Configurando Segurança de Porta em um Switch Cisco

Um switch que não fornece a segurança de porta permite a um invasor anexar um sistema a uma porta não utilizada, habilitada, e executar a coleta de informações ou ataques. Assim, um invasor poderia coletar tráfego que contivesse nomes de usuário, senhas ou informações de configuração sobre os sistemas na rede.

Todas as portas de switch ou interfaces devem ser protegidas antes da implantação do switch. A segurança de porta limita o número de endereços MAC válidos permitidos em uma porta. Quando você atribui endereços MAC seguros a uma porta segura, a porta não encaminha pacotes com endereços de origem fora do grupo de endereços definidos.

Configurando a segurança da porta 

Implemente a segurança em todas as portas de switch:

·                     Especifique um grupo de endereços MAC válidos permitidos em uma porta.

·                     Permita apenas a um endereço MAC acessar a porta.

·                     Especifique que a porta será desativada automaticamente se forem detectados endereços MAC não autorizados.

As portas em um switch Cisco são pré-configuradas com padrões. A figura abaixo resume a configuração da segurança de porta padrão.

 Imagem retirada do material CCNA Exploration V4.0

Tipos de endereço MAC seguro 

Os endereços MAC seguros são dos seguintes tipos:

·                     Endereços MAC seguros estáticos

·                     Endereços MAC seguros dinâmicos

·                     Endereços MAC seguros fixos (sticky)

 Endereços MAC fixos (sticky) seguros têm estas características:

·                      Endereços MAC aprendidos dinamicamente, convertidos em seguros fixos (sticky), armazenados na configuração de execução.

·                     Desabilitar a aprendizagem fixa remove endereços MAC da configuração de execução, mas não da tabela MAC.

·                     Os endereços MAC seguros fixos (sticky) são perdidos quando o switch é reiniciado.

·                     Salvar endereços MAC seguros fixos (sticky) no arquivo de configuração de inicialização para que o switch os tenha quando for reiniciado.

·                     Desabilitar a aprendizagem fixa converte endereços MAC fixos em endereços seguros dinâmicos e os remove da configuração de execução.

Configurar segurança de porta estática 

Há várias formas de configurar a segurança de porta. Esta é uma descrição das formas como é possível configurar a segurança de porta em um switch Cisco:

·                     Endereços MAC seguros estáticos: os endereços MAC são configurados manualmente, usando o comando de configuração da interface switchport port-security mac-address mac-address. Os endereços MAC configurados dessa forma são armazenados na tabela de endereços, sendo adicionados à configuração de execução no switch. 

Configurar segurança de porta dinâmica

Os endereços MAC são aprendidos dinamicamente e armazenados apenas na tabela de endereços. Os endereços MAC configurados dessa forma são removidos quando o switch reinicia. 

A figura abaixo mostra os comandos CLI do Cisco IOS necessários à configuração da segurança de porta na porta Fast Ethernet F0/18 do switch S1. Observe que o exemplo não especifica um modo de violação. Neste exemplo, o modo de violação é definido como shutdown.

  Imagem retirada do material CCNA Exploration V4.0

Configurar segurança de porta fixa 

É possível configurar uma porta para saber endereços MAC dinamicamente e salvar esses endereços MAC na configuração de execução.Quando você habilita a aprendizagem fixa em uma interface usando o comando de configuração da interface switchport port-security mac-address sticky, a interface converte todos os endereços MAC seguros dinâmicos, inclusive os que foram aprendidos dinamicamente antes da habilitação da aprendizagem fixa, para fixar endereços MAC seguros e adiciona todos os endereços MAC seguros à configuração de execução.  

Se você desabilitar a aprendizagem fixa usando o comando de configuração da interface no switchport port-security mac-address sticky, os endereços MAC seguros fixos continuarão parte da tabela de endereços, mas serão removidos da configuração de execução.

Quando você configura endereços MAC seguros fixos usando o comando de configuração da interface switchport port-security mac-address sticky mac-address, esses endereços serão adicionados à tabela de endereços e à configuração de execução. Se a segurança de porta for desabilitada, os endereços MAC seguros fixos permanecerão na configuração de execução. 

Se você salvar os endereços MAC seguros fixos no arquivo de configuração, quando o switch for reiniciado ou a interface for desligada, a interface não precisará reaprender esses endereços. Se você não salvar os endereços seguros fixos, eles serão perdidos. 

A figura abaixo mostra como habilitar a segurança de porta fixa na porta Fast Ethernet 0/18 do switch S1. Conforme dito antes, é possível configurar o número máximo de endereços MAC seguros. Neste exemplo, você pode ver a sintaxe de comando do Cisco IOS usada para definir o número máximo de endereços MAC como 50. Por padrão, o modo de violação é definido como shutdown.

 Imagem retirada do material CCNA Exploration V4.0

Se você desabilitar a aprendizagem fixa e digitar o comando de configuração da interface switchport port-security mac-address sticky mac-address, uma mensagem de erro será exibida, e o endereço MAC seguro fixo não será adicionado à configuração de execução. 

Modos de violação da segurança

É possível configurar a interface para um dos três modos de violação, com base na ação a ser executada em caso de uma violação.  

Ocorrem violações de segurança nestas situações:

·                     Uma estação cujo endereço MAC não está na tabela de endereços tenta acessar a interface quando a tabela está cheia.

·                     Um endereço estpa sendo usado em duas interfaces seguras na mesma VLAN.

Entre os modos de violação de segurança estão: proteger (protect), restringir (restrict) e desabilitar (shutdown).

A figura apresenta que tipos de tráfego de dados são encaminhados quando um dos seguintes modos de violação de segurança é configurado em uma porta: 

  Imagem retirada do material CCNA Exploration V4.0

proteger: quando o número de endereços MAC seguros atinge o limite permitido na porta, pacotes com endereços de origem desconhecidos são ignorados até que você remova um número suficiente de endereços MAC seguros ou aumente o número máximo de endereços permitidos. Você não é notificado de que houve uma violação de segurança.

restringir: quando o número de endereços MAC seguros atinge o limite permitido na porta, pacotes com endereços de origem desconhecidos são ignorados até que você remova um número suficiente de endereços MAC seguros ou aumente o número máximo de endereços permitidos. Nesse modo, você é notificado de que houve uma violação de segurança. Especificamente, uma interceptação SNMP é enviada, uma mensagem syslog é registrada em log e o contador de violação é incrementado. 

desligamento: nesse modo, uma violação de segurança de porta faz com que a interface seja desabilitada para erro imediatamente e apaga o LED da porta. Ele também envia uma interceptação SNMP, registra em log uma mensagem syslog e incrementa o contador de violação. Quando uma porta segura estiver no estado desabilitado para erro, será possível tirá-la desse estado, digitando-se os comandos de configuração da interface shutdown e no shutdown. Este é o modo padrão.

O Brasil está preparado para enfrentar os crimes digitais?

Nos Estados Unidos, existe um site criado em parceria entre o FBI (Bureau de Investigação Federal, em tradução direta) e a NW3C (uma organização voltada à investigação de crimes "do colarinho branco") chamado de "Internet Crime Complaint Center", ou, simplesmente, IC3. O site tem por objetivo registrar denúncias relacionadas a crimes ocorridos na internet.

Isso nos levanta uma questão: e aqui no Brasil? Para onde corremos quando nossa integridade online é lesada por alguma armação criminosa? Muita gente não sabe o que fazer a partir do momento em que se sofre alguma injúria online. Para quem ou onde reclamamos?

De acordo com José Mariano, delegado da Polícia Civil, o problema é muito mais cultural do que de falta de recursos. O especialista diz que, no caso de alguém sofrer ação criminosa via internet - por exemplo, invadirem uma conta no Facebook e denegrirem o usuário a ponto de causar-lhe transtorno - uma delegacia de polícia comum pode e deve registrar um Boletim de Ocorrência, para fins de documentação do caso. Entretanto, Mariano salienta que o grande problema no Brasil é que não há uma previsão exata dos crimes digitais na Constituição Federal.

Em outras palavras, os crimes são, sim, julgados - mas da mesma forma que os crimes comuns: "se eu invadir seu computador e deletar tudo dele, isso seria um crime de dano, com pena máxima de pagamento de algumas cestas básicas. Se eu invadir a Eletropaulo e desligar tudo dela, fazendo-a perder controle de contas, gastos de energia e afins, é o mesmo crime de dano, com a mesma pena. O mesmo vale para o inverso, ou seja, delitos menores podem ter penas pesadas por não haver discernimento entre o físico e o online", completa.

O que é mais necessário, na opinião do delegado, é uma educação completa no uso da informática e de sistemas online. Na visão dele, o brasileiro sofre da dificuldade de ter a evolução tecnológica "empurrada" - somos obrigados a acompanhar, mas não necessariamente a dominamos. É nisso que reside a chave para invasões e crimes digitais: "é a mesma coisa de um pai pegar seu filho mais novo pela mão e ensiná-lo a não andar com más companhias, a evitar as drogas e usar camisinha. O governo tem que pegar seu povo pela mão e ensiná-lo a atualizar antivírus, a não abrir e-mails desconhecidos, a suspeitar dessas ofertas imperdíveis ou de promessas de ganhos aparentemente miraculosos".

Mas e as autoridades? Elas estão preparadas para a evolução tecnológica que o brasileiro comum é "obrigado" a encarar? Mariano nos mostra um quadro levemente preocupante, uma vez que "tem especialistas que estudam e conhecem [a cultura de crimes digitais], mas eles fazem isso por conta própria. Não existe suporte, por exemplo, na formação acadêmica de um jurista especializado emcibercrimes. Todo o trabalho de investigação nessa área é 'artesanal'".

Configurando SSH em equipamentos CISCO

Para habilitar o SSH em um roteador ou Switch Cisco você vai precisar de uma versão de IOS que suporte SSH.

Passo 1: Certifique-se de que o roteador tem um hostname habilitado.  

Router(config)# hostname Cisco-router

Cisco-router(config)#

Passo 2: Configure um nome de domínio no seu roteador usando o comando ip domain-name.  

Cisco-router(config)# ip domain-name segnetinfo.com.br

Cisco-router(config)#

Passo 3: Crie uma chave de criptografia RSA para o roteador para encriptar a autenticação e os dados. Certifique-se que o módulo da chave seja de pelo menos 768 bits.

Cisco-router(config)# crypto key generate rsa

O nome para as chaves será: Cisco-router.segnetinfo.com.br

Escolha o tamanho do módulo da chave na faixa de 360 à 2048 para chaves de propósito geral. Escolhendo um múdulo mais alto que 512 leva alguns minutos.

How many bits in the modulus [512]: 768% Generating 768 bit RSA keys …[OK]

Cisco-Router(config)#

Passo 4: Para saber qual versão de SSH, você pode usar o comando "show ip ssh" 

Cisco-router#sh ip ssh

SSH Enabled - version 1.99

Authentication timeout: 120 secs; Authentication retries: 3

Uma versão 1.99 significa que você está com SSH versão 2 e versão 1.5 significa que você está com a versão 1 do SSH 

Passo 5(opcional): Você pode modificar alguns atributos do SSH como o time-out da sessão e o número de re-tentativas

Cisco-router(config)# ip ssh time-out 30

Cisco-router(config)# ip ssh authentication-retries x

Passo 6: Configure o nome do usuário e senha para acesso ao dispositivo Cisco através de SSH. Vamos agora criar duas contas locais no roteador. 

Cisco-router(config)# username admin priv 15 password cisco

Cisco-router(config)# username netsecurity priv 7 password cisco

Passo 7: O usuário admin terá nível de acesso 15 (superusuário). O usuário netsecurity terá o nível 7 (moderado). Para habilitar a criptografia das senhas use os seguintes comandos.

Cisco-router(config)# username admin priv 15 secret cisco

Cisco-router(config)# username netsecurity priv 7 secret cisco

Passo 8: Vamos,  agora, configurar o SSH para acesso Telnet ao roteador nas linhas VTY.

Cisco-router(config)# line vty 0 4

Cisco-router(config-line)# login local

Cisco-router(config-line)# transport input ssh

Neste momento você já pode usar um cliente SSH na linha de comando do Linux ou o Putty no Windows para fazer acesso ao roteador. Lembre-se que a porta TCP do SSH é a 22 e não a 23 usada no Telnet.

Desafio sumarização, vlans, eigrp

Conforme cenário apresentado abaixo, configurar as vlans no SW_SP e no SW_RJ configurar interfaces como modo acesso, configurar as subinterfaces no router, sumarizar os endereços, configurar EIGRP e executar a sumarização manual nas interfaces. 


Configurar também:

• Senhas nos routers e switches
• Acesso a telnet Routers
• Description nas interfaces

Download arquivo lab: http://www.4shared.com/file/cIq5YJoU/sum_dot1q_eigrp_puro.html

Conheça o PacketFence

PacketFence é um sistema livre e open source de controle de acesso de rede (NAC). Ele pode ser utilizado para efetivamente proteger redes – desde pequenas à grandes redes heterogêneas. PacketFence foi implantado em ambientes de produção, onde há milhares de usuários envolvidos – em redes sem fio e com fio.

Além disso, PacketFence oferece uma impressionante lista de funcionalidades suportadas. Entre elas, estão registros dos componentes de rede através de um captive portal; isolamento automático (caso queira), de dispositivos indesejáveis, tais como Apple iPod, Sony PlayStation, access points wireless e muito mais;instanting stoping de worms de computador ou propagação de vírus.

Há também outros recursos interessantes como bloqueio de ataques a servidores ou outros componentes de rede, (compliance para computadores presentes na rede de software instalado, configurações específicas, etc). Além disso tudo, PacketFence é uma solução discreta, que trabalha com equipamentos de vários fornecedores (com ou sem fio), tais como Cisco, Nortel, Hewlett-Packard, Enterasys, Accton / Edge-Core, 3Com, D-Link, Intel, Dell e muitas outras.

Na versão 2.2, constam recursos de detecção de rede de acesso, usando JavaScript e Kerberos, podendo ser usado também para autenticação. A integração com o FreeRADIUS 2 também foi bastante simplificada e agora é possível modificar as páginas a partir da web interface simplificada dietamente do PacketFence.

Além disso, o suporte para os novos switches 3Com (4200G, E4800G e E5500G no MAC e autenticação 802.1X) e controladores de RF da Symbol Wireless Switches foi adicionado. A configuração do Apache é ajustada automaticamente na inicialização, com base nos recursos do sistema para evitar a degradação de desempenho em cargas de trabalho pesadas. E, finalmente, novos relatórios foram incluídos, tais como “Nodes per SSID” ou “Connection Type”.

Saiba Mais:

[1] Network access control system PacketFence 2.2 released: http://www.net-security.org/secworld.php?id=10975

[2] PacketFence: http://www.packetfence.org/home.html

31 DAYS BEFORE YOUR CCNA EXAM

31 DAYS BEFORE YOUR CCNA EXAM, é um excelente material para revisão de tudo que é abordado na prova 640-802. O livro é segmentado em dias, cada dia aborda um tópico para revisar, os capitulos são curtos e objetivos. Lendo este livro como revisão e fazendo os exercícios, você ficará  mais preparado para o exame, este é apenas um material complementar para estudo não deixem de ler os materiais oficiais.

Download: http://www.4shared.com/document/TQX5Hjgk/CiscoPress31_days_before_your_.html?

Não encaminhe correntes de e-mail

Você é daqueles que abre o seu e-mail e as vezes não sabe de onde recebe tantos e-mails de propagandas e informativos inúteis?

As correntes fizeram muito sucesso no passado.Se oferecia de tudo, com condições especiais e toda a segurança do mundo.

Hoje vivemos na era do email, mas nada mudou, e muitas correntes até pioraram devido ao alcance da Internet porém a maioria das correntes que circulam hoje são boatos e só servem para gerar uma base de dados com endereços válidos para spam. Todos estes e-mails que propagam correntes copiando amigos e parentes são armazenados em uma base de dados válidas e vendidas no mercado para serem feitas malas diretas.

Não encaminhe correntes de email

Além de aumentar o volume de tráfego de email, ao encaminhar uma mensagem de corrente, você poderá estar passando adiante um boato (hoax) — e, além disso, perderá o controle de quem vê seu endereço de email.

Sempre que você inclui seu endereço de email em uma lista ou cria um link para ele, crescem as suas chances de ser vítima de spam.

ITIL: Gerenciamento de Incidentes X Gerenciamento de Problemas

Vamos falar um pouco sobre um assunto que está na vida de muitos profissionais de TI, que apesar de serem parecidos tem focos diferentes, e saber quanto investir de tempo em cada processo pode ser a receita do sucesso na sua empresa: Gerenciamento de Incidentes e Gerenciamento de Problemas. O processo de gerenciamento de incidentes tem o objetivo de restaurar a operação normal de um serviço o mais rápido possível. Este processo tem grande importância para que os Acordos de Nível de Serviço sejam cumpridos. O Gerenciamento de  Problemas tem por objetivo encontrar a causa de um ou mais incidentes de forma a erradicá-los da infra-estrutura, evitando a recorrência dos incidentes e melhorando o atendimento aos Níveis de Serviço. Menos incidente maior disponibilidade.

Vejo que o assunto Gerenciamento de Incidentes é padrão nos Service Desk Brasil afora, o que não vejo a respeito do Gerenciamento de Problemas. A questão custo e ter equipes geralmente enxutas contribuem para isso. Apesar de não se falar muito em gestão de problemas, esta é uma atividade que sempre fizemos. O que há hoje é que tratamos problemas dentro dos incidentes. Ficou confuso? Vou explicar melhor. Tratar problema dentro de incidente é após você restaurar a operação do serviço, deixar o “chamado”, “ticket” ou “incidente” aberto para encontrar a causa do incidente e através deste “chamado” resolver o problema de forma a evitar novos incidentes. O que a ITIL prega é que restaurado o serviço o “Incidente” seja encerrado, e um problema seja aberto, relacionando o ID do “Incidente” com o ID do “Problema” para que seja analisada a causa. Então nós sempre tratamos problemas, apesar de não ter um processo definido certo? Sim. Mas por não existir geralmente um processo de G. de Problemas definido e separado de Incidentes, deixamos de colher informações importantes e melhorar nossa tomada de decisão. Tratar incidentes e problemas no mesmo “chamado” faz com que saber o tamanho da fila de incidentes e problemas fique “impossível”. Saber quantos incidentes e quantos incidentes que “viraram” problemas os atendentes tem na fila também. Tirar um relatório de tempo médio de resolução dos incidentes então? Fica totalmente distorcido.

Qual a solução?

A solução é separar de fato os processos de gestão de incidentes e gestão de problemas. A equipe a ser utilizada pode ser a mesma, mesmo que isto não seja o recomendado pela ITIL. A solução é que sua ferramenta de Service Desk permita que Incidentes e Problemas sejam tratados separadamente, relacionando somente os IDs e Itens de Configuração dos Incidentes aos dos Problemas de maneira simples, para poder saber quantos incidentes estão relacionados ao problema, auxiliando assim na definição de prioridade para resolução dos problemas. Se temos os processos de G. Incidente e G. Problema definidos e os resolvedores são os mesmos, quanto tempo devo dedicar para cada processo ? Vou lhe responder a lá ITIL: “O seu negócio deve definir”. Já ouvi em algum lugar que a ITIL sugere que 80% do tempo se resolvam incidentes e 20% problemas, mas nunca encontrei isto na documentação. Com processos separados e com o correr do tempo, você irá conseguir extrair informações importantes e poder analisar quanto tempo dedicar para cada processo.

Implementar o processo de Gerenciamento de Problemas é mais uma questão de organização do que “fazer mais coisas com o mesmo número de atendentes”, isso claro se sua ferramenta de Service Desk permitir de uma maneira simples, senão concordo que isto vira um pesadelo! Os benefícios desta separação para a equipe e para os tomadores de decisão são muitos, desde melhora no moral da equipe, passando aumento da maturidade do Service Desk e informações mais precisas para os tomadores de decisão.

Tirinhas Nube #3

Sumarização de rotas

Bom pessoal, um dos assuntos que eu já tive uma grande dificuldade foi o de sumarização de rotas. Neste tutorial estarei simplificando ao máximo como sumarizar rotas fácilmente, porém como eu sempre digo, para assimilar temos que treinar, busque exercícios na internet e com lápis e papel na mão comece a praticar os cálculos.

A sumarização ou agregação de rotas, permite que protocolos de roteamento dinâmico façam divulgação de varias subnets utilizando apenas uma única supernet.

Mãos a obra!!

Conforme imagem abaixo, com qual máscara poderemos sumarizar todos estes endereços?

Dica: Primeiramente, sempre verificar em qual octeto ocorrem as variações.

 

Neste caso a variação ocorre no 3º octeto.

O que temos que fazer é simples. Deveremos transformar as redes em binário e comparar até onde os  bits permanecem iguais.

Podemos notar na cor vermelha que os bits permaneceram iguais até o 21º bit , sendo assim o CIDR será /21 (255.255.248.0).

O endereço que irá sumarizar toda a nossa rede será 172.16.8.0/21.

Se alguém tiver dúvidas fique à vontade para perguntar!

Configurando DHCP no roteador (CISCO)

Roteadores Cisco vem com as funcionalidades DHCP Client, Relay Agent e DHCP Server por padrão, e assim podem ser configurados para fornecer endereços IPs na rede. É fato que um servidor DHCP facilita a administração, uma vez que os usuários recebem endereços automaticamente ao entrar na rede (desde que tenham um DHCP Client, como o Windows, por exemplo).

Vamos a configuração:

!Entre no modo de configuração global

configure terminal

!Exclua o range de endereço que será usado estáticamente (Gateway – e algum servidor específico)

ip dhcp excluded-address 192.168.1.1 192.168.1.9

!Exclua o o endereço de broadcast

ip dhcp excluded-address 192.168.1.254

! Crie um pool de endereçamento e defina o nome

ip dhcp pool AULA_DHCP

! Especifique os endereços que será distribuídos

network 192.168.1.0 255.255.255.0

! Informe o gateway que os clients deverão receber (o próprio roteador)

default-router 192.168.1.1

! Saindo do modo de configuração DHCP

exit

! Entrar na interface que está conectada ao Switch para configurar o IP

interface fast ethernet 0/0
!Adicionar o ip na interface

ip address 192.168.1.1 255.255.255.0
!Alterando s status da interface para UP (por padrão todas vem em modo shutdown)
no shutdown
!Salvar a configuração
do wr
!ou ctrl z
copy running-config startup-config


!Comando de troubleshooting, mostra os endereços distribuídos
show ip dhcp binding


Link Vídeo: http://www.youtube.com/watch?feature=player_embedded&v=VgnAK7Uj1HE

Até a próxima.