DHCP Snooping

Diego DiasLeave a comment

A feature DHCP Snooping permite a proteção da rede contra Servidores DHCP não autorizados.

Com o DHCP Snooping configurado, o Switch inspeciona as mensagens DHCP entre uma máquina cliente e servidor com a troca das mensagens: DHCP Discover, DHCP Offer, DHCP Request e o DHCP Ack, como o desenho abaixo:

O comando “ip dhcp snooping” configurado globalmente habilita o serviço no Switch.

Com o serviço habilitado, informe explicitamente qual VLAN deverá filtrar as mensagens DHCP Offer e DHCP Ack ; com o comando “ip dhcp snooping vlan vlan-range”.

ip dhcp snooping
! Habilitando o processo globalmente
ip dhcp snooping vlan 20
! Habilitando o dhcp snooping na vlan 20

Os comandos listados restringirão todas as portas do Switch na VLAN 20 como untrusted (não confiável). Filtrando todas as mensagens de oferta do serviço DHCP (a solicitação de serviço DHCP pela máquina cliente não sofrerá nenhuma restrição).

Para o funcionamento do “Servidor DHCP válido” deveremos configurar a porta do Servidor como trusted (confiável) , incluíndo as portas de UpLink.
No Exemplo, configuraremos o dhcp-snooping no Switch com a porta GigabitEthernet 1/8 conectada ao servidor DHCP válido como trust.

Configuração

Switch#conf t
Switch(config)#interface GigabitEthernet1/8
Switch(config-if)#ip dhcp snooping trust

Visualisando

O DHCP-Snooping constrói uma tabela que contém o endereço IP liberado pelo servidor DHCP vinculado ao endereço MAC.

Switch# show ip dhcp snooping binding
MacAddress   IpAddress      Lease(sec) Type  VLAN  Interface
00:FF:16:89:E6:88 192.168.20.2 86250   dhcp-snooping  10  Gi1/12

Switch# show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
20
DHCP snooping is configured on the following Interfaces:
Insertion of option 82 is enabled
   circuit-id format: vlan-mod-port
    remote-id format: MAC
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------
GigabitEthernet 1/8          yes         unlimited
GigabitEthernet 1/12         no          unlimited

Dúvidas e sugestões, deixe um comentário! ;)

Referências
https://supportforums.cisco.com/pt/blog/153731

Explorando SNMP e Melhorando a Segurança em sua Utilização

Ricardo L0ganLeave a comment

Iremos demonstrar o quão poderá ser vulnerável a sua rede caso você tenha uma community  SNMP RFC 1157(RO, RW) habilitada e conhecida pelo agente de ameaça que poderá explorá-la.

Iremos abordar os comandos snmpwalksnmpget e snmpset, todos fazem parte do pacote open source netsmp, e funciona principalmente em ambiente Linux / Unix / MacOs, também existem ferramentas similares que funcionam em Windows.

Basicamente você poderá fazer uma varredura em todas as OIDs dos dispositivos (Switches, Roteadores, firewalls, Servidores entre outros dispositivos que trabalham com SNMP).

Colocando a mão na massa,e utilizando um MAC OS vamos levantar informações sobre um determinado equipamento e posteriormente iremos alterar um parâmetro de configuração deste equipamento.

Informações Necessárias:
Comandos: snmpget / snmpwalk / snmpset
Communities: rdefaultro (e apenas de leitura) rdefaultrw (community de leitura e escrita).
IP Alvo: 192.168.1.1
Outras Info: Parâmetros de coleta

sh-3.2# snmpwalk  -v1 -c 'rdefaultro' 192.168.1.1: system SNMPv2-MIB::sysDescr.0 = STRING: Cisco IOS Software, 7200 Software (C7200-JK9S-M),  Version 12.4(18), RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2007 by Cisco Systems, Inc. Compiled Sat 01-Dec-07 03:07 by prod_rel_team SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.9.1.222 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (128459) 0:21:24.59 SNMPv2-MIB::sysContact.0 = STRING:  SNMPv2-MIB::sysName.0 = STRING: RT_R5_BA.toka.msft SNMPv2-MIB::sysLocation.0 = STRING:  SNMPv2-MIB::sysServices.0 = INTEGER: 78 SNMPv2-MIB::sysORLastChange.0 = Timeticks: (0) 0:00:00.00 

! Verificando Uptime do ativo 
sh-3.2# snmpget -v 2c -c rdefaultro 192.168.1.1 system.sysUpTime.0
 DISMAN-EVENT-MIB::sysUpTimeInstance = Timeticks: (103618) 0:17:16.18 

! Verificando Hostname 
sh-3.2# snmpwalk -v1 -c 'rdefaultro' 192.168.1.1: system.sysName.0
 SNMPv2-MIB::sysName.0 = STRING: RT_R5_BA.toka.msft

 
! Alterando o Campo Contato do Router 
sh-3.2# snmpset  -c  'rdefaultrw'  -v  1 192.168.1.1 system.sysContact.0 s teste@rdefault.com.br SNMPv2-MIB::sysContact.0 = STRING: teste@rdefault.com.br  
sh-3.2# snmpwalk  -c  'rdefaultro'  192.168.1.1 system.sysContact.0 SNMPv2-MIB::sysContact.0 = STRING: teste@rdefault.com.br

Melhorando a segurança de equipamentos Cisco que possuem SNMP habilitado:

✓ Utilizar snmpv3 de preferencia com criptografia;
✓ Utilizar ACL restringindo quais IPs poderão realizar consultas snmp;
✓ Não utilizar o nome de comunidade como “public”, pois é um erro comum por se tratar de uma comunidade default;
✓ Habilitar Comunidades Read Write apenas se necessário (Evitando manipulações de MIBs via snmpset):

Conclusão

Nós desejamos você tenham em mente o conceito de “think out of the box”, desta forma os conceitos apresentados neste artigo podem ser implementados na maioria dos equipamentos disponíveis no mercado, mudando apenas a sintaxe de implementação e ou ferramenta utilizada. Para este artigo foi utilizando um router Cisco com IOS.

Identificação e Autenticação

Diego DiasLeave a comment

No mundo digital, onde armazenamos uma quantidade enorme de dados confidenciais, a segurança cibernética se tornou uma preocupação primordial e proteger os dados e sistemas contra acessos não autorizados é crucial para empresas e indivíduos. O controle de acesso lógico garante que apenas usuários legítimos e autorizados possam acessar aplicativos, recursos e informações confidenciais. A identificação e autenticação são dois processos importantíssimos nesse controle para garantir  a confidencialidade, integridade e disponibilidade dos dados.

Identificação

A identificação se refere ao processo de estabelecer a identidade de um indivíduo ou entidade. Um usuário deve fornecer sua identidade a um sistema para iniciar o processo de autenticação, autorização e auditoria. O processo de fornecer uma identidade pode envolver digitar um nome de usuário, exibir dados biométricos, como face, impressões digitais, utilizar um Smartcard etc. O principal objetivo é que durante a autenticação o usuário deve demonstrar identidades exclusivas.

Autenticação

A autenticação, é o processo de verificar a identidade de um usuário antes de conceder acesso a um sistema, aplicativo ou recurso, comparando uma ou mais informações fornecidas em uma base de dados com identidades validas, como contas de usuários. AS informações de autenticação utilizadas para verificar a identidade é privada de precisa ser protegida.

Imagine uma conta de e-mail,  ao inserir seu nome de usuário e senha, você está fornecendo suas credenciais de autenticação. O sistema verifica se essas informações correspondem a um usuário real e, se tudo estiver correto, permite seu acesso à conta bancária.

Identificação e autenticação acontecem juntos, fornecendo inicialmente a identidade e então providenciando a autenticação. Imaginando que um usuário reivindica uma identidade (usuário diego.dias@email.com) mas não prova sua sua identidade ( com uma senha) e mesmo assim consegue acesso a um sistema, não há formas de provar que o usuário é Diego Dias, pois qualquer um que o conhece poderá se passar por ele.

Autorização e Accouting

Dois elementos adicionais de segurança no controle de acesso aos sistemas são: a autorização que permite acesso aos recursos após o processo de autenticação e contabilidade que audita todos as ações de um usuário ao acessar um sistema como leitura, modificação ou remoção de um arquivo, por exemplo.

Um efetivo sistema de controle de acesso requer um mecanismo forte de identificação e autenticação assim como os serviços de autorização e contabilidade. Em contraste se um usuário não acesso o sistema com suas credenciais, mesmo que os logs registrem os eventos e acesso ao sistema, não será possível identificar quais usuários executaram determinadas ações.

Fatores de autenticação

Os fatores de autenticação são os elementos que comprovam sua identidade durante o processo de autenticação. Tradicionalmente, o fator mais comum era a senha, mas com o aumento das ameaças cibernéticas, métodos mais robustos e seguros se tornaram necessários.

Atualmente, os fatores de autenticação podem ser categorizados em três tipos principais:

1. Algo que você sabe: Essa categoria inclui senhas, PINs, padrões de desbloqueio e perguntas de segurança. São informações que você deve memorizar e manter em sigilo.

2. Algo que você tem: Nesse caso, a autenticação se baseia em um objeto físico em sua posse, como um token de segurança, cartão inteligente ou smartphone com aplicativo autenticador. Ao tentar acessar o sistema, um código único é gerado no dispositivo e deve ser inserido para completar o processo.

3. Algo que você é: Essa categoria utiliza características biométricas, como impressão digital, reconhecimento facial ou íris, para verificar sua identidade. São métodos altamente seguros, pois dependem de características únicas do seu corpo.

Autenticação Baseada em Localização, Ausência e Contexto

Em adição aos 3 principais métodos de autenticação podemos adicionar outros métodos

Algo que você é: Essa categoria inclui localização do usuário por tipo de dispositivo e  localização geográfica.

Autenticação baseada em contexto: trabalha com o atendimento de requisitos para o processos de autenticação como  localização, horário, tipo de dispositivo, etc.

Algumas soluções podem basear o processo de autenticação baseado em algo que você não é, como por exemplo, mesmo com as credenciais corretas um sistema pode não autenticar o acesso a determinado sistema caso a geolocalização seja suspeita. Dispositivos moveis também podem solicitar o uso de gestos como mover as mãos, mover a  cabeça, conectar pontos ou sorrir.Esse método é referido como algo que você faz.

Fator Único vs. Multifator: Qual a Melhor Escolha?

A autenticação por fator único (FA) utiliza apenas um único fator, geralmente uma senha, para verificar a identidade do usuário. Apesar de sua simplicidade, esse método é considerado menos seguro, pois se baseia em um único ponto de falha.

Já a autenticação multifator (MFA) combina dois ou mais fatores de autenticação, tornando o processo de login significativamente mais seguro. Mesmo que um dos fatores seja comprometido, os outros ainda fornecem camadas de proteção adicionais.

A MFA é altamente recomendada para proteger contas confidenciais, como bancos online, e-mails e sistemas corporativos. Diversos serviços online, como Google, Facebook e Amazon, oferecem opções de MFA para aumentar a segurança de suas contas.

Implementando a Autenticação em Sua Vida Digital

Para garantir a segurança de seus dados e sistemas, siga estas dicas para implementar a autenticação em sua vida digital:

  • Ative a MFA em todas as contas importantes: Priorize contas bancárias, e-mails, mídias sociais e qualquer outro serviço que armazene informações confidenciais.
  • Utilize senhas fortes e exclusivas: Crie senhas complexas com combinações de letras maiúsculas e minúsculas, números e símbolos, evitando reutilizá-las em diferentes plataformas.
  • Considere a autenticação biométrica: Se disponível, utilize a autenticação por impressão digital, reconhecimento facial ou íris para maior segurança.
  • Mantenha seus softwares atualizados: Atualize regularmente o sistema operacional, navegadores e aplicativos para garantir que as últimas medidas de segurança estejam implementadas.
  • Esteja atento a phishing e outras técnicas de engenharia social: Tenha cuidado com emails, mensagens ou sites suspeitos que solicitam suas credenciais.

Lembre-se: a segurança cibernética é um processo contínuo. Mantenha-se informado sobre as novas ameaças e práticas de segurança para garantir que seus dados e sistemas estejam sempre protegidos.

Ao implementar os fatores de autenticação de forma adequada, você construirá um escudo robusto contra invasores cibernéticos, protegendo seu mundo digital e garantindo a tranquilidade de saber que suas informações estão seguras.

Top of Rack (ToR) e End of Rack (EoR)

Diego DiasLeave a comment

A implantação de novos switches em Data Centers é uma tarefa que demanda planejamento, pois a escolha do design, equipamentos e o posicionamento físico para cada dispositivo de rede influenciará em toda a estrutura do cabeamento.

Pensando na otimização dos custos e recursos, falaremos nesse post sobre o  posicionamento de Switches como Topo de Rack (ToR) e Fim de fila (EoR)

Os modelos ToR e EoR representam como os Switches e servidores serão conectados entre si e possuem impacto direto sobre a maior parte do esquema de cabeamento.

Top of Rack

No modelo ToR os servidores são conectados a um ou dois Switches Ethernet instalados dentro do Rack. Apesar do nome ser Topo de Rack, os switches não possuem a necessidade de serem instalados na parte superior. A principal caracteristica desse modelo  é o cabeamento via UTP (não necessariamente uma regra), com o cabo relativamente curto entre os equipamentos (servidores e switches) no mesmo rack.

A passagem de fibra é estendida entre o switch de acesso para os switches de distribuição/agregação.

O investimento do cabeamento é reduzido, aumentando o espaço em rack. Em contrapartida, há o aumento do custo com equipamentos de rede e a quantidade de equipamentos a serem gerenciados.

No site http://bradhedlund.com/2009/04/05/top-of-rack-vs-end-of-row-data-center-designs/ o autor faz a seguite colocação (em uma tradução livre):

“Cada rack é conectado ao Data Center com fibra, portanto, não há nenhuma necessidade de uma infra-estrutura volumosa e dispendiosa de cabeamento UTP correndo entre os racks e ao longo do ambiente. Grandes quantidades de cabos de cobre colocam um fardo adicional sobre as instalações do Data Center, podendo obstruir o fluxo de ar, e geralmente, requer mais racks e infra-estrutura dedicada apenas a aplicação de patches e gerenciamento de cabos. Longas distâncias para o tamanho do cabo também podem colocar limitações em velocidades de acesso, servidores e tecnologia de rede. O modelo Topo de Rack evita esses problemas, pois não há necessidade de uma grande infra-estrutura de cabeamento de cobre. Isso é muitas vezes o fator chave para um projeto Top of Rack ser selecionado sobre EoR.”

Segue alguns pontos relevantes levantados no modelo:

Vantagens

  • Facilidade no gerenciamento do cabeamento, menor custo de cabos .
  • Arquitetura por rack e facilidade de futuras transições para novas velocidades no uplink como 40GB e 100Gb.
  • Problemas em um switch afeta um baixo numero de servidores.

Desvantagens

  • Maior número Switches para gerenciar.
  • Problemas de escalabilidade para o STP e conexões para os Switches de agregação e distribuição.
  • Aumento no custo do hardware, em razão do numero de switches.

End of Rack

O modelo End of Rack é baseado no cabeamento por entre os racks ( dos switches para os servidores). O modelo de fim de fila reduz o número de equipamentos de rede e otimiza a utilização de portas  nos  switches.

O termo descreve a utilização de switches que atendam aos servidores de uma fila de racks. Dentro do rack o cabeamento dos servidores poderá ser direcionado para um patch pannel no topo do rack utilizando um cabo UTP curto, então o patch pannel “direciona” os cabos sob o piso ou de maneira elevada  para o rack “fim de fila” com os switches de rede.

A grande quantidade de cabos de RJ45 no fim da fila pode causar um problema de gerenciamento de cabos.

Os switches utilizados no modelo EoR são geralmente modulares, com grande densidade de portas, supervisoras, fontes redundantes, alta disponibilidade e boa capacidade de encaminhamento de quadros/pacotes.

Uma variação do modelo tambem é descrita como MoR, Middle of rack, com os Switches sendo dispostos nos racks centrais ao inves  do fim da fila de Racks.

Vantagens

  • Poucos Switches para gerenciar, potencialmente menor custo de equipamentos de rede e manutenção.
  • Requer poucas portas nos Switches de agregação/distribuição.
  • Menos nós de rede para o encaminhamento de pacotes.
  • Topologia simplificada para o Spanning-Tree

Desvantagens

  • Requer uma robusta infraestrutura para cabeamento.
  • Maiores distâncias de cabeamento interferem na velocidade dos servidores.
  • Problemas no upgrade de Switches.

Referências

Data Center Virtualization Fundamentals – Cisco Press – 2013 – Gustavo A.A. Santana

bradhedlund.com/2009/04/05/top-of-rack-vs-end-of-row-data-center-designs/

http://rekrowten.wordpress.com/2012/10/01/tor-vs-eor-vs-fabric-extender-designs-make-your-rack-clean/

IMPRESSÃO 3D E SUAS OPORTUNIDADES – MATHIAS BUSSINGER – PODCAST #8

Diego DiasLeave a comment

Nesse bate-papo conversamos com o gigante Mathias Bussinger sobre tecnologia de impressão 3D e suas aplicações na indústria, saúde, ou até mesmo como hobby.

A materialização de um objeto impresso em 3D é conseguida através de processos aditivos. Em um processo aditivo, um objeto é concebido geralmente através da sobreposição de camadas sucessivas de material até a conclusão. Cada uma dessas camadas pode ser vista como uma seção transversal em fatias finas do objeto nos softwares tipo “slicers” ou fatiadores. O projeto desejado pode ser modelado pelo usuário ou simplesmente baixados nos vastos repositórios que são alimentados pela comunidade de entusiastas gratuitamente em sua maioria.

A impressão 3D permite que você materialize formas de geometrias complexas usando menos material, com menor custo, comparado aos métodos tradicionais de fabricação. Esta tecnologia é um dos pilares da nova revolução tecnológica que permitem transformar seus projetos, planos e portfólios em algo sólido e concreto.

Ambiente de Lab Gratuito – Cisco Devnet Sandbox

Diego DiasLeave a comment

O ambiente Cisco DevNet Sandbox permite que engenheiros, desenvolvedores, administradores de rede, arquitetos ou qualquer pessoa que queira desenvolver e testar as APIs, controladores, equipamentos de rede, suíte de colaboração e muito mais da ferramentas da Cisco, possa fazê-lo gratuitamente!

Cisco DevNet Sandbox
https://developer.cisco.com/site/sandbox/

Outros Links
Meraki API V1: https://developer.cisco.com/meraki/api-v1/
Postman, API development tool: https://www.postman.com/
Meraki API V1 Postman Documentation (import from here): https://documenter.getpostman.com/view/897512/SzYXYfmJ
Getting started with Postman: https://developer.cisco.com/meraki/build/meraki-postman-collection-getting-started/
https://documenter.getpostman.com/view/897512/SzYXYfmJ#intro

Protegendo o Spanning-Tree (STP)

Diego DiasLeave a comment

Os ataques ao protocolo STP geralmente têm como objetivo assumir a identidade do switch root da rede, ocasionando assim cenários de indisponibilidade na rede. Programas como o Yersinia permitem gerar esse tipo de ataque. Há também cenários em que usuários adicionam switches não gerenciados e hubs (propositadamente ou não) com o intuito de fornecer mais pontos de rede em ambientes que deveriam ser controlados.

As funcionalidades comentadas no vídeo usam como referência Switches 3Com/HP para mitigar os ataques ao STP, mas servem como exemplo para todos principais vendors. As features são: Root Protection (Root Guard), BPDU Protection (BPDU guard) com STP edged-port (portfast) e loop protection (loop guard).

Cabo usb-serial no Linux com minicom

Diego DiasLeave a comment

Utilizar adaptadores usb-serial no sistema operacional com o Windows para configuração de equipamentos de rede, pode ser um parto. Dependendo do fabricante e do adaptador, achar o drive correto para o cabo pode nos fazer gastar horas ou mesmo não conseguir fazer o adaptador funcionar.

Se você for usuário de windows e tem dificuldades de achar o drive correto, suba uma VM e faça o teste em uma distro como o Debian usando o minicom.

Versões mais nova do SO linux, montam automaticamente a conexão na partição:  /dev/ttyUSB0

Para visualizar se o cabo foi reconhecido digite dmesg | grep tty

root@debian:/home/cierais# dmesg | grep tty
[    0.000000] console [tty0] enabled
[    2.212788] 00:05: ttyS0 at I/O 0x3f8 (irq = 4, base_baud = 115200) is a 16550ª
[  112.564462] usb 1-2.2: pl2303 converter now attached to ttyUSB0

No debian, instale o minicom com:

 apt-get install minicom

Configure a conexão:

 minicom -s

Obs: digite A ou B para diminuir ou aumentar a velocidade da conexão

Altere a configuração, salve  e faça o teste.

 minicom

Caso a comunicação não se estabeleça, verifique os cabos e adaptadores, certifique a velocidade da conexão e faça as alterações na configuração através das teclas Ctrl + A Z.

Referências

Acesso em 07/06/18
https://www.vivaolinux.com.br/dica/Minicom-em-notebooks

arpspoof com SSLStrip

Diego DiasLeave a comment

Os ataques à rede local do tipo man-in-the-middle, ou comumente conhecido como MITM, permitem ao atacante posicionar-se no meio da comunicação entre duas partes. Este ataque é útil para conduzir outros ataques, como sniffing (captura das informações) e session hijacking (sequestro de sessão).

A ferramenta arpspoof falsifica mensagems ARP reply com o intuido de direcionar o tráfego da máquina alvo para a máquina do atacante.

A ferramenta SSLStrip, escrita por Moxie Marlinspike, é bastante utilizada em um ataque man-in-the-middle para SSL Hijacking. O SSLStrip fecha uma sessão HTTP com a vítima e uma sessão HTTPS com a página web, capturando assim as informações que deveriam ser criptografadas.