispositivos e a interface se ajusta automaticamente para uma comunica"ão )em3sucedida. Em roteadores e switches isco mais recentes, o comando do modo de configura"ão de interface mdi) auto ativa o recurso. Ao usar 70& automático em uma interface, a velocidade e o duplex da interface devem ser configurados como auto de modo $ue o recurso funcione corretamente. Os comandos para ativar o 70& automático são mostrados na figura 2. bservação1 o recurso 70& automático # ativado por padrão nos switches atal*st
:@B e atal*st ;=B, mas não está disponvel nos switches mais antigos atal*st :@=B e atal*st ;==B. %ara examinar a configura"ão do 70& automático para uma interface especfica, use o comando show controllers ethernet(controller com a palavra3chave phy. %ara limitar a sada (s linhas $ue referenciem o 70& automático, use o filtro include uto( M"I. omo mostrado na figura :, a sada indicará On 4Ativado5 ou Off 40esativado5 para o recurso. 8se o Cerificador de 'intaxe na figura ; para configurar a interface >astEthernet BF2 em ': como 70& automático.
/eri,icar a con,i-uração da porta do switch A figura 2 descreve algumas das op"+es do comando show $ue são teis para verificar recursos normalmente configuráveis do switch. A figura : mostra o exemplo de sada a)reviada do comando show runnin-(con,i-. 8se este comando para verificar se o switch foi configurado corretamente. onforme visto na sada da '2, algumas informa"+es fundamentais são mostradas1 •
A interface >ast Ethernet BF2 configurada com a CLAN de gerenciamento @@
•
A CLAN @@ configurada com um endere"o &% 2G:.2G.@@.22 :==.:==.:==.B
•
Matewa* padrão configurado como 2G:.2G.@@.2
O comando show inter,aces # outro comando de uso geral, $ue exi)e informa"+es de status e estatsticas so)re as interfaces de rede do switch. O comando show inter,aces # fre$uentemente usado ao se configurar e monitorar dispositivos de rede. A figura ; mostra a sada do comando show inter,aces ,astEthernet 16* A primeira linha na figura indica $ue a interface >astEthernet BF2 está upFup, o $ue significa $ue ela está operacional. 7ais adiante, a sada mostra $ue o modo duplex # full e a velocidade # 2BB 7)Fs.
$roblemas da camada de acesso 7 rede A sada do comando show inter,aces pode ser usada para detectar pro)lemas comuns de meio fsico. 8ma das partes importantes desta sada # a exi)i"ão do status da linha e do protocolo de enlace de dados. A figura 2 exi)e a linha de resumo para verificar o status de uma interface. O primeiro parPmetro 4>astEthernetBF2 is up5 se refere ( camada de hardware e )asicamente indica se a interface está rece)endo o sinal de detec"ão da operadora da outra extremidade. O segundo parPmetro 4line protocol is up5 se refere ( camada de enlace de dados e indica se os protocolos eepalive da camada de enlace de dados estão sendo rece)idos. om )ase na sada do comando show inter,aces , possveis pro)lemas podem ser corrigidos da seguinte maneira1 •
•
•
'e a interface estiver ativa 4up5 e o protocolo de linha estiver inativo 4down5, existe um pro)lema. %ode haver um tipo de incompati)ilidade de encapsulamento, a interface na outra extremidade pode estar desativada devido a erros ou pode haver um pro)lema com o hardware. 'e o protocolo de linha e a interface estiverem am)os desativados, um ca)o não está conectado ou existem outros pro)lemas de interface. %or exemplo, em uma conexão )ac3to3)ac, a outra extremidade da conexão pode estar administrativamente inativa. 'e a interface estiver administrativamente inativa, ela foi desa)ilitada manualmente 4o comando shutdown foi emitido5 na configura"ão ativa.
A figura : mostra um exemplo de sada do comando show inter,aces. O exemplo mostra os contadores e as estatsticas da interface >astEthernetBF2. Alguns erros de mdia não são graves o suficiente para fa/er com $ue o circuito falhe, mas causam pro)lemas de desempenho da rede. A figura ; explica alguns desses erros comuns $ue podem ser detectados com o uso do comando show inter,aces. H&nput errorsI refere3se ( soma de todos os erros nos datagramas rece)idos na interface $ue está sendo examinada. &sso inclui contagem de runts, giants, 6, no )uffer, frame, overrun e ignored Os erros de entrada relatados no comando show inter,aces incluem1 •
8uadros #unt 3 $uadros Ethernet menores $ue o mnimo permitido de < )*tes
são chamados runts. As N&s com mau funcionamento são geralmente a causa do excesso de $uadros runt, mas eles tam)#m podem ser causados pelos mesmos pro)lemas $ue colis+es excessivas.
•
9iants 3 $uadros Ethernet maiores $ue o comprimento máximo permitido são
chamados giants. Os giants são gerados pelos mesmos pro)lemas $ue causam os runts. •
+#+ Erros 3 na Ethernet e nas interfaces seriais, erros de 6 geralmente
indicam erro de mdia ou ca)o. As causas mais comuns incluem interferncia el#trica, conex+es soltas ou danificadas, ou uso de um tipo de ca)eamento incorreto. 'e voc vir muitos erros de 6, há muito rudo no lin e voc deve verificar o comprimento do ca)o e se ele cont#m danos. Coc tam)#m deve procurar as causas do rudo e eliminá3las, se possvel. QOutput errorsI refere3se ( soma de todos os erros $ue impediram a transmissão final de datagramas para fora da interface $ue está sendo examinada. Os erros de sada relatados no comando show inter,aces incluem1 •
+olisions 3 as colis+es em opera"+es half3duplex são completamente normais e
voc não precisa se preocupar com elas, desde $ue esteja satisfeito com as opera"+es half3duplex. Entretanto, voc jamais verá colis+es em uma rede $ue use comunica"ão full3duplex e $ue tenha sido projetada e configurada corretamente. R altamente recomendado usar full3duplex, a menos $ue voc tenha e$uipamentos antigos ou legados $ue exijam half3duplex. •
!ate collisions 3 uma colisão tardia se refere a uma colisão ocorrida depois $ue
=2: )its do $uadro 4o prePm)ulo5 foram transmitidos. a)os com comprimentos muito longos são a causa mais comum de colis+es tardias. Outra causa comum # configura"ão incorreta de duplex. %or exemplo, voc poderia ter uma extremidade da conexão configurada para o full3duplex e a outra para o half3 duplex. Coc veria colis+es tardias na interface configurada para half3duplex. Nesse caso, defina a mesma configura"ão de duplex nas duas extremidades. 8ma rede projetada e configurada ade$uadamente jamais deveria ter colis+es tardias.
Identi,icação e solução de problemas da camada de acesso 7 rede A maioria dos pro)lemas $ue afetam uma rede comutada # encontrada durante a implementa"ão original. -eoricamente, depois de instalada, uma rede continua a operar sem pro)lemas. No entanto, o ca)eamento pode ser danificado, as configura"+es mudam e novos dispositivos são conectados ao switch, o $ue exige altera"+es de configura"ão do switch. 7anuten"ão, identifica"ão e solu"ão contnuas de pro)lemas de infraestrutura de rede são necessárias. %ara solucionar estes pro)lemas $uando voc não tem nenhuma conexão ou a conexão está entre um switch e outro dispositivo, siga este processo geral1 8se o comando show inter,aces para verificar o status da interface. A interface está inativa1 •
•
ertifi$ue3se de $ue os ca)os apropriados estão sendo usados. Al#m disso, verifi$ue se há danos nos ca)os e conectores. 'e voc suspeitar de um ca)o com defeito ou incorreto, su)stitua3o. 'e a interface ainda estiver inativa, o pro)lema pode ter sido causado por incompati)ilidade na configura"ão de velocidade. A velocidade de uma interface # negociada automaticamente. %ortanto, mesmo $ue tal velocidade seja configurada manualmente na interface, a interface de conexão deverá ser negociada de acordo. 'e ocorrer incompati)ilidade de velocidade em fun"ão de uma configura"ão incorreta ou de um pro)lema de hardware ou software, isso pode causar a inatividade da interface. aso suspeite de pro)lema, defina manualmente a mesma velocidade em am)as as extremidades da conexão.
'e a interface estiver ativa, mas os pro)lemas com conectividade ainda persistirem1 •
•
Ao usar o comando show inter,aces verifi$ue se há indica"+es de excesso de rudo. As indica"+es podem incluir um aumento nos contadores de runts, giants e erros de 6. 'e existir excesso de rudo, primeiro locali/e e remova a origem do rudo, se possvel. Al#m disso, verifi$ue se o ca)o não excede o comprimento máximo de ca)o e confira tam)#m o tipo de ca)o usado. %ara ca)os de co)re, recomenda3se usar pelo menos a categoria =. 'e o rudo não for um pro)lema, verifi$ue se há colis+es excessivas. 'e houver colis+es ou colis+es tardias, verifi$ue as configura"+es duplex em am)as as extremidades da conexão. Assim como a configura"ão de velocidade, a configura"ão de duplex em geral # negociada automaticamente. 'e voc achar $ue o pro)lema # incompati)ilidade de duplex, defina manualmente o duplex em am)as as extremidades da conexão. R recomendável usar o full3duplex, se am)os os lados suportarem.
Opera"ão ''S
O 'ecure 'hell 4''S5 # um protocolo $ue fornece uma conexão de gerenciamento seguro 4criptografado5 a um dispositivo remoto. O ''S deve su)stituir o -elnet nas conex+es de gerenciamento. O -elnet # um protocolo mais antigo $ue usa transmissão de texto não criptografado, não protegido, tanto para autentica"ão de logon 4nome de usuário e senha5 $uanto para dados transmitidos entre os dispositivos de comunica"ão. O ''S fornece seguran"a para conex+es remotas, proporcionando criptografia forte $uando um dispositivo # autenticado 4nome de usuário e senha5 e tam)#m para os dados transmitidos entre os dispositivos de comunica"ão. O ''S # atri)udo ( porta -% ::. O -elnet # atri)udo ( porta -% :;. Na figura 2, um invasor pode monitorar pacotes usando o Tireshar. 8m fluxo de -elnet pode ser direcionado para capturar o nome de usuário e senha. Na figura :, o invasor pode capturar o nome de usuário e a senha do administrador a partir da sessão -elnet de texto não criptografado. A figura ; mostra a visão Tireshar de uma sessão de ''S. O invasor pode acompanhar a sessão usando o endere"o &% do dispositivo do administrador. Entretanto, na figura <, o nome de usuário e a senha são criptografados. %ara ativar o ''S em um switch atal*st :@B, o switch deve usar uma versão do software &O' $ue inclui recursos e capacidades de criptografia 4criptografados5. Na figura =, use o comando show version no switch para ver $ual &O' o switch está executando no momento e o nome do ar$uivo do &O' $ue inclui a com)ina"ão Q@Q suporta recursos e capacidades de criptografia.
onfigura"ão do ''S
Antes de configurar o ''S, o switch deve ser minimamente configurado com as defini"+es corretas de um nome de host exclusivo e de conectividade de rede. Etapa 1* /eri,i0ue o suporte a %%*
8se o comando show ip ssh para verificar se o switch suporta ''S. 'e o switch não estiver executando um &O' $ue suporte recursos criptográficos, esse comando não será reconhecido. Etapa 2* +on,i-ure o dom;nio I$*
onfigure o nome de domnio do endere"o de rede usando o comando do modo de configura"ão glo)al ip domain(name domain-name. Na figura 2, o valor domain-name # cisco*com. Etapa 3* 9ere pares de chaves #%*
Nem todas as vers+es do &O' padrão para a versão : do ''S, e a versão 2 do ''S tm falhas de seguran"a conhecidas. %ara configurar a versão : do ''S, emita o comando do modo de configura"ão glo)al ip ssh version 2. A gera"ão de um par de chaves 6'A ativa automaticamente o ''S. 8se o comando do modo de configura"ão glo)al crypto
excludo, o servidor ''S será desativado automaticamente. Etapa 4* +on,i-ure a autenticação do usu>rio*
O servidor ''S pode autenticar usuários localmente ou por meio de um servidor de autentica"ão. %ara usar o m#todo de autentica"ão local, crie um par de nomes de usuário e senha por meio do comando do modo de configura"ão glo)al username username secret password . No exemplo, o administrador do usuário, admin, rece)e a senha ccna* Etapa 5* +on,i-ure as linhas vty*
Ative o protocolo ''S nas linhas vt*, usando o comando do modo de configura"ão de linha transport input ssh. O atal*st :@B possui linhas vt* $ue variam de B a 2=. Essa configura"ão impede conex+es sem ''S 4tais como -elnet5 e limita o switch a aceitar conex+es somente ''S. 8se o comando do modo de configura"ão glo)al line vty e o comando do modo de configura"ão de linha lo-in local para exigir
autentica"ão local para conex+es ''S a partir do )anco de dados local de nomes de usuário. Etapa ?* tive a versão 2 do %%*
%or padrão, o ''S suporta am)as as vers+es 2 e :. Duando suporta am)as as vers+es, isso # mostrado na sada show ip ssh como suportando a versão 2.@@. A versão 2 tem vulnera)ilidades conhecidas. %or isso, # recomendável ativar somente a versão :. Ative a versão do ''S por meio do comando de configura"ão glo)al ip ssh version 2. 8se o Cerificador de 'intaxe na figura : para configurar ''S no switch '2.
/eri,icação de %% Em um %, um cliente ''S, como %u--U, # usado para se conectar a um servidor ''S. %ara os exemplos nas figuras 2 a ;, estas configura"+es foram adotadas1 •
''S ativado no switch '2
•
&nterface CLAN @@ 4'C&5 com endere"o &% 2G:.2G.@@.22 no switch '2
•
%2 com endere"o &% 2G:.2G.@@.:2
Na figura 2, o % inicia uma conexão de ''S com o endere"o &% da CLAN na 'C& do '2. Na figura :, o usuário foi solicitado a fornecer o nome de usuário e a senha. 8sando a configura"ão do exemplo anterior, o nome de usuário admin e a senha ccna são inseridos. 0epois de inserir a com)ina"ão correta, o usuário # conectado via ''S ( L& do switch atal*st :@B. %ara exi)ir os dados de versão e configura"ão de ''S no dispositivo configurado como um servidor ''S, use o comando show ip ssh. No exemplo, a versão : do ''S foi ativada. %ara verificar as conex+es ''S para o dispositivo, use o comando show ssh 4consulte a figura ;5.
Ata$ues de seguran"a comuns1 inunda"ão de endere"os 7A
A seguran"a )ásica do switch não evita ata$ues maliciosos. A seguran"a # um processo em camadas $ue, essencialmente, nunca está completo. Duanto mais atenta estiver a e$uipe de profissionais de rede de uma organi/a"ão aos ata$ues de seguran"a e aos perigos $ue eles representam, melhor. Alguns tipos de ata$ues ( seguran"a são descritos a$ui, mas os detalhes so)re a a"ão dos ata$ues está al#m do escopo deste curso. &nforma"+es mais detalhadas são encontradas no curso NA -ecnologias de TAN e NA 'ecurit*. Inundação de endereços M+
A ta)ela de endere"os 7A de um switch cont#m os endere"os 7A associados a cada porta fsica, )em como a CLAN associada a cada porta. Duando um switch de camada : rece)e um $uadro, ele procura o endere"o 7A destino na ta)ela de endere"os 7A . -odos os modelos de switch atal*st usam uma ta)ela de endere"os 7A para switching na camada :. onforme os $uadros chegam (s portas do switch, os endere"os 7A origem são gravados na ta)ela de endere"os 7A. 'e existir uma entrada para o endere"o 7A, o switch encaminha o $uadro para a porta correta. 'e o endere"o 7A não existir na ta)ela de endere"os 7A, o switch envia o $uadro para todas as portas 4inunda5 no switch, exceto a porta na $ual o $uadro foi rece)ido. O comportamento da inunda"ão de endere"os 7A em um switch por endere"os desconhecidos pode ser usado para atacar um switch. Esse tipo de ata$ue # denominado ata$ue de overflow da ta)ela de endere"os 7A. Ata$ues de overflow da ta)ela de endere"os 7A tam)#m são conhecidos como ata$ues de inunda"ão de 7A e ata$ues de overflow da ta)ela A7. As figuras mostram como esse tipo de ata$ue funciona. Na figura 2, o host A envia tráfego para o host ?. O switch rece)e os $uadros e procura o endere"o 7A destino em sua ta)ela de endere"os 7A. 'e o switch não conseguir encontrar o endere"o 7A destino na ta)ela de endere"os 7A, ele copiará o $uadro e o enviará por )roadcast 4inunda"ão5 para todas as portas do switch, exceto ( porta na $ual foi rece)ido. Na figura :, o host ? rece)e o $uadro e envia uma resposta ao host A. O switch então desco)re $ue o endere"o 7A do host ? está locali/ado na porta : e registra essas informa"+es na ta)ela de endere"os 7A. O host tam)#m rece)e o $uadro do host A para o host ?, mas como o endere"o 7A destino do $uadro # o host ?, o host descarta o $uadro. omo mostrado na figura ;, todos os $uadros enviados pelo host A 4ou $ual$uer outro host5 para o host ? são encaminhados para a porta : do switch, em ve/ de enviados por )roadcast para todas as portas.
As ta)elas de endere"os 7A tm tamanho limitado. Os ata$ues de inunda"ão de 7A usam essa limita"ão para so)recarregar o switch com endere"os 7A origem falsos at# $ue a ta)ela de endere"os 7A do switch fi$ue cheia. omo mostrado na figura <, um invasor no host pode enviar ao switch endere"os 7A destino e $uadros com uma origem falsa, gerada aleatoriamente. O switch atuali/a a ta)ela de endere"os 7A com as informa"+es contidas nos $uadros falsificados. Duando a ta)ela de endere"os 7A fica cheia de endere"os 7A falsos, o switch entra no modo conhecido como fail3open. Neste modo, o switch transmite todos os $uadros para todas as má$uinas na rede. omo resultado, o invasor v todos os $uadros. Algumas ferramentas de ata$ue ( rede podem gerar at# 2==.BBB entradas de 7A em um switch por minuto. 0ependendo do switch, o tamanho máximo da ta)ela de endere"os 7A varia. omo mostrado na figura =, en$uanto a ta)ela de endere"os 7A no switch permanecer completamente cheia, o switch envia por )roadcast todos os $uadros rece)idos para todas as portas. Neste exemplo, os $uadros enviados do host A para o host ? tam)#m são enviados pela porta ; do switch e vistos pelo invasor no host . 8ma forma de redu/ir os ata$ues de overflow na ta)ela de endere"os 7A # configurar a seguran"a de porta.
Ataques de segurança comuns: Falsifcação de DHCP
O DHCP é o protocolo que atribui automaticamente ao host um endereço IP válido selecionado em um conjunto de endereços do DHCP. O DHCP tem sido usado praticamente desde que o TCPIP tornou!se o principal protocolo usado na ind"stria para a atribuiç#o de endereços IP clientes. Dois tipos de ataques de DHCP podem ser e$ecutados em uma rede comutada% ataques de privaç#o de DHCP e &alsi&icaç#o de DHCP. 'os ataques de privaç#o de DHCP( um invasor inunda o servidor DHCP com solicitaç)es de DHCP para es*otar todos os endereços IP dispon+veis que o servidor DHCP possa emitir. Depois que esses endereços IP s#o emitidos( o servidor n#o pode emitir mais nenhum endereço( e essa situaç#o produ, um ataque de ne*aç#o de serviço -Do/ porque novos clientes n#o podem acessar a rede. 0m ataque de Do é qualquer ataque usado para sobrecarre*ar dispositivos e serviços de rede espec+&icos com trá&e*o ile*+timo( impedindo que o trá&e*o le*+timo acesse esses recursos. 'os ataques de &alsi&icaç#o de DHCP( um invasor con&i*ura um servidor DHCP &also na rede para emitir endereços DHCP aos clientes. O objetivo desse ataque é &orçar os clientes a usarem servidores Domain 'ame 1stem -D'/ ou 2indo3s Internet 'amin* ervice -2I'/ &alsos e &a,er com que os clientes usem o invasor( ou uma máquina sob o controle do invasor( como seu *ate3a1 padr#o. O ataque de privaç#o de DHCP é usado *eralmente antes de uma &alsi&icaç#o de DHCP para ne*ar o serviço ao servidor DHCP le*+timo( &acilitando a introduç#o de um servidor DHCP &also na rede. Para atenuar ataques de DHCP( use os recursos de se*urança de portas e de rastreamento de DHCP dos s3itches Cisco Catal1st. 4sses recursos ser#o cobertos em um t5pico posterior.
Ataques de segurança comuns: Aproveitamento do CDP
O Cisco Discover1 Protocol -CDP/ é um protocolo proprietário que pode ser usado em todos os dispositivos Cisco. O CDP descobre outros dispositivos Cisco diretamente conectados( permitindo que os dispositivos con&i*urem automaticamente sua cone$#o. 4m al*uns casos( isso simpli&ica a con&i*uraç#o e a conectividade. Por padr#o( a maioria dos roteadores e s3itches Cisco t6m o CDP ativado em todas as portas. 7s in&ormaç)es do CDP s#o enviadas em broadcasts peri5dicos e n#o cripto*ra&ados. Tais in&ormaç)es s#o atuali,adas localmente no banco de dados do CDP de cada dispositivo. Como o CDP é um protocolo de camada 8( as mensa*ens do CDP n#o s#o propa*adas por roteadores. O CDP contém in&ormaç)es sobre o dispositivo( como endereço IP( vers#o do so&t3are IO( plata&orma( recursos e a 9:7' nativa. 4ssas in&ormaç)es podem ser usadas por um invasor para encontrar &ormas de atacar a rede( normalmente na &orma de um ataque de ne*aç#o de serviços -Do/ . 7 &i*ura é uma parte de uma captura 2ireshar; que mostra o conte"do de um pacote CDP. 7 vers#o do so&t3are Cisco IO descoberta via CDP( em particular( permitiria que o invasor determinasse se houve al*uma vulnerabilidade de se*urança espec+&ica para essa vers#o do IO em particular. 7lém disso( como o CDP n#o está autenticado( um invasor pode criar &alsos pacotes CDP e encaminhá!los a um dispositivo Cisco conectado diretamente.
O protocolo Telnet n#o é con&iável e pode ser usado por um invasor para obter acesso remoto a um dispositivo de rede Cisco. 4$istem &erramentas dispon+veis para permitir que um invasor inicie um ataque de deci&raç#o de senha por &orça bruta das linhas vt1 no s3itch. Ataque de força bruta à senha
'a primeira &ase de um ataque de &orça bruta = senha( o invasor usa uma lista de senhas comuns e um pro*rama que tenta estabelecer uma sess#o Telnet usando cada palavra da lista de dicionário. e a senha n#o &or descoberta na primeira &ase( uma se*unda &ase é iniciada. 'a se*unda &ase de um ataque violento( o invasor utili,a um pro*rama que cria combinaç)es sequenciais de caracteres( na tentativa de adivinhar a senha. Depois de um tempo( um ataque de &orça bruta pode deci&rar quase todas as senhas usadas. Para minimi,ar os e&eitos dos ataques de &orça bruta =s senhas( use senhas &ortes e altere!as &requentemente. 0ma senha &orte deve ter uma combinaç#o de letras min"sculas e mai"sculas e deve incluir n"meros e s+mbolos -caracteres especiais/. O acesso =s linhas vt1 também pode ser limitado por meio de uma lista de controle de acesso -7C:/. Ataque de DoS no Telnet
O Telnet também pode ser usado para iniciar um ataque de Do. 4m um ataque de Do no Telnet( o invasor e$plora uma &alha no so&t3are do servidor Telnet em e$ecuç#o no s3itch( tornando o serviço Telnet indispon+vel. 4sse tipo de ataque impede que um administrador acesse remotamente as &unç)es de *erenciamento do s3itch. 4le pode ser combinado com outros ataques diretos na rede como parte de uma tentativa coordenada de impedir o administrador de rede de acessar os dispositivos principais durante a violaç#o. 7s vulnerabilidades no serviço Telnet que permitem a ocorr6ncia de ataques s#o *eralmente abordadas nos patches de se*urança inclu+dos em vers)es mais recentes do Cisco IO. Observação % é boa prática utili,ar o H( em ve, do Telnet( para cone$)es de *erenciamento
remoto.
Práticas recomendadas Prote*er a rede contra ataques requer vi*il>ncia e treinamento. 4stas s#o as práticas recomendadas para prote*er uma rede% •
Desenvolva uma pol+tica de se*urança por escrito para a or*ani,aç#o.
•
?eche serviços e portas n#o usados.
•
0se senhas &ortes e mude!as &requentemente.
•
Controle o acesso &+sico aos dispositivos.
•
•
•
4vite usar sites HTTP padr#o n#o con&iáveis( especialmente em telas de lo*in@ em ve, disso( use o HTTP( que é mais se*uro. ?aça bac;ups e teste os arquivos de bac;up re*ularmente. 4nsine os &uncionários a lidar com ataques de en*enharia social e desenvolva pol+ticas para validar identidades pelo tele&one( e!mail e pessoalmente.
•
Cripto*ra&e e proteja dados con&idenciais com senhas.
•
Implemente hard3are e so&t3are de se*urança( como &ire3alls.
•
Aantenha o so&t3are atuali,ado( instalando patches de se*urança diariamente ou semanalmente( se poss+vel.
4sses métodos s#o apenas um ponto de partida para o *erenciamento de se*urança. 7s or*ani,aç)es devem permanecer sempre atentas para se prote*erem contra ameaças em constante evoluç#o. 0se &erramentas de se*urança de rede para medir a vulnerabilidade da rede atual.
Ferramentas e teste de seurança de rede 7s &erramentas de se*urança de rede ajudam o administrador de rede a testar os pontos &racos da rede. 7l*umas &erramentas permitem que o administrador assuma a &unç#o de um invasor. 0sando uma dessas &erramentas( o administrador pode iniciar um ataque contra a rede e e$aminar os resultados a &im de determinar como de&inir pol+ticas de se*urança para atenuar esses tipos de ataques. O e$ame de se*urança e o teste de penetraç#o s#o duas &unç)es básicas e$ecutadas pelas &erramentas de se*urança de rede. 7s técnicas de teste de se*urança de rede podem ser iniciadas manualmente pelo administrador. Outros testes s#o altamente automati,ados. Independentemente do tipo de teste( a equipe que con&i*ura e reali,a testes de se*urança deve ter amplo conhecimento de rede e se*urança. Isso inclui e$peri6ncia nas se*uintes áreas% •
e*urança de rede
•
?ire3alls
•
istemas de prevenç#o contra invas#o
•
istemas operacionais
•
Pro*ramaç#o
•
Protocolos de rede -como o TCPIP/
Auditorias de segurança de rede
7s &erramentas de se*urança de rede permitem que um administrador de rede &aça uma auditoria de se*urança em uma rede. 7 auditoria de se*urança mostrará os tipos de in&ormaç#o que um atacante pode coletar com um simples monitoramento do trá&e*o de rede. Por e$emplo( &erramentas de se*urança de rede permitem que um administrador inunde a tabela de endereços A7C com endereços A7C &ict+cios. 4m se*uida( ele &a, uma auditoria nas portas do s3itch enquanto este inicia a inundaç#o do trá&e*o em todas as portas. Durante a auditoria( os mapeamentos de endereços A7C le*+timos se tornam obsoletos e s#o substitu+dos pelos mapeamentos &ict+cios de endereço A7C. Isso determina quais portas est#o comprometidas e con&i*uradas inadequadamente para evitar esse tipo de ataque. O tempo é um &ator importante na e$ecuç#o de uma auditoria bem!sucedida. Di&erentes s3itches suportam n"meros variáveis de endereços A7C em sua tabela A7C. Pode ser di&+cil determinar a quantidade ideal de endereços A7C &alsi&icados para enviar ao s3itch. O administrador de rede também precisa lidar com o per+odo de obsolesc6ncia da tabela de endereços A7C. e os endereços A7C &alsi&icados começarem a &icar obsoletos durante uma auditoria de rede( os endereços A7C válidos começar#o a preencher a tabela de endereços A7C e limitar#o os dados a serem monitorados pela &erramenta de auditoria da rede. 7s &erramentas de se*urança de rede podem ser utili,adas para o teste de penetraç#o em uma rede. O teste de penetraç#o é um ataque simulado contra a rede para determinar o qu#o vulnerável ela estaria em um ataque real. 4le permite que um administrador de rede identi&ique pontos &racos na con&i*uraç#o de dispositivos de rede e &aça as alteraç)es necessárias para tornar os dispositivos mais resilientes aos ataques. Há diversos ataques que um administrador pode reali,ar( e a maioria dos conjuntos de &erramentas é &ornecida com e$tensa documentaç#o( que detalham a sinta$e necessária para e$ecutar o ataque desejado. Como os testes de penetraç#o podem ter e&eitos adversos na rede( eles s#o e$ecutados sob condiç)es e$tremamente controladas e se*uem os procedimentos detalhados documentados em uma abran*ente pol+tica de se*urança de rede. 0ma rede o&&!line de teste que imite a rede de produç#o real é a ideal. 7 rede de teste pode ser usada pela equipe de rede para reali,ar testes de penetraç#o da rede.
Proteja as portas não utilizadas
Desative as portas não utili!adas
0m método simples aplicado por muitos administradores para prote*er a rede contra acesso n#o autori,ado consiste em desativar todas as portas n#o utili,adas em um s3itch. Por e$emplo( se um s3itch Catal1st 8B tem 8E portas e há tr6s cone$)es ?ast 4thernet em uso( é boa prática desativar as 8F portas n#o utili,adas. 'ave*ue até cada porta n#o utili,ada e emita o comando shutdo"n do Cisco IO. Caso seja necessário reativar uma porta( use o comando no shutdo"n para ativá!la. 7 &i*ura mostra a sa+da parcial para esta con&i*uraç#o. G simples &a,er alteraç)es na con&i*uraç#o de várias portas em um s3itch. Para con&i*urar um intervalo de portas( use o comando interface rane. 3itch-con&i*/ interface rane type module/first-number – last-number O processo de ativaç#o e desativaç#o de portas pode consumir muito tempo( mas aumenta a se*urança na rede e compensa o es&orço.
Rastreamento de DHCP
O rastreamento de DHCP -DHCP noopin*/ é um recurso do Cisco Catal1st que determina quais portas de s3itch podem responder =s solicitaç)es de DHCP. 7s portas s#o identi&icadas como con&iáveis e n#o con&iáveis. 7s portas con&iáveis podem ser a ori*em de todas as mensa*ens DHCP( incluindo pacotes de o&erta DHCP e de con&irmaç#o DHCP@ e as portas n#o con&iáveis s5 podem ser ori*em de solicitaç)es. 7s portas con&iáveis hospedam um servidor DHCP ou podem ser um uplin; ao servidor DHCP. e um dispositivo invasor em uma porta n#o con&iável tenta enviar um pacote de o&erta DHCP para a rede( a porta é desativada. 4sse recurso pode ser combinado com opç)es de DHCP em que as in&ormaç)es de s3itch( como o ID da porta da solicitaç#o de DHCP( podem ser inseridas no pacote de solicitaç#o de DHCP. Como mostrado nas &i*uras F e 8( as portas n#o con&iáveis s#o aquelas n#o con&i*uradas e$plicitamente como con&iáveis. 0ma tabela de associaç)es DHCP é criada para portas n#o con&iáveis. Cada entrada contém um endereço A7C cliente( endereço IP( tempo de concess#o( tipo de vinculaç#o( n"mero de 9:7' e o ID da porta re*istrada quando os clientes &a,em solicitaç)es de DHCP. 7 tabela é ent#o utili,ada para &iltrar o trá&e*o DHCP subsequente. De uma perspectiva de rastreamento do DHCP( as portas de acesso n#o con&iáveis n#o devem enviar nenhuma mensa*em do servidor DHCP. 4ssas etapas ilustram como con&i*urar o rastreamento de DHCP em um s3itch Catal1st 8B% #tapa $% 7tive o rastreamento de DHCP usando o comando do modo de con&i*uraç#o *lobal ip dhcp snoopin. #tapa &% 7tive o rastreamento de DHCP para 9:7's espec+&icas usando o comando ip dhcp snoopin vlan number . #tapa '% De&ina as portas como con&iáveis no n+vel da inter&ace( de&inindo as portas con&iáveis por meio do comando ip dhcp snoopin trust . #tapa (% -Opcional/ :imite a ta$a de trans&er6ncia na qual um invasor poderá enviar
continuamente solicitaç)es &alsas de DHCP através das portas n#o con&iáveis para o servidor DHCP( usando o comando ip dhcp snoopin limit rate rate.
Seurança de porta) Operação Seurança de porta
Todas as portas do s3itch -inter&aces/ devem ser prote*idas antes que o s3itch seja implantado para uso em produç#o. 0ma maneira de prote*er as portas consiste em implementar um recurso chamado se*urança de portas. 7 se*urança de portas limita o n"mero de endereços A7C válidos permitidos em uma porta. Os endereços A7C de dispositivos le*+timos t6m acesso permitido( enquanto outros endereços A7C s#o recusados. 7 se*urança de portas pode ser con&i*urada para permitir um ou mais endereços A7C. e o n"mero de endereços A7C permitidos na porta estiver limitado a um( apenas o dispositivo com o endereço A7C espec+&ico poderá se conectar com 6$ito = porta. e uma porta &or con&i*urada como uma porta se*ura e o n"mero má$imo de endereços A7C &or alcançado( todas as tentativas adicionais de se conectar por endereços A7C desconhecidos ir#o *erar uma violaç#o de se*urança. 7 &i*ura F resume esses pontos. Tipos de endereço *A+ proteidos
Há muitas &ormas de con&i*urar a se*urança de porta. O tipo de endereço se*uro é baseado na con&i*uraç#o e inclui% •
#ndereços *A+ seuros estáticos ! endereços A7C con&i*urados manualmente em uma porta por meio do comando do modo de con&i*uraç#o de inter&aces s"itchport port,securit- mac,address mac-address. Os endereços A7C con&i*urados dessa &orma
s#o arma,enados na tabela de endereços e adicionados = con&i*uraç#o em e$ecuç#o no s3itch. •
#ndereços *A+ seuros din.micos ! endereços A7C aprendidos dinamicamente e
arma,enados apenas na tabela de endereços. Os endereços A7C con&i*urados dessa &orma s#o removidos quando o s3itch é reiniciali,ado. •
#ndereços *A+ com seurança stic/- ! endereços A7C que podem ser aprendidos
dinamicamente ou con&i*urados manualmente e( depois( arma,enados na tabela de endereços e adicionados = con&i*uraç#o de e$ecuç#o. #ndereços *A+ com seurança stic/-
Para con&i*urar uma inter&ace no intuito de converter endereços A7C aprendidos dinamicamente em endereços A7C com se*urança stic;1 e acrescentá!los = con&i*uraç#o atual( voc6 deve ativar a aprendi,a*em stic;1. 7 aprendi,a*em stic;1 é ativada em uma inter&ace por meio do comando do modo de con&i*uraç#o da inter&ace s"itchport port,securit- mac,address stic/- . uando esse comando &or inserido( o s3itch converterá todos os endereços A7C aprendidos dinamicamente !inclusive aqueles aprendidos dinamicamente antes da ativaç#o da aprendi,a*em
stic;1 ! em endereços A7C com se*urança stic;1. Todos os endereços A7C com se*urança stic;1 s#o adicionados = tabela de endereços e = con&i*uraç#o em e$ecuç#o. 4ndereços A7C com se*urança stic;1 também podem ser de&inidos manualmente. uando os endereços A7C com se*urança stic;1 s#o con&i*urados por meio do comando do modo de con&i*uraç#o da inter&ace s"itchport port,securit- mac,address stic/- mac-address( todos os endereços especi&icados s#o adicionados = tabela de endereços e = con&i*uraç#o em e$ecuç#o. e os endereços A7C com se*urança stic;1 &orem salvos no arquivo de con&i*uraç#o de iniciali,aç#o( quando o s3itch &or reiniciado ou a inter&ace &or desli*ada( a inter&ace n#o precisará reaprender os endereços. e os endereços com se*urança stic;1 n#o &orem salvos( eles ser#o perdidos. e a aprendi,a*em stic;1 &or desativada por meio do comando do modo de con&i*uraç#o de inter&ace no s"itchport port,securit- mac,address stic/- ( os endereços A7C com se*urança stic;1 permanecer#o na tabela de endereços( mas ser#o removidos da con&i*uraç#o em e$ecuç#o. 7 &i*ura 8 mostra as caracter+sticas dos endereços A7C com se*urança stic;1. Observe que o recurso de se*urança de porta n#o &uncionará até que a se*urança de porta seja ativada na inter&ace por meio do comando s"itchport port,securit- .
Seurança de porta) *odos de violação 7 violaç#o de se*urança ocorre quando e$iste uma destas situaç)es% •
•
O n"mero má$imo de endereços A7C se*uros &oi adicionado = tabela de endereços para uma inter&ace e uma estaç#o cujo endereço A7C n#o esteja na tabela de endereços tenta acessar a inter&ace. 0m endereço aprendido ou con&i*urado em uma inter&ace se*ura é visto em outra inter&ace se*ura na mesma 9:7'.
0ma inter&ace pode ser con&i*urada para um dos tr6s modos de violaç#o( especi&icando a aç#o a ser e$ecutada se uma violaç#o ocorrer. 7 &i*ura apresenta os tipos de trá&e*o de dados que s#o enviados quando um dos se*uintes modos de violaç#o de se*urança é con&i*urado em uma porta% •
Protect 0Proteido1 ! quando o n"mero de endereços A7C se*uros atin*e o limite
permitido na porta( os pacotes com endereços ori*em desconhecidos s#o descartados até que um n"mero su&iciente de endereços A7C se*uros seja removido ou o n"mero má$imo dos endereços permitidos seja aumentado. '#o há noti&icaç)es de ocorr6ncia de violaç)es de se*urança. •
2estrict 02estrito1 ! quando o n"mero de endereços A7C se*uros atin*e o limite
permitido na porta( os pacotes com endereços ori*em desconhecidos s#o descartados até que um n"mero su&iciente de endereços A7C se*uros seja removido ou o n"mero má$imo dos endereços permitidos seja aumentado. 'este modo( há uma noti&icaç#o quando ocorre uma violaç#o de se*urança. •
Shutdo"n 0Desliado1 ! neste modo -padr#o/( uma violaç#o de se*urança de porta &a,
com que a inter&ace se torne imediatamente desativada por erro e desativa o :4D de porta. 4le incrementa o contador de violaç#o. uando uma porta se*ura está no estado desativada por erro -err!disabled state/( ela pode ser recuperada por meio da inserç#o dos comandos do modo de con&i*uraç#o de inter&ace shutdo"n e no shutdo"n. Para alterar o modo de violaç#o em uma porta do s3itch( use o comando do modo de con&i*uraç#o de inter&ace s"itchport port,securit- violation Jprotect K restrict K shutdo"nL.
egurança de porta: Confguração
7 &i*ura F resume as con&i*uraç)es de se*urança de porta padr#o em um 3itch Cisco Catal1st. 7 &i*ura 8 mostra os comandos C:I do Cisco IO necessários para con&i*urar a se*urança de porta ?ast 4thernet ?aFM no s3itch F. Observe que o e$emplo n#o especi&ica um modo de violaç#o. 'este e$emplo( o modo de violaç#o é shutdo3n -modo padr#o/. 7 &i*ura N mostra como ativar endereços A7C com se*urança stic;1 para a se*urança de porta ?ast 4thernet FB do s3itch F. Con&orme mencionamos anteriormente( o n"mero má$imo de endereços A7C se*uros pode ser con&i*urado manualmente. 'este e$emplo( a sinta$e de comando do Cisco IO é usada para de&inir o n"mero má$imo de endereços A7C como F para a porta FB. O modo de violaç#o está de&inido como shutdo3n( por padr#o.
egurança de porta: !erifcação
3erifique a seurança de porta
7p5s con&i*urar a se*urança de porta em um s3itch( veri&ique cada inter&ace para ver se a se*urança de porta está con&i*urada corretamente e con&ira se os endereços A7C estáticos est#o con&i*urados corretamente. 3erifique as confiuraç4es de seurança de porta
Para e$ibir as con&i*uraç)es de se*urança de porta do s3itch ou da inter&ace especi&icada( use o comando sho" port,securit- interface interface-id % 7 sa+da da con&i*uraç#o de se*urança din>mica de porta é mostrada na &i*ura F. Por padr#o( há um endereço A7C ativado nessa porta. 7 sa+da mostrada na &i*ura 8 mostra os valores das con&i*uraç)es de se*urança stic;1 da porta. O n"mero má$imo de endereços é de&inido como F( con&orme con&i*urado. Observação % o endereço A7C é identi&icado como um A7C stic;1.
Todos os endereços A7C com se*urança stic;1 s#o adicionados = tabela de endereços A7C e = con&i*uraç#o em e$ecuç#o. Como mostrado na &i*ura N( o A7C stic;1 do PC 8 &oi adicionado = con&i*uraç#o em e$ecuç#o do F. 3erifique os endereços *A+ seuros
Para e$ibir todos os endereços A7C se*uros con&i*urados em todas as inter&aces do s3itch ou em uma inter&ace especi&icada com in&ormaç)es obsoletas sobre cada endereço( use o comando sho" port,securit- address . Como mostrado na &i*ura E( os endereços A7C se*uros est#o listados junto com os tipos.
Portas em estado desativado por erro
uando uma porta é con&i*urada com se*urança de porta( uma violaç#o pode &a,er com que ela se torne desativada por erro -err!disabled/. uando uma porta é desativada por erro( ela é e&etivamente desativada e nenhum trá&e*o é enviado para aquela porta ou nela recebido. 0ma série de mensa*ens relativas = se*urança de porta é e$ibida no console -&i*ura F/. Observação % o status do lin; e do protocolo da porta é alterado para inativo.
O :4D de porta mudará para laranja. O comando sho" interfaces identi&ica o status da porta como err,disabled -&i*ura 8/. 7 sa+da do comando sho" port,securit- interface mostra a*ora o status da porta como secure,shutdo"n. Como o modo de violaç#o de se*urança de porta está de&inido como shutdo3n( a porta com violaç#o de se*urança entra no estado desativada por erro. O administrador deve determinar o que causou a violaç#o de se*urança antes de reativar a porta. e um dispositivo n#o autori,ado estiver conectado a uma porta se*ura( a porta n#o será reativada até que as ameaças = se*urança sejam eliminadas. Para reativar a porta( use o comando do modo de con&i*uraç#o de inter&ace shutdo"n -&i*ura N/. 4m se*uida( use o comando de con&i*uraç#o de inter&ace no shutdo"n para tornar a porta operacional.
5et"or/ Time Protocol 05TP1 G importante ter o horário correto nas redes. Timestamps corretos s#o necessários para rastrear com precis#o os eventos da rede( tais como as violaç)es de se*urança. 7lém disso( a sincroni,aç#o do rel5*io é &undamental para a interpretaç#o correta dos eventos nos arquivos de dados s1slo*( bem como para os certi&icados di*itais. O 'et3or; Time Protocol -'TP/ é um protocolo usado para sincroni,ar os rel5*ios dos sistemas de computador nas redes de dados comutadas por pacotes e de lat6ncia variável. O 'TP permite que os dispositivos de rede sincroni,em as con&i*uraç)es de hora com um servidor 'TP. 0m *rupo de clientes 'TP que obtém in&ormaç)es de data e hora de uma "nica &onte terá con&i*uraç)es de hora mais consistentes. 0m método con&iável de a*endar o rel5*io da rede consiste na implementaç#o( pelos pr5prios administradores de rede( de rel5*ios mestres privados( sincroni,ados ao 0TC e usando o satélite ou rádio. 'o entanto( se os administradores de rede n#o desejarem e$ecutar seus pr5prios rel5*ios mestres devido ao custo ou a outros motivos( outras &ontes de rel5*io est#o dispon+veis na Internet. O 'TP pode obter o horário correto de uma &onte de hora interna ou e$terna que inclui o se*uinte% •
•
•
P ou rel5*io atQmico
0m dispositivo de rede pode ser con&i*urado como um servidor 'TP ou um cliente 'TP. Para permitir que o rel5*io de so&t3are seja sincroni,ado por um servidor de horário 'TP( use o comando ntp server ip-address no modo de con&i*uraç#o *lobal. 0m e$emplo de con&i*uraç#o é e$ibido na &i*ura F. O roteador <8 está con&i*urado como um cliente 'TP( enquanto o roteador
2esumo Depois que um s3itch Cisco é li*ado( ele passa pela se*uinte sequ6ncia de iniciali,aç#o% F. Primeiro( o s3itch carre*a um pro*rama po3er!on sel&!test -POT/ arma,enado na metros para evitar erros. 7 se*urança se*urança de porta do s3itch é um requisito para impedir ataques como inundaç#o de endereços A7C e &alsi&icaç#o de DHCP. 7s portas do s3itch devem ser con&i*uradas para permitir somente a entrada entrada de quadros com endereços endereços A7C ori*em espec+&icos. espec+&icos. Os quadros quadros de
endereços A7C ori*em desconhecidos devem ser recusados e &a,er com que a porta seja &echada para impedir novos ataques. 7 se*urança de porta é apenas uma de&esa contra vulnerabilidades da rede. Há F práticas recomendadas que representam a melhor se*urança de uma rede% •
Desenvolva uma pol+tica de se*urança por escrito para a or*ani,aç#o.
•
?eche serviços e portas n#o usados.
•
0se senhas &ortes e mude!as &requentemente.
•
Controle o acesso &+sico aos dispositivos.
•
•
•
4vite usar sites HTTP padr#o n#o con&iáveis( especialmente para telas de lo*in. 4m ve, disso( use o HTTP mais se*uro. ?aça bac;ups e teste os arquivos de bac;up re*ularmente. 4nsine os &uncionários a lidar com ataques de en*enharia social e desenvolva pol+ticas para validar identidades pelo tele&one( e!mail e pessoalmente.
•
Cripto*ra&e dados con&idenciais e proteja!os com uma senha &orte.
•
Implemente hard3are e so&t3are de se*urança( como &ire3alls.
•
Aantenha o so&t3are IO atuali,ado( instalando patches de se*urança diariamente ou semanalmente( se poss+vel.
4sses métodos s#o apenas um ponto de partida para o *erenciamento de se*urança. 7s or*ani,aç)es devem permanecer sempre atentas para se prote*erem contra ameaças em constante evoluç#o.
