1. – Introdução
Este guia rápido tem o objetivo de alertar para riscos de uso de equipamentos com configuração padrão de fábrica, informar sobre a mitigação destes problemas e exemplificar configurações. Por questões de disponibilidade os comandos adotados foram baseados no switch Dlink DGS-3120. A medida do possível futuramente serão apresentados versões para outros fabricantes.
Antes de entrar nas configurações propriamente ditas será feita uma breve explanação sobre o conceito de gerência de redes. Conceito que está intimamente ligado com os passos que serão abordados nos demais tópicos.
2.- Gerência de Redes
2.1 – Conhecer a Rede
Significa saber através de diagramas, inventários e documentos como sua rede está instalada, equipamentos, enlaces e tipos de cabeamento. Através deste material você poderá saber intervir em possíveis problemas, realizar melhorias ou planejar aquisições. Ferramentas como o Dia e Visio podem te dar uma visão de como está sua rede. O SNMP pode auxiliar neste ítem inserindo informações em determinados campos como Locate, podem fornecer informações sem a necessidade de estar in loco.
2.2 – Backup dos Dispositivos de Rede
Quando falamos em backup, logo pensamos nas cópias de segurança feitas dos nossos servidores. Esuqecemos a necessidade do backup de configuração dos dispositivos de rede. Possuir um backup de seus dispositivos ajuda na recuperação de desastres, a saber o histórico de mudanças de configurações e auxilia nas futuras substituições de equipamentos.
2.3 – Conhecer o Comportamento Padrão de Rede
Imagine um ambiente de trabalho que um de seus colegas é diariamente extremamente hiperativo. Este é o normal dele no dia a dia. Podemos dizer que este é o comportamento padrão de nosso colega. Sabendo dia o dia que ele estiver quieto e cabisbaixo rapidamente saberemos que há algo no ar, pois fugiu do padrão normal. Assim é nossa rede de dados. Você só vai saber que existe um problema se você conhece como sua rede trabalha normalmente ou seja seu funcionamento padrão. Sabendo o seu funcionamento normal você poderá identificar possíveis anomalias.
2.4 – Armazenamento Remoto de Logs
A guarda remota dos seus logs permite uma melhor analise do que está ocorrendo com seu dispositivo, alarmes e dentre outras coisas. Muitos dispositivos como switches não possuem muita memória e guardam apenas algumas dezemas de linhas o que pode não ajudar em um evento. Os logs armazenados permitem um histórico co que acontece com o dispositivo. Além disso o armazenamento remoto permite saber o que ocorreu a um equipamento ou serviço mesmo ele estando for a do ar.
2.5 – Coerência nos Logs (Sincronismo)
Imagine um casal que marcou um encontro as 10:00 horas na praça. Se nenhum problema ocorrer é possível que se encontrem no horário e tenham bons momentos juntos. Agora imagine que eles marquem as 10:00 horas mas o relógio no cidadão está no horário de verão. Teremos um problema. Todos os dispositivos devem estar sincronizados em seu horário, a fim de que análises de problemas sejam possíveis. Se dispositivos estiverem com horários divergentes será impossível apontar possíveis causas ou culpados ou até quando realmente aconteceu algo.
3.- Retirar as configurações default
3.1- Endereço IP
O equipamento vem com um endereço IP padrão. Como todas as portas são pertencentes a vlan 1 (vlan default), se um computador estiver na mesma vlan e colocar o IP da mesma rede ele poderá acessar o equipamento. Facilmente na Internet pode-se obter senhas, endereços, contas padrão de ativos de rede
# config ipif System ipaddress 172.16.10.6/24 vlan gerenc
3.2- Conta usuário e senha
Motivos semelhantes do ítem 3.1. Uma vez acessado o equipamento com a conta default terá permissões para qualquer tipo de configuração. Existe vários exemplos principalmente em ambiente sem fio de equipamentos configurados com a ferramente wizard e que estão perigosamente abertos.
# create account admin ccuec
O comando acima cria uma conta e senha local. Não esqueça de apagar a conta admin default.
# delete account admin
3.3- SNMP
É um protocolo para gerência e monitoramento do equipamento. Em alguns switches vem desabilitado por padrão, entretanto antes de habilitá-lo, é recomendado que as contas default sejam apagadas, e que seja criado uma nova somente de leitura. Por padrão, o equipamento vem com uma conta public somente leitura e uma private para leitura e escrita. Se mantidas e não havendo controle no acesso ao protocolo, intrusos podem alterar parâmetros e até mesmo valores de variáveis do equipamento.
Apagar as contas default
# delete snmp community public
# delete snmp community private
Criar nova somente de leitura
# create snmp community teste view CommunityView read_only
# create snmp host 172.16.10.1 v2c teste
4.- Gerenciamento
4.1- VLAN segregada
Configurar seu gerenciamento para ser acessado por uma infraestrutura a parte nem sempre é possível. Entretanto é aconselhável a configuração da rede de gerência em uma vlan segregada. Isto significa fazer com que a gerência e configuração dos seus dispositivos seja feita por meio de uma vlan separada do seu tráfego de produção.
Criando vlan de gerência
# create vlan gerenc tag 500
Configurando o ipif System para a vlan de gerência
# config ipif System vlan gerenc
4.2- Desabilitar serviços
O switch vem com alguns serviços padrão que talvez não serão utilizados como por exemplo telnet. De preferência para acessar equipamento através de um meio seguro e encriptado, como por exemplo ssh. Abaixo estamos desabilitando telnet e web.
# disable telnet
# disable web
4.3- SSH
A maioria dos equipamentos gerenciáveis já possuem suporte á ssh tanto versão 1 como na versão 2. Abaixo mostramos os passos para habilitar ssh e associar contas para acesso.
# enable ssh
# config authen application ssh login default
# config authen application ssh enable default
# config ssh user ccuec authmode password
4.4- Log, Syslog e análise
É de suma importância habilitar log, mas por si só pode não te ajudar. O switch tem restrição de memória e linhas para armazenamento além de não possuir histórico de ocorrências. Como orientação habilite log em conjunto com a definição de uma máquina de syslog remoto. Estes procedimentos podem te auxiliar na resolução de problemas, mesmo os que já ocorreram a dias.
# enable syslog
# create syslog host 1 ipaddress 172.16.10.1 severity informational facility local0 udp_port 514 state enable
4.5- Sincronismo de Tempo
Muito importante principalmente ao se fazer auditoria dos logs. Como saber quando ocorreu o evento, ou se ocorreu antes de um outro ou se ocorreu como gatilho para eventos em outro equipamento. Os switches de borda geralmente vem com o aplicativo sntp, que somente é cliente. Os switches de maior porte já vem com o ntp que possibilita ser cliente e servidor.
# enable sntp
# config time_zone operator + hour 0 min 0
# config sntp primary 172.16.10.1 poll-interval 720
4.6- Backup de Configuração
Agiliza o retorno de operação quando houver um problema. Se existir versionamento pode apontar o que foi modificado antes da falha. Maior rapidez para configuração. Constitui parte do inventário.
# upload cfg_toTFTP 172.16.10.1 dest_file config.cfg
5.- Segurança
5.1- Acesso Físico
Se imaginarmos um tablet em esposição na bancada de uma loja. Ninguém vai ficar somente olhando vai acabar colocando a mão fuçando, tentando em vão quebrar a senha … . Este exemplo dá uma idéia do que pode acontecer com um equipamento de rede exposto. Cedo ou tarde alguém irá “interagir” com ele. Além de controlar o acesso de pessoas um ambiente controlado evita também acidentes de desconexão e incidentes envolvendo limpeza do local.
5.2- Desativar as Portas
É uma boa prática a fim de evitar ligações não autorizadas. As portas que não estão em uso deverão ser desativadas.
5.3- Senha na console
Evita que alguém acesse a porta serial que neste caso seria um backdoor em potencial. Esta porta por padrão não solicita autenticação tem que fazer manualmente.
# config authen application all login default
6.- Proteção de Portas
6.1- Controle de Banda ( Unicast e Broadcast )
Pode ser utilizado a fim de prevenir ou conter que usuário ou grupo de usuários ultrapasse uma certa banda. Por exemplo usuários administrativos somente poderão trafegar no máximo até 100Mbps.
# config bandwidth_control 1:5 tx_rate 100000 rx_rate 100000
6.2- Storm Control
Muito utilizado para amenizar problemas ocasionados com loops de rede, ou vírus que se utilizam disseminação através de broadcast. Geralmente pode tratar broadcast, multicast e unicast e a medida é pacotes por segundo. Alto tráfico de broadcast pode parar o funcionamento do seu switch e de sua rede.
# config traffic control 1:5 broadcast enable action drop
# config traffic control log state enable
6.3- Controle de Loop
# config loopdetect recover_timer 0 interval 20 mode port-based
# config loopdetect ports 1-10 state enable
# enable loopdetect
# config loopdetect log
7.- Outras Boas Práticas
Não utilize vlan default, system ou número 1;
Crie vlans específicas.
8.- Bibliografia
https://www.youtube.com/user/NICbrvideos
Comments are closed, but trackbacks and pingbacks are open.