Tag Archives: Cisco

Cisco abandonne le wimax

Et oui, le titre est clair.
Au meme titre que Nokia et Intel, Cisco abandonne la technologie Wimax. (source FierceBroadbandWireless)

Depuis plusieurs années en développement chez l’équipementier celui-ci fait un revirement face à la montée en puissance des accès mobiles (3G / 4G)
Pour rappel, en 2007 Cisco avait racheté la société Navini Networks, spécialiste dans le domaine des technologies Wimax.
Cet abandon devenait logique pour Cisco sachant que pour l’année dernière la technologie Wimax a reculée de 18% sur le marché des technologies réseaux.
Selon une étude d’Ovum, “Le WiMax a échoué à s’implanter sur les marchés haut débit matures d’Europe, d’Amérique du Nord et d’Asie, il a peut-être un avenir dans les pays émergents” dépourvus de réseaux fixes afin de proposer des accès haut débit sans fil.
Certains misent donc encore sur cette technologie pour les pays émergents ou les contrées lointaines oubliées de l’ADSL en france.

Source: http://www.zdnet.fr/actualites/telecoms/0,39040748,39713620,00.htm
L’avenir du wimax: http://www.zdnet.fr/actualites/internet/0,39020774,39704736,00.htm
Samsung veut croire au wimax! : http://www.zdnet.fr/actualites/telecoms/0,39040748,39709217,00.htm

DHCP snooping : Défense contre le DHCP spoofing


Un petit article pour vous présenter une parade au dhcp spoofing implémenté sur des switchs cisco.
Cette parade s’apel le DHCP snooping. Elle consiste a mettre en place un liste de port sur le switch sur lequel se trouvent les “trusted dhcp server”.
De cette manière, il sera impossible de rajouter un dhcp sur le LAN.
Tout d’abord, un peux de théorie sur les DHCP.

1. Théorie

Un DHCP est un serveur permettant de configurer l’ip, le netmask, les serveurs dns et la passerelle d’un machine cliente.
Le danger est, dans le cas ou un dhcp externe est apporter au réseau, que les informations envoyé au clients ne sont pas intègre. Par exemple, le dhcp “pirate” peux renseigner comme passerelle du réseau sa propre IP, dans ce cas, tout le trafic des clients transitera par le dhcp “pirate” (MITM), ou alors, renseigner une machine cliente comme gateway ce qui cause premièrement un DoS du réseau, et si le client n’est pas suffisamment puissant pour gérer toutes les requêtes, un crash de la machine gateway.
Voici comment se déroule une transaction DHCP.

1. Le client émet un dhcp discover, le tout se joue en couche 2  vu que le client n’ pas d’ip. Il broadcast donc en FF:FF:FF:FF:FF:FF pour obtenir la liste des serveurs dhcp a proximité.
2. Les serveurs DHCP s’annoncent avec un DHCP OFFER et offre une configuration au client.
3. Le client envoi a tout les serveur dhcp quel serveur il a choisis et envoi donc un DHCP REQUEST
4. Le serveur DHCP ayan été choisis confirme au clietn que sa demande a bien été enregistré.
Tout ces machanismes permettent par exemple, dans le cas ou il y a  deux serveurs DHCP avec chacun le subnet 192.168.1.0/24 de disponible, de se synchronisé . Ainsi si l’ip 192.168.1.2 a été attribué depuis le dhcp A, le dhcp B sera informé que cette ip a été attribué et l’enlèvera de son pool d’adresse disponible.

Imaginons maintenant que un serveur dhcp externe a été apporté au réseau

On voi que le serveur DHCP pirate envoi aussi un DHCP OFFER, ce qui fait qu’il est potentiellement choisissable par la machine cliente.

2. DHCP Snooping

Le dhcp snooping est simple, vu que n’importe qui est autorisé a emttre des DHCP OFFER et ACK, nous allons autoriser que certains ports sur le switch a les émettre.
Ainsi nous aurons une listes des port “trusted” et “untrusted”. Seul les ports Trusted pourront émettre des DHCP OFFER et ACK, ainsi, la machine pirate du shema ci-dessus, n’étant pas sur un port trusted, ne pourra donc pas émettre de DHCP OFFER et ACK.
C’est très simple a mettre en place :

1. Switch(config)# ip dhcp snooping
2. Switch(config)# ip dhcp snooping vlan 3 15
3. Switch(config)# ip dhcp snooping information option
4. Switch(config)# interface fastethernet0/0
5. Switch(config-if)# ip dhcp snooping trust
6. Switch(config-if)# ip dhcp snooping limit rate 50

1. On active le dhcp snoooping
2. On définit sur quels VLAN le dhcp snooping s’appliquera
3. On active l’option 82 du protocole DHCP car le DHCP snooping en a besoin (plus d’infos sur l’option 82) http://www.cisco.com/en/US/docs/ios/12_2t/12_2t2/feature/guide/ftrbeo82.html
Enfin, on définit les interface que l’on veux truster, sur lesquels se trouvent donc les serveurs dhcp. Dans ce cas ci, sur l’interface fa 0/0
4. On rentre dans la configuration de l’interface
5. On la trust
6. On définit le nombre de requête maximal par seconde autorisé.

3. Conclusion

Le DHCP spoofing est encore trop facilement réalisable. Il y a d’autres méthodes de protection hardware ou logiciel, par exemple, definir de manière fixe la MAC address du serveur DHCP, ainsi, le client ne broadcast plus et va directement contacter le serveur DHCP renseigné. Cette protection n’est pas infaillibles et ne protège QUE du dhcp spoofing, pas de l’ip spoofing, l’arp spoofing, etc.
Voici quelques conseils que je donnerais pour améliorer la sécurité :
1. Mettre des ip fixes sur les serveurs.
JE sais, ça parait le B-a-BA, mais ce n’est psa fait partout, certains serveurs ‘optionnels’, sot en ip dynamique…
2. SI vous êtes dans un LAN de quelques machines (moin de 30), configurer les clients avec des ips fixe
3. Bloquer sur le switch les ports non utilisé afin d’interdire l’apport de machines externes
4. Dedier un DHCP pour le VPN et un pour le WIFI et les mettre les clients dans des zones isolé et autement filtré.
5. Rajouter du filtrage par MAC sur les switch.

Voila, tout n’es pas nécessaire, mais le DHCP snooping n’est pas suffisant. Il faut toujours partir du principe que la sécurité totale n’existe pas, la sécurité n’est que la réduction de pertes en cas d’attaques et doit sans cesse être remise en question.

En espérant que ceci vous ai plu ^^

Tips : Reset password sur routeurs cisco

On a la possibilité de mettre un password sur les switchs cisco.
Mais ce password peut être oublié dans le cas ou une doc a été mal écrite ou perdue par exemple.
Voici un petite procédure, testé sur un routeur 2600 et dans packet tracer.

1. Au boot, presser la touche de ‘break’
Cette touche varie selon le terminal.
Voici la liste : ici
2. une fois en rommon, taper : confreg 0x2142
3. toujours dans rommon, rebooter avec : reset
4. Lasser le routeur booter normalement
5. Un fais dans le prompt Router>, taper : enable
6. Si la procédure s’est bien passé, aucun password ne devrait être demandé.

Voici un exemple ‘appliqué’ d’un reset sur un routeur 1841 (Packet tracer)

Self decompressing the image :
########################################################################## [OK]
Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software – Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Wed 18-Jul-07 04:52 by pt_team
Image text-base: 0x60080608, data-base: 0x6270CD50

This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Cisco 1841 (revision 5.0) with 114688K/16384K bytes of memory.
Processor board ID FTX0947Z18E
M860 processor: part number 0, mask 49
2 FastEthernet/IEEE 802.3 interface(s)
191K bytes of NVRAM.
31360K bytes of ATA CompactFlash (Read/Write)
Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Wed 18-Jul-07 04:52 by pt_team

%LINK-5-CHANGED: Interface Vlan1, changed state to up
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to administratively down
%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down
%LINK-5-CHANGED: Interface Vlan1, changed state to administratively down
Press RETURN to get started!

Router>en
Password:
Router#exit

/////////////////////////// Reset Hardware /////////////////////////////////////

Router>System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1)
Cisco 1841 (revision 5.0) with 114688K/16384K bytes of memory.

Self decompressing the image :
##########
monitor: command “boot” aborted due to user interrupt
rommon 1 >
rommon 1 >
rommon 1 >
rommon 1 >
rommon 1 > confreg 0x2142
rommon 2 > reset

System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1)
Cisco 1841 (revision 5.0) with 114688K/16384K bytes of memory.

Self decompressing the image :
########################################################################## [OK]
Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software – Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Wed 18-Jul-07 04:52 by pt_team
Image text-base: 0x60080608, data-base: 0x6270CD50

This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Cisco 1841 (revision 5.0) with 114688K/16384K bytes of memory.
Processor board ID FTX0947Z18E
M860 processor: part number 0, mask 49
2 FastEthernet/IEEE 802.3 interface(s)
191K bytes of NVRAM.
31360K bytes of ATA CompactFlash (Read/Write)
Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Wed 18-Jul-07 04:52 by pt_team

— System Configuration Dialog —

Continue with configuration dialog? [yes/no]: no

Press RETURN to get started!

Router>en
Router#conf t

Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#^Z
%SYS-5-CONFIG_I: Configured from console by console