A Cisco lançou uma nova WLAN Controller (5508), que suporta até 250 access-points. Esta nova controladora, além de trabalhar com os padrões A/B/G também trabalha com access-points no padrão N, permitindo mais desempenho na rede sem fio. As controladoras são dispositivos que permitem a administração centralizada de access-points. Através delas é possível definir as configurações da rede sem fio, que são transmitidas para os access-points. Este novo modelo possui 8 slots para transceirvers SFP (mini GBIC), para conexão com a rede. São permitidos GLC-T, GLC-SX-MM e GLC-LH-SM nestes slots. Outra novidade desta controladora é a possibilidade de trabalhar com access-points remotos conectados através de VPN, do AP para a controladora, através de links WANs (é necessário licença adicional para esta funcionalidade). Ela também possui suporte a Mesh e fonte redundante. A nova controladora suporta a conexão simultânea de até 7 mil usuário, e conta com opções de licença para 12, 25, 50, 100 e 250 access-points. Mais informações no site do fabricante. Até a próxima.
Voype
Não, não digitei errado. Voype é o serviço de VoIP da Microsoft, que na américa do sul tem como parceira a Telefônica. O serviço que já funciona a um bom tempo nos EUA e Canada chega ao Brasil e Argentina, entre outros, para concorrer com o Skype e demais serviços de VoIP, e traz tarifas interessantes. Para utilizar o Voype basta se cadastrar e comprar créditos. Depois é só utilizar o Microsoft Windows Live Messenger (também conhecido como MSN…) para falar com telefones fixos ou celulares. Por enquanto o Voype não permite receber chamadas originadas na rede convencional de telefonia (como faz o Gizmo, por exemplo). De qualquer forma é mais uma opção as altas tarifas telefônicas do sistema convencional de telefonia. A ligações entre MSN continua grátis. Esse post foi publicado originalmente em outubro de 2008, mas só agora a Microsoft e a Telefônica começaram a divulgar o serviço. Vejam os preços para o Brasil: País / Cidade Tarifas locais Brasil R$ 0.1180 Brasil – (Outras Cidades 2) R$ 0.1180 Brasil – (Outras Cidades) R$ 0.1180 Brasil – Celular R$ 0.5544 Brasil – Rio de Janeiro R$ 0.0721 Brasil – São Paulo R$ 0.0568 Brasil – TIM Celular R$ 0.5544 Brasil (Belo Horizonte) R$ 0.1180 Brasil (Resto de São Paulo) R$ 0.1180 Até a próxima.
Nova Sup para 4500
A SUP 6L-E é a mais nova opção de supervisora para os switches 4500-E. Este novo modelo conta com a mesma tecnologia da SUP 6, porém com o desempenho reduzido. Com ela ambientes que não precisam da performance da SUP6 (320 Gbps) podem ter serviços avançados e um bom desempenho (280 Gbps). Esta nova supervisora conta com dois slots para conectores 10 Giga (X2 optics) que também podem ser transformados em 4 portas Gigabit com a utilização de adaptadores TwinGig. Outras características: – Capacidade de switching: 280 Gbps – 225 mpps de throughput (IPv4) – 110 mpps de throughput (IPv6) – Duas portas 10 GB – Suporte a 57.000 rotas na tabela de roteamento (IPv4) – Suporte a 30.000 rotas na tabela de roteamento (IPv6) – 8 filas de QoS por porta – 16.000 access-list por direção – 4096 VLANs ativas Esta nova supervisora pode ser utilizadas em 4507R-E, 4507R, 4506-E, 4506, 4503-E e 4503. Outras informações sobre a nova placa podem ser encontrada no DataSheet , no site da Cisco. Até a próxima.
Outras Features do IPS Cisco (Parte 2)
Atendendo a grande procura que tivemos para o tópico sobre a configuração inicial de um IPS, resolvi postar um resumo que fiz na época que estava estudando para a prova de IPS. Este material foi escrito com base no material de estudo para o IPS appliance, mas em linhas gerais é a mesma coisa para os módulos IPS (para roteador e ASA) e para o IOS IPS. Seguindo a linha do blog, este conteúdo é focado em dispositivos Cisco, mas parte da teoria pode servir para equipamentos de outros fabricantes. Risk Rating O Risk Rating é um valor de 0 a 100 que representa o risco de um evento. Para definir este valor é utilizado a formula abaixo, que leva em consideração informações referentes a assinatura, a importância do host ou da rede e outros. RR = (ASR * TVR * SFR)/10.000 + ARR – PD + WLR Com base nesta formula o IPS pode mudar dinamicamente a ação de uma assinatura. Por exemplo, se uma assinatura esta configurada apenas para gerar um alerta, mas o Risk Rating é alto, o IPS altera a ação da assinatura para que além do alerta o atacante seja bloqueado. Para funcionar é preciso que seja habilitada a opção Event Action Overrides. Nesta opção você define os níveis do Risk Rating e qual ação deverá ser tomada. Na formula são utilizadas as seguintes variáveis: Target Value Rating (TVR): É um valor que você associa a um host ou a uma rede, de acordo com a importância deste host ou desta rede no seu cenário. Os valores disponíveis para o TVR são: Zero (50), Low (75), Médium (100), High (150) e Mission Critical (200). Quanto maior o número mais importante é o host ou a rede. Attack Severity Rating (ASR): É configurado por assinatura e indica o quão perigoso é o evento. As opções que temos são Information (25), Low (50), Médium (75) e High (100). Os números nos parentes são a representação numérica da severidade. Signature Fidelity Rating (SFR): Também é configurado por assinatura, e podem ser atribuídos valores de 0 a 100. O SFR define o quanto uma assinatura é assertiva (gera pouco falso-positivo). Attack Relevancy Rating (ARR): É um valor definido pelo IPS com base na informação de Sistema Operacional, e não configurável. Ele mostra a importância do ataque no ambiente. Por exemplo, um ataque para Windows em um ambiente Linux não tem muita importância, mas o mesmo ataque em um ambiente Windows terá muita importância. Possíveis valores: Relevant (10), Unknown (0) e Not Relevant (-10). Promiscuous Delta (PD): É configurado por assinatura, com valores de 0 a 30. Esta variável é importante apenas quando o sensor esta trabalhando em modo promíscuo. Ele diminui o Risk Rating de algumas assinaturas, quando trabalhando em modo promíscuo. Não é recomendado mudar o valor do PD. Watch List Rating (WLR): É um valor associado a um host pelo CSA – Cisco Segure Agent, quando é utilizado na rede. Com base neste valor o host pode ser colocado em quarentena. Valores possíveis: 0 a 100, mas o CSA utiliza apenas de 0 a 35. Anomaly Detection (AD) É um componente que permiti analisar o tráfego com base no comportamento da rede, e não baseado nas assinaturas. As assinaturas, lembremos, servem para identificar apenas ataques conhecidos. O AD identifica quando um host abre muitas conexões para a mesma porta com destino diferente (comportamento padrão para worms, como Code Red e SQL Slammer). Para funcionar corretamente você deve deixar o AD monitorar a rede por 24 horas (default), pelo menos. Para isso você deve configurar AD Operational Mode para learn. Isto permitirá que seja criado um baseline da rede, e assim, quando o padrão mudar ele será capaz de identificar esta mudança. Zone: É um grupo de endereços de destino. Dividir a rede em zonas permite diminuir o número de falso positivo. Seus endereços da LAN devem ser configurados como zona interna. Resumo da configuração: 1) Adicione o AD ao sensor (você pode usar o ad0 ou criar um novo) 2) Configure as Zonas, protocolos e serviços (defina a zona interna, especifique os protocolos e serviços que serão monitorados) 3) Configure o AD Operational mode como learn 4) Deixe o sensor rodar pelo menos 24 horas (uma semana é o recomendado) 5) Mude o AD Operational mode para Detection (ele mudará automaticamente depois do tempo de learn configurado) 6) Configure os parâmetros de detecção do AD (worm timeout, IPs de origem e destino que devem passar pelo AD sem serem monitorados, …) Bypass A partir da versão 6.0, o IPS possui opção de software bypass. Esta opção permite que o tráfego continue ou não a ser enviado para o destino caso o software do IPS pare de funcionar. Temos 3 opções: Auto: Se a engine de análise parar, o tráfego continuará a passar pelo IPS normalmente. Off: Se a engine de análise parar, o tráfego é bloqueado. On: Permite que o tráfego passe pelo IPS sem ser inspecionado. Normalmente utilizado com a rede está com problemas. O bypass de hardware só é possível com a adição de um módulo adicional ao IPS. Com este módulo, mesmo que o hardware falhe o tráfego continua fluindo pelo appliance. Para saber quais modelos de IPS suportam a adição deste módulo, acesse o site da Cisco. Passive Operating System Finger Print (POSFP) Feature dos IPSs Cisco que identifica os sistemas operacionais que estão na rede. Após saber que SO é utilizado o IPS pode dar mais ou menos importância a um ataque. Para isso ele aumenta ou diminui o Risk Rating. Vem habilitado por padrão e além de aprender automaticamente, você pode também mapear manualmente IPs e Sistemas Operacionais. Blocking Funcionalidade que permite ao IPS interagir (enviar comando) para outro device, e assim impedir um ataque. A aplicação que efetivamente realiza o bloqueio chama-se ARC (Attack Response Controller). O IPS pode interagir com roteadores, PIX, 6500 e com o ASA. No caso dos roteadores e do 6500 o IPS envia uma
Conceitos sobre IPS/IDS (Parte 1)
Atendendo a grande procura que tivemos para o tópico sobre a configuração inicial de um IPS, resolvi postar um resumo que fiz na época que estava estudando para a prova de IPS. Este conteúdo foi escrito com base no material de estudo que utilizei (para IPS appliance), mas em linhas gerais é a mesma coisa para os módulos IPS (para roteador e ASA) e para o IOS IPS. Seguindo a linha do blog, este conteúdo é focado em dispositivos Cisco, mas parte da teoria pode servir para equipamentos de outros fabricantes. IPS/IDS Como sabemos o IDS – Intrusion Detection System é uma ferramenta de detecção de atividades suspeitas na rede. O IDS apenas monitora e loga as informações, permitindo que o administrador decida como parar o ataque. Trabalha em modo promíscuo, recebendo uma cópia do tráfego. O IPS – Intrusion Prevention System é uma ferramenta para detecção e prevenção de atividades suspeitas na rede. É a evolução do IDS e pode ser configurado para que ao perceber a “invasão” uma ação seja tomada (gerar uma alerta, bloquear o atacante, dropar o pacote…). Deve ficar inline na rede. Hoje normalmente o mesmo equipamento pode atuar como IPS ou IDS, dependendo apenas da configuração aplicada e como ele esta conectado a rede. Observe na figura acima: O IPS (com o destaque verde) está “na linha” por onde o tráfego passa (tem duas interfaces conectadas). Já o IDS (destacado em vermelho) tem apenas uma interface conectada, e o tráfego deve ser espelhado para ele. Sensor No caso da Cisco, quando falamos IPS estamos nos referindo ao hardware, normalmente. Quem faz a verificação do tráfego, de fato, é o sensor. Podemos imaginar o sensor como a parte do software que faz a análise dos pacotes, com base nas assinaturas. Ele é composto por uma instancia de assinaturas (sig), uma instancia de regras (rules) e uma instancia do Anomaly Detection (ad). Assim todos eles, bem como as interfaces, devem ser associados ao sensor. Por padrão o IPS vem com o vs0 (virtual sensor 0), e este não pode ser deletado. A ele está associado o sig0 (instancia de assinatura 0), rules0 (instancia de regras 0) e ad0 (instancia 0 do Anomaly Detection). O processamento do tráfego é virtualizado, de forma que você pode ter no mesmo IPS vários virtuais sensores. Podemos ter, por exemplo, o vs0 onde temos a interfaces G0/1 associada e o sensor trabalhando em modo promíscuo, e ter também o vs1, onde associamos as interfaces G0/2 e G0/3 para trabalhar em modo inline. Com isso teríamos um IPS monitorando duas partes da rede de forma independente, como se fossem dois IPSs. Até 4 virtuais sensores podem ser criados em um IPS. Assinaturas As assinaturas são um grupo de regras que o sensor utiliza para identificar uma atividade invasiva. O sensor verifica os pacotes utilizando as assinaturas, e assim identifica os ataques conhecidos. Para cada novo ataque é criada uma nova assinatura. Por padrão as assinaturas mais importantes (ou as que causam mais danos) vêm habilitadas, e o restante pode ser habilitado ou não, dependendo da necessidade. As assinaturas que vêm configuradas no IPS são chamadas assinaturas default. Também temos as custom signatures, que são as assinaturas criadas pelo administrador e as Tuned Signatures, que são as assinaturas default editadas. As assinaturas padrões (que são mais de 1500) não podem ser deletadas ou renomeadas e para criar uma Custom Signature é possível utilizar o wizard. As assinaturas podem ser configuradas para tomarem as seguintes ações: dropar o pacote, produzir um alerta, logar o IP de quem está atacando, da vítima ou ambos, bloquear a conexão ou um host especificamente, fazer notificação via SNMP ou ainda terminar a sessão TCP entre o atacante e o atacado. No entanto, algumas dessas ações podem ser configuradas apenas quando o sensor está atuando em modo inline (IPS). Signature Engine Um Signature Engine é um grupo de assinaturas, feito de acordo com as características das assinaturas. Atomic, Flood, Meta, Normalizar, Service, State, String, Sweep, Traffic, Troajan e AIC são os Signature Engines existentes. Tipos de interfaces Temos dois tipos de interfaces em um IPS: Command and Control e Monitoring Interfaces. Cada IPS tem apenas uma interface do tipo Command and Control. Esta interface deve ser endereçada e é utilizada para gerenciar o equipamento. Vem habilitada por padrão e é dedicada para gerencia. As Monitoring Interface são as interfaces utilizadas para analisar o tráfego. Vêm desabilitadas por padrão e podem ser configuradas para trabalhar em quatro modos: Promíscuos, Inline Interface, Inline VLAN Pair e VLAN Group. Estas interfaces devem ser associadas a um Virtual Sensor. Tipos de contas Existem 4 tipos de contas no IPS. Quando um usuário é criado ele deve ser associado a um destes tipos de conta. Administrator: Nível máximo de privilégio. Um usuário deste tipo tem acesso total a todas as áreas de configuração e monitoração. Pode visualizar e alterar as configurações. Operator: Nível intermediário de privilégio. Pode fazer o tunning das assinaturas, gerenciar dispositivos bloqueados e mudar sua própria senha. Pode também visualizar as configurações e eventos. Viewer: Conta com o menor nível de privilégio. Pode ver a configuração e eventos gerados, mas não tem direito a alterar nada. Service: Conta especial, que permite acessar o sistema operacional (Linux) do IPS. É o acesso root. Não devem ser feitas alterações no IPS através dessa conta sem a supervisão do TAC. Apenas um usuário service pode existir por vez, e é normalmente utilizado para troubleshooting. Em breve postarei a parte 2. Até a próxima.
CCIE R&S 4.0
A partir do dia 18 de outubro de 2009 estará disponível a versão 4.0 do exame para CCIE R&S. Assim que estiver estudando para fazer a prova a partir desta data, deve se preparar com o novo material. Ocorrerão mudanças na prova teórica e prática. Quem já fez a prova escrita na versão 3.0 poderá fazer o LAB 4.0 sem a necessidade de refazer a prova escrita. A prova teórica (ou escrita) conta com 100 questões de múltipla escolha e duas horas de duração. Já no exame prático (ou LAB) o candidato deve configurar os equipamentos de acordo com a topologia solicitada e posteriormente fazer o throubleshooting no cenário. Para isso o candidato tem 8 horas. A prova prática custa $ 350 dólares, e o exame prático custa $ 1.400 dólares. Além das provas também serão alterados os equipamentos e softwares utilizados na certificação, confira abaixo: Equipamentos do LAB Versão 3.0 * 3725 series routers – IOS 12.4 mainline – Advanced Enterprise Services * 3825 series routers – IOS 12.4 mainline – Advanced Enterprise Services * Catalyst 3550 series switches running IOS version 12.2 – IP Services * Catalyst 3560 Series switches running IOS version 12.2 – Advanced IP Service Equipamentos do LAB Versão 4.0 * 1841 series routers – IOS 12.4(T) – Advanced Enterprise Services * 3825 series routers – IOS 12.4(T) – Advanced Enterprise Services * Catalyst 3560 Series switches running IOS version 12.2 – Advanced IP Services Os tópicos abordados na nova versão da prova, bem como outras informações podem ser encontradas neste link. Até a próxima.
