quarta-feira, 28 de março de 2018

Configurações básicas Switches acesso Cisco

Fala galera tudo bem?

Pessoal, vou postar uma configuração que geralmente uso como base nas configurações dos switches de acesso para alguns ambientes Cisco, obviamente não utilizo todas as features citadas, isso varia de ambiente para ambiente e sempre deve se levar em conta a manutenção e a quantidade de switches configurados, além dos padrões de segurança de cada ambiente (se há TACACs, Access Points, Etherchannel etc.):

Outro ponto importante é o nível de segurança do local (pontos de rede expostos, se há 802.1x, etc) pois não adianta colocar muita segurança e o dia a dia ficar inviável para quem gerencia essa rede.

#show running
Building configuration...
!
version 15...
no service pad
service timestamps debug uptime
service timestamps log datetime localtime
service password-encryption
!
hostname XXXXX
!
boot-start-marker
boot-end-marker
!
aaa new-model
!
enable secret XXXXX
!
ip domain-name XXXX.com.br
crypto key generate rsa modulus 2048
!
username XXXXX privilege 15 password XXXXX
!
clock timezone gmt -3
system mtu 1500
ip subnet-zero
!
errdisable recovery interval 60
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface Fa0
shutdown
exit
!
interface range Gi 1/0/1-48
switchport access vlan XXX (vlan de acordo com o departamento/área)
switchport mode access
switchport voice vlan XXX (se houver vlan de voz/telefone fixo)
switchport port-security
switchport port-security maximum 2 (cuidado pois alguns telefones fixos precisam que o valor seja setado à 3)
switchport port-security maximum 1 vlan access
switchport port-security maximum 1 vlan voice
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
spanning-tree portfast
spanning-tree bpduguard enable
spanning-tree guard root
switchport nonegotiate
storm-control broadcast level 15.00
storm-control multicast level 10.00
!
interface Gi 1/0/49
description UPLINK from (switch de onde vem o uplink)
switchport trunk allowed vlan XXXXX,XXXXX,XXXXX,XXXXX
switchport mode trunk
switchport nonegotiate
!
interface range Gi 1/0/51-52
switchport access vlan 999 (vlan de blackhole)
shutdown
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
interface VlanXXXXX
ip address XX.XX.XX.XX 255.255.255.0
no ip route-cache
!
banner motd ^C********************************************************************************
*******
* ATENCAO!! ESTE SISTEMA E RESTRITO APENAS A PESSOAS AUTORIZADAS!

* Se voce nao tem ou nao sabe se tem a autorizacao necessaria para o
       
* acesso a este sistema, desconecte-se agora.

* Toda acao executada neste sistema eh logada, podendo estas informagues

* serem utilizadas para quaisquer fim definidos pelo proprietario deste.

* Se voce nao concorda com esta politica, desconecte-se agora.

********************************************************************************
******* ^C
!
ip default-gateway XX.XX.XX.XX
ip http server
ip http secure-server
logging host XX.XX.XX.XX (syslog)
!
access-list XX permit XX.XX.XX.XX
!
snmp-server group XXX v3 priv read V3Read access XX
snmp-server view V3Read iso included
snmp-server user XXX XXX v3 auth sha XXXXX priv aes 128 XXXXX (chaves do SNMP da solução de monitoramento)
!
snmp-server community XXXXX RO
snmp-server location (local)
snmp-server contact (contatos)
!
line con 0
exec-timeout 3
line aux 0
exec-timeout 3
transport input ssh
login vty 0 4
exec-timeout 3
transport input ssh
line vty 0 15
exec-timeout 3
transport input ssh
login local
!
vtp mode client (se houver VTP)
vtp domain XXXXX
vtp password XXXXX
!
ntp server XX.XX.XX.XX prefer
ntp server XX.XX.XX.XX
end

Quando há um telefone VOIP físico no switch adicionamos (se houver suporte a QOS):
mls qos map policed-dscp 24 26 46 to 0
mls qos map cos-dscp 0 8 16 24 32 46 48 56
mls qos srr-queue output cos-map queue 1 threshold 3 5
mls qos srr-queue output cos-map queue 2 threshold 3 3 6 7
mls qos srr-queue output cos-map queue 3 threshold 3 2 4
mls qos srr-queue output cos-map queue 4 threshold 2 1
mls qos srr-queue output cos-map queue 4 threshold 3 0
mls qos srr-queue output dscp-map queue 1 threshold 3 40 41 42 43 44 45 46 47
mls qos srr-queue output dscp-map queue 2 threshold 3 24 25 26 27 28 29 30 31
mls qos srr-queue output dscp-map queue 2 threshold 3 48 49 50 51 52 53 54 55
mls qos srr-queue output dscp-map queue 2 threshold 3 56 57 58 59 60 61 62 63
mls qos srr-queue output dscp-map queue 3 threshold 3 16 17 18 19 20 21 22 23
mls qos srr-queue output dscp-map queue 3 threshold 3 32 33 34 35 36 37 38 39
mls qos srr-queue output dscp-map queue 4 threshold 1 8
mls qos srr-queue output dscp-map queue 4 threshold 2 9 10 11 12 13 14 15
mls qos srr-queue output dscp-map queue 4 threshold 3 0 1 2 3 4 5 6 7
mls qos queue-set output 1 threshold 1 138 138 92 138
mls qos queue-set output 1 threshold 2 138 138 92 400
mls qos queue-set output 1 threshold 3 36 77 100 318
mls qos queue-set output 1 threshold 4 20 50 67 400
mls qos queue-set output 2 threshold 1 149 149 100 149
mls qos queue-set output 2 threshold 2 118 118 100 235
mls qos queue-set output 2 threshold 3 41 68 100 272
mls qos queue-set output 2 threshold 4 42 72 100 242
mls qos queue-set output 1 buffers 10 10 26 54
mls qos queue-set output 2 buffers 16 6 17 61
mls qos

interface FastEthernet0/1
srr-queue bandwidth share 10 10 60 20
priority-queue out
mls qos trust device cisco-phone
mls qos trust cos
auto qos voip cisco-phone
service-policy input AutoQoS-Police-CiscoPhone

Não aconselho utilizar VTP  v1 e v2  nas configurações devido à grande probabilidade de derrubar a rede quando for adicionar um novo switch na rede (desconfigurado).

Pessoal, postem algumas adições, ou algumas configurações que vocês utilizam na camada de acesso, além dos casos que já encontraram.

Abraços

sexta-feira, 23 de março de 2018

Windows Server 2019 Preview Build


Fala galera beleza?

A Microsoft divulgou essa semana o beta teste da versão 2019 , essa nova versão aborda quatro tópicos principais: híbridos, segurança, plataforma de aplicativos e infraestrutura hiperconvergente (HCI, na sigla em inglês).



Essa nova versão está trazendo diversas novidades com relação a área de segurança:

- Windows Defender Advanced Threat Protection
- Windows Defender ATP Exploit Guard
- Shielded virtual machines: Offline mode, Alternate HGS, VMConnect  and Shielded Linux support
- Encrypted Network in SDN

Além de outras features para auxíliar o dia a dia do administrador de redes (SDN, Cloud, SEC e muito mais).

Link para download:
https://blogs.windows.com/windowsexperience/2018/03/20/announcing-windows-server-vnext-ltsc-build-17623/#uLTbZVHMyMuqYwBR.97


sexta-feira, 16 de março de 2018

Pesquisa APinfo sobre mercado de TI 2018

Opa galera beleza?

Está aberta a pesquisa anual do site da APinfo sobre o mercado de TI , cargos e salários, a pesquisa ajuda a criar um relatório 100% voltado para nossa área e serve como guia de como o mercado está se comportando ao longo de alguns anos (ex. quais certificações, quais áreas e quais cargos estão em alta).


Link:
http://www.apinfo2.com/apinfo/inc/quant144.cfm

Galera as estatísticas gerados pela pesquisa são excelentes para guiar um rumo na carreira do pessoal que está começando na área (já me guiei pela pesquisa) e vale a pena responder.

Abraços

segunda-feira, 12 de março de 2018

EVE-NG-PRO released 2.0.4-5-PRO


Fala galera beleza?

Finalmente a versão professional do EVE saiu, hoje pela manhã foi liberado o EVE-NG Professional no site da plataforma.

Essa nova versão traz algumas novidades com relação as versões grátis, algumas delas são:
- Suporte a multiusuários;
- Wireshark integrado;
- Suporte a Docker;
- 1024 nodes por lab;
- Limitação de tempo por usuário;

Abaixo as features completas:



O valor está saindo por R$ 396,99 (cerca de 33 reais por mês) e te da direito a 2 usuários simultaneos (para mais usuários você precisa de mais licenças):



Comparação entre as versões:



Link para compra:
http://www.eve-ng.net/index.php/buy

Abraços

quinta-feira, 8 de março de 2018

Treinamento preparatório HCNA - USP


Fala galera beleza?

A USP está disponibilizando um curso preparatório para a prova HCNA em convênio com a Huawei do Brasil, o curso é totalmente grátis bastando apenas atender os pré-requisitos abaixo:

Este treinamento visa preparar o estudante para o exame de Certificação HCNA-HNTD (Huawei Certified Network Associate), apresentando conceitos de redes, bem como, configurações e resoluções de problemas em dispositivos de rede Huawei.

Objetivos específicos: Capacitar o estudante para a compreensão e aplicabilidade dos fundamentos de redes, bem como, instalar, operar, configurar e verificar um cenário com os protocolos IPv4 e IPv6, incluindo configurações de equipamentos (switches e roteadores) e protocolos LAN e WAN. 

Datas:
Inscrição: Até dia 09/03/2018 – encerramento às 17h.
Seleção dos Candidatos e Divulgação do Resultado: 13/03/2018
Período de Realização do Curso:
12º Treinamento: Quartas e Sextas, 14/03/2018 à 20/04/2018, das 19h às 23h.
Datas do Curso: 14/03 – 16/03 – 21/03 – 23/03 – 28/03 – 04/04 – 06/04 – 11/04 – 13/04 – 20/04.
Local: Escola Politécnica da USP
Carga Horária: 40 horas

Detalhes do curso presencial: conteúdo geral, frequência mínima

Pré-requisitos:

Bom inglês técnico de leitura
Fundamentos de TCP-IP
Ser aluno de graduação ou pós-graduação ou trabalhar na área de tecnologia da informação
– Haverá critério de seleção a partir de um questionário sobre conceitos básicos de redes
– Este questionário deverá ser enviado pelo e-mail cadastrado até 17/08/2017.

Conteúdo:

HCNA-HNTD Huawei Network Technology and Device

Module 1-Building Basic IP Networks
Enterprise Network Constructs
Ethernet Framing
IP Addressing
Internet Control Message Protocol
Address Resolution Protocol
Transport Layer Protocols
Data Forwarding Scenario

 Module 2-Huawei Device Navigation and Configuration
Expanding the Huawei Enterprise Network
Navigating the CLI
File System Navigation and Management
VRP Operating System Image Management

Module 3-Supporting and Maintaining Enterprise Local Area Networks
Establishing a Single Switched Network
Spanning Tree Protocol
Rapid Spanning Tree Protocol

Module 4-Establishing Internetwork Communication
Segmenting the IP Network
IP Static Routes
Distance Vector Routing with RIP
Link State Routing with OSPF

Module 5-Implementing Network Application Services
DHCP Protocol Principles
FTP Protocol Principles
Telnet Protocol Principles

Module 6-Local Enterprise Network Features and Services
Link Aggregation
VLAN Principles
GARP & GVRP
Wireless LAN Overview

Module 7- Connecting Beyond the Enterprise Network
Bridging Enterprise Networks with Serial WAN Technology
Frame Relay Principles
Establishing DSL Networks with PPPoE
Network Address Translation
Establishing Enterprise Radio Access Network Solutions

Module 8-Securing the Enterprise Network
Access Control Lists
AAA
Securing Data with IPSec VPN
Generic Route Encapsulation

Module 9-Enterprise Network Management Solutions
Simple Network Management Protocol
eSight Network Management Solutions

Module 10-Supporting IPv6 Networks
Introducing IPv6 Networks
IPv6 Routing Technologies
IPv6 Application Services – DHCPv6

Frequência mínima 75%

Training Methods
Lecture,  Hands-on exercise

Link:
http://www.pad.lsi.usp.br/?p=515

Abraços pessoal.

sexta-feira, 2 de março de 2018

Novo recorde de DDOS (1.3 Tbs)


Fala galera beleza?

O GitHub (maior repositório de desenvolvimento) foi atacado nessa quarta feira com o maior ataque DDOS já registrado ficando fora do ar durante o período de 5 minustos (17:21 a 17:26 UTC), na realidade se tratou de um ataque de amplificação chamado Memcrashed (https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/) utilizando a porta 11211 UDP:




Ao contrário dos ataques convencionais, o Mamechached não precisa de uma botnet ou malware instalado, ele apenas realiza um spoof do IP da sua vítima e envia pequenas queries para múltiplos servidores  (10 segundos por servidor) que por sua vez retorna cerca de 50 vezes o dado requisitado ao ip da vitima (ataque de amplificação).



Para se defender, o GitHub transferiu o tráfego para o Akamai que utilizou diversar formas de defesa, uma delas foi o Prolexic's general DDoS defense infrastructure (https://www.akamai.com/uk/en/products/cloud-security/prolexic-solutions.jsp);

Além do GitHub, na segunda feira a Prolexic também sofreu o mesmo tipo de ataque (200 Gbs);

Uma das medidas de prevenção é desabilitar o tráfego UDP dos servidores expostos na internet, além de coloca-lo atrás de um perímetro protegido por um firewall, em caso de trafego suspeito, crie filtros bloqueando a saída dos pacotes.

Agora é esperar o próximo recorde de DDOS ou a próxima forma de ataque.

Abraços pessoal