Arquivo

Archive for the ‘Cisco’ Category

Aumentando segurança contra Exploits!!!

2 de fevereiro de 2014 Deixe um comentário
Security_Exploits

Security_Exploits

Aumentando segurança contra Exploits!!!

Um exploit é um software cuja finalidade é explorar algum bug conhecido em outro software fazendo com que este bug explorado tenha algum tipo de comportado determinado, como os abaixo:

– Conceder permissão de acesso a algumas informações,
– Acesso de escrita e leitura nos files do software explorado,
– Que faça com que o software explorado deixe de funcionar,
– Que apague os arquivos do software explorado
– Ou uma das piores formas, conceder acesso privilegiado ao Sistema Operacional
– Dentre outras ações.
 

Em resumo, um exploit é um software mal intencionado que geralmente vai trazer problemas ao Administrador da Rede, principalmente se ele tiver servidores de bunda da lua (Nunca faça isso, tenha amor próprio!!!).

Bom, a solução que vou citar aqui, é a que eu utilizo no meu dia-a-dia. Claro que junto com algumas outras regras de segurança. Enfim, vamos lá.

Na empresa onde eu trabalho, não tenho a necessidade de estar recebendo muitos acessos de fora do Brasil, todos os nossos serviços online são consumidos por IP’s nacionais. Raras são as exceções em que um cliente viaja para fora do Brasil e precisa imprimir um boleto e etc e tal.

Mas como disse, todos os nossos serviços que são disponibilizados na web, são consumidos por IP’S brasileiros. Então por quais motivos eu deixaria o resto do mundo ficar acessando meus serviços on line? Nenhum.

Você já reparou o log de acesso SSH no ser roteador de borda? O log de tentativas telnet? Melhor, dá uma olhada no teu mail.log e veja a quantidade de conexões maliciosas vindas de fora do Brasil. São muitas.

Por conta do exposto acima, eu resolvi bloquear o resto do mundo inteiro da minha rede, conexões do resto do mundo só são permitas caso o Socket já esteja aberta e tenha sido solicitado por parte da minha rede, caso contrário: “Tchau pacote malicioso!”.

Mas antes, vamos pensar numa situação, muitas empresas colocam seus servidores de email em Hosting’s, alguns deles brasileiros outros não, algumas empresas de hosting do Brasil, mantém servidores dedicados fora do Pais pela relação custo-benefício.

Isso acaba gerando um tráfego “gringo” na porta 25, que faz com que muitos pacotes de IPS fora do Brasil cheguem em suas rede sem intenção maliciosa, que no caso, DEVEM ser liberados.

Ou seja, pode bloquear tudo que for de fora do Brasil, mas mantenha aberta a porta 25, que é por onde os servidores de email (Mail Transfer Protocol) se comunicam entre sim para entrega de mensagens.

Para pegar os IPS Brasileiros, eu consulto o site http://www.blockcountryip.com/ onde tem a relação de ips de todos os países (IPv4). A relação já vem pronta pro modelo Cisco IOS (DENY FROM). Este site diz todos os ips que devem ser bloqueados de determinado país.

deny_from_brazil

deny_from_brazil

A lista é grande, são 278 prefixo brasileiros.

Claro que não vamos colocar uma regra bloqueando cada prefixo que não esteja na lista acima, mas sim permitir todos os ips brasileiros e em no final bloquear o resto 0.0.0.0/0. Afinal de contas, devemos sempre otimizar o processamento do roteador

Ou seja, para que possamos fazer um bloqueio bonitinho para IP’s estrangeiros que detém cerca de 95% do tráfego malicioso (Spam, sniffers, exploits, brute force, Pings, Flood UDP), devemos (no meu caso, avalie o seu!) proceder da seguinte forma.

01 – Liberar todo o tráfego na porta 25, independente se o IP é brasileiro ou não.
02 – Manter seu servidor web sempre atualizado e estar antenado em patches de segurança.
03 – Liberar a porta 80 dele, independente se o IP é brasileiro ou não. Sempre tem clientes que viajam para o exterior e precisam gerar o boleto para enviar para alguém no Brasil pagar.  Tenha atenção quanto a regra 02 por favor.
04 – Criar regras para LIBERAR (permit ou accept, varia de IOS para IOS) os 278 prefixos v4 de Origem nacional.
05 – Bloquear todo o tráfego restante representado por 0.0.0.0/0
06 – Observando se houve atualizações na lista (próximo post será sobre atualizações de Ips Brasileiros)

 

Pronto, com isso você eliminou os sniffadores chineses que todo dia varrem todas as portas de todos os seus IP’S, você bloqueou robos de estarem varrendo seu servidor WEB, você bloqueou um ataque de smtp autenticado no seu servidor de email. Você bloqueou qualquer tentativa de acesso SSH, Telnet, FTP ou qualquer outro serviço que o estagiário tenha levantado de teste e esqueceu de stopar o serviço (FDP!!!).

Entretanto, tudo o que foi falado acima não lhe protege contra ataques vindo de IP’S nacionais. 

Com certeza a China, EUA, Coréia… Devem ter servidores no Brasil com o intuito de continuar a sniffar suas portas, seus serviços e seus IP’s, mas dificilmente irão atacar por esses servidores.

Tem dois ditados na área de TI que devem sempre ser seguidos:

– Só Jesus salva, o resto faz Backup!
– Quem AMA, BLOQUEIA!

Se você ainda não teve a chance de contornar um ataque, ouça, é uma situação horrível. Portanto, BLOQUEIE!

Anúncios

IPS da APNIC – Ásia e Pacífico!

18 de novembro de 2013 Deixe um comentário

IPS DA APNIC

Regional Internet Registries

Regional Internet Registries

Algumas pessoas como eu, tem um certo receio com relação aos IPS asiáticos, tanto por questões de DOS distribuído, quanto por segurança mesmo. Os caras tão sniffando tudo que encontram pela frente. Caso tenha dúvida, analise as entradas de seu firewall ou roteador de borda. O que mais me chama atenção é o teste de todas as portas em todos os ips… Principalmente de IPS que fazem parte de algum ASN chinês.

Grandes blocos de IPS chineses, eu libero apenas a 80 e 25 in/out no firewall, o resto eu bloqueio.

A questão é… Como saber os blocos da APNIC para que possamos avaliar e bloquear? Simples, basta pegar os últimos reports da APNIC e utilizar um pouco de regex e fazer upload via shell no router ou firewall.

Nesta url tem os últimos registros da APNIC de blocos divulgados: ftp://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-extended-latest

PS: Claro, ips chineses podem tunelar, comprar blocos africanos e propagar no seu ASN, fazer uso de um hosting… e etc..

Matar Sessão em Roteadores Cisco

24 de maio de 2013 Deixe um comentário

Boas,

Não raro executamos comandos que irão demorar muito em roteadores ou switchs L3 com IOS Cisco, fazendo com que tenhamos um atraso em tempo ou mesmo um gargalo de memória ou processamento. Após executar o comando e perceber que não seria necessário executar o mesmo. Seria de bom tom cancelar o comando executado.

Pode-se dar um kill em uma sessão através dos comandos abaixo:

Beijer-03#sh users
Line User Host(s) Idle Location
* 0 con 0 beijer idle 00:00:00
184 vty 0 jacques idle 00:08:14 10.0.0.1

Interface User Mode Idle Peer Address

Beijer-03#
Beijer-03#clear line vty 0
[confirm]
[OK]
Beijer-03#

Pronto!!!

Categorias:Cisco Tags:,

Simulando Ponto de Troca de Tráfego com Cisco – OPSF e Rotas Estáticas – Modelo Rede MetroBel Belém

18 de outubro de 2012 Deixe um comentário

Boas moçada,

A ideia deste post é falar um pouco sobre como funciona o projeto PTT (Ponto de Troca de Tráfego)  do Nic.br. A ideia do PTT é que entidades locais comuniquem entre si através um pontos de troca de tráfego disponibilizados por PIX instalados pelo Nic.br, sem que para isso consumam seus Links-Ethernet das suas operadoras. Atualmente em Belém, temos apenas duas operadoras de Backbone Nacional: Oi e Embratel. As mesmas não se comunicam no Pará, sendo que para uma entidade A que tenha Link da Oi acessar dados em uma empresa B que tenha Link com a Embratel, terá que dar uma volta em São Paulo/Rio de Janeiro para fazer a comunicação da rede da OI com a Embratel e depois voltar para Belém. Isso aumenta o tempo de resposta do acesso e faz com que dê muitos saltos em vários roteadores, aumentando também a presença de pontos de falhas. Isso acontece mesmo que as empresas estejam no mesmo Bairro.

Caso as Empresas estivessem conectadas à um PIX do Nic.BR, essas empresas se comunicariam localmente através do PTT , diminuindo o tempo de resposta da comunicação, diminuiria também o número de saltos e consequentemente diminuiria a quantidade de pontos de falhas. Outro fator importante nesse aspecto, é que essas empresas não utilizariam seus links de internet para se comunicar, visto que seria um acesso local e gratuito, diminuindo o consumo do Link com a operadora e otimizando o acesso.

Para este primeiro post da série PTT, iremos utilizar rotas estáticas e OSPF (o PTT real utiliza roteamento dinâmico através do protocolo BGP, é requisito ser ASN e ter uma instância BGP rodando) e também utilizaremos uma rede fictícia das principais Universidades presentes na Região Metropolitana de Belém. Essa rede já Existe desde 2005/2006 e um projeto da RNP chamado Rede MetroBel, não é um PTT real, mas utiliza basicamente o mesmo conceito, exceto de quê provê acesso à Internet para algumas instituições e não utiliza BGP.

Neste projeto, vamos utilizar as seguintes Universidades: Unama, UEPA, UFRA, UFPA. Todas elas (para este post) possuem link de internet com a Embratel, mas entre si vão se comunicar via um ponto de troca de tráfego. Ou seja, possuem uma rota default para a operadora, e utilizam rotas estáticas para comunicarem entre si.

Todos os Roteadores envolvidos são o Cisco 2811s, o Roteador da Embratel comunica com outras operadoras de Backbone provendo acesso à internet. O Roteador PIX-UFPA, situado na UFPA, provê acesso entre as universidades não consumindo acesso de LINK-IP. A Embratel fornece para cada instituição um bloco com prefixo /24 (256 ips). Situação descrita na imagem abaixo:

Cenário

Cenário

Os Roteadores tem duas interfaces FastEthernet (0/0 e 0/1) e duas interfaces Ethernet (0/0/0 e 0/1/0).

Vamos usar o seguinte cenário para as Redes nos Roteadores.

Redes

Redes

E os seguintes endereços IPS nos roteadores.

IPS

IPS

Bom, agora que já sabemos qual topologia vamos utilizar, vamos começar a configurar o nosso roteador. Existem regrinhas que eu utilizo nos roteadores antes de começar a configurar:

– Habilitar o protocolo CDP, com ele podemos visualizar quais dispositivos Cisco estão conectados diretamente nos routers e em quais interfaces, além de fornecer também o ip do vizinho. Para habilitar este protocolo, digite no modo configuração ‘cdp run’.

– Desabilitar a opção de converter comandos, não tem coisa mais chata que isso. No modo config digite ‘no ip domain-lookup’.

– Definir o hostname do roteador, para isto no modo config digite ‘hostname nome_do_router’.

Basicamente fica assim:

conf t
hostname UFPA
no ip domain-lookup
cdp run
exit
wr

Agora vamos definir as interfaces a quais iremos atribuir os endereços IPs. Para isso, utilize o comando ‘show cdp neighbors’, ele lhe dirá qual router está conectado em qual interface. Após isso comece a setar os ips nas interfaces junto com o comando ‘no shutdown’ para que ele habilite a interface. Defina também uma descrição para a interface selecionada. Para facilitar, eu coloquei cada a primeira interface FastEthernet  (fa0/0) de cada instituição conectada no router da Embratel, a segunda interface FastEthernet  (fa0/1) conectada no router do PIX da UFPA e a primeira interface Ethernet (Eth 0/0/0) conectada em um switch Cisco 296da rede local.

Vamos configurar cada interface, atribuir uma descrição, definir um hostname, habilitar o protocolo CDP e desabilitar a opção de tradução de comando, não se esqueça do enable.

ROUTER UFPA

conf  t
hostname UFPA
no ip domain-lookup
cdp run                           
inter fa0/0                    
no shutdown                 
ip address 200.241.248.2 255.255.255.252 
description LINK-INTERNET – EMBRATEL              
exit                                                                                             
inter fa0/1                                                                               
no shutdown 
ip address 172.16.0.2 255.255.255.252
description LINK-PTT 
exit 
inter Eth 0/0/0
no shutdown 
ip address 100.100.100.1 255.255.255.0 
description Rede Local
exit 
exit 
wr 

ROUTER UNAMA

conf t
hostname UNAMA
no ip domain-lookup
cdp run
inter fa0/0
no shutdown
ip address 190.10.44.66 255.255.255.252
description LINK-INTERNET – EMBRATEL
exit
inter fa0/1
no shutdown
ip address 172.16.2.2 255.255.255.252
description LINK-PTT
exit
inter Eth 0/0/0
no shutdown
ip address 200.200.200.1 255.255.255.0
description Rede Local
exit
exit
wr

ROUTER UFRA 

conf t
hostname UFRA
no ip domain-lookup
cdp run
inter fa0/0
no shutdown
ip address 201.70.44.2 255.255.255.252
description LINK-INTERNET – EMBRATEL
exit
inter fa0/1
no shutdown
ip address 172.16.4.2 255.255.255.252
description LINK-PTT
exit
inter Eth 0/0/0
no shutdown
ip address 50.50.50.1 255.255.255.0
description Rede Local
exit
exit
wr

ROUTER UEPA

conf t
hostname UEPA
no ip domain-lookup
cdp run
inter fa0/0
no shutdown
ip address 177.30.20.74 255.255.255.252
description LINK-INTERNET – EMBRATEL
exit
inter fa0/1
no shutdown
ip address 172.16.8.2 255.255.255.252
description LINK-PTT
exit
inter Eth 0/0/0
no shutdown
ip address 25.25.25.1 255.255.255.0
description Rede Local
exit
exit
wr

 ROUTER EMBRATEL 

conf t
hostname EMBRATEL
no ip domain-lookup
cdp run
inter fa0/0
no shutdown
ip address 200.241.248.1 255.255.255.252
description LINK-UFPA
exit
inter fa0/1
no shutdown
ip address 190.10.44.65 255.255.255.252
description LINK-UNAMA
exit
inter Eth 0/0/0
no shutdown
ip address 201.70.44.1 255.255.255.252
description LINK-UFRA
exit
inter Eth 0/1/0
no shutdown
ip address 177.30.20.73 255.255.255.252
description LINK-UEPA
exit
exit
wr

ROUTER PIX-UFPA 

conf t
hostname PIX-UFPA
no ip domain-lookup
cdp run
inter fa0/0
no shutdown
ip address 172.16.0.1 255.255.255.252
description LINK-UFPA
exit
inter fa0/1
no shutdown
ip address 172.16.2.1 255.255.255.252
description LINK-UNAMA
exit
inter Eth 0/0/0
no shutdown
ip address 172.16.4.1 255.255.255.252
description LINK-UFRA
exit
inter Eth 0/1/0
no shutdown
ip address 172.16.8.1 255.255.255.252
description LINK-UEPA
exit
router ospf 1
log-adjacency-changes
no redistribute connected subnets
network 172.16.0.0 0.0.0.3 area 1
network 172.16.2.0 0.0.0.3 area 1
network 172.16.4.0 0.0.0.3 area 1
network 172.16.8.0 0.0.0.3 area 1
exit
exit
wr

Pronto, aqui os routers já estão configurados com os devidos ips e os roteadores vizinhos já devem estar comunicando entre si.

Faça os seguintes testes no Router PIX-UFPA, digite os comandos abaixo nele.

 show cdp neighbors

 A saída seria algo assim:

Show cdp neighbors

Show cdp neighbors

Faça testes de ping deste roteador para os roteadores das instituições: 

Ping para o Router da UFPA: ping 172.16.0.2
Ping para o Router da UNAMA: ping 172.16.2.2
Ping para o Router da UFRA: ping 172.16.4.2
Ping para o Router da UEPA: ping 172.16.8.2

PING

PING

Agora vamos definir as rotas default das instituições para a internet. Tudo que seja encaminhado para o roteador da Embratel será encaminhado para frente para poder chegar ao seu destino, ou seja, o Roteador da Embratel possui uma sessão BGP full-routing.

Rota default UFPA (conf t):

ip route 0.0.0.0 0.0.0.0 200.241.248.1

Rota default UNAMA (conf t):

ip route 0.0.0.0 0.0.0.0 190.10.44.65

Rota default UFRA (conf t):

ip route 0.0.0.0 0.0.0.0 201.70.44.1

Rota default UEPA (conf t):

ip route 0.0.0.0 0.0.0.0 177.30.20.73

Agora precisamos definir as rotas que irão compor o roteamento local pelo PTT PIX-UFPA. Para isso vamos utilizar o protocolo de roteamento OSPF.

Para que cada roteador divulgue suas redes, precisamos definir quais interfaces irão participar do OSPF. Essa definição é feita através da rede que está conectada na interface. Primeiro devemos habilitar o processo OSPF e depois divulgar as redes que vão participar do processo.

Para habilitar o OSPF, digite no modo config o comando com um identificador: router ospf 1, em seguida diga ao router para habilitar o log das mudanças com os vizinhos (neighbors) e defina as redes com o comando network. Observação, se uma interface que faça parte do OSPF estiver down , a rede não será divulgada (por este motivo coloquei um switch Cisco 2960 ligado em cada roteador das instituições).

Vamos habilitar o OSPF no Router UFPA e divulgar as redes. Lembrando que as redes que fazem parte do enlace com a Embratel, não devem fazer parte do processo OSPF, pois o roteamento é intra-universidades.

OSPF + Rota Estática

OSPF + Rota Estática

PROCESSO OSPF – ROUTER UFPA

Conf t
router ospf 1
log-adjacency-changes
network 100.100.100.0 0.0.0.255 area 1
network 172.16.0.0 0.0.0.3 area 1
exit
exit
wr

PROCESSO OSPF – ROUTER UNAMA

Conf t
router ospf 1
log-adjacency-changes
network 200.200.200.0 0.0.0.255 area 1
network 172.16.2.0 0.0.0.3 area 1
exit
exit
wr

PROCESSO OSPF – ROUTER UFRA

Conf t
router ospf 1
log-adjacency-changes
network 50.50.50.0 0.0.0.255 area 1
network 172.16.4.0 0.0.0.3 area 1
exit
exit
wr

PROCESSO OSPF – ROUTER UEPA

Conf t
router ospf 1
log-adjacency-changes
network 25.25.25.0 0.0.0.255 area 1
network 172.16.8.0 0.0.0.3 area 1
exit
exit
wr

Pronto, agora devemos habilitar o processo OSPF no Router PIX-UFPA e divulgar as redes conectadas nele. Este router será o responsável pelo roteamento em si do PTT.

PROCESSO OSPF – ROUTER PIX-UFPA

Conf t
router ospf 1
log-adjacency-changes
network 172.16.0.0 0.0.0.3 area 1
network 172.16.2.0 0.0.0.3 area 1
network 172.16.4.0 0.0.0.3 area 1
network 172.16.8.0 0.0.0.3 area 1
exit
exit
wr

Pronto, o cenário está pronto e cada Instituição esta comunicado com as outras instituições via o PIX-UFPA do PTT.

Um bom teste seria um traceroute da UFPA para a UEPA:

Traceroute UFPA - UEPA

Traceroute UFPA – UEPA

Para ver as rotas OSPF e estáticas, utilize o comando abaixo

Show ip route ospf

Show ip route ospf

As vantagens deste modelo são várias:

– Otimizar Link de Internet diminuindo o tráfego do mesmo.
– Agilizar a comunicação intra-universidades.
– Independência das operadoras
– Maior gerência sobre a rede.

Desvantagem deste modelo:

– Maior complexidade na rede.

Tudo que uma instituição desejar acessar e que não esteja no processo OSPF, a instituição irá encaminhar os pacotes para a Embratel.

Lembrando-se de não utilizar o redistribute static e não divulgar redes erradas para não se tornar um router de trânsito, isso faria com que outros routers pudessem acessar a internet através de seu link.

Bom, claro que o OSPF deveria estar com senha, algumas ACL’s deveriam estar ae e outras coisas visando segurança. Bem como este modelo está longe de ser igual a um PTT real que utiliza BGP, AS e filtros de anúncios, mas a ideia é basicamente essa!

Espero que tenham entendido, pois é assim que a internet e os acessos hoje em dia funcionam. Grandes empresas como Google, Facebook, Yahoo, Aol e etc estão se conectando à PTT locais para agilizar a comunicação.

Se alguém quiser o arquivo do Packet Tracer que utilizei, bem como tirar dúvidas ou os arquivos de configuração dos routers deste post, entre em contato através do email beijer00@gmail.com

Até outro post pessoal!

Abraços

Jacques de Beijer