Proxy ARP

Durante o início da configuração de um swicth powerconnect 6224, me deparei com a seguinte pergunta: "Porque o Proxy ARP vem habilitado por padrão ?", procurando na Net a resposta descobri um post no endereço: http://www.comutadores.com.br/switches-hpn-a7500-proxy-arp/, que esclareceu um pouco sobre a necessidade do Proxy ARP que vem habilitado por padrão.

Para aqueles que não conhecem a feature, o exemplo será bastante esclarecedor.

No desenho abaixo a empresa X possui as subredes 10.100.1.0/24, 10.200.1.0/24 e 10.30.1.0/24. O Roteamento entre as VLANs é efetuado no Switch Core.

Reparem que o IP do Mainframe está correto dentro do range da VLAN 1, mas o equipamento por ser antigo, não permite alterarmos a mascará de rede!!!

Nesse caso, mesmo com a configuração do Gateway corretamente no Mainframe apontando para o Switch Core, a comunicação do equipamento com as redes 10.200.1.0/24 e 10.30.1.0/24 nunca será encaminhado para o Gateway da VLAN 1 pelo fato da mascara no MainFrame deixar explicito que as subredes fazem parte da mesma rede dele.

Obs: Toda comunicação entre hosts de subredes diferentes é encaminhado para o Gateway

Para a comunicação entre dispositivos da mesma subrede, é encaminhado em Broadcast uma mensagem ARP Request. Então, se o MainFrame quiser comunicar com a máquina da VLAN 300 com o endereço IP 10.30.1.25, ele encaminhará uma requisição ARP questionando qual o endereço MAC do IP solicitado( o MainFrame pensa que o host está na mesma subrede que ele).

Como a principal função do Switch Core, é isolar domínios de Broadcast, a mensagem será ignorada por todos os dispositivos da VLAN 1, incluindo o gateway.

Com o Proxy ARP habilitado no Gateway (Interface VLAN 1 do Switch Core), o Switch responderia a solicitação em nome do host 10.30.1.25, mas com o endereço MAC da Interface VLAN 1; e encaminharia o quadro corretamente para o host desejado( encaminhando o ARP request com o endereço 10.30.1.25 na VLAN3 questionando o endereço MAC do host).

Configurando

interface VLAN 1
ip address 10.100.1.1 255.255.255.0
proxy-arp enable
! habilitando o Proxy ARP na Interface VLAN 1

Resolvendo o bug do locale pt_BR no Ubuntu 12.04

   O Ubuntu LTS 12.04 vem com um erro que é percebido quando se tenta instalar algum pacote com o apt-get, a mensagem informa que não foi possível configurar o LC_TYPE e o LC_MESSAGES.
    Esses avisos são da tentativa de tradução do apt-get para o idioma pt_BR.

     Para corrigir este problema basta compilar o locale pt_BR executando o seguinte comando:

sudo locale-gen --no-purge --lang pt_BR

    Pronto.  Ao executar o apt-get novamente as mensagens não aparecerão.

Configuração Básica Switch H3C 5500

Publicado originalmente em 24 DE AGOSTO DE 2010

 Olá amigos, os scripts de hoje fazem parte de um manual muito bacana repassado pelo Fabinho e o Índio da Infraero. Os Scripts seguem como um manual rápido para instalação e/ou configuração de Switches 3Com do modelo 5500 ( parte dos comandos são aceitos na maioria dos Switches da 3Com); os scripts são simples e bastante úteis!

Configurando o nome do Switch
[5500G-EI]sysname SW_Core
[SW_Core]

Configuração de Vlans
Criando uma Vlan e colocando-a um nome
[Switch] vlan 3
[Switch-vlan] name

Criando uma Vlan e colocando-a uma descrição
[Switch] vlan 3
[Switch-vlan] description

Criando uma várias vlans ao mesmo tempo
[Switch] vlan to 2 to 5

Apagando uma vlan
[Switch] undo vlan 2

Mostrando quais as vlans que existem no switch
[Switch] display vlan

Mostrando as informações de uma determinada vlan (descrição, endereço IP se houver, portas tagged e untagged)
[Switch] display vlan  2

Definindo o IP para a VLAN 2 
[Switch]interface Vlan-interface 2
[Switch]-Vlan-Interface]ip address 192.168.100.1 255.255.255.0

Configurando o default gateway
[Switch] ip route-static 0.0.0.0 0.0.0.0 192.168.100.254 (ip do gateway)

Configurações de portas
Entrando no modo de configuração de uma porta
[Switch] interface gigabit-ethernet 1/0/4

Colocando uma descrição na porta
[Switch] interface gigabit-ethernet 1/0/4
[Switch-GigabitEthernet] description

Adicionando porta a uma vlan 
Configurando o tipo de porta
Porta ACCESS: Porta de acesso, utilizada para ligar hosts (estações, servidores, etc)
[Switch] interface gigabit-ethernet 1/0/4
[Switch-GigabitEthernet] port link-type access

Porta TRUNK: Porta que permitirá mais de uma vlan trafegar pela porta(utilizando TAG(802.1q). Utilizada como porta de uplink, nas ligações entre switches.
[Switch] interface gigabit-ethernet 1/0/5
[Switch-GigabitEthernet] port link-type trunk

Associando uma porta access a uma vlan.
[Switch] interface gigabit-ethernet 1/0/4
[Switch-GigabitEthernet] port access vlan 5

Removendo uma vlan de uma porta access. A porta voltará a pertencer a vlan 1 (default)
[Switch] interface gigabit-ethernet 1/0/4
[Switch-GigabitEthernet] undo port access vlan

Associando todas as vlans a porta trunk. Desse modo, todas as vlans passarão pela porta trunk
[Switch] interface gigabit-ethernet 1/0/5
[Switch-GigabitEthernet] port trunk permit vlan all

Copiando as configurações de uma porta para outra (vlan, spanningtree, velocidade etc). Não efetua a copia das configurações de controle de broadcast
[Switch]copy configuration source gigabit-ethernet 1/0/1destination giggabit-ethernet 1/0/6

Copiando as configurações de uma porta para várias portas
[Switch]copy configuration source gigabit-ethernet 1/0/1destination giggabit-ethernet 1/0/6 to gigabit-ethernet 1/0/12

Definindo a senha do usuário ADMIN como s3nha
local-user admin
service-type telnet terminal
level 3
password cipher s3nha

Removendo os usuários default MANAGER e MONITOR
[Switch]undo local-user manager
[Switch]undo local-user monitor

Configurando e habilitando o gerenciamento SNMP com as comunidades s1ro e s1rw
[Switch]snmp-agent community read s1ro
[Switch]snmp-agent community write s1rw

Removendo as comunidades default PUBLIC e PRIVATE
[Switch]undo snmp-agent community write private
[Switch]undo snmp-agent community read public

Habilitando o spanning tree protocol (já é habilitado por padrão)
[Switch] stp enable

Configurando a versão do  rapid spanning tree protocol
[Switch] stp mode rstp 

Configurando o switch como root bridge primário do spanning tree
 O comando stp root primary configura automaticamente o valor do Bridge Priority para 0 (zero)
[Switch] stp root primary
ou
[Switch] stp priority 0

Configurando o switch como root bridge secundário do spanning tree
O comando stp root secondary configura automaticamente o valor do Bridge Priority para 4096
[Switch] stp root secondary
ou
[Switch] stp priority 4096

Criando um LINK AGGREGATION entre dois Switches. Não esquecer de executar esses procedimentos em ambos os Switches. Neste exemplo estão sendo utilizadas as portas 1/0/25 e 1/0/26 dos dois Switches.
link-aggregation group 1 mode static
#
interface GigabitEthernet 1/0/25
undo shutdown
port link-aggregation group 1
#
interface GigabitEthernet 1/0/26
undo shutdown
port link-aggregation group 1

Salvando as configurações do Switch
save

Apagando todas as configurações do Switch
reset saved-configuration
reboot

Comandos Display

Informações de uma determinada porta (velocidade, duplex, etc)
display interface GigabitEthernet 1/0/3

Mostrando um resumo de TODAS as portas
display brief interface

Mostrando quais portas do Switch são do tipo TRUNK
display port trunk

Mostrando um sumário do LINK AGGREGATION. 
display link-aggregation summary
display link-aggregation verbose

Mostrando a configuração do Switch atual
display current-configuration

Mostrando informações do Spanning Tree, quais portas estão BLOQUEADAS e quais estão em FORWARDING 
display stp brief
display stp

Criando usuário e dando permissão de acesso

local-user moroni
!Criando o usuário moroni
password simple moroni
!Configurando a senha diego para o usuário moroni,
a linha password poderá ser substituída por
"password cipher diego" que cifrará a senha no arquivo
de configuração durante a visualização
bind-attribute ip 172.31.1.4
! efetuando o vinculo da máquina 172.31.1.4 com o usuário moroni.
authorization-attribute level 3
! atribuindo o nível de administrador ao usuário.
service-type ssh telnet 

Obs:Certifique-se também a configuração da Interface vty 0 4 

user-interface vty 0 4
authentication-mode scheme

Encoding no PostgreSQL

Depois de procurar diversas soluções por fóruns da net para o problema de criação de banco de dados no PostgreSQL com codificação diferente da instalação original, encontrei um que resolveu o problema:
# createdb -E UTF8 -T template0 --lc-collate=pt_BR.utf8 --lc-ctype=pt_BR.utf8 teste

no lugar de UTF8 digite a codificação escolhida e em pt_BR.utf8 substitua pela codificação do país escolhida.

VLAN Tagged e Untagged em Switchs 3COM/HP

VLAN - Trunk utilizando 802.1q (dot1q)

A utilização de VLAN (Virtual Local Area Network) permite que uma rede física seja dividida em várias redes lógicas dentro de um Switch. A partir da utilização de VLANs, uma estação não é capaz de comunicar-se com estações que não são pertencentes a mesma VLAN (para isto, é necessário a utilização de uma sub-rede por VLAN e que o tráfego passe primeiro por um roteador para chegar a outra rede [ ou utilizando um Switch Multicamada para efetuar o Roteamento]).

Se não utilizássemos uma interface como Trunk e precisássemos passar o tráfego da VLAN para o outro Switch, seria necessário a passagem de um cabo de cada VLAN para o outro dispositivo, como no exemplo abaixo.

Como a maioria dos Switches possui entre 24 e 48 portas a solução ficaria inviável , inutilizando a maioria das portas para conexões entre os dispositivos.

O protocolo IEEE 802.1q permite utilizarmos apenas um cabo na comunicação entre os Switches, marcando cada Frame (quadro) com o ID de cada VLAN.

A marcação efetuada (chamada de TAG) adiciona aos quadros Ethernet  4 bytes no frame original e calculam um novo valor de checagem de erro para o campo FCS.

Dos valores contidos dentro do campo TAG o numero da VLAN é adicionado ao campo VLAN id permitindo a identificação da VLAN entre os Switches.

Uma observação relevante é a utilização do campo Priority (também dentro da TAG) para função de QoS em camada 2 para Ethernet, chamado de 802.1p ou CoS (Class of Services), permitindo a diferenciação de classes de serviços por Switches sem a necessidade de leitura do campo IP.

Já a comunicação entre computadores no mesmo Switch que pertencem a mesma VLAN não são "tagueadas” (untagged). Muitas placas de rede para PC's e impressoras não são compativéis com o protocolo 802.1Q e ao receberem um frame tagged, não compreenderão o TAG de VLAN e descartarão a informação.
Os Switches que recebem na sua interface Trunk um frame com TAG, irão remover o campo e entregar o quadro ao destino sem a marcação.

A regra é bem simples para a maioria dos casos (salvo exceções):

• Para comunicação entre Switches, configure as interfaces como Trunk ( Tagged)
• Para comunicação entre Switches e hosts, servidores, impressoras; configure as interfaces como Access (untagged) com o ID da VLAN

Configuração

Para a maioria dos Switches H3C/3Com configure as portas como trunk da seguinte maneira:

interface GigabitEthernet 1/0/x
! acesso a interface GigabitEthernet
port link-type trunk
! configuração da interface como trunk (frames encaminhados como tagged)
port trunk permit vlan all
! configuração da porta permitindo todas as VLANs no trunk

Porta de acesso

interface GigabitEthernet 1/0/x
! acesso a interface GigabitEthernet
port link-type access
! configuração da interface como acesso (frames encaminhados como untagged)
port access vlan 2
! configuração da porta na vlan 2

Para retornar a porta de alguma VLAN para a VLAN 1, digite o comandoundo port access vlan dentro da interface física.

Obs: Por default os frames da VLAN 1 não são encaminhados com TAG dentro do Trunk.

fonte: http://comutadores.blogspot.com/2010/10/vlan-trunk-utilizando-8021q-dot1q.html

Armitage - Metasploit Gráfico

Pra quem se interessa pelo metasploit e não gosta da interface texto dele, segue uma dica encontrada no vivaolinux:

Para instalar o Armitage no Backtrack, precisamos atualizar os repositórios e instalar o pacote "armitage".

# apt-get update
# apt-get install armitage 

O Armitage comunica-se com o Metasploit através do daemon RPC, então precisamos iniciá-lo.

# msfrpcd -f -U msf -P test -t Basic 
[*] XMLRPC starting on 0.0.0.0:55553 (SSL):Basic...

A próxima coisa se fazer é iniciar o Mysql Server para que o Armitage possa armazenar os resultados.

# /etc/init.d/mysql start 

Por último, executamos o "armitage.sh" a partir da pasta /pentest/exploit/armitage, e poderemos visualizar a caixa de diá-logo de conexão. No Backtrack, as credenciais default para o MySQL são root/toor e para o PostgresSQL, postgres/toor.

# cd /pentest/exploits/armitage
# ./armitage.sh

Selecionamos a opção "Use SSL", verificamos os restante das configurações e clicamos em "Connect". Após isso, a janela principal do Armitage é exibida.

Boa sorte.