É mais fácil decorar o nome do que o IP de um equipamento, e podemos tirar proveito disso mesmo quando estamos conectados em roteador ou switch. Dois mecanismos podem ser utilizados para traduzir nomes para IPs. Uma opção é cadastrar na tabela host do roteador os nomes dos equipamentos, mapeando seus respectivos IPs, com o comando IP host. Exemplo: Host com IP mapeado para um nome, no roteador: BrainRT02#conf t BrainRT02(config)#ip host brainrt01 10.10.8.157 BrainRT02(config)#exit BrainRT02#ping brainrt01 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.10.8.157, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms BrainRT02# Para remover o mapeamento basta adicionar negar o comando (no ip host brainrt01 10.10.8.157). A outra opção é informar para o equipamento um dns server. Assim, sempre que necessário será feita uma consulta, para resolver o nome. Para cadastrar o dns server basta usar o comando ip name-server, e em seguida colocar o IP do servidor dns. Também deve ser habilitada a opção ip domain-lookup. Exemplo: Configurando DNS Server (10.10.10.10) para o roteador: BrainRT02#conf t BrainRT02(config)#ip ip domain-lookup BrainRT02(config)#ip name-server 10.10.10.10 BrainRT02(config)#exit BrainRT02#ping brainrt05 Translating “brainrt05″…domain server (10.10.10.10) Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.10.8.152, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms BrainRT02# Translating Quando o ip domain-lookup está habilitado o roteador tenta resolver qualquer coisa que seja digitado para um IP, e isto bloqueia o acesso por alguns segundos. Para evitar isto basta negar o comando (no ip domain-lookup). Exemplo: Translating com e sem domain-lookup: BrainRT02#digiteierrado Translating “digiteierrado”…domain server (10.10.10.10) (10.10.10.4) Translating “digiteierrado”…domain server (10.10.10.10) (10.10.10.4) (10.10.10.10) (10.10.10.4) Translating “digiteierrado”…domain server (10.10.10.10) (10.10.10.4) % Unknown command or computer name, or unable to find computer address BrainRT02# BrainRT02#conf t Enter configuration commands, one per line. End with CNTL/Z. BrainRT02(config)#no ip domain-lookup BrainRT02(config)#exit BrainRT02#digiteierrado Translating “digiteierrado” Translating “digiteierrado” % Unknown command or computer name, or unable to find computer address BrainRT02# Outras informações no Router Products Command Reference. Até a próxima.
RIP: Routing Information Protocol
O RIP – Routing Information Protocol é um IGP (Interior Gateway Protocol) ou seja, deve ser utilizado dentro de um Autonomous System. Ele consome pouca banda, é configurado facilmente e funciona bem em pequenas redes. Quando usando RIP as rotas são anunciadas de tempos em tempos e também quando ocorre uma mudança na rede, através de broadcast. Este protocolo de roteamento classfull (ele não anuncia a máscara de rede), é um distance-vector, de forma que ele tem a visão da rede de acordo com a ótica de quem a anunciou e mantém informações sobre todos os destinos disponíveis. Equipamentos rodando RIPv1 podem participar do processo de roteamento de forma ativa ou passiva. Quanto um roteador é configurado para ser passivo ele apenas aprende as rotas divulgadas, mas não divulga suas rotas. Já um roteador ativo aprende e divulga suas rotas. A versão 2 do RIP utiliza multicast para divulgar as rotas (endereço 224.0.0.9) e suporta subnet ou supernet (a máscara de rede é enviada no anúncio das rotas). Outra diferença entre a versão 1 e 2 é que a versão 2 suporta autenticação. RIP Routing Table: O RIP mantém apenas a melhor rota para um destino na tabela, e para evitar que as informações de roteamento oscilem entre dois ou mais caminhos de igual custo, a RFC especifica que as atualizações de diferentes hops devem aceitas somente se a métrica anunciada é menor do que a rota instalada na tabela. Porém, equipamentos Cisco aceitam rotas com a mesma métrica, fazendo o balanceamento de carga (4 caminhos com a mesma métrica é o padrão). Métrica O RIP utiliza apenas o número de hops (ou saltos) para chegar a um destino, como métrica. No máximo pode haver 15 hops entre um roteador e a rede de destino. Quando o roteador recebe um anúncio de rotas via RIP ele soma um a métrica de cada rota recebida e adiciona a sua tabela, caso ainda não possua uma entrada melhor. Na tabela de roteamento do Router_A a rede 192.100.10.x aparecerá com a métrica 3. Timers Os roteadores usando RIP anunciam suas rotas a cada 30 segundos (padrão), aproximadamente, já que a RFC especifica que o tempo de anúncio de ser adicionado ou subtraído de 5 segundos, randomicamente. Esse tempo é conhecido como routing-update timer. O route-invalid timer determina quanto tempo é preciso esperar (o padrão é 180 segundos), sem receber anúncios para uma determinada rede, para que a rota seja considerada inválida. Quanto o route-invalid timer é atingido, a rota é colocada como holddown (o rota recebe a métrica 16 – infinita) e o roteador faz um anúncio. Então inicia-se o route-holddown timer, período no qual o roteador não aceita updates de outros dispositivos para a rede que está em hoddown. Também é utilizado o route-flush time (240 segundos, por padrão). Quando este timer é atingido a rota é removida da tabela de roteamento. BrainRT01#show ip protocol Routing Protocol is “rip” Sending updates every 30 seconds Invalid after 180 seconds, hold down 180, flushed after 240 Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Redistributing: rip Default version control: send version 1, receive any version Automatic network summarization is in effect Maximum path: 4 Routing for Networks: 192.168.0.0 Routing Information Sources: Gateway Distance Last Update Distance: (default is 120) BrainRT01# Evitando loop de roteamento Para evitar loop de roteamento, quando usamos RIP, existem três mecanismos. O holddown timer, que já falamos o split horizon e o poison-reverse. O split horizon impede que uma rota seja aprendida pela mesma interface por onde ela foi anunciada, e o poison-reverse que faz o anúncio de rotas com problemas com a métrica infinita (16 hops). Outras informações sobre o RIP aqui. Até a próxima.
Brainwork Mobile
O brainwork possui uma versão mobile, para acesso via celular e outros dispositivos móveis. Basta acessar o site normalmente (www.brainwork.com.br/blog), que ele identificará o dispositivo e carregará a página customizada. Diversos dispositivos são permitidos, como BlackBerry, Nintendo Wii, Nokia, Palm, PlayStation Portable, Iphone e Ipod, entre outros. Até a próxima.
Quantidade de CCIEs
Quantos CCIEs existem? Veja abaixo o crescimento de profissionais com a certificação da Cisco, espalhados pelo mundo nos últimos 10 anos. Em média, 1.883 novas certificações são emitidas anualmente no mundo. Já no Brasil temos apenas 215 certificados, englobando todas as verticais. No último ano apenas 2850 pessoas tiraram o CCIE em todo o mundo. Até a próxima.
IOS no Black Hat
No Black Hat 2009 EUA (evento com foco em vulnerabilidades), realizado em Las Vegas, uma das palestras foi Router Exploitation, apresentada por Felix FX Lindner. A apresentação foi focada no IOS, software que roda nos roteadores Cisco, mas também citou outros fabricantes. Abaixo selecionei alguns pontos interessantes da palestra: Apenas 14 vulnerabilidades, no IOS, foram publicadas em 2008; (good) Poucas funcionalidades podem ser exploradas remotamente; (good) A arquitetura do IOS torna a exploração de falhas mais difícil; (good) Roteadores com sistema baseado em Unix são fáceis de serem atacados; (bad) Exceções não são tratadas, e fazem o equipamento reiniciar; (bad) Brechas de segurança em uma versão de IOS podem não existir para demais versões, assim ataque devem ser feitos especificamente para cada versão de IOS (e existem mais de 272.000 versões…);(good) Apesar da relativa segurança encontrada no IOS, muitos ataques podem ser realizados a aplicações específicas, que podem estar rodando no equipamento, como HTTP, FTP e TFTP. A última parte da apresentação mostrou algumas dicas para proteger o roteador: O tráfego destinado ao próprio equipamento deve ser bloqueado, liberando apenas o tráfego de gerência; Os protocolos de roteamento devem ser utilizados com autenticação; Os serviços não utilizados devem ser desabilitados; Não utilizar VoIP em roteadores expostos (“de cara” para a Internet); Monitorar os logs gerados pelos equipamentos; Atualizar o software sempre que possível; A apresentação pode ser vista neste link, e outras medidas para melhorar a segurança nos roteadores também podem ser encontradas aqui no brainwork, navegue a vontade ;). Até a próxima.
Nosso (novo) mundo
Segue um vídeo da Revista Economist, com alguns números da atualidade, para deixar qualquer um impressionado. http://www.youtube.com/brainworkblog Você sabia? 90% dos 200 bilhões de emails enviados diariamente são spam; O Google Book Search escaneia 1.000 página por hora; Os americanos tem mais de 1.000.000.000.000 de página web e mais de 200 operadoras de TV a cabo; A circulação de jornais impressos caiu 7 milhões nos últimos 25 anos; Mais vídeos foram enviados para o Youtube nos últimos dois meses do que foram ao ar pelas TVs abc, NBC e CBS desde 1948; Youtube, facebook e myspace recebem 250 milhões de visitas únicas por mês, e a seis anos atrás nem existiam; A Wikipedia possui mais de 13 milhões de artigos e o Cisco Nexus 7000 é capaz de mover todo seu conteúdo em 0.001 segundo; Os jovens americanos enviam mais de 2 mil mensagens de texto no celular por mês, em média; A Nokia fabrica 13 celulares por segundo; Em 2020 os celulares serão o principal meio de acesso a Internet; Dá pra encarrar? Até a próxima.
