quinta-feira, 14 de dezembro de 2017

ACL estendida baseada em horário


Fala galera beleza?

As ACLs extendidas podem ser utilizadas de diversas formas para atingir certos objetivos, aqui vou demonstrar como utilizar uma ACL para bloquear o tráfego desejado por períodos de tempo, ou seja, se você desejar pode bloquear o acesso de usuários/aplicações/etc durante o período que quiser te dando uma opção de controle em cima do que é trafegado na sua rede.

Primeiro passo é criar os "time-range" que são os periodos utilizados como base para a ACL extendida que você quer criar, no exemplo abaixo vamos definir que o tráfego será bloqueado das 20:00 às 6:00 durante a semana e o fim de semana inteiro para teste:

time-range SEMANA
periodic weekdays 20:00 to 23:59
periodic weekdays 0:00 to 5:59
!
time-range FDS
periodic weekend 0:00 to 23:59

O segundo passo é criar a ACL extendida negando ou permitindo o tráfego utilizando os períodos que foram propostos acima:

ip access-list extended SAIDA
deny ip any any time-range SEMANA
deny ip any any time-range FDS
permit ip any any

Por último, basta aplicar a ACL na interface desejada:

interface ethernet 0/1.13
ip access-group SAIDA in

Pronto pessoal, agora é só testar e verificar se a ACL está dando match nos campos selecionados:

Horário normal:
R3#sh clock
*19:23:47.247 CET Thu Dec 14 2017
R3#ping 155.1.13.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 155.1.13.1, timeout is 2 seconds:
!!!!!

R3#clock set 21:00:00 14 Dec 2017
R1#clock set 21:00:00 14 Dec 2017

R3#ping 155.1.13.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 155.1.13.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)

R1#sh access-lists
Extended IP access list SAIDA
    10 deny ip any any time-range SEMANA (active) (25 matches)
    20 deny ip any any time-range FDS (inactive)
    30 permit ip any any
R1#

Bacana né, com esse conceito você pode criar diversas variações de ACL permitindo apenas os tráfegos que você quiser (ex. HTTP e HTTPS, SMTP etc) durante esses períodos, lembrando que para o bom funcionamento é necessária a sincronização dos horários dos equipamentos (NTP é a melhor solução).

Abraços

domingo, 10 de dezembro de 2017

JNCIA-Junos curso e voucher grátis

Fala galera beleza?

Trazendo uma dica que o colega Anderson Arruda (estuda CybeSec comigo) me passou,  a Juniper está com algumas vagas abertas para o seu Juniper open learning que nada mais é que um curso online d três semanas para preparação para certificação JNCIA-Junos além do voucher grátis para a prova que é disponibilizado após a conclusão do curso.

O treinamento contará com cerca de 4 a 5 horas de lives explicando os materiais disponíveis, além de diversos laboratórios para te ajudar na preparação para o exame:




A turma 3 (05/02/2018) ainda possuí cerca de 170 vagas (quando me registrei eu era o número 30 e poucos) porém esse número deve aumentar bastante após a divulgação desse post, então galera não perca tempo e se registre no link abaixo:

Link:
https://learningportal.juniper.net/juniper/user_activity_info.aspx?id=10175

Já garanti a minha vaga, abraços!

quinta-feira, 30 de novembro de 2017

Curso Python para engenheiros de redes (grátis)


Fala galera beleza?

Postei há algum tempo atrás sobre um curso de python voltado exclusivamente para engenheiros de rede totalmente grátis em que o autor (Kirk Byers) disponibiliza via e-mail toda semana.

No dia 1 de fevereiro de 2018 o curso irá voltar, e para receber o conteúdo basta se cadastrar no link no final do post, segue o conteúdo que será disponibilizado:


Link para inscrição:
https://pynet.twb-tech.com/email-signup.html

Além desse cursos, ele possuí diversos artigos e cursos no site dele, inclusive de Ansible:

Link do site do autor:
https://pynet.twb-tech.com/

Abraços galera.

terça-feira, 28 de novembro de 2017

Meraki Security / SD-WAN


Fala galera beleza, na última semana falei um pouco sobre Cisco Meraki e agora vou falar um pouco sobre as funicionalidades de Security/SD-WAN, metodos de deploy, topologia, features etc.

Pra começar vamos falar sobre a topologia, temos 2 modos de deploy:

- VPN concentrator (1-Armed) mode:

O Meraki (Datacenter) será instalado como um concentrador (Hub) VPN para todas as filiais (branch), esse modelo é indicado quando você já possui  firewall configurado no datacenter e o Meraki trabalha como concentrador site-to-site VPN;




Esse é o modelo utilizado em 90% das empresas.

Obs. seguem os IPs/portas que deverão ser liberados no firewall do datacenter:


- NAT mode - O MX instalado trabalha diretamente como firewall do datacenter (features de L7 também):

 
Agora falando um pouco sobre alta disponibilidade das caixas, por padrão é utilizado o protocolo VRRP entre elas e ele pode utilizar um cabo conectado físicamente (VRRP Path similar a um heartbit):


Ou utilizando a infraestrutura do switch:

Para entender um pouco mais sobre o funcionamento das VPNs do meraki temos que falar como é feita a comunicação com a nuvem Meraki, os equipamentos seguem as seguintes etapas:

1º O MX testa a conectividade com a internet realizando um ping para os IPs do google (8.8.8.8 e 8.8.4.4);

2º O MX envia alguns pacotes UDP para tentar fechar uma conexão criptografada com a nuvem Meraki 
(UDP port 7351), porém se estiver por trás de um NAT o Meraki realiza um processo chamado "UDP hole punching" que é o envio de diversos pacotes UDPs vazios para estabelecer um UDP port state, uma vez estabelecido a comunicação é realizada bastando apenas a troca de keep-alives (exemplo da tentativa de comunicação abaixo):



3º O MX baixa as configurações/atualizaçãos atreladas à sua organização (inclusive templates pré configurados);

4º O MX envia a interface de saída + IP público + "ID único dele" para nuvem que armazena essas informações para repassar para os Merakis Spokes fecharem a VPN;

5º O MX spoke realiza o mesmo processo, porém fecha uma VPN IPsec com as informações do MX HUB (IP público etc);

- Agora pensando o Meraki Spoke, cada equipamento possúi pelo menos 1 interface internet, 4 interfaces lans (1 delas pode virar internet também dependendo do modelo) e uma entrada USB para modem 3G;

- As interfaces Wan (internet) podem ser configuradas com IP estático, dinâmico, com PPoE (com ou sem autenticação) e com ou sem vlan atrelada;

- As interface podem trabalhar em modo trunk (diversas vlans) podendo ter regras de acesso e bloqueio para cada vlan especifica, além de serviços como DHCP para cada uma;

- É recomendado a criação de templates para realizar o deploy de diversos MX, alterando somente a velocidade dos links de cada localidade (dificilmente há uma padronização nos links contratados);

- Exemplos de configuração de Firewall e Traffic Shapping em templates:



- O MX permite também o cadastro das suas aplicações para uma melhor customização nos relatorios de consumo (ex. Intranet = 10.10.10.10):

Agora falando sobre a minha perspectiva dos equipamentos:

Pontos positivos encontrados no dia-a-dia:
- Failover dos equipamentos no datacenter (concentradores) funcionam muito bem e a comunicação com a nuvem é em tempo real;
- Deploy via templates facilita muito o trabalho da equipe de infra (redes,suporte e segurança);
- Atualizações constantes inclusive adicionando features que os clientes propõem (botão make a wish) na dashboard;
- Maior visibilidade do tráfego de rede e auxílio no tshoot;
- Integração com a linha de switches e APs da Meraki;
- Dashboard disponível via aplicativo IOS e Android;

Pontos negativos encontrados no dia-a-dia:
- O AMP (Advanced Malware Protection) acaba bloqueando diversas aplicações internas, no deploy crie uma Group police disabilitando o AMP em casos extremos;
- O Meraki não decripta tráfego (deep inspection), por exemplo  HTTPS (muitos malwares utilizam ele para realizar um bypass em filtragens básicas);
- Quantidade de categorias do filtro de conteúdo pode ser limitado dependendo do modelo do MX;
- O failover dos MXs spokes podem demorar até 5 minutos para retornar, dependendo do segmento 5 minutos é uma eternidade:
- Poucos logs e dependendo da situação é necessário do suporte da Cisco para conseguir coisas básicas (captura de pacotes, logs mais avançados, etc);
- Pouca informação/documentação de alguns problemas específicos (por exemplo, apenas agora temos configuração via MPLS no suporte Meraki);
- Nuvem Meraki está na AWS então encontramos novos IPs que são bloqueados no firewall;

Pessoal, como falei no outro post, o Meraki não é a melhor solução de SD-WAN e nem de UTM, porém você provavelmente irá se deparar com o Meraki uma hora ou outra, melhor estar preparado pois o investimento da Cisco na LATAM em cima do Meraki vai ser pesado.

Link:

Abraços

terça-feira, 21 de novembro de 2017

Programa de estágios Cisco (CIIP)


Fala galera beleza?

A Cisco está com as inscrições abertas para o seu programa de estágio de 1 ano de duração na sede no vale do silício, nesse programa o estagiário irá adquirir habilidades técnicas, profissionais e de negócios também, além de ter acesso a todas as novidades da gigante de tecnologia.


Alguns requisitos para as vagas:



É uma oportunidade única na carreira do profissional de redes, boa sorte a todos!

Abraços

sexta-feira, 17 de novembro de 2017

Vamos falar sobre Meraki?


Fala galera beleza?

O titulo desse post é bem sugestivo kkk, mas como pouco gente no mercado conhece, ou conhece apenas a solução de wi-fi da Meraki, vou falar um pouco sobre eles.

Bem, falando um pouco sobre a história da Meraki antes de ser adquirida pela Cisco, na verdade a empresa surgiu em 2006 criada por 2 estudantes do MIT (PHDs) Sanjit Biswas e Jhon Bicket, porém foi em 2007 após a mudança da sua sede para San Francisco que a startup ficou famosa com um projeto chamado "Free the Net campaing" que colocava alguns access-points e repetidores ao redor de um bairro (Lower Haight)oferencendo internet de graça em São Francisco, assim o projeto pulou de 20,000 usuários para 100,000 no primeiro ano de utilização, tornando a empresa um grande sucesso no mercado americano.
A Meraki continuou investindo em seu portfólio de APs com as mais diversas tecnologias de mercado, porém o seu diferencial era que toda a gerencia dos dispositivos era realizada pela nuvem.

Em 2012 a Cisco adquiriu a Meraki por 1.2 bilhões de dólares e incorporou os seus serviços passando a se chamar Cisco Meraki e hoje em dia possuí mais de 230,000 clientes e mais de 3 milhões de dispositivos conectados.

Bom conhecendo um pouco sobre eles você deve estar se perguntando o que você tem haver com isso? Simples, a Cisco está investindo pesado no mercado da America Latina e principalmente nas pequenas empresas que é o foco do Cisco Meraki, então se você não trabalha com Cisco Meraki, provavelmente irá se deparar com eles em algum lugar daqui pra frente.

Na Cisco Live desse ano eles apresentaram 2 novos modelos de MX, 1 de Z3, a expansão da plataforma virtual do Meraki além da opção de dashboard em português.

Segue os modelos de APs oferecidos pela Meraki (últimas famílias lançadas):


Cada modelo tem a sua própria especificação, mas em geral o que muda é a potência, o ambiente que deve ser utilizado e algumas features mais simples (por exemplo o AP MR84 é utilizado em ambientes externos e tem proteção a poeira, vibração e choque), porém as features principais estão todas lá, que são:


Como podemos ver as vantagens das outras soluções Wireless são inumeras e vou citar algumas:
- Gerencia na nuvem (não necessita de controladora);
- Configuração simplificada (criação de templates na nuvem, basta conectar o AP na internet que ele faz o download das configurações);
- Acesso a guest simplificado (Aruba precisa do ClearPass, Cisco do ISE etc);
- Traffic Shapping em L7 - baseado na aplicação você consegue priorizar/bloquear/restringir o tráfego (ex.Facebook, Youtube etc);
- RF Optimization - Visão de spectrum em tempo real, radio especifico para segurança e gerencia de RF (concorrentes possuem appliance ou serviço cobrado a parte);
- Analytics - Visibilidade/localização dos seus clientes, podendo mensurar o tempo e os locais onde o cliente passou ou onde são os pontos de atenção do seus clientes;
- Layer 7 traffic shapping - priorização/restrição/bloqueio do trafego baseado na aplicação (L7);

Tudo isso acima apenas com 1 licença de utilização e o valor do equipamento, tudo em um.

Segue os modelos de Switches que a Meraki disponibiliza e as features encontradas neles:


Assim como os APs, os switches também são gerenciados pela nuvem e variam apneas a quantidade de portas SFPs de uplink, a potência do POE, a quantidade de stacks que podem ser feitos e as features de L3 para os switches de distribuição:

Security/SD-WAN:






Pessoal, a linha Security/SD-WAN chega com diversas features para atender diversos ambientes diferentes, features como Next-Generation Firewall,IPS, filtro de conteúdo, alta disponibilidade, proteção de malware etc.
Eles também seguem a tendencia do citados acima mudando somente o throughput, a quantidade de portas e a quantidade de clients suportados, com praticamente todas as features liberadas com 1 licença, segue as principais features:

Communication:


 Serviços de telefonia tradicionais gerenciados pela nuvem (voicemail, transferências, estatisticas etc):



Gerencias de sistemas:

Gerencia de devices, controle de desktops, smartphones, tablets etc:



Gerencia de camêras:





Além de todo esse portifólio de serviços e equipamentos, toda a gerencia pode ser realizada via aplicativo para android e IOS.

Link:

Abraços pessoal


quinta-feira, 16 de novembro de 2017

Linux Beginners in Cloud Online



Pessoal, a 4Linux está disponibilizando um curso de formação de administradores linux voltado para Cloud, o curso serve como porta de entrada na tanto pra quem quer iniciar uma carreira na área de Linux quanto quem quer ter uma noção básica de Cloud também, segue alguns prints e o conteúdo do curso:








Link:
https://www.4linux.com.br/curso/linux-gratis

Abraços