A imagem abaixo foi enviada por um leitor, e mostra a confiabilidade do 4500. Mais de 74 anos de uptime… O equipamento está funcionando antes mesmos da Cisco e a Catalyst existirem rsrsrs (Sim. É um bug.) Até a próxima.
Parabéns Cisco
Só para registrar, a Cisco Systems completa hoje 25 anos. A empresa foi fundada em 10 de dezembro de 1984 pelo casal Len Bosack e Sandy Lerner, dois cientistas da computação da Universidade de Stanford, que desejavam trocar e-mails entre computadores em redes diferentes, e acabaram por inventar o primeiro roteador multiprotocolo. Clique na imagem para ver a linha do tempo com os fatos marcantes destes 25 anos. PARABÉNS CISCO. Até a próxima.
Autenticação do roteador no AD (Windows Server 2008)
Anteriormente aqui no blog, vimos como configurar um roteador para a utilização de usuário e senha local (Configurando usuário e senha para o roteador). Naquele exemplo utilizamos os usuários criados no próprio equipamento para fazer a autenticação. Agora, evoluindo a solução, vamos ver como fazer a integração do equipamento com o AD (Microsoft Active Directory), e assim utilizar o mesmo usuário da rede para acessar o roteador. Para isso, além do roteador e do AD, vamos precisar do IAS. Neste exemplo utilizamos o Windows Server 2008 R2 com AD e IAS e um roteador 2801. Configuração do Roteador Apesar de usarmos um roteador no exemplo, as mesmas configurações podem ser aplicadas aos switches. Temos que criar um usuário local, para que caso a comunicação com o servidor IAS falhe ainda tenhamos acesso ao equipamento. Depois basta habilitar o AAA e especificar o IP do Servidor, bem como a shared secret. Habilitando autenticação via Radius/AD !Criando um usuário local username brain privi 15 secret cisco ! Habilitando o aaa aaa new-model ! Especificando os métodos de autenticação (primeiro via Radius, depois Local) aaa authentication login default group radius local aaa authentication enable default group radius enable aaa authorization console aaa authorization exec default group radius local ! IP do Servidor onde está instalado o IAS (Radius) e a shared Secret radius-server host 192.168.1.41 auth-port 1812 acct-port 1813 key cisco@123 ! IP que o roteador enviará para o servidor, durante a autenticação ip radius source-interface f0/0 ! Com esta configuração o acesso via Telnet e console já será autenticado via Radius. Caso o SSH esteja habilitado, também passará a usar a autenticação via Radius. Já para o acesso HTTP, caso necessário, devemos adicionar o comando ip http authentication aaa. Configuração no AD Considerando-se que o AD já esteja funcionando, com as contas de usuários e tudo mais, não será necessário nenhuma configuração adicional. Opcionalmente podem ser criados grupos, onde os usuários que terão acesso aos equipamentos devem ser adicionados. Neste exemplo, temos dois grupos no AD: Acesso Priv 1 para Roteadores e Acesso Priv 15 para Roteadores. No grupo Priv 1 estão os usuários que não podem acessar o modo privilegiado e no grupo Priv 15 estão os usuários que tem acesso full ao roteador. Instalando o IAS (Radius Microsoft) O Internet Authentication Server – IAS é o servidor Radius da Microsoft, e neste exemplo vamos utilizá-lo para fazer o “proxy” entre os equipamentos e o AD. Ou seja, ao logar no roteador o mesmo enviará as credenciais para o Radius (IAS), que por sua vez passará estas informações para o AD. Se o usuário for válido (usuário existir e a senha estiver correta) ele terá acesso ao equipamento, caso contrário o acesso será negado. Apesar de extensa a configuração é simples… so don’t worry 🙂 1°) No Windows Server 2008, Clique em Start > Administrative Tools > Server Manager e em seguida Add Roles. 2°) Na tela Add Roles Wizard, selecione a opção Network Policy and Access Services. Depois Next duas vezes. 3°) Selecione a opção Network Policy Server e clique em Next. 4°) Por fim clique Install, espere a instalação ser concluída, clique em Close e reinicie o servidor. Configurando o IAS Agora, com o IAS instalado, vamos configurá-lo. 1°) De volta ao Sever Manager, expanda a árvore Roles > Network Policy and Access Service > NPS (Local), e então clique com o botão direito do mouse e selecione a opção Register service in Active Directory. Obs.: Nesse momento será solicitada a autenticação de um login com permissões administrativas no domínio para integração do serviço. Nas duas mensagens que aparecerão em seguida (liberação de Dial-in para os usuários do AD e confirmação), clique Ok. 3°) Agora expanda a árvore NPS (Local) RADIUS Clients and Servers > RADIUS Client, e clique com o botão direito. Em seguida selecione New Radius Client. Nesse momento iremos informar que roteador poderá utilizar o serviço de autenticação. 4°) Preencha os campos com os dados do equipamento que utilizará o Radius para autenticação, onde Friendly name = hostname, Address = IP do equipamento. Selecione a opção Manual e informe a Shared Secret (cisco@123, neste exemplo). Essa chave também é cadastrado no roteador. Na opção Vendor Name selecione RADIUS Standard e clique ok. Obs: O Friendly name pode ser qualquer coisa, mas fica mais fácil a administração se associarmos o hostname. Repita este passo para todos os equipamentos que forem utilizar a autenticação via IAS (Radius). 5°) Novamente no menu do lado esquerdo, expanda a árvore Policies e selecione Network Policies. Renomeie “Connections to Microsoft Routing and Remote Access Server” para “Priv 1“ e renomeie “Connections to other access servers” para “Priv 15“. 7°) Após renomear as Policies, clique com o botão direito em Priv 1 > Propriedades. Na tela Priv 1 Properties, marque a opção Grant Access. Grant Access if the connection request matches the policy, no item Access Permission. 8°) Agora, na aba Conditions, remova o grupo padrão, e em seguida clique em Add e selecione a opção Windows Groups. 9°) Busque o grupo que terá acesso somente leitura aos equipamentos (nível 1), previamente definido no AD. No exemplo Acesso Priv 1 para Roteadores. 10°) Na aba Constraints, remova as opções em EAP Types. A única opção selecionada nesta tela será: Unencrypted authentication (PAP, SPAP). 11°) Agora na aba Settings – RADIUS ATTRIBUTES, remova o item chamado “Framed-Protocol”. Em seguida clique Service-Type > Edit. Na janela Attribute Information selecione a opção Others > Login e Ok. Novamente Ok. Irá aparecer uma mensagem perguntando se você quer ver um tópico da ajuda, pois foi selecionando um método de autenticação “inseguro” (PAP). Clique No. 12°) No menu do lado esquerdo selecione a opção Vendor Specific e em seguida Add…. Na janela que se abrirá selecione Cisco e novamente clique em Add…. Continuando, clique em Add…, no campo Attribute Value insira shell:priv-lvl=1. Clique em Ok, Ok, Close, Ok, No, Ok. ATENÇÃO: É nesse momento que definimos que o grupo Acesso Priv 1 para Roteadores terá permissão 1
Cisco Anual Security Report 2009
A Cisco Systems divulgou hoje o Annual Security Report 2009, onde destaca o impacto dos meios de comunicação, principalmente as redes sociais, na segurança da informação. “As ameaças e problemas de segurança que vêm com as redes sociais não são geralmente causadas por vulnerabilidades em software. Mais comumente, as ameaças são provenientes de indivíduos que colocam uma quantidade indevida de "confiança transitiva" na segurança destas comunidades”, diz o relatório. Outro problema nas redes sociais são os “encurtadores de urls”, que acabam mascarando o destino do link. O relatório também trata de outros pontos, como DLP, o crescimento do Spam e o roubo de informações, além de apontar o trojan Zeus e a continuação da exploração de vulnerabilidades web como as principais ameaças para 2010. Brasil lidera a produção de spam Uma das informações contidas no relatório mostra o Brasil como o principal emissor de spam do mundo, em 2009. De acordo com o relatório, os países emergentes são responsáveis por 55% dos spams gerados, enquanto que os países lideres econômicos estão tendo sucesso na luta contra o spam e botnets, caindo no ranking. Mais informações na página da Cisco. Até a próxima.
Convites para o Google Wave
Entrando na onda (duplamente, Google Wave e distribuição de convites rsrssr) o brainwork vai sortear 2 convites para o Google Wave. Para quem não conhece, o Wave é um projeto do Google anunciado este ano que pretende tornar-se uma plataforma de integração de email, im, redes sociais, wikis e tudo mais, trabalhando a partir de qualquer browser. Ainda são poucos bons gadgets disponíveis, mas já é possível se comunicar via Google Wave, integrá-lo com blogs e twitter, entre outros. Para participar basta deixar um comentário neste post ou publicar a mensagem abaixo no Twitter: @brainworkblog está sorteando convites do Google Wave. Serão aceitas participações até o dia 10/12/09, com a divulgação do resultado no dia 11. Até a próxima.
Configurando o VTP – VLAN Trunk Protocol
Após o post teórico sobre o VTP, vamos ver como configurar este protocolo, e assim aproveitar a administração centralizada das VLANs. Para o VTP funcionar todos os switches (que forem participar do domínio) devem ter o mesmo nome de domínio VTP e rodar a mesma versão do protocolo. Além disso precisamos definir o Server e os Clients e garantir que exista ao menos um link trunk entre eles (não precisam estar diretamente conectados). Por padrão os switches vêem com as seguintes opções: Lembre-se que é recomendado colocar o switch em modo Transparent (zerar o número da revisão), antes de adicioná-lo a rede como Client ou Server, quando usando VTP. Exemplo: Configuração VTP Server !Entre no modo de configuração global BrainSW01#config terminal !Defina o switch como VTP Server BrainSW01(config)#vtp mode server !Coloque um nome no domínio BrainSW01(config)#vtp domain brainwork !Opcional, mas recomendado, crie um senha para o domínio BrainSW01(config)#vtp password cisco123 !Opcionalmente podemos usar a versão 2 BrainSW01(config)#vtp version 2 BrainSW01(config)#end BrainSW01# Configuração VTP Client BrainSW02#config terminal BrainSW02(config)#vtp mode client BrainSW02(config)#vtp domain brainwork BrainSW02(config)#vtp password cisco123 BrainSW02(config)#vtp version 2 BrainSW02(config)#end BrainSW02# Antes de habilitar a versão 2, verifique se todos os switches suportam esta versão. E para configurar o VTP Pruning basta digitar vtp pruning no VTP Server. Após estas configurações basta criar as VLANs no VTP Server que automaticamente elas serão propagadas para os clients. Verificando a configuração Para verificar o funcionamento do VTP podemos usar os comandos show vtp status, show vtp counters e show vtp password. BrainSW01#show vtp status VTP Version : running VTP2 Configuration Revision : 49 Maximum VLANs supported locally : 1005 Number of existing VLANs : 9 VTP Operating Mode : Server VTP Domain Name : brainwork VTP Pruning Mode : Disabled VTP V2 Mode : Enabled VTP Traps Generation : Enabled MD5 digest : 0xEE 0x75 0x7E 0xAC 0x14 0x06 0xB7 0xD1 Configuration last modified by 10.10.1.1 at 4-6-09 13:17:32 Local updater ID is 10.10.1.1 on interface Vl10 (lowest numbered VLAN interface found) BrainSW01# BrainSW01#show vtp counters VTP statistics: Summary advertisements received : 1756 Subset advertisements received : 0 Request advertisements received : 0 Summary advertisements transmitted : 5305 Subset advertisements transmitted : 0 Request advertisements transmitted : 0 Number of config revision errors : 0 Number of config digest errors : 0 Number of V1 summary errors : 0 VTP pruning statistics: Trunk Join Transmitted Join Received Summary advts received from non-pruning-capable device —————- —————- —————- ————————— Fa0/9 0 0 0 Fa0/24 0 0 0 BrainSW01# BrainSW01#show vtp password VTP Password: cisco123 BrainSW01# Até a próxima.
