2.1a,b,c,f Spoof/StormControl Flashcards
Storm Control
Controlar o numero de pacotes floodados na rede devido a broadcasts, multicasts, unkown unicast
Sob condicoes extremas, frames floodados podem sobrecarregar hosts
Configurado por porta. Estabelecer limites e acoes quando estes sao atingidos
Configuracao StormControl
- Selecionar a interface
- Escolhe o tipo e o limite{level0.00-100.00 = porcentagem da banda/ pps/ bps}
- Especificar acao
- storm-control level Y X
X= falling threshold - storm-control action [shutdown/trap]
acao padrao(dropar trafego)
verificar Storm Control
show strom-control [int] [broad/multi/uni]
DHCP Snooping (ideia)
Um atacante utilizando um servidor DHCP falso na rede para passar redirecionar o trafego para ele e realizar um ataque MITM.
Pacotes destinados para fora da rede vao passar pela maquina do atacante
Ao habilitar o DHCP Snoop, switchports sao categorizadas como confiaveis/ nao-confiaveis
(O dhcp verdadeiro fica em um porta trusted, enquanto que todos os outros hosts sao untrusted)
O switch intercepta requests DHCP e, caso veja uma resposta em uma untrusted, esse trafego descartado
!!!! Isso eh feito mantendo uma base com os MACs dos clientes, IPs oferecidos, lease time, interface … mantem anotados os DHCP bindings
Configurar DHCP Snooping
- Habilitar globalmente
- 5 Local onde a base de dados vai ser guardada (run padrao)
- Identificar as VLANs onde o DHCP snooping vai ser implementado
- Identificar portas confiaveis
- (Opcional) Limitar o numero de requisicoes DHCP (discover) uma porta aceita
- (Opcional) desativar opcao82, agente relay (ativado por padrao nos pacotes discover.. alguns servidores DHCP nao suportam essa opcao)
1 ip dhcp snooping (global) 1.5 ip dhcp snooping database flash:/[snoopy.db] 2 ip dhcp snooping vlan 3. int X ip dhcp snooping trust 4. int Y ip dhcp snooping limit rate 5. no ip dhcp snooping information option
Verificar DHCP Snooping
sh ip dhcp snooping [binding]
somente portas trusted ou com limites sao listadas.
A opcao binding mostra todas as portas
IP Source Guard (ideia)
IP address spoofing (mascarar a origem de um ataque) que estao na mesma sub-rede que os IPs corretos.
O ip s.g. usa o banco de dados do dhcp snooping.
O ip de origem deve ser igual ao aprendido pelo dhcp. O switch cria uma ACL e adiciona o ip a essa acl. Caso seja diferente, o pacote eh dropado.
Configurar IP Source Guard
- Habilitar o DHCP Snooping (detectar ip spoofados)
- (opcional) habilitar port-security (detectar mac spoofados)
- Para os hosts que nao usam o dhcp, configurar bindings IP estaticos
- Habilitar ip source guard nas interfaces (non-routed ports)
COMANDOS
3. ip source binding vlan interface
4.interface
ip verify source [port-security]
(o comando inspeciona somente o IP, com a opcao port-sec, o mac tb sera inspecionado)
verificar IP Source Guard
sh ip verify source [int x]
sh ip source binding [opcoes]
Dynamic Arp Inspection (DA)
Evitar ARP poisoning (GARP)
Funciona parecido com o DHCP snooping, O switch inspeciona os pacotes arp em portas trusted/ untrusted
O switch obtem as informacoes arp ou configurando estaticamente ou pelas entradas do dhcp snooping. Acao padrao eh dropar os pacotes invalidos
Configuracao DAI
- Habilitar por vlans (portas untrusted por padrao)
- Identificar portas trusted (portas que conectam a outros switches q tb estao com o DAI habilitado)
- Caso se tenha hosts IP configurados estaticamente, nao vai haver msg DHCP. Criar uma ARP ACL para definir o binding MAC-IP
- Aplicar a ARP ACL
COMANDOS 1. ip arp inspection vlan 2. int X ip arp inspection trust 3. arp access-list permit ip host mac host 4.ip arp inspection filter vlan [static]
Verificar DAI
show ip arp inspection
