IP SOURCE GUARD EN CISCO

(ver antes dhcp snooping)

Es una característica de los switches Cisco y se usa para detectar y eliminar ataques de direcciones Ip falsas. Este tipo de ataque es más difícil de parar sin CISCO, lo que no quiere decir de detectar.

Imaginemos un PC al que le damos una Ip por ejemplo por DHCP, este PC puede ser atacado y cambiada su IP comenzando a usar direcciones falsas. Este ataque se suele usar para ataques de denegación de servicio, en las que lógicamente los paquetes jamás regresan al origen.

Este tipo de ataque se suele producir dentro de una misma VLAN, ya sería más difícil descubrir que la ip es falsa pues está comprendida dentro de la misma red y en redes grandes pues quien sabe … sobre todo si tenemos la desgracia de ser informáticos de los de verdad, de los que llevamos toda la vida subcontratados (cuando hablamos de VLAN nos referimos a una misma subred)

Esta característica de CISCO habilitada en un Switch analiza y busca la dirección MAC y la asociación con la IP correspondiente en la base de datos de DHCP Snooping visto anteriormente. También comprueba las estáticas grabadas por nosotros.

Se deben cumplir dos condiciones para que ip source guard no plante cara a la trama:

1) La dirección IP de origen no puede ser distinta de la dirección IP aprendida en el DHCP Snooping. Automáticamente el switch crea una ACL dinámica en el puerto que se usa a modo de filtro para impedir entrada de cualquier ip que no coincida con la correspondiente a la base de datos del ya citado un millón de veces DHCP Snooping.

2) La dirección MAC de origen debe ser igual a la aprendida en el DHCP Snooping y a la aprendida en el puerto del Switch. En este caso usa el comando port.security que os sonará a los que habéis hecho pinitos con el Cisco Security.

Para que todo funcione se debe tener DHCP Snooping configurado. Ya canse de escribir tantas veces esa palabra, a partir de ahora es sustituida por snoopy  o poríndice  ahí le dimos ohhh ehhh oeee oeee oeee.

Lo primero a configurar serían aquellas direcciones IP y MAC es decir “host” que no usan DHCP y están conectadas a puertos de los switches, asociando el puerto a la vlan, mac e ip correspondientes:

SwitchMiguel(config)#ip source binding {mac-address} vlan {vlan-id ip-address} interface {tipo modelo y número}

Ahora habilitamos snoopyen los puertos del switch que lo queremos implementar:

SwitchMiguel(config)#interface {tipo modelo y número de interface}

SwitchMiguel(config-if)#ip verify source

Si añadimos el parámetro port-security inspecciona también la MAC, sino solo la IP.

SwitchMiguel(config-if)#ip verify source port-security

Verificación del estado de dhcp snoopingsnoopycommando:

SwitchMiguel(config)#show ip verify source {interface type mod/num}

Para ver las direcciones aprendidas dinámicamente en la base de datos sería:

SwitchMiguel(config)#show ip source bindng {ip-address} {mac-address} dhcp-snooping interface {type mod/num} vlan {vlan-id}

 

Podemos prevenir este tipo de ataques de ARP Poisoning

Podéis ver la entrada en este blog sobre ARP Watch para Debian o ArpON. Hay otras aplicaciones como Marmita que son gratuitas y sirve como preventivas siempre y cuando no dispongamos de aplicaciones específicas de CISCO u otros.

Más sobre la aplicación en este fantástico sitio web http://www.flu-project.com/marmita-detectando-ataques-man-in-the-middle.html

Seguir las prácticas de esta web. Tampoco es mala idea.

El caso de Marmita no va impedir un ataque pero si su detección y es gratuita, la han creado los chicos de informática64 unos genios en su área. (No seguir leyendo sin haber descargado y estar visualizando la aplicación.) Su fuerte se basa en tener una base de datos local con las asociaciones de IP y MAC, es decir la tabla original de ARP antes de ser comprometida. Vamos a poder ver en su sección de ARP Table la misma Mac para dos Ip distintas, la del router verdadero y la del atacante. Si vamos a la pestaña Virtual Arp Table veremos que la ip del atacante tenía antes otra MAC.

Hay más aplicaciones como XARP para Windows, yo personalmente no la he usado pero he leído que a veces detectada positivos que no lo son, pero bueno siempre pensamos que estas aplicaciones son reactivas y no valen para otra cosa, donde estén las de monedero …

También tenemos gratuitos sistemas de detección de intrusión como EASYIDS . Si vamos a usar un PC con estos sistemas debemos de tener dos tarjetas de red instaladas, una para administración y la otra en modo promiscuo para sniffar la red. EASYIDS si nos ha gustado bastante, descargarla y probarla, está basada en snort.

Tanto para Marmita como para este sistema u otros debemos usar si por ejemplo estamos en un CISCO la funcionalidad de Spam para monitorizar todos los puertos. En el caso de EASYIDS es una imagen que podemos arrancar desde una ISO en una máquina virtual de vmware, es un Linux.

Ver como ayuda indispensable-> http://seguridadyredes.wordpress.com/2011/02/10/snort-easyids-un-ids-preconfigurado-con-base/

Hacer todas las prácticas de la red completa con monitorización y reenviar tramas de spam entre swiches de distintas vlan con respam podéis lanzar tramas de un switch a otro switch con una vlan distinta para monitorizar en esta (ver comandos de CCNP Swiching) en un equipo en la vlan administración pero distinta a donde tenemos el syslog corriendo, por poner un ejemplo retorcido.

Antes de implementar esta seguridad yo usaría el Evil Foca que acaba de salir al mercado y es Español, para realizar los ataques de envenenamiento y comprender un poco más toda esta situación.

Practicar estos ejemplos enseña mucho (recordar siempre la ética Hacker) manual sencillo del foca àhttp://www.dragonjar.org/evil-foca-manual-no-oficial.xhtml

Página del creador con direcciones a distintos tutoriales y ejemplos así como la descarga, si el chico del gorrito o mejor dicho consultor de seguridad, que por cierto nosotros no conocemos de nadaàhttp://www.elladodelmal.com/2013/04/pruebas-con-evil-foca.html

Descarga directa àhttp://informatica64.com/evilfoca/

Publicado el junio 4, 2013 en Redes y etiquetado en , , . Guarda el enlace permanente. 1 comentario.

  1. Está genial tu blog!!!

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: