(2) Comentários

Por André Ortega, 15/07/2009 10:12

A Cisco disponibilizou ontem, 14 de julho de 2009, o relatório de segurança “do meio de ano”. Este reporte traz informações quanto as ameaças digitais, como quais os tipos de ataques foram mais utilizados.

O relatório fala sobre o Conficker e a onda de spam que está ocorrendo, envolvendo a Gripe Suína. Também tem uma entrevista com um bootmaster (pessoa que domina uma botnet), e fala ainda sobre DLP – Data Loss Prevention, entre outros.

A boa notícia do relatório: Nessa primeira metade do ano ocorreram menos ataques/vulnerabilidades do que no mesmo período do ano passado. No fim do documento são apresentadas as tendências, que mostram que mais ataques estão surgindo de sites legítimos e que usuários de rede sociais devem ficar atentos, pois cada vez mais os cyber criminosos estão usando estas redes para obter informações que serão usadas em ataques. O Security Report é um documento criado com base nas informações coletadas pelo Cisco Security Intelligence Operations, que mantem o IntelliShield, e apresenta também algumas sugestões para melhorar a segurança no mundo virtual.

Para fazer o download do Cisco 2009 Midyear Security Report, clique na imagem acima.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 14/07/2009 08:44

O Google Voice é um serviço que já esta disponível para alguns usuário convidados (não para o Brasil) que promete integrar todos os números de seus telefones. Ele é o sucessor do Grand Central, serviço adquirido pelo Google em 2007.

Imagine o seguinte: Você entra no Google Voice e recebe um número, depois cadastra seu celular, telefone de casa e do trabalho. Divulga o telefone do Google Voice, e configura por onde e quando quer receber as ligações. Pode até escolher, por exemplo, quando a ligação for do seu chefe, sempre tocar no celular. Ou configurar para que as chamadas recebidas entre as 19h e 24 horas tocar no celular e no telefone de casa, simultaneamente.

Outra funcionalidade deste serviço será integrar os correios de voz. Ao invés de acessar correio por correio (celular, telefone residencial, telefone comercial…) as ligações são recebidas pelo Google Voice, que armazenará as mensagens.

Além disso também será possível enviar SMS através da interface do Google Voice, no computador e ainda fazer chamadas VoIP (como no Skype…). Veja as demais funcionalidades na página do Voice.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 11/07/2009 05:46

Os roteadores Cisco, com IOS a partir da versão 12.4(20)T contam com a funcionalidade Embedded Packet Capture (EPC), que basicamente permite o roteador trabalhar como um sniffer. Com esta feature podemos configurar o roteador para capturar os pacotes que entram e/ou saem de uma interface, e exportar para serem analisados posteriormente.

O EPC possui dois componentes:

Buffer – área da memória onde serão salvos os pacotes capturados. Você define o nome, tamanho e tipo.

Capture Point – é o local onde deverá ser feita a captura dos pacotes e deve ser associado a um buffer. Você pode definir o nome, o protocolo (IPv4 ou IPv6), tipo CEF ou process-switched. Podemos usar também uma access-list para filtras os pacotes que serão capturados.

Antes de continuar observe que esta funcionalidade pode impactar no desempenho do equipamento, pois utiliza a CPU e a memória DRAM, onde é armazenado o buffer. Assim, use com cuidado.

Configuração: No modo de configuração privilegiado crie um buffer e um ponto de captura. Depois associe os dois e inicie a coleta.

! Crie um buffer (BUFFER1 é apenas o nome escolhido)
monitor capture buffer BUFFER1
! Crie um ponto de captura, definindo o protocolo e método utilizado, e especifique a interface e a direção da captura (CAPTURE_POINT é o nome do ponto de captura)
monitor capture point ip cef CAPTURE_POINT fastEthernet 0/0 both
! Associe o ponto de captura e o buffer
monitor capture point associate CAPTURE_POINT BUFFER1
! Inicie a captura dos pacotes
monitor capture point start CAPTURE_POINT

Para verificar as configurações realizada utilize os comandos show monitor capture point all e show monitor capture buffer all. Para terminar a captura digite monitor capture point stop CAPTURE_POINT.

Analisando o tráfego

Podemos ver os pacotes capturados no próprio roteador (em formato ASCII) ou exportá-los. Para ver no roteador utilize o seguinte comando:

BrainRT#show monitor capture buffer BUFFER1 dump
14:36:08.747 UTC Jun 29 2009 : IPv4 LES CEF    : Fa0/0 None

67B4E9A0:                   001BD4C9 77D6000D          ..TIwV..
67B4E9B0: BC0BA899 08004500 002811AB 40007E06  <.(…E..(.+@.~.
67B4E9C0: 16890A0A 080CC0A8 01DE08F9 0017CB13  ……@(.^.y..K.
67B4E9D0: 875A206C C5EA5010 FEE59A7D 00000000  .Z lEjP.~e.}….
67B4E9E0: 00000000 00                          …..

14:36:09.267 UTC Jun 29 2009 : IPv4 LES CEF    : Fa0/0 None

67B4E9A0:                   FFFFFFFF FFFF0008          ……..
67B4E9B0: 02E098EF 08004500 004E0F1E 00007F11  .`.o..E..N……
67B4E9C0: A815C0A8 011CC0A8 01FF0089 0089003A  (.@(..@(…….:
67B4E9D0: 77E3869B 01100001 00000000 00002046  wc………… F
67B4E9E0: 47454E46 44455045 4D454445 00        GENFDEPEMEDE.

Ou para exportar, digite monitor capture buffer BUFFER1 export tftp://10.10.8.12/capture_2801, onde BUFFER1 é o nome do buffer onde estão os pacotes, 10.10.8.12 é o IP do TFTP Server, e capture_2801 é o nome que será dado ao arquivo. Após exportar abra o arquivo com o Wireshard ou algo do tipo.

Veja a Página do EPC e o Guia de Configuração para mais detalhes. E para saber se seu roteador suporta esta funcionalidade utilize o Feature Nagivator.

Até a próxima.

(5) Comentários

Por Rafael Leão, 08/07/2009 06:00

Continuando nossa série de posts sobre VPN IPSec, segue um exemplo da configuração passo-a-passo de uma Site-to-Site VPN, usando a CLI de 2 Cisco Routers, modelo 1721. O objetivo deste cenário é possibilitar o tráfego seguro (criptografado) entre as redes 10.1.1.0/24 e 192.168.0.0/24.

Topologia:

Configuração do BrainRT01

! Primeiramente configuraremos os parâmetros ISAKMP
BrainRT01#conf t
! O número 1 é apenas o identificador da política (podemos ter mais que uma)
BrainRT01(config)#crypto isakmp policy 1
! Método de autenticação
BrainRT01(config-isakmp)#authentication pre-share
! Algoritmo de hash SHA (neste exemplo)
BrainRT01(config-isakmp)#hash sha
! Algoritmo de criptografia; neste caso, AES-128
BrainRT01(config-isakmp)#encryption aes 128
! Troca de chaves Diffie-Hellman
BrainRT01(config-isakmp)#group 2
! Tempo de vida do Security Association em segundos
BrainRT01(config-isakmp)#lifetime 86400
BrainRT01(config-isakmp)#exit
! Chave compartilhada para comunicação com o outro peer
BrainRT01(config)#crypto isakmp key Brainwork address 200.20.20.2
BrainRT01(config)#exit

! Definição dos parâmetros IKE fase 2
BrainRT01#conf t

! Criando o transform-set, onde são definidos os parâmetros usados pelo túnel IPSec, sendo ESP-AES para criptografia
! e ESP-SHA-HMAC para hash (MYSET é o nome do transform-set)
BrainRT01(config)#crypto ipsec transform-set MYSET esp-aes esp-sha-hmac
BrainRT01(cfg-crypto-trans)#exit
! ACL definindo qual será o tráfego protegido pelo túnel IPSec
BrainRT01(config)#access-list 101 permit ip 10.1.1.0 0.0.0.255 192.168.0.0 0.0.0.255
! Criando o Crypto Map, que é o agrupamento das regras para construção do túnel (BrainRT01_to_BrainRT02 é o nome
! do crypto map e 10 é o identificador)
BrainRT01(config)#crypto map BrainRT01_to_BrainRT02 10 ipsec-isakmp
! Dentro dele, apontamos o peer remoto
BrainRT01(config-crypto-map)#set peer 200.20.20.2
! Aplicamos a ACL…
BrainRT01(config-crypto-map)#match address 101
! … e o Transform Set
BrainRT01(config-crypto-map)#set transform-set MYSET
BrainRT01(config-crypto-map)#exit
BrainRT01(config)#

! Aplicando na interface WAN de BrainRT01
BrainRT01(config)#interface Serial0
BrainRT01(config-if)#crypto map BrainRT01_to_BrainRT02
*Mar  1 01:14:25.519: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
BrainRT01(config-if)#exit
BrainRT01(config)#

Importante: As configurações acima postadas, devem ser aplicadas em BrainRT02 da mesma forma. As principais alterações serão nas regras da ACL e nos parâmetros que apontam BrainRT01 como peer IPSec.

Agora devemos conferir o resultado de nossa configuração. Seguem alguns comandos úteis para verificarmos o status de nosso trabalho, ou seja, o túnel IPSec “Up”:

BrainRT01#show crypto engine connections active

    ID Interface            IP-Address      State  Algorithm                Encrypt  Decrypt 
     1 Serial0              200.10.10.2     set    HMAC_SHA+AES_CBC          0        0
2001 Serial0              200.10.10.2     set    AES+SHA                            0      208
2002 Serial0              200.10.10.2     set    AES+SHA                        207        0

BrainRT01#

BrainRT01#show crypto session
Crypto session current status

Interface: Serial0
Session status: UP-ACTIVE
Peer: 200.20.20.2 port 500
  IKE SA: local 200.10.10.2/500 remote 200.20.20.2/500 Active
  IPSEC FLOW: permit ip 10.1.1.0/255.255.255.0 192.168.0.0/255.255.255.0
        Active SAs: 2, origin: crypto map

BrainRT01#

Espero que ajude. Até breve!

Só um comentário

Por André Ortega, 06/07/2009 06:11

No segundo post sobre VPN, vamos identificar como ela funciona.
Uma VPN IPSec tem 5 fases: Identificação do tráfego interessante, IKE fase 1, IKE fase 2, transferência de dados e fim do túnel IPSec.

1) Tráfego interessante: É o tráfego que deve ser criptografado, geralmente identificado através de Access-lists.

2) IKE fase 1: Basicamente tem a função de negociar as políticas que serão utilizadas, autenticar os peers e fechar um túnel seguro, por onde serão configurados os demais parâmetros. Pode trabalhar em Main Mode ou Agressive Mode. Podemos dizer que é um “primeiro túnel”, para proteger as mensagens de negociação para o túnel principal.

• Main Mode: utiliza 6 troca de mensagens, e por isso é mais lento que o Agressive Mode.
  Mensagem 1 e 2: Usadas para garantir a segurança do meio e verificar se os peers estão de acordo.
  Mensagem 3 e 4: Utilizam o DH para gerar uma shared secret que é enviado para o outro peers, que devolve com sua identidade. Esta chave é usada para gerar outras chaves do processo.
  Mensagem 4 e 5: Faz a verificação da identidade do peer remoto.
• Agressive Mode: Utiliza apenas 3 trocas de mensagens, fazendo a identificação do peer antes de criar um canal seguro. É o modo de operação padrão.

• Opções do IKE fase 1:
       Algoritmo de criptografia: DES, 3DES, AES
       Algoritmo Hash: MD5, SHA-1
       Método de autenticação: Pré Share, RSA Signature
       Key Exchange: DH group 1, group 2, group 5
       IKE SA lifetime: até 86400 segundos

3) IKE fase 2: É a negociação do “segundo túnel”. São definidos os parâmetros do IPSec e transform sets, são estabelecidos IPSecs SAs, que são renegociados de tempos em tempos e pode também ocorrer a troca do DH (opcional).

O Security Association (SA) é uma conexão entre os dois peers que determina quais serviços do IPSec estão disponíveis naquela conexão (tipo de algoritmo de criptografia e autenticação utilizada, enderço IP, tempo de vida da key e outros…). São unidirecionais e assim, para um túnel VPN são criados dois SAs.

O IPSec pode trabalhar de duas madeiras: Túnel e Transporte. O modo túnel é o padrão, e com ele o pacote inteiro é criptografado e um novo cabeçalho é criado. Já no modo transporte o cabeçalho não é alterado, sendo criptografado apenas os dados.

• Opções do IKE fase 2:
      Algoritmo de criptografia: DES, 3DES, AES
     Authentication: MD5, SHA-1
      SA lifetime: até 28.000 segundos

4) Transferência de dados: Após finalizada o IKE fase 2 o tráfego começa a ser enviado pelo túnel, de forma segura (criptografado).

5) Fim do túnel IPSec: O túnel é finalizado quando a SA é deletada (manualmente) ou ocorre o timeout, que pode ser configurado para ocorrer após um determinado espaço de tempo sem transmissão de dados ou após uma quantidade específica de dados transmitidos.

Até a próxima.