Configuració DHCP Snooping en Cisco

Expliquem, en aquest apunt, la configuració de snooping en un switch Cisco. Aquesta tècnica permet configurar els ports als quals s’hi permetrà la connexió de servidors de DHCP (fet que soluciona l’atac via Rogue DHCP Servers).

Comandes per a configurar DHCP Snooping en el switch:

ip dhcp snooping
interface fastEthernet 0/1
ip dhcp snooping trust
exit
ip dhcp snooping vlan 1
do show ip dhcp snooping

Resultat de la comanda:

 

 

 

 

 

 

Podem configurar també límits de peticions de DHCP (per evitar atacs de DHCP Starvation)

interface fastEthernet 0/2
ip dhcp snooping limit rate 30

 

Configuració accés SSH router Cisco

Anoto, en aquest apunt, com habilitar l’accés SSH en un router Cisco.

conf t
hostname routerCisco
ip domain-name domini.com
crypto key generate rsa
line vty 0 4
routerCisco(config-line)#login local
routerCisco(config-line)#transport input ssh
username cisco privilege 15 secret cisco

A partir d’ara ja podrem accedir en el router a través de SSH. Si estem en l’entorn de simulació Packet Tracer:

ssh -l cisco iprouter

La línia

transport input ssh

indica que solament permetrem connexions SSH. Si volguéssim habilitar telnet:

transport input telnet

Si volem habilitar ambdós protocols:

transport input all

Configuració router VDSL CISCO887VA-K9 amb Movistar

Instruccions per a configurar un router Cisco 887-K amb una VDSL de Movistar:

controller VDSL 0
!
interface Ethernet0
description VDSL-MOVISTAR
no ip address
pppoe enable group global
pppoe-client dial-pool-number 1
!
!
interface FastEthernet0
no ip address
shutdown

interface FastEthernet1
 no ip address
 !
 interface FastEthernet2
 no ip address
 shutdown
 !
 interface FastEthernet3
 no ip address
 shutdown
 !
 interface Vlan1
 ip address 192.168.0.11 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 !
 interface Dialer0
 ip address negotiated
 no ip redirects
 no ip proxy-arp
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 ppp authentication pap callin
 ppp pap sent-username adslppp@telefonicanetpa password 0 adslppp
 ppp ipcp route default
 no cdp enable
 !
 ip forward-protocol nd
 !
 ip nat inside source list 10 interface Dialer0 overload
 ip route 0.0.0.0 0.0.0.0 Dialer0
 !
 access-list 10 permit 192.168.0.0 0.0.0.255
 !

 

 

Packet Tracer – Extended ACL’s

Expliquem, en aquest apunt, el funcionament de les Extended ACL’s. A diferència de les Standard, aquestes sí permeten filtrar per capa d’aplicació.

Partint del mateix escenari definit en l’apunt anterior, ara ens interessaria poder filtrar l’accés “només” al servidor FTP (i permetre, en canvi, l’accés a un servidor WWW).

El primer pas serà definir les ACL’s en concret. Les extended s’identificaran amb un número igual o superior al 100. En aquest cas, emprem el 100:

access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.0.2 eq ftp
access-list 100 deny tcp 192.168.2.0 0.0.0.255 host 192.168.0.2 eq ftp

La primera línia significa que “permetrà” el tràfic des de l’origen 192.168.1.0/24 destinació al host ubicat a 192.168.0.2 sempre i quan el protocol sigui FTP.
La segona línia és similar però, en canvi, denegarà el tràfic des de l’origen ubicat a 192.168.2.0/24.

Ara, apliquem l’ACL definida a la interfície del router que connecta amb el servidor FTP:

router(config)#int f1/0
Router(config-if)#ip access-group 100 out

Fet!

Atenció amb l’aclariment següent: En el moment que s’ha aplicat una determinada ACL en una interfície, la política per defecte s’estableix a directament a deny. Per tant, en el cas que el servidor ubicat a l’adreça 192.168.0.2 també oferís un servidor web que ens agradaria que estigués disponible per ambdues xarxes, haurem de permetre-ho explícitament:

Router(config)#access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 192.168.0.2 eq www
Router(config)#access-list 100 permit tcp 192.168.2.0 0.0.0.255 host 192.168.0.2 eq www

Packet Tracer – Standard ACL’s

Expliquem en aquest post com funcionen les llistes de control d’accés en dispositius Cisco emprant el programari Packet Tracer.

Imaginem que disposem de l’escenari següent ja en funcionament:

standardaclscisco
El servidor ubicat a l’adreça de xarxa 192.168.0.2 està executant un servidor de FTP però no voldríem que fos accessible per la xarxa 192.168.2.0/24. Per tal de permetre l’accés al servidor des de la xarxa 192.168.1.0/24 però NO des de la xarxa 192.168.2.0/24 configurarem llistes de control d’accés (ACL: Access Control List) en l’encaminador central.

Per a fer-ho, executarem les comandes següents.

Definim primer una llista de control d’accés (identificada, en aquest cas, pel número 5) que indica que permetrà el pas a la xarxa 192.168.1.0 (atenció amb les màscares) i, en canvi, denegarà el pas a la xarxa 192.168.2.0.

conf t
access-list 5 permit 192.168.1.0 0.0.0.255
access-list 5 deny 192.168.2.0 0.0.0.255

A continuació, accedirem a la configuració de la interfície f1/0 (la interfície del router que es comunica amb el servidor ) i hi aplicarem la ACL definida en el pas anterior en els paquets que surtin d’aquesta interfície:

int f1/0
ip access-group 4 out

Fet!

Ara, des d’una consola del PC ubicat a 192.168.2.2, si executem un ping 192.168.0.2 apareixerà quelcom similar al següent:

Pinging 192.168.0.2 with 32 bytes of data:

Reply from 192.168.2.1: Destination host unreachable.
Reply from 192.168.2.1: Destination host unreachable.
Reply from 192.168.2.1: Destination host unreachable.
Reply from 192.168.2.1: Destination host unreachable.
Ping statistics for 192.168.0.2:    
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)

En canvi, des de 192.168.1.3:

ping 192.168.0.2

Pinging 192.168.0.2 with 32 bytes of data:

Reply from 192.168.0.2: bytes=32 time=11ms TTL=127
Reply from 192.168.0.2: bytes=32 time=11ms TTL=127
Reply from 192.168.0.2: bytes=32 time=16ms TTL=127
Reply from 192.168.0.2: bytes=32 time=11ms TTL=127

Ping statistics for 192.168.0.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 11ms, Maximum = 16ms, Average = 12ms

 

Les estàndard ACL son una eina senzilla de configurar però no permeten treballar en capa de transport, sinó solament en capa de xarxa ip. Per tal de poder discernir entre protocols serà necessari emprar les extended ACL’s (que deixaré pendent per un altre post).