31 de jul. de 2010

IP Inspection



Bom dia galera!

Falarei agora de ip inspection, uma feature bem interessante de segurança do IOS.

Basicamente é uma funcionalidade stateful, que serve pra realmente inspecionar a direção da comunicação, e liberar somente, geralmente, tráfego originado da rede interna (client) para algum servidor externo. Isso serve para adicionar uma camada extra de segurança com a rede interna. A rede externa é conhecida como untrusted, e a rede interna como trusted. Assim, somente conexões de um protocol específico, como por exemplo FTP podem ser originadas da rede interna somente, bloqueando a requisição originada da rede externa.

A configuração em si é bem simples. Primeiro é definido o tipo de tráfego que será inspecionado. Nesse exemplo usaremos HTTP, mas outros protocolos podem ser usados:

router(config)# inspect name HTTP_INSPECTION http

Depois definimos a direção em que o inspection será aplicado, assim como numa ACL:

router(config-if)# ip inspect HTTP_INSPECTION out (O tráfego de saída será autorizado, vindo da rede interna).

E para que tenhamos uma configuração coerente, podemos simplesmente bloquear todo o tráfego http que chega por essa interface, bloqueando a rede externa de iniciar conexões com a rede interna:

router(config)# access-list 100 deny tcp any any eq www
router(config)# access-list 100 permit ip any any
router(config)# interface fastethernet 0/1
router(config-if)# ip access-group 100 in


Desta maneira, somente o tráfego HTTP terá inspection habilitado.

Para verificação da configuração e estado das conexões inspecionadas:

show ip inspect session [detail | all]

O comando ip inspect audit-trail pode ser habilitado para gerar mensagens syslog no router com o estado das conexões.

28 de jul. de 2010

Portable Product Sheets

Como escolher o melhor Router ou Switch de acordo com as minhas necessidades ? A Cisco disponibiliza uma serie de Guias de Referencia Rapida em PDF para responder a esta e muitas outras duvidasQuem me passou esta dica foi o Daniel Santos no Forum Geral destinado aos participantes do Curso CCNP Route On-line (que logo estara oferecendo vagas para o modo gravado, aguardem !!!).

Comparar os diversos modelos das series de equipamentos da Cisco em busca daqueles que melhor atendem as necessidades de uma empresa pode ser uma tarefa exaustiva. Esta serie de PDFs resumem bem as diferencas entre os equipamentos e sao uma poderosa ferramenta para profissionais de pre-venda.

Confiram as Portable Product Sheets disponiveis no link abaixo e postem aqui o que acharam deste recurso:

http://www.cisco.com/web/partners/tools/quickreference/index.html

25 de jul. de 2010

Negociação de duplex e velocidade

Bom dia pessoal!

Nada melhor que acordar no domingo e fazer um post no netfinders! hehehe

Para alguns, essa tabelinha está na cabeça já, mas pra outros é um prato cheio..



O que eu mais gostaria de falar ainda, é que muitos não tem noção do quanto isso é importante, e o estrago que pode causar em uma comunicação. Eu já passei por problemas aonde servidores tinham problemas de lentidão que eram causados por um simples "duplex mismatch". Às vezes nos preocupamos demais com problemas de roteamento, spanning-tree, etc, mas não olhamos o mais básico :)

A recomendação da Cisco é que para interconexão de dispositivos de rede e servidores, autonegotiation seja desligado. E para conexão com dispositivos finais, autonegotiation seja habilitado (já é por padrão).

Bom, pra quem não sabe, é bom saber!

Abraços!

21 de jul. de 2010

Programa Exam Colaboratory


Se vc possui uma Certificação CCNA, CCDA, CCVP ou CCDP válida, ajude a Cisco a atualizar suas Provas e estenda a validade de sua CertificaçãoO programa Exam Colaboratory é uma iniciativa de Cisco que almeja recrutar Profissionais de todo o mundo dispostos a ajudar a rever seus exames de Certificação. Os selecionados receberão treinamento e orientação de como elaborar questões para as Provas de Certificação e terão a validade de suas Certs estendidas por um ano !

Para maiores informações, clique aqui.

As senhas de seu Router são seguras ?


Neste post vamos discutir como deixar as senhas usadas em roteadores Cisco mais fortes, definindo um número mínimo de caracteres e ativando o serviço de criptografia de senhas. Primeiro, vamos definir o tamanho mínimo das senhas com o comando abaixo:

Router(config)#security passwords min-length ?
<0-16> Minimum length of all user/enable passwords


Aqui vemos que o número mínimo pode ser definido para até 16 caracteres. É interessante notar que o espaço em branco digitado a esquerda antes de qualquer caracter é ignorado, mas se o espaço for colocado no meio da string é considerado um caracter válido.

Com exceção da enable secret, todas as deais senhas são apresentadas em texto claro quando usamos os comandos show running-config ou show startup-config. Para fazer com que todas as novas senhas sejam criptografadas de forma nativa ao serem definidas, usamos:

Router(config)#service password-encryption

É importante notar que o serviço de encriptação não vai converter as atuais senhas existentes em texto claro e que nem a sua desativação irá desencriptar as senhas que estiverem cifradas. A lógica é a seguinte: Todas as senhas que forem definidas enquanto o serviço estiver ativo serão criptografadas. Portanto, é necessário redefinir as senhas já existentes:

Router(config-line)#line console 0
Router(config-line)#password console2010
Router(config-line)#login
Router(config-line)#line vty 0 4
Router(config-line)#password telnet2010
Router(config-line)#login


Estas senhas já devem aparecer criptografadas com o número 7 indicando a criptografia proprietária da Cisco:

!
!
!
line con 0
password 7 082243401A160912405B5D54
login
line vty 0 4
password 7 08354942071C1145425A5C
login
!
!
!

Uma outra boa medida de segurança para suas senhas é usar a palavra secret no lugar de password na hora de definir as senhas dos seus usuários locais:

Router(config)#username huguinho secret netfindersbrasil2010
Router(config)#username zezinho secret netfindersbrasil2010
Router(config)#username luizinho secret netfindersbrasil2010

Ao verificar com o comando show runn, vemos que as senhas foram criptografadas como tipo 5 --> md5, mais seguras que o tipo 7 usado nos exemplos anteriores:

!
username huguinho secret 5 $1$mERr$EVIxOm6/n2ECVovxbzOQO/
username luizinho secret 5 $1$mERr$EVIxOm6/n2ECVovxbzOQO/
username zezinho secret 5 $1$mERr$EVIxOm6/n2ECVovxbzOQO/
!

VC pode opcionalmente indicar que a senha ficará em texto claro substituindo o número 5 com o 0 (zero).

Abs,

18 de jul. de 2010

A Internet Revelada: Entenda o que são Pontos de Troca de Tráfego

Este video é usado no curso de IPv6 produzido pelo NIC.BR com o intuito de apresentar o que são os PTTs - Pontos de Troca de Tráfego (Internet Exchange Points em Inglês). Vale a pena conferir - aconselho usar o recurso de tradução de legendas do Inglês para o Português no Youtube !O Core da Internet é composto por empresas que trocam tráfego gratuitamente entre si, este processo é chamado de Peering e ocorre entre os Provedores de primeiro nível da grande Teia mundial. Segundo o Plano Nacional de Banda Larga brasileiro (PNBL), cidades com mais de 200.000 habitantes devem ter seus PTTs próprios, o que confina o tráfego local em uma única área geográfica, aliviando o backbone de um grande tráfego desnecessário.

Entenda como os PTTs funcionam vendo o vídeo abaixo. Recomendo o uso do mesmo a todos os que desejam compreender como a Internet funciona:

17 de jul. de 2010

Vc pode ajudar a escrever a História da Internet no IETF


Os grupos de trabalho do IETF - Força Tarefa de Engenharia da Internet - são compostos por representantes do mundo Acadêmico e de Profissionais da área de Redes que se dispõem a participar das discussões e documentar suas conclusões. Participe das discussões que são de seu interesse !
Basta encontrar, dentre os vários grupos que discutem inúmeros assuntos relacionados a infra-estrutura da Internet, Roteamento, Segurança e Transporte de Dados quais são as discussões mais voltadas a sua área de atuação. As discussões são feitas em Inglês, é claro, mas creio que é uma excelente oportunidade de ficar por dentro de quais são os assuntos mais quentes desta fascinante área. Caso vc se torne um membro ativo e faça contribuições relevantes, pode inclusive pleteiar bolsa para participar dos encontros dos grupos no exterior.

Encontre os grupos que tratam de temas de seu interesse em:

https://datatracker.ietf.org/wg/

Have Fun !!!

16 de jul. de 2010

Novas Certificações Microsoft

A Microsoft alterou recentemente suas linhas de Certificação e as tornou muito semelhantes ao estilo da Cisco. Pirâmides distintas, com 3 niveis diferentes em cada uma (Associate, Professional e Expert). A carreira inicial chama-se MTA (Microsoft Technology Associate). Qualquer semelhança com o CCNA NÃO É mera coincidência! As novas Certificações de base focam em alunos de cursos técnicos e de nível superior, ao contrário das tradicionais Certificações focadas em produtos Microsoft que nunca expiram, estas Certificações Acadêmicas tem prazo de validade, focam em tecnologia e devem ser renovadas periodicamente.

Os exames da nova linha 98 formam MTAs em 3 pirâmides distintas, são elas:

IT PRO
DEVELOPER
DATABASE

Na track de Redes, existem 3 concentrações disponiveis: Networking Fundamentals, Security Fundamentals e Windows Server Administration Fundamentals.

A questão agora é: VALE A PENA SER UM MTA ???

Confira toda a Linha de Certificações Microsoft reestruturadas conforme abaixo:

FONTE:
http://www.microsoft.com/learning/en/us/certification/mta.aspx#certification



13 de jul. de 2010

Até os Roteadores estão Twittando !

Os TCL Scripts estão agregando cada vez mais novas funcionalidades aos Roteadores Cisco. Neste post, vamos conhecer uma API que permite usar um Router para enviar mensagens no Twitter.
Procurando por assuntos relacionados a tecnologias Cisco na Internet, me deparei com um site chamado PacketLevel onde encontrei muitas coisas interessantes, sendo que o que mais me chamou a atenção foi um Script TCL que permite enviar mensagens de até 140 caracteres diretamente de um Roteador Cisco para uma conta no Twitter.

Acesse o site no link acima e confira o tamanho do código do Script. Ainda não tive tempo de testa-lo, mas já há uma conta no Twitter usada como prova de conceito disponivel em: http://twitter.com/myciscorouter

Até os Roteadores estão Twittando !

12 de jul. de 2010

Crie um Servidor DNS completo em seu Router

Implemente os comandos necessários para converter seu Roteador Cisco em um Servidor DNS completo, incluindo entradas de registro SOA, Servidores de Nomes, entradas MX e muito mais ...NOTA: Seu Router deve possuir um IOS versão 12.2 ou superior. Verifique se o seu Roteador suporta os comandos abaixo:

ip dns server
ip dns primary netfindersbrasil.com soa ns1.netfindersbrasil.com adilson@netfindersbrasil.com 86400 3600 1209600 86400
ip host netfindersbrasil.com mx 10 mail.netfindersbrasil.com
ip host netfindersbrasil.com mx 20 mail2.netfindersbrasil.com
ip host netfindersbrasil.com ns ns1.netfindersbrasil.com
ip host netfindersbrasil.com ns ns2.netfindersbrasil.com
ip host ns1.netfindersbrasil.com 192.168.2.156
ip host www.netfindersbrasil.com 192.168.2.10
ip host ns2.netfindersbrasil.com 192.168.2.11
ip host mail.netfindersbrasil.com 192.168.2.20
ip host mail2.netfindersbrasil.com 192.168.2.21


Caso vc queira resolver nomes no formato IPv6. as entradas devem ser similares a esta:

ipv6 host netfindersbrasil.com 2001:db8:0:1::2

Divirtam-se !!!

11 de jul. de 2010

IOS para estudantes


Conforme anunciado pelo Marco Filippetti, o blog Ethereal Mind lançou uma petição on-line pedindo a liberação de uma versão de testes do IOS - PARTICIPE !!! já faz algum tempo que usamos o Dynamips e o GNS3 para estudar para as provas de certificação da Cisco, nos últimos tempos, há rumores de que a própria Cisco pretende liberar uma versão de IOS para estudantes treinarem para as suas provas.
Assine a petição disponivel em http://etherealmind.com/petition, todos nós só temos a ganhar com a disseminação de material gratuito para estudo !

Fonte:
http://blog.ccna.com.br/2010/07/11/cisco-ios-versao-estudante-entre-na-briga-para-que-a-cisco-libere-uma/

10 de jul. de 2010

Comando Show que trava um Router Cisco

David Bomball, CCIE que mantém um site cheio de dicas e materiais gratuitos sobre o mundo Cisco, nos mostra um comando show capaz de travar um Roteador. NÃO FAÇA ISSO EM UM EQUIPAMENTO EM PRODUÇÃO !!!Já há alguns meses assinei o NwesLetter de DAvid Bombal, o qual trás uma série de dicas e comandos relacionados ao mundo Cisco. Na última edição, David demonstra como um mero comando show pode se aproveitar de um bug existente no IOS para crashear o Sitema. Testem isso no GNS3:


Router#show run | b (.*)(\1)+


Assistam ao video em que o comando é testado clicando aqui.

Vale a pena conferir todas as ferramentas disponiveis no configureterminal.com.Há um livro inteiro disponivel para download com dicas de Configuração e uso de comandos no IOS, além de ferramentas pagas como o CCIE Command Memorizer, ideal para quem se tornar fluente na sintaxe dos comandos exigidos na prova prática de CCIE Routing & Switching.

Vale a pena conferir o site a assinar o Newsletter. Eu recomendo !!!

8 de jul. de 2010

Estas Preparado ???

Alguém se lembra deste site ? Eu o conheço desde 2002 e ainda encontro algumas coisas interessantes !O estaspreparado foi um dos primeiros sites que achei na Internet falando sobre redes Cisco. Hoje eu o visitei e vi que sua última atualização foi em março deste ano.

Legal ver que um site com material gratuito para estudos como este sobreviveu por tanto tempo. Não espere encontrar um design arrojado, mas há pequenos programas e utilitários bem interessantes para quem quer se preparar para o CCNA, apesar de exigir que vc garimpe nos links, pois ainda há muito material da Prova antiga, 640-801, que já não está mais disponivel.

Escrito em espanhol, o site trás muito material em sua lingua mãe e também em inglês, como não poderia deixar de ser. Não espere encontrar nada em português por lá.

Uma outra dica é usar um bom anti-virus para tudo que baixar de lá ! rsrsrs

Mas, apesar dos pesares, ainda é um site interessante para se conhecer:

http://www.estaspreparado.com.ar/


PS: Espero que o NetFindersBrasil dure tanto tempo assim !!!

Grande abraço !!!

Livros de Redes para acessar on-line

Escolha o tema: Cisco, Juniper, Linux, Segurança e muito mais.Encontrei por acaso este link enquanto procurava por material falando sobre troubleshooting de Redes com o protocolo EIGRP.
Há uma série de livros disponiveis sobre diversos temas ligados a Redes, não encontrei nenhuma opção para download mas o material parece muito bom. A julgar pelos ideogramas que aparecem no site, deve ser mantido na China.

Vale a pena conferir:
http://hzfenghe.com/book/

5 de jul. de 2010

Novas habilidades cobradas no CCNP ROUTE

Uma das principais novidades da Prova 622-902 – ROUTE em relação a antiga prova BSCI é a inclusão das habilidades relacionadas ao planejamento, implementação e verificação de projetos de redes na Prova.
A Cisco eliminou muitos tópicos como QoS, Wireless LAN e Segurança das Provas CCNP para cobrar alguns tópicos de forma mais profunda, como ocorre com o Ipv6. No caso de ROUTE, 6 grandes temas são abordados:

• EIGRP
• OSPF
• eBGP
• Ipv6
• Redistribuição
• Layer 3 Path Control

Se analisarmos os novos tópicos cobrados no exame relacionados a estes temas, as palavras plan (planejar) e document (documentar) aparecem freqüentemente. Isto devido ao fato de que agora não basta apenas saber comandos, é necessário ter um bom entendimento do funcionamento dos protocolos para opinar sobre como:

Planejar :“Isso é o que nós queremos realizar !”
Implementar:“Isso é exatamente o que vamos fazer !”
Verificar :“Será que as ações implementaram o esperado ?”

Ao contrário do que alguns possam imaginar, isto não quer dizer que o candidato a CCNP terá que planejar toda a implementação de EIGRP numa empresa ou terá que criar um checklist completo com todos os comandos shows e debugs para validar esta implementação durante a Prova. (algo assim estaria muito mais para a Track de Design propriamente dito). O fato é que é necessário conseguir responder a estas questões apenas com lápis e papel na mão (ou com apenas um mero editor de textos aberto) ao invés de digitar comandos num terminal.

O objetivo é formar um Engenheiro de Redes capaz de gerar documentação que auxilie os profissionais mais inexperientes a seguir um roteiro para o troubleshooting de problemas que venham a surgir durante a implementação de um projeto proposto.

Analisar o Design da Rede com o objetivo de extrair os principais objetivos do Projeto, além de encontrar falhas, pontos fracos e propor novas soluções são habilidades que passam a ser muito valorizadas no novo exame.

4 de jul. de 2010

Troubleshooting em Roteadores Cisco

Mais de 40 comandos shows e debugs para vc descobrir, isolar e resolver problemas em Roteadores CiscoPara gerenciar falhas em equipamentos Cisco, vc precisa descobrir, isolar e corrigir problemas. Existem uma série de comandos no IOS para:

Exibir informações doSistema
Receber mensagens de alerta
Testar conectividade
Testar memória e interfaces
Criar Core Dumps
Habilitar debugs e disparar debugs condicionais

São mais de 40 comandos diferentes usados no gerenciamento de falhas apresentados em um pdf disponivel no cisco.com. O ideal é testar estes comandos usando um equipamento de verdade ou através de um emulador como o GNS3.

Confira em:
http://www.cisco.com/en/US/docs/ios/12_0/configfun/configuration/guide/fctroubl.pdf

3 de jul. de 2010

Curso IPv6 transmitido ao vivo pela Internet

Nos dias 05, 06 e 07 de Julho de 2010, das 9h as 18h, será ministrado um curso sobre IPv6 na USP, para uma turma de estudantes. Não é mais possível participar presencialmente, mas o curso será transmitido ao vivo pela Internet.
Será um curso semelhante ao que já é ministrado para os provedores Internet e outros ASes (http://ipv6.br/curso), mas simplificado, com a carga horária reduzida.

O curso será transmitido através do síte http://iptv.usp.br.

Para os participantes remotos, a interação durante o curso será possível através do email: ipv6@nic.br, ou ainda pela rede Freenode de IRC no canal #ipv6.br. Embora o laboratório não possa ser acompanhado remotamente de forma satisfatória, os módulos teóricos certamente sim!

Clique aqui para acessar o link direto da transmissão, ou procure por "Transmissões ao vivo" no sítio: http://iptv.usp.br
Quem quiser baixar a apostila para acompanhar remotamente, pode fazê-lo no endereço: http://www.ipv6.br/pub/IPV6/MenuIPv6CursoPresencial/IPv6-apostila.pdf.

Aqueles que desejarem estar melhor preparados para acompanhar as palestras, podem antes estudar o e-learning: http://ipv6.br/curso. São necessárias cerca de 4h de dedicação!

Em breve serão divulgados os horários aproximados de cada módulo.

1 de jul. de 2010

Vulnerabilidade nos Access Points Cisco

Uma feature dos access points da série Aironet 1200 da Cisco está gerando preocupação nos analistas de Segurança do mundo todo.

Segundo a Core Security Technologies hackers podem conseguir acesso remoto em redes corporativas que possuem esses equipamentos no modo "WPA Migration". O interessante é que essa é uma função criada para aumentar a segurança da rede Wireless, permitindo que as empresas migrem gradualmente o tráfego que utiliza criptografia WEP (que é considerada fraca e fácil de ser quebrada) para a criptografia WPA.

Se a função "Migration mode" não for desabilitada depois da migração a rede da empresa continua tão sujeita a ataques quanto ela estava antes da migração, já que os pesquisadores conseguiram quebrar a criptografia forçando os equipamentos a enviarem pacotes de broadcasts WEP.

A Cisco entende que não se trata de uma vulnerabilidade do equipamento e sim de uma característica do protocolo WEP. De qualquer forma a Core Security Technologies orienta a todas as empresas que utilizam esse equipamento para desabilitarem essa função e torcer para que o fabricante faça uma correção.

Vamos aguardar.