IP Spoofing é uma técnica que consiste em mascarar o IP de origem real por um outro IP e é um dos primeiros passos para uma série de ataques como man-in-the-middle, routing redirect, blind spoofing e SYN flood, entre outros.
Para prevenir o spoofing, e consequentemente evitar ataques, de fora da rede, é necessário criar uma access-list no roteador que está conectado a Internet (Ingress Filtering). Inclusive existem algumas RFCs que tratam do assunto, em especial RFC 3330 (endereçamento de uso específico), RFC 1918 (endereçamento privado) e RFC 2827 (Filtro de entrada na rede)
Basicamente como “melhores práticas” temos que nunca um IP privado, de uso específico ou seu próprio IP, deve ser aceito como tráfego inbound na interface outside de um roteador conectado a Internet.
Assim, tendo como exemplo a topologia abaixo, a ACL anti-spoofing (Ingress Filtering) deve ser aplicada na interface s0/0 no sentido inbound.
ACL anti-spoofing para o cenário acima:
RT01#conf t
RT01(config)#! RFC 3330
RT01(config)#access-list 110 deny ip host 0.0.0.0 any
RT01(config)#access-list 110 deny ip 127.0.0.0 0.255.255.255 any
RT01(config)#access-list 110 deny ip 192.0.2.0 0.0.0.255 any
RT01(config)#access-list 110 deny ip 224.0.0.0 31.255.255.255 any
RT01(config)#! RFC 1918
RT01(config)#access-list 110 deny ip 10.0.0.0 0.255.255.255 any
RT01(config)#access-list 110 deny ip 172.16.0.0 0.15.255.255 any
RT01(config)#access-list 110 deny ip 192.168.0.0 0.0.255.255 any
RT01(config)#! Seu próprio IP público
RT01(config)#access-list 110 deny ip 200.1.1.1 0.0.0.15 any
RT01(config)#! Permite os demais IPs
RT01(config)#access-list 110 permit ip any any
RT01(config)#int s0/0
RtBrainwork01(config-if)#! aplique a ACL no sentido inbound
RtBrainwork01(config-if)#ip access-group 110 in
RtBrainwork01(config-if)#end
RT01#wr
Ainda no combate ao spoofing é indicado que seja criada uma ACL para a interface inside do roteador, também no sentido inbound. Essa ACL, conhecida como Egress Filtering, deve permitir que apenas os pacotes com IP de origem da rede interna passem pelo roteador.
Até a próxima.
A Ciscopress lançou o Exam Certification Guide para a prova 640-460 IIUC (CCNA Voice). O livro é um guia de estudo focado na certificação e foi escrito por três CCIEs: Jeremy Cioara, Michael Cavanaugh e Kris Krake.
O livro é um boa fonte de estudo e cobre todos os tópicos do exame (listados abaixo), e vem acompanhado de um CD-ROM com uma cópia digital do livro e 250 questões.
Tópicos para a prova:
-
Connecting IP phones to the LAN infrastructure
-
Cisco Unified CME installation
-
Cisco Unified CME IP phone configuration
-
Cisco Unified CME voice productivity features
-
Gateway and trunk concepts and configuration
-
Cisco Unity Express concepts and configuration
-
Smart Business Communications System
-
Configuring and maintaining the UC500 for voice
|
 |
Para verificar os detalhes de cada tópico e outras informações sobre a prova visite a página da certificação neste link.
O CCNA Voice é válido por 3 anos e para fazer a prova 640-460 IIUC o candidato deve ser CCNA.
Até a próxima.
Uma feature interessando do IOS (software dos roteadores Cisco), é o alias. Com o alias é possível, entre outras coisas, redefinir comandos.
Ou seja, ao invés de digitar show ip interface brief para ver o status das interfaces, o usuário poderia digitar apenas interfaces.
Para isso basta criar um "alias" no modo de configuração global, apontando o novo comando e em seguida o comando original.
Exemplo:
RTBrainwork01#conf t
RTBrainwork01(config)#alias exec interfaces show ip interface brief
RTBrainwork01(config)#exit
RTBrainwork01#interfaces
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 2.2.2.2 YES NVRAM up up
FastEthernet0/1 unassigned YES NVRAM administratively down down
Serial0/0/0 unassigned YES NVRAM up up
Serial0/0/0.1 1.1.1.1 YES NVRAM up up
SSLVPN-VIF0 unassigned NO unset up up
RTBrainwork01#
Até a próxima.
Para quem está pensando em fazer a prova CCDE Prática, uma dica é acessar o site CCDE Practical Exam Demo. Lá é possível ter uma pequena amostra de como é a prova prática para CCDE.
Esse demo foi desenvolvido com a mesma ferramenta utilizada para criar a prova, permitindo assim que o candidato familiarize-se com a interface que encontrará no exame real. Claro que os cenários utilizados na demonstração não fazem parte da prova real.
Outras informações em:
http://www.cisco.com/web/learning/le3/ccde/index.html
https://cisco.hosted.jivesoftware.com/community/certifications/ccde?view=overview
Até a próxima.
Quando a configuração de um roteador Cisco vai aumentando (principalmente configurações das interfaces) alguns comandos passam a demorar mais para serem executados, e o show run (show running-config) é um deles.
Isto ocorre pela forma como o IOS trabalha, armazenando e mantendo componentes, processos e informações distribuídos. Para visualizarmos as informações apresentadas no show run, por exemplo, o processo nonvolatile generation (NVGEN) coleta as informações necessária em real-time, no sistema todo. Depois gera o arquivo que é exibido.
Para melhorar o desempenho dos comandos que processam configurações do running system, a Cisco adicionou no IOS o Configuration Generation Performance Enhancement. Esta feature dedica uma parte da memória para cache das configurações das interfaces.
Para habilitar esta opção basta digitar no modo de configuração global parser config cache interface.
Assim comandos como copy system: running-config, show running-config e write terminal serão executados mais rápidos.
Para mais informações acesse este link.
Até a próxima.
Seja o primeiro a comentar 
