PÓS-GRADUAÇÃO EM GERENCIAMENTO DE

REDES DE COMPUTADORES

PROF :MACIEL

Segurança de Redes em Camada 2

santos.maciel@gmail.com
 Não existe rede segura !!!

 Palavras do Prof.Rodrigo Assad !!

 O que fazer então para mantermos a rede

100 % segura ?
 Solte o cabo de rede !!!
 Introdução a Segurança no Campus

 A maior preocupação com a segurança das

redes, sempre recai na camada 3;

 São investidos muitas cifras em Firewalls, IPS

e IDS;

 Além de investimentos em treinamento para

segurança em camada 3;
 No entanto muitos dos incidentes ocorrem na
verdade dentro do ambiente da empresa;

 Os ataques internos são realizados através da

inserção de equipamentos intrusos ou
comprometendo um dispositivo legítimo da rede.

 Equipamentos que não são da rede (piratas ou

intrusos) podem ser inseridos para fins escusos
ou simplesmente ampliar o número de portas
físicas ou ter acesso sem fio.
 Equipamentos como roteadores Wireless ou Access Points,
switches de acesso ou Hubs são frequentemente utilizado por
usuários para garantir acesso a um laptop pessoal, tablet ou
smarphone.
 Falhas básicas são verificadas quando
observamos o ambiente interno da empresa:
 Como mitigar problemas na rede física ?

 Soluções simples e baratas :

 Mantenha os racks sempre fechados e as

chaves guardadas;

 Verifique se os racks possuem travas que

liberam as portas com chave comum de
fenda;
 Observe se os switches das sala técnicas ou
datacenter estão acessíveis;

 Caso o cabeamento seja estruturado,

verifique se todas as postas do Patch Panel
estão conectadas ao switch;

 Faça sempre uma vistoria nas salas, em busca

de pontos que estejam sem utilização, mas
conectados no switch;
 Se os switch são gerenciáveis, verifiquem se
as portas que estão sem utilização, estão no
modo shutdown;

 Verifique se os usuários levam para o

ambiente da empresa, os roteadores
domésticos e os ligam no cabo de rede da
própria máquina;
 Tenham precaução com usuários que pedem
para ficar com cabos de redes;

 Verifiquem os pontos de redes que ficam

localizados longe dos olhos do TI, como por
exemplo: Recepção, sala de reunião, copa e
portaria;

 Verifiquem se existe algum ativo de rede que

ficam nas salas dos usuários, em que as
chaves da mesmas ficam com os usuários;
 Evitem soluções esdrúxulas como colocar
cola quente nas portas dos switch que não
sendo utilizadas;

 Conheça bem a sua rede, verifique sempre a

velocidade de acesso a recursos da mesma e
tenha sempre o cuidado de vistoriar as salas
técnicas;

 Um ponto de maior consideração em todos

esses citados anteriormente é : Documente
bem sua rede e depois mantenha atualizada.
 Modelo de Camadas
 Core – Comutar pacotes rapidamente.

 Distribution – Filtragem de pacotes.

 Access – Controle a nível de porta.

 Server farm – Prover serviços de aplicação.

 Principais falhas de seguranças em camada
de acesso ou camada 2

 Acesso físicos;

 Falta de políticas para controle de portas de

switch sem utilização;

 Desatualização de documentação;
 Principais alvos

• Access Points

• Switches

• Servers
 Ataques de Camada 2 são geralmente
iniciado por meio de dispositivos conectados
diretamente à rede do campus
infraestrutura;.

 Os ataques podem se originar de um

dispositivo físico colocado na rede para fins
maliciosos;

 O ataque também pode vir de uma intrusão

externa que assume,por exemplo a
identidade de um host e lança ataques de
um dispositivo confiável.
 Principais Ataques

 MAC Address Flooding

 Switch Spoofing

 VLAN Hopping

 DHCP Spoofing
 MAC – Address Flooding

 O Switch é inundado com uma gama de MAC

Address com o objetivo de atingir o limite da
tabela CAM.
 Um atacante habilita
uma ferramenta
hacking, com o objetivo
de inundar a Tabela
CAM, causando um
estouro na base de
dados do Switch.

 Quando a tabela CAM

está cheia, o switch
passa a funcionar como
um HUB e inunda todos
os quadros unicast.
 Como mitigar ???

 Utilizar Port Security

 Port Security é configurado, limitando
ataques de MAC Flooding e bloqueando
portas.

 Estes endereços podem ser aprendidas de

forma dinâmica ou configurada
estaticamente.
 Configurando Port Security:
 Exemplo de Configuração – Port Security
 Exemplo de Configuração – Port Security
 Switch Spoofing

 Atacante pluga sua máquina no Switch da

rede em produção e faz um trunk com dot1q,
ou conecta um Switch fazendo também um
Trunk.

 Explora vulnerabilidade do DTP.

 Esse tipo de ataque é devido à
configuração padrão da porta do switch
Catalyst;

 Switches Cisco Catalyst permitir trunking

no modo automático, por padrão.

 Como resultado, a interface torna-se um

tronco ao receber um quadro DTP.
 Um invasor pode usar esse comportamento
padrão para acessar as VLANs configuradas
no switch através de um dos os seguintes
métodos:

 Um invasor pode enviar um quadro DTP

malicioso.

 Ao receber o quadro , o switch formariam

uma porta de tronco, que então daria ao
invasor acesso a todas as VLANs no tronco.
 Switch Spoofing
 VLAN Hopping – Double Tagging

 É um ataque à rede através do qual um host

envia pacotes ou coleta de pacotes,de uma VLAN
que não deveria ser acessível para ele.

 Isto é conseguido através de marcação

determinada a uma VLAN ID (VID) ou negociando
uma ligação do tronco para enviar ou receber
tráfego em penetrado
VLANs.

 VLAN hopping pode ser realizada por falsificação

de switch ou de dupla marcação.


 O Atacante (nativa VLAN 10) envia um frame com
dois cabeçalhos 802.1Q para o Switch1;

 Switch2 encaminha o quadro para todas as portas

associadas com a VLAN 20, incluindo portas trunk.
 Mitigação:

 Deixar todas as portas como acesso, para não

negociar trunk;

 Colocar as portas não usadas em shutdown;

 Não use se possível a Vlan 1 para nenhum

acesso;

 Mudar a VLAN nativa.

 DHCP Spoofing
 DHCP Spoofing

 Uma das formas que um atacante pode obter

acesso ao tráfego de rede é falsificando
respostas que seriam enviado por um servidor
DHCP válida.

 O dispositivo spoofing DHCP responde às

solicitações do cliente DHCP.

 o legítimo servidor pode responder também,

mas, se o dispositivo de falsificação é no mesmo
segmento que o cliente, a sua resposta à cliente
pode chegar em primeiro lugar.
 A resposta do intruso DHCP oferece um endereço
IP e informações de apoio que designa como o
intruso o gateway padrão ou Domain Name System
(DNS);

Atacante hospeda um servidor DHCP não
autorizado fora de uma porta do switch.

Cliente envia um pedido de DHCP.

O falso servidor DHCP responde antes que o
servidor DHCP legítimo;

Os pacotes de host são redirecionados para
o endereço do atacante como ele emula um
gateway padrão para o endereço DHCP
errada prestada ao cliente.
 Mitigação

 Para mitigar se usa o DHCP Snooping,

bloqueando falsos servidores DHCP;

 Ele pode impedir que esse tipo de ataque,pois ele

é um mecanismo de segurança por porta;

 Usado para diferenciar uma porta do switch não

confiável conectado a um usuário final a partir de
uma porta do switch de confiança conectado a
um servidor DHCP ou outro switch.
 Portas de confianças e não confianças
 CDP (Cisco Discovery Protocol)

 Protocolo de nível 2 usado para

obter informações de hardware e
software de dispositivos vizinhos
na sua rede.

 O comando: no cdp run

desabilita o CDP globalmente.

 O comando : no cdp enable

desabilita o CDP na interface.
 Segurança de acesso em switch
 Segurança de acesso em switch

 Os administradores de rede costumam usar

telnet para acessar switches;

 Mas hoje em dia, SSH está se tornando padrão

nas empresas, devido a exigências mais
rigorosas de segurança;

 Da mesma forma, dispositivos que acessam via

HTTP está sendo substituído por HTTPS seguras.
 Problemas de Telnet

 Todos os nomes de usuários, senhas e dados

enviados através da rede pública em texto claro são
vulneráveis​​;

 Um usuário com uma conta no sistema pode obter

privilégios elevados;

 Um atacante remoto pode interromper o serviço Telnet,

impedindo o uso legítimo desse serviço por
executar um ataque DoS como a abertura de muitas
sessões de Telnet falsos;
 Autenticação por SSH

 SSH é um protocolo de cliente e servidor usado

para efetuar login em outro computador através
de uma rede para executar comandos em uma
máquina remota e mover arquivos de uma
máquina para outra.

 Ela fornece forte autenticação e comunicações

seguras através de canais inseguros.

 É um substituto para o rlogin, rsh, rcp,

e rdist para além Telnet.
 Restringindo Acesso Telnet
 Configurando Acesso SSH
 Quando falamos em backup, logo pensamos nas
cópias de segurança feitas dos nossos servidores;

 Esquecemos a necessidade do backup de

configuração dos dispositivos de rede;

 Possuir um backup de seus dispositivos ajuda na

recuperação de desastres, a saber o histórico de
mudanças de configurações e auxilia nas futuras
substituições de equipamentos.
 A guarda remota dos seus logs permite uma
melhor analise do que está ocorrendo com
seu dispositivo, alarmes e dentre outras
coisas;

 Muitos dispositivos como switches não

possuem muita memória e guardam apenas
algumas dezenas de linhas o que pode não
ajudar em um evento
 Os logs armazenados permitem um histórico
com que acontece com o dispositivo.

 Além disso o armazenamento remoto

permite saber o que ocorreu a um
equipamento ou serviço mesmo ele estando
for a do ar.
 O importante é manter o log acessível em
todos os equipamentos, sejam servidores ou
switch/roteadores;

 Lembrando que a existência dos logs é

importante principalmente, para questões de
auditorias.
 Controle de Loop

 É importante que se tenha configurado nos

switches o recurso de spanning –tree;

 Esse recurso evita que manobras que causem

loops na rede, sejam ativadas evitando
paralizações das redes;
 PortFast

 A porta assume o estado de

Encaminhamento quando a porta se toma
fisicamente ativa, ignorando qualquer
opção de topologia do STP e não passando
pelos estados de Escuta e Aprendizado.

 Deve-se tomar cuidado com esse recurso

para não inviabilizar autenticações primárias
em uma rede de computadores;
 BPDU Guard

 O recurso BPDU Guard da Cisco ajuda a

combater problemas de colocações de ativos
não autorizados em portas de acesso.

 Desativando a porta, caso BPDUs sejam

recebidos naquela porta;

 Portanto, esse recurso é especialmente útil em

portas que devam ser usadas somente como
porta de acesso e nunca conectadas a outro
switch.
 Esse tipo de recurso, possibilita que um
usuário que não pertence a rede, seja
desafiado para poder utilizar a mesma;

 Inicialmente o usuário (atacante) ao conectar

sua máquina em ativo, teria o acesso
bloqueado, até que as credenciais fossem
validadas;
 Esse tipo de proteção também ganhou força
para autenticação em redes sem fio;

 É necessário para isso a instalação de um

servidor radius, e este também tenha
comunicação com o servidor de autenticação
da rede;
 OBRIGADO