O comando archive tar é normalmente usado para descompactar arquivos .tar quando fazemos a atualização de software em switches (o pacote .tar vem com o IOS e arquivos .html que permitem o equipamento ser acessado via interface gráfica). Mas não é só isso. Visualizando um arquivo .tar O comando archive tar nos permite visualizar o conteúdo de pacotes .tar, que podem estar na flash ou mesmo remotos (TFTP, FTP ou RCP). Visualizando o conteúdo de um arquivo .tar archive tar /table tftp://10.10.8.10/arquivo1.tar Descompactando um arquivo .tar A parte mais comum deste comando é a extração de arquivos. Podemos descompactar um arquivo que está em um TFTP direto na flash. Descompactando um arquivo na flash do roteador BrainRT01#archive tar /xtract tftp://10.10.8.10/arquivo1.tar flash: Como já mencionado, atualização de software de switches podem ser feitos usando este comando. Criando um arquivo .tar Também podemos criar um arquivo .tar a partir do modo de configuração privilegiado. Um bom exemplo para esta opção é fazer o backup completo da memória flash em um TFTP, sem ter que copiar arquivo por arquivo. Criando um arquivo .tar (backup da flash do roteador) BrainRT01#archive tar /create tftp://10.10.8.10/backup_flash_rt1.tar flash: Estes comandos também estão disponíveis para os switches e access-points, mas infelizmente não podemos fazer o backup da flash de um switch, como no exemplo acima, pois não é possível copiar o arquivo private-config.text (falta de privilégio). Veja mais detalhes do comando archive tar no Command Reference. Até a próxima.
Ataque camada 2: ARP Spoofing
Todos sabemos dos riscos de ataques na camada 3 e principalmente na camada 7. Mas nem sempre a devida atenção é dada à camada 2. Atualmente é muito difícil, para não dizer impossível, encontrar um ambiente sem firewall, mas é comum vermos switches com a configuração básica, sem suporte a segurança camada 2 e até hubs sendo utilizados. E esses equipamentos podem comprometer a segurança da rede facilmente. ARP Spoofing O ARP – Address Resolution Protocol, é um protocolo utilizado para encontrar um endereço ethernet (MAC) a partir do endereço IP. O host que está procurando um MAC envia através de broadcast um pacote ARP contendo o endereço IP do host desejado e espera uma resposta com seu endereço MAC, que será mapeado para o respectivo endereço IP. O ataque ocorre quando o “elemento mal intencionado” recebe esta solicitação (broadcast) e responde como seu MAC address. Desta forma passamos a ter o “homem do meio”, que pode copiar todo o tráfego para sua máquina ou até parar a rede. Normalmente nestes caso, o host 1.1.1.3 captura o tráfego que está passando por ele com um sniffer, e encaminha o tráfego para o destino certo, de maneira que os usuários não percebam o que está ocorrendo. Cain & Abel é um dos programas que permite este tipo de ataque, de maneira muito simples inclusive. No caso de switches Cisco, este tipo de ataque pode ser evitado desativando a comunicação direta entre os hosts (private-vlan), utilizando o port-security, access-list e o dynamic arp inspection. Outra medida, menos popular por enquanto, é utilizar criptografia de camada 2. Para finalizar, é recomendado desativar as portas não utilizadas e colocar autenticação (802.1x) nas portas em uso, assim garantimos que usuários externos não tenham acesso a rede. Até a próxima.
Fazendo backup ACS 5.3
O ACS é o servidor de autenticação da Cisco, suportando RADIUS e TACACS+. Ele é usado para fazer autenticação nos equipamentos de rede (acesso administrativo) ou para autenticar os usuário de uma rede (802.1x). Ou seja, nos dois casos este elemento é muito importante, e por isso o backup é indispensável. Nas novas versões (a partir da versão 5) podemos fazer o backup via linha de comando (CLI) ou via browser (GUI). Para isso, primeiro temos que criar um repositório, que pode ser local (disco ou cd-rom) ou remoto (ftp, tftp, sftp e nfs). E depois executar o backup ou fazer o agendamento. Fazendo backup no Cisco ACS 5.3, via linha de comando, para um FTP Server 1º) Criando um repositório (FTP) conf t repository nome-do-repositorio url ftp://10.10.10.50 user admin password plain cisco123 end 2º) Executando o backup backup nome-do-backup repository nome-do-repositorio Desta forma o backup será gerado imediatamente, e você pode usar o comando show backup history, para verificar o histórico e status das últimas operações. Criando um repositório e agendando um backup via GUI Também é simples criar o repositório e agendar o backup via interface gráfica. 1º) Acesse o menu esquerdo System Administration > Operations > Software Repositories. 2º) Informe as opções: Name: Nome do repositório Description: Descrição do repositório (opcional) Protocol: Local onde será armazenado o backup, neste exemplo no disco local Path: Caminho/Pasta onde o backup será salvo OBS: Para usar uma pasta, você precisa cria-lá antes via linha de comando (mkdir disk:/backup/). Se você informar o caminho “\” o arquivo de backup será gravado na raiz. 3º) Acesse o menu esquerdo System Administration > Operations > Scheduled Backups. 4º) Informe as opções: Filename Prefix: Nome que será adicionado ao backup Repository: Selecione o repositório criado anteriormente Time of Day: Horário que o backup será realizado, e a recorrência (diário, semanal ou mensal). 5º) Clique em Submit e o backup estará agendado. Mais informações no User Guide e no CLI Reference Guide. Até a próxima.
Cisco EEM: Switch envia email se o processamento estiver alto
Já tratamos do Cisco EEM em outros posts aqui no blog, então não vou direto ao ponto. Segue um exemplo de script para que o switch envie um email com os processos em uso, caso o processamento chegue a 90%. Com isso você pode descobrir qual processo está consumindo os recursos e assim fazer uma investigação mais acertiva. Configurando 3750 para enviar email caso o processamento atinja 90% event manager applet CPUusage90 event snmp oid 1.3.6.1.4.1.9.9.109.1.1.1.1.3.1 get-type exact entry-op ge entry-val 90 poll-interval 10 action 1.0 cli command "enable" action 2.0 cli command "show process cpu" action 3.0 mail server "10.10.10.4" to "seuemail@dominio.com.br" from "hostname@dominio.com.br" subject "Hostname CPU Alert" body "$_cli_result" Na configuração acima temos: CPUusage90 – Nome do applet, que pode ser alterado. entry-val – Valor (90) que vai disparar as ações definidas abaixo. poll-interval – De quanto em quanto tempo o script será executado, em segundos. mail server – Ip do seu servidor de email. to – Destinatário do email. from – Remetente, no caso o equipamento que está enviando o alerta. subject – Texto que aparecerá no “assunto” do email. Utilizei este script recentemente, por conta de um switch que de hora em hora dava um pico e batia 100%. No fim descobri que o processo SNMP ENGINE que estava subindo. Até a próxima.
Fazendo backup e atualizando uma WLC
Fazer o backup das configurações e atualizar o software de uma WLAN Controller – Cisco, é bem simples. Estes procedimentos podem ser realizados por linha de comando (CLI) ou pela interface gráfica (GUI), como ilustrado abaixo. Para fazer o backup basta um computador com um TFTP Server instalado, e conectado diretamente a porta de serviços da WLC (gerência out-of-band). Também é possível fazer o backup através das distributions ports, usando a rede (neste caso verifica a conectividade antes de começar). Backup da Configuração 1°) Acesse a WLC (https://IP_PORTA_SERVIÇO), faça o login e clique na guia COMMANDS. 2°) Clique na opção Upload File, e faça a seguinte configuração: File Type: Configuration Transfer Mode: TFTP IP Address: IP do TFTP Server File Path: ./ File Name: Nome desejado 3º) Clique no botão Upload. Ao termino da transferência você verá a mensagem “File transfer operation completed sucessfully”, e o arquivo backup estará salvo no diretório configurado no TFTP Server. Atualizando o software Antes de começar, faça o download do novo software da WLC no site da Cisco, veja o upgrade path para a versão que você deseja usar, compatibilidade do software com o seu hardware (WLC e access-points), bem como possíveis limitações. Atenção: WLCs com software anterior a versão 5.2.157.0 não podem ir diretamente para a versão 7.0.230.0 (versão mais recente no momento). 1°) Acesse a WLC (https://IP_PORTA_SERVIÇO), faça o login e clique na guia COMMANDS. 2°) Clique na opção Download File, e faça a seguinte configuração: File Type: Code Transfer Mode: TFTP IP Address: IP do TFTP Server Maximum retries: 10 Timeout (seconds): 6 File Path: ./ File Name: Nome do software 3º) Clique no botão Download. Ao termino da transferência você verá a mensagem “TFTP File transfer is successful. Reboot the switch for update to complete”. Ou seja, você precisa reiniciar a WLC para que o novo software seja carregado. Após reiniciar a WLC repita o procedimento e envie o arquivo ER.aes (Emergency Software Image). Estes procedimentos podem ser realizados nas WLC appliances (2000, 2100, 3500, 4000, 4100, 4400, 5500), nos módulos para roteadores e 6500, e ainda para o 3750 com WLC integrada. Um procedimento detalhado pode ser encontrado no site da Cisco e as informações sobre o software 7.0.230.0 estão aqui. Até a próxima.
Novos Cisco ASA 5500-X
A Cisco lançou, ainda discretamente, os novos firewalls ASA 5500-X. Esta nova série, que conta com os modelos 5512-X, 5515-X, 5525-X, 5545-X, 5555-X, além dos já existentes 5585-X, possui mais desempenho e pelo menos uma grande mudança. Comparado com os hardwares da série anterior, os novos appliances oferecem até quatro vezes mais desempenho de firewall, mais portas ethernet (até 14 portas Gigabit) e fonte de alimentação redundante nos modelos 5545-X e 5555 X. Além disso, estes novos equipamentos rodam o software versão 8.6.1, já 64 bits, e possuem aceleração em hardware dedicado para IPS. E aqui está a maior mudança pra mim: Nestes equipamentos o IPS pode ser ativado sem a necessidade de hardware adicional. Pode parecer estranho, mas por enquanto não há planos para descontinuar os modelos anteriores(ASA5505, 5510, 5520, 5540 e 5550), lançados em 2005, e que terão suporte, no mínimo até 2017. Veja mais informações sobre os novos equipamentos nos links abaixo: ASA for Small Offices and Branch Locations ASA for Internet Edge ASA 5500-X Q&A Até a próxima.
