2.1a,b,c,f Spoof/StormControl Flashcards

1
Q

Storm Control

A

Controlar o numero de pacotes floodados na rede devido a broadcasts, multicasts, unkown unicast
Sob condicoes extremas, frames floodados podem sobrecarregar hosts

Configurado por porta. Estabelecer limites e acoes quando estes sao atingidos

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Configuracao StormControl

A
  1. Selecionar a interface
  2. Escolhe o tipo e o limite{level0.00-100.00 = porcentagem da banda/ pps/ bps}
  3. Especificar acao
  4. storm-control level Y X
    X= falling threshold
  5. storm-control action [shutdown/trap]

acao padrao(dropar trafego)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

verificar Storm Control

A

show strom-control [int] [broad/multi/uni]

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

DHCP Snooping (ideia)

A

Um atacante utilizando um servidor DHCP falso na rede para passar redirecionar o trafego para ele e realizar um ataque MITM.
Pacotes destinados para fora da rede vao passar pela maquina do atacante

Ao habilitar o DHCP Snoop, switchports sao categorizadas como confiaveis/ nao-confiaveis
(O dhcp verdadeiro fica em um porta trusted, enquanto que todos os outros hosts sao untrusted)

O switch intercepta requests DHCP e, caso veja uma resposta em uma untrusted, esse trafego descartado

!!!! Isso eh feito mantendo uma base com os MACs dos clientes, IPs oferecidos, lease time, interface … mantem anotados os DHCP bindings

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Configurar DHCP Snooping

A
  1. Habilitar globalmente
  2. 5 Local onde a base de dados vai ser guardada (run padrao)
  3. Identificar as VLANs onde o DHCP snooping vai ser implementado
  4. Identificar portas confiaveis
  5. (Opcional) Limitar o numero de requisicoes DHCP (discover) uma porta aceita
  6. (Opcional) desativar opcao82, agente relay (ativado por padrao nos pacotes discover.. alguns servidores DHCP nao suportam essa opcao)
1 ip dhcp snooping (global)
1.5 ip dhcp snooping database flash:/[snoopy.db]
2 ip dhcp snooping vlan 
3. int X
   ip dhcp snooping trust
4. int Y
   ip dhcp snooping limit rate 
5. no ip dhcp snooping information option
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Verificar DHCP Snooping

A

sh ip dhcp snooping [binding]
somente portas trusted ou com limites sao listadas.
A opcao binding mostra todas as portas

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

IP Source Guard (ideia)

A

IP address spoofing (mascarar a origem de um ataque) que estao na mesma sub-rede que os IPs corretos.

O ip s.g. usa o banco de dados do dhcp snooping.
O ip de origem deve ser igual ao aprendido pelo dhcp. O switch cria uma ACL e adiciona o ip a essa acl. Caso seja diferente, o pacote eh dropado.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Configurar IP Source Guard

A
  1. Habilitar o DHCP Snooping (detectar ip spoofados)
  2. (opcional) habilitar port-security (detectar mac spoofados)
  3. Para os hosts que nao usam o dhcp, configurar bindings IP estaticos
  4. Habilitar ip source guard nas interfaces (non-routed ports)

COMANDOS
3. ip source binding vlan interface

4.interface
ip verify source [port-security]
(o comando inspeciona somente o IP, com a opcao port-sec, o mac tb sera inspecionado)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

verificar IP Source Guard

A

sh ip verify source [int x]

sh ip source binding [opcoes]

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Dynamic Arp Inspection (DA)

A

Evitar ARP poisoning (GARP)

Funciona parecido com o DHCP snooping, O switch inspeciona os pacotes arp em portas trusted/ untrusted

O switch obtem as informacoes arp ou configurando estaticamente ou pelas entradas do dhcp snooping. Acao padrao eh dropar os pacotes invalidos

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Configuracao DAI

A
  1. Habilitar por vlans (portas untrusted por padrao)
  2. Identificar portas trusted (portas que conectam a outros switches q tb estao com o DAI habilitado)
  3. Caso se tenha hosts IP configurados estaticamente, nao vai haver msg DHCP. Criar uma ARP ACL para definir o binding MAC-IP
  4. Aplicar a ARP ACL
COMANDOS
1. ip arp inspection vlan 
2. int X
   ip arp inspection trust
3. arp access-list 
  permit ip host  mac host 
4.ip arp inspection filter  vlan  [static]
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Verificar DAI

A

show ip arp inspection

How well did you know this?
1
Not at all
2
3
4
5
Perfectly