Em uma rede broadcast (multi-access) a formação de adjacência entre roteadores link-state iria resultar em um grande número de estados de vizinhança baseado na formula N*(N -1) /2, onde N representa o número de nós conectados. Se incluíssemos as atualizações de sincronismo e confiança desses vizinhos adjacentes, isso tornaria o processo bastante complexo. Portanto, para administrar o sincronismo do banco de dados de uma forma mais suave e economizar recursos, o IS-IS elege um pseudonode (PSN) e o roteador DIS (designated intermediate system) que atua em nome do pseudonode, em redes broadcast. O processo é bastante similar aos roteadores DR em uma rede OSPF.

A função do DIS é manter o sincronismo do banco de dados entre todos os roteadores participantes do domínio multi-access. O Roteador DIS envia periodicamente mensagens CSNP (complete sequence network packets) para todos os roteadores participantes.

IS-IS Pseudonode

Como no exemplo da imagem, os roteadores em um ambiente broadcast elegem um roteador designado para ter a função de pseudonode. A eleição do DIS é baseada na prioridade da interface do roteador conectado no ambiente multiacesso, com o maior endereço MAC utilizado no desempate da prioridade.

A informação da prioridade é transportada nos hellos enviados na LAN.

O DIS facilita o sincronismo da tabela link-state do IS-IS entre os roteadores, enviando mensagens sumarizadas em multicast, de todos LSPs. O DIS também gera um PSN LSP que lista todos os vizinhos conhecidos no link broadcast. Todos os nós da rede multiacesso tornam-se adjacentes entre si e com o PSN, o roteador atual atuando como DIS.

A eleição do DIS é preemptiva e em qualquer momento, um roteador qualificado pode tomar a função de DIS.

Exemplo de configuração em roteadores Cisco IOS

Utilizando o diagrama acima, elegemos um dos roteadores como DIS, alterando a prioridade da interface para 127:

# Roteador1
!
interface Loopback1
 ip address 192.168.1.1 255.255.255.0
 ip router isis
!
interface FastEthernet0/0
 ip address 192.168.0.1 255.255.255.0
 ip router isis
 isis priority 127
!
router isis
 net 40.0001.0000.0000.0001.00
!

O comando show isis database lista a tabela com todos os LSPs. Em nosso caso, todos os roteadores estão na mesma area para que todos tenham os mesmos LSPs em sua tabela. Percebam que cada roteador gera um LSP. O DIS gera um LSP para si e para o pseudonode.

Roteador3#show isis database
IS-IS Level-1 Link State Database:
LSPID                 LSP Seq Num  LSP Checksum  LSP Holdtime      ATT/P/OL
Roteador1.00-00       0x00000007   0xCF71        406               0/0/0
Roteador1.02-00       0x00000007   0x61C9        917               0/0/0
Roteador2.00-00       0x00000006   0x44F8        495               0/0/0
Roteador3.00-00     * 0x00000008  0xB283       1063              0/0/0
Roteador4.00-00       0x00000008   0x250C        1122              0/0/0

É possível também visualizar através da adjacência na interface:

Roteador2# show clns interface fa0/0
FastEthernet0/0 is up, line protocol is up
  Routing Protocol: IS-IS
    Circuit Type: level-1-2
    Interface number 0x1, local circuit ID 0x2
    Level-1 Metric: 10, Priority: 64, Circuit ID: Roteador1.02
    DR ID: Roteador1.02
    Level-1 IPv6 Metric: 10
    Number of active level-1 adjacencies: 3
    Level-2 Metric: 10, Priority: 64, Circuit ID: Roteador1.02
    DR ID: Roteador1.02
    Level-2 IPv6 Metric: 10
    Number of active level-2 adjacencies: 3
    Next IS-IS LAN Level-1 Hello in 5 seconds
    Next IS-IS LAN Level-2 Hello in 1 seconds

Ou através do output do comando show isis dabase [roteador PSN] detail:

Roteador2#show isis database  Roteador1.02-00 detail
IS-IS Level-1 LSP Roteador1.02-00
LSPID                 LSP Seq Num  LSP Checksum  LSP Holdtime      ATT/P/OL

Roteador1.02-00       0x00000008   0x5FCA        677               0/0/0
  Metric: 0          IS Roteador1.00
  Metric: 0          IS Roteador4.00
  Metric: 0          IS Roteador3.00
  Metric: 0          IS Roteador2.00

Até logo!

Referências

http://www.cisco.com/c/en/us/support/docs/ip/integrated-intermediate-system-to-intermediate-system-is-is/49627-DIS-LSP-1.html

Building Scalable Cisco Internetworks – 3ª edição – CiscoPress – Diane Teare

Comments Nenhum comentário »

Em qual modo o Access Point pode operar?

Algumas pessoas enxergam os Access Points apenas como um ponto de acesso à internet, porém dependendo do fabricante e do modelo, há atribuições aos AP’s com algumas funcionalidades que vão além disso.  Eles podem exercer outras funções baseando-se no modo em que ele se encontra.

Para que possamos nos familiarizar mais com esse assunto vamos ver brevemente um pouco de cada modo de operação dos Access Points.

Os modos são:

  • Local
  • Bridge
  • Monitor
  • Sniffer
  • Rogue Detector
  • Hybrid REAP

Obs: A nomenclatura do modo pode variar de acordo com o fabricante.

Local Mode
O Local Mode provavelmente é modo mais utilizado, por ser o modo padrão.  É necessária a existência de um WLC, onde será criado dois túneis CAPWAP ou LWAPP (dependendo da versão IOS), entre o Access Point e o WLC. Um desses túneis será utilizado para gestão e o outro para o tráfego de dados.

Com o propósito de analisar o trafego, o Access Point realiza uma inspeção em todos os canais por 180 segundos, nessa inspeção ele analisa cada canal por 60ms, após esse processo ele volta para o canal que foi lhe atribuído.

Bridge Mode
No modo Bridge o Access Point opera como uma ponte, replicando o sinal. Dependendo do modelo neste modo o Access Point pode ou não permitir o acesso de estações, como também podem ser utilizados links point-to-point ou point-to-multpoint.

Afim de determinar o melhor caminho o Access Point utiliza o protocolo “Adaptive Wireless Path Protocol” (AWPP). A Cisco chama isto como iMesh para acesss points internos e Mesh para Access Point externos.

Neste artigo vocês encontraram mais informações sobre o modo bridge:
http://www.rotadefault.com.br/workgroup-bridges/

Monitor Mode
No modo Monitor o Access Point opera no modo passivo, sendo assim, ele não encaminhará trafego por seus rádios e também não irá permitir que estações client se associem à ele, o proposito desse modo é identificar Access Point intrusos ou IDS matches, também pode ser utilizado para troubleshooting ou até mesmo site surveys .

Sniffer Mode
No modo sniffer o Access Point opera  passivamente no ambiente como um servidor OmniPeak, Wireshark, Airmagnet… para captura e analise dos dados é estritamente utilizado para fins de solução de problemas. O Access Point envia os dados para um dispositivo especifico para que os dados possam ser analisados. Esse modo é utilizados para coletar “time stamps”, qualidade do sinal, tamanho dos pacotes, entre outras funcionalidades é um ótimo modo para troubleshooting.

Rogue Detector Mode
No modo Rogue Detector, o Access Point desativa os rádios, não permite a associação de estações client e observa as mensagens ARP na rede cabeada. Ele recebe do WLC uma lista com os endereços MAC e fica comparando esses endereços com as mensagens ARPs. Quando um endereço MAC diferente é encontrado, o Access Point informa o WLC.

Hybrid REAP ou H-REAP Mode
O modo H-Reap foi desenvolvido para ser utilizados em links WAN quando você possui um WLC em outro site, porém para que o Access Point seja utilizado como H-REAP no link WA,N algumas particularidades devem ser seguidas, como:

  • O link não poderá ser inferior à 128kbps;
  • A latência de ida não poderá ser superior à 100ms.

Neste modo, o Access Point precisa se comunicar com o WLC apenas por um curto período de tempo durante a fase inicial, após isso ele pode operar de forma independente porém com algumas funcionalidades reduzidas. Hoje em dia o H-REAP ganhou novas funcionalidades e passou a ser chamado de Flexconnect.

Por fim, através da imagem abaixo é possível saber como alterar o modo de operação do Access Point:

Comments Nenhum comentário »

O Session Initiation Protocol (SIP) é um protocolo de sinalização de iniciação, modificação e terminação de chamadas telefônicas.  As sessões multimedia podem ser tanto audio ou video entre duas ou mais partes, assim como sessões de chat, jogos, etc. O SIP é um protcolo baseado em texto muito similar ao HTTP e SMTP.

O SIP foi projetado para interoperar com aplicações de Internet existentes. Ele define números de telefones como URLs de forma que é possível iniciar uma chamada apenas com um clique em um link. Por exemplo, os número telefones SIP são representados como URLs que utilizam o esquema SIP, como, sip:diego@rotadefault.com.br para o usuário Diego no host especificado pelo nome DNS rotadefault.com.br. As URLs do SIP também podem conter endereços em IPv4, IPv6 ou número de telefones reais.

O protocolo pode estabelecer sessões de duas partes (ligações telefônicas comuns), sessões de várias partes (conferência) e sessões  multicast (com um transmissor e muitos receptores). As sessões, como citado acima, podem conter audio, video  e dados. O SIP cuida apenas da configuração, do gerenciamento e do encerramento das sessões. O protocolo pode funcionar sobre UDP ou TCP.

SIP Network Elements

Uma rede SIP contém geralmente os seguintes elementos de rede:

User agent: O user agent (UA) é uma função lógica na rede SIP que inicia ou responde a uma transação SIP. O UA pode atuar tanto como cliente ou servidor em uma transação, podendo atuar ou não atuar diretamente com um usuário humano. O user agent é stateful e mantém o estado do diálogo ou da sessão.

– Proxy: O proxy é uma entidade intermediaria em uma rede SIP e é responsável por encaminhar requisições SIP para o UA responsável ou para outro proxy. Um proxy primariamente prove a função de roteamento na rede SIP podendo aplicar políticas na rede como autenticação de um usuário antes de prover um serviço. A comunicação do proxy pode ser stateful ou stateless.

– Redirect server: O redirect server recebe requisições e determina um servidor next-hop, retornando ao UA cliente o endereço do servidor.

– Registrar server: O registrar server é um servidor UA que aceita requisições SIP REGISTER e atualiza as informações em algum servidor de localização.

SIP Messages

As mensagens SIP podem ser divididas como (requisições e respostas) SIP request e SIP response. O protocolo SIP funciona em uma arquitetura cliente/servidor e suas operações envolvem apenas métodos de requisição e respostas, como observado também no HTTP e RTSP.

Os métodos de requisição do SIP são os seguintes:

INVITE: O método de INVITE indica que o usuário ou serviço é convidado a participar de uma sessão. É também utilizado para modificar as características de uma sessão previamente estabelecida. Uma resposta bem-sucedida (200 OK response) a um convite indica o “aceite” da pessoa chamada a participar da sessão.

ACK: Uma requisição ACK confirma que o UA recebeu a resposta ao INVITE request. O ACK é utilizado somente em requisições INVITE.

OPTIONS: Um cliente UA utiliza uma requisição OPTIONS para perguntar ao servidor UA sobre os seus métodos e extensões. O servidor pode responder a esta pergunta com o conjunto de método e extensões suportado pelo usuário e por ele mesmo.

BYE: Um utiliza mensagens BYE para liberar recursos associados a uma ligação.

CANCEL: A requisição CANCEL permite ao cliente UAC e os servidores de rede para cancelar uma requisição pendente ou em andamento.

REGISTER: Um cliente utiliza uma requisição REGISTER para registrar o “alias” (apelido) do seu endereço em algum servidor SIP.

Referências

TANENBAUM  A. S., 2003, “Computer Networks”, 4 ed, Prentice Hall
http://www.gta.ufrj.br/grad/11_1/sip/OqueSIP.html
https://eng.registro.br/inoc/SIP_iNOC.pdf

Para ler

http://blog.sippulse.com/entenda-como-funciona-um-dialogo-sip-protocolo-utilizado-em-ligacoes-voip/

 

Comments Nenhum comentário »

Em uma implantação tradicional com AAA utilizando RADIUS, após a autenticação, o Servidor RADIUS apenas assina a autorização como resultado de uma requisição de autenticação.

No entanto, existem muitos casos em que é desejável que hajam alterações sem a exigência do NAS iniciar a troca de mensagens. Por exemplo, pode haver a necessidade de um administrador da rede ser capaz de encerrar a ‘sessão’ de uma porta autenticada com 802.1x, ou então se o usuário modifica o nível de autorização, isto pode exigir que novos atributos de autorização sejam adicionado ou excluído para o usuário.

Para superar essas limitações, vários vendors implementaram comandos RADIUS adicionais a fim de permitir a mensagens não solicitadas, sejam enviada para o NAS. Estes comandos estendidos fornecem suporte para desconectar (disconnect) e mudar a autorização (CoA – Change-of-Authorization).

Com o avanço da tecnologia e o surgimento de novas demandas, o padrão RADIUS CoA (Change of Authorization) permite ao Servidor iniciar a conversação com o equipamento de rede aplicando comandos:  shut/ no shut, alterar a VLAN, ACL, ou então apenas reautenticar o usuário. As vezes um endpoint pode ser roubado, infectado, ter o anti-virus desabilitado ou outro fator que possa afetar a postura. Nesse caso a rede deve ser capaz de interagir à essas mudanças e atualizar o nível de acesso, autorização para esse dispositivo.

RADIUS Coa

Obs: Em casos de integração de soluções que utilizam RADIUS CoA entre diferentes fabricantes, veja qual RFC os mesmos possuem suporte para interoperabilidade.

Referências

https://tools.ietf.org/html/rfc5176
https://tools.ietf.org/html/rfc3576

Comments Nenhum comentário »

Fala galera, compilamos uma lista de comandos que podem servircomo um guia rápido para instalação e configuração de Switches HP Procurve. Utilizei como base o modelo 5406zl (parte dos comandos são aceitos na maioria dos Switches  Procurve); os scripts são simples e bastante úteis!

Controle de usuários e privilégios
password manager user-name admin
New password for manager:  *****
Re-enter the new password for manager:  *****

VLANs
Criando VLANs e atribuindo as VLANs as portas.
vlan 12
name “RH”
untagged A1
tagged A21-A22,Trk1
exit
!
vlan 13
name “ADM”
untagged A2
tagged A21-A22,Trk1
exit

Obs: mais informações sobre configuração de VLANs no HP Procurve acesse: http://www.rotadefault.com.br/configurando-vlans-em-switches-hp-procurve/

SNMP
Community SNMP  RW
snmp-server community “hpnRW” operator unrestricted
Community SNMP RO
snmp-server community “hpnRO” operator

LACP
 Configuração da porta A23 e A24 como Link-Aggregation com o protocolo LACP
trunk A23-A24 trk1 lacp

SPAN
Configuração do espelhamento da porta A1 para a porta A20
mirror 1 port A20
!
interface A1
monitor all both mirror 1
exit

Jumbo Frame
Habilitando o Jumbo Frame na VLAN 2
vlan 2
jumbo
exit

NTP
time daylight-time-rule southern-hemisphere
sntp server priority 1 192.168.20.50
sntp server priority 2 192.168.20.49
sntp unicast
timesync sntp

HP-5406zl(config)# show time
Tue Apr 21 14:02:47 2016

Syslog
Configuração do IP do Servidor syslog 192.168.12.20 para a porta UDP 20514.
logging 192.168.12.20 udp 20514

SSH
Gerando as chaves e habilitando o SSH
crypto key generate ssh rsa
ip ssh

TACACS
Especificação do servidor TACACAS
tacacs-server host 192.168.10.12 key “senha123”
Configurando a autenticação de login e enable via TACACS
aaa authentication ssh login tacacs local
aaa authentication ssh enable tacacs local
Configurando autorização de comandos via TACACS
aaa authorization commands tacacs
Configurando autorização de comandos via TACACS
aaa accounting commands interim-update tacacs
aaa accounting exec start-stop tacacs

Banner
Configurando o Banner com a mensagem de acesso restrito
banner motd % ======== Acesso Restrito =========== %

LLDP
Ativando o LLDP globalmente
lldp run

IP  de Gerenciamento
Configurando o IP para gerenciamento
vlan 1
ip address 192.168.1.254 255.255.255.0

STP
Habilitar o STP
spanning-tree
Configurar o Switch como o root com a prioridade 4096
spanning-tree priority 0
Habilitando o RSTP
spanning-tree force-version rstp-operation
BPDU-filter (a porta para de transmitir BPDUs)
spanning-tree a1 bpdu-filter
BPDU-Protection (desabilita a porta se ela receber um BPDU)
spanning-tree a1 bpdu-protection
PortFast
spanning-tree a1 admin-edge-port

Rota Default
Configurando a rota default
ip route 0.0.0.0 0.0.0.0 [endereço do gateway]

Port Security
Configurando a porta a2 com port-security para aprender apenas 1 endereço MAC
port-security  a2 learn-mode static address-limit 1

DHCP-Snooping
Configurando o port security na porta conectada ao servidor DHCP e Uplink
dhcp-snooping trust a2
dhcp-snooping trust trk1
dhcp-snooping

Se quiser adicionar algum comando a essa lista, escreva nos comentários.

Abração

Comments Nenhum comentário »

entrevista de emprego roteador

Comments Nenhum comentário »

Hoje em dia a comunicação é realizada de forma muito rápida. Um garoto desenvolve uma ferramenta do outro lado do mundo e em poucos segundos o mundo todo já está utilizando. Isso faz com que os administradores de rede e responsáveis pela segurança de aplicações da empresa, estejam (ou deveriam estar) sempre atentos.

exploit_v1

São publicadas diversas notícias incessantemente sobre sistemas quais foram alvo de ataques de hackers, onde empresas tiveram informações confidenciais divulgadas e criminosos ficaram por anos ocultos dentro de empresas coletando dados para os mais diversos fins.

“Mas como EU, especialista em network não percebi isso? Poxa, eu fiz faculdade tenho diversas certificações dos mais variados fabricantes e realizo um check list de segurança periodicamente.”
“Minha empresa investiu milhões em roteadores de primeira linha, switches de datacenter, firewall e proxy appliance dos líderes de mercado, antivírus, sistemas de controle de acesso, politicas restritivas e mesmo assim estou vulnerável!?”

Sim, está!!! A premissa básica para pesquisadores em geral é fazer algo que ninguém ainda o fez -, seja desde a criação de uma ferramenta de alto impacto e utilidade ou até a obtenção de um acesso em sistema tidos como “seguros”. Por isso, por mais que você tenha um ambiente altamente “seguro” sempre existirá alguém com motivação o suficiente para provar o contrario.

Neste mundo existem termos específicos como exploits, 0day e etc. “Mas que raios você está falando? Ainda não entendi nada”. – Bom, ok, vamos entender basicamente quem são esses caras.

Exploit
Na prática, um exploit pode ser um software; uma combinação de código, ferramenta e/ou técnica de exploração para determinada aplicação, serviço, sistema e etc. Sendo capaz de alterar o comportamento do mesmo para o qual foi desenvolvido -, seja ele software ou hardware.

Um atacante pode utilizar um exploit para explorar a vulnerabilidade de segurança sem qualquer acesso prévio ao mesmo. Basicamente percebe-se que um exploit pode ser desenvolvido para fornecer acesso privilegiado a um sistema. No entanto, também é possível o uso para execução de código arbitrário, negação de serviço e dentre outros métodos para o ganho de acesso em baixo nível, assim, obter a escalação de privilégio -, disponibilizando os demais acessos não autorizados.

0day
Muitas vezes, quando um exploit é publicado, a vulnerabilidade é corrigida através de um patch (atualização) e a exploração muitas vezes a torna obsoleta (i.g. versões recentes de software que já estão disponíveis). Esta é a razão pelo qual alguns pesquisadores não divulgam suas descobertas antes que o sistema explorado esteja corrigido. Apesar do termo 0day aparentar ser gritante, ele não é nada mais do que uma vulnerabilidade explorada que ainda não existe um patch para corrigi-lo. É interessante assistir o documentário abaixo para entender como funciona um pouco este mercado de venda de 0days.

Resumo
Hum, legal entendi um pouco sobre esses termos, mas e aí como posso obter mais informações, testar ferramentas, verificar o que há de novo no mercado e estar sempre atualizado para poder validar a segurança da minha empresa? Bom se você não e um profissional de área de segurança da informação este artigo foi apenas para desmistificar um pouco este mundo então o melhor a ser feito é contratar um especialista e/ou uma empresa especializada.

Referências‬‬‬
[1]Zero days – security leaks for sale‬ – https://www.youtube.com/watch?v=4BTTiWkdT8Q
[2] Exploit Database https://www.exploit-db.com
[3] https://cve.mitre.org/ https://cwe.mitre.org/data/   http://seclists.org/fulldisclosure/

Comments Nenhum comentário »

Durante o recebimento de pacotes para acessar outras Redes externa a LAN para comunicação entre máquinas IPv6, o roteador efetuará uma consulta na sua tabela de roteamento IPv6 para verificar se existe alguma rota para o destino. Se a rota existir o pacote será encaminhado, senão, o pacote será descartado.

A maior parte dos parâmetros de configuração de rotas estáticas em IPv6 são idênticos ao IPv4. Como por exemplo, rota estática padrão, sumarizada e flutuante.

Router(config)# ipv6 route [prefixo-ipv6/máscara-ipv6]  [próximo-salto]   

O next-hop (ou próximo salto) pode ser identificado por um endereço IPv6, interface de saída ou ambos.

É possível verificar a tabela de roteamento IPv6 com o comando show ipv6 route.

A rota “ipv6 route ::/0 [próximo-salto]” é uma “rota padrão” e corresponde a qualquer prefixo IPv6 (utilizado quando uma rota específica não é encontrada na tabela de roteamento).

Exemplo de Configuração

Cisco IOS - rota estática IPv6

Endereço do next-hop como link-local

Caso haja a necessidade de configurar o endereço de next-hop como endereço IPv6 link-local, é necessário configurar a interface de saída, como no exemplo abaixo:

Router(config)#ipv6 route 2001:DB8:222::/64 FastEthernet0/0 FE80::C802:71FF:FEFC:0

Testes

Para validar as rotas configuradas resumimos alguns comandos abaixo:

Router# ping ipv6 [endereço do host em IPv6]
! Testes de Ping

Router# traceroute [endereço do host em IPv6]
! Testes de tracerout

Router# show ipv6 route
! Verificar tabela de roteamento IPv6

Router# show ipv6 interface [interface com endereço IPv6 no roteador]
! Verifique todos os endereços IPv6 da interface ( global, link-local, etc)

Até logo.

 

Comments Nenhum comentário »

A utilização de VLANs (Virtual Local Area Network) na rede local permite que uma rede física seja dividida em várias redes lógicas dentro de um Switch.

A partir da utilização de VLANs, uma estação não é capaz de comunicar-se com estações que não pertencem a mesma VLAN (para isto, as boas práticas sugerem a utilização de uma sub-rede por VLAN e que o tráfego passe primeiro por um roteador para chegar a outra rede [ ou utilizando um Switch Multicamada para efetuar o Roteamento]).

Uma vez que há a necessidade de separar o tráfego de cada departamento da sua empresa por VLANs, você deverá atribuir cada porta do switch para a VLAN correspondente. Geralmente a configuração de VLANs em Switches divide as interfaces (portas Ethernet) em 2 grupos: portas de acesso e portas trunk.

  • Para comunicação entre Switches, configure as interfaces como Trunk (tagged).
  • Para comunicação entre Switches e hosts, servidores, impressoras; configure as interfaces como Access (untagged).

No artigo http://www.rotadefault.com.br/vlan-trunk-utilizando-802-1q-dot1q/ escrevemos sobre o formato dos quadros tagueados com 802.1q que é o padrão de VLANs para switches ethernet.

O protocolo IEEE 802.1q permite utilizarmos apenas um cabo na comunicação entre os Switches, marcando cada Frame (quadro) com o ID de cada VLAN.

Obs: Em Switches baseados nos Sistemas Operacionais Comware (3Com/HP/H3C) ou IOS (Cisco), basta apenas digitar o comando referenciando a porta como trunk ou access seguido do ID da VLAN para a porta ser configurada com a VLAN correta.

Configurando VLANs em Switches HP Procurve

Já os Switches HP Procurve, pedem que seja especificado explicitamente dentro da VLAN a porta que fará parte daquela VLAN e se o tráfego será tagged ou untagged (tagueado ou não-tagueado respectivamente).

HP Procurve VLAN

Por exemplo, configurando as portas 1, 2 e 3 em suas respectivas VLANs para a comunicação dos hosts. Em nosso exemplo a configuração dos Switches será idêntica.

ProCurve Switch 2810-48G# conf t
ProCurve Switch 2810-48G(config)# vlan  1
ProCurve Switch 2810-48G(vlan-1)# untagged 1
ProCurve Switch 2810-48G(vlan-1)# exit
#
ProCurve Switch 2810-48G(config)# vlan 2
ProCurve Switch 2810-48G(vlan-2)# untagged 3
! Configurando a porta 3 como untagged na VLAN 2
ProCurve Switch 2810-48G(vlan-2)# exit
#
ProCurve Switch 2810-48G(config)# vlan 60
! Configurando a porta 2 como untagged na VLAN 60
ProCurve Switch 2810-48G(vlan-60)# exit

Configuraremos abaixo a porta de uplink (24) entre os Switches para as VLANs 1, 2 e 60

ProCurve Switch 2810-48G# conf t
ProCurve Switch 2810-48G(config)# vlan  1
ProCurve Switch 2810-48G(vlan-1)# untagged 24
! As boas práticas sugerem o tráfego da VLAN 1 como untagged.
ProCurve Switch 2810-48G(vlan-1)# exit
ProCurve Switch 2810-48G(config)# vlan 2
ProCurve Switch 2810-48G(vlan-2)# tagged 24
ProCurve Switch 2810-48G(vlan-2)# exit
ProCurve Switch 2810-48G(config)# vlan 60
ProCurve Switch 2810-48G(vlan-60)# tagged 24
ProCurve Switch 2810-48G(vlan-60)# exit

Perceba que a porta 24 é configurada como tagged na VLAN 2, e 60. Essa porta será a interface utilizada na comunicação entre os Switches e por isso o tráfego dessas VLANs (e será tagueado).

Verificando as portas atribuídas com o comando show vlan para a VLAN 2:

ProCurve Switch 2810-48G # show vlan 2
 Status and Counters - VLAN Information - VLAN 2
  VLAN ID : 2
  Name : VLAN2
  Status : Port-based
  Voice : No
  Jumbo : No
  Private VLAN : none
  Associated Primary VID : none
  Associated Secondary VIDs : none
  Port Information Mode     Unknown VLAN Status
  ---------------- -------- ------------ ----------
  3               Untagged Learn        Up
  24              Tagged   Learn        Up

Espero ter ajudado.

Referências

http://www.rotadefault.com.br/vlan-trunk-utilizando-802-1q-dot1q/

Comments 1 comentário »

Malware

‘O termo “malware” é proveniente do inglês “malicious software” (“software malicioso mal-intencionado”); é um software destinado a infiltrar-se em um sistema de computador alheio de forma ilícita, com o intuito de causar alguns danos, alterações ou roubo de informações (confidenciais ou não). Ele pode aparecer na forma de código executável, scripts de conteúdo ativo, e outros softwares. “Malware” é um termo geral utilizado para se referir a uma variedade de formas de software hostil ou intruso [1].

O objetivo no desenvolvimento de um malware pode variar para os mais diversos fins, de acordo com a criatividade e desejo do atacante. De certa forma os objetivos e técnicas evoluem de maneira muito rápida assim como também as mudanças políticas e sociais que vem ocorrendo nos últimos anos. Um malware pode tanto atender a um objetivo político, com a criação de uma rede bot com computadores infectados para ataque a determinadas empresas e governos como também malwares direcionados para obtenção de vantagens financeiras, fins de pesquisa, conhecimento ou status social.

Existem também ameaças “malwares” que são direcionados a pessoas ou empresas (APT), muitas vezes utilizados para roubo de informação privilegiada, extorsão e ou até a divulgação de formulas ou projetos sigilosos.

Pensando em escalabilidade e alvos para disseminação do malware, ainda podemos explorar os seguintes cenários (apenas um exemplo):

– O alvo do meu malware é um cliente potencialmente com dinheiro em conta corrente? Alvo do ataque : usuários com mac book (logo criaríamos um malware para Mac OS X).

– O alvo do meu malware é em grande escala? Se sim, pode ser o bom e velho malware para Windows.

– O Alvo do meu malware é um servidor web linux ? Posso querer então criar um malware para monitorar todas atividades neste servidor.

Organizando de uma maneira sequencial, o ciclo de ataque de um malware pode ser dividido nas seguintes fases abaixo:

Fase 1 – Levantamento do público alvo e desenvolvimento do Malware

Nessa primeira fase o programador define o seu público alvo e as estratégias para distribuição do malware. Por exemplo, o atacante pode inserir o malware em um grande portal de Internet usado uma URL comprometida, inserida em propagandas, etc, para disseminar o malware através de um navegador padrão de Internet. O objetivo do atacante pode variar, desde criar redes bot, fins de pesquisas, sistemas para fraude, sequestro ou roubo de dados.

Fase 2 – Malware Download

Binários Malware como keyloggers, trojan backdoors, password crackers, etc, podem traduzir um malware em dezena de infecções no mesmo sistema.

Fase 3 – Callback

O malware estabelece comunicação (callback) com um servidor (C&C Server –Command and Control) do atacante para futuras instruções. Com o intuito de evitar detecções, o malware pode se replicar ou disfarçar-se da sua detecção, desabilitando assim o scanner de anti-virus ou instalando novos componentes após a limpeza. O malware pode também adormecer por um bom tempo. Por utilizar em seu processo o ‘callback’, a comunicação é permitida por firewalls, pelo fato da origem da conexão partir da rede interna, e permitem ao malware penetrar através de todas as camadas da rede, caso seja essa a sua função.

Fase 4 – Data Exfiltration

A fase 4 ocorre quando os dados são transferidos de maneira não autorizada (data exfiltration ou data extrusion). Geralmente a transferência dos dados ocorre por protocolos comumente permitidos como FTP ou HTTP para um servidor externo controlado por um atacante em um provedor de hosting qualquer.

Fase 5 – Lateral Spread.

O malware espalha-se lateralmente. O atacante move-se além do sistema para estabelecer maior controle sobre a rede. Um malware mais complexo procura o mapeamento de drives e infecta os computadores para espalhar-se em pastas compartilhadas, podendo reconhecer e mapear a infraestrutura de rede reconhecendo principais ativos de rede estabelecendo pontos de apoio nos servidores alvo.

Obs: As fases 3, 4 e 5 podem acontecer em ordem diferente, simultaneamente ou até mesmo ser omitida dependendo do comportamento do malware.

Referências

[1] https://pt.wikipedia.org/wiki/Malware

Fireeye Platform Deployment I – Network Security (NX Series Deployment)

Comments Nenhum comentário »