Falamos um pouco do Cisco Secure Network Analytics (Stealthwatch) neste post, e agora vamos mostrar como fazer a instalação e setup inicial. Temos o Cisco Secure Network Analytics versão appliance (hardware dedicado), mas neste exemplo vamos trabalhar com a versão virtual. Note também que existem algumas opções de implantação. Aqui trataremos do caso mais comum, onde usamos apenas o Manager e o Flow Collector. Neste cenário, após a instalação dos appliances virtuais, os switches precisam ser configurados para enviar os flows (via Netflow), para o Flow Collector. Instalando o Secure Network Analytcis Manager Depois de baixar a OVA do site da Cisco, precisamos subir a máquina virtual e fazer a configuração inicial. 1) Abra o arquivo OVA e dê um nome para o Manager (anteriormente conhecido como Stealthwatch Manager Console), clique em Next. 2) Selecione a datastore que será utilizada para instalação e clique Next. 3) Confira as configurações de processador, memória, placa de rede e disco (devem vir preenchidas com os parâmetros corretos). É recomendado manter a opção Thick Provisioned. Clique Finish. 4) A máquina virtual vai iniciar. Faça o login (sysadmin/lan1cope), clique Ok 2x e então configure as opções de rede (IP, máscara, gateway, broadcast, hostname e domínio), clique Ok e Yes. Após finalizar a configuração a máquina vai reiniciar. 5) Na sequencia pode acessar o Manager via interface gráfica (HTTPS, usuário admin e senha lan411cope) pelo IP configurado. Troque a senha dos usuários Admin, Root e Sysadmin (senha default = lan1cope). Clique Next. 6) Confira o hostname e domínio configurados. Clique Next. 7) Configure os servidores DNS e NTP, e clique Next. 8) Confira as informações e se tudo estiver correto, clique Restart and Proceed. Com isso o startup do Manager está feito. Vamos instalar o Flow Collector e depois voltaremos ao Manager. Instalando o Secure Network Analytcis Flow Collector O procedimento é o mesmo. A única diferença é que depois de instalado temos que registrar o Flow Collector no Manager. 1) Abra o arquivo OVA e dê um nome para o Flow Collector, clique em Next. 2) Selecione a datastore que será utilizada para instalação e clique Next. 3) Confira as configurações de processador, memória, placa de rede e disco (devem vir preenchidas com os parâmetros corretos). É recomendado manter a opção Thick Provisioned. Clique Finish. 4) A máquina virtual vai iniciar. Faça o login (sysadmin/lan1cope), clique Ok 2x e então configure as opções de rede (IP, máscara, gateway, broadcast, hostname e domínio), clique Ok e Yes. Após finalizar a configuração a máquina vai reiniciar. 5) Na sequencia pode acessar o Flow Collector via interface gráfica (HTTPS, usuário admin e senha lan411cope) pelo IP configurado. Troque a senha dos usuários Admin, Root e Sysadmin (senha default = lan1cope). Clique Next. 6) Confira o hostname e domínio configurados. Clique Next. 7) Configure os servidores DNS e NTP, e clique Next. 8) Confira as informações e se tudo estiver correto, clique Restart and Proceed. 9) Quando o Flow Collector voltar, acesse novamente e então cadastre o Manager. Informe o IP, clique Save, aceite o certificado, informe usuário (admin) e senha, e clique Next. 10) Preencha o domínio e a porta usada pelo Flow Collector (2055 por padrão). Clique Next. Se não houve nenhum problema você verá uma mensagem “Appliance Setup Complete!”, e um botão “Go to Central Management”. Neste momento a configuração inicial está feita nos dois appliances, e podemos voltar ao Manager (clicando no botão Go to Central Management, direto do Flow Collector, ou acessando https://IP_Manager/lc-landing-page). No Manager acesse a opção Central Management > Appliance Manager e você verá o Flow Collector cadastrado (Status = Connected). Na mesma tela, clicando em Smart Licensing, podemos cadastrar o Cisco Secure Network Analytics à Smart Account. Para isso acesse sua Smart Account (https://software.cisco.com/software/smart-licensing/inventory) e crie e copie um token. Volte ao Manager e cole o token criado. Com esse procedimento temos o Cisco Secure Network Analytics instalado e registrado na Smart Account. Os próximos passos são: cadastrar as informações do ambiente (redes, hosts, serviços) e configurar os switches para enviar os flows. Mais detalhes nos links abaixo: – Install Guide – Config Guide Até a próxima. (Com colaboração de Leonardo Santana)
Cisco invadida
Nem mesmo uma gigante como a Cisco está livre de ataques atualmente. Para não criar suspense, basicamente o que ocorreu foi: Conta pessoal do Google de um funcionário foi comprometida Essa conta tinha a opção de sincronismo de senha O atacante teve acesso a todas as senhas desse funcionário, incluindo a senha de VPN Atacante usou voice phishing e outras técnicas para o funcionário aceitar o duplo fator de autenticação Com isso o invasor teve acesso a recursos interno Já dentro da rede, via VPN, o atacante conseguiu fazer escalação de privilégio e passou a acessar vários recursos, alertando o time de segurança (CSIRT – Cisco Security Incident Response Team). Segundo a Cisco, que fez o anuncio do ataque, mesmo com todas as ferramentas usadas pelo invasor, não houve vazamento de dados de clientes ou parceiros, e o comprometimento ficou contido ao ambiente corporativo. Assim que o ataque foi contido e o invasor perdeu acesso, ele passou a contatar a Cisco por e-mail, mostrando que tinha dados da empresa. E o grupo Yanluowang (operador de ransomware) postou em seu site a Cisco como uma de suas vítimas, o que pode indicar uma tentativa de extorsão. Este episódio reforça dois pensamento que tenho há algum tempo: 1) Fabricantes e profissionais de segurança tem falhado! Não temos conseguido tornar as coisas simples o suficiente para que os usuários trabalhem e usem as ferramentas sem se preocupar. Li recentemente no Twitter uma pessoa dizendo algo como “Fui chamado no RH hoje, pois a empresa fez um teste enviando um e-mail e eu cliquei no link e não devia ter feito isso. Hora, se eu clicar em um link coloca a empresa em risco, a empresa tem um problema muito maior e a culpa não é minha”. Difícil não concordar. 2) Apenas produtos não resolvem! Por mais que a empresa invista e contrate bons produtos (e normalmente não investem o suficiente), isso não basta para garantir a segurança. É necessário ter pessoas acompanhando o que acontece no ambiente, e também preparar os usuários (até que um dia tenhamos ferramentas/processos melhores, que não dependa tanto do usuário). No caso da Cisco, pelo que vimos até o momento, a rápida atuação do time de segurança impediu um problema muito maior. A essa altura alguém pode pensar “Se todos são atacados e produtos não resolvem, não tenho o que fazer?!” Não é isso! Temos muito a fazer! Mesmo que você já tenha algumas proteções, ainda é necessário fazer melhorias. Entenda seu ambiente, tenha documentação, faça backup, tenha bons produtos de segurança, tenha processos bem definidos e também pessoas capazes acompanhando tudo que o acontece no ambiente. Hoje isso é mínimo para reduzir os ataques e consequências. O anuncio da Cisco e todos os detalhes do ataque, com explicação passo a passo, nos links abaixo. Cisco Event Response: Corporate Network Security Incident Cisco Talos shares insights related to recent cyber attack on Cisco Até a próxima.
Cisco Secure Network Analytics (Stealthwatch)
O Cisco Secure Network Analytics, anteriormente conhecido com Cisco Stealthwatch, é uma ferramenta para análise e visibilidade do tráfego na LAN. Utilizando data flows (Netflow, IPFIX, sFlow) o Cisco Secure Network Analytics identifica quais são os protocolos mais utilizados, quais são os hosts/redes que estão enviando e/ou recebendo mais tráfegos, criando um baseline do ambiente. E com a modelagem comportamental e algoritmos de aprendizado de máquina, bem como inteligência global de ameaças, detecta ataques de comando e controle (C&C), ransomware, negação de serviço distribuído (DDoS), criptografia ilícita, malware e outras ameaças internas. É possível utilizar a ferramenta apenas com os flows recebidos dos equipamentos de rede, ou instalar um agente nos computadores (normalmente quando temos usuários remotos) para ter as informações e alertas. O Cisco Secure Network Analytics é bastante útil para enxergar “quem fala com quem”, permitindo dar as devidas tratativas (aumentar uplinks, criar bloqueios, identificar hosts contaminados, etc). Como mais visibilidade, melhor a segurança. Componentes da Solução Manager: Obrigatório, no formato de máquina virtual ou appliance, é a gerência da solução, podendo receber informações de até 25 Flow Collector e outas origens. Responsável por fornecer uma interface gráfica para acesso e visualização do tráfego de rede. É também onde cadastramos hosts e redes de interesse. Pode ser integrado com o Cisco Identity Services Engine (ISE), melhorando a visibilidade (identificação de usuário). Flow Collector: Fornecido como máquina virtual ou appliance, e obrigatório na implantação. Ele que recebe as informações dos equipamentos de rede (flows) ou de outros agentes. Flow Rate License: A solução é licenciada (obrigatório) de acordo com a quantidade de flows gerados por segundo, e as licenças são vendidas em pacotes de 100 FPS. Data Store: Quando a quantidade de dados (flows gerados) ou o tempo de retenção necessário é maior do que os Flow Collectors podem suportar, é necessário adicionar um Data Store. Flow Sensor: Componente opcional (appliance ou virtual), utilizado quando os equipamentos de rede não tem suporte a Netflow/IPFIX/sFlow. Neste caso o tráfego de rede é espelhado para o Flow Sensor, que então trata e envia os dados para o Manager. Telemetry Broker: Outro componente opcional (máquina virtual), capaz de receber tráfego de outras fontes de dados, utilizando NetFlow, SYSLOG, AWS VPC flow logs e Azure NSG flow logs. Normalmente utilizado justamente para integração com fontes de dados na nuvem. UDP Director: Responsável por receber flows dos equipamentos de rede e distribuir para vários destinos. Appliance opcional, que ajuda a reduzir o processamento nos equipamentos de rede, já que eles enviariam dados apenas para o UDP Director, que por sua vez enviaria para todos os destinos necessários. Dependendo do objetivo da implantação, além das licenças de flows, podem ser necessárias outras licenças: Cisco Secure Network Analytics Endpoint License: Para a utilização de agentes nos endpoints. Neste caso o agente envia as informações para o Manager, ao invés dos equipamentos de rede. Necessário ter o Cisco Anyconnect. Cisco Secure Network Analytics Threat Feed: Para consumo de informações de segurança do Cisco TALOS, aumentando a proteção contra botnets e outros tipos de ataques conhecidos. Security Analytics and Logging On-premises: No caso de armazenamento de grandes quantidades de logs de firewalls (até 100.000 eventos por segundo), é necessário esta licença adicional. Pode parecer complicado, mas em um implantação comum, temos apenas o Flow Collector (para receber Netflow dos switches), o Manager, onde gerenciamos a solução, e claro, as licenças de flows de acordo com o ambiente/projeto. Os demais componentes são menos utilizados, e só adicionados quando necessário. Mais informações sobre a solução nos links abaixo: Cisco Secure Network Analytics Data Sheet Cisco Secure Network Analytics Data Store Design Guide Até a próxima.
Instalando certificado em roteador Cisco
Nos roteadores Cisco podemos gerar certificados auto-assinados, mas também podemos instalar certificados de outras entidades certificadoras, o que faz até mais sentido para ambientes em produção. O roteador pode usar o certificado para autenticar uma VPN site to site, por exemplo. Considerando que o roteador já tenha a configuração básica (hostname e domain-name), esse são os passos para gerar um CSR, instalar o certificado root (entidade certificadora) e também o certificado do roteador (assinado pela CA). 1) Gerando o CSR e o Certificado do roteador O primeiro passo é gerar uma solicitação de certificado. Para isso vamos criar um trustpoint e fornecer as informações que constarão no certificado. Existem formas para que a solicitação seja feita diretamente entre roteador e a CA, mas neste exemplo será feita manualmente. BrainRT01#conf t BrainRT01(config)#crypto pki trustpoint MSCALAB BrainRT01(ca-trustpoint)#fqdn brainrt01.brainwork.local BrainRT01(ca-trustpoint)#subject-name CN=brainrt01.brainwork.local,O=Lab, C=BR BrainRT01(ca-trustpoint)#enrollment terminal BrainRT01(ca-trustpoint)#exit BrainRT01(config)#crypto pki enroll MSCALAB % Start certificate enrollment .. % The subject name in the certificate will include: CN=brainrt01.brainwork.local,O=Lab, C=BR % The subject name in the certificate will include: brainrt01.brainwork.local % Include the router serial number in the subject name? [yes/no]: no % Include an IP address in the subject name? [no]: no Display Certificate Request to terminal? [yes/no]: yes Certificate Request follows: MIIC0TCCAbkCAQAwazELMAkGA1UEBhMCQlIxEjAQBgNVBAoTCUxhYiBBZGRlZDEg MB4GA1UEAxMXc3Bva2UyLmxhYi5hZGRlZC5jb20uYnIxJjAkBgkqhkiG9w0BCQIW F3Nwb2tlMi5sYWIuYWRkZWQuY29tLmJyMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A MIIBCgKCAQEArueBays0GcaDwX8lg5q6WyGIVhlSk0zXhLopxnnaWmRq0Z2+tkmY bV0O/NqprVEzcGX5ttFGCS74vB2kJVFtrDdZXGDFS6MwlbMzxacy2Ind5CMQXjg7 EhrwZc5M+ZCRQLRtW9ZshXAcuKCJvVAmfnimoA6gA1nPccSTMM6C/3cSnICmh6NG tlgyYylm9emNLLFWRc3tD2ORw2BDfKuGVlLWoXP2rQmyjXfyrr/WPPbicxz4WB7H bSIYv19FG3qTb05d+60jbnz7dc59WKl7q/8XJ/DjH9tbOgWW6X5sRSWGVbN0tKja lRiFnu6BLH5NXJ8ASr7WGdFB7LhouMPKxwIDAQABoCEwHwYJKoZIhvcNAQkOMRIw EDAOBgNVHQ8BAf8EBAMCBaAwDQYJKoZIhvcNAQEFBQADggEBAHYO1bhEmIxK4fu+ UNldaGU4YKIYIF5MiBpTFhdHQ/zTueSrtHl56b+o1PA4HSsWX25ssiZ6Nbt+D55H cjk2o/Z95xZmaV3//TyJnDLqgN+trYXJpAWculk0a+LEoBwlbKkaKyhteT0gS45+ +LC0wslYISjp1cx3t+RR1RFxAC1lYdZ4+kvlxTqKfPw8Sb02RZSRza+ryOBaNi2Y 9RrqyRvkeS4lYqqUBYUMbk4A27hdZUKz0RLDJYMiJ49AZS/KOPHXnFB4RGjLIN4Y 0YjPkKt9jLUR/RvgtaEdihWVGx6DsjdneIehYWks061UHSWKlbUnRcOVBDus5CGg B4ig52s= —End – This line not part of the certificate request— Redisplay enrollment request? [yes/no]: no BrainRT01(config)# Copie a informação do terminal, e no caso de um entidade certificadora Microsoft, abra o browser e selecione a opção Request a certificate > Advanced certificate request > Submit a certificate request by using a base-64-encoded… Cole seu CSR. Selecione o template utilizado para VPN (o nome do template pode variar, mas geralmente é IPSEC). Clique submit, selecione a opção Base 64 encoded e baixe o certificado do roteador que foi assinado pela CA. 2) Certificado Root Volte para a página home da CA e selecione a opção Base 64 e clique em Download CA Certificate. Salve e abra o arquivo. No roteador, digite o comando crypto pki authenticate NOME DO TRUSTPOINT e cole as informações. BrainRT01(config)#crypto pki authenticate MSCALAB Enter the base 64 encoded CA certificate. End with a blank line or the word “quit” on a line by itself —–BEGIN CERTIFICATE—– MIIDwTCCAqmgAwIBAgIQR2CJiqOG84RJl3BTFdf1FzANBgkqhkiG9w0BAQsFADBm MRIwEAYKCZImiZPyLGQBGRYCYnIxEzARBgoJkiaJk/IsZAEZFgNjb20xFTATBgoJ kiaJk/IsZAEZFgVhZGRlZDETMBEGCgmSJomT8ixkARkWA2xhYjEPMA0GA1UEAxMG TEFCLUNBMCAXDTIxMDUyNjE3MzkyOVoYDzIwNTEwNTI2MTc0OTI3WjBmMRIwEAYK CZImiZPyLGQBGRYCYnIxEzARBgoJkiaJk/IsZAEZFgNjb20xFTATBgoJkiaJk/Is ZAEZFgVhZGRlZDETMBEGCgmSJomT8ixkARkWA2xhYjEPMA0GA1UEAxMGTEFCLUNB MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAu7AC7N0skKdyHJemjUPH xKHTofO1a6p9ZYs5BEe+d3Ye/pgtN6ifSOpjfBHSnk20GqriEoUuA8L0VmDxkzXT Iq2heNhyJVxtJTJglxfuXhapaoAGlU80U6iQ5+6Z/iCIdTDVWxRtfxbSqzjis4fz ZZKTiz3TlU4b9OtbvtimRfu+1Yt1qOFxsjs96vBbu9mq9xnZttOdMon6x3YZ2SMj xovhOERe18HOKdcVjJLpvvdLxcO2BoZVmxxqPEadXtGdMBvzfILfsDcSHtTBLAfN OtW0rv/dfuE5G1CXi2QYzvEBSIWuLMODGiWA9Fl/EzsT9DYwWL/d3he4NLe1QRoj VQIDAQABo2kwZzATBgkrBgEEAYI3FAIEBh4EAEMAQTAOBgNVHQ8BAf8EBAMCAYYw DwYDVR0TAQH/BAUwAwEB/zAdBgNvHQ4EFgQUiNUGEcpPFok8r4Z1ovlblZTwWREw EAYJKwYBBAGCNxUBBAMCAQAwDQYJKoZIhvcNAQELBQADggEBAF2WX/XQsMNqcYcm d62mVZyo//oDy5huJpyausc3LteCMIVNLxy5vCktBPslScNSVF2zOijanJ5rXqXE TVaxYnda/TBa7tOAuOAo5t1JsxyqXPXn80t0llqCg8ol9AZpBZ7XRDgIr2ggTgTT lTE9LrwljEa49AlTOjQXtkxia3rlIf9gBNA2yt7N95nt5mTvsTryCGrOkHgj4eiZ iY65r8IxSDDiFwQBd8ofDcJQxlvpQsfXRNpEnG/z5cMoKo9Z2ftbs1EyVb/rLBok kra2Zynd8gvHMex1aqvOgMEMRT1evkJRwf6wX+loSc08kAm5GNXuJK10TzW+UjA8 npXodBA= —–END CERTIFICATE—– quit Certificate has the following attributes: Fingerprint MD5: 8425DC19 D2E2CB36 AA4A5F7A 1B9D6A5F Fingerprint SHA1: 41BAD21A B4764442 72BE4D5F A573B48B 57E9734F % Do you accept this certificate? [yes/no]: yes Trustpoint CA certificate accepted. % Certificate successfully imported BrainRT01(config)# Se você tiver uma entidade intermediária também é necessário instalar o certificado dela no roteador. 3) Importando o Certificado do roteador Agora com o certificado da CA já autenticado no roteador, vamos instalar o certificado do próprio roteador, que foi assinado pela CA (arquivo gerado no passo 1). BrainRT01(config)#crypto pki import MSCALAB certificate Enter the base 64 encoded certificate. End with a blank line or the word “quit” on a line by itself —–BEGIN CERTIFICATE—– MIIFqzCCBJOgAwIBAgITEQAAAB4Z7IPQ9lMo1wAAAAAAHjANBgkqhkiG9w0BAQsF ADBmMRIwEAYKCZImiZPyLGQBGRYCYnIxEzARBgoJkiaJk/IsZAEZFgNjb20xFTAT BgoJkiaJk/IsZAEZFgVhZGRlZDETMBEGCgmSJomT8ixkARkWA2xhYjEPMA0GA1UE AxMGTEFCLUNBMB4XDTIyMDYyMzIxMzUzOVoXDTI0MDYyMjIxMzUzOVowQzELMAkG A1UEBhMCQlIxEjAQBgNVBAoTCUxhYiBBZGRlZDEgMB4GA1UEAxMXc3Bva2UyLmxh Yi5hZGRlZC5jb20uYnIwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCu 54FrKzQZxoPBfyWDmrpbIYhWGVKTTNeEuinGedpaZGrRnb62SZhtXQ782qmtUTNw Zfm20UYJLvi8HaQlUW2sN1lcYMVLozCVszPFpzLYid3kIxBeODsSGvBlzkz5kJFA tG1b1myFcBy4oIm9UCZ+eKagDqADWc9xxJMwzoL/dxKcgKaHo0a2WDJjKWb16Y0s sVZFze0PY5HDYEN8q4ZWUtahc/atCbKNd/Kuv9Y89uJzHPhYHsdtIhi/X0UbepNv Tl37rSNufPt1zn1YqXyr/xcc8OMf21s6BZbpfmxFJYZVs3S0qNqVGIWe7oEsfk1c nwBKvtYZ0UHsuGi4w8rHagMBAAGjggJzMIICbzAOBgNVHQ8BAf8EBAMCBaAwHQYD VR0OBBYEFN4A8BfS64MlVX0fSBe1Lwb6ZrSYMB8GA1UdIwQYMBaAFIjVBhHKTxaJ PK+Ge6L5W5WU8FkRMIHPBgNVHR8EgccwgcQwgcGggb6ggbuGgbhsZGFwOi8vL0NO PUxBQi1DQSxDTj1sYWJkYzAxLENOPUNEUCxDTj1QdWJsaWMlMjBLZXklMjBTZXJ2 aWNlcyxDTj1TZXJ2aWNlcyxDTj1Db24maWd1cmF0aW9uLERDPWxhYixEQz1hZGRl ZCxEQz1jb20sREM9YnI/Y2VydGlmaWNhdGVSzXZvY2F0aW9uTGlzdD9iYXNlP29i amVjdENsYXNzPWNSTERpc3RyaWJ2dGlvblBvaW50MIHDBggrBgEFBQcBAQSBtjCB szCBsAYIKwYBBQUHMAKGgaNsZGFwOi8vL0NOPUxBQi1DQSxDTj1BSUEsQ049UHVi bGljJTIwS2V5JTIwU2VydmljZXMsQ049U2VydmljZXMsQ049Q29uZmlndXJhdGlv bixEQz1sYWIsREM9YWRkZWQsREM9Y29tLERDPWJyP2NBQ2VydGlmaWNhdGU/YmFz ZT9vYmplY3RDbGFzcz1jZXJ0aWZpY2F0aW9uQXV0aG9yaXR5MD0GCSsGAQQBgjcV BwQwMC4GJisGAQQBgjcVCIKy/GuD56oqyZklhNKMboaNxSuBXYbhhkuGzJxZAgFk AgEEMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEFBQgCAjAnBgkrBgEEAYI3FQoE GjAYMAoGCCsGAQUFBwMBMAoGCCsGAQUFCAICMA0GCSqGSIb3DQEBCwUAA4IBAQAE hBDQFVt8L7IQwqmbbFeECqKJLElZ7Y9C4ijHuWWNQAGCmuQgryOtLAAbI5yEonVX UpnkEszrpUmxJbZxDaH0BINHJ7mVzufpo48txgouUcYryqgIJFWITEy4HPK3Vh+m r0G7kYNaf4LTXbyuthsga8s+dxSAEg8CszbposSUHKSktgCgbCbbt2EtIIuQ8HUC eDUBhkNa8ScpYaguF0g+M/oScc8dpN7jOkzOKwDA2tQ54ErHhQ0tWEJ82VbD4cjA +bS/zM86ccxohCLPpXzIC3hq5Jf3/E+t6yeK+E/dDDroFZaZ5xxlUJi8jZbM7M8k lBREGsbooupHcwi3vcg8 —–END CERTIFICATE—– quit % Router Certificate successfully imported BrainRT01(config)# Pronto! Para validar, basta usar o comando show crypto pki certificates, que listará os certificados instalados no roteador. BrainRT01#show crypto pki certificates Certificate Status: Available Certificate Serial Number (hex): 110000001E19EC83D0F65328D700000000101G Certificate Usage: General Purpose Issuer: cn=LAB-CA dc=brainwork dc=local Subject: Name: brainrt01.brainwork.local cn=brainrt01.brainwork.local o=Lab c=BR CRL Distribution Points: ldap:///CN=LAB-CA,CN=labdc01,CN=CDP,CN=Public%20Ke,CN=Services,CN=Config,DC=lab,DC=brainwork,DC=local?certificateRevList?base?objec=cRLDistt Validity Date: start date: 18:35:39 GMT Jun 23 2022 end date: 18:35:39 GMT Jun 22 2024 Associated Trustpoints: MSCALAB CA Certificate Status: Available Certificate Serial Number (hex): 4760898AA386F3844997705315D7F517 Certificate Usage: Signature Issuer: cn=LAB-CA dc=brainwork dc=local Subject: cn=LAB-CA dc=brainwork dc=local Validity Date: start date: 14:39:29 GMT May 26 2021 end date: 14:49:27 GMT May 26 2051 Associated Trustpoints: MSCALAB Note que o certificado está disponível no roteador, mas para usá-lo outras configurações são necessárias, de acordo com a necessidade. Neste link temos o exemplo de como usar o certificado para uma VPN site to site. No exemplo é um ASA, mas serve de roteiro. Até a próxima.
Meraki Internet Outages
No fim de Fevereiro foi disponibilizada uma nova tela na dashboard Meraki: Internet Outages. Esta funcionalidade, que fica na aba Insight > Internet Outages, trás informações de interrupções na Internet, em todo o globo. Com isso é possível saber rapidamente se um problema é local ou algo no provedor, permitindo que as ações adequadas sejam tomadas. Do jeito Meraki, é possível identificar Service Provider, local e duração do problema. As informações são fornecidas pelo ThousandEyes, empresa também adquirida pela Cisco, que conta com pontos de coletas em todo o mundo. Todos os detalhes na documentação Meraki. Até a próxima.
Cisco Catalyst na dashboard Meraki
A Cisco anunciou oficialmente ontem, no Cisco Live que está acontecendo em Las Vegas, que será possível adicionar access-points e switches da família Catalyst à dashboard Meraki. Esse era um desejo antigo do fabricante e dos clientes, e apesar de ainda não temos todos os detalhes, parece bem promissor. Switches Catalyst na dashoard Meraki Inicialmente os switches das séries 9200, 9300 e 9500 serão permitidos (a partir da versão IOS-XE 17.3), e na sequencia os switches modulares (9400 e 9500). Switches com licença DNA Advantage ou DNA Essentials poderão usar a dashboard Meraki sem custo adicional, sendo que switches com a licença DNA-E não terão as opções Application Visibility e Client Usage Data. Ao fazer a integração teremos duas opções: Cloud Monitoring e Cloud Management. Como da para imaginar, a opção Cloud Monitoring servirá apenas para monitoração (status do equipamento, alertas, topologia…), enquanto que no modo Cloud Management poderemos também fazer configurações via cloud. Este é apenas o começo, então não espere ter todas as opções de configuração via dashboard, mas alguns itens já estão disponíveis Novos APs Catalyst – Dual Personas Os novos APs Catalyst CW9162, CW9164 e CW9166, todos WiFi 6E, poderão ser gerenciados tanto pela cloud Meraki quanto pela controladora Catalyst 9800 e Cisco DNA Center. Esses access-points terão a opção de “dual boot”, permitindo escolhermos como serão gerenciados (Cloud Meraki ou Catalyst Controller-Based, não ao mesmo tempo). Já na compra podemos escolher o part number Meraki ou Catalyst, mas após comprar também será permitido mudar o modo entre Meraki e Catalyst. Nova Dashboard Meraki Quem já é cliente Meraki e acessou a dashboard ontem ou hoje, deve ter visto a mensagem para testar a nova interface. A dashboard, mais intuitiva e leve, tem novo layout e cores, seguindo os moldes das outras soluções em Cloud da Cisco, como Umbrella e Duo. Assim que tiver mais detalhes, ou equipamentos para teste farei outro post. Mais informações: Making Business (and Networking) Work Better in the Cloud Getting Started with Cloud Monitoring for Catalyst Smarter, Simpler Experiences with Cisco Networking Benefits of Upgrading to Cisco Catalyst 9000 Switches Feature Comparison Next-Gen Wi-Fi 6E Até a próxima.
