Seja o primeiro a comentar

Por Leandro Oliveira, 25/02/2009 20:30

A mais recente versão do IP (Internet Protocol) teve seu início de desenvolvimento realizado pelo IETF (Internet Engineering Task Force) durante os anos 90. A principal motivação para o desenvolvimento e lançamento do IPv6 foi a expansão do espaço de endereços disponíveis na Internet, permitindo assim que se conectem bilhões de novos dispositivos (PDAs, telefones celulares, etc), novos usários e tecnologias sempre-conectada (xDSL, cabo, Ethernet ou fibra direto na residenica, comunicação via rede elétrica, etc).

O protocolo existente, IPv4, dispõe somente de 32 bits de endereços proporcionando um espaço teórico de 2³² (aproximadamente quatro bilhões) interfaces de rede únicas globalmente endereçáveis. IPv6, por sua vez, tem endereços de 128 bits e portanto pode endereçar 2¹²⁸ interfaces de rede 340.282.366.920.938.463.463.374.607.431.768.211.456)."

Hoje nos encontramos realizando a transação para uma atualização do protocolo da Internet que temos estado usando nos últimos anos. Além das questões técnicas que ainda possam merecer ou não um maior debate, o certo é que o IPv6 está sendo implementado no mundo e que as estatísticas mostram que a mudança é necessária.

O gráfico abaixo tem como fonte o site do LACNIC (www.lacnic.net – orgão responsável pela administração dos recursos de numeração para América Laina e Caribe) e mostra dados alarmantes com relação aos recursos disponíveis do endereçamento IPv4.

Você precisa de Flash Player para ver este vídeo.

No próximo post estaremos detalhando melhor a estrutura deste protocolo. Até lá .

Seja o primeiro a comentar

Por Leandro Oliveira, 11/11/2008 22:12

Este foi o chamado utilizado no último lançamento da Cisco, o ASR9000 trata-se de um novo roteador de grande poder de processamento, para se ter uma idéia o equipamento foi lançado com um throughput de 180 Gbps por slot e possui um roadmap para suportar 400 Gbps por slot, isso dá ao equipamento um poder total de processamento de até 6,4 Terabits.

Alguns dados apresentados pelo fabricante no site de lançamento do equipamento são bem interessantes, segundo o vendor, até 2012 o tráfego de vídeo na WEB deverá ser 320 vezes maior do que todo o tráfego gerado na rede pelos EUA no ano de 2000. Maiores informações poderão ser verificadas na url :

http://www.cisco.com/cdc_content_elements/flash/netsol/sp/getready/index.html?POSITION=PrintVanity&COUNTRY_SITE=us&CAMPAIGN=GetReady&CREATIVE=go/asr9000&REFERRING_SITE=PrintTv

(4) Comentários

Por Leandro Oliveira, 07/11/2008 23:09

Assim como os routers o ASA e o PIX a partir da versão de OS 7.2 são capazes de realizar filtros de URL com base em listas criadas por seus administradores. No caso do PIX/ASA esta função é realizada pela criação de expressões regulares (regex) associada a feature de Modular Policy Framework (MPF).

Mas atenção, este modelo de configuração não realiza o bloqueio de todo tipo de aplicação, para realizar o bloqueio efetivo de arquivos, por exemplo, se faz necessário a inserção de um appliance dedicado como o Ironport ou um módulo CSC no caso do ASA. O bloqueio de URLs em conexões HTTPS também não é possível.

Limitações a parte, vamos ao que interessa, mãos à massa . Como exemplo vamos bloquear algumas extensões de arquivos e algumas URLs.

1º Passo: Criação das expressões regulares

Aqui criamos duas linhas de expressões regulares, listando extensões EXE, COM, BAT, PIF, VBS e WSH.

regex urllist1 ".*\.([Ee][Xx][Ee]|[Cc][Oo][Mm]|[Bb][Aa][Tt]) HTTP/1.[01]"
regex urllist2 ".*\.([Pp][Ii][Ff]|[Vv][Bb][Ss]|[Ww][Ss][Hh]) HTTP/1.[01]"

Para o bloqueio de URLs o processo é o mesmo.

regex domainlist1 "\.playboy\.com\.br"
regex domainlist2 "\.youtube\.com"

Crie expressões para captura do application header e o tipo de conteúdo.

regex contenttype "Content-Type"
regex applicationheader "application/.*"

2º Passo: Determine o sentido do tráfego onde a inspeção será realizada

Para este processo a criação de ACLs se faz necessária.

access-list inside_mpc extended permit tcp any any eq www

3º Passo: Agrupe as expressões regulares

Afim de agrupar as expressões regulares e o access-list e até mesmo para conseguir inseri-las em um policy-map crie class-maps para as mesmas.

class-map type regex match-any DomainBlockList
match regex domainlist1
match regex domainlist2

class-map type inspect http match-all BlockDomainsClass
match request header host regex class DomainBlockList

class-map type regex match-any URLBlockList
match regex urllist1
match regex urllist2

class-map type inspect http match-all AppHeaderClass
match response header regex contenttype regex applicationheader

class-map httptraffic
match access-list inside_mpc

class-map type inspect http match-all BlockURLsClass
match request uri regex class URLBlockList

4º Passo: Crie um policy-map

Para atribuir ações a cada um dos class-maps criados crie um policy-map.

policy-map type inspect http http_inspection_policy
parameters
  protocol-violation action drop-connection
class AppHeaderClass
  drop-connection log
match request method connect
  drop-connection log
class BlockDomainsClass
  reset log
class BlockURLsClass
  reset log

Atribuia este policy-map dentro de um outro policy-map maior, que efetivamente será aplicado à interface.

policy-map inside-policy
class httptraffic
  inspect http http_inspection_policy

5º Passo: Aplique a política

Aplique o policy-map a interface por onde o tráfego se origina.

service-policy inside-policy interface inside

A partir deste momento o PIX/ASA passa a filtrar as URLs cadastradas, neste caso realizando um reset para aquelas que derem match a política, para debugar os acessos o comando "debug http" pode ser usado.

Para o bloqueio de novas URLs, basta criar expressões regulares como exemplificado no passo 1 e cadastrar estas dentro do class-map específico como exibido no passo 2, sem precisar alterar qualquer outra configuração. Espero ter ajudado, até a próxima .

Seja o primeiro a comentar

Por Leandro Oliveira, 29/09/2008 20:15

Desde a versão 12.0 de IOS a Cisco da suporte a tecnologia de Stateful Inspection Firewall, mais recentemente (especificamente a partir da versão 12.4(6)T) a fabricante introduziu ao código do IOS a técnica de um firewall baseado em zonas ou Zone-Based Policy Firewall (ZFW), apesar de ainda manter o desenvolvimento para a versão clássica boa parte dos esforços estarão direcionados para a tecnologia de firewall baseado em zonas.

Aplicando políticas em um firewall clássico e em um firewall baseado em zonas

Um firewall baseado em zona difere-se substancialmente de uma firewall clássico. Em um firewall clássico a criação de políticas basea-se na criação de ACL’s estáticas atrealadas a interfaces (físicas ou virtuais) onde são definidos os tipos de tráfego que serão permitidos ou negados por aquela interface. A técnica de Stateful Packet Inspection é aplicada através do comando "ip inspect" que monitora os protocolos e permite que conexões de retorno, mesmo que em portas aleatórias como no caso do H323, SIP entre outros, não sejam bloqueados.

Firewalls baseados em zona mudam a forma como o IOS Stateful Inspection é realizado, “por interface” no caso dos firewall clássicos, realizando o mesmo processo, só que baseado em zonas. Por padrão um tráfego inter-zonas não é permitido, ou seja redes que estejam situadas em zonas distintas por default não trocam tráfego entre elas até que exista uma regra para isso. As regras são criadas usando Class-Based Policy Language (CPL) que emprega um controle hierárquico de controle para definir protocolos de rede ou grupos de hosts onde a inspeção de tráfego será aplicada.

Cada interface poder ser membra apenas de uma zona, mas as zonas podem abrir multiplas interfaces. Quando uma interface torna-se membra de uma zona todo tráfego entrante pela mesma é bloqueado até que seja criada uma política que permita o mesmo. Políticas são estabelecidas criando-se uma classe e definindo o tráfego que a mesma afetará.

As interfaces gráficas oferecidas atualmente pela Cisco (SDM e CSM)não suportam a implementação de políticas baseadas em zona, mas deverão suportá-las em breve, vamos esperar por isso…

Seja o primeiro a comentar

Por Leandro Oliveira, 29/09/2008 19:04

O casal Len Bosack e Sandy Lerner, que eram funcionários da área de computação da universidade estadunidense Standford University, fundaram a Cisco Systems em 1984.

Embora a Cisco não tenha sido a primeira companhia dos EUA a produzir roteadores, foi a primeira a vender de forma sucedida roteadores multi-protocolos, permitindo que computadores antes incompatíveis pudessem se comunicar usando diferentes protocolos de redes ^[1]. Quando o protocolo de internet (IP) tornou-se o modelo padrão os roteadores multi-protocolos entraram em desuso.

Em 1990 a companhia começou a ter suas ações cotadas na bolsa de valores eletrônica da Nasdaq. Bosack e Lerner sairam da companhia com uma quantia de $170 million e se divorciaram após a saída.

Durante o boom da internet em 1999, a companhia adquiriu a Cerent Corp., uma companhia nova localizada em Petaluma, California, EUA, por cerca de U$7 bilhões. Essa foi, na época, a mais expressiva aquisição feita pela Cisco. Desde essa data apenas a compra da Scientific-Atlanta superou o valor pago pela Petaluma.

No final de março de 2000, no pico do boom das empresas ponto-com, a Cisco tornou-se a empresa mais valorizada do mundo, com uma captação de mercado de mais de U$500 bilhões^[2][3]. Em 2007, com uma captação de mercado de aproximadamente U$180 bilhões, segundo a sétima edição da pesquisa Best Global Brands 2007, realizada por parceria entre a consultoria de marcas Interbrand e a revista Business Week, a Cisco foi considerada, em 2007, uma das cem marcas mais valiosas do mundo, ocupando a décima oitava posição na classificação ^[4].

Com suas aquisições, desenvolvimento interno, parcerias com outras empresas, a Cisco fez avanços em vários outros equipamentos de redes fora da linha de roteadores, incluindo switchers Ethernet, acessos remotos, redes para máquinas de auto atendimento bancário (ATM, segurança, telefonia por IP, e outros. Em 2003, a Cisco adquiriu a Linksys, conhecida produtora de equipamentos para rede e se posicionou na liderança do mercado doméstico de redes.

Origem do nome Cisco

O nome "Cisco" é uma abreviação das palavras inglesas San Francisco. De acordo com John Morgridge, 34o. empregado da empresa e ex-presidente corporativo, os fundadores chegaram ao nome e a Logo enquanto dirigiam para Sacramento (EUA) para registrar a companhia. — Eles viram a ponte Golden Gate emoldurada pela luz do sol.^[5] O nome cisco Systems (com o "c" minúsculo) continuou a ser usado pela comunidade de engenharia mesmo após o nome oficial da companhia ser alterado oficialmente para Cisco Systems, Inc. Usuários dos produtos Cisco podem ver o nome cisco Systems ocasionalmente em relatórios de erro e mensagens IOS.

Em outubro de 2006, a Cisco lançou publicamente um novo logo que é graficamente mais simples e mais estilizada do que a original.

A unidade da Cisco no Brasil foi fundada em 1994 e até Setembro de 2008 atuava em três cidades brasileiras, São Paulo, Rio de Janeiro e Brasilia.