LeopoldoMaestro.COM » Redes

Detectar si una IP esta siendo usada en la red

leopoldomaestro — Fri, 10 Apr 2009 14:52:55 +0000

Previamente a configurar una dirección IP en nuestra máquina, es posible que dudemos si la IP que vamos a levantar esta siendo usada por otro Host en la red. La solución a este problema es arping, una fantástica utilidad que nos permite jugar con diferentes aspectos del protocolo ARP (Address Resolution Protocol) usado para “traducir” direcciones IP de capa 3 a direcciones MAC de capa 2.

Comprobando si una IP esta en uso

root@leo-desktop:/home/leo# arping -w3 -D 192.168.1.33
ARPING 192.168.1.33 from 0.0.0.0 eth0
Sent 4 probes (4 broadcast(s))
Received 0 response(s)

-w es usado para definir un timeout en segundos para las consultas, ya que si no le pasamos el parámetro, el programa seguirá enviando peticiones broadcast hasta que lo paremos con CTRL +C
-D activa el modo de detección de direcciones duplicadas

Activar NetFlow en dispositivos Cisco para recolectar información de trafico IP

leopoldomaestro — Wed, 01 Apr 2009 17:58:48 +0000

Netflow es un protocolo de red creado por Cisco Systems (propietario), usado para analisis y monitorización de redes. Aunque es propietario, es posible desplegarlo en plataformas tan dispares como FreeBSD, OpenBSD, Juniper, Alcatel, Foundry etc.

Es muy util para revisar el uso de ancho de banda en determinadas interfaces, gráficas de uso por número de sistema autonomo, cuellos de botella, información por protocolo etc.

El protocolo Netflow envia paquetes UDP y SCTP con los registros Netflow a una aplicación (colector Netflow) especialmente diseñada para almacenar la información en una base de datos.

La última version del protocolo es la IPFIX, más conocida como v10, la cual es una versión 9 estandarizada por IETF, con mejoras orientadas al ambito empresarial, además de algunas aportaciones de la comunidad.

De momento, nos centraremos en la configuración del protocolo en uno de los extremos, en concreto un Cisco 7206 VXR con la tarjeta NPE-G2.

Configuración del router:

Entramos al enrutador y nos colocamos en el modo privilegiado:

enrutadordefrontera$ enable

Password:*****

Nos posicionamos en el modo de configuración:

enrutadordefrontera#configure terminal

Ahora entramos en el modo de interface:
enrutador(config)#interface GigabitEthernet 0/3

Habilitamos el flow

enrutadordefrontera(config-if)#ip route-cache flow
Volvemos al modo de configuración

enrutadordefrontera(config-if)#exit

Configuramos el lugar a donde van a ir los paquetes UDP/SCTP dirigidos (colector Netflow)
enrutadordefrontera(config)#ip flow-export destination 172.26.0.1 9996

Configuramos la interfaz desde donde enviar datos
enrutadordefrontera(config)#ip flow-export source GigabitEthernet 0/3

Elegimos la versión del protocolo
enrutadordefrontera(config)#ip flow-export version 9

NOTA: Si la 9 no funciona bien, hay que usar la version 5, que es la mas usada.

Configuramos los timeout

enrutadordefrontera(config)#ip flow-cache timeout active 1

enrutadordefrontera(config)#ip flow-cache timeout inactive 15

Salimos del modo de configuración
enrutadordefrontera(config)# ctrl + Z

Guardamos los cambios
enrutadordefrontera#write mem

Para el próximo post abordaremos la instalación de algunas aplicaciones colector donde podremos visualizar toda la información ofrecida por Netflow.

Bloquear una IP atacante con null route

leopoldomaestro — Tue, 25 Nov 2008 01:09:47 +0000

En alguna ocasion podemos encontrarnos con algun tipo de ataque de una determinada IP o red (rezando para que no sean multiples) hacia nuestra red/sistema.

En Linux (y BSD/Solaris/Unix Flavours) podemos mandar los paquetes de una determinada IP o red a ninguna parte (blackhole route o null route) añadiendo una entrada en nuestra tabla de rutas.

USANDO EL COMANDO ROUTE PARA NULL ROUTE

route add 192.168.1.5 gw 127.0.0.1 lo

En este comando especificariamos que la IP atacante es 192.168.1.5 y queremos enviar los paquetes que nos envie a la interfaz de loopback.

Verificar que se ha “null routeado” la IP en nuestra tabla de rutas

route -n

O bien usando Netstat

netstat -nr

Tambien podemos hacer un reject:

route add -host 192.168.1.5 reject

Mandar a Null route una red entera

Imaginaros que queremos filtrar el sistema autónomo completo de McColo (si algún ISP anunciara sus prefijos, claro).

route add -net 208.66.192.0/24 gw 127.0.0.1 lo

Borrar entradas de la tabla de rutas

Probablemente haya un tiempo en el que ya no nos interese bloquear a determinada IP o bloque. Para borrar una entrada haremos lo siguiente:

route delete 192.168.1.5

Instalando un clasificador de paquetes de capa 7 en Linux

leopoldomaestro — Wed, 22 Oct 2008 21:25:57 +0000

En este tip muestro los pasos para instalar un clasificador de paquetes de capa 7 en Linux Centos 5.2 (es valido tambien para otras distribuciones).

Para este fin, voy a usar Netfilter y L7-Filter, el cual identifica los paquetes basandose en patrones de los datos de la capa de aplicacion.

Un ejemplo de uso util seria la identificacion del trafico P2P, FTP, HTTP…

Entrando en materia…

PARTE 1

Descarga de L7-Filter Kernel:

wget http://puzzle.dl.sourceforge.net/sourceforge/l7-filter/netfilter-layer7-v2.20.tar.gz

Descarga de L7-Filter Userspace

wget http://downloads.sourceforge.net/l7-filter/l7-filter-userspace-0.10.tar.gz

Descarga de definiciones de protocolo

wget http://puzzle.dl.sourceforge.net/sourceforge/l7-filter/l7-protocols-2008-10-04.tar.gz

Descarga de Iptables 1.4.2

wget http://www.netfilter.org/projects/iptables/files/iptables-1.4.2.tar.bz2

Descarga del ultimo kernel disponible 2.4.27.2

wget http://kernel.org/pub/linux/kernel/v2.6/linux-2.6.27.2.tar.bz2 -P /usr/src

PARTE 2

Instalar L7-Filter

tar -xvf /usr/src/linux-2.6.27.2.tar.bz2
tar -xvf netfilter-layer7-v2.20.tar.gz

Aplicar el parche a las fuentes del kernel

cd /usr/src/linux-2.6.27.2
patch -p1 < ../netfilter-layer7-v2.20/kernel-2.6.25-layer7-2.19.patch

Aplicar el parche e instalar Iptables 1.4.2

tar -xvf iptables-1.4.2.tar.bz2
cd iptables-1.4.2
patch -p1 < ../netfilter-layer7-v2.19/iptables-1.4-for-kernel-2.6.20forward-layer7-2.19.patch
chmod +x extensions/.layer7-test
make KERNEL_DIR=/usr/src/linux-2.6.27.2
make install KERNEL_DIR=/usr/src/linux-2.6.27.2

Instalar las definiciones de protocolo

tar -xvf l7-protocols-2008-10-04.tar.gz
cd l7-protocols-2008-10-04.tar.gz
mkdir /etc/l7-protocols
cp protocols/* /etc/l7-protocols

Configuración, compilación e instalación del nuevo kernel

Habilitar las siguientes opciones:

* “Network packet filtering framework(Netfilter)” (Networking → Networking option)
* “Netfilter connection tracking support” (… → Network packet filtering framework(Netfilter) → Core Netfilter Configuration)
* “Connection tracking flow accounting” (en la misma ventana)
* “Layer 7 match support”

El resto de opciones para Netfilter como soporte FTP y demas, es aconsejable habilitarlo. Si no estas seguro del todo, habilitar todo.

cd linux-2.6.27.2
make menuconfig
make all
make modules_install
make install

Comprobar gestor de arranque (Grub en este caso)

cat /etc/grub.conf

* Deberia mostrar algo similar:

default=0
timeout=10
splashimage=(hd0,0)/grub/splash.xpm.gz
hiddenmenu
title CentOS 5.2 (2.6.27.2)
root (hd0,0)
kernel /vmlinuz-2.6.27.2 ro root=/dev/VolGroup00/LogVol00 rhgb quiet
initrd /initrd-2.6.27.2.img

* En mi caso es similar a esto, puede que tu sistema tenga Lilo, no use LVM etc.

Arrancar con el nuevo kernel y comprobar que todo fue bien

reboot

Una vez reiniciado:

/sbin/iptables -m layer7 –help

Espero que os sea util