A session about the topic that is worth it.
I remember to have attended this session when I went to blackhat. I just want to share something that I think it is worth it.
Sharing my IT experience…
A session about the topic that is worth it.
I remember to have attended this session when I went to blackhat. I just want to share something that I think it is worth it.
Ao contrário do que algumas pessoas pensam o STP toolkit não é nenhuma ferramenta disponível para nos ajudar com o protocolo STP.
São sim, um conjunto de extensões que a CISCO fez à sua implementação do protocolo para o tornar mais eficiente.
Spanning-Tree protocol permite que as redes da camada 2 do modelo de OSI (Layer 2) com redundancia funcionem em condições preveningo loops indesejaveis. Este algoritmo automaticamente calcula a topologia e decide quais as portas que devem ficar em standby para impedir loops na rede, garantindo assim uma maior eficiencia.
Por defenição o comportamento do protocolo é determinista ou seja nós sabemos exactamente como se deve comportar numa rede. Por vezes não o é, seja por alterações feitas na rede ou por aparelhos na camada de acesso que são controlados pelos utilizadores finais ou falhas de ligações.
Para optimizar a performance do protocolo a CISCO fornece o STP toolkit. Este conjunto de ferramentas permite optimizar e tornar mais seguras as redes L2 (Layer 2).
As ferramentas que fazem parte deste kit são:
PortFast – Faz com que as portas do equipamento entrem em estado forwarding imediatamente, passando assim os estados normais de aprendizagem. A porta configurada ainda faz parte da topologia STP e pode imediatamente transitar de estados diminuindo assim o tempo de convergencia. Podendo passar ao estado blocked se necessario. Pode ser activada em portas trunk Pode ter valores operacionais diferentes dos configurados.
notas:
BPDUGuard – Quando activa desliga a porta que recebe um BPDU (Bridge Protocol Data Unity). Permite uma maior segurança contra más configurações porque o administrador pode colocar a porta de novo a funcionar. Quando configurado ao nivel de uma porta coloca a porta imediatamente em estado desligado independentemente da configuração PortFast.
notas:
BPDUFilter – Impede uma porta de receber ou enviar BPDU
notas:
UplinkFast – Fornece Convergência depois de uma falha na ligação, permite balanceamento de carga com a utilização de grupos de Uplink.
notas:
RootGuard – Previne uma porta de se tornar uma root port ou blocked port.
Quando configurada numa porta e esta recebe um valor de BPDU superior ela passa imediatamente ao valor de de Root-Inconsistent (Blocked) state.
BackboneFast – Iniciado quando uma root port ou uma porta bloqueada recebe um BPDU de valor inferior de um designated Bridge.
Permite uma maior rapidez em caso de falha.
LoopGuard – Ajuda a prevenir “bridging loops” que pode ocorrer devido a falhas de ligações unidirecionais. Quando activado globalemte aplica-se a todas as ligações ponto a ponto. Detecta as portas em estado blocked e as root ports garantindo que continuam a receber informação das portas designadas do systema. Pode ser activado por porta. É autmaticamente aplicado a todas as intancias de VLAN’s activas no systema. Quando activado numa ligação Etherchanel pode afectar todas as conecções até que a conecção com problemas seja removida do link agregado.
Esta tradução de endereços adiciona um nível de segurança na nossa rede pois impede a divulgação de endereços internos na rede externa.
Os dispositivos NAT também podem funcionar de forma inversa, traduzindo múltiplos endereços públicos para um ou mais endereços privados.
1 2 3 4 5 6 7 | enable configure terminal ip nat inside source static 192.168.1.2 209.200.160.100 interface fa 0/0 Interface com ligação ao interior ip nat inside interface fa0/1 Interface com ligação ao exterior ip nat outside |
1 2 3 4 5 6 7 8 9 | enable configure terminal access list 11 permit 192.168.1.0 0.0.0.255 Criação da lista de endereços que podem ser traduzidos pelo nat ip nat pool nomepool 209.200.160.100 209.200.160.110 prefix-lenght 24 conjunto de endereços externos que vão ser usados na tradução dos endereços internos. ip nat inside source list 1 pool nomepool associação dos endereços internos á pool de endereços externos int fa 0/0 interface da rede interna ip nat inside int fa 0/1 interface da rede externa ip nat outside |
1 2 3 4 5 6 7 8 9 | enable configure terminal access-list 1 permit 192.168.1.0 0.0.0.255 ip nat pool nomepool 209.200.160.100 209.200.160.100 prefix-length 24 ip nat inside source list 1 pool nomepool overload int fa0/0 ip nat inside int fa0/1 ip nat outside |
1 2 3 4 5 6 7 8 9 | enable configure terminal access-list 1 permit 192.168.1.0 0.0.0.255 ip nat pool nomepool 209.200.160.100 209.200.160.110 prefix-length 24 ip nat inside source list 1 pool nomepool overload int fa0/0 ip nat inside int fa0/1 ip nat outside |
Aqui ficam os tempos por defeito que podem ser alterados:
1 2 3 4 5 6 7 8 9 | enable configure terminal access-list 1 permit 192.168.1.0 0.0.0.255 ip nat pool nomepool 192.168.1.2 192.168.1.10 prefix-length 24 ip nat outside source list 1 pool address pool interface fa 0/0 ip nat inside interface fa 0/1 ip nat outside |
Mais informação sore o NAT
Para activarmos o SNMP no nosso equipamento Cisco é necessário escrever os seguintes comandos:
enable
configure terminal
snmp-server contact xpto at “numero telefone” (numero de contacto)
snmp-server location rua x (morada)
snmp-server chassis-id 123456 (numero de serie do dispositivo)
Configurar visualizações de SNMP.
snmp-server view ciscoview mib-2 included (criar e incluir uma visualização de SNMP (sub-tree))
Configurar uma comunidade SNMP
snmp-server comunity xpto ro (criação de uma view com permissões de leitura ao conteúdo total da MIB)
snmp-server comunity xpto2 view ciscoview (criação de uma view com permissões apenas para a “sub-tree” da MIB-2 definida anteriormente.)
Para configurar SSH num equipamento cisco sem hostname e sem domain name podemos recorrer aos seguintes comandos:
1 2 3 4 5 | enable configure terminal ip ssh rsa keypair-name ciscopair generate rsa usage-keys label ciscopair modulus 1024 ip ssh version 2 |
É uma forma de controlo de acessos que restringe o acesso aos recursos baseado-se nas funções dos utilizadores.
Este método de controlo pode ser utilizado pelas grandes empresas para atribuir acessos aos funcionários tendo por base a sua função.
Assim consegue-se cumprir as melhores recomendações de segurança segregando acessos e atribuindo privilégios de administração a quem de direito.
Para activar a funcionalidade num router ou switch cisco temos de seguir os seguintes passos:
1 – activar as “cli view’s”
2 – configurar as várias “cli views” para os diferentes administradores
3 – opcionalmente pode-se criar views para grupos diferentes de utilizadores com passwords diferentes para aceder a um “CLI” particular.
Comandos:
1:
Enable
Configure terminal
Enable view ( entra em modo root view que permite criar varias views)
2:
Parser view my-view ( criar um nome de view)
Secret xpto (atribuir um enable secret)
Commands exec include show access-list (especificar comandos no modo exec.)
Commands exec include configure terminal ( especificar comandos no modo exec.)
Commands configure include ip access-list extended (especificar comandos no modo de configuração)
Commands Ipneacl include all deny ( especificar sub comandos do modo de configuração)
Commands ipenacl all permit
As opções possíveis são:
Include – adiciona um comando especifico ou interface a uma view
Include-exclusive – adiciona um comando especifico ou interface numa view mas exclui o comando de todas as outras
Exclude – nega acesso ao comandos especificados.
All – funciona como wildcard.
As portas trunk são portas que permitem a passagem de várias redes virtuais (VLAN) ao mesmo tempo. Desde que devidamente autorizadas. É necessário ter uma maior sensibilidade em relação á sua segurança, caso elas sejam comprometidas o atacante terá acesso a todas as redes virtuais que passam nessa porta.
Para activar uma porta em modo trunk é necessário escrever os seguintes comandos:
Enable Configure terminal Interface fast Ethernet 0/0 Switchport mode trunk
Nos switchs é importante que todas as portas que não são trunk devam ser forçadas como portas de acesso. Devemos por razões de segurança evitar ter portas dinâmicas ou em modo negociável.
Para colocar uma porta em modo acesso devemos escrever os seguintes comandos:
enable
configure terminal
Interface fa0/0
switchport mode access
Pode ser também aplicado a um conjunto de portas em vez de uma só como no exemplo em cima.
O comando para indicar que temos de escolher uma palavra-chave com um tamanho mínimo de 10 caracteres é:
1 2 3 | enable config terminal security passwords min-length 10 |
banner motd
Configura a mensagem do dia (message of the day)
configure terminal
entra no modo de configuração de terminal
copy running-config to startup-config
Copia a configuração actual para a configuração de arranque do router.
enable
entra no modo privilegiado
enable secret password
apaga a configuração de arranque
erase startup-configuration
coloca-nos no interface indicado
interface interface
define qual o endereço de ip do interface
ip address address mask
Define qual o gateway
ip default-gateway address
Coloca-nos dentro da consola 0
line console 0
coloca-nos dentro das consolas virtuais 0 a 4
line vty 0 4
activa o pedido de identificação dos utilizadores que acedem ao equipamento via vty ou consola.
login
define a password dos utilizadores da consola. Quando feito dentro da consola.
password password
pinga um determinado ip
ping ip address
recarrega o IOS
reload
mostra os vizinhos que o CDP aprendeu
show cdp neighbours
Mostra todos os interfaces do equipamento
show interfaces
Mostra o modo em que um determinado interface está.
show port-security interface interface-if {address}
mostra a configuração que está a correr
show running-configuration
desliga e activa por exemplo um interface
shutdown / no shutdown
coloca em modo de acesso um interface
switch-port mode access
activa o modo de segurança de um interface
switch-port port-security
activa o modo de segurança de um interface pelo mac-address
switch-port port-security mac-address mac-address
define qual o numero máximo de mac-address que podem ser ligado no interface
switch-port port-security maximum value