Já foi o tempo em que a ameaça vinha de fora… Com as botnets, além de nos preocuparmos com possíveis ataques, também precisamos garantir que não estamos “atacando” ninguém. Botnets são rede de computadores infectados, que passam a ser controladas pelo botmaster. Uma botnet pode ter computadores espalhados pelo mundo, e seu controlador a utiliza, sem que os verdadeiros donos dos PCs percebam, para enviar spam e fazer ataques, entre outros. Segundo estimativa do FBI, existem entre 1 e 5 milhões de hosts infectados nos Estados Unidos e uma botnet pode ser “alugada” por até 50 mil dólares por dia. Para evitar estes tipo de problema o Cisco ASA, com a licença apropriada, pode fazer a verificação dinâmica, através de URL ou IP, e identificar a comunicação entre um host infectado e seu controlador. Após habilitar a verificação, quando um host interno tenta acessar uma URL, o ASA consulta o DNS para transformar a URL em IP e então compara com sua base de dados, que é constantemente atualizado pelo Cisco Security Intelligence Operations (trabalha com reputação, como o Senderbase e o Ironport). Caso este IP esteja na base de dados, ele é adicionado no DNS Reverse Lookup Cache, que é consultado quando a conexão é realizada. Assim, todas vez que um host se conectar a este IP é gerando um log, para que o administrador possa tomar as medidas cabíveis. Também é possível criar sua própria blacklist e whitelist. Configurando o ASA para detectar botnets 1°) Configure o DNS no ASA, para que as URLs (nomes) possam ser convertidos para IP. dns domain-lookup outside dns server-group DefaultDNS name-server 8.8.8.8 domain-name brainwork.com.br 2°) Habilite o dynamic-filter updater-client, para baixar as atualizações do SIO. dynamic-filter updater-client enable 3°) Configure o ASA para utilizar o banco de dados (também podemos configurar para usar black list). dynamic-filter use-database 4°) Habilite a filtragem para todos os protocolos. access-list dynamic-filter_acl extended permit ip any any 5°) Aplique a filtragem na interface de saída, neste caso a outside. dynamic-filter enable interface outside classify-list dynamic-filter_acl 6°) Agora habilite o DNS snooping na interface outside, que fará a inspeção nas consultas DNS. class-map dynamic-filter_snoop_class match port udp eq domain policy-map dynamic-filter_snoop_policy class dynamic-filter_snoop_class inspect dns dynamic-filter-snoop service-policy dynamic-filter_snoop_policy interface outside 7°) (Opcional) Adicione entradas na black e white lists. dynamic-filter blacklist name exemploblack1.com.br name exemploblack2.com.ru address 200.20.20.1 255.255.255.255 dynamic-filter whitelist name exemplowhite1.com.br name exemplowhite2.com address 200.30.1.1 255.255.255.255 Bloqueando a botnet Após as configurações o ASA passará a gerar logs quando um host tentar acessar um IP com má reputação. Exemplo de log ASA-4-338002: Dynamic Filter permitted black listed TCP traffic from inside:10.1.1.45/6798 (209.165.201.1/7890) to outside:209.165.202.129/80 (209.165.202.129/80), destination 209.165.202.129 resolved from dynamic list: bad.example.com Após verificar o log, devemos impedir que o host infectado tenha acesso a rede. 1°) Crie uma access-list. access-list bloquear_botnet extended deny ip host 10.1.1.45 host 209.165.202.129 access-list bloquear_botnet extended permit ip any any 2°) Aplique a access-list na interface outside. access-group bloquear_botnet out interface outside No site da Cisco também tem um vídeo tutorial, mostrando como fazer esta configuração via ASDM. Até a próxima.
Cisco manda roteador para o espaço
E ele funcionou!!! A Cisco informou hoje que o Space Router, do projeto IRIS – Internet Routing in Space, enviado ao espaço junto com o satélite de comunicações da Intelsat General em novembro de 2009, completou com sucesso a fase de testes iniciais. Colocar o roteador em orbita (ele está a cerca de 35 mil quilômetros da terra) foi o primeiro passo para o projeto revolucionário da Cisco, que deseja mudar as comunicações via satélite. Hoje, a “inteligência” do sistema fica na terra, sendo os satélites responsáveis apenas por enviar e receber as informações, em uma rede do tipo “circuit-switched”. A idéia da Cisco é criar uma rede IP e colocar um roteador em cada satélite, que permitirá que as decisões de encaminhamento e outros processos sejam implementados no próprio satélite. Observe na ilustração o fluxo de comunicação com (linha azul) e sem o roteador (linha branca). No modelo atual os dados transmitidos precisam voltar à terra para serem processado, e depois enviados novamente para o satélite, que por fim envia para o destino final. Já com o roteador o processamento pode ser feito no próprio satélite. Além disso, adotando IP, mesmo protocolo usado na Internet, será possível roteador voz, dados e vídeo entre os satélites, usando uma única rede, como já ocorre hoje nas “redes terrestres”. Um roteador alocado no espaço, pode de forma inteligente alocar banda e priorizar determinado tráfego, disse o Project Manager do projeto IRIS, Greg Pelton, citando outra vantagem. Notícia original aqui e outras informações sobre o IRIS no site da Cisco. Até a próxima.
Comandos básicos para roteadores Cisco
Este post deveria ter sido um dos primeiros no blog… mas como dizem, antes tarde do que nunca. Coloquei os comandos básicos/úteis para utilização no Cisco IOS, via CLI – Command Line Interface. Acredito que vai ser bem útil para que está começando, ou acessa o roteador apenas eventualmente. Modos de Configuração roteador> - Modo Usuário roteador# - Modo Privilegiado roteador(config)# - Modo Global Modo Usuário enable - Entra no modo de configuração privilegiado Modo Privilegiado ? - Mostra os comandos disponíveis configure terminal - Entra no modo de configuração global clock set – Configura a data e hora no equipamento delete flash:/nome_do_arquivo - Apaga o arquivo da flash dir - Mostra o conteúdo da flash disable - Sai do modo de configuração privilegiado erase flash - Apaga todo o conteúdo da flash erase nvram - Apaga todo o conteúdo da nvram ping 10.1.1.1 – Pinga o host 10.1.1.1 e mostra o resultado reload – Reinicia o roteador traceroute 172.16.1.1 - Mostra o caminho até o IP 172.16.1.1 Modo configuração global enable secret - Define a senha de enable hostname – Define o "nome" no roteador interface f0/0 – Entra no modo de configuração da interface fastethernet 0/0 ip route 0.0.0.0 0.0.0.0 10.1.1.1 - cria uma rota padrão para 10.1.1.1 ip route 192.168.0.0 255.255.255.0 172.16.1.1 – cria uma rota estática para a rede 192.168.0.0, através de 172.16.1.1 Modo Configuração de Interface description - Coloca uma descrição na interface end - Volta para o modo privilegiado exit - Sai do modo de configuração de Interface ip address 5.5.5.5 255.255.255.0 - Configura o IP e máscara na interface shutdown - Desabilita a interface no shutdown – Habilita a interface Verificação básica show arp - Mostra a tabela arp do roteador show diag - Mostra informações dos módulos show history - Mostra os últimos comandos digitados show version - Mostra a versão do IOS e informações de hardware show running-config - Mostra a configuração show interface - Mostra informações das interfaces show ip interface - Mostra informações do protocolo IP na interface show ip route - Mostra a tabela de rotas show users - Mostra os usuários conectados show tech-support - Informação completa do sistema Salvando a configuração copy running-config startup-config - Salva configuração da memória DRAM para NVRAM copy running-config tftp: - Salva configuração da memória DRAM para o servidor TFTP copy tftp: running-config - Salva configuração do servidor TFTP para memória DRAM wr - Salva configuração da memória DRAM para NVRAM Esta lista de comandos, mais as teclas de atalhos (publicadas em outro post) estão neste wallpaper, para quem quiser baixar. Até a próxima.
O melhor DNS
O DNS – Domain Name Server é o responsável por traduzir nomes para IP. Assim quando digitamos www.brainwork.com.br no browser, primeiro o computador consulta o DNS, que informa o IP 69.65.3.151 e então o computador abre o site. Desta forma, quanto mais rápida for a consulta DNS mais rápida será a navegação. Mas como saber qual o melhor DNS? No Google Code tem um utilitário chamado namebench que faz consultas e mostra em gráficos comparativos qual o melhor DNS (o que responde mais rápido – normalmente o mais próximo). Depois de fazer o download e instalar o programa, execute informando os DNSs que você está usando atualmente. O programa comparará o seu DNS com outros ao redor do mundo, incluindo Google Public DNS e OpenDNS. Demora uns 15 minutos, não se assuste.´ O resultado é apresentado no browser, mostrando as melhores opções para ser utilizado no local onde o teste foi realizado. Neste exemplo o Google Public DNS apresentou o melhor resultado sendo 81% mais rápido que o segundo colocado (OpenDNS). O DNS que eu estava usando, teoricamente, foi o sétimo (DNS do UOL). Download do namebench pode ser feito aqui. Até a próxima.
Identificando o caminho físico
O Traceroute é uma ferramenta que utiliza o ICMP para verificar o caminho layer 3 (lógico) até um determinado IP. Além do caminho ele também permite diagnosticar possíveis problemas na rede, já que nos informação a latência até cada “salto” do caminho. Muito útil, mas até aqui nenhuma novidade. Até o Windows possui essa ferramenta (Tracert). Nos switches Cisco porém, temos a opção de fazer um Traceroute Mac, e mapear o caminho físico (layer 2) entre dois hosts. Por exemplo, se o Admin quiser saber o caminho físico entre o PC1 e PC2, basta saber o MAC ou IP dos dois PCs. Exemplo: BrainGW01#traceroute mac 00c0.9f79.f41e 000d.9dd1.3918 detail Source not directly connected, tracing source ….. Source 00c0.9f79.f41e found on BrainSW02[WS-C2950T-48-SI] (10.10.10.52) 1 BrainSW02 / WS-C2950T-48-SI / 10.10.10.52 : Gi0/1 [full, 1000M] => Fa0/39 [full, 100M] 2 BrainSW06 / WS-C2950-24 / 10.10.10.56 : Fa0/24 [full, 100M] => Fa0/2 [auto, auto] Destination 000d.9dd1.3918 found on BrainSW06[WS-C2950-24] (10.10.10.56) Layer 2 trace completed. BrainGW01# Como resultado temos a informação de que o MAC de origem (00c0.9f79.f41e) está no switch BrainSW02 porta G0/1 e o MAC de destino (000d.9dd1.3918) está na porta F0/2 do switch BrainSW06. Também podemos identificar as conexões entre os switches, neste exemplo a porta F0/39 do BrainSW02 está conectada a porta F0/24 do BrainSW06. Outra opção é utilizar o comando traceroute mac ip 10.10.10.5 10.10.10.20 detail, e deixar que o switch encontre o MAC. Restrições Para o trace layer 2 funcionar é necessário atender algumas especificações: O CDP deve estar habilitado em todos os switches; Todos os switches devem estar alcançáveis a partir de onde a consulta esta sendo realizada (se der um ping todos os equipamentos devem responder; O máximo de saltos no caminho deve ser 10; Origem e destino devem pertencer a mesma VLAN; Não é possível rastrear um endereço de multicast; Se o MAC pertence a múltiplas VLANs, a VLAN deve ser especificada; O traceroute layer 2 não consegue rastrear MACs através de hubs; Esta funcionalidade não é suportada em redes Token Ring; Até a próxima.
Feliz Natal
Feliz Natal para todos que acompanham o brainwork. E como não poderia deixar de ser, só para variar… Cisco! Um bom ano de 2010 e continuem com a gente. *Será que alguém vai acessar o blog hoje ? 🙂 Até a próxima.
