-
Notifications
You must be signed in to change notification settings - Fork 156
/
Etapa-022-ConfiguracaoSwitchport-Portsecurity.txt
153 lines (129 loc) · 8.36 KB
/
Etapa-022-ConfiguracaoSwitchport-Portsecurity.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
!Autor: Robson Vaamonde
!Procedimentos em TI: http://procedimentosemti.com.br
!Bora para Prática: http://boraparapratica.com.br
!Robson Vaamonde: http://vaamonde.com.br
!Facebook Procedimentos em TI: https://www.facebook.com/ProcedimentosEmTi
!Facebook Bora para Prática: https://www.facebook.com/BoraParaPratica
!Instagram Procedimentos em TI: https://www.instagram.com/procedimentoem
!YouTUBE Bora Para Prática: https://www.youtube.com/boraparapratica
!Data de criação: 05/05/2020
!Data de atualização: 07/12/2021
!Versão: 0.02
!Testado e homologado no Cisco Packet Tracer 7.3.x e 8.0.x e GNS3 2.2.x
!PRIMEIRA ETAPA: Configuração do Switch Layer 3 3560
!Acessando o modo EXEC Privilegiado
enable
!Acessando o modo de Configuração Global de Comandos
configure terminal
!Configurando a Interface (Porta de Rede) do Servidor
interface FastEthernet 0/1
!Configurando a Interface (Porta de Rede) para o Modo de Acesso (Access)
!DICA: uma Interface de Acesso pertence e trafega dados de uma única VLAN
!OBSERVAÇÃO: por padrão todos os Switch tem a VLAN 1 que não pode ser removida e está associada a todas as Interfaces
!OBSERVAÇÃO: é recomendado sempre configurar as Interfaces dos dispositivos finais para o Modo Acesso (Access)
!OBSERVAÇÃO: tipos de configuração: access (porta de acesso), trunk (porta de tronco) e dynamic (porta dinâmica)
switchport mode access
!Desabilitando o recurso de auto-negociação da Interface (Porta de Rede)
!DICA: por padrão todas as Interfaces do Switch está com o recurso do DTP (Dynacmic Trunk Protocol) habilitado
!OBSERVAÇÃO: é recomendado desabilitar o recurso de DTP nas Interfaces que são do tipo Acesso (Access)
switchport nonegotiate
!Habilitando o recurso de Port-Security na Interface (Porta de Rede)
!DICA: habilitar o recurso de port-security aumenta o nível de segurança da rede
!OBSERVAÇÃO: o recurso de Port-Security não deve ser usado em Interfaces de Modo Tronco (Trunk)
!OBSERVAÇÃO: o Port-Security tem o objetivo de mitigar um ataque do Tipo Inundação de MAC (MAC Flood)
switchport port-security
!Configurando a quantidade máxima de endereços físicos (MAC Address) associado a uma Interface (Porta de Rede)
!DICA: por padrão o Switch Cisco suporte até 1025 endereços físicos de MAC em uma Interface
!OBSERVAÇÃO: cuidado com Interfaces de Servidores ou Access Point, nessas interfaces temos vários endereços MAC
!OBSERVAÇÃO: no Cisco Packet Tracer temos a limitação de: 1 até 132 endereços MAC por Interface
!OBSERVAÇÃO: no Cisco Packet Tracer temos a limitação de configuração de VLAN de Acesso e VoIP
!OBSERVAÇÃO: o recurso de port-security maximum por padrão e configurado para apenas 1 (um) endereço MAC
switchport port-security maximum 1
!Configurando o aprendizado do endereço físico da Placa de Rede MAC (MAC Address - Media Access Control)
!DICA: o recurso de aprendizagem do endereço MAC possibilita indicar qual endereço está associado a Interface
!OBSERVAÇÃO: existe duas formas de configurar o endereço MAC na Interface: static (estático) ou stick (dinâmico)
!OBSERVAÇÃO: configurando o modo estático: switchport port-security mac-address H.H.H (0002.16d2.da19)
!OBSERVAÇÃO: configurando o modo dinâmico: switchport port-security mac-address sticky
!DICA: o endereço MAC é aprendido quando o quadro entra pela primeira vez na Porta do Switch
switchport port-security mac-address sticky
!Configurando a violação de segurança da Interface (Porta de Rede)
!DICA: o recurso de violação da Interface será executado quando algum MAC Address não constar nas configurações
!ou quando exceder a quantidade de MAC Address associado a uma Interface
!OBSERVAÇÃO: existe três tipos de violação: protect (proteger), restrict (restringir) e shutdown (bloquear)
!OBSERVAÇÃO: por padrão a opção de violação do Switch Cisco é: shutdown (bloquear a Interface)
!OBSERVAÇÃO: o modo shutdown restringe a interface com o serviço habilitado, descartando todo tráfego, enviando
!mensagens informativas de SNMP Trap, não informando Log's para o Syslog e não incrementando a contagem de violação
switchport port-security violation shutdown
!Saindo da configuração da Interface (Porta de Rede)
exit
!Configurando a Interface (Porta de Rede) do Access Point
interface FastEthernet 0/2
switchport mode access
switchport port-security
switchport port-security mac-address sticky
!DICA: aumentar o número de endereços MAC da Interface de Access Point
!OBSERVAÇÃO: nesse cenário, o Access Point se comportar como um Hub, tendo vários MAC na mesma Interface
switchport port-security maximum 5
!OBSERVAÇÃO: alterando o modo de violação da Interface para protect
!OBSERVAÇÃO: o modo protect recusa os quadros com endereços desconhecidos (drop) sem bloquear a porta.
!não incrementa a contagem de violação e não envia uma mensagem informativa SNMP Trap, não informando Log's
!para o Syslog, mantém os MAC aprendidos transmitindo normalmente.
switchport port-security violation protect
!Configurando a validade de envelhecimento dos endereços MAC na Interface (Porta de Rede)
!DICA: esse recurso remove automaticamente os endereços MAC da configuração após um período de tempo
!OBSERVAÇÃO: no Cisco Packet Tracer o recurso de aging time (tempo de vida/envelhecimento/cache) e limitado
!OBSERVAÇÃO: temos as opções: time (tempo), type (tipo: absolute ou inactivity) e static (tempo de vida estático)
!OBSERVAÇÃO: no Cisco Packet Tracer temos somente a opção de tempo de: 1 até 1440 minutos
!OBSERVAÇÃO: devido a limitação do recurso de aging, os MAC aprendidos dinamicamente ou estático não serão removidos
!OBSERVAÇÃO: para o funcionamento dessa opção temos que usar o comando: switchport port-security againg type inactivity
switchport port-security aging time 5
exit
!Configurando a Auto-Recuperação da Configuração da Interface (Porta de Rede)
!DICA: caso tenha alguma violação de segurança na Interface, o processo de retorno da configuração e manual
!DICA: o recurso de errdisable é configurado com base na violação e o tempo para retorno em minutos
!OBSERVAÇÃO: no Cisco Packet Tracer esse recurso não está disponível nos Switches Layer 2 2960 e Layer 3 3560
!errdisable recovery cause psecure-violation
!errdisable recovery interval 60
end
!Salvando as configurações da memória RAM para a memória NVRAM
write
!SEGUNDA ETAPA: Configuração do Switch Layer 2 2960
enable
configure terminal
interface range FastEthernet 0/1 - 2
switchport mode access
switchport nonegotiate
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address sticky
!OBSERVAÇÃO: alterado o modo de violação da Interface para restrict
!OBSERVAÇÃO: o modo restrict recusa os quadros com endereços desconhecidos (drop) sem bloquear a porta,
!e incrementa a contagem de violação (Security Violation) enviando uma mensagem informativa (logs, Syslog
!e SNMP Trap), mantém os MAC aprendidos transmitindo normalmente.
switchport port-security violation restrict
end
write
!Visualizando as configurações da memória RAM
show running-config | section interface
!Verificando as informações do Switchport e Port-Security
show mac-address-table
show port-security
show port-security address
show port-security interface fastEthernet 0/1
show port-security interface fastEthernet 0/2
show interface fastEthernet 0/1
!Limpando os contadores do Port-Security e Restabelecendo a Conexão da Interface
interface fastEthernet 0/2
shutdown
no shutdown
!OBSERVAÇÃO: as opções do comando clean no Cisco Packet Tracer não está disponível
!clear port-security all
!clear port-security dinamic
!clear port-security stick
!OBSERVAÇÃO: as opções do comando clean no Cisco Packet Tracer não está disponível
!configure terminal
!clear port-security dynamic interface fastEthernet0/2
!OBSERVAÇÃO: as opções do comando errdisable no Cisco Packet Tracer não está disponível
!configure terminal
!errdisable recovery cause psecure-violation
!errdisable recovery interval 6