Diego Dias

Vídeo: PBR – Policy-Based Routing

22 de junho de 201822 de junho de 2018Diego DiasLeave a comment

A utilização de PBR, policy-based routing, permite ao engenheiro de rede alterar o comportamento padrão de roteamento baseando-se em diferentes critérios ao invés de somente a rede de destino, incluindo o endereço de rede de origem, endereços TCP/UDP de origem e/ou destino, tamanho do pacote, pacotes classificados com fins de QoS, etc.

Até logo!

Vídeo: Link-Aggregation

20 de junho de 2018Diego DiasLeave a comment

A agregação de diversas interfaces Ethernet (portas físicas) para a utilização de uma única porta lógica com o intuito de prover redundância e aumento de banda é uma atividade muito comum em redes de médio e grande porte . No vídeo abaixo, fazemos uma breve descrição sobre a configuração para Link-Aggregation.

Até logo!

Guia Básico para Configuração de Switches – Segurança – volume 3

1 de junho de 20181 de junho de 2018Diego Dias2 Comments

Galera, disponibilizamos para a compra o nosso terceiro eBook (no formado PDF) com foco em Switches 3Com/H3C/HP que chamamos de “Guia Básico para Configuração de Switches – Segurança”. O material está em português e serve como apoio para compreender alguns tipos de ataques a switches como também a configuração de funcionalidades como ACL, Port Security, DHCP Snooping, proteção ao STP, autenticação via RADIUS, TACACS+, 802.1x, etc.

O eBook aborda diversos assuntos já citados aqui no Blog, mas possui um foco mais didático. Os tópicos abordados são:

• Introdução à Segurança da Informação
• Processo Learning e Forwarding
• Protegendo o STP
• DHCP e ARP
• ACL
• AAA
• 802.1x
• Melhores Práticas

A escolha do PagSeguro como ferramenta, veio pela facilidade do cadastro e o suporte para pagamentos via Boleto, transferências de Pontos, transferências Bancárias e Cartão de Crédito. 😉

Após a conclusão da compra e a confirmação do PagSeguro, encaminharemos o eBook para o e-mail cadastrado no site.

Para visualizar algumas “folhas”… Clique aqui

Valor R$ 29,99

Comware7: Template para IPv6 Prefix-list

26 de Fevereiro de 201826 de Fevereiro de 2018Diego DiasLeave a comment

Um prefixo ‘bogon’ é uma rota que nunca deve aparecer na tabela de roteamento da Internet. Um pacote roteado pela Internet pública nunca deve ter um endereço de origem em um intervalo ‘bogon'(não incluindo VPNs ou outros tipos túneis). Estes são geralmente encontrados como endereços de origem de ataques DDoS.

A equipe 6Bogon mantém recomendações atualizadas para Filtro de Pacotes e para Filtro de rotas IPv6 para xSP, descrevendo as recomendações para filtragem de pacotes e filtragem de rotas para uso em roteadores de borda que falam IPv6 em/com xSPs. Continue reading →

Comware – Password-control

23 de Fevereiro de 201823 de Fevereiro de 2018Diego DiasLeave a comment

A funcionalidade password-control (controle de senha) refere-se a um conjunto de funções fornecidas pelo Switch para controlar senhas de login com base em políticas predefinidas, para a base local de usuários.

Com o password control, o administrador pode configurar o comprimento mínimo da senha, a verificação da composição da senha, a verificação da complexidade da senha, o intervalo da atualização da senha, o prazo para a senha expirar, aviso prévio na expiração da senha pendente, login com uma senha expirada, histórico de senhas, limite de tentativa de login, exibição de senha, gerenciamento de tempo limite de autenticação, tempo de inatividade, etc. Continue reading →

Comandos secretos para os Switches HP 1950

2 de Fevereiro de 20185 de Fevereiro de 2018Diego Dias2 Comments

Galera, segue abaixo a dica para liberar a configuração de algumas funcionalidades via CLI para os Switches HP 1950.

O comando “xtd-cli-mode” no modo user-view libera a configuração “avançada” do Switch via CLI.

Após digitar o comando aparecerá a imagem de warning abaixo. A senha é: foes-bent-pile-atom-ship Continue reading →

Bate-papo sobre o ClearPass Policy Manager

23 de agosto de 201723 de agosto de 2017Diego DiasLeave a comment

O ClearPass é um gestor de politicas que atua na autenticação de usuários e dispositivos e aplica regras baseadas no contexto da conexão, criando políticas que protegem o acesso à rede em redes wireless e cabeada de vários fornecedores.

No vídeo abaixo, compartilho um bate papo do time Aruba.

Outro vídeo do fabricante em português sobre a ferramenta https://youtu.be/Islls9Eypow

Abração

Guia para comparação de comandos (ArubaOS-Switch/Comware/Cisco) v3.3

30 de junho de 201730 de junho de 2017Diego DiasLeave a comment

Galera, a Aruba disponibilizou um guia de comparação de comandos CLI dos switches ArubaOS/Comware/Cisco.

O documento fornece boas referências para aqueles que já dominam a configuração em um determinado fabricante mas precisam administrar um ambiente misto.

Há novos itens adicionados em comparação as versões anterior como:

Capítulo 2: Password Complexity
Capítulo 6: ArubaOS supports NTP
Capítulo17: c: VxLAN
Capítulo17: d: MDNS, IPv6 ND Snooping, BFD
Capítulo17: e: RIPNG
Capítulo17: f: IP-SLA, Portscan Detection
Capítulo 28: ACLs
Capítulo 37: Tunneled Node, Trust QoS and Clear Pass Integration

O documento está disponível para download gratuito no site da HPepress:

https://hpepress.hpe.com/product/ArubaOS-Switch+Comware+and+Cisco+IOS+CLI+Reference+Guide-PDF-18113

Se o link estiver quebrado, deixe um comentário.

RADIUS Change of Authorization (CoA)

28 de junho de 201728 de junho de 2017Diego DiasLeave a comment

Em uma implantação tradicional com AAA utilizando RADIUS, após a autenticação, o Servidor RADIUS apenas assina a autorização como resultado de uma requisição de autenticação.

No entanto, existem muitos casos em que é desejável que hajam alterações sem a exigência do NAS para iniciar a troca de mensagens. Por exemplo, pode haver a necessidade de um administrador da rede ser capaz de encerrar a ‘sessão’ de uma porta autenticada com 802.1x.

Alternativamente, se o usuário alterar o nível de autorização, isto pode exigir que novos atributos de autorização sejam adicionados ou excluídos para o usuário.

Outro exemplo, é a limitação da banda disponível a um usuário após exceder a banda liberada em uma rede wifi, por exemplo.

Para superar essas limitações, vários fabricantes implementaram comandos RADIUS adicionais a fim de permitir que mensagens ‘não solicitadas’ sejam enviada para o NAS . Estes comandos estendidos fornecem suporte para desconectar (disconnect) e mudar de autorização (CoA – Change-of-Authorization).

CoA

Com o avanço da tecnologia e o surgimento de novas demandas, o padrão RADIUS CoA (Change of Authorization) permite ao Servidor iniciar a conversação com o equipamento de rede aplicando comandos: shut/ no shut, alterar a VLAN, ACL, banda ou então apenas re-autenticar o usuário. As vezes um endpoint pode ser roubado, infectado, ter o anti-virus desabilitado, ultrapassar do limite dos dados disponíveis para navegação ou então ocorrer outros fatores que possam afetar a postura. Nesse caso a rede deve ser capaz de interagir à essas mudanças e atualizar o nível de acesso e autorização para esse dispositivo.

Exemplo

No cenário acima, o cliente (suplicante) inicia a autenticação; após a troca de certificados e credenciais, o servidor autoriza o usuário enviando uma mensagem RADIUS Access-Accept ao NAD. Uma vez o usuário autenticado, o NAD enviará atualizações de accouting RADIUS para o servidor para atualizá-lo com informações da sessão do usuário: como largura de banda, tempo da sessão etc.

Usando as mensagens de Accounting, o servidor de autenticação pode correlacionar o MAC e o endereço IP de um usuário com o tempo da conexão.

Se pensarmos em uma rede sem fio, podemos habilitar a desconexão com uma mensagem RADIUS Coa Disconnect-Request para a Controller quando um cliente atingir o limite de 100Mb de trafego.

Referências

https://tools.ietf.org/html/rfc5176

https://tools.ietf.org/html/rfc3576

ClearPass Essentials Student Guide – HP Education Services

IRF em Switches HP 5500 (JG543A) utilizando módulo traseiro

26 de Maio de 201726 de Maio de 2017Diego Dias2 Comments

Essa semana troquei alguns emails com o Samuel Alencar de Fortaleza/CE, sobre a configuração de um IRF em Switches HP 5500 (JG543A) utilizando o módulo traseiro com interfaces CX4 (JD360B).

Ele foi bastante gentil em compartilhar com o Blog o script final da configuração. Aproveitem!

CONFIGURAÇÃO DO SWICTH A

PASSO 0

<HP> reset saved-configuration
<HP> reboot
! reinicie o switch e não salve a configuração.

PASSO 3

[HP] irf member 1 priority 32
[HP] int tengigabitethernet 1/1/1
[HP –Ten-GigabitEthernet1/1/1] shutdown

[HP] irf-port 1/1
[HP – irf-port] port group interface tem 1/1/1
[HP] int TenGigabitEthernet 1/1/1
[HP –Ten-GigabitEthernet1/1/1] undo shutdown
[HP] irf-port-configuration active
[HP] save

CONFIGURAÇÃO DO SWICTH B

PASSO 1

! Desconecte os cabos do IRF
<HP> reset saved-configuration
<HP> reboot
! reinicie o switch e não salve a configuração.

PASSO 2

[HP] irf member  1 renumber 2
[HP] quit
<HP> reboot

PASSO 4

[HP] irf member 2 priority 31
[HP] int tengigabitethernet 2/2/2
[HP –Ten-GigabitEthernet2/2/2] shutdown

[HP] irf-port 2/2
[HP – irf-port] port group interface tem 2/2/2
[HP] int TenGigabitEthernet 2/2/2
[HP –Ten-GigabitEthernet2/2/2] undo shutdown
[HP –Ten-GigabitEthernet2/2/2] quit
[HP] irf-port-configuration active
[HP] save
! Reconecte os cabos e se o switch não reiniciar automaticamente, digite
! o comando 'irf-port-configuration active'.

[HP]quit
<HP>reboot

Para outros artigos sobre IRF clique aqui http://www.comutadores.com.br/?s=irf