A Cisco disponibiliza em seu site uma ferramenta chamada Cisco IOS Software Checker, que permite listar as vulnerabilidades conhecidas para o IOS. Basta você informar a versão do software que você usa para encontrar os anúncios que afetam este produto. É possível selecionar o IOS em uma lista, enviar um show version do equipamento para que o IOS Checker identifique a versão, ou ainda fazer o upload de um arquivo .txt que contenha várias versões de softwares (uma em cada linha). Meu software está afetado? O que fazer? É grande a chance do software que você utiliza ter pelo menos um Security Advisory, mas isso não significa que você seja afetado por aquela vulnerabilidade. 1°) Primeiro verifique se você utiliza a feature que contem a vulnerabilidade. Se você não utiliza e não está configurada o problema não te afetará. Algumas funcionalidades podem ainda ser desabilitada, veja se é o caso. 2°) Se a feature está em uso, veja no Security Advisory se há como contornar o problema (o passo-a-passo estará no item Workarounds). Alguma configuração pode solucionar ou pelo menos diminuir o impacto do problema. 3°) Se o produto tem vulnerabilidades em funcionalidades que estão em uso e não há workaround para o problema, a solução pode ser a atualização do IOS. A Cisco disponibiliza gratuitamente atualização com bug fix. Informação de como proceder para obter esta atualização também é encontrada no Security Advisory. Mas antes de sair atualizando todos os equipamentos lembre-se de homologar o novo software em um ambiente paralelo. A nova versão, com bug fix, pode possuir funcionalidades a mais ou menos. Para usar o Cisco IOS Checker basta acessar este link. Até a próxima.
Laboratórios Cisco para treinamento
Boa notícia para quem está se preparando para uma certificação Cisco e ainda não tem acesso a equipamentos reais. O Cisco Learning Network, espaço da Cisco dedicado as suas certificações passou a oferecer laboratórios virtuais para ajudar na preparação dos candidatos. Com o custo de U$ 50,00 dólares por 25 horas de uso, o candidato poderá acessar remotamente equipamentos que utilizam IOS (emulados em Unix) e se preparar para os exercício práticos, que são exigidos nas certificações. Antes desta iniciativa a Cisco fornecia apenas o Packet Tracer, para os alunos NetAcademy. Será que o Chris Fillot, criador do GNS3, ajudou no desenvolvimento destes laboratórios IOS/Unix? Inicialmente estão disponíveis pacotes para preparação para o CCNA, CCNP e CCIP, com roteadores e switches layer 2. Algumas características: Configuração de roteadores e switches (camada 2) De 11 a 15 labs disponíveis no pacote Acesso durante até 90 dias, para completar as 25 horas Sem downtime durante o reset dos equipamentos Opção de incrementar o tempo (pacotes de 5 horas) Quem se interessar basta acessar o Cisco Learning Network e ver os pacotes disponíveis. Até a próxima.
Web Security Forum
Aconteceu em São Paulo no último fim de semana (9 e 10 de abril) o Web Security Forum, no espaço APAS. O evento foi organizado pelo @gustcol do blog Coruja de TI, que realmente merece os parabéns. Entre os participantes estava o pessoal do DCLabs, 4Linux e HFC – Hacker Construindo Futuros, e também o baiano Alexos, que fez uma palestra muito descontraída sobre hardening para servidores. Ainda participaram alguns advogados e delegado especialistas em leis/crimes digitais. Foram apresentados alguns exploits zero day e também a nova versão do T50, ferramenta para testar a infra-estrutura contra ataques do tipo DoS/DDoS, desenvolvida pelo brasileiro Nelson Brito. Além das palestras técnicas houveram palestras sobre perícia computacional, cyber war e hackitivismo, direito e crime digital (por sinal, parecia que ali todo mundo tinha um amigo que já fez coisas erradas na internet). Alias, o melhor do evento foi justamente essa mescla, pois por mais que existam eventos especializados para tratar de leis, análise forense e direitos na Internet, normalmente estas discussões ficam muito longe dos analistas/pesquisadores. E vice-versa. Para completar ainda tive o prazer de conhecer o Edson, do blog TICNICS, a Marcia e o Adilson Florentino, do Netfinders Brasil. Com a presença de 450 pessoas no local, 10 mil online e 100 mil reais em prêmios distribuídos o Web Security Forum mostrou a que veio e deve ter sua segunda edição em 2012. Quem não pôde participar pode assistir a gravação do evento, através o Ustream. Até a próxima.
Configurando NAT dinâmico no ASA (8.4)
A nova versão de software do Cisco ASA traz algumas novidades e também mudanças em algumas sintaxes de configuração. A configuração de NAT foi uma das que sofreram alterações (desde a versão 8.3, aliás). A idéia da Cisco é que toda configuração de NAT seja orientada a objetos. E apesar da falta de costume, acho que isso vai facilitar a configuração. Tipos de NAT (para relembrar): NAT estático: NAT onde um IP real é associado a um IP mapeado (um-para-um). Permite a iniciação de tráfego nos dois sentidos. Um exemplo comum é um host que está na rede interna e é publicado na Internet. A comunicação deste host com a Internet poderá ser iniciado por ele ou para ele. Uma variação é o NAT estático com PAT. Neste caso é possível publicar um serviço sem dar acesso completo ao host. Um servidor web por exemplo pode ter apenas a porta 80 publicada. NAT Dinâmico: Permite a tradução de um grupo de hosts com IP real para um pool de IP mapeado. O pool normalmente tem menos IPs do que o grupo de hosts com IP real. Neste tipo de NAT (muitos-para-muitos) apenas o host com IP real pode iniciar o tráfego, e é usado para permitir que os usuários tenham acesso a Internet, por exemplo. PAT Dinâmico: Um grupo de hosts com IP real é traduzido para um único IP mapeado, mas cada um usa uma porta diferente (muitos-para-um). Este tipo de NAT também é usado para permitir que hosts internos tenham acesso a Internet, e com a vantagem de usar apenas um IP público. NAT Identidade (NAT 0): NAT que permite a tradução de um endereço IP para ele mesmo (fazendo um bypass no NAT). Normalmente é usado para acesso VPN. * IP real é o IP que será traduzido, enquanto que o IP mapeado é o endereço para o qual o IP real foi traduzido. Configuração de NAT dinâmico, no ASA OS 8.4 Neste exemplo temos a rede interna com 254 hosts e um pool com 4 endereços públicos, o que caracteriza o NAT muitos-para-muitos. O primeiro host a passar pelo ASA usará o primeiro IP disponível, e assim por diante, até esgotarem-se os IPs do pool. BrainFW01# conf t BrainFW01(config)# object network ips-publicos BrainFW01(config-network-object)# range 200.20.20.2 200.20.20.5 BrainFW01(config)# object network minha-rede-interna BrainFW01(config-network-object)# subnet 192.168.0.0 255.255.255.0 BrainFW01(config-network-object)# nat (inside,outside) dynamic ips-publicos Como o pool é limitado (após o quarto host interno acessar a Internet os demais hosts não terão acesso), é normal que haja um backup, com o PAT dinâmico. Configuração de PAT dinâmico, no ASA OS 8.4 Neste exemplo ao invés de um pool temos apenas um endereço da rede pública. Este é um NAT dinâmico, mas todos os hosts internos usarão o mesmo IP externo (200.20.20.7). BrainFW01# conf t BrainFW01(config)# object network minha-rede-interna BrainFW01(config-network-object)# subnet 192.168.0.0 255.255.255.0 BrainFW01(config-network-object)# nat (inside,outside) dynamic 200.20.20.7 Temos uma variação desta configuração com a utilização da interface outside do ASA. Neste caso os hosts internos serão traduzidos para o IP 200.20.20.1. BrainFW01# conf t BrainFW01(config)# object network minha-rede-interna BrainFW01(config-network-object)# subnet 192.168.0.0 255.255.255.0 BrainFW01(config-network-object)# nat (inside,outside) dynamic interface O PAT dinâmico é uma ótima forma de preservar seus IPs públicos, pois um único IP pode servir para mais de 64.000 mil conexões. Mais informações sobre NAT na versão 8.4 do ASA OS neste link. Até a próxima.
Cisco Site Survey Utility e Windows 7
O Cisco Site Survey Utility, software utilizado junto com a placa de rede PCMCIA Cisco (AIR-CB21AG-A-K9), é uma boa ferramenta para fazer site survey wireless. Com ele podemos verificar a força e qualidade do sinal, e assim dimensionar a quantidade de access-points necessários para cobrir uma determinada área. Porém este software não funciona (oficialmente) no Windows 7, o que é um problema atualmente. Felizmente encontrei em um fórum a solução para este problema (como será que descobrem este tipo de coisa??). Abaixo o tutorial, lembrando que você pode seguir por conta e risco. Como usar o Site Survey Utility no Windows 7 1°) No Windows 7, instale o Cisco Site Survey Utility versão para o Windows XP (WinClient-802.11a-b-g-InsWizard-v45.exe), que você encontra no site da Cisco (é necessário CSCO). O programa será instalado normalmente, mas o driver da placa não. Ignore o erro e continue. 2°) Vá ao site da Atheros e faça o download do driver da placa AR5001A, versão 4.2.2.33, que você encontra aqui. São dois arquivos em um .zip (ar5211.sys e net5211.inf). 3°) Descompacte os arquivos e mande reinstalar o driver, apontando para a pasta onde os arquivos foram descompactados. (Iniciar > Painel de Controle > Gerenciador de Dispositivos > Dois cliques no item que está com problema (sinal de exclamação) > Reinstalar driver > e escolha a pasta onde estão os arquivos) 4°) O Windows vai avisar que não pode verificar a autenticidade do driver, mas pode confirmar. 5°) Pronto, pode abrir o Site Survey Utility que ele irá funcionar. O único problema que encontrei foi quando tentei visualizar os gráficos em porcentagem (fica em branco), mas não sei se é o driver ou a placa… Até a próxima.
Brainwork no facebook
Pessoal, o brainwork agora também está no facebook. Na página do brainwork é possível acompanhar as publicações do blog, Twitter, brainwork responde e Youtube, tudo centralizado. Basta você curtir a página para que as atualizações aparecam no seu feed de notícias (sua página). Então, se você tem facebook (e alguém não tem??) acesse e comece a curtir. Até a próxima.
