Quando temos dois (ou mais) SSIDs em uma WLAN Controller Cisco, e um cliente tenta mudar de um SSID para outro imediatamente, um erro pode ocorrer. Isso acontece porque por padrão a controladora wireless força um delay antes de permitir que um cliente mova-se para um novo SSID. Para mudarmos este comportamento e permitir que um cliente associado a um dado SSID (A) conecte-se imediatamente a outro SSID (B) na mesma WLC, temos que habilitar a funcionalidade chamada Fast SSID Change. Quando habilitamos o Fast SSID Change a controladora não remove o cliente da tabela de conexões, e o delay não é mais necessário. Para habilitar esta funcionalidade, que é global, basta ir na aba Controller, opção General e então selecionar Enabled no campo Fast SSID Change. Na sequência clique em Apply. Também é possível fazer esta configuração via linha de comando: config network fast-ssid-change enable. Até a próxima.
Verificar em qual porta está um determinado IP – Cisco EEM
Não sei vocês, mas sempre que preciso ver em qual porta do switch um determinado IP está, utilizo o comando “show arp | in x.x.x.x” e na sequência, com o MAC em mãos, uso o comando “show mac ad ad xxxx.xxxx.xxxx”. Apesar de funcionar, são sempre dois comandos para ter o resultado. Exemplo: Onde está conectado o equipamento com IP 10.10.10.11? BrainGW01#show arp | in 10.10.10.11Internet 10.10.10.11 58 649e.f392.8344 ARPA Vlan10BrainGW01#show mac ad ad 649e.f392.8344 Mac Address Table——————————————- Vlan Mac Address Type Ports —- ———– ——– —– 10 649e.f392.8344 STATIC Gi1/0/11 Total Mac Addresses for this criterion: 1 Como sabem gosto do EEM e das possibilidades que ele nos dá. Então porque não automatizar este processo??? Como não sabia transformar isso em código TCL, permitindo a entrada interativa (o usuário é que informa o IP), pedi ajuda no Cisco Support Community, e um usuário postou a solução. 1) Coloque o seguinte script no bloco de notas e salve com a extensão .tcl (por exemplo, find.tcl). foreach ip $::argv {set result [exec “show arp | inc $ip”]if [regexp {[a-zA-Z]+\s+\d+\.\d+\.\d+\.\d+\s+\d+\s+([0-9a-f]+\.[0-9a-f]+\.[0-9a-f]+)\s+ARPA} $result match mac ] {set output [exec “show mac address-table address $mac”]regexp {(\d+\s+[0-9a-f]+\.[0-9a-f]+\.[0-9a-f]+\s+[A-Z]+\s+[0-9\/a-zA-Z]+)} $output match outputputs “$ip = $output”} else {puts “$ip not in arp table” }} 2) Salve este arquivo na flash do switch utilizando o tftp. BrainGW01#copy tftp://seuip/find.tcl flash:find.tcl 3) Execute o script para encontrar o IP. BrainGW01#tclsh flash:find.tcl 10.10.10.1110.10.10.11 = 10 649e.f392.8344 STATIC Gi1/0/11 BrainGW01# Demais não?? Até a próxima.
Firewall x IPS
Imagino que para quem trabalhe com redes/segurança é muito clara a diferença entre Firewall e IPS. Porém nem todos tem essa questão totalmente clarificada e recentemente me deparei com esta pergunta no Cisco Learning Network “Qual a diferença entre firewall e IPS, e por que preciso de um IPS se já tenho um firewall?”. Do meu ponto de vista a primeira coisa que diria é que você TEM que ter um firewall e que você DEVE ter um IPS. O firewall é um equipamento obrigatório e o IPS é um equipamento muito recomendado. Então se for possível ($$), tenha os dois. Talvez abriria mão do IPS em ambientes pequenos (empresas com poucos usuários), sem serviços publicados na Internet, onde o tráfego flui apenas de dentro para fora. Talvez. Mas falando dos equipamentos em si, o firewall é um dispositivo mais engessado. Temos regras específicas por portas, usuários, origem e destino, onde estas são permitidas ou negadas. Acontece que podemos usar uma porta aberta e passar um tráfego que deveria ser bloqueado. Um exemplo bem comum são os clients P2P que podem usar a porta 80 (HTTP – navegação Internet) para transferir arquivos. Ainda que alguns firewall tenham capacidade de analisar o tráfego, esta análise não é tão profunda quanto de um IPS. O IPS por sua vez, faria justamente o trabalho complementar. Uma vez a porta 80 aberta no firewall, o IPS pode olhar especificamente o tráfego nesta porta e garantir que apenas o tráfego legítimo seja permitido. Diferente do firewall o IPS consegue olhar o comportamento do tráfego. Ou seja, apesar de estar usando a mesma porta, um client P2P se comporta diferente de um usuário navegando na Internet. E este tipo de inteligência permite o IPS identificar o trafego e tomar uma ação. Vou por abaixo as respostas que os usuários colocaram no fórum, e que sinceramente achei ótimas. Não creio que poderia explicar melhor. “O firewall permite e bloqueia o tráfego por regras de porta/protocolo. No entanto, um invasor pode usar portas legítimas para enviar tráfego ilegítimo. Um IPS examina o conteúdo dos pacotes e/ou pode correlacionar ao longo do tempo para determinar se o ataque está acontecendo. O IPS trabalha em conjunto com o firewall para garantir que o tráfego que o firewall permitiu é na verdade um tráfego legítimo.” “Firewalls fazem filtragem de pacotes enquanto IPS detectam e param anomalias no tráfego, com base em assinaturas e regras usando inspeção profunda de pacotes.” “A diferença é a detecção de anomalias. É verdade que a inspeção profunda de pacotes pode identificar o tráfego não legítimo, mas isso é apenas por pacote. Se uma máquina infectada começa a escanear outros hosts, por exemplo, via ICMP ou TCP SYN, ou outra forma de scan, o IPS pode pegar isso, mas o firewall não.A detecção de scan é apenas um exemplo. Outro que vem à mente é uma máquina que começa a enviar grande número de pacotes, sem tráfego de retorno, sendo que anteriormente não havia este comportamento. O IPS aprende o comportamento “normal” de uma rede e, em seguida, pode identificar mudanças que ocorram neste comportamento. Um firewall com DPI (Deep Packet Inspaction) não teria essa capacidade.” “O firewall inspeciona as principais aplicações e protocolos até camada 7, no entanto, existem muitos protocolos que não estão sendo fiscalizados pelo firewall. O IPS é um dispositivo que inspeciona todos protocolos, sem que seja necessária muitas configurações . E todos os sensores (IPS) podem trabalhar em camada 2.” “O Firewall bloqueia completamente/permite um certo tipo de tráfego baseado em endereços IP, porta e também filtra o tráfego de uma zona para outra com base no nível de segurança de cada zona. O Firewall não olha os padrões de carga ou de trânsito. Por exemplo se a porta 80 é permitida para um servidor web dentro da sua DMZ , então ele irá permitir todo tráfego deste tipo que bater na ACL e tabela de estado. Mas se há um conjunto de dados maliciosos dentro desse tráfego, vai passar. Aí vem o trabalho do IPS que monitora os padrões de tráfego contra assinaturas do banco de dados dele. IPS é mais parecido com um antivírus que monitora os padrões de tráfego.” “O firewall é um dispositivo de segurança que impõe as políticas de controle de acesso entre domínios de segurança. Estes domínio de segurança são chamados de zonas. IPS é um dispositivo de segurança que detecta, classifica e pro-ativamente impede o tráfego malicioso (ameaças) de entrar na rede com base no conjunto predefinido de assinaturas. Precisamos de um IPS porque uma função primária do firewall é impor as políticas enquanto um IPS pode tomar medidas para diminuir o tráfego malicioso de entrar na rede. Os dispositivos complementam um ao outro para garantir a segurança da rede.” “Em poucas palavras , o firewall tem regras estáticas. O IPS aprende e cria regras (ou as recebe com atualizações do fabricante). Eu vejo o FW , como o guarda (segurança) no portão. Ele pode pedir uma identificação para ter certeza de que o pacote é permitido, ou ele pode verificar uma identificação e olhar para uma lista de convidados. Se você começar a fazer inspeção profunda de pacotes no FW ainda estará seguindo um determinado conjunto de regras, mas agora o guarda pode pedir um ID emitido pelo estado, um passaporte e verificar a lista de convidados. Você pode adicionar mais camadas de segurança, mas elas ainda são definidas por métricas padrões.O IPS é um guarda (segurança) no interior da casa. Você pode ter convidado alguém para sua casa, então ele está na lista de convidados (e parecia legítimo), mas se ele começar a bisbilhotar a casa , abrir gavetas, olhando para os seus itens caros, a segurança dentro da casa (ou seja, o IPS) vai perceber isso e para-lo. Isso usa mais inteligência e intuição. Para continuar com a analogia do guarda, você não chuta para fora de casa só porque o cara abriu uma gaveta
Redundância para Cisco WLAN Controllers
Vou reproduzir abaixo o conteúdo sobre redundância de Controladora Wireless Cisco que compartilhei no Cisco Support Community, na seção Pergunte ao Especialista. As WLCs Cisco possuem algumas opções de redundância, dependendo do modelo e da versão de software. Antes da versão 7.3 (Mobility Group) A redundância de Controladoras, quando usamos software anterior a versão 7.3, é alcançada usando Mobility Group. Neste tipo de redundância cada AP está associado a uma WLC, e no caso de falha, o access-point se registra em outra WLC que faz parte do Mobility Group. Access-point e cliente perdem o acesso a rede temporariamente. Esta é uma redundância do tipo N+1, e a “convergência” demora mais do que nos outros métodos. Por outro lado, todas as controladora suportam este tipo de redundância e podemos configurar um Mobility Group com WLCs de modelos diferentes. “Um Mobility Group é um conjunto de controladoras, identificadas com o mesmo nome do Mobility Group, que define o âmbito de roaming para clientes sem fio. Ao criar um Mobility Group, você pode ativar várias controladoras em uma rede para compartilhar dinamicamente informações e dados permitindo o roaming inter-controladora ou inter-sub-rede. Controladoras no mesmo Mobility Group podem compartilhar o contexto e o estado dos dispositivos dos clientes, bem como a sua lista de pontos de acesso. Com estas informações, a rede pode suportar roaming inter-controladora e redundância da controladora.” Observe que neste caso não há sincronização de configuração, sendo cada WLC configurada individualmente. Mais informações sobre o Mobility Group neste link. Versão 7.3 e 7.4 (HA – AP SSO) Na versão 7.3 foi introduzido um novo método de redundância, chamado High Availability – AP SSO. Neste novo método a redundância é do tipo 1:1, com uma WLC ativa e outra em Standby, sendo que os access-points estão associados a WLC ativa e tem ainda “uma conexão backup com a WLC que está em standby”. Para usarmos o HA – AP SSO precisamos de uma conexão direta entre as duas WLCs (ativa e backup), usando a Redundancy Port. “No HA AP SSO uma WLC estará em estado ativo e a segunda WLC vai estar em Standby Hot, monitorando continuamente a saúde da WLC através da porta redundante. Ambas as WLCs irão compartilhar o mesmo conjunto de configuração, incluindo o endereço IP da interface de gerenciamento. A WLC no estado de espera não precisa ser configurado de forma independente com toda a configuração sendo sincronizada da WLC Ativa para o WLC de espera através da porta redundante. O estado do AP CAPWAP (apenas APs que estão em um estado de execução) também é sincronizado, e uma cópia do banco de dados dos APs é mantida na WLC de espera. Os APs não entram em estado de descoberta quando a WLC ativa falha.” Este método está disponível para as controladoras 3650, 5500, 5760, 3850, WiSM2, 7500 e 8500. Mais informações sobre o HA AP SSO nos links abaixo: Configurando HA – AP SSO HA (AP SSO) – Deployment Guide Versão 7.5 (HA – Client SSO) A partir da versão 7.5 temos a evolução do HA, onde além dos access-points temos também o “Stateful Switch Over” para os clientes. Ou seja, no caso de falha da controladora primária, os access-points e clientes fazem a transição para a controladora backup de forma transparente. Neste modelo (também 1:1) além da configuração e informações dos access-points, também é sincronizada a tabela de estado dos clientes. “A transição transparente de clientes da controladora ativa para o controladora backup também é suportada. Durante o Client SSO, a informação do cliente é sincronizada com a controladora backup quando o cliente está associado com a controladora ativa. Clientes que estão totalmente autenticados, ou seja, os clientes que se encontram no estado de execução, são sincronizados com a controladora backup. A estrutura de dados dos clientes são sincronizadas com base no estado do cliente.” Este método está disponível para as controladoras 5500, WiSM2, 7500 e 8500. Mais informações sobre o HA Cliente SSO: Configurando HA – Software 7.5 Deployment Guide – HA Client SSO – Software 7.5 Bom… esse é um resumo sobre a redundância em WLAN Controllers Cisco. Até a próxima.
Cisco WLAN Controllers – Pergunte aos Especialistas
Já falei aqui no blog algumas vezes sobre a Comunidade de Suporte Cisco, espaço para tirarmos dúvidas e compartilharmos conteúdo. Um dos “eventos” que acontecem nesta comunidade é o Pergunte aos Especialistas, onde membros da comunidade se dispõe a tirar dúvidas de outros usuários. No momento temos dois tópicos abertos. Um deles é o “Contabilizando e coletando informações da sua rede com NetFlow”, com o especialista Kazuo Yamamoto, que ficará a disposição até dia 30 de janeiro. O outro tema do momento é “Cisco WLAN Controllers”, onde até dia 12 de fevereiro eu tentarei responder as questões sobre este assunto. Fica meu convite para a participação de todos. Até a próxima.
CCNP Security atualizado e nova certificação
A Cisco anunciou no último dia 21 mudanças na certificação CCNP Security, que visam atualizar o conteúdo da certificação para acompanhar o que veem acontecendo no mercado, e também parear com os novos equipamentos e versões de software. O CCNP Security visa capacitar profissionais para desenhar, implantar, gerenciar e manter redes com segurança fim-a-fim e, é composto por 4 provas, sendo que as atuais/velhas estarão disponíveis até dia 21 de abril 2014, então quem já está estudando para alguma delas deve ficar atento. Para quem vai começar os estudos o melhor é já se preparar para as novas provas, que estão disponíveis a partir de hoje. Novas provas do CCNP Security: 300-206 (SENSS) – Deploying Cisco ASA Firewall Solutions (FIREWALL) 300-207 (SITCS) – Implementing Cisco Intrusion Prevention System (IPS ) 300-208 (SISAS) – Securing Networks with Cisco Routers and Switches (SECURE) 300-209 (SIMOS) – Deploying Cisco ASA VPN Solutions (VPN) Para se tornar um CCNP Security é necessário o candidato ser CCNA Security ou CCIE (qualquer vertical), e se você já tirou alguma (ou algumas) das provas atuais/velhas não tem problema. Veja neste link que é possível misturar as versões das provas sem problema. Mais informações sobre o CCNP-S na página da certificação e na Cisco Learning Network. Cisco Cybersecurity Specialist Além da atualização do CCNP-S, a Cisco lançou uma nova certificação, chamada Cybersecurity Specialist. Segundo o comunicado de lançamento esta nova certificação/treinamento oferecerá aos analistas de segurança conhecimentos para detecção e mitigação a ameaças, usando as soluções de segurança mais avançadas disponíveis atualmente. Esta certificação (SCYBER), que é focada no monitoramento e alarme de eventos de segurança, análise de tráfego e resposta a incidentes, tem exame número 600-199. Tópicos da nova certificação: 1.0 Information Gathering and Security Foundations 2.0 Event Monitoring 3.0 Security Events and Alarms 4.0 Traffic Analysis, Collection, and Correlation 5.0 Incident Response 6.0 Operational Communications O conteúdo e descritivo me pareceram bastante interessante… talvez seja minha próxima prova. Outras informações sobre esta nova certificação neste link. Certificações retiradas Para finalizar o pacote “certificações de segurança Cisco”, foi anunciado que algumas certificações serão retiradas. A partir de 24 de abril não estarão mais disponíveis as seguintes provas e consequentemente as respectivas certificações. Até a próxima.
