Segurança em comutadores LAN
A segurança em switches é tema recorrente no CCNA 200-301. Comutadores mal configurados são vetores de ataques como MAC flooding, DHCP spoofing e ARP poisoning.
Port Security
Port security limita quais endereços MAC podem se comunicar por uma porta. Protege contra MAC flooding, que satura a tabela CAM e força o switch a agir como hub.
Configuração básica
SW1(config)# interface GigabitEthernet0/1
SW1(config-if)# switchport mode access
SW1(config-if)# switchport port-security
SW1(config-if)# switchport port-security maximum 2
SW1(config-if)# switchport port-security mac-address sticky
SW1(config-if)# switchport port-security violation restrictModos de violação
| Modo | Descarta frames | Incrementa contador | Desativa porta |
|---|---|---|---|
protect | Sim | Não | Não |
restrict | Sim | Sim | Não |
shutdown | Sim | Sim | Sim (padrão) |
Para reativar uma porta em estado err-disabled:
SW1(config-if)# shutdown
SW1(config-if)# no shutdownVerificação:
SW1# show port-security interface GigabitEthernet0/1
SW1# show port-security addressDHCP Snooping
Previne servidores DHCP falsos (rogue DHCP). O switch filtra mensagens DHCP em portas não confiáveis.
- Trusted (confiável): porta conectada ao servidor DHCP legítimo
- Untrusted (não confiável): portas de usuários — padrão após habilitar o recurso
SW1(config)# ip dhcp snooping
SW1(config)# ip dhcp snooping vlan 10
SW1(config)# interface GigabitEthernet0/1
SW1(config-if)# ip dhcp snooping trustO DHCP snooping também cria a binding table, usada pelo DAI.
SW1# show ip dhcp snooping bindingDynamic ARP Inspection (DAI)
Protege contra ARP poisoning/spoofing. O switch valida pacotes ARP comparando IP-MAC com a binding table do DHCP snooping.
SW1(config)# ip arp inspection vlan 10
SW1(config)# interface GigabitEthernet0/1
SW1(config-if)# ip arp inspection trustPortas conectadas a roteadores ou outros switches devem ser marcadas como trusted. Portas de usuários permanecem untrusted.
SW1# show ip arp inspection
SW1# show ip arp inspection vlan 10Segurança de VLANs
VLAN nativa
Ataques de VLAN hopping exploram a VLAN nativa em trunks. Boas práticas:
SW1(config)# interface GigabitEthernet0/2
SW1(config-if)# switchport trunk native vlan 999
SW1(config-if)# switchport nonegotiateDesabilitar DTP
O protocolo DTP (Dynamic Trunking Protocol) pode ser explorado para negociar trunks indesejados. Em portas de acesso, desabilite:
SW1(config-if)# switchport mode access
SW1(config-if)# switchport nonegotiatePortas não utilizadas
Desative todas as portas sem uso e mova-as para uma VLAN isolada:
SW1(config)# interface range GigabitEthernet0/10 - 24
SW1(config-if-range)# switchport mode access
SW1(config-if-range)# switchport access vlan 999
SW1(config-if-range)# shutdownSTP Security
PortFast e BPDU Guard
PortFast ignora os estados de escuta/aprendizado do STP em portas de acesso. BPDU Guard desativa a porta caso receba um BPDU (indica switch não autorizado conectado).
SW1(config)# spanning-tree portfast default
SW1(config)# spanning-tree portfast bpduguard defaultOu por interface:
SW1(config-if)# spanning-tree portfast
SW1(config-if)# spanning-tree bpduguard enableRoot Guard
Evita que um switch externo assuma o papel de root bridge:
SW1(config-if)# spanning-tree guard rootResumo para o exame: port security bloqueia MACs não autorizados; DHCP snooping bloqueia servidores DHCP falsos; DAI valida ARPs; BPDU Guard protege a topologia STP. Esses quatro recursos são os mais cobrados na prova.