RSPAN – IOS Cisco

A feature de espelhamento de porta – técnica para cópia do tráfego de uma ou mais portas para outra porta com fins de análise, estatísticas, coleta, entre outros – é chamada pela Cisco de SPAN (Switched Port Analyzer).

A configuração para a maioria dos Switches Cisco com IOS é bem simples e é necessário somente escolher a porta ou VLAN de origem da coleta e depois o destino para o tráfego que será copiado:

Switch# configure terminal
Switch(config)# monitor session 1 source interface fa0/11
! Definindo a interface de origem para cópia do tráfego
Switch(config)# monitor session 1 destination interface fa0/12
!  Definindo o destino do tráfego copiado

Além disso, podemos escolher se o tráfego espelhado será somente de transmissão (tx) ou recepção (rx) para a porta desejada

Switch(config)# monitor session 1 source interface fa0/09 rx
Switch(config)# monitor session 1 source interface fa0/10 tx

Caso o servidor de coleta esteja em um Switch diferente da origem do tráfego desejado é possível atribuir a função de trânsito para uma VLAN transportar o tráfego espelhado e estender a VLAN até o Switch que o Servidor de coleta está conectado – essa funcionalidade é chamada de RSPAN (Remote SPAN). Abaixo demonstramos a configuração juntamente com a topologia.

No Switch 3, encaminharemos o tráfego de entrada da VLAN 10 e 11 para a VLAN 200 (remote SPAN). O Switch 2 fará transito para a VLAN remote SPAN e encaminhará também o tráfego de entrada da VLAN 15. O Switch 1 encaminhará todo o tráfego da copiado para a VLAN remote SPAN para interface fa0/24, conectada ao servidor de coleta.

Obs:
– O RSPAN não suporta o monitoramento de pacotes BPDU ou outros protocolos de comutação da Camada 2.

– A VLAN do RSPAN é configurada apenas em portas trunk e não em portas de acesso. Para evitar tráfego que o indesejado na VLAN RSPAN, verifique se o a funcionalidade VLAN “remote span” é suportada em todos os Switches participantes.
– Não pode haver nenhuma porta de acesso associada com a VLAN do RSPAN
– Os pacotes CDP não são encaminhados na VLAN configurada por RSPAN. Desabilite o CDP em todas as interfaces que transportam RSPAN VLAN nos dispositivos conectados ao switch.

Até logo

Referências
https://content.cisco.com/chapter.sjs?uri=/searchable/chapter/…

 

MITM com arpspoof, thc-ipv6 e SSLStrip

Os ataques à rede local do tipo man-in-the-middle, ou comumente conhecido como MITM, permitem ao atacante posicionar-se no meio da comunicação entre duas partes. Este ataque é útil para conduzir outros ataques, como sniffing(captura das informações) e session hijacking (sequestro de sessão).

Em um ataque MITM, a vítima não percebe a interceptação do tráfego e isso permite ao atacante a leitura e captura do tráfego entre as duas vítimas como também a alteração da informação para os fins de objetivo do ataque, sem a interrupção da comunicação do ponto de vista da vítima. Continue reading

RADIUS Change of Authorization (CoA)

Em uma implantação tradicional com AAA utilizando RADIUS, após a autenticação, o Servidor RADIUS apenas assina a autorização como resultado de uma requisição de autenticação.

No entanto, existem muitos casos em que é desejável que hajam alterações sem a exigência do NAS para iniciar a troca de mensagens. Por exemplo, pode haver a necessidade de um administrador da rede ser capaz de encerrar a ‘sessão’ de uma porta autenticada com 802.1x.

Alternativamente, se o usuário alterar o nível de autorização, isto pode exigir que novos atributos de autorização sejam adicionados ou excluídos para o usuário. Continue reading

Atributos RADIUS VSAs

Os atributos RADIUS do IETF são utilizados para comunicação AAA entre cliente e servidor de acordo com a RFCS 2865 e 2866 para o protocolo. O cliente e servidor RADIUS devem aceitar os parâmetros de acordo com a RFC, para uma comunicação adequada.

Os atributos específicos dos fabricantes (RADIUS Vendor-Specific Attributes), chamados de VSAs, derivam do atributo IETF número 26, destinado para os fabricantes utilizarem as funções do RADIUS de acordo com seus produtos. O padrão permite liberdade para integração do RADIUS com funcionalidades proprietárias dos vendors, mas dificulta a integração com os fabricantes concorrentes. Esses VSAs são inseridos dentro do atributo 26. Continue reading

802.1x

IEEE 802.1X (também chamado de dot1x) é um padrão IEEE RFC 3748 para controle de acesso à rede. Ele prove um mecanismo de autenticação para hosts que desejam conectar-se a um Switch, por exemplo. A funcionalidade é também bastante poderosa para vinculo de VLANs, VLANs Guest e ACL’s dinâmicas. As funcionalidades do 802.1x permitem por exemplo, que caso um computador não autentique na rede, a máquina seja redirecionada para uma rede de visitantes, etc. Continue reading