Seja o primeiro a comentar

Por André Ortega, 10/11/2008 10:14

Para quem está pensando em fazer a prova CCDE Prática, uma dica é acessar o site CCDE Practical Exam Demo. Lá é possível ter uma pequena amostra de como é a prova prática para CCDE.

Esse demo foi desenvolvido com a mesma ferramenta utilizada para criar a prova, permitindo assim que o candidato familiarize-se com a interface que encontrará no exame real. Claro que os cenários utilizados na demonstração não fazem parte da prova real.

Outras informações em:

http://www.cisco.com/web/learning/le3/ccde/index.html

https://cisco.hosted.jivesoftware.com/community/certifications/ccde?view=overview

Até a próxima.

(4) Comentários

Por Leandro Oliveira, 07/11/2008 23:09

Assim como os routers o ASA e o PIX a partir da versão de OS 7.2 são capazes de realizar filtros de URL com base em listas criadas por seus administradores. No caso do PIX/ASA esta função é realizada pela criação de expressões regulares (regex) associada a feature de Modular Policy Framework (MPF).

Mas atenção, este modelo de configuração não realiza o bloqueio de todo tipo de aplicação, para realizar o bloqueio efetivo de arquivos, por exemplo, se faz necessário a inserção de um appliance dedicado como o Ironport ou um módulo CSC no caso do ASA. O bloqueio de URLs em conexões HTTPS também não é possível.

Limitações a parte, vamos ao que interessa, mãos à massa . Como exemplo vamos bloquear algumas extensões de arquivos e algumas URLs.

1º Passo: Criação das expressões regulares

Aqui criamos duas linhas de expressões regulares, listando extensões EXE, COM, BAT, PIF, VBS e WSH.

regex urllist1 ".*\.([Ee][Xx][Ee]|[Cc][Oo][Mm]|[Bb][Aa][Tt]) HTTP/1.[01]"
regex urllist2 ".*\.([Pp][Ii][Ff]|[Vv][Bb][Ss]|[Ww][Ss][Hh]) HTTP/1.[01]"

Para o bloqueio de URLs o processo é o mesmo.

regex domainlist1 "\.playboy\.com\.br"
regex domainlist2 "\.youtube\.com"

Crie expressões para captura do application header e o tipo de conteúdo.

regex contenttype "Content-Type"
regex applicationheader "application/.*"

2º Passo: Determine o sentido do tráfego onde a inspeção será realizada

Para este processo a criação de ACLs se faz necessária.

access-list inside_mpc extended permit tcp any any eq www

3º Passo: Agrupe as expressões regulares

Afim de agrupar as expressões regulares e o access-list e até mesmo para conseguir inseri-las em um policy-map crie class-maps para as mesmas.

class-map type regex match-any DomainBlockList
match regex domainlist1
match regex domainlist2

class-map type inspect http match-all BlockDomainsClass
match request header host regex class DomainBlockList

class-map type regex match-any URLBlockList
match regex urllist1
match regex urllist2

class-map type inspect http match-all AppHeaderClass
match response header regex contenttype regex applicationheader

class-map httptraffic
match access-list inside_mpc

class-map type inspect http match-all BlockURLsClass
match request uri regex class URLBlockList

4º Passo: Crie um policy-map

Para atribuir ações a cada um dos class-maps criados crie um policy-map.

policy-map type inspect http http_inspection_policy
parameters
  protocol-violation action drop-connection
class AppHeaderClass
  drop-connection log
match request method connect
  drop-connection log
class BlockDomainsClass
  reset log
class BlockURLsClass
  reset log

Atribuia este policy-map dentro de um outro policy-map maior, que efetivamente será aplicado à interface.

policy-map inside-policy
class httptraffic
  inspect http http_inspection_policy

5º Passo: Aplique a política

Aplique o policy-map a interface por onde o tráfego se origina.

service-policy inside-policy interface inside

A partir deste momento o PIX/ASA passa a filtrar as URLs cadastradas, neste caso realizando um reset para aquelas que derem match a política, para debugar os acessos o comando "debug http" pode ser usado.

Para o bloqueio de novas URLs, basta criar expressões regulares como exemplificado no passo 1 e cadastrar estas dentro do class-map específico como exibido no passo 2, sem precisar alterar qualquer outra configuração. Espero ter ajudado, até a próxima .

Seja o primeiro a comentar

Por André Ortega, 07/11/2008 16:01

O NBAR – Network Based Application Recognition, é uma feature de roteadores Cisco que permite identificar e classificar o tráfego da rede, para posterior tratamento.

Uma das possíveis utilizações desta feature é a identificação de URLs. Podemos, por exemplo, evitar que os usuários acessem o Youtube.

Para isso devemos classificar o tráfego HTTP, com base na URL, via class-map. Depois com o policy-map definimos a ação (drop, neste caso). Por fim aplicamos a policy na interface de saída para Internet.

Exemplo:

RtBrainwork01#conf t

RtBrainwork01(config)#class-map match-all URL_STOP
RtBrainwork01(config-cmap)#match protocol http host "*youtube.com*"
RtBrainwork01(config-cmap)#exit

RtBrainwork01(config)#policy-map URL_POLICY
RtBrainwork01(config-pmap)#class URL_STOP
RtBrainwork01(config-pmap-c)#drop
RtBrainwork01(config-pmap-c)exit
RtBrainwork01(config-pmap)#exit

RtBrainwork01(config)#interface FastEthernet0/0
RtBrainwork01(config)#service-policy output URL_POLICY
RtBrainwork01(config-if)end

RtBrainwork01#wr

Outras informações sobre o NBAR podem ser encontradas aqui.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 05/11/2008 21:20

Quando a configuração de um roteador Cisco vai aumentando (principalmente configurações das interfaces) alguns comandos passam a demorar mais para serem executados, e o show run (show running-config) é um deles.

Isto ocorre pela forma como o IOS trabalha, armazenando e mantendo componentes, processos e informações distribuídos. Para visualizarmos as informações apresentadas no show run, por exemplo, o processo nonvolatile generation (NVGEN) coleta as informações necessária em real-time, no sistema todo. Depois gera o arquivo que é exibido.

Para melhorar o desempenho dos comandos que processam configurações do running system, a Cisco adicionou no IOS o Configuration Generation Performance Enhancement. Esta feature dedica uma parte da memória para cache das configurações das interfaces.

Para habilitar esta opção basta digitar no modo de configuração global parser config cache interface.

Assim comandos como copy system: running-config, show running-config e write terminal serão executados mais rápidos.

Para mais informações acesse este link.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 04/11/2008 16:16

O teste de ICMP é sem dúvida o teste de conectividade mais utilizado. Será que o gateway está funcionando? Será que o link está OK? Basta dar um Ping para ter as respostas. No entanto, as vezes é necessário pingar vários destinos e isso torna-se uma tarefa cansativa.

Para facilitar nossas vidas os roteadores e switches Cisco possuem mecanismos de automação de processos. Nos roteadores temos o TCL – Tool Control Language e nos switches temos a opção Macro.

Ping para vários destinos a partir do roteador:

Digite no bloco de notas a expressão abaixo, colocando os IPs que você deseja verificar.

foreach VAR {
200.221.11.100
200.221.11.101
200.221.11.102
200.221.11.103
} { puts [exec "ping $VAR"] }

Entre no roteador e no modo privilegiado digite tclsh. Depois cole o script que você gerou no bloco de notas. Pronto! O roteador executará os pings na seqüencia.

Exemplo:

Router01#tclsh
Router01(tcl)#foreach VAR {
+>200.221.11.100
+>200.221.11.101
+>200.221.11.102
+>200.221.11.103
+>} { puts [exec "ping $VAR"] }

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.221.11.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/16/56 ms

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.221.11.101, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/23/52 ms

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.221.11.102, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/28/72 ms

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.221.11.103, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 56/86/128 ms

Router01(tcl)#

Ping para vários destinos a partir do switch:

A idéia é a mesma, mas nos switches (testei em equipamentos L3) utilizamos a Macro, ao invés do TCL.

No modo de configuração global crie a Macro:

macro name PING1
do ping 200.221.11.100
do ping 200.221.11.101
do ping 200.221.11.102
do ping 200.221.11.103
@

Depois, basta executar a Macro:

macro global apply PING1

Exemplo:

Switch01#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch01(config)#macro name PING1
Enter macro commands one per line. End with the character ‘@’.
do ping 200.221.11.100
do ping 200.221.11.101
do ping 200.221.11.102
do ping 200.221.11.103
@
Switch01(config)#macro global apply PING1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.221.11.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/11/25 ms
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.221.11.101, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/11/26 ms
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.221.11.102, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/10/17 ms
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.221.11.103, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 9/15/25 ms
Switch01(config)#

Até a próxima.