protegendo contra o ataque de inundação do MAC

em um ataque típico de inundação do MAC, um switch é inundado com pacotes, cada um contendo endereços MAC de origem diferentes. A intenção é consumir a memória limitada reservada no switch para armazenar a tabela de tradução de porta MAC address-to-physical.

o resultado desse ataque faz com que o switch entre em um estado chamado modo failoven, no qual todos os pacotes de entrada são transmitidos em todas as portas (como em um hub), em vez de apenas descer a porta correta de acordo com a operação normal. Um usuário malicioso poderia então usar um sniffer de pacotes em execução no modo promíscuo para capturar dados confidenciais de outros computadores, que não seriam acessíveis se o switch estivesse operando normalmente.

Cisco dá-lhe uma oportunidade de configurar a proteção contra este ataque com limitação e / ou hardwiring alguns endereços MAC para uma porta dedicada.

entenda o ataque de inundação do MAC
suponha ter um switch com 3 PC: PC a, PC B e PC C; em situação normal, quando o PC a envia um pacote para o PC B, O PC C não vê o pacote enviado entre o PC A E o PC B.

 mac_learning

isso porque os 3 PC estão conectados a um switch e não a um hub.

sob ataque de inundação MAC, o comportamento do switch é diferente. Durante o ataque de inundação do MAC, o invasor (nesta instância PC C) inunda o switch com pacotes, cada um com endereço MAC de origem diferente.

mac_flooding_attack

Se o Conteúdo de Memória Endereçável (a memória onde os endereços MAC são armazenados) é completo, o switch funciona como um hub; assim, se o computador A envia um pacote para o PC do B, o pacote será recebido para PC C também.

mac_flooding_attack_2

proteger contra o ataque de inundação do MAC
a Cisco implementou um recurso, chamado switchport port-security, para proteger contra esse tipo de ataque. Você pode usar o recurso de segurança da porta para restringir a entrada a uma interface, limitando e identificando endereços MAC das estações permitidas para acessar a porta.

existem três tipos de endereços MAC seguros:

  • endereços MAC seguros estáticos: Estes são configurados manualmente usando o comando switchport port-security mac-address mac-address interface configuration, armazenado na tabela address e adicionado à configuração de execução do switch.
  • endereços MAC seguros dinâmicos: eles são aprendidos dinamicamente, armazenados apenas na tabela de endereços e removidos quando o switch é reiniciado.
  • Sticky secure MAC addresses: estes podem ser aprendidos dinamicamente ou configurados manualmente, armazenados na tabela de endereços e adicionados à configuração em execução. Se esses endereços forem salvos no arquivo de configuração, a interface não precisará reaprender dinamicamente quando o switch for reiniciado.

lembre – se: uma porta segura pode ter de 1 A 132 endereços seguros associados. O número total de endereços seguros disponíveis no switch é 1024.

Quando o número máximo de seguro endereços MAC foram adicionados à tabela de endereços e uma estação cujo endereço MAC não está na tabela de endereços tenta acessar a interface de uma violação de segurança ocorre.

O parâmetro pode reagir a uma violação de segurança de três maneiras diferentes::

  • proteger: Quando o número de seguro endereços MAC atinge o limite permitido na porta, pacotes com origem desconhecida endereços são ignorados até que você remover um número suficiente de seguro de endereços MAC ou aumentar o número de máximo permitido de endereços. Você não é notificado de que ocorreu uma violação de segurança.
  • restringir: Quando o número de endereços MAC seguros atinge o limite permitido na porta, os pacotes com endereços de origem desconhecidos são descartados até que você remova um número suficiente de endereços MAC seguros ou aumente o número máximo de endereços permitidos. Neste modo, você é notificado de que ocorreu uma violação de segurança. Especificamente, uma armadilha SNMP é enviada, uma mensagem syslog é registrada e o contador de violações é incrementado.
  • desligamento: neste modo, uma violação de segurança da porta faz com que a interface se torne imediatamente desativada por erros e desliga o LED da porta. Ele também envia uma armadilha SNMP, registra uma mensagem syslog e incrementa o contador de violações. Quando uma porta segura está no estado de erro desativado, você pode tirá-la desse estado inserindo o comando errdisable recovery cause psecure-violation global configuration ou pode reativá-la manualmente inserindo os comandos shutdown e no shutdown interface configuration. Este é o modo padrão.

exemplo: limite para dez endereços MAC, dois dos quais são estática (AAAA.aaaa.aaaa, bbbb.bbbb.bbbb), em FastEthernet 0/1 Porto. A violação exigida é “restrita”.

Ciscozine# conf tCiscozine(config)# interface fastethernet0/1Ciscozine(config-if)# switchport mode accessCiscozine(config-if)# switchport port-securityCiscozine(config-if)# switchport port-security maximum 10Ciscozine(config-if)# switchport port-security violation restrictCiscozine(config-if)# switchport port-security mac-address aaaa.aaaa.aaaaCiscozine(config-if)# switchport port-security mac-address bbbb.bbbb.bbbb

acesso ao modo switchport: a segurança da porta funciona apenas na porta de acesso, portanto, defina-a.
switchport port-security: habilite a segurança da porta na interface.Porta switchport – segurança máxima 10: define o número máximo de endereços MAC seguros para a interface para 10.Porta switchport-restrição de violação de segurança: define como “restringir” o modo de violação.
switchport port-segurança mac-address aaaa.aaaa.AAAA: Defina o endereço MAC estático; lembre-se de que, se você configurar menos endereços MAC seguros do que o máximo, os endereços MAC restantes serão aprendidos dinamicamente.

comandos úteis para exibir o status e a configuração do controle de tráfego são:

  • mostrar interfaces switchport: exibe o status administrativo e operacional de todas as portas de comutação (não rotativas) ou da porta especificada, incluindo as configurações de bloqueio de porta e proteção de porta.
  • mostrar porta-segurança : Exibe as configurações de segurança da porta para o switch ou para a interface especificada, incluindo o número máximo permitido de endereços MAC seguros para cada interface, o número de endereços MAC seguros na interface, o número de violações de segurança que ocorreram e o modo de violação.
  • mostrar endereço de segurança de porta: exibe todos os endereços MAC seguros configurados em todas as interfaces do switch ou em uma interface especificada com informações antigas para cada endereço.

lembre-se: você pode ativar a segurança da porta em uma interface somente se a porta não estiver configurada como uma delas:

  • portas tronco: se você tentar ativar a segurança da porta em uma porta tronco, uma mensagem de erro será exibida e a segurança da porta não estará ativada. Se você tentar alterar o modo de uma porta segura para o tronco, o modo de porta não será alterado.
  • porta dinâmica: Uma porta no modo dinâmico pode negociar com seu vizinho para se tornar uma porta tronco. Se você tentar ativar a segurança da porta em uma porta dinâmica, uma mensagem de erro será exibida e a segurança da porta não estará ativada. Se você tentar alterar o modo de uma porta segura para dinâmica, o modo de porta não será alterado.
  • porta de acesso dinâmico: se você tentar ativar a segurança da porta em uma porta de acesso dinâmico (VLAN Query Protocol), uma mensagem de erro será exibida e a segurança da porta não estará ativada. Se você tentar alterar uma porta segura para atribuição de VLAN Dinâmica, uma mensagem de erro será exibida e a configuração da VLAN não será alterada.
  • porta EtherChannel: Antes de ativar a segurança da porta na porta, você deve primeiro removê-la do EtherChannel. Se você tentar habilitar a segurança da porta em um EtherChannel ou em uma porta ativa em um EtherChannel, uma mensagem de erro será exibida e a segurança da porta não estará ativada. Se você ativar a segurança da porta em uma porta ainda não ativa de um EtherChannel, a porta não se juntará ao EtherChannel.
  • 802.1 X port: você não pode configurar uma porta 802.1 X como uma porta segura. Se você tentar ativar a segurança da porta em uma porta 802.1 X, uma mensagem de erro será exibida e a segurança da porta não estará ativada. Se você tentar alterar uma porta segura para uma porta 802.1 X, uma mensagem de erro será exibida e as configurações 802.1 X não serão alteradas.
  • Switch Port Analyzer (SPAN) porta de destino: você pode ativar a segurança da porta em uma porta que é uma porta de destino SPAN; no entanto, a segurança da porta é desativada até que a porta seja removida como um destino SPAN. Você pode ativar a segurança da porta em uma porta de origem SPAN.

Write a Comment

O seu endereço de email não será publicado.