A configuração de Politicas de QoS visam oferecer qualidade de serviço para o tráfego da Rede. Nesse vídeo falamos da configuração de CAR (Commited Access Rate) para limitar a banda trafegada em uma porta VLAN e etc.
Até!
Author: Diego Dias
Vídeo: Reset de senha, bootmenu…
Há diversas situações em que o Eng. de Rede necessita administrar uma rede (ou alguns velhos Switches), em cenários que não possui a senha para acesso console, telnet ou SSH do equipamento.
Nesse video mostramos algumas saídas utilizando o boot menu para o acesso à administração do Switch ou Roteador.
Até mais!
Vídeo:ACL Básica
As ACL (Access Control List) são utilizadas para classificar tráfego para os mais diversos fins, como por exemplo, políticas de filtro de pacotes, QoS e PBR.
Uma ACL pode classificar um tráfego baseando-se no fluxo de dados que entram ou saem de uma interface (porta física, interface VLAN, VLAN, etc).
Na maioria dos casos uma ACL é utilizada para determinar se um pacote será permitido ou descartado em uma interface com as ações PERMIT ou DENY.
Até!
Vídeo: arpspoof (+ sslstrip)
Os ataques à rede local do tipo man-in-the-middle, ou comumente conhecido como MITM, permitem ao atacante posicionar-se no meio da comunicação entre duas partes. Este ataque é útil para conduzir outros ataques, como sniffing (captura das informações) e session hijacking (sequestro de sessão).
A ferramenta arpspoof falsifica mensagems ARP reply com o intuido de direcionar o tráfego da máquina alvo para a máquina do atacante.
A ferramenta SSLStrip, escrita por Moxie Marlinspike, é bastante utilizada em um ataque man-in-the-middle para SSL Hijacking. O SSLStrip fecha uma sessão HTTP com a vítima e uma sessão HTTPS com a página web, capturando assim as informações que deveriam ser criptografadas.
Resumo Spanning-Tree
O Objetivo do STP é eliminar loops na rede com a negociação de caminhos livres através do Switch Root (Raiz). Dessa forma é garantido que haverá apenas um caminho para qualquer destino mas com o bloqueio dos caminhos redundantes. Se houver falha no enlace principal, o caminho em estado de bloqueio torna-se o principal.
Nesse vídeos fazemos um resumo do Spanning-Tree e suas configurações.
Até logo!
Vídeo: Port link-mode bridge | route
Alguns equipamentos baseados no Comware 7 como Roteadores MSR, HSR e Switches HP, permitem a configuração das suas portas no modo L2 (bridge) e L3 (route). Nesse video explicamos a diferença de cada um dos modos, como tambem a configuração de Sub-interfaces, interfaces VLAN e Route-Aggregation.
Vídeo: macof
A ferramenta macof inunda a rede local com endereços MAC randômicos forçando alguns switches a atuarem como repetidores, permitindo ao atacante praticar o sniffing da rede.
Pode também ser utilizada em testes para validação de funcionalidades de segurança da rede, como o port-security, pentest e provas de conceito.
Até mais!
Port-Security: Intrusion Protection
O port-security é uma funcionalidade de camada 2 que impõe limites para o número de endereços MAC permitidos (aprendidos) por uma determinada porta do switch e faz o registro dos endereços MAC válidos para aquela interface, de maneira estática ou dinâmica.
Por exemplo, imaginando que a porta Gi1/0/1 em um Switch 3Com/HP habilitada com port-security aprendeu e registrou dinamicamente o endereço do host A e após isso um invasor tentar remover o cabo do host A para adicionar o host X, a funcionalidade port-security não permitiria a comunicação da máquina do invasor naquela porta e registraria a tentativa de violação/intrusão. O comportamento padrão do port-security é permitir a comunicação dos hosts validos e bloquear os endereços MAC não registrados naquela porta.
Intrusion protection
o Modo intrusion protection permite ao switch tomar outras atitudes nos cenários de violação/intrusão como:
blockmac: Adiciona o endereço MAC dos frames não autorizados para uma lista de endereços MAC bloqueados e descarta a comunicação. A lista de bloqueio armazena os endereços por 3 minutos. O intervalo é fixo e não pode ser alterado.
disable-port: Desablita a porta até a mesma ser ativada manualmente (shut/undo shut)
disableport-temporarily: Desabilita a porta por um período especifico. O período pode ser configurado com o comando global port-security timer disableport time-value.
[Switch-GigabitEthernet1/0/5] port-security intrusion-mode ? blockmac Block the MAC address disableport Disable port disableport-temporarily Disable port temporarily for a period(default is 20 seconds)
Configurando o modo blockmac
No script de configuração abaixo habilitamos o port-security para aprender 4 endereços MAC na interface G1/0/5 de forma dinâmica e com o modo de intrusão blockmac. Os endereços MAC abaixo foram aprendidos previamente de forma dinâmica.
port-security enable # interface GigabitEthernet1/0/5 port access vlan 2 port-security max-mac-count 4 port-security port-mode autolearn port-security intrusion-mode blockmac port-security mac-address security 000c-29c1-434c vlan 2 port-security mac-address security 1c39-470d-494d vlan 2 port-security mac-address security 98fc-e675-749c vlan 2 port-security mac-address security 54fa-f22f-ab4e vlan 2
Comando display
Para visualizar a lista de endereços MAC bloqueados (quando o aprendizado dos 4 endereços MAC foi excedido na porta G1/0/5).
[Switch] display port-security mac-address block MAC ADDR From Port VLAN ID c43c-b856-8cfd GigabitEthernet1/0/5 2 b430-e029-5009 GigabitEthernet1/0/5 2 0456-291e-0b4a GigabitEthernet1/0/5 2 2e57-5632-6b84 GigabitEthernet1/0/5 2 52aa-fc03-3123 GigabitEthernet1/0/5 2
Obs: O tráfego legitimo dos endereços MAC inserido na configuração não é afetado durante o modo de intrusão.
Configurando o modo disableport
Uma vez que a mesma configuração é efetuada mas alterando o modo para disableport, toda a interface é colocada em shutdown após exceder o numero de endereços MAC permitidos na configuração.
[Switch-GigabitEthernet1/0/5]port-security intrusion-mode disableport [Switch-GigabitEthernet1/0/5] %Apr 26 12:26:04:20 2000 Switch PORTSEC/1/VIOLATION: OID: 1.3.6.1.4.1.43.45.1.10.2.26.1.3.2 An intrusion occurs! IfIndex: 9437188 Port:GigabitEthernet1/0/5 MAC Addr: 1C:56:8F:2D:66:0C VLAN id:2 IfAdminStatus: 1 %Apr 26 12:26:04:341 2000 Switch IFNET/4/LINK UPDOWN: GigabitEthernet1/0/5: link status is DOWN #Apr 26 12:26:04:472 2000 Switch IFNET/4/INTERFACE UPDOWN:
Para retornar o tráfego da porta G1/0/5, execute o comando (shut/undo shut) e certifique que apenas há tráfego com o endereço MAC de origem apenas para os endereços descritos na interface.
Obs: no modo disableport-temporarily, após um período a porta voltaria normalmente a comunicação.
Até logo!
Outros artigos de referencia
http://www.comutadores.com.br/switches-3com-4800g-port-security/
http://www.comutadores.com.br/video-port-security/
http://www.comutadores.com.br/comware-trocando-o-endereco-mac-de-uma-porta-com-port-security-habilitado/
Vídeo: Port-security
O port security é uma funcionalidade de camada 2 que impõe limites para o número de endereços MAC permitidos (aprendidos) por uma determinada porta do switch e faz o registro dos endereços MAC válidos para aquela interface, de maneira estática ou dinâmica.
A feature port security permite o aprendizado dinâmico de endereços MAC vinculados a uma determinada interface Ethernet de um host para fins de segurança, não permitindo que outros dispositivos funcionem naquela interface; ou que aquele endereço MAC registrado funcione em outra porta. Se a condição não for satisfeita (a utilização do MAC correto), a porta entrará em estado de violação e não trafegará dados. A endereço MAC fica registrado na configuração da porta junto com o comando port security.
Vídeo: DHCP Relay Agent
A funcionalidade DHCP Relay permite ao Switch L3/Roteador encaminhar as mensagens DHCP em broadcast para determinado servidor além do dominio de broadcast do host, possibilitando assim utilização de um único servidor DHCP para toda a LAN.
Devido ao fato das solicitações de endereço IP ao servidor DHCP ocorrem em broadcast, o roteador configurado com a feature DHCP Relay encaminhará as mensagens ao Servidor DHCP em Unicast.
O servidor DHCP entregará ao cliente o escopo correto baseado na interface IP de origem ( inserida na mensagem DHCP). Para o administrador do servidor DHCP bastará apenas criar os escopos no servidor.