Quando fiz a prova do CCNA, há alguns anos atrás, era parte do conteúdo a ser estudado as teclas de atalho do IOS. Até caiu na minha prova uma questão do tipo: “Você conectou-se em um roteador e no modo de configuração global digitou um determinado comando. No entanto não era o que você precisava, e agora você tem que remover este comando. Como você faz isso com o menor esforço possível? a) seta para cima, depois ctrl+a e digite no antes do comando b) seta para cima, depois ctrl+e e digite no antes do comando b) seta para cima, depois seta esquerda até o início da linha e digite no antes do comando” Independente de fazer parte do conteúdo da prova ou não, as teclas de atalho facilitam o dia-a-dia de quem trabalha com equipamentos rodando o IOS (alias acabam sendo utilizadas instintivamente…), assim, segue abaixo uma tabela com os atalhos e funções. Tecla / Combinação Função ctrl+a Move o cursor para o início da linha (beginning of line??) ctrl+b ou seta esquerda Move o cursor um caractere para trás (back character) ctrl+c Interrompe comando ou “prompt de diálogo” ctrl+d Deleta o caractere onde está o cursor (delete character) ctrl+e Move o cursor para o fim da linha (end of line) ctrl+f ou seta direita Move o cursor um caractere para frente (forward character) ctrl+k Deleta a partir de onde está o cursor até o fim da linha ctrl+l ou ctrl+r Repete a linha de comando em uma nova linha (redisplay currente command) ctrl+n ou seta para baixo Apresenta a próxima comando armazenado no “history buffer” ctrl+p ou seta para cima Apresenta o comando anterior, armazenado no “history buffer” ctrl+u ou ctrl+x Deleta a partir do cursor até o início da linha ctrl+t Transporta o caractere uma casa para a trás (transport character) ctrl+w Deleta a última palavra digitada (delete word) esc, b Faz o cursor voltar um palavra (back word) esc, d Deleta a partir do cursor até o fim da palavra esc, f Faz o cursor avançar uma palavra na linha (forward word) backspace Apaga um caractere tab Completa o comando * O “+” representa que as teclas devem ser pressionadas em conjunto, e a “,” indica que que deve ser pressionadas na seqüência. Acho que essas são a principais, e se alguém conhecer outras teclas de atalhos compartilhe através dos comentários. Até a próxima.
Configurando usuário e senha para o roteador
O básico para autenticação do acesso remoto a um roteador é a senha de enable, e a senha especificada para o método de acesso (console, auxiliar, Telnet, SSH,…). Assim normalmente é configurado o seguinte: Exemplo: configuração sem a verificação de usuário para acesso Telnet: ! Entre no modo de configuração global BrainRT01#conf t ! Crie a senha de enable BrainRT01(config)#enable secret cisco ! Entre na line (onde é configurado o acesso Telnet) BrainRT01(config)#line vty 0 4 ! Cadastre a senha que será usada para telnet BrainRT01(config-line)#password 123cisco BrainRT01(config-line)#end BrainRT01# No entanto, com a configuração acima o usuário seria indagado apenas sobre a senha de acesso (que foi configurada na line) e a senha de enable, que é utilizada para entrar no modo de configuração privilegiado. Observe que o roteador não perguntou o nome do usuário para o acesso. Para configurar o equipamento para pedir o usuário e senha, além do enable, precisamos primeiro criar no roteador um usuário (neste exemplo será configurada autenticação local). Depois basta ativar o AAA (authentication, authorization e accounting), e especificar o método de autenticação. Com estas configurações o roteador passará a solicitar usuário a quem estiver realizando o acesso. Exemplo: Configurando usuário e senha para o roteador ! Entre no modo de configuração global BrainRT01#conf t ! Crie um usuário e sua respectiva senha (neste exemplo o usário tem privilégio total – 15) BrainRT01(config)#username brainwork privilege 15 password cisco123 ! Habilite o aaa BrainRT01(config)#aaa new-model ! Especifique que para o login deve ser usada a base de autenticação local BrainRT01(config)#aaa authentication login default local BrainRT01(config)#end BrainRT01# Com esta configuração o equipamento passará a pedir usuário e senha, quando o acesso remoto for realizado e ter um usuário e senha para cada usuário que acessa o equipamento. Com a diferenciação entre os usuários podemos ter níveis de acesso diferenciado (authorization) e monitorar quem logou no equipamento, quando e o que fez (accounting). E além da base de usuário local, também podemos usar um servidor externo Radius ou TACACS para o AAA. Até a próxima.
ASA k8 ou k9?
Existe apenas um hardware e um software para cada modelo de ASA. Ou seja, para todo ASA 5510 é o mesmo hardware e software (claro que existem as versões, mas toda versão 8.0 é igual…), assim como para o ASA5505, ASA5520 e demais modelos. Podemos dizer que todo ASA é “k8” por padrão. O "k9" no nome do equipamento, indica especificamente o uso de uma licença adicional e GRATUITA que habilita, unicamente, o algoritmo de criptografia 3DES (mais seguro, já que utiliza 168 bit, ao invés dos 56 do DES) normalmente utilizado para configuração de VPN. Podemos confirmar isso conectando em um equipamento ASA "k9" e dar o comando dir. Observe que vai aparecer o nome do software por ele utilizado com a indicação “k8” (algo do tipo asa821-k8.bin). Qual a diferença de comprar o ASA “k9” e o ASA “k8”? Quando você adquiri o ASA “k9” ele já vem da Cisco com a licença para criptografia 3DES inclusa. Já o “k8” vem apenas com o DES habilitado, e você, se quiser, tem que adicionar o licença. Para isso, com o equipamento em mãos basta entrar no site da Cisco (www.cisco.com/go/license) e baixar a licença, transformando o ASA “k8” em “k9” (leia-se habilitar a criptografia 3DES). Já que é gratuito e mais seguro, por que não usar apenas o “k9” direto? O governo americano controla rigidamente a exportação de produtos que utilizam criptografia avançada, como é o caso do 3DES, para o nosso país (parece que não somos vistos com bons olhos… :)). Uma das normas desse controle impede que os distribuidores/revendas armazenem produtos com este protocolo de criptografia, já que eles só podem sair do EUA quando o cliente final é conhecido. Assim só existe em estoque o produto “k8” e quando é vendido, o próprio cliente ou a revenda realiza o cadastro do cliente no site do fabricante e baixa a licença, transformando o equipamento em “k9”. Como saber se o ASA é “k8” ou “k9”? Para saber se o dispositivo é "k8" ou "k9" digite show version e verifique se o 3DES está habilitado. Se tiver é "k9". Se você comprar um ASA, mesmo que seja k8 pode pedir para o vendedor a licença 3DES, ou fazer a “transformação” sozinho. Até a próxima.
Cisco 2009 Midyear Security Report
A Cisco disponibilizou ontem, 14 de julho de 2009, o relatório de segurança “do meio de ano”. Este reporte traz informações quanto as ameaças digitais, como quais os tipos de ataques foram mais utilizados. O relatório fala sobre o Conficker e a onda de spam que está ocorrendo, envolvendo a Gripe Suína. Também tem uma entrevista com um bootmaster (pessoa que domina uma botnet), e fala ainda sobre DLP – Data Loss Prevention, entre outros. A boa notícia do relatório: Nessa primeira metade do ano ocorreram menos ataques/vulnerabilidades do que no mesmo período do ano passado. No fim do documento são apresentadas as tendências, que mostram que mais ataques estão surgindo de sites legítimos e que usuários de rede sociais devem ficar atentos, pois cada vez mais os cyber criminosos estão usando estas redes para obter informações que serão usadas em ataques. O Security Report é um documento criado com base nas informações coletadas pelo Cisco Security Intelligence Operations, que mantem o IntelliShield, e apresenta também algumas sugestões para melhorar a segurança no mundo virtual. Para fazer o download do Cisco 2009 Midyear Security Report, clique na imagem acima. Até a próxima.
VoIP do Google?
O Google Voice é um serviço que já esta disponível para alguns usuário convidados (não para o Brasil) que promete integrar todos os números de seus telefones. Ele é o sucessor do Grand Central, serviço adquirido pelo Google em 2007. Imagine o seguinte: Você entra no Google Voice e recebe um número, depois cadastra seu celular, telefone de casa e do trabalho. Divulga o telefone do Google Voice, e configura por onde e quando quer receber as ligações. Pode até escolher, por exemplo, quando a ligação for do seu chefe, sempre tocar no celular. Ou configurar para que as chamadas recebidas entre as 19h e 24 horas tocar no celular e no telefone de casa, simultaneamente. Outra funcionalidade deste serviço será integrar os correios de voz. Ao invés de acessar correio por correio (celular, telefone residencial, telefone comercial…) as ligações são recebidas pelo Google Voice, que armazenará as mensagens. Google Voice Além disso também será possível enviar SMS através da interface do Google Voice, no computador e ainda fazer chamadas VoIP (como no Skype…). Veja as demais funcionalidades na página do Voice. Até a próxima.
Sniffer no roteador
Os roteadores Cisco, com IOS a partir da versão 12.4(20)T contam com a funcionalidade Embedded Packet Capture (EPC), que basicamente permite o roteador trabalhar como um sniffer. Com esta feature podemos configurar o roteador para capturar os pacotes que entram e/ou saem de uma interface, e exportar para serem analisados posteriormente. O EPC possui dois componentes: Buffer – área da memória onde serão salvos os pacotes capturados. Você define o nome, tamanho e tipo. Capture Point – é o local onde deverá ser feita a captura dos pacotes e deve ser associado a um buffer. Você pode definir o nome, o protocolo (IPv4 ou IPv6), tipo CEF ou process-switched. Podemos usar também uma access-list para filtras os pacotes que serão capturados. Antes de continuar observe que esta funcionalidade pode impactar no desempenho do equipamento, pois utiliza a CPU e a memória DRAM, onde é armazenado o buffer. Assim, use com cuidado. Configuração: No modo de configuração privilegiado crie um buffer e um ponto de captura. Depois associe os dois e inicie a coleta. ! Crie um buffer (BUFFER1 é apenas o nome escolhido) monitor capture buffer BUFFER1 ! Crie um ponto de captura, definindo o protocolo e método utilizado, e especifique a interface e a direção da captura (CAPTURE_POINT é o nome do ponto de captura) monitor capture point ip cef CAPTURE_POINT fastEthernet 0/0 both ! Associe o ponto de captura e o buffer monitor capture point associate CAPTURE_POINT BUFFER1 ! Inicie a captura dos pacotes monitor capture point start CAPTURE_POINT Para verificar as configurações realizada utilize os comandos show monitor capture point all e show monitor capture buffer all. Para terminar a captura digite monitor capture point stop CAPTURE_POINT. Analisando o tráfego Podemos ver os pacotes capturados no próprio roteador (em formato ASCII) ou exportá-los. Para ver no roteador utilize o seguinte comando: BrainRT#show monitor capture buffer BUFFER1 dump 14:36:08.747 UTC Jun 29 2009 : IPv4 LES CEF : Fa0/0 None 67B4E9A0: 001BD4C9 77D6000D ..TIwV.. 67B4E9B0: BC0BA899 08004500 002811AB 40007E06 <.(…E..(.+@.~. 67B4E9C0: 16890A0A 080CC0A8 01DE08F9 0017CB13 ……@(.^.y..K. 67B4E9D0: 875A206C C5EA5010 FEE59A7D 00000000 .Z lEjP.~e.}…. 67B4E9E0: 00000000 00 ….. 14:36:09.267 UTC Jun 29 2009 : IPv4 LES CEF : Fa0/0 None 67B4E9A0: FFFFFFFF FFFF0008 …….. 67B4E9B0: 02E098EF 08004500 004E0F1E 00007F11 .`.o..E..N…… 67B4E9C0: A815C0A8 011CC0A8 01FF0089 0089003A (.@(..@(…….: 67B4E9D0: 77E3869B 01100001 00000000 00002046 wc………… F 67B4E9E0: 47454E46 44455045 4D454445 00 GENFDEPEMEDE. Ou para exportar, digite monitor capture buffer BUFFER1 export tftp://10.10.8.12/capture_2801, onde BUFFER1 é o nome do buffer onde estão os pacotes, 10.10.8.12 é o IP do TFTP Server, e capture_2801 é o nome que será dado ao arquivo. Após exportar abra o arquivo com o Wireshard ou algo do tipo. Veja a Página do EPC e o Guia de Configuração para mais detalhes. E para saber se seu roteador suporta esta funcionalidade utilize o Feature Nagivator. Até a próxima.
