Gli switch sono indubbiamente uno degli strumenti meno sfruttati in una rete. Da quelle di medie dimensioni con qualche centinaio di host a quelle piccole, gli switch di una rete spesso sono visti come oggetti "Plug&Play" dove, al massimo, si configura un indirizzo IP (giusto per scrupolo).
Fortunatamente non sempre è così e molti amministratori di rete invece utilizzano delle funzionalità comode ed in alcuni casi irrinunciabili come ad esempio le VLAN 802.11q, il Link Aggregation Control Protocol (LACP) oppure il noto Rapid Spanning Tree Protocol (RSTP, tipicamente utile anche come "loop protection").
L'articolo di oggi andrà oltre, approfondendo quelle funzioni di sicurezza poco note, come il Port Security o il MAC Lockout.
Port Security
In sicurezza informatica, l'accesso fisico alle risorse è sempre stato uno dei problemi cardine. Dando per veritiera la nota affermazione che "la maggior parte degli incidenti di sicurezza avviene dall'interno della rete stessa, e non dall'esterno come spesso si tende a credere", uno dei problemi più frequenti è il controllare e gestire l'accesso fisico alle risorse. Nel caso di una sala CED, i sistemi sono tutto sommato semplici (controllo accessi, tastiera numerica, badge, etc..). Nel caso però di una presa RJ45, il discorso si complica.
Affrontando il problema da un punto di vista fisico, qualche vendor ha sviluppato delle patch con una speciale chiave in grado di bloccarle in posizione, rendendole inamovibili dal relativo frutto o dalla NIC. Da un punto di vista logico, invece, gli switch ci tornano estremamente comodi per via del loro naturale posizionamento in una rete.
Il Port Security viene sovente utilizzato nelle grandi aziende per evitare che siano introdotti apparati non autorizzati (notebook personali, etc..). Mediante il port security possiamo definire i MAC address abilitati ad accedere su ogni singola porta dello switch.
Cosa succede se un MAC non autorizzato accede alla porta? Si definisce un comportamento:
- Spegnere la porta (l'utente quindi chiamerà l'amministratore di rete lamentando un disservizio)
- Inviare una Trap all'amministratore di rete, ma lasciare la porta accesa
- Bloccare il MAC non autorizzato ma non spegnere la porta
Qualcuno potrà contestare il fatto che i MAC address sono modificabili, ma come ogni azione di sicurezza, essa agisce per livelli. Non tutti gli utenti sono in grado di fare un MAC Spoofing, e se lo scopo è quello di evitare l'inserimento del notebook privato (e se abbiamo deciso semplicemente di inviare un alert senza far seguire alcuna altra azione, affinchè l'amministratore approfondisca il problema di persona) con una ragionevole tranquillità possiamo reputare lo scopo raggiunto.
Learning e Uplink
Per evitare di inserire a mano tutti i MAC address su tutti gli switch, possiamo mettere lo stesso in learning, indicandogli di apprendere solamente il primo MAC address che vede sulla porta.
Attenzione agli uplink: i collegamenti tra switch ovviamente riportano sulla MAC Table di ogni uplink tutti i MAC address che si raggiungono passando dallo stesso. E' quindi buona norma disattivare il Port Security su ogni uplink e quantomeno gestirlo su tutti quei apparati che concentrano più host, come ad esempio gli Access Point.
MAC Lockout
Il MAC Lockout ci consente di bloccare il MAC address definitivamente, a livello di switch e non più di singola porta. E' facile intuirne le potenzialità unite ad uno script che propaghi queste informazioni su tutti gli switch dell'infrastruttura di rete.
Non tutti gli switch hanno la funzionalità di MAC Lockout, ad esempio per HP questa feature è riservata agli switch modulari blade o a fasce medio alte di apparati.
port-security 22 learn-mode configured action send-disable mac-address 1a2b3c4d5e6f
Adesso immaginiamo di trovarci in uno scenario in cui, stando su uno switch blade completamente popolato con 8 moduli e 24 porte per modulo, non abbiamo alcuna voglia di inserire a mano 190 mac address:
port-security A1-H24 learn-mode limited-continuous address-limit 1 action send-alarm
Così facendo lo switch prenderà per buono il primo MAC che si collega. Al secondo ci invierà un alert (secondo quanto configurato nella sezione delle trap) indicandoci che su una stessa porta si è collegata una seconda postazione (magari scollegando la prima oppure tramite un microswitch o un access point, ad esempio).
Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione è vietata salvo autorizzazione.
Non tutti gli switch hanno la funzionalità di MAC Lockout, ad esempio per HP questa feature è riservata agli switch modulari blade o a fasce medio alte di apparati.
Qualche esempio
Poniamo di essere su uno switch HP Procurve e di voler abilitare la porta eth22 ad un solo mac address (magari perchè quella porta si trova in una vlan speciale e da controllare) ed in caso di abuso di voler istruire lo switch ad eseguire uno spegnimento della porta stessa:port-security 22 learn-mode configured action send-disable mac-address 1a2b3c4d5e6f
Adesso immaginiamo di trovarci in uno scenario in cui, stando su uno switch blade completamente popolato con 8 moduli e 24 porte per modulo, non abbiamo alcuna voglia di inserire a mano 190 mac address:
port-security A1-H24 learn-mode limited-continuous address-limit 1 action send-alarm
Così facendo lo switch prenderà per buono il primo MAC che si collega. Al secondo ci invierà un alert (secondo quanto configurato nella sezione delle trap) indicandoci che su una stessa porta si è collegata una seconda postazione (magari scollegando la prima oppure tramite un microswitch o un access point, ad esempio).
Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione è vietata salvo autorizzazione.
