Assim como nos firewalls, a partir da versão 12.4(20)T, é possível criar nos rotadores Cisco grupos com hosts ou serviços para serem utilizados nas access-list. Por exemplo, podemos criar um grupo com os servidores FTP e um grupo com os serviços que estes servidores podem acessar. Depois basta utilizá-los nas ACLs. A grande vantagem dos object groups é que serviços e/ou host podem ser adicionados ou removidos do grupo sem a necessidade de editar a ACL inteira. Para utilização os object groups temos 3 restrições: – Suportam apenas IPv4 – Podem ser aplicadas apenas em interfaces layer 3 (interfaces roteadas e interfaces VLANs) – Os object groups podem ser aplicadas apenas em ACL estendida e nomeada Exemplo: BrainworkGW01#conf t ! Grupo com os servidores FTP (FTP_SERVER é o nome do grupo) ! Podemos também definir uma rede ou subnet, ao invés de hosts apenas BrainworkGW01(config)#object-group network FTP_SERVER BrainworkGW01(config-network-group)# host 209.165.200.23 BrainworkGW01(config-network-group)# host 209.165.200.24 ! Grupo com os serviços/portas utilizados pelos servidores FTP(FTP_SERVICE é o nome do grupo) BrainworkGW01(config)#object-group service FTP_SERVICE BrainworkGW01(config-service-group)# tcp eq ftp BrainworkGW01(config-service-group)# icmp echo BrainworkGW01(config-service-group)# tcp smtp BrainworkGW01(config-service-group)# tcp telnet BrainworkGW01(config-service-group)# udp domain ! ACL extended e named (obrigatório) onde utilizaremos os grupos (ACL_FTP é o nome da access-list) BrainworkGW01(config)#ip access-list extended ACL_FTP ! Grupos criados anteriormente são utilizados na ACL, onde permitimos que os servidores FTP ! do grupo FTP_SERVER, acessem os serviços definidos no grupo FTP_SERVICE BrainworkGW01(config-ext-nacl)#permit object-group FTP_SERVICE object-group FTP_SERVER any ! Aplique a ACL na interface desejada (onde estão os servidores FTP, neste exemplo) BrainworkGW01(config)#int f0/0 BrainworkGW01(config-if)#ip access-group ACL_FTP in Mais detalhes sobre os object groups podem ser encontrados no site da Cisco. Até a próxima.
I am Back
FELIZ 2009! Até a próxima.
Switch com PoE
Nenhuma novidade se tratando de switches que alimentam outros dispositivos via PoE – Power over Ethernet. Mas e um switch alimentado via PoE?? Após access-points, telefones e outros dispositivos, a Cisco lançou um switch que é alimentado via cabo UTP. O equipamento da família 2960 (2960PD-8TT-L especificamente) conta com 8 portas 10/100 e uma porta 10/100/100 que “recebe” PoE (802.3af). Assim o equipamento pode funcionar sem ser conectado a uma tomada elétrica. The Cisco Catalyst 2960-8TT-L has eight 10/100 ports with one 10/100/1000 PoE input port. This switch does not need a power supply and receives power over the uplink from an upstream PoE device, providing deployment flexibility and availability. It is ideal for wiring and space-constraint applications. The power adaptor (PWR-A=) and power cord are optional and may be ordered separately. Achei interessante. Até a próxima. Fonte: http://www.cisco.com
Segurança no acesso aos roteadores
Três medidas muito simples aumentam significativamente a segurança no acesso aos roteadores. Além das configurações padrões de usuário, senha, senha de enable e access-lists que restringem o acesso a partir de determinadas máquinas, devemos configurar também: 1°) Configurar na lines, console e aux, o timeout para a sessão: Esta medida impede que um usuário aproveite-se de uma sessão previamente estabelecida e não finalizada. Exemplo: Brainwork01#conf t Brainwork01(config)#line vty 0 4 Brainwork01(config-line)#exec-timeout 5 Brainwork01(config-line)#end Brainwork01#wr Com o comando exec-timeout 5, a conexão será encerrada após 5 minutos de inatividade. 2°) Bloquear o login após 3 tentativas falhas: Podemos configurar o roteador para que o acesso fique indisponível por um período determinado, caso o usuário erre o login várias vezes. Exemplo: Brainwork01#conf t Brainwork01(config)#login block-for 300 attempts 3 within 60 Brainwork01(config)#exit Brainwork01#wr No exemplo acima, caso o usuário erre 3 vezes a senha em 60 segundos, mesmo usuário ou usuários diferentes, o acesso ao roteador fica bloqueado por 300 segundos, para todos os usuários. Para isso o roteador cria automaticamente uma access-lists (exibida abaixo), que é aplicada temporáriamente na line e auxiliar. Brainwork01#show access-list Extended IP access list sl_def_acl 10 deny tcp any any eq telnet log 20 deny tcp any any eq www log 30 deny tcp any any eq 22 log 40 permit ip any any log Brainwork01# 3°) Habilitar o log: Por último, mas não menos importante, devemos habilitar o log para registrar a ocorrência de falhas no login. Exemplo: Brainwork01#conf t Brainwork01(config)#security authentication failure rate 3 log Brainwork01(config)#exit Brainwork01#wr Assim, se o usuário errar 3 vezes o login em um minuto, será gerado um log como exibido abaixo, que será armazenado no buffer do roteador ou enviado para o log server, dependendo que como o equipamento esteja configurado. *Dec 16 16:34:04.328: %LOGIN-3-TOOMANY_AUTHFAILS: Too many Login Authentication failures have occurred in the last one minute on the line 323. Até a próxima.
Nokia não fabricará mais hardware para Segurança
A Nokia, principal fabricante de hardware para os firewalls CheckPoint, anunciou recentemente que venderá sua unidade de negócios que cuida da fabricação de appliances de segurança. Com isso a Cisco, principal concorrente da CheckPoint no mercado de firewall, ganha uma oportunidade para conseguir mais uma fatia deste mercado. E para isso lançou uma campanha onde o cliente poderá ter até 18% de desconto na troca de seus equipamentos Nokia/Checkpoint por um hardware Cisco. Os equipamentos elegíveis para a campanha podem ser encontrados neste link. Até a próxima.
Cisco IOS Auto Upgrade software
Os roteadores Cisco das séries 1800, 2800 e 3800, a partir do IOS 12.4(15)T contam com a funcionalidade Cisco IOS Auto Upgrade. Esta feature permite ao administrador programar a atualização do IOS destes equipamentos. Como pré-requisito é necessário que equipamento tenha memória (flash) disponível e conectividade com o servidor de onde o software será baixado. Caso o usuário queira baixar o software direto da Cisco, também é necessário CCO válido no site da empresa. Exemplo: BrainworkRT01# upgrade automatic getversion tftp://10.10.11.13/c2801-advipservicesk9-mz.124-9.T.bin in 00:10 BrainworkRT01# Com este comando o roteador irá fazer o download do IOS especificado no tftp server e reiniciará em 10 minutos. Outras opções do Auto Upgrade podem ser encontradas neste documento. Até a próxima.
