Seguretat en ports de switches Cisco

Com assegurar els ports dels switches Cisco

En aquest article veurem com es poden establir certs criteris de seguretat en els ports dels switches de Cisco.

Com en els altres articles d'aquesta sèrie que estem publicant, cal que es tinguin certs coneixements de maneig de dispositius Cisco i del simulador de xarxes Packet Tracer.

La seguretat en els switches comença per l'accés al propi sistema, a través de la consola oa través de les línies virtuals (vty), ja per mar Telnet o SSH, o també per Http. Es pot establir una contrasenya per a l'accés en mode privilegiat i més, l'autenticació es pot portar de manera local, per mitjà d'usuaris configurats en el propi sistema, amb els seus diferents nivells de privilegis, o bé per mitjà d'un servidor extern (com un servidor RADIUS per exemple).

Exemple

Per configurar una clau d'inscripció per consola, de manera que se sol·liciti res més connectar-se a través d'una sessió de terminal:

SO(config)#consola de línia 0
SO(config-line)#contrasenya plaerdemavida

Amb això ja n'hi ha prou.
En alguns sistemes, sobretot en routers, existeix una connexió auxiliar (A) que per poder utilitzar-la s'ha de configurar una contrasenya; està pensada per a connexió a través de mòdem.

Per a la seguretat des del punt de vista de la xarxa, un commutador de Nivell (coberta 2) se solen utilitzar LAN virtuals (VLAN) per separar dominis de difusió.
També hi ha una seguretat a nivell de ports, que va més enllà dels accessos al sistema del switch, amb el qual s'intenta controlar quins equips es connecten a la xarxa. És en aquest aspecte on centrarem l'article.

Assignació estàtica d'adreces

Consisteix en assignar manualment una adreça MAC a un port específic. Es pot comprovar que no es pot connectar aquest equip en un altre port. El contrari sí que es pot.
La sintaxi de la comanda:

SO(config)#mac-address-table static dirección_mac interfície No.  vlan nombre_vlan

Per eliminar l'assignació s'ha d'usar la forma no de la comanda.

SO(config)#cap mac-address-table static dirección_mac interfície No.  vlan nombre_vlan

Cal tenir en compte que la sintaxi mostrada pot variar lleugerament depenent del model de switch o de la versió de IOS.
La comprovació de la configuració es pot fer consultant simplement la taula d'adreces MAC del switch:

sw # show mac-address-table
          Taula de direcció MAC
-------------------------------------------

Vlan Mac Tipus Direcció Ports
----    -----------       --------    -----

   1    0001.6429.C999 ESTÀTICA Fa0 / 7
   1    0002.4aea.d2c1 ESTÀTICA Fa0 / 4
   1    0006.2a85.3b41 ESTÀTICA Fa0 / març
   1    0010.111d.078d ESTÀTICA Fa0 / 2
   1    0040.0b95.0844 ESTÀTICA Fa0 / 8
   1    0060.7074.1915    ESTÀTICA Fa0 / 5
   1    0090.0c2b.8c7a ESTÀTICA Fa0 / juny

Ports assegurances

Es coneix com a port segur a aquell que es configura de manera que pot establir una adreça MAC com a segura, i impedir que la resta d'equips puguin connectar-se a aquest mateix port.
Hi ha diverses maneres de tractar el port segur. La configuració bàsica:

  • Per poder aplicar seguretat cal que el port estigui en mode accés. Cal notar llavors els problemes en el cas de troncals (tractament de les vlan i en concret la vlan nativa)
SO(config-if)#switchport mode access
  • Per establir la seguretat.
SO(config-if)#switchport port-security

Amb el port així configurat, per defecte, la primera MAC que aprengui (la de la primera trama que passi per aquí) serà l'única que es podrà fer servir, fins que es desconnecti, llavors la qual aprengui després es convertirà en segura. Es pot canviar perquè aprengui més d'una com segura (només té sentit en un port connectat a un hub o un altre switch).
Perquè quant aprengui una adreça, no permeti canviar-.

SO(config-if)#switchport port-security mac-address enganxosa

També permet indicar la MAC a mà. Per defecte apaga la interfície si detecta un canvi. Per recuperar la interfície després d'un bloqueig de seguretat cal apagar-la i encendre-altra vegada (executant apagar en aquest port, i no shutdown a continuació).
Altres opcions de port-secuity fill violació i màxim.
Per indicar el nombre d'adreces segures:

SO(config-if)#màxima switchport port-security No.

Per indicar la manera de violació:

SO(config-if)#violació switchport port-security {apagar | protegir | restringir}

Les opcions de violació indiquen el comportament davant d'una violació de la seguretat, aquestes opcions són:

      • apagar, per defecte, bloqueja el port i incrementa el comptador de violacions.
      • protegir, impedeix l'enviament de trames sense bloquejar el port, no incrementa el recompte de violacions.
      • restringir, impedeix l'enviament de trames sense bloquejar el port, incrementa el comptador de violacions i envia avisos per SNMP.

Cal tenir en compte que s'han de produir enviament de trames perquè pugui provocar-se una violació de seguretat al port. Per a això feu un de ping per exemple.
L'opció per defecte, apagar, cal notar que pot ser perjudicial en un port connectat a un altre switch o hub, es podria bloquejar i deixar sense servei als equips “legítims”.
switch cisco photo puerto de switch bloqueado_zpsfxkg07fl.png
Exemple d'un port bloquejat (en vermell) al compartir-. Seria més convenient alguna altra opció de violació.

Comprovacions de funcionament:

Per comprovar l'estat de seguretat de ports.

sw # show port-security

Per veure la configuració detallada d'un port.

sw # show interface port-security interfície
Exemple
Switch # sh port-security
Asseguri Acció Port MaxSecureAddr CurrentAddr SecurityViolation Seguretat
          (Comptar)     (Comptar)          (Comptar)
--------------------------------------------------------------------
Fa0 / 2        1          1                 0             Protegeixi
Fa0 / març        1          1                 0             Protegeixi
Fa0 / 4        1          1                 3            Restringir
Fa0 / 5        1          1                 0            Restringir
Fa0 / juny        3          0                 0            Apagar
Fa0 / 7        1          1                 1            Apagar
Fa0 / 8        3          2                 0            Apagar
----------------------------------------------------------------------

Es poden veure les columnes que mostren el nombre d'adreces segures i les que s'han après i es recorden, així com el comptador de violacions. En les protegir aquest comptador estarà a zero sempre.
Per eliminar les mac segures:

sw # clara port-security tot
sw # clara port-security configurat -> Per Les Estàtiques
sw # clara dinàmica port-security -> paràgraf les Dinàmiques
sw # clara port-security enganxosa -> per a les sticky

També es pot configurar el temps que es conserva la mac apresa:

sw # switchport port-security temps d'envelliment minuts --> al cap del com s'esborra.

Descarrega't aquí un arxiu d'exemple per provar aquestes coses (creat amb Packet Tracer 6)

Seguretat de ports per DHCP:

Una defensa important que podem aplicar en els ports és enfront dels atacs al servei DHCP.

El protocol DHCP treballa a força de difusions, sense autenticació, pel que és susceptible a l'atac per part de servidors DHCP “pirates” que atorguin configuracions falses a clients legítims. Aquests, normalment, no obtindran la configuració necessària per accedir a recursos externs.
El Snooping consisteix en la identificació de ports fiables, als quals se'ls permetrà tant enviar com rebre missatges DHCP.

Amb l'opció confiança, el port es converteix en fiable, permetent el pas d'ofertes de servidors DHCP cap als clients.

SO(config)# ip dhcp Snooping -> per habilitar el servei.
SO(config)#interfície f0 / 1
SO(config-if)#confiança ip dhcp Snooping

Els no fiables només poden enviar sol·licituds, amb el que podran tenir connectats clients DHCP, però no servidors.
DHCP també és molt susceptible als atacs de DoS (Denegació de Servei) a força de llançar múltiples sol·licituds de configuració IP amb adreces MAC inventades, amb l'objectiu d'esgotar totes les IP disponibles al servidor.
Per aquest últim cas, és oportú limitar el nombre de peticions que es puguin realitzar a través d'un port, amb la comanda:

SO(config-if)#ip dhcp Snooping taxa límit proporció --> nombre de peticions vàlides.

Aquestes ordres encara no estan disponibles en el simulador Packet Tracer, tendremos que comprobarlos en switches reales 🙂

Espero que aquest nou article us hagi resultat interessant, si és així podeu donar +1 o m'agrada en les xarxes socials preferides i ajudar-nos a compartir aquest contingut, gràcies.


Sobre

Apassionat per les ciències i les tecnologies. Professor, autor de manuals i administrador de sistemes i comunicacions.

Deixa un comentari