Pular para o conteúdo
Clique aqui para abrir a documentação de switches gerenciados localmente, incluindo os guias CLI e API.

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=switch-management-security

Segurança

Você pode configurar as definições de segurança do Sophos Switch, como proteção contra DoS, autenticação 802.1X, segurança de porta, além de adicionar e remover servidores RADIUS e TACACS+.

DoS

O Sophos Switch pode monitorar e bloquear ataques de negação de serviço (DoS). Um ataque DoS é o tráfego de rede destinado a sobrecarregar um host e interromper sua conexão com a rede.

Selecione Ligar ou Desligar para ativar ou desativar a proteção contra DoS. Selecione Não definido para usar as configurações de configuradas localmente no switch.

Depois de ativar ou desativar o DoS, clique em Atualizar para salvar as alterações.

Quando você ativa o DoS, o switch descarta pacotes que correspondem aos seguintes tipos de ataques DoS:

  • MAC de destino igual ao MAC de origem: Derruba o tráfego onde os endereços MAC de origem e destino são os mesmos.
  • Ataques LAND de IP de destino igual a IP de origem (IPv4/IPv6): Derruba pacotes onde os endereços IP de origem e destino são os mesmos.

  • Blat TCP (Porta TCP de destino igual à porta TCP de origem): Derruba pacotes TCP onde as portas TCP de origem e TCP de destino são as mesmas.

    Nota

    O cliente NTP (Network Time Protocol) às vezes usa a mesma porta de origem e destino. Quando você ativa a proteção contra DoS, o Sophos Switch a detecta como um ataque de Blat TCP e derruba os pacotes. Recomendamos desativar a proteção contra DoS se você estiver executando clientes NTP mais antigos que usam as mesmas portas de origem e destino.

  • UDP Blat (Porta UDP de destino igual à porta UDP de origem): Derruba pacotes UDP onde as portas UDP de origem e destino são as mesmas.

  • Ping of Death (IPv4/IPv6): Derruba pacotes com um comprimento maior que 64 Kbytes através de fragmentos.
  • Fragmento mínimo de IPv6 (bytes): Limita o tamanho mínimo de fragmentos de IPv6 a 1240 bytes.
  • Fragmentos de ICMP (IPv4/IPv6): Derruba pacotes ICMP fragmentados.
  • Tamanho máximo do ping IPv4: Limita o comprimento máximo de um pacote de ping IPv4 a 512 bytes.
  • Tamanho máximo do ping IPv6: Limita o comprimento máximo de um pacote ping IPv6 a 512 bytes.
  • Ataque Smurf (comprimento da máscara de rede): Limita o comprimento da máscara de rede dos pacotes ICMP transmitidos a 24 (x.x.x.255).
  • Tamanho mínimo do cabeçalho TCP (bytes): Limita o tamanho mínimo do cabeçalho TCP a 20 bytes.
  • TCP-SYN: Derruba pacotes TCP onde o sinalizador SYN está definido, o sinalizador ACK não está definido e a porta de origem é menor que 1024.
  • Varredura nula: Derruba pacotes TCP onde não são definidos sinalizadores e o número da sequência é zero.
  • Xmas: Derruba pacotes TCP com o número de sequência zero e os sinalizadores FIN, URG e PSH definidos.
  • TCP SYN-FIN: Derruba pacotes TCP com os sinalizadores SYN e FIN definidos.
  • TCP SYN-RST: Derruba pacotes TCP com os sinalizadores SYN e RST definidos.

802.1X

O Sophos Switch suporta o controle de acesso à rede baseado na porta 802.1X para autenticar usuários e dispositivos usando um servidor RADIUS ou TACACS+.

Configurações globais

A guia Configurações globais é onde você ativa ou desativa a autenticação 802.1X. Você também pode gerenciar atribuições de VLAN convidada, definir o ID da VLAN convidada e selecionar o método de autenticação.

Você pode configurar as seguintes configurações globais:

  • Status: Selecione Ligado ou Desligado para ativar ou desativar a autenticação 802.1X. Selecione Não definido para usar as configurações de configuradas localmente no switch.
  • VLAN convidada: Selecione Ativar ou Desativar. Você deve selecionar Ativado para definir um ID de VLAN convidada. Selecione Não configurado para usar as definições configuradas localmente no switch.
  • ID de VLAN convidada: Selecione uma VLAN na lista de VLANs definidas.
  • Método de Autenticação: Selecione Usuário local, RADIUSou TACACS+ na lista suspensa.

Origem da configuração mostra a origem das configurações.

Clique em Atualizar para salvar as configurações ou em Limpar para excluir quaisquer alterações não salvas.

Configurações de porta

Na guia Configurações de porta, você pode configurar as definições da porta e definir a autenticação usando 802.1X, bypass de autenticação MAC (MAB) ou uma combinação de ambos. Para configurar o MAB, consulte Configurar bypass de autenticação MAC (MAB).

Selecione as portas que deseja configurar e clique em Editar.

Você pode configurar as seguintes opções:

  • Modo: Selecione o modo de porta dentre as seguintes opções:

    • Não configurada: Utilizar as configurações definidas localmente no switch.
    • Auto: Ativar a autenticação 802.1X na interface. Quando usar Baseado em host em Modo de autenticação, você deve selecionar Auto.
    • Forçar autorizado: Bloquear todo o tráfego não autenticado na interface.
    • Forçar não autorizado: Permitir todo o tráfego não autenticado na interface.

  • Modo MAB: Selecione o modo MAB dentre as seguintes opções:

    • Não configurada: Utilizar as configurações definidas localmente no switch.
    • MAB: Usar somente MAB.
    • Híbrido: Tentar autenticar usando 802.1X primeiro. Após três tentativas com falha, o switch passa a usar MAB.
    • Desabilitado: Não use MAB.

  • Modo de Autenticação: Selecione o modo de autenticação dentre as seguintes opções:

    • Não configurada: Utilizar as configurações definidas localmente no switch.
    • Baseado em porta: Autenticar os hosts conectados a cada porta.
    • Baseado em host: Autenticar todo o tráfego em uma única porta.

  • Máximo de hosts: Essa configuração só se aplica quando Modo de autenticação está definido como Baseado em host. Ela define o número máximo de hosts que podem ser conectados a uma porta. Defina um valor de 1 a 10.

  • VLAN convidada: Ativar ou desativar VLAN convidada. Você deve desativá-la quando usar Baseado em host em Modo de autenticação.
  • Designação de RADIUS VLAN: Ativar ou desativar Designação de RADIUS VLAN. Você deve desativá-la quando usar Baseado em host em Modo de autenticação**.
  • Reautenticação: Ativar ou desativar a reautenticação de porta.
  • Período de reautenticação: O tempo, em segundos, antes que a porta precise ser autenticada novamente. Defina um valor entre 30 e 65535. O padrão é 3600.
  • Período silencioso: O tempo, em segundos, antes que o switch tente se autenticar novamente após uma tentativa de autenticação com falha. Defina um valor entre 0 e 65535. O padrão é 60.
  • Período suplicante: Essa configuração controla a frequência com que o switch envia solicitações EAP, em segundos. O switch envia três solicitações nesse intervalo antes de mudar para MAB. Defina um valor entre 0 e 65535. O padrão é 30.
  • Status autorizado: Mostrar o status de autenticação da porta especificada.

Origem da configuração mostra a origem das configurações da porta.

Clique em Atualizar para salvar as configurações ou em Limpar para excluir quaisquer alterações não salvas.

Host de autenticação

A guia Host autenticado exibe informações sobre os hosts autenticados.

Segurança da porta

Na guia Segurança da porta, você pode limitar o número de endereços MAC que o switch pode aprender em uma porta específica.

Você pode configurar as seguintes opções:

  • Porta: A porta à qual as configurações se aplicam.
  • Status: Selecione Habilitado ou Desabilitado para ativar ou desativar a Segurança da porta.
  • Número máximo de endereços de MAC: Insira o número máximo de endereços MAC que o switch pode aprender na porta especificada. O intervalo vai de 1 a 256.

Origem da configuração mostra a origem das configurações de segurança da porta.

Clique em Atualizar para salvar as configurações ou em Limpar para excluir quaisquer alterações não salvas.

Servidor RADIUS

Você pode usar um servidor RADIUS para autenticar usuários que acessam uma rede. O servidor RADIUS mantém um banco de dados de usuários, que contém informações de autenticação. O switch envia informações para o servidor RADIUS para autenticar um usuário antes de autorizar o acesso à rede.

Você pode configurar as seguintes opções:

  • ID do servidor: O ID do servidor RADIUS.
  • IP do Servidor: O endereço IP do servidor RADIUS.
  • Porta autorizada: A porta utilizada para comunicação com o servidor RADIUS. A porta padrão é 1812.
  • Segredo compartilhado: A string usada para criptografar toda a comunicação RADIUS entre o dispositivo e o servidor RADIUS.
  • Limite de tempo: O tempo que o dispositivo aguarda uma resposta do servidor RADIUS antes de passar para o próximo servidor. O padrão é 3.
  • Tentar novamente: O número de solicitações transmitidas enviadas ao servidor RADIUS antes que ocorra uma falha. O padrão é 3.

Origem da configuração mostra a origem das configurações do segurança RADIUS.

Para criar uma nova entrada de servidor RADIUS, clique em Adicionar.

Para deletar entradas do servidor RADIUS, selecione os servidores que deseja remover e clique em Deletar.

TACACS+ Servidor

Os servidores TACACS+ fornecem autenticação centralizada para acesso à rede. O TACACS+ é usado principalmente para a administração de dispositivos em rede.

Você pode configurar as seguintes opções:

  • IP do Servidor: O endereço IP do servidor TACACS+.
  • Prioridade: A prioridade do servidor TACACS+. A prioridade determina qual servidor será contatado primeiro para autenticação quando houver mais de um servidor TACACS+.
  • Porta autorizada: A porta que o servidor utiliza para comunicação e autenticação. A porta padrão é 49.
  • Segredo compartilhado: A chave de criptografia configurada no seu servidor TACACS+. Isso deve corresponder exatamente ao seu servidor TACACS+.
  • Limite de tempo: Limite de tempo em segundos. O tempo limite especifica o período que o Sophos Switch aguarda por uma resposta de autenticação antes de tentar o próximo servidor TACACS+ na lista. O padrão é 5.

Origem da configuração mostra a origem das configurações do segurança RADIUS.

Para criar uma nova entrada de servidor TACACS+, clique em Adicionar.

Para deletar entradas de servidor TACACS+, selecione os servidores que deseja remover e clique em Deletar.