Archivo para la categoría ‘switches’
Septiembre 15, 2009 | Por vlan138 | Claves: dhcp, vlan | # Enlace permanente
Tengamos en cuenta que una VLAN esta en capa 2 y DHCP en capa 3, asi que necesitamos “algo” que opere en capa 3 y nos de el DHCP y “avisarle” a la/s VLAN de donde tomar IP. O bien nuestro switch es capa 3 o tenemos un router ademas del/los switch.
Ejemplo de configuracion de router
Se crean 3 subinterfaces dentro de la interfaz FA0/0 del router, para esto primero se le asigna la encapsulación seguida del número de la VLAN, (la primera es la nativa por default aunque se puede cambiar a otra.)
interface FastEthernet0/0.1
encapsulation dot1Q 1 native
ip address 192.168.10.1 255.255.255.0
interface FastEthernet0/0.2
encapsulation dot1Q 2
ip address 192.168.11.1 255.255.255.0
interface FastEthernet0/0.3
encapsulation dot1Q 3
ip address 192.168.12.1 255.255.255.0
Después se crean las IP de exclusión (las que no asignara a los clientes)
ip dhcp excluded-address 192.168.10.1 192.168.10.10
ip dhcp excluded-address 192.168.11.1 192.168.11.10
ip dhcp excluded-address 192.168.12.1 192.168.12.10
Y los pools de IP
ip dhcp pool vlan1
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
ip dhcp pool vlan2
network 192.168.11.0 255.255.255.0
default-router 192.168.11.1
ip dhcp pool vlan3
network 192.168.12.0 255.255.255.0
default-router 192.168.12.1
Muy basicamente es lo que hacemos en el router, aunque esto se pude mejorar muchisimo,
Pasemos al Switch de core.
El FA0/1 debe de estar en trunk,
FA0/2 está automaticamente en la VLAN 1
FA0/3 y 0/4 configuradas en su correspondiente VLAN.
Recordemos que debemos definir UN switch como VTP server y los demas, si los hubiera, como cliente
Y ahora solo resta conectar los dispositivos a cada port de su correspondiente VLAN y que la IP se asigne mediante DHCP, y como arriba definimos un pool de IP para cada VLAN, no tendremos ningun problema.
Esto que parece (y lo esta) MUUUUYYYY basicamente explicado, se debe a que cada configuracion va a depender de lo que usemos para nuestra red, si tenemos uno o varios switches, router y/o servers, de Linux o Windows como DHCP, si queremos QoS en VoIP, etc. Etc
Debajo copio links de interes para completar este post
http://articles.techrepublic.com.com/5100-10878_11-5690240.html Configure DHCP on a Cisco router or switch
http://www.tecnun.es/asignaturas/redtelema/Guion%20practica%205%20VoIP.pdf Configurar entorno para VoIP
Gracias
Julio 29, 2009 | Por vlan138 | Claves: port, security | # Enlace permanente
Esto le paso a un amigo recien.
Estaba ya pasado de estudiar y practicar porque mañana rendia el CCNA, y me encuentra en msn preguntandome como configurar port security en los ports de un switch??
Bueno, me quede pensando que cosa rara le habian pedido, quizas una config de seguridad especifica que “detonara” por intentos de MAC spoofeadas, no se, vole con la imaginacion..pero no.
Era algo mucho mas simple, una configuracion standard del tipo “bloquear port al primer intento fallido”, nada raro.
Bien, el habia probado con
Switch(config)#interf fas 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security maximum 1
y al tirar un show port-security xxxxxxx
Switch#show port-security interface fastEthernet 0/1
Port Security : Disabled
Port Status : Secure-down
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses
Asi que le pedi que hiciera solo un
Switch(config-if)#switchport port-security
en la interfaz que queria y que solo tomaba los valores por defecto..y…
Switch#show port-security interface fastEthernet 0/1
Port Security : Enabled
Port Status : Secure-up
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 0
Configured MAC Addresses : 0
Sticky MAC Addresses
Asi que , como pasa seguido, no busquemos lo raro o increiblemente rebuscado..cuando ya le dimos vueltas y tenemos la cabeza arruinada de pensar..volvamos al principio..algo nos olvidamos..
O sino lo dejamos para el otro dia, siempre que sea posible, y con la mente fresca, vas a ver como te aparece la solucion magicamente, y siempre es mas facil de lo que pensamos, y estuvo al alcance de la mano y no la veiamos..:)
Gracias
Diciembre 3, 2008 | Por vlan138 | Claves: 3, seguridad, switches | # Enlace permanente
Los switches Cisco nos brindar ciertas formas de configuracion para tratar de evitar estos ataques de MAC flooding y Spoofing .
Ellas son, dependiendo de los modelos, Port Security, unicast flood protection, y mac-address-table notification.
Port Security, quizas la mas conocida de las opsiones, nos permite efectuar ciertas acciones al detectar que una MAC DISTINTA a la almcenada en la tabla, intenta validar contra el port en cuestion.
Estas acciones pueden ser, deshabilitar el port al primer intento o al N intento, dropear frames que vengan de una MAC desconocida, dropear frames, incrementar un contador de “access violation” y al llegar al limite, deshabilitar.
Ademas es posible tener traps de SNMP que envien a un server syslog los eventos de violaciones de seguridad.
El unicast flood protection puede mandar un alerta cuando un limite establecido por el usuario administrador del switch ha sido alcanzado, puede filtrar el trafico, o deshabilitar el port que esta generando la inundacion.(esta funcion la tiene por ejemplo el Cisco Catalyst 6500 )
Por ultimo , podemos detectar la actividad MAC en nuestra red con mac-address-table notification
Si bien esto NO impide el trafico MAC indebido , lo que hace es advertir sobre “movimientos ” extraños en nuestro entorno
Entonces, poniendo todo en orden, tenemos estas tres opciones para defendernos de ataques MAC:
• Port security
• MAC address activity notification
• Unknown unicast flooding protection
Port security puede imponer un limite en el numero de frames de un port de una LAN que son dinamicamente aprendidos por el switch.
MAC notification da una clara y casi instantanea visibilidad de la actividad en la red “disparada” por direcciones MAC moviendose de un port a otro.
Unknown unicast flooding permite poner control sobre la cantidad de unicast floods que un host puede generar.
Los tres metodos son efectivos contra ataques DoS.
Noviembre 28, 2008 | Por vlan138 | Claves: seguridad, switches | # Enlace permanente
Los switches tienen una limitada capacidad de almacenamiento de MAC,ya que no se puede guardar infinitas direcciones porque el costo del equipo seria elevadisimo, asi que dependiendo del modelo, esa memoria es limitada
Por ejemplo, en un Switch Cisco Catalyst Series 2940/50/55/60 la capacidad de entradas en la tabla es de 8000 direcciones
Y que pasa cuando se “llena” la tabla ?
Bien, dependiendo del modelo y fabricante, podra hacer un LIFO (Last In First Out, el ultimo que entra “empuja” afuera al primero), circular, pot TTL o similar, ages out por ejemplo.
O sea, reemplaza las MAC almacenadas por “nuevas”.
Y si estas nuevas son generadas al azar , introducidas y mantienen SIEMPRE llena la tabla, que pasa?
Bueno, si tengo la forma de estar en esa red, generar source MACs siempre diferentes, a destinos reales pasara lo siguiente…
Si de A mando a B, y esta en la tabla, ok, lo forwardea, y NO inunda con un Unknown unicast flooding, ahora si debido a la inundacion de la tabla, la direccion MAC de B ya NO esta, que hace..si, INUNDA con un Unknown unicast flooding esa VLAN, y TODOS vemos la info que pasa por esa VLAN,
NOTA!! el switch NO sabe que MAC es de que VLAN, o sea que si inundo la tabla, desde la VLAN 200, sobreescribira las MAC de la VLAN 30 por ejemplo, permitiendome desde una VLAN hacer desastres en todo el switch independientemente de cuantas VLAN tenga
O sea, la tabla NO es virtual, no esta dividida en VLANS
MAC flooding deja la puerta abierta para que podamos hacer, por ejemplo un…
MAC Spoofing Attack
Un ataque MAC spoofing consiste en generar un frame desde un host tomando “prestada” una source MAC legitima ya en uso en la VLAN. Esto genera que el switch forwardee frames al PORT INCORRECTO.
El problema de este ataque es que genera automaticamente un DoS (Denial of Service) al host “spoofeado”.
Esto es asi debido a que NO pueden existir dos direcciones MAC identicas, asi que cuando el host atacante “entra” la MAC en la tabla del switch, apunta a SU port y sobreescribe la informacion del host real, creando de esta manera una “baja” automatica de recepcion de datos en el host verdadero.
Este volvera a estar “arriba” si, y solo si, manda un source MAC address y sobreescribe la del atacante y ahora si el switch le enviara los datos nuevamente a el.
La herramienta de publico conocimiento para ghenerar estos ataques es Macof
Bueno, esta esta muy divertido, el proximo post vemos como evitar estos ataques
Gracias!
Noviembre 24, 2008 | Por vlan138 | Claves: seguridad, switches | # Enlace permanente
Bien, el post anterior quedamos en averiguar que pasa cunado recien compro el Switch, lo conecto y no tiene la tabla de forwardeo con ningun dato, o sea esta vacia y debe empezar a saber que esta pasando en su “territorio”
NOTA-recordar que uso arbitrariamente trama y/o frame, es lo mismo
O sea, el switch debe “aprender” a forwardear:
Una vez que un dispositivo conectado al switch se”levanta” o conecta, el switch comienza a escuchar en todos los ports por todo el trafico LAN que llega a ese port, los bytes 7-13 del frame/trama contienen la MAC del equipo que envia la misma (source sender MAC)
Asi empieza a armar su “forwarding table” colocando la MAC de este dispositivo vomo primera entrada de su tabla de forwardeo.
Pero bueno, resulta que este frame tambien tiene un campo “destino” al que el switch debe enviar la trama, entonces, si solo conoce UNA direccion MAC, que es la que origino el frame, como sabe a quien mandarle esta info?
Bien, en este caso se comportaria casi como un HUB e inundaria (flood) TODA LA VLAN de donde vino esa MAC (en caso de un switch sin configurar, seria VLAN1, o sea, a todos los ports del switch)
Como sabemos, una VLAN puede definirse como un DOMINIO DE BROADCAST, o sea que el flood NO podra pasar a otras VLAN, quedara “dentro” de ella, esto es conocido como un Unknown unicast flooding
Entonces el switch “inunda” el requerimiento para saber a quien mandar la trama, esperando que alguien dentro de la VLAN acepte el frame, y agrega a este nuevo destino a su tabla de forwardeo, la proxima vez que alguien mande algo a esa MAC, ya no tendra que hacer un Unknown unicast flooding.
Ahora, y aca lo interesante, si yo snifeo la red en un momento de flood PUEDO VER TODA LA INFO QUE PASA, ya que en casos normales, si A envia a B, C NO puede ver el trafico dirigido a B, pero si A inunda la VLAN, entonces puedo ver y capturar la info, ya que es enviada a todos.
Excelente!!
ahora que repasamos lo basico, empecemos a ver como explotar las vulnerabilidades de capa 2
Octubre 17, 2008 | Por vlan138 | Claves: introduccion, switches | # Enlace permanente
En esta serie de posteos, ire explicando paso a paso los distintos tipos de ataques a efectuar contra un switch.
Algunos seran “artesanales” otros usando herramientas de ataques especificas, y algunas explotando vulnerabilidades propias de los equipos y protocolos.
Desde ya que esta informacion no deberia usarse para hacer nada ilegal, cada uno es responsable del uso que haga de ella, simplemente cumplo en informar de este tema, no soy el primero ni el unico que postea, esta informacion esta libre por toda internet, asi que …tomenlo como algo “educativo”, no un entrenamiento para bajar infraestructuras de red.
Mucha de la info que detallo esta en ingles en
http://www.ciscoexpo.eurorscg.bg/images/presentations/cisf3.pdf
Encontraran muy detallado CISF
Catalyst Integrated Security Features (CISF)
CISF es un conjunto de contramedidas frente a ataques en capa 2, que ofrece Cisco.
Estas herramientas están disponibles dependiendo del modelo de equipo
Nos permite defendernos utilizando
- Storm Control
- Port Security
- DHCP Snooping
- ARP Inspection
- Source Guard
- Trunking
- Spanning Tree
- VACL
Pero antes de ver esto en detalle, repasemos lo basico de switching
Ethernet Frame Formats
Los frames de ethernet, vienen en varios formatos, pero todos contienen la misma informacion en definitiva,
preambulo -64 bits
source o fuente -direccion MAC
destino -direccion MAC
Ethertype o longitud (ethertypev2/ IEEE 802.3)- indica cuantos bytes de datos siguen, generalmente 1500 bytes (0×5DC),
payload/datos- los 1500 bytes(MTU) OJO!!hay JUMBO frames
http://en.wikipedia.org/wiki/Jumbo_Frame explica esto
checksum / CRC -chequeo de errores
Aclaracion, hay libros enteros sobre los formatos de trama, especificaciones, etc, esto es solo un repaso MUY breve para lo que viene
dentro de ellos se destacan los formatos EthernetV2 and IEEE 802.3.
Bien, ahora recordemos lo que es una MAC Address
Direccion unica de 6 bytes,que identifica a CADA dispositivo que contiene una NIC, placa de red, o adaptador de red, o “ethernet adapter”, (varias formas de decir lo mismo), logrando de esta manera que CADA DISPOSITIVO conectado tenga una UNICA direccion que la identifica en TODA la red (su DNI seria 
)
Esta direccion de 6 bytes esta dividida en dos partes, los 3 primeros corresponden al “vendor” (fabricante) y los restantes 3 al numero de serie, asignado por el vendor.
Estos 6 bytes forman 48 bits, lo que nos daria 2 elevado a 48=281,474,976,710,656
posibles numeros DISTINTOS, por lo cual se considera que cualquier cosa conectada a una red se puede identificar univocamente.
Como dijimos mas arriba, cada frame/trama tiene UNA direccion MAC fuente/source, y OTRA direccion MAC destino.
El campo source identifica al que envia la trama, el destino, al/los destinatarios (parece obvio, pero sigamos)
Ahora yo envio mi tramita de mi PC a la tuya, ..como sabe cual es tu PC??si, deberia saber tu MAC,pero como??
Un switch hace esto construyendo una CAM, forwarding table o bridging table.
Casi como un router, se hace su “tablita” que matchea MAC con port del switch, en cambio el router lo hace con la IP, recuerden router Layer3, switch Layer2
Bien, el switch sabe que a cada port tiene conectado “algo” que identifica por su MAC, entonces si yo le envio una trama desde mi “algo1″ al “algo2″, simplemente mira mi MAC destino,en el frame/trama y se la manda al “algo” correspondiente.
Pero, y cuando recien me compre el switch y lo instale, le conecte todo y es la primera vez que lo enciendo y arranco las PC`s, impresoras, etc que tiene conectadas, como sabe quien es quien?¿??¿??¿
Como sabe que soy MAC 1 y vos MAC2?¿?¿
Bueno, lo vemos en el siguiente post
Gracias!!
Septiembre 8, 2008 | Por vlan138 | Claves: vlan1 | # Enlace permanente
Bueno, esto es un pequeño “truco” para optimizar y securizar en cierta medida nuestro entorno de VLAN.
Cada Trunk tiene una VLAN “nativa” que transporta trafico “no etiquetado” (untagged traffic)
Nota, untagged traffic es aquel que viene justamente de una interfaz ethernet “untagged”· tal como una PC o una impresora
Ademas un untagged port puede tener configurada una sola VLAN , y por otro lado un tagged port puede recibir tags desde otro hardware conectado como ser un uplink (trunk) a otro se con MAS VLANs, y puede ser miembro de otras VLANs, no de una sola
Ejemplo, puedo tener un port con SOLO UNA untagged VLAN configurada y 3 tagged VLAN configuradas.
Retomando:
Cada Trunk tiene una VLAN “nativa” que transporta trafico “no etiquetado” (untagged traffic)
Por defecto , la VLAN “nativa” en un trunk es …si!!! VLAN1!!!
Como “best practice” , VLAN1 NUNCA deberia ser usada como VLAN nativa de un trunk link.
VLAN1 se usa internamente como administracion de trafico, por protocolos tales como STP (Spanning Tree Protocol), CDP (Cisco Discovery Protocolo), etc..por lo que NADA deberia interferir con este trafico, por lo que es ALTAMENTE recomendable configurar todo lo demas (entre ello el trunk) en OTRA VLAN.
Por ello deberiamos configurar por ejemplo la VLAN 999 como sigue.
switchport trunk native vlan 999 .
Por defecto, un switch permitira al trunk port transportar el trafico de TODAS las VLAN configuradas en un switch.
Por lo que si tenemos 10 VLANs y queremos que solo se transporten la 2 y la 3 hacemos
switchport trunk allowed vlan 2,3
Y las otras VLAN NO podran atravesar el trunk port
El ejemplo completo
Interface GigabitEthernet0/1
Description Uplink a Datacenter
switchport trunk encapsulation dot1q
switchport trunk native vlan 999
switchport trunk allowed vlan 2,3
switchport mode trunk
Gracias!
| Por vlan138 | Claves: transporte, vlan | # Enlace permanente
Supongamos el siguiente escenario, un rack con 3 switches en los cuales tengo las VLAN abajo especificadas y necesito “TRANSPORTARLAS” por el port de trunk de cada sw con el objeto de que se puedan acceder “todas contra todas” desde los 3 switches.
En el sw 1 pondriamos algo asi:
interface FastEthernet0/47
description Conexion a Sw-2 Obs: Fa0/47
switchport trunk allowed vlan 1,130,140,150,160,170,200-210
switchport mode trunk
speed 100
duplex full
no cdp enable
En el sw 2:
interface FastEthernet0/48
description Conexion a Sw-3 Obs: Fa0/48
switchport trunk allowed vlan 1,130,140,150,160,170,200-210
switchport mode trunk
speed 100
duplex full
no cdp enable
En el sw 3:
Interface GigabitEthernet0/1
Description Uplink to Data Center Distribution
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,130,140,150,160,170,200-210
switchport mode trunk
Ahora notemos algo, que pasa si creo la VLAN 100 en el sw 1 en modo transparente?¿?
vtp mode transparent
vlan 100
vlan name PRUEBA
exit
le asigno algunos ports a esa VLAN
int fast 0/2-8 (rango del port 2 hasta el 
swichtport mode acces
swichtport mode acces vlan 100
exit
Lo que pasaria es que esta VLAN se crearia en MODO LOCAL en el sw1, NO se pasarian los cambios a los demas ya que no esta en modo VTP server, y ademas, NO esta “TRANSPORTADA” por el trunk de los sw con el fin de verse con las demas VLAN, o sea, estaria solita en el sw1 y NO se podria ver desde otrasVLAN ni ella podria ver a las otras (bueno, ese es uno de ls fines de las VLAN, la seguridad , reducir dominios de broadcast, agrupar users por tareas, etc)
Gracias y en el proximo les comento una mejora a los trunks
Agosto 26, 2008 | Por vlan138 | Claves: modes, vtp | # Enlace permanente
Referido al post anterior les comento un poco que es VTP
VTP = VLAN Trunking Protocol, un protocolo usado para configurar y administrar VLANs en equipos Cisco.
Los switches pueden operar en 3 modos VTP diferentes
Servidor – Cliente – Transparente
En modo server (por defecto cualquier sw catalyst configurado para usar VTP arranca en este modo), en cada dominio VTP debe existir al menos UN sw en modo server.
En este modo se puede crear, modificar, agregar o borrar cualquier informacion referida a VLANs, la cual sera replicada en TODOS los otros sw del dominio.
En modo cliente el sw recibe anuncios y efectua cambios de acuerdo los contenidos de estos avisos
En este modo NO se puede cambiar la informacion de las VLAN
En modo transparent el sw forwardeara los mensajes VTP, pero NO usara la informacion que recibe.
Las VLAN creadas, borradas o modificadas en este estado NO se aplicaran a todo el dominio, SOLO APLICAN LOCALMENTE, o sea, a este sw unicamente.
Cuando un sw recibe un VTP update, chequea el nombre de dominio VTP y el numero de revision almacenada en el aviso.Si la informacion es para un nombre de dominio distinto, se ignora, y si el numero de revision es menor al numero actualmente almacenado en la base de datos, es ignorado tambien.
Por ultimo, conviene poner clave al dominio VTP, de lo contrario si alguien lo accesa puede hacer lo que desee con las VLAN.
Ademas de poner contraseña usar hash MD5
Hay mucho mas sobre VTP, con entrar a Cisco hay para entretenerse
Gracias!
| Por vlan138 | Claves: vtp | # Enlace permanente
Escenario:
Se pide al Dto. de Networking que transporte 7 ports de 3 distintos switches a una VLAN determinada
Resultado, el sh running config muestra efectivamente la nueva configuracion, pero en las PC NO esta reflejado el cambio, o sea, si hacemos un ipconfig nos da la VLAN anterior, NO el cambio que esta afectado en los switches en los ports ya configurados
Mirando un poco en la configuracion de los switches me encuentro con la sorpresa de que esta MAL configurado el VTP
vtp domain ve
vtp mode transparent
¿Que significa lo de arriba?
vtp domain ve DOMINIO VTP, puede ser cualquier nombre, con la obvia cuestion de que cada sw que este configurado en ese dominio, aplicara los cambios a TODOS los sw de ESE dominio, SIEMPRE que el sw desde el que se ejecuta el comando de cambio de configuraciones de VLAN ESTE EN MODO VTP SERVER
vtp mode transparent MODO TRANSPARENTE APLICA CAMBIOS EN FORMA LOCAL!!!!!NO LOS REPLICA EN LOS OTROS SW!!!
Resumiendo, o bien ponemos este sw en modo server y lo sacamos del dominio ve, o configuramos un sw de core como server, con un nombre de dominio valido, y configuramos los 32 sw restantes como modo cliente pero apuntando a ese nombre de dominio, y en caso de tener algun sw que no nos interese que participe de ningun cambio, se coloca en modo transparente
gracias!
