Configure a Segurança da Porta de um Switch Cisco Catalyst

Um switch que não fornece a segurança de porta permite a um invasor anexar um sistema a uma porta não usada, habilitada, e executar a coleta de informações ou ataques. Assim, um invasor poderia coletar tráfego que contivesse nomes de usuário, senhas ou informações de configuração sobre os sistemas na rede.
Todas as portas de switch ou interfaces devem ser protegidas antes da implantação do switch. A segurança de porta limita o número de endereços MAC válidos permitidos em uma porta. Quando você atribui endereços MAC seguros a uma porta segura, a porta não encaminha pacotes com endereços de origem fora do grupo de endereços definidos.
Configurando a segurança da porta
Implemente a segurança em todas as portas de switch:
  • Especifique um grupo de endereços MAC válidos permitidos em uma porta.
  • Permita apenas a um endereço MAC acessar a porta.
  • Especifique que a porta será desativada automaticamente se forem detectados endereços MAC não autorizados.
As portas em um switch Cisco são pré-configuradas com padrões. A figura abaixo resume a configuração da segurança de porta padrão.
Tipos de endereço MAC seguro
Os endereços MAC seguros são dos seguintes tipos:
  • Endereços MAC seguros estáticos
  • Endereços MAC seguros dinâmicos
  • Endereços MAC seguros fixos (sticky)

 Endereços MAC fixos (sticky) seguros têm estas características:

  •  Endereços MAC aprendidos dinamicamente, convertidos em seguros fixos (sticky), armazenados na configuração de execução.
  • Desabilitar a aprendizagem fixa remove endereços MAC da configuração de execução, mas não da tabela MAC.
  • Os endereços MAC seguros fixos (sticky) são perdidos quando o switch é reiniciado.
  • Salvar endereços MAC seguros fixos (sticky) no arquivo de configuração de inicialização para que o switch os tenha quando for reiniciado.
  • Desabilitar a aprendizagem fixa converte endereços MAC fixos em endereços seguros dinâmicos e os remove da configuração de execução.
Configurar segurança de porta estática
Há várias formas de configurar a segurança de porta. Esta é uma descrição das formas como é possível configurar a segurança de porta em um switch Cisco:
  • Endereços MAC seguros estáticos: os endereços MAC são configurados manualmente, usando o comando de configuração da interface switchport port-security mac-address mac-address. Os endereços MAC configurados dessa forma são armazenados na tabela de endereços, sendo adicionados à configuração de execução no switch.
Configurar segurança de porta dinâmica
Os endereços MAC são aprendidos dinamicamente e armazenados apenas na tabela de endereços. Os endereços MAC configurados dessa forma são removidos quando o switch reinicia.A figura abaixo mostra os comandos CLI do Cisco IOS necessários à configuração da segurança de porta na porta Fast Ethernet F0/18 do switch S1. Observe que o exemplo não especifica um modo de violação. Neste exemplo, o modo de violação é definido como shutdown.

Configurar segurança de porta fixa

É possível configurar uma porta para saber endereços MAC dinamicamente e salvar esses endereços MAC na configuração de execução.

Quando você habilita a aprendizagem fixa em uma interface usando o comando de configuração da interface switchport port-security mac-address sticky, a interface converte todos os endereços MAC seguros dinâmicos, inclusive os que foram aprendidos dinamicamente antes da habilitação da aprendizagem fixa, para fixar endereços MAC seguros e adiciona todos os endereços MAC seguros à configuração de execução.
Se você desabilitar a aprendizagem fixa usando o comando de configuração da interface no switchport port-security mac-address sticky, os endereços MAC seguros fixos continuarão parte da tabela de endereços, mas serão removidos da configuração de execução.
Quando você configura endereços MAC seguros fixos usando o comando de configuração da interface switchport port-security mac-address sticky mac-address, esses endereços serão adicionados à tabela de endereços e à configuração de execução. Se a segurança de porta for desabilitada, os endereços MAC seguros fixos permanecerão na configuração de execução.
Se você salvar os endereços MAC seguros fixos no arquivo de configuração, quando o switch for reiniciado ou a interface for desligada, a interface não precisará reaprender esses endereços. Se você não salvar os endereços seguros fixos, eles serão perdidos.
A figura abaixo mostra como habilitar a segurança de porta fixa na porta Fast Ethernet 0/18 do switch S1. Conforme dito antes, é possível configurar o número máximo de endereços MAC seguros. Neste exemplo, você pode ver a sintaxe de comando do Cisco IOS usada para definir o número máximo de endereços MAC como 50. Por padrão, o modo de violação é definido como shutdown.
Se você desabilitar a aprendizagem fixa e digitar o comando de configuração da interface switchport port-security mac-address sticky mac-address, uma mensagem de erro será exibida, e o endereço MAC seguro fixo não será adicionado à configuração de execução.
Modos de violação da segurança
É possível configurar a interface para um dos três modos de violação, com base na ação a ser executada em caso de uma violação.
Ocorrem violações de segurança nestas situações:
  • Uma estação cujo endereço MAC não está na tabela de endereços tenta acessar a interface quando a tabela está cheia.
  • Um endereço estpa sendo usado em duas interfaces seguras na mesma VLAN.
Entre os modos de violação de segurança estão: proteger (protect), restringir (restrict) e desabilitar (shutdown).
A figura apresenta que tipos de tráfego de dados são encaminhados quando um dos seguintes modos de violação de segurança é configurado em uma porta:
proteger: quando o número de endereços MAC seguros atinge o limite permitido na porta, pacotes com endereços de origem desconhecidos são ignorados até que você remova um número suficiente de endereços MAC seguros ou aumente o número máximo de endereços permitidos. Você não é notificado de que houve uma violação de segurança.
restringir: quando o número de endereços MAC seguros atinge o limite permitido na porta, pacotes com endereços de origem desconhecidos são ignorados até que você remova um número suficiente de endereços MAC seguros ou aumente o número máximo de endereços permitidos. Nesse modo, você é notificado de que houve uma violação de segurança. Especificamente, uma interceptação SNMP é enviada, uma mensagem syslog é registrada em log e o contador de violação é incrementado.
desligamento: nesse modo, uma violação de segurança de porta faz com que a interface seja desabilitada para erro imediatamente e apaga o LED da porta. Ele também envia uma interceptação SNMP, registra em log uma mensagem syslog e incrementa o contador de violação. Quando uma porta segura estiver no estado desabilitado para erro, será possível tirá-la desse estado, digitando-se os comandos de configuração da interface shutdown e no shutdown. Este é o modo padrão.
Quer saber mais? Acesse: nomundodasredes.blogspot.com.br

Tutoriais Cisco

 

Para quem acompanha a Cisco sabe que ela tem um programa, o consagrado América Latinha TechWise TV, que  se trata de uma série de programas, palestras, lições, didáticos de aproximadamente 60 minutos e que são focados essencialmente em soluções da própria Cisco.
Antes estes programas eram exibidos em várias línguas, menos em português, no entanto ,agora está disponível com legendas em português.
Para comemorar tal feito, a Cisco lançou um programa sobre “BYOD” – A nova tendência da consumerização. O programa trata do BYOD (Bring Your Own Device) e retrata a nova tendência dos funcionários corporativos em usar ”novos” produtos tecnológicos em busca de melhorias nas empresas, como o tablet por exemplo, entre outros.

 

Além disso, a TWTV oferece outros temas nessa sessão:

 

1: Ultimate Business Freedom – Entrevista dos Executivos
2: Fundamentos de Spatial Streams
3: Introdução ao Aironet 3600
4: A Missão Crítica dos Access Points
5: Bring Your Own Device – Demonstração Interativa

 

Para assistir é necessário fazer login.
Assista agora:
http://cs.co/6030pw5i

Wildcards x Máscaras de Rede

Muitos pensam que wildcards (as famosas “máscaras coringa”) são apenas uma forma de máscaras de rede, porém, invertidas. Até mesmo sites especializados (como o Cisco Learning Network) acabam explicando o assunto desta forma. A questão é que isso não é bem verdade. Os wildcards existem por um motivo, não são um capricho exclusivo da Cisco. Eles têm uma função muito importante, especialmente quando o assunto é listas de acesso, nos permitindo uma flexibilidade que máscaras de rede não conseguem.

Para começar, temos de entender por que o wildcard que usamos na ACL tem uma função um pouco diferente das máscaras de rede tradicionais.

Basicamente, os bits no wildcard dizem o seguinte:

Onde for ZERO, tem que bater bit a bit o que estiver no endereço que o precede, e onde for 1, qualquer variação (0 ou 1) é aceita”

Exemplificando, se tivermos:

192.168.10.0 com wildcard 0.0.0.255,

Estamos dizendo que o “match” – ou a correspondência – ocorrerá em qualquer combinação de 192.168.10.x

Notem que poderíamos ter usado qualquer variação no último octeto, e esta condição seguiria verdadeira. Por exemplo:

Todas dizem ao roteador a mesma coisa: “Haverá correspondência (match) em qualquer endereço IP que tiver o padrão 192.168.10.x”

Agora que sabemos como funcionam os wildcards, basta aplicarmos o conceito para conseguirmos outros resultados.

Eis um excelente exemplo do poder de um wildcard. Suponha que desejemos criar uma regra de lista de acesso que dê match apenas nos endereços IP ímpares. Para conseguirmos isso, apenas temos que entender o padrão destes endereços para traduzí-los para um wildcard.

Concordam que TODO endereço IP ímpar tem o último bit ativo? O último bit tem valor “1″, e sem ele, os endereços seriam pares. Observem:

Assim sendo, temos apenas de criar um wildcard que permita que todo o resto mude, MENOS O ÚLTIMO BIT, que sempre terá de ser SEMPRE 1 para que o match ocorra.

Eis o resultado:

255.255.255.254

em binário ficaria:

11111111.11111111.11111111.11111110

Note, então, que travamos apenas o último bit no wildcard. Mas para que isso funcione, o endereço que o precede na regra deve também terminar com um bit 1. Então, basta aplicar este wildcard em QUALQUER endereço com o último bit 1:

192.168.10.33 e wildcard 255.255.255.254 funcionaria. Mas também funcionaria até se você usasse um endereço inválido, como:

0.0.0.1 e wildcard 255.255.255.254

Gostaram? E se pegássemos um exemplo mais complexo… como:

Vamos criar uma regra (combinação IP + WILDCARD), de forma que somente endereços IP com o seguinte padrão sejam filtrados:

[ 10 . “qualquer coisa” . 11 . “qualquer coisa” ] E que sejam PARES, como nos exemplos abaixo:

10.120.11.10 ou 10.11.11.2 ou 10.19.11.180, etc

Como fazer isso?

Como já vimos, wildcards são diferentes de Máscaras de rede. Em um Wildcard, os ZEROS instruem o roteador a dar um match nos bits correspondentes do endereço IP, enquanto os UMs dizem ao roteador que qualquer combinação é válida (0 ou 1) no endereço IP.

Assim, em binário:

00001010.00000000.00001011.00000000 (10.0.11.0)
00000000.11111111.00000000.11111110 (0.255.0.254)

Como queremos que o 1o e o 3o octeto não mudem (10 e 11), zeramos os 2 no wildcard. Adicionalmente, como o exercício solicitou apenas IPs PARES (e para isso, o último bit deve SEMPRE ser ZERO), travamos também o último bit (por isso 254 e não 255 no último octeto). A resposta poderia ser também qualquer IP que seguisse o padrão, usando o wildcard que descobrimos. Ex: 10.123.11.126 0.255.0.254, ou 10.255.11.12 0.255.0.254, etc

Espero que tenham gostado!

Abraço

Marco.

 

Quer saber mais? Acesse: blog.ccna.com.br

 

Wozniak confirma: Microsoft está inovando mais do que a Apple

Wozniak é um dos apaixonados pela Apple, na entrevista para o site TechCrunch afirmou que a Microsoft tem inovado mais do que sua empresa de co-fundação.

Na entrevista ele afirma: “Percebo que a Microsoft está realmente mudando as coisas. É só observar para constatar que eles não seguem a mesma tendência que o restante, como o iPhone e os Androids”

Um dos exemplos que Wozniak utiliza é o uso de tecnologias de voz que a Microsoft tem adotado, na qual o usuário pode falar em uma língua e ter a mesma frase traduzida para outros 26 idiomas. “Se eles estão realizando tantos avanços nesta área de reconhecimento de voz, imagino então que a Microsoft tem passado um bom tempo em seus laboratórios tentando inovar”, afirmou Wozniak. Ao contrário do que percebemos com o gigante “adormecido” Apple visando somente o avanço das tecnologias para os produtos como iPhone e iPad.

“Isso me preocupa muito”, disse Wozniak

 

Quer saber mais? Acesse e assista a entrevista: http://techcrunch.com

 

Mobilidade e Arquitetura de Software

 

 

Falamos muito em mobilidade e o desenvolvimento de apps extremamente inovadores para smartphones e tablets. Mas existe um ponto que venho observando que tem sido pouco comentado: o seu impacto na arquitetura de software. O ambiente de desenvolvimento está sendo sacudido pela chegada simultânea de quatro ondas tecnológicas, que juntas causam um verdadeiro tsunami: cloud computing, mobilidade, social business e Big Data.

Estas tecnologias e conceitos mudam de forma radical o “pensar” sistemas e em consequencia os arquitetos de software tem que atualizar suas visões de como construir seus sistemas. As grandes aplicações monolíticas e mesmo o já tradicional modelo mental do client-server de duas ou três camadas não tem muito mais espaço neste cenário.

Por outro lado, este cenário turbina um conceito que foi muito falado e pouco implementado na prática que é o SOA (Services Oriented Architecture). Interessante que há poucas semanas, em uma palestra em uma conhecida universidade, perguntei sobre SOA e poucos alunos conseguiram definir claramente seus principios. Ou seja, a base fundamental para criarmos os novos sistemas está meio esquecida…Torna-se urgente resgatar seus conceitos.

A mobilidade por si traz novos desafios. Não se deve pensar em apenas replicar para smartphones e tablets os sistemas escritos para o modelo de mouse e teclado. Devemos pensar em sistemas inovadores, que explorem os recursos dos equipamentos móveis como cameras, microfones, giroscópios, acelerômetros, GPS e diversos outros. A multiplicidade de sensores destes equipamentos nos permite criar aplicativos que capturem e processem dados oriundos das mais diversas fontes. Isto por si é um desafio, pois os diversos fabricantes configuram estes recursos de formas diferentes. Além disso estes recursos podem gerar volumes de dados significativos como os videos.

Também os interfaces via reconhecimento de voz e som demandam novas maneiras de pensar os aplicativos. Os programas tem que explorar a capacidade do próprio dispositivo mas também precisam da imensa capacidade computacional que estará rodando em background, em nuvens. Um exemplo, um app que grave um video e o envie para processamento na nuvem para que seja feito um reconhecimento de imagens que identifique determinado individuo ou produto neste video e forneça caracteristicas sobre ele.

Outra análise a ser feita para as aplicações móveis é o grau de computação que deverá ser feito offline, quando o acesso à rede não for possivel. Pode acontecer da app ter que operar em determinados momentos em locais onde o sinal seja muito fraco ou mesmo sem possibilidade de conexão à Internet. Na prática podemos pensar em um modelo um modelo mais flexivel que o cliente servidor. A grande capacidade computacional de um smartphone ou tablet permite que ele seja em determinados momentos cliente de servidores na nuvem (client-cloud) e em outros atue como seu próprio servidor no modelo server-server. A sincronização com a nuvem deverá ser feita quando a conexão se restabelecer, de forma automática e transparente para o usuário da app.

O modelo server-server demanda uma análise mais aprofundada dos mecanismos de segurança que serão adotados no dispositivo móvel, bem como as diferentes estruturas de dados que deverão ser acomodadas. Novo desafio: os arquitetos não poderão mais pensar apenas em modelos relacionais! O modelo relacional será apenas um dos diversos modelos de dados que os sistemas adotarão.

Outro desafio: criar arquiteturas para apps híbridas, adotando HTML5 e código nativo para Android, iOS e Windows. Isto implica em conhecimentos não apenas de HTML5 mas também da tecnologia especifica dos demais ambientes móveis, como dos diversos meios de comunicação destes dispositivos com a nuvem. Por exemplo, se o acesso for a partir da parcela nativa do app deverá ser feita via API especifica da plataforma. Se for a partir do codigo HTML5 será via Ajax ou Web Sockets. Enfim, são decisões arquitetônicas que deverão ser tomadas antes de se escrever o código.

O resumo da ópera: a mobilidade abre um novo e desafiador espaço para os arquitetos e desenvolvedores de software. Vai exigir mais estudos e novas práticas, mas o resultado será compensador. Novas e inovadoras apps e com certeza, para os que se aprofundarem nas tecnologias, maior empregabilidade.

 

Cezar Taurion

 

Quer saber mais?  Acesse: tiespecialistas.com.br

 

Next Page →