A Modular Policy Framework (MPF) é uma estrutura que cada vez mais vai ganhando espaço na configuração do IOS, e é utilizada entre outras, para configuração de QoS. Ela é formada basicamente por class-maps e policy-maps. Agora a parte interessante: é possível mudar o nome de um class-map ou de um policy-map sem ter que remover e inserir novamente os comandos. Dentro do class-map e policy-map temos a opção rename, que permite trocar o nome e automaticamente mudar todas as referencias ele. Exemplo: Mudando o nome do policy-map. !Politica existente, chamada POLICY2 policy-map POLICY2 class CLASS_NOME police 64000 ! Politica aplicada à interface F0/0 c2801-lab#sh run int f0/0 interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 ip nat outside ip virtual-reassembly service-policy input POLICY2 ! Mudando o nome para POLITICA1 c2801-lab#conf t Enter configuration commands, one per line. End with CNTL/Z. c2801-lab(config)#policy-map POLICY2 c2801-lab(config-pmap)#rename POLITICA1 c2801-lab(config-pmap)#end ! Verificando o policy-map com o nome alterado c2801-lab#sh run policy-map policy-map POLITICA1 class CLASS_NOME police 64000 c2801-lab#sh run int f0/0 interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 ip nat outside ip virtual-reassembly service-policy input POLITICA1 end c2801-lab# O mesmo se aplica ao class-map. Até a próxima.
10 dicas para seu firewall
Beleza, você tem um firewall. Isso basta? Veja abaixo 10 dicas para melhorar a administração e a segurança do seu firewall, independe do fabricante. Mantenha o equipamento atualizado: Utilize sempre que possível a versão mais recente/estável do software. Quando aplicável, também instale os patches. Limite o acesso ao firewall: Talvez a regra mais importante em um firewall seja aquela que limita o acesso a partir de determinados hosts/redes. Crie uma regra liberando o acesso apenas para o IP do administrador do firewall, ou da máquina/rede de gerencia. Acesso via SSH e HTTPS: Esta regra vale para todos os equipamentos de rede. O acesso remoto deve ser feito via SSH e/ou HTTPS. Estes protocolos criptografam o tráfego, impedindo que alguém possa capturar sua senha enquanto você acessa o equipamento. Não crie regras genéricas: O firewall é um filtro, e deve ser usado como tal. Não crie regras permitindo tudo para qualquer lugar. Libere o acesso apenas ao que é necessário. E se o firewall permitir, agrupe regras semelhantes. Ordem nas regras: Sempre que um pacote chega ao firewall ele é testado contra as regras definidas, de cima para baixo. É uma boa prática colocar as regras mais específicas e com mais acesso (matches) no topo, evitando que o pacote seja testado em toda a tabela de regras. Isso diminuirá a carga no processamento. Deny Any Any: A última regra na tabela de regras deve ser um deny any any. Ou seja negue tudo de qualquer lugar para qualquer lugar. Também habilite o log nesta regra, assim você poderá verificar o que estão tentando acessar e não está liberado. Diminua o nível de logging: Não adianta habilitar log para todos os eventos. Além de sobrecarregar o firewall, isso irá tornar a análise impossível. Configure o firewall para gerar apenas logs importantes para você. Criptografia com AES: Se você utiliza VPN, configure um protocolo seguro para criptografia, como o AES. Cuidado apenas na hora de escolher quantos bits vai ter a chave (128, 192, 256…). Quanto maior, mais segura, porém mais processamento será utilizado. Redundância: Implementar um segundo firewall para trabalhar como backup, ou dividir a carga, fará aumentar o uptime da rede. Backup: Pois é, quando tudo mais falhar e você tiver que reinstalar o firewall, o backup permitirá a restauração rápida dos serviços. Quais outras dicas para administração de um firewall?? Até a próxima.
Brainwork Responde
Já há alguns dias está disponível o brainwork responde, um espaço para perguntas e respostas. Nele é possível fazer uma pergunta e receber a resposta de outros membros. Muitos frequentadores do blog tem enviado perguntas para nosso email, e o brainwork responde deve nos ajudar, permitindo o compartilhamento destas dúvidas, e claro, soluções. O principal assunto serão as questões relacionadas aos equipamentos Cisco, mas com a participação aberta a todos, tenho certeza que não ficaremos restrito a isso. No menu principal do blog tem um link para o brainwork responde, e depois de acessar basta informar se cadastrar para fazer uma pergunta ou dar uma resposta. Também é possível votar nas perguntas e resposta, ou deixar um comentário. Todas essas atividades valem pontos. Lembrem-se que a Internet é um meio interativo, e o conhecimento deve ser utilizado nas duas vias: donwload e upload. Ainda está na versão beta, mas acredito que não teremos problemas na utilização. Se perceberem algum é só deixar um comentário. Até a próxima.
Cisco IOS free para estudo?
O Marco Felippeti, do blog CiscoCertified, informou que o Ethereal Mind lançou uma petição online para arrecadar “assinaturas” e posteriormente enviar à Cisco, solicitando que seja liberada uma versão do IOS para estudo/prática. A discução não é nova, mas até agora a Cisco não decidiu o que fazer. Ela sempre alegou que com a liberação de uma versão free o número de chamados em seu suporte aumentaria. Imagino que outra preocupação seria a utilização desta versão em ambientes em produção. Por outro lado, a concorrencia tem aumentado, e liberar uma versão para estudo seria uma forma de se fortalecer no mercado. De qualquer maneira, já que somos parte interessada, devemos colaborar aderindo a petição. Basta acessar o link http://etherealmind.com/petition/ informar o nome e seu endereço de email. Como diz parte do texto “Quer sejamos revendedores, consultores, estudantes ou simplesmente interessados em aprender, todos nós precisamos de um método prático para acessar o IOS e praticar”. Até a próxima.
CiscoPedia – Guia de comandos Cisco
Navegando dia desses encontrei um programa em formato de arquivo de ajuda (.chm)com comandos do Cisco IOS. O CiscoPedia, como é chamado, trás uma grande quantidade de comandos, ilustrando a sintaxe, descrevendo os possíveis argumentos e até exemplos de configurações. Acredito que muita gente já conheça, mas pra mim é novidade, apesar dele não ser novo. A versão 3.0, que foi a que encontrei, é de 2003. O programa ele é da própria Cisco, com comandos utilizados no Networking Academy, segundo descrição da página inicial. Pesquisei mais, mas não encontrei quase nada a respeito do Ciscopedia… Existe versão mais recente? Por que não atualizaram mais? Apesar de estar desatualizado (já que é de 2003), gostei da idéia. É muito bom ter um guia de consultas rápidas. Download do Ciscopedia aqui. Até a próxima.
Cius: o tablet da Cisco
A Cisco apresentou ontem o Cius, um tablet PC (ou um “virtual desktop client for cloud computing”) com sistema operacional Android, tela de 7” e vídeo em HD. O dispositivo projetado visando os usuários corporativos, foi demonstrado ontem pelo CEO John Chambers, no Cisco Live, que está acontecendo em Las Vegas-EUA. O Cius possui camera de 5 megapixel, 3G, Wifi e Bluetooth, mas o diferencial são os softwares e integrações que ele oferece. Cisco Quad, Show and Share, WebEx, Presence e TelePresence fazem parte da lista que produtos Cisco que rodarão no Cius. E ele também terá acesso ao Android Marketplace. Além disso, com a ajuda de uma dock station o Cius pode ser usado como um thin client, recebendo teclado e monitor externo. Apesar da apresentação as vendas não devem começar antes de 2011. Mais sobre o Cius no press release e na página do produto. (Não deve ser conhicidencia o nome soar como “see you”, certo?) Até a próxima.
