aula 05 - mstp_security_hsrp

MSTP Security HSRP VVRP GLBP

Ps-Graduao - Gerenciamento de

Redes de Computadores

Prof. Roberto Mendona, M.Sc

MSTP - Motivao

2 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP

PVSTP - Prover uma instncia STP por VLAN configurada no switch. PVSTP bom quando h condies de contigncia. MST (IEEE 802.1s) - Motivao principal dar um grau de flexibilidade maior.

2 Links 1000 VLANs 2 Instncias MST. MST - Consome pouco recurso.

Instncias - MSTP


Necessrio 02 Instncias MST (500 por instncia).

Load-balancing trabalha porque metade das VLANs seguem cada instncia separadas.

Utilizao do Switch baixa porque ele tem apenas que manipular duas instncias.

MST a melhor soluo para este cenrio.

Com Configurar o MST


Ativar MST no switch. Switch(config)#spanning-tree mode mst

Entrar no mode de configurao do MST. Switch(config)#spanning-tree mst configuration

Exibir a configurao corrente do MST. Switch(config-mst)#show current

Nomear uma instncia MST. Switch(config-mst)#name name

Configurar o nmero de reviso. Switch(config-mst)#revision revision_number


Mapear as VLANs para a instncia MST. Switch(config-mst)#instance instance_number vlan

vlan_range

Designar uma bridge raiz para a instncia MST. Esta sintaxe faz o switch root primary ou secondary

(apenas se o primrio falhar). Ele configura o primary

priority para 24576 e secondary para 28672. Switch(config)# spanning-tree mst instance_number root

primary | secondary

Com Configurar o MST

Exemplo - MST


SwitchA(config)# spanning-tree mode mst

SwitchA(config)# spanning-tree mst configuration

SwitchA(config-mst)# name XYZ

SwitchA(config-mst)# revision 1

SwitchA(config-mst)# instance 1 vlan 11, 21, 31

SwitchA(config-mst)# instance 2 vlan 12, 22, 32

SwitchA(config)# spanning-tree mst 1 root primary

SwitchB(config)# spanning-tree mode mst

SwitchB(config)# spanning-tree mst configuration

SwitchB(config-mst)# name XYZ

SwitchB(config-mst)# revision 1

SwitchB(config-mst)# instance 1 vlan 11, 21, 31

SwitchB(config-mst)# instance 2 vlan 12, 22, 32

SwitchB(config)# spanning-tree mst 2 root primary

Exemplo - MST


Switch#show spanning-tree mst

###### MST00 vlans mapped: 5-4094

Bridge address 0009.e845.6480 priority 32768 (32768 sysid 0)

Root this switch for CST and IST

Configured hello time 2, forward delay 15, max age 20, max hops 20

Interface Role Sts Cost Prio.Nbr Type

---------------- ---- --- --------- -------- -------

Fa3/24 Desg FWD 2000000 128.152 Shr

Fa3/32 Desg FWD 200000 128.160 P2p

Fa3/42 Back BLK 200000 128.170 P2p



Root this switch for MST01


---------------- ---- --- --------- -------- -------

Fa3/24 Desg FWD 2000000 128.152 Shr

Fa3/32 Desg FWD 200000 128.160 P2p

Fa3/42 Back BLK 200000 128.170 P2p





---------------- ---- --- --------- -------- -------

Fa3/24 Desg FWD 2000000 128.152 Shr


Switch#show spanning-tree mst 1





---------------- ---- --- ------ -------- -----------------

Fa3/24 Desg FWD 2000000 128.152 Shr

Fa3/32 Desg FWD 200000 128.160 P2p

Fa3/42 Back BLK 200000 128.170 P2p

Exemplo - MST

Categorias de Ataques em Camada 2


Em se tratando de Segurana em Redes, muitas vezes as camadas inferiores (1 e 2) so deixadas de lado.

MAC Addresses

Physical Links

IP Addresses

Protocols and Ports

Application Stream Application

Presentation

Session

Transport

Network

Data Link

Physical

Com

pro

mis

ed

Application

Presentation

Session

Transport

Network

Data Link

Physical

Initial Compromise



Access Points

Switches

Servers

Cuidado com as portas que esto disponveis no acesso.


MAC Address Flooding

Switch Spoofing

VLAN Hopping

DHCP Spoofing



MAC Address Flooding O Switch inundado com uma gama de MAC Address com o objetivo de atingir o limite da

tabela CAM.



MAC Address Flooding

Um atacante habilita uma ferramenta hacking, com o objetivo de inundar a Tabela CAM, causando um estouro na base de dados do Switch.

Quando a tabela CAM est cheia, o switch passa a funcionar como um

HUB e inunda todos os quadros unicast.


Mitigao: Port security. MAC

address VLAN Access Maps.


Port Security

Port Security configurado, limitando ataques de MAC Flooding e

bloqueando portas.



Configurando Port Security:


Passo 1. Ativar port security:

Switch(config-if)# switchport port-security

Passo 2. Definir o nmero mximo de MAC addresses que ser permitido na porta. O default 01.

Switch(config-if)#switchport port-security maximum value

Passo 3. Especifica qual MAC addresses ser permitido na porta (opcional):

Switch(config-if)#switchport port-security mac-address mac-address

Passo 4. Define qual ao a interface tomar se um MAC no permitido tenta o acesso:

Switch(config-if)#switchport port-security violation

{shutdown | restrict | protect}


Exemplo de Configurao Port Security

4503(config)# interface FastEthernet 3/47

4503(config-if)# switchport

4503(config-if)# switchport mode access

4503(config-if)# switchport port-security

4503(config-if)# switchport port-security mac-address

0000.0000.0008

4503(config-if)# switchport port-security maximum 1

4503(config-if)# switchport port-security aging time 2

4503(config-if)# switchport port-security aging static

4503(config-if)# switchport port-security violation restrict

4503(config)# interface FastEthernet 2/2

4503(config-if)# switchport

4503(config-if)# switchport mode access

4503(config-if)# switchport port-security

4503(config-if)# switchport port-security mac-address

0000.0000.1118

4503(config-if)# switchport port-security maximum 1

4503(config-if)# switchport port-security aging time 2

4503(config-if)# switchport port-security aging static

4503(config-if)# switchport port-security violation shutdown


switch# show running-config fastethernet 0/1

interface FastEthernet0/1

switchport access vlan 2

switchport mode access

switchport port-security maximum 2

switchport port-security

switchport port-security violation restrict

switchport port-security mac-address sticky

switchport port-security mac-address sticky 001b.d513.2ad2

switch# show port-security address

Secure Mac Address Table

------------------------------------------------------------------------

Vlan Mac Address Type Ports Remaining Age

(mins)

---- -------------- ----- -------------

2 001b.d513.2ad2 SecureSticky Fa0/1 -

Exemplo de Configurao Port Security


Switch Spoofing Atacante pluga sua mquina no Switch da rede em produo e faz um trunk com dot1q, ou conecta

um Switch Rogue fazendo tambm um Trunk. Explora

vulnerabilidade do DTP.




1. Desativar o Trunk em todas as portas que no precisam ser trunk;

2. Desative auto trunking e manualmente ative trunking

3. Colocar as portas no usadas em shutdown

Switch Spoofing - Mitigao:


VLAN Hopping Double Tagging

Atacante (nativa VLAN 1) envia um frame com dois cabealhos 802.1Q para o Switch1. Switch2 encaminha o quadro para todas as portas associadas com a VLAN 20, incluindo portas trunk.


O segundo switch recebe o quadro, na vlan nativa.

Atacante na VLAN 1, mas insere um tag 20 no quadro.

Vtima (VLAN 20)

Note: Este ataque trabalha apenas se o trunk tem a mesma VLAN nativa que o atacante.

O primeiro switch retira o primeiro tag e no remarca (trfego nativo no remarcado). Ele encaminha o quadro para o switch 2.

20

Trunk (Native VLAN = 1)

802.1Q, Frame

1

2

3

4

O segundo switch examina o quadro, ver a VLAN 20 marcada e encaminha.



Trunk (Native VLAN = 400)

1. No use a VLAN Nativa para enviar trfego ao usurio.

2. Crie uma VLAN que no ter qualquer porta associada a ela, apenas para VLAN Nativa. Ex. VLAN 400

VLAN Hopping Double Tagging - Mitigao:


DHCP Spoofing

Uma mquina falsa responde requisies DHCP dos clientes.

Para mitigar se usa o DHCP Snooping, bloqueando falsos servidores DHCP.



CDP (Cisco Discovery Protocol)

- Protocolo de nvel 2 usado para obter informaes de hardware e software de dispositivos vizinhos na sua rede.

- O comando no cdp run desabilita o CDP globalmente.

- O comando no cdp enable desabilita o CDP na interface.


Telnet - SSH


Telnet

SSH

Configurando Acesso - SSH


line vty 0 15

login local

transport input telnet ssh

username posredes password posredes

ip domain-name example.com

crypto key generate rsa

( Switch Generates Keys)

Public Key Private Key

Key

Key

SSH Client

Restringindo Acesso Telnet/SSH


VACL VLAN Acess Control Lists


VACLs: Aplica-se para todo trfego numa VLAN. VACLs suportam filtros baseados no Ethertype e endereos MAC. Podem controlar o trfego fluindo dentro da VLAN ou controlar trfegos

comutados.



As trs aes da VACL so:

Permit

Redirect

Deny


Here a VACL is configured to drop all traffic from network 10.1.9.0/24 on VLAN 10 and 20 and drop all traffic to Backup Server 0000.1111.4444.

Uma VACL configurada para descartar todo trfego da rede 10.1.9.0/24 na VLAN 10 e 20, e descartar todo trfego para o servidor de Backup com MAC

0000.1111.4444.

switch(config)#access-list 100 permit ip 10.1.9.0 0.0.0.255 any

switch(config)#mac access-list extended BACKUP_SERVER

switch(config-ext-mac)#permit any host 0000.1111.4444

switch(config)#vlan access-map XYZ 10

switch(config-map)#match ip address 100

switch(config-map)#action drop

switch(config-map)#vlan access-map XYZ 20

switch(config-map)#match mac address BACKUP_SERVER

switch(config-map)#action drop

switch(config-map)#vlan access-map XYZ 30

switch(config-map)#action forward

switch(config)#vlan filter XYZ vlan-list 10,20


Espelhamento de Portas SPAN (Switch Port Analyzer)


Uma porta SPAN espelha o trfego de uma porta para outra, onde o dispositivo de monitoramento est conectado.

Sem isto, pode ser difcil identificar os hackers aps eles terem entrado na rede.

Intruder Alert!

Atacante

Use SPAN para espelhar o trfego in e out da porta F0/1 para porta F0/2.

F0/2

F0/1

Configurando SPAN


Switch(config)#

Switch(config)#

monitor session session_number source {interface

interface-id [, | -] [both | rx | tx]} | {vlan vlan-id [,

| -] [both | rx | tx]}| {remote vlan vlan-id}

monitor session session_number destination {interface

interface-id [, | -] [encapsulation replicate] [ingress

{dot1q vlan vlan-id | isl | untagged vlan vlan-id | vlan

vlan-id}]} | {remote vlan vlan-id}

Espelhamento de Porta RSPAN


Uma porta RSPAN espelha o trfego para outra porta em outro switch, onde a probe ou o IDS est conectado.

Isto permite mais switches serem monitorados com uma simples probe ou IDS.

Intruder Alert!

Atacante

IDS

RSPAN VLAN

Source VLAN

Source VLAN

Source VLAN

Configurando RSPAN


2960-1(config)#vlan 100

2960-1(config-vlan)#remote-span

2960-1(config-vlan)#exit

2960-1(config)# monitor session 1 source interface FastEthernet 0/1

2960-1(config)# monitor session 1 destination remote vlan 100

2960-1(config)# interface FastEthernet 0/2

2960-1(config-if)#switchport mode trunk

1. Configure the RSPAN VLAN

2. Configure the RSPAN source ports and VLANs

3. Configure the RSPAN traffic to be forwarded

2960-2(config)# monitor session 2 source remote vlan 100

2960-2(config)# monitor session 2 destination interface FastEthernet 0/3

2960-2(config)# interface FastEthernet 0/2

2960-2(config-if)#switchport mode trunk

Formas de Redundncia de Primeiro Salto


Proxy ARP Static Default Gateway HSRP VRRP GLBP

Proxy ARP


Soluo Legada.

Habilitado por padro.

Usado antes que os default gateways fossem suportados pelos clientes IPs.

Estaes Finais atuam como se o destino fossem no mesmo segmento de rede.

Soluo no muito recomendvel.

Static Default Gateway


No dinmico.

No prover caminho secundrio.

HSRP (Hot Standby Routing Protocol)


Protocolo de redundncia de gateway.

Os roteadores/Switches L3 participantes conversam entre

si e concordam com o IP do

roteador virtual o qual o

sistema usar como IP de

gateway.


Quando o roteador ativo ou links entre os roteadores

falhar o roteador standby

no mais visualiza

mensagens de hello do

roteador active. O roteador

standby assume a funo

de encaminhamento.

Para as estaes esse processo transparente.

HSRP (Hot Standby Routing Protocol)

Operao do HSRP


Mensagens de Hello so enviadas para o endereo de multicast 224.0.0.2 , na porta UDP 1985.

Mensagens de Hello so utilizadas para comunicao em um grupo HSRP.

Todos os roteadores do grupo HSRP precisam ter adjacncia L2.

Todos os roteadores no grupo HSRP possuem regras especficas e interagem de formas especficas:

Virtual router

Active router

Standby router

Other routers

HSRP MAC Address


Router A assume o active e encaminha todos os endereos de quadros para serem designados ao endereo HSRP MAC address de 0000.0c07.acxx, onde xx

o identificador do grupo HSRP.

HSRP Active Router e STP


No STP, alguns links so bloqueados. O STP no est atento ao HSRP. No h uma relao automtica entre o HSRP Active e o Root Bridge.

Quando usando STP e HSRP, importante ter certeza de que o roteador Active tambm a Root Bridge, evitando assim caminhos sub-timo.

Configurando HSRP na Interface


Switch(config-if)#

standby group-number ip ip-address

O nmero de grupo opcional e indica o grupo HSRP no qual a interface pertence.

O Grupo default 0. O endereo IP definido o endereo para o Grupo HSRP. O nmero mximo de grupos ativos so 16. Um router pode ser ativo para um grupo e standby para outro, fazendo um load balancing.

Configurando HSRP na Interface


Define a prioridade do roteador. Pode ir de 0 a 255. Default 100. O roteador com mais alto valor de prioridade se torna o ativo. Caso haja um empate, o roteador com o mais alto endereo IP se torna o ativo.

O Preempt faz com que sempre a prioridade seja respeitada, evitando que um roteador d boot primeiro que outro e se torne o roteador ativo.

standby group-number priority priority-value

standby [group-number] preempt [delay {minimum seconds

reload seconds sync seconds}]

Exemplo - HSRP


Roteadores A e B so configurados com as prioridades 110 e 90, respectivamente. A configurao do Roteador A mostrada.

A palavra preempt certifica que o Roteador A ser o HSRP active to logo a

interface esteja ativa.

RouterA(config)# interface vlan 10

RouterA(config-if)#ip address 10.1.1.2 255.255.255.0

RouterA(config-if)#standby 10 ip 10.1.1.1

RouterA(config-if)#standby 10 priority 110

RouterA(config-if)#standby 10 preempt

Autenticao com HSRP



RouterA(config-if)#ip address 10.1.1.2 255.255.255.0

RouterA(config-if)#standby 10 ip 10.1.1.1

RouterA(config-if)#standby 10 priority 110

RouterA(config-if)#standby 10 preempt

RouterA(config-if)#standby 10 authentication xyz123

Evita que roteadores falsos possam fazer parte do grupo HSRP.

Exemplo HSRP Tracking


SW4(config)# interface vlan 10

SW4(config-if)# ip address 10.1.1.2 255.255.255.0

SW4(config-if)# standby 10 ip 10.1.1.1

SW4(config-if)# standby 10 priority 110

SW4(config-if)# standby 10 preempt

SW4(config-if)# standby 10 track fastethernet0/23 20

SW4(config-if)# standby 10 track fastethernet0/24


standby [group-number] track interface-type interface-number [interface-

priority]

Interface-type a interface que ser acompanhada (Tracking). Priority define o valor no qual a prioridade do roteador ser decrementada no HSRP se a interface se tornar down. Default 10.

HSRP Interface Tracking

Mltiplos Grupos HSRP


Mltiplos Grupos HSRP habilita os switches a simultaneamente prover

redundncia e fazer um balanceamento atravs de diferentes subnets.

Exemplo de Mltiplos Grupos HSRP


Monitorando o HSRP


Switch#show standby

Vlan10 - Group 10

State is Active

Virtual IP address is 10.1.10.1

Active virtual MAC address is 0000.0c07.ac0a

Local virtual MAC address is 0000.0c07.ac0a (v1 default)

Hello time 3 sec, hold time 10 sec

Next hello sent in 1.248 secs

Preemption enabled

Active router is local

Standby router is 10.1.10.3, priority 90 (expires in 10.096 sec)

Priority 120 (configured 120)

Track interface Port-channel31 state Up decrement 30

Track interface Port-channel32 state Up decrement 30

Group name is hsrp-Vl10-10 (default) Vlan20 - Group 20

State is Standby

Virtual IP address is 10.1.20.1 Active virtual MAC address is 0000.0c07.ac14

Local virtual MAC address is 0000.0c07.ac14 (v1 default)

Hello time 3 sec, hold time 10 sec

Next hello sent in 2.064 secs

Preemption enabled

Active router is 10.1.10.3, priority 120 (expires in 10.032 sec)

Standby router is local

Priority 90 (configured 90)

Group name is hsrp-Vl20-20 (default)


Roteadores A, B e C so membros de um grupo VRRP. O endereo IP do roteador virtual o mesmo que o endereo da interface LAN do Roteador A (10.0.0.1). Roteador A responsvel

por encaminhar pacotes enviados para esse IP.

Os clientes possuem um endereo de gateway de 10.0.0.1. Roteadores B e C so rotedores

de backup. Se o roteador Master falhar, o roteador de backup com a maior prioridade se

torna o roteador Master. Quando o roteador A volta, ele volta a ser o Master.

VRRP (Virtual Router Routing Protocol)

Redundncia com VRRP


Uma LAN na qual o VRRP configurado. Os roteadores so configurados de forma que os roteadores A e B compartilham a carga de ser o default gateway para os Clientes 1 a 4. Routers A e

B atuam como backup virtual routers um para o outro se um deles falhar.

Dois grupos virtuais de roteadores so configurados. Para o roteador virtual 1, o roteador A o proprietrio do endereo IP 10.0.0.1 e portanto o Master Virtual router para os clientes

configurados com este endereo de default gateway. O roteador B o roteador de backup para o

roteador A.

J para o roteador virtual 2 o roteador B o proprietrio do IP 10.0.0.2 e o Master Virtual router para clientes configurados com IP 10.0.0.2. Roteador A o backup virtual router para o roteador B.

Exemplo - VRRP


RouterA# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.


RouterA(config-if)# ip address 10.0.2.1 255.255.255.0

RouterA(config-if)# vrrp 1 ip 10.0.2.254

RouterB# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

RouterB(config)# interface vlan 1

RouterB(config-if)# ip address 10.0.2.2 255.255.255.0

RouterB(config-if)# vrrp 1 ip 10.0.2.254

RouterB(config-if)# vrrp 1 priority 90

Visualizando - VRRP


RouterA# show vrrp interface vlan 1

Vlan1 - Group 1

State is Master


Virtual MAC address is 0000.5e00.0101

Advertisement interval is 0.500 sec

Preemption is enabled

min delay is 0.000 sec

Priority is 100

Master Router is 10.0.2.1 (local), priority is 100

Master Advertisement interval is 0.500 sec

Master Down interval is 2.109 sec

RouterB# show vrrp interface vlan 1

Vlan1 - Group 1

State is Backup


Virtual MAC address is 0000.5e00.0101

Advertisement interval is 0.500 sec

Preemption is enabled

min delay is 0.000 sec

Priority is 90

Master Router is 10.0.2.1, priority is 100

Master Advertisement interval is 0.500 sec

Master Down interval is 2.109 sec (expires in 1.745 sec)


GLBP (Gateway Load Balancing Protocol)

GLBP active virtual gateway (AVG): Membros do grupo GLBP elegem um gateway para

ser o AVG daquele grupo. Outro membro do grupo prover backup para o AVG se o AVG se

tornar indisponvel. O AVG designa um MAC virtual para cada membro do grupo GLBP. Faz

todo o Controle.

GLBP active virtual forwarder (AVF): Cada gateway assume responsabilidade para

encaminhar pacotes que so enviados para o endereo MAC virtual designado para aquele

gateway pelo AVG. Este gateways so conhecidos como AVFs para os endereos MAC

virtuais deles.

GLBP communication: Membros GLBP se comunicam entre si atravs de mensagens de

hello enviadas a cada 3 segundos para o endereo de multicast 224.0.0.102, UDP Porta

3222.



Roteador A est atuando como AVG. Roteador A tem um MAC virtual 0007.b400.0101.

Roteador B est atuando como um AVF para o MAC virtual 0007.b400.0102 designado para ele pelo roteador A.

Cliente 1 default gateway o roteador A. Cliente 2 default gateway o roteador B baseado no MAC virtual designado.



Por default, GLBP tenta fazer um balanceamento por hosts usando o algoritmo de round-robin.

Quando o cliente envia uma requisio ARP para o endereo de gateway, o AVG retorna o endereo do virtual MAC address de um dos AVFs.

Quando um segundo cliente envia uma requisio ARP, o AVG retorna o endereo do prximo endereo virtual MAC da lista.



Tendo cada Host resolvido um MAC address diferente para o default gateway, Clientes A e B enviam o trfego para roteadores separados, embora eles tenham

o mesmo default gateway configurado.

Cada roteador GLBP um AVF para o virtual MAC address para o qual ele tem sido designado.


Vantagens do GLBP

Balanceamento de Carga. Mltiplos Roteadores Virtuais. Preempo. Utilizao Eficiente de Recursos.


Referncias

Catalyst 3560 Command Reference www.cisco.com/en/US/partner/docs/switches/lan/catalyst3560/software/release/12.2_55_se/command/reference/3560_cr.html

Configuring NSF with SSO: www.cisco.com/en/US/partner/docs/switches/lan/catalyst6500/ios/12.2SXF/native/configuration/guide/nsfsso.html

Configuring HSRP: www.cisco.com/en/US/partner/docs/switches/lan/catalyst3560/software/release/12.2_55_se/configuration/guide/swhsrp.html

Configuring VRRP: www.cisco.com/en/US/partner/docs/ios/ipapp/configuration/guide/ipapp_vrrp.html

Configuring GLBP: www.cisco.com/en/US/partner/docs/ios/ipapp/configuration/guide/ipapp_glbp.htm

Configuring Enhanced Object Tracking: www.cisco.com/en/US/partner/docs/switches/lan/catalyst3560/software/release/12.2_55_se/configuration/guide/sweot.html

Perguntas

61 6 de fevereiro de 2014

Roberto Mendona

[email protected]

STP Spanning-Tree Protocol

aula 05 - mstp_security_hsrp

Documents