Seja o primeiro a comentar

Por carlos.longo, 28/11/2008 12:51

A nova geração de Certificações Microsoft está mais específica e direcionada a refletir aquilo que você faz, comprovando o seu conhecimento para todo o mercado de TI.

Composta por três séries e quatro credenciais, a nova geração de certificações Microsoft fornece uma estrutura mais simples e direcionada para os gerentes de TI validarem os conhecimentos técnicos, profissionais, avançados e arquitetônicos dos profissionais. Ela fornece também aos profissionais do mercado de TI uma forma mais relevante, lexível e econômica de demonstrar seus conhecimentos.

Destaque os seus conhecimentos exclusivos!

As certificações estão disponíveis para quase todos os aplicativos da Microsoft aos profissionais de TI, desenvolvedores, profissionais de empresas, usuários domésticos e instrutores de tecnologia. Valide as suas experiências práticas, adquirindo uma certificação que associe o seu cargo atual, ou desejado, a uma tecnologia existente ou que esteja para surgir.

Em breve postarei mais detalhes de cada certificação.

Até a próxima…

Leia também:

• Apagar tema no Windows 7
• Autenticação do roteador no AD (Windows Server 2008)
• Hyper-V – Visao Geral
• 10 anos do MSN
• Voype

Seja o primeiro a comentar

Por André Ortega, 28/11/2008 07:16

Access-lists são com certeza umas das features mais utilizadas nos roteadores. Servem para bloquear/liberar tráfego que passa pelo roteador, escolher as redes que passarão por NAT, que tráfego será criptografado em uma VPN, quais rotas serão distribuídas por um determinado protocolo de roteamento e podem ainda ser utilizadas em uma infinidade de situações.

Podemos dividir as ACLs em dois tipos: Numeradas e Nomeadas.

Até algum tempo atrás as ACLs nomeadas tinham uma grande vantagem em relação as ACLs numeradas, pois com elas era possível editar uma linha da ACL sem a necessidade de deletar toda a access-list. Enquanto que para editar um ACL numerada você tinha que deletar toda a ACL, editar no bloco de notas e colocar novamente no roteador.

Mas a partir da versão 12.3 do IOS é possível editar uma ACL numerada da mesma forma que uma ACL nomeada. Para isso foi adicionado ao software a função de adicionar um número de seqüencia para cada linha de uma ACL, seja ela numerada ou nomeada. Assim é possível excluir, alterar ou incluir novas linhas a ACL.

Exemplo:

! A ACL pode ser criada normalmente ou via IP Access-list

Brainwork01#conf t
Brainwork01(config)#access-list 100 permit tcp 10.10.1.0 0.0.0.255 any
Brainwork01(config)#access-list 100 permit tcp 10.10.2.0 0.0.0.255 any
Brainwork01(config)#access-list 100 permit tcp 10.10.3.0 0.0.0.255 any
Brainwork01(config)#access-list 100 permit tcp 10.10.4.0 0.0.0.255 any
Brainwork01(config)#exit

! Observe que cada linha da ACL tem um identificador

Brainwork01#sh access-lists
Extended IP access list 100
    10 permit tcp 10.10.1.0 0.0.0.255 any
    20 permit tcp 10.10.2.0 0.0.0.255 any
    30 permit tcp 10.10.3.0 0.0.0.255 any
    40 permit tcp 10.10.4.0 0.0.0.255 any

! Para adicionar uma nova entrada à ACL existente, basta tratá-la como uma ACL nomeada
! Por exemplo, vamos colocar uma nova regra, entre a entrada 10 e 20

Brainwork01#conf t
Brainwork01(config)#ip access-list extended 100
Brainwork01(config-ext-nacl)#15 permit udp 10.10.1.0 0.0.0.255 172.16.0.0 0.0.0.255
Brainwork01(config-ext-nacl)#end

! Pronto, a nova linha foi adicionada onde queríamos

Brainwork01#sh access-list
Extended IP access list 100
    10 permit tcp 10.10.1.0 0.0.0.255 any
    15 permit udp 10.10.1.0 0.0.0.255 172.16.0.0 0.0.0.255
    20 permit tcp 10.10.2.0 0.0.0.255 any
    30 permit tcp 10.10.3.0 0.0.0.255 any
    40 permit tcp 10.10.4.0 0.0.0.255 any

! Para excluir uma entrada pontualmente, basta entrar no modo de edição
! e apontar o identificador da linha a ser excluída (30 no exemplo abaixo)

Brainwork01#conf t
Brainwork01(config)#ip access-list extended 100
Brainwork01(config-ext-nacl)#no 30
Brainwork01(config-ext-nacl)#end

! Mais uma vez a ACL 100 foi editada, sem a necessidade de ser excluída

Brainwork01#sh access-lists
Extended IP access list 100
    10 permit tcp 10.10.1.0 0.0.0.255 any
    15 permit udp 10.10.1.0 0.0.0.255 172.16.0.0 0.0.0.255
    20 permit tcp 10.10.2.0 0.0.0.255 any
    40 permit tcp 10.10.4.0 0.0.0.255 any
Brainwork01#

Caso uma nova entrada seja adicionada, sem que o número de seqüencia seja informado, ela será automaticamente inserida no fim da ACL.

Até a próxima.

Leia também:

• Client VPN para Windows 64 – beta
• Quem mexeu na configuração?
• Configuração de firewall para o Receitanet
• Apagar tema no Windows 7
• Verificando a utilização da CPU

Seja o primeiro a comentar

Por André Ortega, 26/11/2008 15:08

O SSH (Secure Shell) é um protocolo desenvolvido como alternativa ao Telnet e outros utilitários de conexão remota conhecidos como Berkeley R Utilities (rlogin, rsh, rcp e rdist), todos considerados métodos de acesso remoto não seguro.

O SSH cria um canal criptografado entre o client e server, permitindo comunicação segura, mesmo em um meio inseguro (como a Internet, por exemplo). Para isso o SSH faz a autenticação do usuário e cria uma chave para a sessão. Quando o client conecta pela primeira vez a um determinado server (servidor linux, roteador ou switch, entre outros) o SSH cria uma chave que será o “fingerprint” para aquele server e pergunta se você deseja aceitá-la. Esta chave fica armazenada na base de dados local do client.

Atualmente temos duas versões do SSH: SSH1 e SSH2.

O SSH2 conta com várias vantagens em relação a versão anterior, onde podemos destacar a maior segurança e velocidade para criptografia, e suporte a diferentes tipos de algoritmos de chaves públicas.

Para ativar o SSHv2 em switches Cisco, basta seguir o exemplo abaixo:

BrainworkSW01#conf t
BrainworkSW01(config)#ip domain-name brainwork.com.br
BrainworkSW01(config)#crypto key generate rsa modulus 1024
The name for the keys will be: BrainworkSW01.brainwork.com.br

% The key modulus size is 1024 bits
Generating RSA keys …
[OK]
BrainworkSW01(config)#ip ssh time-out 60
BrainworkSW01(config)#ip ssh version 2
BrainworkSW01(config)#ip ssh authentication-retries 3
BrainworkSW01(config)#line vty 0 15
BrainworkSW01(config-line)#transport input telnet ssh
BrainworkSW01(config-line)#end
BrainworkSW01#wr

Para excluir a chave criada:

BrainworkSW01#conf t
BrainworkSW01(config)#crypto key zeroize rsa
% Keys to be removed are BrainworkSW01.brainwork.com.br.
Do you really want to remove these keys? [yes/no]: yes
BrainworkSW01#

Os seguintes switches não suportam SSH: Catalyst 1900, 2900 XL, 3500 XL, 2800, 2948G-L3, 4840G-L3 and 4908G-L3.

Até a próxima.

Leia também:

• Client VPN para Windows 64 – beta
• Quem mexeu na configuração?
• Configuração de firewall para o Receitanet
• Apagar tema no Windows 7
• Verificando a utilização da CPU

Seja o primeiro a comentar

Por André Ortega, 24/11/2008 16:14

IP Spoofing é uma técnica que consiste em mascarar o IP de origem real por um outro IP e é um dos primeiros passos para uma série de ataques como man-in-the-middle, routing redirect, blind spoofing e SYN flood, entre outros.

Para prevenir o spoofing, e consequentemente evitar ataques, de fora da rede, é necessário criar uma access-list no roteador que está conectado a Internet (Ingress Filtering). Inclusive existem algumas RFCs que tratam do assunto, em especial RFC 3330 (endereçamento de uso específico), RFC 1918 (endereçamento privado) e RFC 2827 (Filtro de entrada na rede)

Basicamente como “melhores práticas” temos que nunca um IP privado, de uso específico ou seu próprio IP, deve ser aceito como tráfego inbound na interface outside de um roteador conectado a Internet.

Assim, tendo como exemplo a topologia abaixo, a ACL anti-spoofing (Ingress Filtering) deve ser aplicada na interface s0/0 no sentido inbound.

ACL anti-spoofing para o cenário acima:

RT01#conf t
RT01(config)#! RFC 3330
RT01(config)#access-list 110 deny ip host 0.0.0.0 any
RT01(config)#access-list 110 deny ip 127.0.0.0 0.255.255.255 any
RT01(config)#access-list 110 deny ip 192.0.2.0 0.0.0.255 any
RT01(config)#access-list 110 deny ip 224.0.0.0 31.255.255.255 any
RT01(config)#! RFC 1918
RT01(config)#access-list 110 deny ip 10.0.0.0 0.255.255.255 any
RT01(config)#access-list 110 deny ip 172.16.0.0 0.15.255.255 any
RT01(config)#access-list 110 deny ip 192.168.0.0 0.0.255.255 any
RT01(config)#! Seu próprio IP público
RT01(config)#access-list 110 deny ip 200.1.1.1 0.0.0.15 any
RT01(config)#! Permite os demais IPs
RT01(config)#access-list 110 permit ip any any
RT01(config)#int s0/0
RtBrainwork01(config-if)#! aplique a ACL no sentido inbound
RtBrainwork01(config-if)#ip access-group 110 in
RtBrainwork01(config-if)#end
RT01#wr

Ainda no combate ao spoofing é indicado que seja criada uma ACL para a interface inside do roteador, também no sentido inbound. Essa ACL, conhecida como Egress Filtering, deve permitir que apenas os pacotes com IP de origem da rede interna passem pelo roteador.

Até a próxima.

Leia também:

• Client VPN para Windows 64 – beta
• Quem mexeu na configuração?
• Configuração de firewall para o Receitanet
• Apagar tema no Windows 7
• Verificando a utilização da CPU

Seja o primeiro a comentar

Por André Ortega, 21/11/2008 10:57

A Ciscopress lançou o Exam Certification Guide para a prova 640-460 IIUC (CCNA Voice). O livro é um guia de estudo focado na certificação e foi escrito por três CCIEs:  Jeremy Cioara, Michael Cavanaugh  e Kris Krake.

O livro é um boa fonte de estudo e cobre todos os tópicos do exame (listados abaixo), e vem acompanhado de um CD-ROM com uma cópia digital do livro e 250 questões.

Tópicos para a prova:

Connecting IP phones to the LAN infrastructure  Cisco Unified CME installation Cisco Unified CME IP phone configuration Cisco Unified CME voice productivity features Gateway and trunk concepts and configuration Cisco Unity Express concepts and configuration Smart Business Communications System Configuring and maintaining the UC500 for voice

Para verificar os detalhes de cada tópico e outras informações sobre a prova visite a página da certificação neste link.

O CCNA Voice é válido por 3 anos e para fazer a prova 640-460 IIUC o candidato deve ser CCNA.

Até a próxima.

Leia também:

• Client VPN para Windows 64 – beta
• Quem mexeu na configuração?
• Configuração de firewall para o Receitanet
• Verificando a utilização da CPU
• Vulnerabilidades no Cisco ASA, PIX, FWSM e CSA