Cisco A2
POZNÁMKY
- symantec? co to je
- symantec.com
-PNETLab
-TightVNC Connection
-GNS3 - na simulaci celých IOS
-yersinia - tool na útoky na L2
-macof - v Kali nástroj na přeplnění MAC adress tabulky
- tap - něco jako SPAN ale lepší na odchytávání provozu
- DIX - Ethernet II
- 802.3 - jiny standard, taky Ethernet v podstatě ale má ve struktuře rámce za MAC adresací pole které označují délku rámce
PŘÍKAZY
enable //vstup do privilegovaného módu
configure terminal //vstup do konfiguračního módu
hostname <WORD> //změna hostname
do <příkaz> //když exec příkaz chci pustit v konfiguračním režimu (dobrej trik abych nemusel furt přepínat režimy)
no debug all //nebude mi už házet logy o ničem do konzole
no ip domain-lookup //nebude se snažit překládat příkazy přes DNS
logging synchronous //logy mi nebudou rušit příkazovou řádku (musim byt v prislusne line)
terminal length 0 //zrusi limit na pocet radku
copy running-config startup-config //copy running konfigurace do startup konfigurace -> vygeneruje seznam příkazů a uloží ho do ROM
copy startup-config running-config //pozor! není načtení konfigurace, pouze merge příkazů ze startup konfigurace do running!
//nahrání do running-config je vždy MERGE! pouze pokud ukládám do startup konfigurace, tak se to přepisuje
reload //restartuje, načte konfiguraci ze startupu
write // také lze používat pro uložení do startup-configu
POSLOUPNOST PRO PROVEDENÍ FACTORY RESETU
erase startup-config // smaže startup config
delete vlan.dat // smaže soubor kde jsou uložené VLANy
reload // restart
show version //vypíše info o switchi
show tech-support //show všeho, je dobré mít zapnuté logování do textového souboru
show processes cpu //vypíše zátěž cpu
show interface
show interface brief
show interfaces status
line console 0 //konfiguruji "console 0"
password <password> //nastaví password
login //povolí logování uživatele
exec-timeout <minuty> //nastaví timeout session na 5 minut
enable password <heslo> //heslo pro přechod do privilegovaného režimu
service password-encryption //spustí službu pro šifrování hesel, takže nejsou v konfiguračním souboru v plain-textu; už se nepoužívá, jednoduché na rozluštění
enable secret <heslo> //heslo pro přechod do privilegovaného režimu, heslo je ale zahashované (MD5)
user <user> secret <heslo>
no enable secret
interface vlan 1 //konfigurace interface vlan 1
vlan 1 //konfigurace přímo vlany neplést!
ip address <ip> <mask> //nastaví IP adresu na interface
description <description> //nastaví popisek
VTY
line vty 0 15 //jdu do konfigurace telnet 0-15
password <password> //nastavim heslo pro připojení na vty
SSH připojení
-musím mít vygenerovaný klíč, na to musím být v doméně
ip domain-name <name> //přiřazení domény
crypto key generate rsa modulus <360-4096> //generace RSA klíče pro SSH komunikaci
crypto key generate ec keysize <256 nebo 354> //generace EC klíčů pro SSH komunikaci
show ip ssh //vypíše aktuální nastavení ssh
show crypto key mypubkey <ec/rsa> //zobrazí klíč
user <user> secret <heslo>
line vty 0 15 //konfiguruji virtual terminal linky 0-15
login local //lokální login pomocí účtů vytvořených ve switchi
transport input ssh //změna na ssh
ip ssh version 2 //chci jen verzi 2
VYPNUTÍ LOGOVÁNÍ
line console 0
logging synchronous
no ip domain-lookup
show running-config | include "text" //něco jako grep
VLAN a TRUNKING
- Trunk - cisco proprietární název, porty jsou v "access" módu k jednotlivým VLANám
- 1 VLAN = 1 IP subnet (je to dobré takhle dělat)
- pokud spolu chtějí zařízení komunikovat napříč VLAN, už je potřeba zásah L3 vrstvy
- možné alokovat dynamicky VLANy na porty podle připojeného zařízení (např přes RADIUS)
- fyzické interfacy jsou defaultně v tzv. dynamickém módu, musíme je přepnout
show vlan
vlan 10 //přepnutí do konfigurace vlan 10
vlan 10, 20, 30 /vytvoření více VLAN
name <name> //pojmenování VLAN
interface FastEthernet 0/1
switchport mode access //přepnutí interface do access módu
switchport access vlan <name> //přiřazení interface do VLAN
interface range FastEthernet 0/1-10 //konfigurujeme interfacy 1-10 najednou
interface FastEthernet 0/0
switchport mode trunk
switchport trunk encapsulation dot1q
switchport trunk allowed vlan remove <vlan list> //odebere vlany z trunk spoje
switchport trunk allowed vlan add <vlan list> //přidá vlany do trunk spoje
NASTAVENÍ SUBINTERFACE NA ROUTERU
- mám jeden trunk spoj, potřebuju více interface abych "oddělil" vlany na routeru - nastavím subinterface, sice jeden fyzický interface ale různé VLAN
-každý subinterface má svou IP adresu, který je gateway pro zařízení v dané VLAN
interface FastEthernet 0/0.xx //přepnu se na daný subinterface, je dobré "xx" napsat jako číslo VLANy, tedy třeba u VLAN 10 to bude subinterface 0/0.10
encapsulation dot1q <xx> //zapnu trunk enkapsulaci, za xx je dobré dávat číslo VLANy
ip address <ip> <mask> //nastavím IP adresu interface
VTP PROTOKOL
vtp domain <domain-name> //nastavení domény
vtp mode <client/server/transparent> //nastavení módu ve kterém switch pro vtp bude - server distribuuje, client přijímá a upravuje svou databázi, transparent jen přeposílá info ale databázi VLAN zanechává
vtp password <password> //nastavení hesla, musí být na switchích v jedné doméně stejné
vtp version <1/2/3> //nastavení vtp verze
show vtp status //zobrazí info o vtp
STP PROTOKOL
- aby se zabránilo smyčce v broadcástech
show spanning-tree
debug spanning-tree events //zapne logování spanning tree eventů
-pro různé VLANy můžu mít různé root bridge
spanning-tree vlan <num> root primary //nastavím switch jako root, pomocí makra na nastavení priority abychom to nemuseli počítat
-u rapid spanning tree musím správně nastavit edge porty/port fasty, linky musí být na point-to -point propojích (full duplex)
-tím zabráním u RSTP tomu, že PC připojené na switch který prochází změnou topologie nejsou 30s nedostupné
interface e0/0
spanning-tree link-type point-to-point //forced nastavení linky na point to point, ne shared
spanning-tree mode rapid-pvst
-pokud zapínám rapid spanning tree, musím na všech portech nastavit portfast
-dobré vždy aktivovat
interface ethernet x/x
spanning tree portfast
spanning tree bpduguard enable
spanning-tree guard root //po aktivaci na daném portu nikdy nebude SW s větším BID - nebude root
spanning-tree portfast trunk //pokud trunk vede například mezi switchem a routerem a chci tam portfast - musím nastavit toto
- prevailence spanning tree - pro jednotlivé VLAN
AGREGACE LINEK
interface range FastEthernet 0/1-5 //vyberu interface FastEthernet 0/1-5
channel-group 1 mode active //seskupim porty do skupiny
show etherchannel summary //vypíše info o etherchanellech
-to musíme udělat i na druhé straně, musí se shodovat; nejlepší je než něco nastavuju dát je do bundle, pak až konfigurovat celý bundle
default interface FastEthernet x/x //hodí interface do defaultu
default interface range FastEthernet x/x-x //hodí více zvolených interface do defaultu
interface range FastEthernet x/x-x //vyberu interfacy
channel-group <číslo> mode <active/passive> //přiřadím je do skupiny s určitým číslem a módem
port-channel load-balance <option> //nastavuju pomocí option jakým způsobem se bude řídit traffic flow, celkem složité mechanismy
- STP po tomhle nastavení vnímá bundlované interfacy jako jeden interf
- snažíme se o to, aby rámce přišly ve stejném pořadí a nebyl například narušen packet-flow -> pakety a rámce ze stejného flow jdou stejnou cestou
- je dobré se po čase podívat na to co se v bundlu děje, kudy rámce chodí nejčastějí (show interface x/x) (clear counters - vynuluje statistiky)
BEZPEČNOST
VLAN hopping
-defaultně je port we switchport modu dynamic - i když dáme switchport mode <mode>
switchport mode <mode>
switchport no negotiate
switchport access vlan <vlan> //povolit jen vlany které jsou opravdu potřeba
- změnit nativní VLANu na jiné číslo než defaultní
- nepoužívané porty dát do shutdown módu
- vytvořit si "parkovací" VLANu, nepoužívané porty přiřadit do ní (dvojitá ochrana)
- nepoužívat VLAN 1 (defaultní)
MAC útoky
- každý switch má tabulku MAC adres, drží si i MAC adresy které jsou za dalším switchem atd.
- v Kali - macof
- obrana - limitujeme kolik MAC adres se na jednom interface smí objevit;
switchport port security <parametry> //parametry - kolik MAC adres se na portu smí objevit (defaultně 1),
//reakce na porušení pravidla:
//protect - nepustím jinou MAC dovnitř;
//restrict - nepustím jinou MAC dovnitř a zapíšu do logu
//shutdown - interface se přepne do error disable stavu, administrátor musí resetovat (shutdown, pak no shutdown))
switchport port security //tím to aktivuju
- útočník ale může ukrást MAC adresu a vydávat se za ní - proto dávám parametr "shutdown", admin pak musí k portu přijít
DHCP útoky
- DHCP spoofing
- vyčerpání adres legálního DHCP, někdo se může vydávat za DHCP server - sám se pak vydává za default gateway, DNS server atd.
- obrana - DHCP snooping, switch rozpoznává DHCP odpovědi, přijímá je jen z "trusted" portů
- můžeme omezit počet DHCP komunikace
- DHCP snooping binding table - tabulka kterou si sestavuje switch z trusted portů o IP adresách příslušejících MAC adresám,
- navazuje na ARP cache útoky (show arp, show ip arp)
- můžeme postavit i ACL
ARP cache poisoning
- útočník posílá podvržené ARP údaje, vydává se za někoho jiného (ukradne mu MAC adresu)
- router přeposílá provoz na něj, on forwarduje provoz k reálnému cíli - nepoznám to, pokud se nepodívám že na PC nebo na routeru mám jiné MAC adresy
- pozor na ICMP redirect pokud chci útok provádět
- z pohledu oběti se tomuto nedá bránit, musím jen dosáhnout toho že mi to je jedno že útočník provoz vidí (šifrování, certifikáty)
- z pohledu administrátora - dynamic ARP inspection - spoléhá na DHCP snooping binding table; statické adresy tam můžu napevno zadat
IP spoofing
- útočník předstírá IP adresu
ip source guard //kontroluje IP i MAC
- ICMP unreachable storm
- SYN flood
- ping of death
posloupnost obrany:
Port Security -> DHCP Snooping -> DAI -> IPSG
Odchytávání síťového provozu SPAN, RSPAN, ERSPAN (legální odchytávání provozu pro adminy)
- port mirroring - Switch Port Analyzer - provoz z jednoho portu se zrcadlí na jiný port kde mám nějaké zařízení kdy to odposlouchávám
- dá se odposlouchávat i celá VLAN
lokální SPAN:
monitor session <number> source interface <interface>
monitor session <number> destination interface <interface> //cílové rozhraní na které bude zrcadlen provoz
remote SPAN:
- vytvořím si speciální VLANu na všech switchích mezi zdrojem a cílem
- zrcadlím provoz do této VLANY
configure terminal
vlan 200
remote-span
end
show vlan remote-span
- na prvním switchi:
monitor session 1 source interface <interface>
monitor session 1 destination remote vlan 200
- na konci akorát naopak
ERSPAN:
- využívá balení zachycených rámců do GRE tunelu