Cisco | brainwork´s blog

Categoria: Cisco

Client VPN para Windows 64 – beta

Por André Ortega, 08/03/2010 16:29

Um dos post mais lidos do ano é o Client VPN para Windows 64, onde sugiro a utilização do client da Shrew (Soft VPN Access Manager) para computadores com Windows 64, já que a Cisco não disponibiliza um.

Mas devido aos pedidos, imagino (ou reclamações…), a Cisco decidiu lançar uma versão para o Windows 7 64 bits.

O client 5.0.7 ainda está na versão beta, mas quem tiver um CCO com Smartnet associado pode baixar no site. Do lado direito, clique em All Releases e depois em 5.BETA. Tem duas opções: o normal (para Windows 200/XP/Vista/7, todos 32 bits e a versão para Windows 7 64 bits.

Para os demais sistemas operacionais 64, o jeito é continuar com Soft VPN Access Manager.

Até a próxima.

Leia também:

Compartilhe:

Cisco, Informação, Segurança, Uteis, VPN | Client VPN, Windows 64 bits, Windows 7

Quem mexeu na configuração?

(3) Comentários

Por André Ortega, 05/03/2010 09:10

Quem mexeu no roteador? Ou, quais foram os últimos comandos utilizados?

Quem não tem um servidor de accounting, como o ACS, pode usar uma funcionalidade chamada Configuration Change Notification and Logging, inclusa no próprio IOS (a partir da versão 12.3(4)T) para identificar quem anda fazendo alterações no equipamento e quais configurações estão sendo feitas.

Esta funcionalidade (que não é assim um ACS) permite o acompanhamento das alterações na configuração, identificando sessão, usuário e comando utilizado entre outros.

Observação: apenas os comando completos e com sucesso são logados.

Além de armazenar as mudanças também podemos configurar para que as alterações sejam enviadas para o processo de syslog do roteador, que passará a enviar para o syslog server (desde que configurado, claro).

Configuração do Configuration Change Notification and Logging

! Entre no modo de configuração global
BrainGW01#conf t
! Entre no modo archive
BrainGW01(config)#archive
! Agora entre no log config
BrainGW01(config-archive)#log config
! Habilite o logging
BrainGW01(config-archive-log-cfg)#logging enable
! Defina quantidade de entradas (valores 1 a 1000, 100 é o padrão) – opcional
BrainGW01(config-archive-log-cfg)#logging size 200
! Configure para que as senhas sejam omitidas – opcional
BrainGW01(config-archive-log-cfg)#hidekeys
! Envia as mudanças para o syslog – opcional
BrainGW01(config-archive-log-cfg)#notify syslog
BrainGW01(config-archive-log-cfg)#end
BrainGW01#

Após habilitar o archive log, os comando passarão a ser gravados, e ara verificar os logs gerados utilize o comando show archive log config all.

BrainGW01#show archive log config all
idx   sess           user@line      Logged command
    1     1         andreo@vty0     | logging enable
    2     1         andreo@vty0     | hidekeys
    3     6         andreo@vty0     |hostname teste
    4     7         andreo@vty0     |hostname BrainGW01

Também podemos usar os seguintes comandos, para mais informações:

show archive log config number [end-number]
show archive log config all provisioning
show archive log config statistics

Outra informações na página da Cisco, e até a próxima.

Leia também:

Compartilhe:

Cisco, Configuração, Dicas, IOS, Routers, Uteis | Configuration Change Notification and Logging, Gravando mudanças na configuração, Logando as alterações

Verificando a utilização da CPU

Seja o primeiro a comentar

Por André Ortega, 22/02/2010 09:40

Quando um roteador apresenta lentidão, uma das primeiras ações é ver como está o processamento. O comando show process cpu traz informações úteis, e pode ajudar a encontrar o problema.

Na primeira linha do output do comando temos a utilização do processar nos últimos 5 segundos, 1 minuto e 5 minutos.

Observe que na opção 5 segundos temos dois valores. O valor antes da barra indica o total de utilização, e o valor depois da barra mostra a porcentagem que foi utilizada por interrupções da cpu.

Outras informações:

PID: Número identificador do processo.

Runtime (ms): Tempo total de utilização da CPU pelo processo, em milissegundos.

Invoked: Número de vezes que o processo foi executado, e o uSecs mostra quanto tempo (em microssegundos) o processo utiliza em cada execução.

5Sec, 1Min e 5Min: Utilização da CPU pela tarefa nos últimos 5 segundos, 1 minuto e 5 minutos.

TTY: Terminal que contra o processo. No exemplo acima, todos os processo foram executados pela console.

Process: Nome do processo.

Show Process Cpu History

Outro comando que podemos utilizar é o show process cpu history. Este comando monstra a utilização histórica do processador em gráficos (tudo bem que é em ASCII, mas ainda assim gráfico rsrsrs).

São três gráficos, sendo que o gráfico de 1 minutos é incrementado a cada segundo, o de 1 hora é incrementado a cada minuto e o de 72 horas incrementado de hora em hora.

Duas informações são ilustradas: a utilização máxima e a média.

show proc cpu history

(No exemplo apenas o gráfico das últimas 72 horas)

O eixo Y (vertical) mostra a utilização da CPU, enquanto e que o eixo X mostra o tempo (segundo, minutos ou hora dependendo do gráfico). O “*” indica a utilização máxima (pico) e a “#” mostra a média.

As informações devem ser lidas da esquerda para direita. Ou seja, o valor mais próximo do eixo Y é o mais recente. E as duas linhas acima do gráfico indicam o valor exato (leia verticalmente) no momento de maior utilização.

No exemplo acima, na última hora o pico de utilização foi de 15%.

Mais detalhes no site da Cisco.

Até a próxima.

Leia também:

Compartilhe:

Cisco, Dicas, Routers, Uteis | Comando, Processamento, Show Process CPU, Throubleshoot

Vulnerabilidades no Cisco ASA, PIX, FWSM e CSA

Seja o primeiro a comentar

Por André Ortega, 18/02/2010 10:44

A Cisco anunciou ontem, dia 17, uma lista de vulnerabilidades que afetam o ASA, PIX, o módulo FWSM (para 6500 e 7600) e ainda o CSA – Cisco Security Agent. Todos os problemas podem ser evitados com a atualização do software, já disponível (menos para o PIX).

Todos os clientes podem atualizar seus softwares, para corrigir estes problemas, mesmos os que não estejam cobertos pelo Smartnet. Para isso é necessário entrar em contato com o TAC, informar o número de série e fornecer a URL do anúncio das vulnerabilidades (que estão abaixo).

Ainda não há registros de uso mal intencionado destas vulnerabilidades, sendo os problemas encontrados pela própria Cisco.

ASA

Todos os modelos do ASA são afetados, dependendo da versão do software, mais ou menos problemas são encontrados. E as falhas não são interdependentes, de forma que uma release pode ser afetada por uma vulnerabilidade, e por outra não.

vulnerabilidades no asa

Veja os detalhes do anúncio, produtos afetados, workarounds e demais informações aqui.

FWSM

No módulo FWSM o problema ocorre quando um pacote SCCP mal formado é processado. Este erro pode fazer o módulo reiniciar.

Apenas a versão 4.0 é afetada, e a correção é encontrada no software a partir da versão 4.0 (8).

Mais informações no anúncio oficial, aqui.

CSA

O CSA, que vem instalado em diversos produtos, como Call Manager, IPCC Express, Unity, ACS e outros, sofre com problemas de DoS, SQL Injection e Directory Traversal.

No quadro abaixo as versões afetadas e as opções para correção.

Versões afetadas

Outras informações sobre as vulnerabilidades do CSA aqui.

PIX

Os firewall da família PIX também são afetados pelas vulnerabilidades listadas abaixo.

TCP Connection Exhaustion Denial of Service Vulnerability
SIP Inspection Denial of Service Vulnerabilities
SCCP Inspection Denial of Service Vulnerability
Crafted IKE Message Denial of Service Vulnerability
NTLMv1 Authentication Bypass Vulnerability

Porém, como já estão com o End Of Software Maintenance (desde 28 de julho de 2009) não foram desenvolvidas correções para estes problemas.

Para minimizar o problema alguns workaround estão disponíveis. Veja aqui como proceder.

Até a próxima.

Leia também:

Compartilhe:

Cisco, Informação, Segurança, Uteis, firewall | ASA, CSA, FWSM, PIX, Vulnerabilidades

Redefinindo o terminal

Seja o primeiro a comentar

Por André Ortega, 11/02/2010 13:30

Gente, para de sofrer.

Com o comando terminal podemos ajustar a altura e o comprimento do texto que será exibido na tela. O padrão é 24 x 80, mas nem sempre é o mais adequado para o seu tipo de monitor, assim podemos redefinir estas “medidas”.

! Especifica que serão exibidas 30 linhas antes da pausa (–more –)
brainRT01#terminal length 30
! O comprimento da linha será de 100 colunas
brainRT01#terminal width 100

Podemos usar valores de 0 a 512, sendo que se colocar 0 no terminal length não teremos a pausa.

Número da linha

Outra dica é usar a palavra chave linenum após o show run ou show start. Este comando faz com que o output venha com a indicação das linhas.

brainRT01#sh running-config linenum
Building configuration…

Current configuration : 1297 bytes
     1 : !
     2 : version 12.4
     3 : service config
     4 : service timestamps debug datetime msec
     5 : service timestamps log datetime msec
     6 : no service password-encryption
     7 : !
     8 : hostname brainRT01
     9 : !
    10 : boot-start-marker
    11 : boot-end-marker
    12 : !
    13 : logging message-counter syslog
    14 : enable secret 5 $1$Gj.C$0Xth/MY.2FWnvYR.4H.Ul1
    15 : !
    16 : aaa new-model
    17 : !
    18 : !
    19 : !
    20 : !
    21 : aaa session-id common
    22 : memory-size iomem 15
    23 : no network-clock-participate wic 2
    24 : dot11 syslog
    25 : ip source-route
    26 : !
    27 : !
    28 : !
    29 : !
    30 : ip cef
    31 : no ipv6 cef
(–more–)