Segurança em redes locais V:Protegendo-se de DHCP Spoofing usando DHCP Snooping

Na ultima matéria falamos de IP Spoofing.

Um atacante no intuito de conseguir capturar tráfego dentro duma rede interna pode introduzir um servidor DHCP ilegal a seu serviço na rede de tal modo que este também atribua endereços as maquinas clientes. Se a resposta do servidor DHCP do atacante chegar primeiro que a do servidor DHCP legal então o atacante pode induzir a que o tráfego passe por ele. Para mais informações sobre DHCP ler este artigo.

Pela figura acima, nota-se que o atacante tira proveito de estar mais próximo do cliente. A sua resposta ao cliente chega primeiro e claro, ela contem endereços IP e Gateway(GW) que fazem tráfego do cliente passar exactamente pela maquina do atacante.

Os comutadores Cisco possuem uma característica que permite combater ataques deste género: portas untrusted e trusted. Se a porta está no estado trusted ela pode receber respostas DHCP do tipo DHCPOFFER e DHCPACK. Se está no estado untrusted ela nao pode receber respostas DHCP. A porta no estado untrusted é desabilitada se uma resposta DHCP chega nela.

Quem tira partido disso são os comutadores Cisco da linha Catalyst (não consultei em quais versões na sua totalidade) que possuem a tecnologia DHCP Snooping. Para activar o DHCP Snooping, é preciso activa-lo globalmente e depois por interface:

(config)#ip dhcp snooping

Pode também ser activado por VLAN:

(config)#ip dhcp snooping vlan 20-25, 70, 1

Para configurar uma porta em modo trusted é necessário estar em modo de configuração de interface:

(config)#int fa0/0
(config-if)#ip dhcp snooping trust

Nos comutadores Catalyst por defeito se uma porta não for configurada explicitamente como trusted, ela é considerada como untrusted, daí não ser necessário perder muito tempo com configurações.

Cisco Auto Secure e SDM One-Step Lockdown

Na prática de assegurar um roteador a Cisco possui uma serie de recomendações. Essas recomendações ou boas praticas podem ser manual ou automaticamente habilitadas num roteador. Se bem que elas não garantem total segurança, pelo menos são um primeiro passo na segurança adicional dos roteadores.

Existem 2 maneiras de habilita-los:

AutoSecure

Com o comando autosecure o roteador realiza uma serie de perguntas e o administrador escolhe as opções. Para habilitar basta digitar o comando auto secure a partir do modo EXEC privilegiado:

#auto secure

O processo é bastante explicativo.

Security Device Manager (SDM) One-Step Lockdown

Um outro jeito de fazer isso é usando a opção disponível no SDM conhecida como One-Step Lockdown. Aqui o administrador praticamente nada faz. O SDM faz tudo e aplica os comandos no roteador.

Configurei o roteador no GNS3 (no caso de nao ter um roteador de verdade) com os seguintes comandos:

username sdm privilege 15 password 0 sdm

interface FastEthernet0/0
ip address 172.16.1.1 255.255.255.0
no shut

ip http server
ip http authentication local
ip http secure-server

line vty 0 4
login local
transport input telnet ssh

Testei essa opção com o GNS3 e uma interface loopback com o cliente SDM a rodar no portátil e correu tudo bem:

 

Confiar neste certificado:

Entrar o username e password como sdm.


Já dentro do SDM, Clicar em Configure > Security Audit. Clicar no botão One-Step Lockdown.

Aguarde:

Pronto!!!

O seguinte artigo explica como usar o SDM com o GNS3 usando interface loopback.

Transiçao para o IPv6. Precisa-se

Ja dissemos aqui que 2011 seria o ano do esgotamento do endereçamento IPv4. De facto consumou-se esta previsão. Teremos provavelmente mais 2/3 anos de ‘tréguas’, depois dali quem não se adaptar seja por meio de aposta em upgrade de hardware e software, como em formação profissional, poderá sentir dificuldades.

Que  não nos espantemos. Nos fóruns de discussão de redes e telecom estrangeiros que frequento, o assunto IPv6 ainda não constitui unanimidade. Isso quer dizer que quem começar a estudar isso agora terá grandes chances de conseguir um bom emprego nos próximos meses.  Apostar numa certificação CCNP nos próximos 6 meses seria uma boa aposta.

Links interessantes:

https://snnangola.wordpress.com/2009/06/16/introducao-ao-ipv6-parte-i/
https://snnangola.wordpress.com/2009/06/02/curso-de-ipv6-na-net/
https://snnangola.wordpress.com/2010/10/01/guia-de-ipv6-completo/

 

As liçoes do professores do IST (II)

Este artigo é uma continuação do primeiro.

O segundo professor a deslocar-se a Angola foi o professor Dr Luís Manuel Correia igualmente do IST e do IT/Portugal. O professor Luís Manuel Correia é um dos maiores estudiosos Portugueses no ramo das comunicações moveis, cadeira que lecciona desde o inicio dos anos 90, tendo publicado já 3 livros em relação a comunicações moveis, um deles envolvendo 4G, além de dezenas de artigos científicos e de ter liderado implementações COST/Telecom (European Cooperation in Science and Technology) que para quem não sabe, cria padrões, regulamentos, recomendações técnicas e documentação a serem usadas na Europa. Lidera ainda o grupo de pesquisas em comunicações sem fio do IT/IST.

A disciplina de Sistemas de Telecom II é uma daquelas cadeiras que se apresentam como difíceis, por abordarem assuntos variados. O programa leccionado foi:

Distribuições Estatísticas em Telecomunicações
Modelos de Propagação
Antenas para Bases e Móveis
Caracterização do Canal Rádio
Redes Celulares
Interface Rádio
Sistemas de Rádio Móvel Privado
Mobilidade e Tráfego
Dimensionamento Celular
Outros Sistemas

Ressalte-se a frontalidade com que o mesmo aborda os assuntos. Usando piadas quando necessário, mas na hora do trabalho, gosta mesmo que os alunos trabalhem, além da pontualidade com que se faz presente as aulas. Aulas estas que depois eram em regime bi-diario, portanto um verdadeiro massacre.

Já no fim do seu programa concedeu uma palestra bastante concorrida no auditório da UCAN, abordando novas tecnologias. Quem assistiu a esta palestra saiu dali satisfeitissimo, podia-se mesmo notar isso no semblante da plateia que ficou maravilhada com a sua desenvoltura ao palestrar e o seu a vontade no tratamento de assuntos técnicos.

Dele ficou o aprendizado em relação a seriedade com que se deve abordar os desafios em engenharia. Um professor quando é pontual passa um grande exemplo aos alunos. Pode parecer brincadeira, mas é verdade.

Ping extendido

Serio, que tem muita gente que estuda redes e ainda nao sabe ou ouviu falar de ping extendido. Um ping extendido permite definir alguns parametros como interface de origem e interface de destino, tamaho do datagrama, protocolo, numero de pacotes ICMP que serao enviados, etc. Para executar um ping extendido basta indicar o comando ping sem nenhum parametro.

O seguinte é um exemplo dum ping extendido do router da esquerda para o da direita. Nao acho necessario colocar aqui exemplo de interfaces de origem e de destino:

rede basica

RouterESQUERDA#ping
Protocol [ip]:
Target IP address: 192.168.1.2
Repeat count [5]: 20
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 20, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (20/20), round-trip min/avg/max = 1/4/17 ms

Como podem obserar foram enviados 20 pacotes ICMP do RouterESQUERDA para a interface 192.168.1.2 ao router a direita. É muito facil de ser feito.

Redundancia de links WAN com IP SLA

Sabia da possibilidade de se fazer redundância de links usando mensagens SNMP.  Uma outra forma é usar monitoramento de desempenho de trafego IP com tecnologia IP SLA. Com IP SLA activados em Cisco devices (comutadores, roteadores) periodicamente estes reportam o desempenho, o que permite determinar por exemplo se um determinado link WAN está down.

Esse tutorial mostra como fazer isso.

Angola poderá adotar padrao Japones de Televisao Digital

A recente visita do vice Japonês para as Telecoms Morita Takashi pode significar que Angola ao contrario da África do Sul deverá adotar o padrão de televisão digital ISDB-T ou o ISDB-Tb/International a versão Brasileira que introduz significativas melhorias em relação a interacção e a compressão.

Uma das coisas que me entusiasma em relação ao padrão ISDB-Tb é que o Brasil já está muito avançado em relação ao middleware Ginga que permitirá a desenvolvedores criar canais de interacção usuário/central/usuário. Quem vai ganhar com isso são os grandes provedores de midia e mesmo os pequenos, que terão os seus conteúdos digitalizados. A televisão deixará de ser um mero receptor para um dispositivo inteligente de output o que permitirá aos video clubs na falência venderem conteúdos aos clientes que não precisarão mais de sair de casa para ir alugar um filme. Aliás nem precisarão sair de casa para cadastrarem-se no video club.