O Cisco Email Security Appliance (ESA), antigo Ironport Mail, é o mais respeitado gateway de email do mercado. Ele conta com várias funcionalidades para evitar SPAM e outras mensagens indesejadas (email marketing, email com conteúdo malicioso) , sendo a mais importante delas o filtro por reputação. Durante a operação diária a função mais utilizada é a verificação de mensagens recebidas/enviadas. Por vezes precisamos saber se um determinado email foi recebido/enviado, se foi bloqueado, a causa do bloqueio ou se houve algum erro no processo. E nestes casos usamos o Message Tracking. Para verificar o que aconteceu com um determinado email, abra a console do ESA e selecione Monitor > Message Tracking. Na tela seguinte basta informar os dados da mensagem que você deseja encontrar. Podemos usar o remetente (completo ou parcial), destinatário, assunto, e ainda escolher um período para a busca. E há outras opções avançadas, caso necessário. Após informar os campos desejado basta clicar em Search. Após encontrar a mensagem, clique em Show Details para ver todos os detalhes da mensagem, incluindo a ação tomada (recebido/enviado, enviado para a fila de recebimento/envio, enviado para a quarentena, bloqueado/causa). Até a próxima.
SFP de terceiro em switches Cisco
Switches Cisco suportam apenas SFP (mini GBIC) Cisco, certo? Errado. Quando inserimos um SFP de terceiros (outros fabricantes) em um switch Cisco, a porta é desativada (e vemos uma mensagem %PHY-4-UNSUPPORTED_TRANSCEIVER). Isso acontece porque os switches Cisco, por padrão, fazem uma checagem no SFP. E se não for um SFP Cisco a porta entra em “error disable”. Todo SFP possui informações gravadas na EEPROM, entre elas: Vendor Name Vendor ID Serial Number Security Code CRC No entanto, podemos instruir o switch para não fazer essa checagem, e assim aceitar um SFP não-Cisco. Este é um comando “não documentado”, ou seja, se você tentar procurar com o “?”, ele não aparece. Configurando o switch para aceitar qualquer SFP BrainSW01(config)# service unsupported-transceiver Warning: When Cisco determines that a fault or defect can be traced tothe use of third-party transceivers installed by a customer or reseller,then, at Cisco’s discretion, Cisco may withhold support under warranty ora Cisco support program. In the course of providing support for a Cisconetworking product Cisco may require that the end user install Ciscotransceivers if Cisco determines that removing third-party parts willassist Cisco in diagnosing the cause of a support issue. BrainSW01(config)# no errdisable detect cause gbic-invalid BrainSW01(config)# Observe que quando inserimos o comando service unsupported-transceiver recebemos um alerta, que em resumo diz que o TAC poderá pedir para que o SFP seja trocado antes de continuar o atendimento. E evidentemente pode acontecer do seu SFP xing ling não funcionar mesmo com esses comandos. Em geral SPFs óticos de terceiros funcionam bem. SFPs cobre nem sempre funcionam. Até a próxima.
Tirou CCNA com 13 anos. Aos 19, CCIE
Todos sabemos como é difícil tirar uma certificação. E as provas Cisco são notórias neste campo. Pois um garoto americano chamado Jorge Ospina, conseguiu seu CCNA com apenas 13 anos. Aos 14 tornou-se CCNP (2009). O que já seria incrível tornou-se ainda mais impressionante quando Jorge passou no exame escrito do CCIE. Mas como nada é assim tão fácil… Sem acesso a equipamentos, Jorge não conseguia se preparar para o exame prático. Isso podia ser o fim da linha para o garoto, mas então sua mãe escreveu uma carta para o Chairman e CEO da Cisco, John Chambers. Como vocês devem imaginar não é muito fácil fazer uma carta chegar as mãos de alguém como John. No entanto, depois de um longo caminho (passou por funcionários do Google e outras pessoas da Cisco), a carta chegou até a Diretora de Certificações e Lab Delivery da Cisco, Chris Jabocs. Além de disponibilizar acesso a um Data Center da Cisco, Chris selecionou dois CCIEs para serem mentores de Jorge. Aos 16 anos (2011) Jorge tentou pela primeira vez a prova prática, e não passou. A falta de experiência prática pesou… Ele resolveu então dar um tempo na preparação para o CCIE, e começou a trabalhar com TI no Citigroup. Dois anos depois (2013), ele se formou no colégio, e estando livre deste compromisso foi para Bangkok, onde participou de um treinamento de 3 meses para o CCIE. Depois de todo esse percurso e já em 2014, Jorge Ospina conseguiu seu certificado de CCIE Service Provider. Realmente um história incrível. Todos os detalhes da caminhada do garoto estão em um post no Cisco Learning Network. Até a próxima.
Vulnerabilidades permitem acessos não autorizados em equipamentos Cisco (WLC e ISE)
E lá vamos nós novamente… Agora é a vez da Cisco, que anunciou vulnerabilidades que permitem acessos administrativos não autorizados nas WLAN Controllers e no ISE. A Cisco divulgou dia 13 de janeiro uma vulnerabilidade, encontrada pela própria empresa, no ISE (versão 1.1 ou posterior, 1.2.0 até patch 16, 1.2.1 até patch 7, 1.3 até patch 4, e 1.4 até patch 3) que permite acesso ao portal administrativo do produto. A única solução para o problema é a instalação do patch com a correção (veja abaixo). As informações sobre este problema estão no CVE-2015-6323, classificado com criticidade 10 (máxima). Já o CVE-2015-6314, divulgado no último dia 16, trata de problema na WLC (criticidade 10). Segundo o descritivo as controladoras 2500, 5500, 7500, 8500 e Virtual, com código versão 7.6.120.0 ou posterior, 8.0 ou superior, e 8.1 ou acima, foram afetadas com a vulnerabilidade que permite acesso a administração do equipamento sem a necessidade de se autenticar. Para corrigir o problema, encontrado pela Cisco, os equipamentos devem ser atualizados. Bonus Track (Access-points 1800 também com problema) Ainda no dia 13 a Cisco publicou que os novos access-points 1830e, 1830i, 1850e e 1850i possuem uma conta padrão, que permite acesso aos equipamentos (sem privilégio total). Assim como nos produtos acima, a solução para a vulnerabilidade nestes access-points é a atualização do software. Este problema está registrado no CVE-2015-6336. Auditoria interna analisa softwares Os anúncios acima ocorreram após a Cisco divulgar, em dezembro, que iniciaria uma auditoria interna em seus softwares. A empresa tomou esta iniciativa após falha divulgada no software da Juniper (que permite acesso não autorizado) e muitos clientes questionarem se o mesmo poderia ocorrer com a Cisco. Até a próxima.
Backdoor em firewalls Fortinet
No fim de dezembro foi a vez da Juniper, agora encontraram uma backdoor em firewalls Fortinet. A Fortinet diz que não é uma backdoor, e sim um “problema de autenticação”, mas o que importa é que é possível ter acesso total aos equipamentos via SSH, usando uma senha padrão. Acredita-se que alguém usou engenharia reversa e descobriu esta vulnerabilidade na autenticação (que já havia sido divulgada em julho de 2014); essa semana surgiu em uma lista de discussão um script que explora esta vulnerabilidade e dá acesso completo ao sistema. O mesmo método serve para Juniper rsrsrs São afetados firewalls com FortiOS 4.3.0 até 4.3.16 e FortiOS 5.0.0 até 5.0.7, e para resolver o problema os equipamentos devem ser atualizados. Uma medida paliativa seria desativar o acesso via SSH em todas as interfaces. Mais informações aqui e aqui. Até a próxima.
Monitorando o tráfego do PC
Já ouviram falar no GlassWire? Eu não conhecia até poucos dias, quando alguém (infelizmente não marquei o nome) postou em um grupo de redes no Facebook. Ele é um “personal” firewall, que trabalha com o firewall do Windows, e antivírus/antimalware, analisando as conexões do computador. Mas o que me chamou foi a parte de monitoramento. Mesmo na versão grátis temos os gráficos de utilização, com aplicações/processos que mais consumiram, destino, sentido do tráfego… Achei bem interessante poder ver como e quanto de tráfego utilizo. Link para download: https://www.glasswire.com/ Até a próxima.
