O Splunk é um software realmente poderoso. De uma forma bem simplista podemos dizer que ele é um banco de dados, com a vantagem de que ele pode armazenar e indexar praticamente qualquer tipo de informação. Ele aceita mensagens de equipamentos de rede, servidores, sensores, dispositivos virtuais, aplicações,…, suportando Syslog, Netflow, eStreamer, Logs L4TM, IPFIX, HTTP POST, e muito mais. Com os dados recebidos, podemos então fazer buscas, correlacionar informações, gerar gráficos e alertas. O limite é sua imaginação. Bom que o Splunk Enterprise pode ser usado gratuitamente se a quantidade de dados processados não passar de 500 MB por dia, o que é mais que suficiente para fazer testes. Configurando Splunk como Syslog Server Usar o Splunk apenas como Syslog Server seria um desperdício, diante de tudo que ele oferece, mas acho que essa é uma boa opção para ter o primeiro contato com o software. De qualquer forma, caso você realmente use o Splunk como Syslog Server, você terá um Syslog Server bastante inteligente. 1) Com o Splunk instalado, o primeiro passo é criar um Data Input. 2) Na linha UDP, clique em Add New. 3) Preencha as informações e clique em Next. 4) Na tela seguinte, confirme as configurações e clique em Submit e na próxima tela em Start Searching. 5) Se seus equipamentos estiverem configurados para enviar o Syslog para o Splunk, você já vai ver as mensagens no servidor. Observe que você pode fazer uma busca por host que está enviando as mensagens (host=XX.XX.XX.XX), por source (source=UDP:514, se você não tiver mudado a configuração) e por sourcetype (sourcetype=”network devices”, nome definido no passo 3). 6) Agora vamos tirar proveito do Splunk, criando um gráfico com os dispositivos que estão mandando mais Syslogs. Na tela New Search clique em Statistics e então em Pivot. 7) Deixe selecionado a opção All Fields e clique Ok. 8) Na tela New Pivot, na opção Filters, escolha o período (Today, por exemplo). 9) Na lateral esquerda clique no ícone do gráfico que preferir. Neste exemplo vou usar o “gráfico linear” (segundo ícone na lateral esquerda). Espere alguns segundos para ver o gráfico “número de mensagens syslog x tempo” sendo criado. 10) Vamos refinar nossa busca. Coloque o Field como a sourcetype, Field Type como Match, e Match is como network devices (nome configurado no passo 3). 11) Vá até a opção Color (Lines) e em Filter escolha a hosts. Logo abaixo, na opção Max Lines, você pode definir quantos hosts você quer ver no gráfico. 12) Para terminar clique em Save As > Dashboard Panel. 13) De um nome para a Dashboard, para o Painel e para o Model. Depois clique em Save. 14) Agora basta ir para a Dashboard Syslog, recém criada, para ver os hosts que mais enviam mensagens Syslogs. Bom, esse é só o começo né?! Com as mensagens Syslogs no Splunk podemos fazer inumeras buscas e correlações. Até a próxima.
Bloqueando Whatsapp com o ASA Firepower (Sim, é possível!)
Uma solicitação comum nos últimos projetos de firewall tem sido bloquear Whatsapp. Além da produtividade dos funcionários que é afetada (segundo os clientes) também tem o problema do consumo de banda. Grupos gigantes trocando vídeos de 30, 40, 50 Megas… realmente é um problema. O Firepower tem a opção para identificar a aplicação (Whatsapp) e bloquear, de forma simples. No entanto, por conta de um bug (CSCur47876), o Firepower não tem identificado o Whatsapp ultimamente. Então se a regra é criada por aplicação ela não funciona. Uma forma de contornar este problema é bloquear os IPs do Whatsapp (o que aliás é possível em qualquer firewall). A diferença é que no Firesight (gerência do Firepower) podemos informar uma lista, e assim não precisamos cadastrar todos os IPs e Redes do Whatsapp manualmente. Bloqueando os IPs do Whatsapp Considerando-se que você já tenha o Firepower e Firesight configurados e funcionando corretamente, siga os passos abaixo para criar uma regra para bloquear o Whatsapp usando o Security Intelligence com uma lista de IPs. 1) O primeiro passo é pegar os IPs do Whatsapp e salvar em um bloco de notas. 2) Depois, no Firesight, vá em Objects > Security Intelligence > Network Lists and Feeds > Add Network Lists and Feeds. 3) Informe o nome da lista que será criada, o tipo (List), o caminho, e então clique em Upload (4). Depois Clique em Save (5). 4) Vá até sua Access Control Policy e selecione Security Intelligence. Selecione a lista criada anteriormente (neste exemplo whatsapp_cidr) e clique em Add to Blacklist. Por fim clique em Save. 5) Faça o Deploy da Access Control Policy clicando em Deploy. 6) Prontinho. Ninguém mais acessa o Whatsapp. É bom de tempos em tempos dar uma olhada no site do Whatsapp para ver se os IPs não mudaram. Até a próxima.
Resolvendo equações com o IOS.sh
O Cisco IOS é realmente um software poderoso. Já falamos aqui no blog sobre o EEM (Cisco IOS Embedded Event Manager, Verificar em qual porta está um determinado IP, Switch envia email se o processamento estiver alto) e outras funções mais comuns como Comandos para o Cisco IOS File System, Filtrando comandos show no IOS, Criando atalhos (alias) no Cisco IOS. Mas essa eu não sabia (vi no Netfinders Brasil): Podemos usar o IOS para resolver equações. Para isso basta habilitar o IOS.sh (disponível a partir da versão 15.1(4)M e 15.1(2)S), e depois é só inserir suas variáveis e funções. Exemplo: Resolvendo equações com o IOS BrainRT01#terminal shellBrainRT01#x=1BrainRT01#y=5BrainRT01#let “result=(x+y)/2”;echo $result3BrainRT01# Para ver as opções disponíveis no IOS.sh podemos usar o comando man. BrainRT01#man IOS.shNAME IOS.sh – process shell input DESCRIPTIONThe IOS.sh is a set of add-on features to the IOSCLI. These features enables users to write scripts,execute functions, evaluate numeric and logical expressions,and perform loops over data using a standard, easy to learnsyntax. In addition, the IOS.sh offers variable substitution, enhancedquoting, and a series of builtin functions that are designed tosimplify the job of interacting with an IOS router. In order to learn about the IOS.sh, a set of man pages such asthis one have been prepared to describe the various new features.The following man pages may be used learn about the shell. man compatibility – gives a quick overview of compatibility between shell and traditional IOS CLI man variables – describes the usage of variables man scripting – gives a quick overview of the scripting capabilities of IOS.sh man expressions – describes the expression syntax built into the IOS.sh man loops – describes loop structures built into IOS.sh man functions – describes how to use and write functions man quoting – describes the new quoting facilityBrainRT01# Bom, talvez resolver equações não seja a melhor opção para esta funcionalidade, mas espero que isso sirva para gerar outras ideias. Mais informações sobre o IOS.sh aqui. Até a próxima.
Convertendo um AP Cisco de CAP para SAP
Como sabemos os access-points Cisco podem operar em modo autônomo (sem controladora) ou controlado (com controladora). Por todas as vantagens que a controladora adiciona à solução e até pela redução do preço que ocorreu nos últimos anos, é mais comum vermos access-points com o software para trabalhar com a controladora (de fato não me lembro a última vez que implantei access-points em modo autônomo em um ambiente corporativo…). “CAP”: Access-point com software para trabalhar em modo controlado. O “C” vem de CAPWAP, protocolo usado para falar com a controladora, mas podemos associar o “C” ao modo “Controlado”. “SAP”: Access-point com software para trabalhar em modo “standalone”. Ou seja, sem controladora. Ainda assim, eventualmente, precisamos trocar o software do access-point CAP para que ele seja usado como autônomo (SAP). E como o software CAP é limitado (a maioria das configurações ficam na WLC), é preciso acessar um modo “debug” para fazer o procedimento. Importante notar que não há nenhuma diferença de hardware entre um AP CAP e SAP, e por isso podemos fazer a troca do software sem problemas. Convertendo um AP de CAP para SAP #1 Existem algumas opções para fazer esta conversão, mas a minha preferida é esta. 1) Configure o IP 10.0.0.2/24 no notebook e conecte a rede no access-point. 2) Acesse a console do access-point. 3) Entre no modo enable. AP>en 4) Habilite o modo debug. AP#debug capwap console cli 5) Configure o AP para ele não reinicar (no modo CAP o AP fica reiniciando até achar a controladora). AP#debug capwap client no-reload 6) Configure o IP do AP. AP#config t AP(confg)int gi 0 AP(confg-if)ip addr 10.0.0.1 255.255.255.0 AP(confg-if)end 7) Faça o download do software Autônomo. AP#archive download-sw /force-reload /overwrite tftp://10.0.0.2/c1140-k9w7-tar.124-21a.JY.tar 8) Reinicie o access-point. AP#reload O AP vai reiniciar e subir com o software autônomo, onde você poderá fazer todas as configurações desejadas. E se for preciso, você pode voltar o AP para o modo controlado (neste caso não precisa usar os comandos debug capwap…). Convertendo um AP de CAP para SAP #2 Se por algum motivo o procedimento acima não funcionar (nos softwares CAP mais antigos não tínhamos esta opção), você pode tentar o procedimento abaixo. 1) Configure o IP 10.0.0.2/8 no notebook e conecte a rede no access-point. 2) Acesse a console do access-point. 3) Reinicie o access-point e pressione ESC quando o AP estiver iniciando. 4) No “modo AP” configure o IP no access-point. ap: set IP_ADDR 10.0.0.1 ap: set NETMASK 255.0.0.0 5) Inicie o processo de tftp, ethernet e flash. ap: tftp_init ap: ether_init ap: flash_init 6) Faça o download do software autônomo. ap: tar -xtract tftp://10.0.0.2/ap3g1-k9w7-tar.153-3.JC.tar flash: 7) Configure o boot. ap: set BOOT flash:/ap3g1-k9w7-tar.153-3.JC.tar 8) Inicie o access-point. ap: boot O AP vai reiniciar e subir com o software autônomo, onde você poderá fazer todas as configurações desejadas. Até a próxima.
Protegendo sua rede doméstica com OpenDNS
Quem trabalha com Segurança da Informação sabe que não existe uma solução, que sozinha, seja capaz de garantir a segurança da rede/dispositivos conectados. Isso é natural e empresas conseguem se proteger usando um arsenal de soluções: Firewall, IPS, Filtro de Conteúdo, AntiSpam, Antivírus, Anti-Malware,… (pelo menos devia ser assim). Em casa, em nossas redes domésticas, a proteção acaba sendo negligenciada. Uma que o ser humano normal, diferente que quem trabalha com TI, não sabe muito bem com essas coisas funcionam, e outra que realmente é caro e trabalhoso investir em soluções de segurança para casa. Com isso acabamos usando apenas um antivírus grátis, e por vezes desatualizado, como “proteção”. “Mas redes/computadores domésticos não são alvo de ataques”, alguém pode dizer. Se por um lado redes domésticas não são o alvo principal, por outro acabam sendo atacadas por serem fácil de invadir/contaminar. Então é bom se precaver. Protegendo sua casa Podemos usar em casa a mesma estratégia usada pelas empresas. Ou seja, agir em diversas frentes. Se você trabalha com TI/Redes/Segurança, ou pelo menos sabe o que é IP, DNS e Filtro de Conteúdo, uma ótima opção para agregar segurança à sua rede doméstica é a OpenDNS. A OpenDNS é uma empresa (adquirida pela Cisco ano passado) que fornece serviços/servidores DNS (entre outras coisas), e o primeiro passo para proteger sua casa é cadastrar os servidores DNS da OpenDNS (208.67.222.222 e 208.67.220.220) em seu roteador doméstico. De cara a navegação poderá ser acelerada em alguns milissegundos, já que o tempo de resposta dos servidores da OpenDNS é muito bom, e ainda garantimos alta disponibilidade. Nota: Muita gente usa os servidores DNS do Google, os ótimos e famosos 8.8.8.8 e 8.8.4.4. No entanto desde 2013 as consultas DNS enviadas para estes servidores são resolvidas nos EUA, e não no Brasil como era anteriormente. Com isso o tempo de resposta aumentou de 50 ms para 150 ms. Após salvar a configuração do roteador e limpar o cache DNS do seu computador (ipconfig /flushdns, no Windows), acesse https://store.opendns.com/settings/. Você deverá ver a mensagem abaixo. Agora começa a parte interessante… Clique na opção Sign up for free account para criar uma conta na OpenDNS. Com a conta criada selecione a opção Settings > Add/manage Networks e adicione sua “rede” (coloque um nome qualquer). Com isso você poderá usar o “filtro de conteúdo” da OpenDNS. Isso mesmo, você pode ter um filtro de URL (simples) em casa. Esta é uma ótima opção para quem tem filhos e deseja limitar o acesso a pornografia e conteúdos do gênero. Temos a opção de não bloquear nada (None), outras três opções pré-definidas (High, Moderate e Low) e Custom, onde podemos escolher quais categorias serão bloqueadas. Ainda há a opção de cadastrar domínios manualmente. Além do filtro de URL também temos a opção de bloquear acessos à sites com conteúdo malicioso (Phishing, Malware/Botnet e IPs privados). Aplique as configurações e espere de 3 a 5 minutos. Depois é só tentar acessar algo que foi bloqueado para ver a página de bloqueio. Legal Né? Como dá para ver na imagem acima, é possível colocar um logo e uma frase na página de bloqueio. Para isso basta escolher a opção Customization. E outra coisa: Podemos habilitar estatísticas e logs no OpenDNS (opção Stats e Logs). Habilitando essa opção é possível ver a quantidade de IPs e domínios consultados, e quais URLs foram acessadas (nomes resolvidos). OpenDNS e IP Dinâmico Para o filtro de URL, proteção contra Malware/Phishing e logs funcionarem o OpenDNS precisa saber o seu IP. E como é provável que você tenha um link com IP dinâmico em casa precisamos uma forma de atualizar o seu IP na OpenDNS sempre que ele mudar. Primeiro habilite a opção Dynamic IP Update, que está na aba Advanced Settings. Depois instale o cliente OpenDNS em um computador ou integre o OpenDNS e NoIP.org usando o DNS-O-Matic, direto de seu roteador (ele precisa permitir a configuração de DDNS usando URL customizada). Caso você escolha a segunda opção, siga os passos abaixo (considerando que você já tem a conta e tudo mais configurado no OpenDNS): 1) Crie uma conta no NoIP.com e escolha seu domínio. 2) Crie uma conta no DNS-O-Matic. 3) Configure seu roteador para usar o DNS-O-Matic (procure por DDNS). 4) Adicione os serviços (NoIP e OpenDNS) no DNS-O-Matic. Prontinho. Agora a navegação na sua casa estará um pouco mais segura. Até a próxima.
Lista de conexões VPN no Cisco Anyconnect
O Anyconnect é o cliente VPN (entre outras coisas, já que atualmente ele também tem modulo para conexões de rede, postura, telemetria, AMP…) da Cisco, e em geral é um software bem amigável. Ele substitui o antigo Cisco IPSec VPN Client, e está disponível para Windows, Mac, Linux, iPhone e Android. Quem usava o software anterior estava acostumado com os “profiles”, que permitiam o usuário salvar várias conexões VPN, que eram listadas no software. Assim, bastava clicar na entrada que você quisesse para conectar. Apesar de todos os benefícios do Anyconnect, por padrão ele guarda apenas a última conexão VPN, então não temos a lista como era no cliente anterior. Criando sua lista de Conexõe VPNs Para que o seu Anyconnect liste as conexões VPN que você deseja basta criar um profile (um arquivo .xml), conforme abaixo. Você pode copiar este exemplo e colar no Bloco de Notas para editar as entradas. Depois, no Windows 7, 8 e 10, salve o arquivo com um nome qualquer (.xml) na pasta “%ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\Profile”. Note que é uma pasta oculta. No MAC e Linux salve o arquivo em “/opt/cisco/anyconnect/profile/”. <?xml version=”1.0″ encoding=”UTF-8″?><AnyConnectProfile xmlns=”http://schemas.xmlsoap.org/encoding/”> <ServerList> <HostEntry> <User>andre</User> <HostName>brainwork</HostName> <HostAddress>vpn.brainwork.com.br</HostAddress> </HostEntry> </ServerList> <ServerList> <HostEntry> <User>Elliot</User> <HostName>AllSafe</HostName> <HostAddress>vpn.allsafecybersecurity.com</HostAddress> </HostEntry> </ServerList> <ServerList> <HostEntry> <User>Tyrell</User> <HostName>EvilCorp</HostName> <HostAddress>access.evilcorp.tv</HostAddress> </HostEntry> </ServerList></AnyConnectProfile> Basta fechar e abrir o Anyconnect para ver sua lista de conexões. Até a próxima.
