Principais Ameaças e Protocolos de Segurança em Redes

Esgotamento da Tabela MAC

A maioria dos switches possui uma quantidade de memória limitada para armazenar endereços MAC e as respetivas portas na tabela de endereços. Quando essa memória é esgotada e a tabela sobrecarregada com MACs falsos, o switch torna-se incapaz de escrever ou ler entradas válidas, fazendo com que retransmita os quadros para todas as portas. Isso permite que um atacante capture todo o tráfego de rede.

Ataque ao DHCP

Quando um dispositivo se conecta a uma rede e solicita uma configuração através do protocolo DHCP, tanto o servidor legítimo quanto o intruso oferecerão um endereço IP. Se a configuração oferecida pelo DHCP intruso for diferente da do servidor legítimo, os clientes que a aceitarem podem ter problemas de acesso à rede.

Se o DHCP intruso fornecer como gateway um endereço de uma máquina controlada por um usuário malicioso, é possível que este tenha acesso aos dados enviados pelo cliente, comprometendo a sua privacidade.

• Solução: O DHCP Snooping filtra mensagens DHCP não confiáveis ou inválidas, funcionando como um firewall.

Ataque ao CDP

Geram-se dispositivos com nomes aleatórios e enviam-se esses dados para o endereço multicast do protocolo, fazendo com que os dispositivos que executam o CDP tenham os seus recursos de processamento e memória consumidos.

• Solução: Manter o CDP desligado.

STP (Spanning Tree Protocol)

Quando se usam múltiplos switches, é frequente utilizar links redundantes ou alternativos para garantir a disponibilidade da rede. Porém, essa redundância pode causar loops, pois existem dois caminhos para o mesmo dispositivo. O STP soluciona isto bloqueando portas de caminhos redundantes para evitar o envio de informações duplicadas.

Designated Ports (DP)

Portas por onde passa o tráfego, exceto as root ports. No root bridge, todas as portas são DP. Só pode existir uma DP por switch.

Non-Designated Ports

Estas portas encontram-se bloqueadas, não passando tráfego por elas e não preenchendo a tabela MAC.