Há um ano fiz um post sobre os access-points Meraki e a controladora wireless na nuvem. E apesar destes serem os equipamentos mais conhecidos da Meraki, não são os únicos. A Meraki, agora adquirida pela Cisco, também possui switches e firewalls. Neste post vou falar um pouco sobre os switches, que agora estou tendo a oportunidade de conhecer. Mais fotos no facebook. No momento a Meraki tem 4 modelos de switches (24 e 48 portas, com e sem PoE), todos para camada de acesso (não fazem roteamento). Tanto os modelos de 24 como os de 48 portas tem todas as portas Gigabit, sendo que os de 24 portas tem 4 slots para SPF e os de 48 tem 4 slots para SFP+ (Gigabit ou 10 Gigabit). Em todos modelos as portas SFP/SFP+ são compartilhadas com as últimas 4 portas Ethernet. Ou seja, pode-se utilizar uma ou outra (o que a Cisco chama de porta combo). As principais funções como STP e RSTP, 802.1x, Voice VLAN, QoS, Port Mirroring, IGMP Snooping, LACP e LLDP, estão presentes. Outras informações sobre funcionalidades e desempenho podem ser encontradas no site do fabricante. Interface administrativa A interface limpa, como a de gerência dos access-points, e as poucas opções para configuração (lembre-se, são switches de acesso) deixam tudo muito simples. Aliás, se tivesse que definir em uma palavra a solução de switches Meraki, com certeza seria simplicidade. Assim como os access-points, a gerência dos switches é realizada na nuvem, o que sem dúvida é o diferencial deste fabricante. Este tipo de solução permite fazer a gerência de centenas ou milhares de equipamentos, mesmo distribuídos geograficamente, de forma centralizada. Isto traz algumas vantagens interessantes, como gerência out-of-band, administração de dispositivos remotos via web e a partir de qualquer lugar com acesso a Internet, criação de “virtual stacking”, onde switches separados fisicamente podem ser agrupados e administrados como um único equipamento, e a possibilidade de clonar a configuração de um equipamento para outro. Ao acessar a dashboard temos um menu do lado esquerdo com 3 opções, listadas abaixo: Monitor: Nesta aba podemos verificar o status dos switches (se há conectividade com o gateway, se estão acessíveis na nuvem e quantas portas estão ativas). Ao Selecionar um switch podemos ver o IP do equipamento e gráficos mostrando as portas em uso, a quantidade de dados trafegados e a latência até a nuvem Meraki. Há algumas ferramentas para teste como Ping e Cable Test, que é capaz de identificar problemas no cabo de rede de uma determinada porta. Ainda na aba Monitor, podemos verificar a lista de dispositivos conhecidos pelo switch, com MAC, IP, fabricante e sistema operacional. E selecionando um dispositivo é possível identificar quanto de tráfego este gerou e quais protocolos estão sendo utilizados. Também temos a opção Packet Capture, que permite coletar dados de uma porta específica (visualizando na tela ou gerando um arquivo .pcap) que sem dúvida é muito interessante, a opção DHCP Server, que mostra os servidores DHCP identificados pelo switch, a opção Event Log, onde temos os logs de eventos que ocorreram no switch (porta UP, Down e coisas do tipo) e a opção Summary Report onde temos alguns gráficos (número de portas utilizadas, aplicações que estão consumindo mais banda, clientes que estão gerando mais tráfego, sistemas operacionais e fabricantes detectados). Configure: Nesta aba, como você deve imaginar, é onde realizamos as configurações. Nada muito diferente de outros fabricantes que utilizam interface web. Ao selecionar uma porta temos informações relativas a mesma e podemos editar as configurações. Na aba Access policies podemos fazer as configurações de 802.1x, cadastrar o servidor Radius e informar a VLAN Guest, funções que não testei… E na sequencia temos a opção Port Schedule, onde podemos definir quando as portas são ligadas/desligadas. Pode-se por exemplo, configurar para que às 18h30 as portas sejam desligadas, impedindo a utilização da rede. Mais importante: com isso os dispositivos PoE são desligados e não consomem energia desnecessariamente. Também no item Configure temos a opção Switch Settings, onde são feitas as configurações gerais do switch. Podemos habilitar ou não o RSTP, definir a prioridade da bridge, adicionar configuração de QoS (os switches Meraki tem 8 filas de prioridade) definir o tamanho do MTU (suporta jumbo frame até 9600) e também configurar port mirror (SPAN). Ainda na aba Configure, temos a opção de configuração de alertas, onde um email é enviado no caso do switch não acessar a nuvem ou portas ficarem down, além de permitir a configuração de SNMP, Time Zone, Syslog Server e definir um usuário e senha para acesso local, entre outros. Para finalizar, temos a opção Add a Switch, onde podemos informar o número de serie de um equipamento para adicionar à gerência na nuvem. O vídeo acima, da própria Meraki, mostra praticamente os mesmo itens que citei no post. Até a próxima.
Configurando PPPoE no ASA
O PPPoE fornece um método padronizado para utilizarmos a autenticação do PPP (Point-to-Point Protocol) através de uma rede Ethernet. O Speedy (Telefônica) usa PPPoE, por exemplo. E se você tem um link deste tipo é necessário um client PPPoE para que a conexão seja estabelecida. Normalmente o computador ou o modem fazem este papel, mas o Cisco ASA (e também o antigo PIX) podem ser configurados para isso, e de forma simples. Configurando PPPoE no Cisco ASA 1º Crie um grupo VPDN PPPoE. Isto permite a existência de vários “profiles”. vpdn group Speedy request dialout pppoe 2º Associe um usuário ao grupo VPDN criado. vpdn group Speedy localname nome@provedor.com.br 3º Especifique o tipo de autenticação. vpdn group Speedy ppp authentication pap 4º Informe usuário e senha para autenticação PPPoE. vpdn username nome@provedor.com.br password senha123 5º Configure a interface onde o link está conectado (outside normalmente) para usar o grupo criado. interface F0/0 pppoe client vpdn group Speedy ip address pppoe setroute No 5º passo o argumento setroute é opcional, e serve para que o ASA receba além do IP e máscara para a interface, também o default gateway. Caso necessário usar IP estático, substitua o comando ip address pppoe setroute por ip address outside ipaddress mask pppoe. É importante ressaltar que a configuração de PPPoE é suportada apenas no modo single, routed e sem failover habilitado. Mais informações sobre PPPoE no ASA neste link. Até a próxima.
[OFF] Redes Sociais x Privacidade
Bom, esse não é o foco do blog, e na verdade é um tema bem complexo, mas ontem assistindo a palestra "Privacidade combina com redes sociais?", que ocorreu na Campus Party, uma parte realmente chamou minha atenção. Olha só que legal: Tem um perfil no Twitter que retuita todo tweet que contenha foto de cartões de débito (com o número, claro). Sério, o que leva alguém a divulgar esse tipo de informação, tão pessoal, para o planeta inteiro? Nem sou do tipo muito cuidadoso, gosto de Twitter, Facebook, Instagram, mas algumas coisa me impressionam. As pessoas ainda não sabem o que são redes sociais e Internet. Só pode. Aliás, no Cisco ASR 2013 que está disponível no post abaixo, tem algumas informações que me deixaram ainda mais surpresos. Segundo o Connected World Technology Report, os Millennials (eu não achei um termo em português para isso, mas é a geração que está entrando no mercado de trabalho agora, ou a nova geração Y) tem aceitado o fato de que, graças à Internet, a privacidade pessoal pode ser uma coisa do passado. Noventa e um por cento dos jovens consumidores entrevistados dizem que a era da privacidade acabou e acreditam que não podem controlar a privacidade de suas informações, com um terço dos entrevistados relatando que eles não estão preocupados com que seus dados sejam capturados e armazenados. Ok, ok. Não há privacidade total na Internet, isso é fato. Mas privacidade pessoal é coisa do passado? Não estão preocupados? Às vezes acho que tenho 130 anos… Dados no Facebook ajudaram roubo de contas bancárias online Penso que deve haver um troca, onde abrimos mão de um pouco de privacidade em prol das facilidades que isso pode proporcionar. Mas não se importar e liberar voluntariamente todo e qualquer tipo de informação pessoal nas redes sociais me assusta. Vocês já pararam pra pensar nas mãos de quem suas informações podem parar? Sabe o Big Brother? Então, a Internet é “o” Big Brother. Sei que quem acessa o blog já sabe de tudo isso, mas e seus parentes e amigos que não são dessa área maluca que é TI? A gente acaba esquecendo disso… Pra que usam minhas informações pessoais? Aquele anúncio do Google nas páginas que você visita e no seu e-mail com produtos que você estava procurando não é coincidência. Eles são direcionados com base nas buscas que você faz, nos sites que visita, nos e-mails que recebe e também graças ao que você publica nas redes sociais. Não estou contando nenhum segredo. Isso fica à disposição de todos, mas nem sempre prestamos atenção. Veja o anúncio e o assunto do primeiro e-mail na imagem abaixo. Observe também que tem um link do lado direito “Qual o motivo deste anúncio?”. Este vídeo é de um software que monitora as redes sociais e filtra informações relevantes para a empresa que deseja ofertar um produto ou serviço. Estes são exemplos de “bom” uso, onde nossas informações são usadas “apenas” para ofertar um produto ou serviço, e há um fator “tranquilizante”, pois acreditamos que as grandes empresas não vão fazer mau uso dos nossos dados. Mas e se alguém invadir o Twitter ou o Facebook? Essa pessoa teria acesso a todas suas informações certo? Difícil? Saiba que isso já aconteceu (leia aqui e aqui). E acredite, neste caso suas informações serão usadas por pessoas e organizações nem um pouco preocupadas como você. Seu e-mail, endereço, telefone, RG, CPF,… tudo isso tem um valor no mercado negro da informação. Endereços de e-mail tornam-se destinos de SPAM. Documentos como RG, CPF podem ser usados para abrir uma conta no banco. Com informações da rede social e telefone fica fácil fazer aqueles falsos sequestros e chantagear a família. E um perfil completo pode ser usado para criar um clone (virtual ou real). Exemplos não faltam. Que fique claro. Não se trata de demonizar a Internet ou as redes sociais. Essa troca de privacidade por facilidade permite que mais gente participe deste mundo online, mas é preciso um pouquinho de consciência e cuidado. Nada de ficar paranoico, por favor. Para finalizar, abaixo algumas dicas básicas para minimizar essa exposição total: Coloque o mínimo de informações pessoais possíveis nas redes sociais. Não publique endereços ou telefones; Precisar ter mil pessoas no seu Facebook? Você realmente conhece estas pessoas? Limite o número de “amigos” ou então use os mecanismos disponíveis para filtrar quem pode ver suas informações; Não usar nas senhas informações que estão no seu perfil (nome, sobrenome, data de nascimento, casamento…); Controle quem pode publicar no seu perfil; Você teria coragem de escrever isso em um outdoor na rua? Não? Então não publique nas redes sociais; Tudo que você faz na Internet deixa rastros; Remover uma informação da Internet pode ser tão difícil quanto remover uma tatuagem; Não publique imagens de outras pessoas que elas mesmas não publicariam; Não divulgue viagens antes de voltar; Evite divulgar informações sobre seu trabalho; Lembre-se: É cada vez mais comum o “RH” consultar perfis nas redes sociais antes de contratar um funcionário. Fiquem a vontade para procurar na Internet mais dicas de privacidade . Até a próxima.
Cisco Annual Security Report 2013
A Cisco liberou ontem, dia 30, o ASR (Annual Security Report) 2013, leitura que recomendo a todos. Neste relatório, disponibilizado a cada seis meses, temos informações sobre a evolução da quantidade de dados trafegados, bem como das ameaças encontradas na Internet. Para isso são utilizadas informações do Cisco SIO – Security Intelligence Operations, que conta com mais de 75 terabits de dados coletados e processados diariamente dos gateways de email e web, firewall e IPS. Esta edição fala sobre a “Internet das coisas”, a proliferação dos dispositivos móveis, big data, evolução de malwares e spam, entre outras. Aliás, mantendo a tendência apontadas nos relatórios anteriores, a quantidade de spam vem diminuindo. Já um dado novo, pelo menos pra mim, é a informação de que anúncios online tem 182 vezes mais chances de ter conteúdo malicioso do que sites pornográficos (o que não quer dizer que sites pornográficos sejam seguros…). Enfim, boa leitura a todos. Cisco Annual Security Report 2013 Até a próxima.
Verificando o status com o show environment
O comando show environment (ou show env all, dependendo da plataforma) faz parte da lista de comandos imprescindíveis, pois com ele podemos verificar o status “físico” do equipamento. Este comando mostra informações sobre o consumo de energia, status da fonte e bateria (se o equipamento tiver esta opção), da fan e ainda a temperatura, normalmente medida por mais de um sensor. Faz todo sentido ter acesso a estas informações, principalmente em equipamentos que ficam nas pontas (rack ou sites remotos) nem sempre em condições ideais. É muito bom poder acessar remotamente e ver como as coisas estão. Ou ainda, receber um alerta quando algo passar dos limites aceitáveis (veja abaixo). Verificando o status do roteador 819 brain819#show environment SYSTEM WATTAGE =============== Board Power consumption is: 4.570 W Power Supply Loss: 1.130 W Total System Power consumption is: 5.700 W REAL TIME CLOCK BATTERY STATUS ============================== Battery OK (checked at power up) —— ENVIRONMENTAL CONTROLLER REGISTERS —— REG: 0x0 : 0x405 REG: 0x1 : 0x2000 REG: 0x2 : 0x2C00 REG: 0x3 : 0x22 REG: 0x4 : 0x21 TEMPERATURE STATUS ================== Sensor Current High/Low Name Temperature Status Threshold ——————— ————– ————– ——— Sensor 1 34 Normal 60/0 Sensor 2 33 Normal 60/0 Sensor 3 40 Normal 60/0 Sensor 4 38 Normal 60/0 System Ambient Sensor 33 Normal 60/0 3G Modem Sensor 32 Normal 85/0 Environmental information last updated 00:00:06 ago brain819# Verificando o status do switch 3750 brainGW01#sh env all FAN is OK SYSTEM TEMPERATURE is OK System Temperature Value: 42 Degree Celsius System Temperature State: GREEN Yellow Threshold : 56 Degree Celsius Red Threshold : 66 Degree Celsius SW PID Serial# Status Sys Pwr PoE Pwr Watts — —————— ———- ————— ——— ———- —– 1 Built-in Good SW Status RPS Name RPS Serial# RPS Port# – —————- —————- ———– ——— 1 Not Present <> brainGW01# Verificando o status do switch 2960 brainSW01#show env all FAN is OK SYSTEM TEMPERATURE is OK POWER is OK RPS is NOT PRESENT brainSW01# Além de switches e roteadores, o ASA 5580 e os novos modelos (família X), com software versão 9, também suportam o comando show environment. Enviando alertas via SNMP É possível configurar o equipamento para que ele envie traps SNMP quando os itens monitorados ultrapassarem os limites estabelecidos. Para isso basta usar os comandos abaixo. Habilitando traps SNMP para environment. snmp-server host 10.1.1.1 public envmon snmp-server enable traps envmon Para saber se seu equipamento suporta esta funcionalidade utilize o feature navigator. Até a próxima.
Voltando a configuração de uma interface para o padrão
Não é incomum para quem trabalha com a configuração de equipamentos de rede, ter que remover configurações existente antes de adicionar os novos comandos. Em equipamentos Cisco uma opção seria entrar na interface e usar o no antes dos comandos existentes, porém isto pode tornar o trabalho demorado, mesmo usando um script feito no Notepad (quem nunca??). Outra opção, que agiliza este tipo de operação, é usar o comando default interface. Com ele a configuração da interface especificada é restaurada para o padrão de fábrica. Configuração atual da interface BrainSW01(config)#do sh run int f0/43 Building configuration… Current configuration : 319 bytes ! interface FastEthernet0/43 description Conexao Host Brain0453 switchport access vlan 192 switchport mode access switchport nonegotiate switchport voice vlan 20 speed 100 duplex full mls qos trust device cisco-phone spanning-tree portfast spanning-tree bpdufilter enable spanning-tree bpduguard enable end Restaurando a configuração para o padrão. BrainSW01(config)#default interface f0/43 Interface FastEthernet0/43 set to default configuration BrainSW01(config)# Interface com a configuração padrão. BrainSW01(config)#do sh run int f0/43 Building configuration… Current configuration : 34 bytes ! interface FastEthernet0/43 end BrainSW01(config)# Este comando pode ser usado em switches e roteadores, e também aceita a opção “range” (default interface range f0/43 – 48, por exemplo). Abaixo a tabela com as funcionalidades e valores padrão que uma porta ethernet terá após o comando default interface. Feliz 2013 para todos e até a próxima.
