O NBAR – Network Based Application Recognition, é uma feature de roteadores Cisco que permite identificar e classificar o tráfego da rede, para posterior tratamento. Uma das possíveis utilizações desta feature é a identificação de URLs. Podemos, por exemplo, evitar que os usuários acessem o Youtube. Para isso devemos classificar o tráfego HTTP, com base na URL, via class-map. Depois com o policy-map definimos a ação (drop, neste caso). Por fim aplicamos a policy na interface de saída para Internet. Exemplo: RtBrainwork01#conf t RtBrainwork01(config)#class-map match-all URL_STOP RtBrainwork01(config-cmap)#match protocol http host "*youtube.com*" RtBrainwork01(config-cmap)#exit RtBrainwork01(config)#policy-map URL_POLICY RtBrainwork01(config-pmap)#class URL_STOP RtBrainwork01(config-pmap-c)#drop RtBrainwork01(config-pmap-c)exit RtBrainwork01(config-pmap)#exit RtBrainwork01(config)#interface FastEthernet0/0 RtBrainwork01(config)#service-policy output URL_POLICY RtBrainwork01(config-if)end RtBrainwork01#wr Outras informações sobre o NBAR podem ser encontradas aqui. Até a próxima.
Show run sem demora!
Quando a configuração de um roteador Cisco vai aumentando (principalmente configurações das interfaces) alguns comandos passam a demorar mais para serem executados, e o show run (show running-config) é um deles. Isto ocorre pela forma como o IOS trabalha, armazenando e mantendo componentes, processos e informações distribuídos. Para visualizarmos as informações apresentadas no show run, por exemplo, o processo nonvolatile generation (NVGEN) coleta as informações necessária em real-time, no sistema todo. Depois gera o arquivo que é exibido. Para melhorar o desempenho dos comandos que processam configurações do running system, a Cisco adicionou no IOS o Configuration Generation Performance Enhancement. Esta feature dedica uma parte da memória para cache das configurações das interfaces. Para habilitar esta opção basta digitar no modo de configuração global parser config cache interface. Assim comandos como copy system: running-config, show running-config e write terminal serão executados mais rápidos. Para mais informações acesse este link. Até a próxima.
Usando TCL e Macro para realizar PINGs
O teste de ICMP é sem dúvida o teste de conectividade mais utilizado. Será que o gateway está funcionando? Será que o link está OK? Basta dar um Ping para ter as respostas. No entanto, as vezes é necessário pingar vários destinos e isso torna-se uma tarefa cansativa. Para facilitar nossas vidas os roteadores e switches Cisco possuem mecanismos de automação de processos. Nos roteadores temos o TCL – Tool Control Language e nos switches temos a opção Macro. Ping para vários destinos a partir do roteador: Digite no bloco de notas a expressão abaixo, colocando os IPs que você deseja verificar. foreach VAR { 200.221.11.100 200.221.11.101 200.221.11.102 200.221.11.103 } { puts [exec “ping $VAR”] } Entre no roteador e no modo privilegiado digite tclsh. Depois cole o script que você gerou no bloco de notas. Pronto! O roteador executará os pings na seqüencia. Exemplo: Router01#tclsh Router01(tcl)#foreach VAR { +>200.221.11.100 +>200.221.11.101 +>200.221.11.102 +>200.221.11.103 +>} { puts [exec “ping $VAR”] } Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.221.11.100, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/16/56 ms Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.221.11.101, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/23/52 ms Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.221.11.102, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/28/72 ms Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.221.11.103, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 56/86/128 ms Router01(tcl)# Ping para vários destinos a partir do switch: A idéia é a mesma, mas nos switches (testei em equipamentos L3) utilizamos a Macro, ao invés do TCL. No modo de configuração global crie a Macro: macro name PING1 do ping 200.221.11.100 do ping 200.221.11.101 do ping 200.221.11.102 do ping 200.221.11.103 @ Depois, basta executar a Macro: macro global apply PING1 Exemplo: Switch01#conf t Enter configuration commands, one per line. End with CNTL/Z. Switch01(config)#macro name PING1 Enter macro commands one per line. End with the character ‘@’. do ping 200.221.11.100 do ping 200.221.11.101 do ping 200.221.11.102 do ping 200.221.11.103 @ Switch01(config)#macro global apply PING1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.221.11.100, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/11/25 ms Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.221.11.101, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/11/26 ms Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.221.11.102, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/10/17 ms Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.221.11.103, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 9/15/25 ms Switch01(config)# Até a próxima.
Cisco GET VPN
A Cisco Systems lançou em 2006 uma nova modalidade de VPN do tipo any-to-any, o Group Encrypted Transport VPN (ou GET VPN). O GET VPN é uma excelente alternativa em cenários onde são utilizadas VPN IPSEC point-to-point entre várias localidades. Cenário com IPSEC VPN point-to-point e GET VPN No GET VPN um Key Server Primário é configurado (normalmente um roteador da matriz) com as chaves e políticas da VPN, e os demais roteadores são configurados como Group Member. Também pode-se ter vários Key Servers Secundários. Os roteadores membros do grupo se registram no Key Server, são autenticados e então recebem as políticas referentes a VPN. O GET VPN utiliza o protocolo GDOI – Group Domain of Interpretation, do IETF, para este processo. O Key Server Primário sincroniza as politicas e chaves da VPN com os Keys Servers Secundários, caso existam, permitindo a redundância e alta disponibilidade. E de tempos em tempos o Key Server Primário refaz o IPSEC Security Association entre os roteadores do grupo. Esta nova VPN traz inúmeras vantagens em relação aos outros modelos de VPN any-to-any. Com o GET VPN os IPs de origem e destino originais são preservados, melhorando assim o roteamento e evitando o overlay routing. Além disso podemos trabalhar com multicast e QoS avançado na WAN através da VPN, de forma semelhante a uma LAN, sem a necessidade de utilizar túneis (GRE, por exemplo). IPs originais são conservados no GET VPN Além disso o GET é altamente escalável e a administração é mais simples, comparado com os demais modelos de VPN any-to-any, pois as politicas e chaves ficam centralizadas. O GET suporta criptografia DES, 3DES e AES e pode ser utilizado em conjunto com o DMVPN, melhorando o tempo de resposta para tráfego sensível, como voz e vídeo. Fácil para gerenciar e extensão da capacidade de QoS e multicast na WAN, com GET VPN Equipamentos: Está feature está disponível em roteadores da série 800 até roteadores da série 7200 e no 7301 (Group Member). Para Key Server podem ser utilizados roteadores a partir do 1841 até o 7301. Nos dois casos (Group Member ou Key Server) é necessário IOS Advanced Security (pelo menos), a partir da versão 12.4(11)T. No entanto é recomendada a utilização a partir da versão 12.4(15)T. O GET VPN também pode ser gerenciado pelo CSM – Cisco Security Manager, a partir da versão 3.1. Até a próxima. Fonte: www.cisco.com/go/getvpn
WiMax em São Paulo
Está em teste, desde o dia 24 de outubro, nos bairros Pinheiro e Jardins, uma rede WiMax da Telefônica em parceria com Motorola e Intel. Nesta fase, que deverá durar 3 meses, 150 usuários receberão links de 2 Mbps, e para cobrir a área deseja foram instaladas 3 ERBs (Estações Rádio-Base). Este piloto deverá se repetir em outras cidades, e caso se confirme o sucesso dos testes, a Telefônica passará a oferecer o serviço em São Paulo. Antes ainda a Anatel deverá homologar os equipamentos da Motorola. A Embratel já oferece o serviço de WiMax em São Paulo, e a Brasil Telecom também possui um projeto neste sentido. Até a próxima. Fonte: IDG
Combatendo o Phishing
Bons tempos aqueles onde as ameaças virtuais eram apenas os vírus… Não é de hoje que outras ameaças atrapalham o bom funcionamento das organizações, e o Phishing é uma delas. O Phishing é um método onde um site ou email aparenta ser de uma pessoal/organização confiável para obter informações confidenciais (como senhas), ou mesmo o controle do PC, para posteriormente aplicar o golpe. Normalmente o site/email falso é bem redigido e de “boa aparência” levando o usuário a clicar em um link. A partir daí o mecanismo, previamente preparado para o golpe, entra em ação. Este tipo de ataque tem sido difícil de se combater, e segundo o APWG o número de sites com códigos maliciosos aumentou mais de 3 vezes entre 2007 e 2008. Mas é possível tomarmos algumas medidas para minimizar os riscos. 1) Engenharia Social: Talvez o melhor antídoto para este tipo de ataque seja a educação dos usuários. Todos devem ter consciência que ao abrir emails e sites de origens desconhecidas podem colocar em risco suas informações pessoais e a rede da empresa. 2) Filtro de URL e email: Os filtros de URL e email podem evitar que boa parte das ameaças cheguem ao usuário final. Além de proteger o desktop, estas ferramentas preservam a banda, já que boa parte do conteúdo é bloqueado já no perímetro da rede. Existem hoje soluções para empresas de todos os tamanhos. Por exemplo: uma pequena organização pode utilizar o Trend Micro ProtectLink Gateway Security, que roda em alguns roteador Linksys by Cisco. 3) IPS: Um IPS – Intrusion Prevention System, monitora a rede em busca de atividades suspeitas, e pode agir antes que a ameaça se espalhe. o IPS pode identificar, por exemplo, um computador que esteja abrindo muitas conexões por segundo, ou enviando email para centenas de destinatários. Como exemplo podemos citar o módulo AIP-SSM que é instalado no Cisco ASA. 4) Personal IPS/Firewall: Também ajuda no combate ao Phishing proteções instalada no próprio desktop, pois é possível que mesmo com os cuidados citados acima algumas URLs maliciosas cheguem até o usuário final. Os browsers mais novos (IE 7, Firefox 2.0 e Chrome) checam as páginas através de blacklists e avisam o usuário sobre os riscos de continuar navegando, mais isto não é suficiente. Os browsers não conseguem fazer a verificação do tráfego criptografado, como um IPS, entre outras limitações. Existem centenas de opções também de personal IPSs, e um exemplo é o CSA – Cisco Security Agent. Essa estratégia de segurança pode não evitar 100% dos ataques, mas com certeza minimizará os risco de forma que nenhuma outra ação isolada pode fazer. Até a próxima. Fonte: Phishing: How to Keep Your Business from Biting
