Seja o primeiro a comentar

Por André Ortega, 27/01/2010 10:21

A Cisco disponibilizará a partir de 10 de março as novas provas para o CCNP. Agora serão apenas três provas para conseguir a certificação Professional na carreira Routing & Switching.

O novo CCNP será composto pelas seguintes provas:

642-902 ROUTE: Esta prova tratará de roteamento e endereçamento IP, configurações para escalabilidade e segurança, tanto LAN quanto WAN. Sempre focando os ISRs.

Tópicos desta prova:

• Implement an EIGRP based solution, given a network design and a set of requirements
• Implement a multi-area OSPF Network, given a network design and a set of requirements
• Implement an eBGP based solution, given a network design and a set of requirements
• Implement an IPv6 based solution, given a network design and a set of requirements
• Implement an IPv4 or IPv6 based redistribution solution, given a network design and a set of requirements
• Implement Layer 3 Path Control Solution

Clique aqui para ver o tópico detalhado (é necessário CCO)

642-813 SWITCH: Focada na parte de switching, abordará o planejamento, configuração e verificação de soluções de switching usando os conceitos da arquitetura Cisco Campus Enterprise. Também tratará a integração de voz, dados e vídeo, com e sem cabo (wireless).

Tópicos desta prova:

• Implement VLAN based solution, given a network design and a set of requirements
• Implement a Security Extension of a Layer 2 solution, given a network design and a set of requirements
• Implement Switch based Layer 3 services, given a network design and a set of requirements
• Prepare infrastructure to support advanced services
• Implement High Availability, given a network design and a set of requirements

Clique aqui para ver o tópico detalhado (é necessário CCO)

642-832 TSHOOT: Como o nome sugere esta prova será voltada a parte de throubleshoot, e verificará a capacidade de planejamento e manutenção de redes com roteadores e switches, com base nas melhores práticas, inclusive com utilizando princípios do ITIL.

Tópicos desta prova:

• Maintain and monitor network performance
• Troubleshoot Multi Protocol system networks

Clique aqui para ver o tópico detalhado (é necessário CCO)

Quem já fez alguma das provas atuais, não se preocupe. É possível utilizar as provas atuais, mesclando com as novas (veja abaixo). Ou se preferir, todas as provas atuais do CCNP estarão disponíveis até 31 de julho de 2010.

Pelo que entendi , para tirar o CCNP é possível fazer um desses caminhos, por enquanto:

1. BSCI + BCMSN + ISCW + ONT (4 provas)
2. BSCI ou ROUTE + BCMSN ou SWITCH + ISCW + ONT (4 provas)
3. COMPOSITE + ISCW + ONT (3 provas)
4. BSCI ou ROUTE + BCMSN ou SWITCH + TSHOOT (3 provas)
5. COMPOSITE + TSHOOT (2 provas)

Outra mudança será no preço das provas, que passarão a custar U$ 200,00 cada.

Mais detalhes aqui.

Nova certificação para Service Provider

Além das mudanças no CCNP, a Cisco também vai lançar ainda este ano uma nova “pirâmide”, com CCNA SP, CCNP SP e CCIE SP, conforme divulgado pelo Adilson Florentino no NETFINDERS.

Esta nova carreira é voltada para os profissionais que cuidam da operação das provedoras de serviço, e quando for lançada, o quadro de certificações da Cisco deverá ficar assim:

* Ilustração não oficial

Outras informações sobre estas novas certificações neste link.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 26/01/2010 10:21

Já foi o tempo em que a ameaça vinha de fora… Com as botnets, além de nos preocuparmos com possíveis ataques, também precisamos garantir que não estamos “atacando” ninguém.

Botnets são rede de computadores infectados, que passam a ser controladas pelo botmaster. Uma botnet pode ter computadores espalhados pelo mundo, e seu controlador a utiliza, sem que os verdadeiros donos dos PCs percebam, para enviar spam e fazer ataques, entre outros.

Segundo estimativa do FBI, existem entre 1 e 5 milhões de hosts infectados nos Estados Unidos e uma botnet pode ser “alugada” por até 50 mil dólares por dia.

Para evitar estes tipo de problema o Cisco ASA, com a licença apropriada, pode fazer a verificação dinâmica, através de URL ou IP, e identificar a comunicação entre um host infectado e seu controlador.

Após habilitar a verificação, quando um host interno tenta acessar uma URL, o ASA consulta o DNS para transformar a URL em IP e então compara com sua base de dados, que é constantemente atualizado pelo Cisco Security Intelligence Operations (trabalha com reputação, como o Senderbase e o Ironport). Caso este IP esteja na base de dados, ele é adicionado no DNS Reverse Lookup Cache, que é consultado quando a conexão é realizada. Assim, todas vez que um host se conectar a este IP é gerando um log, para que o administrador possa tomar as medidas cabíveis.

Também é possível criar sua própria blacklist e whitelist.

Configurando o ASA para detectar botnets

1°) Configure o DNS no ASA, para que as URLs (nomes) possam ser convertidos para IP.

dns domain-lookup outside
dns server-group DefaultDNS
name-server 8.8.8.8
domain-name brainwork.com.br

2°) Habilite o dynamic-filter updater-client, para baixar as atualizações do SIO.

dynamic-filter updater-client enable

3°) Configure o ASA para utilizar o banco de dados (também podemos configurar para usar black list).

dynamic-filter use-database

4°) Habilite a filtragem para todos os protocolos.

access-list dynamic-filter_acl extended permit ip any any

5°) Aplique a filtragem na interface de saída, neste caso a outside.

dynamic-filter enable interface outside classify-list dynamic-filter_acl

6°) Agora habilite o DNS snooping na interface outside, que fará a inspeção nas consultas DNS.

class-map dynamic-filter_snoop_class
match port udp eq domain
policy-map dynamic-filter_snoop_policy
class dynamic-filter_snoop_class
inspect dns dynamic-filter-snoop
service-policy dynamic-filter_snoop_policy interface outside

7°) (Opcional) Adicione entradas na black e white lists.

dynamic-filter blacklist
name exemploblack1.com.br
name exemploblack2.com.ru
address 200.20.20.1 255.255.255.255
dynamic-filter whitelist
name exemplowhite1.com.br
name exemplowhite2.com
address 200.30.1.1 255.255.255.255

Bloqueando a botnet

Após as configurações o ASA passará a gerar logs quando um host tentar acessar um IP com má reputação.

Exemplo de log

ASA-4-338002: Dynamic Filter permitted black listed TCP traffic from inside:10.1.1.45/6798 (209.165.201.1/7890) to outside:209.165.202.129/80 (209.165.202.129/80), destination 209.165.202.129 resolved from dynamic list: bad.example.com

Após verificar o log, devemos impedir que o host infectado tenha acesso a rede.

1°) Crie uma access-list.

access-list bloquear_botnet extended deny ip host 10.1.1.45 host 209.165.202.129
access-list bloquear_botnet extended permit ip any any

2°) Aplique a access-list na interface outside.

access-group bloquear_botnet out interface outside

No site da Cisco também tem um vídeo tutorial, mostrando como fazer esta configuração via ASDM.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 19/01/2010 10:21

E ele funcionou!!!

A Cisco informou hoje que o Space Router, do projeto IRIS – Internet Routing in Space, enviado ao espaço junto com o satélite de comunicações da Intelsat General em novembro de 2009, completou com sucesso a fase de testes iniciais. Colocar o roteador em orbita (ele está a cerca de 35 mil quilômetros da terra) foi o primeiro passo para o projeto revolucionário da Cisco, que deseja mudar as comunicações via satélite.

Hoje, a “inteligência” do sistema fica na terra, sendo os satélites responsáveis apenas por enviar e receber as informações, em uma rede do tipo “circuit-switched”. A idéia da Cisco é criar uma rede IP e colocar um roteador em cada satélite, que permitirá que as decisões de encaminhamento e outros processos sejam implementados no próprio satélite.

Observe na ilustração o fluxo de comunicação com (linha azul) e sem o roteador (linha branca).

No modelo atual os dados transmitidos precisam voltar à terra para serem processado, e depois enviados novamente para o satélite, que por fim envia para o destino final. Já com o roteador o processamento pode ser feito no próprio satélite.

Além disso, adotando IP, mesmo protocolo usado na Internet, será possível roteador voz, dados e vídeo entre os satélites, usando uma única rede, como já ocorre hoje nas “redes terrestres”.

Um roteador alocado no espaço, pode de forma inteligente alocar banda e priorizar determinado tráfego, disse o Project Manager do projeto IRIS, Greg Pelton, citando outra vantagem.

Notícia original aqui e outras informações sobre o IRIS no site da Cisco.

Até a próxima.

(18) Comentários

Por André Ortega, 13/01/2010 10:20

Este post deveria ter sido um dos primeiros no blog… mas como dizem, antes tarde do que nunca.

Coloquei os comandos básicos/úteis para utilização no Cisco IOS, via CLI – Command Line Interface. Acredito que vai ser bem útil para que está começando, ou acessa o roteador apenas eventualmente.

Modos de Configuração
roteador> -  Modo Usuário
roteador# -  Modo Privilegiado
roteador(config)# -  Modo Global

Modo Usuário
enable -  Entra no modo de configuração privilegiado

Modo Privilegiado
? -  Mostra os comandos disponíveis
configure terminal -  Entra no modo de configuração global
clock set – Configura a data e hora no equipamento
delete flash:/nome_do_arquivo -  Apaga o arquivo da flash
dir -  Mostra o conteúdo da flash
disable -  Sai do modo de configuração privilegiado
erase flash -  Apaga todo o conteúdo da flash
erase nvram -  Apaga todo o conteúdo da nvram
ping 10.1.1.1 – Pinga o host 10.1.1.1 e mostra o resultado
reload – Reinicia o roteador
traceroute 172.16.1.1 -  Mostra o caminho até o IP 172.16.1.1

Modo configuração global
enable secret -  Define a senha de enable
hostname  - Define o "nome" no roteador
interface f0/0 – Entra no modo de configuração da interface fastethernet 0/0
ip route 0.0.0.0 0.0.0.0 10.1.1.1 -  cria uma rota padrão para 10.1.1.1
ip route 192.168.0.0 255.255.255.0 172.16.1.1 – cria uma rota estática para a rede 192.168.0.0, através de 172.16.1.1

Modo Configuração de Interface
description -  Coloca uma descrição na interface
end -  Volta para o modo privilegiado
exit -  Sai do modo de configuração de Interface
ip address 5.5.5.5 255.255.255.0 -  Configura o IP e máscara na interface
shutdown -  Desabilita a interface
no shutdown – Habilita a interface

Verificação básica
show arp -  Mostra a tabela arp do roteador
show diag -  Mostra informações dos módulos
show history -  Mostra os últimos comandos digitados
show version -  Mostra a versão do IOS e informações de hardware
show running-config -  Mostra a configuração
show interface -  Mostra informações das interfaces
show ip interface -  Mostra informações do protocolo IP na interface
show ip route -  Mostra a tabela de rotas
show users -  Mostra os usuários conectados
show tech-support -  Informação completa do sistema

Salvando a configuração
copy running-config startup-config -  Salva configuração da memória DRAM para NVRAM
copy running-config tftp: -  Salva configuração da memória DRAM para o servidor TFTP
copy tftp: running-config -  Salva configuração do servidor TFTP para memória DRAM
wr -  Salva configuração da memória DRAM para NVRAM

Esta lista de comandos, mais as teclas de atalhos (publicadas em outro post) estão neste wallpaper, para quem quiser baixar.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 07/01/2010 10:20

O DNS – Domain Name Server é o responsável por traduzir nomes para IP. Assim quando digitamos www.brainwork.com.br no browser, primeiro o computador consulta o DNS, que informa o IP 69.65.3.151 e então o computador abre o site.

Desta forma, quanto mais rápida for a consulta DNS mais rápida será a navegação. Mas como saber qual o melhor DNS?

No Google Code tem um utilitário chamado namebench que faz consultas e mostra em gráficos comparativos qual o melhor DNS (o que responde mais rápido – normalmente o mais próximo).

Depois de fazer o download e instalar o programa,  execute informando os DNSs que você está usando atualmente.

O programa comparará o seu DNS com outros ao redor do mundo, incluindo Google Public DNS e OpenDNS. Demora uns 15 minutos, não se assuste.´

O resultado é apresentado no browser, mostrando as melhores opções para ser utilizado no local onde o teste foi realizado.

Neste exemplo o Google Public DNS apresentou o melhor resultado sendo 81% mais rápido que o segundo colocado (OpenDNS). O DNS que eu estava usando, teoricamente, foi o sétimo (DNS do UOL).

Download do namebench pode ser feito aqui.

Até a próxima.