Alternativas B e C
A questão aborda os riscos de segurança inerentes à configuração padrão dos switches de rede. Para responder corretamente, é necessário identificar quais vulnerabilidades existem quando o equipamento sai da fábrica sem configurações específicas de segurança.
Análise das Opções
1. Por que proteger um switch? (Riscos Principais)
Os switches operam na Camada 2 do modelo OSI (Camada de Enlace). Se deixados com as configurações padrões, eles apresentam riscos significativos de estabilidade e segurança. As duas principais vulnerabilidades destacadas nas opções corretas são:
- Ausência de Autenticação de Porta (Opção B):
- Conceito: Por padrão, a maioria dos switches permite que qualquer dispositivo seja conectado a uma porta física sem verificar sua identidade.
- Risco: Um atacante pode conectar um laptop ou dispositivo malicioso diretamente ao switch e acessar a rede interna ou realizar ataques como ARP Spoofing.
- Mitigação: Configurar Port Security ou 802.1X para exigir autenticação antes de liberar o acesso à rede.
- Vulnerabilidade a Tempestades de Transmissão (Opção C):
- Conceito: Os switches encaminham quadros de broadcast para todas as portas, exceto a origem. Se houver um loop de camada 2 ou um ataque de inundação, o número de pacotes pode explodir.
- Risco: Uma tempestade de transmissão (broadcast storm) consome toda a largura de banda e recursos de CPU do switch, resultando em Negação de Serviço (DoS) para todos os usuários.
- Mitigação: Habilitar o Spanning Tree Protocol (STP) e configurar limites de tempestade (Storm Control).
2. Por que as outras opções estão incorretas?
- Opção A (Acesso de gerenciamento via MAC): Esta afirmação sugere uma restrição de segurança ("apenas através do endereço MAC"). Na prática, o risco é que o acesso esteja aberto, não restrito. Além disso, o gerenciamento geralmente ocorre via protocolo IP (SNMP, SSH, HTTP), não exclusivamente via MAC.
- Opção D (Acesso via VLANs padrão): Embora gerenciar um switch na VLAN padrão (geralmente VLAN 1) seja uma má prática de segurança (pois a VLAN 1 é transitiva em todos os links tronco), a afirmação diz que o acesso está disponível "apenas" por elas. Isso descreve uma limitação, mas não é a principal razão técnica citada para a proteção imediata contra falhas de funcionamento ou invasões diretas comparado à falta de autenticação e controle de tráfego.
Conclusão
Um engenheiro de segurança deve proteger o switch principalmente porque ele, por padrão, não verifica quem se conecta (falta de autenticação) e pode ser sobrecarregado facilmente por tráfego excessivo (tempestades).
Resumo:
- Opção Correta 1: "Por padrão, a autenticação da porta não está configurada."
- Opção Correta 2: "Por padrão, um switch é vulnerável a tempestades de transmissão."