E ai pessoal…

Good news!!! Principalmente pq este é um assunto que interessa muito a vocês…

Depois de um tempo estudando e aprimorando, consegui realizar com sucesso um ataque do tipo Man In The Middle (MiTM).

As ferramentas utilizadas foram o SSLStrip e o Ettercap apenas, ambos softwares do Backtrack… Mas o que esse MiTM significa exatamente e o que da pra fazer com isso? Bom, vou responder com uma imagem… observem o usuário, senha e site da figura abaixo.

SSLSTRIP+ETTERCAP

 

Pois é! Você consegue pegar a senha de qualquer site que use https, tipo facebook, gmail, hotmail, etc. Simples assim…

Então em breve teremos mais um vídeo mostrando como fazer esse tipo de ataque!

Até logo,

Bartulihe

Switch Cisco 2960X e 2960XR

Publicado: 2 de outubro de 2013 em Routing & Switching
Tags:, ,

Você conhece a nova linha de switches de acesso 2960-X e 2960-XR?

Sabe qual a diferença em relação ao 2960-S?

No post de hoje iremos responder estas e outras perguntas.

Primeiramente, uma imagem dessa linha de switches de acesso…

Switches 2960-X e 2960-XR.

Switches 2960-X e 2960-XR.

A linha 2960 e 2960-S era equipada com processadores de apenas 1 Core, já a linha 2960-X e XR possui processadores Dual-Core de 600 MHz. Também foi adicionado memória Flash e DRAM!

No 2960-XR é possível utilizar duas fontes de energia (hot-swappable) para maior redundância, conforme pode ser visto na imagem acima. Tal switch também é Layer 3, mas falarei mais sobre isso no decorrer do post…

Também foi introduzida a tecnologia FlexStack-Plus que é uma melhoria do FlexStack (empilhamento de switches, fazendo com que todos os switches da pilha operem como um único switch). Agora é possível empilhar até 8 switches com banda total de até 80 Gbps. Com a FlexStack era possível empilhar apenas 4 switches obtendo a banda de 40 Gbps.

É necessário adicionar o stack-module para o switch ser “stackavel”. Tal módulo é hot-swappable.

A tabela abaixo sumariza tais informações:

FlexStack-Plus

FlexStack-Plus

Alguns pontos importantes sobre FlexStack e FlexStack-Plus:

  • Os modelos LAN Base e IP Lite (falarei sobre isso depois) suportam stack.  LAN Lite é um modelo standalone, que não suporta stack;
  • Não é possível ter um stack com switches de diferentes features set, por exemplo: switches LAN Base e IP Lite não podem formar um stack, dessa forma, não é possível empilhar switches 2960-X e 2960-XR juntos;
  • Investiment Protection: é possível empilhar switches FlexStack e FlexStack-Plus, por exemplo, 2960-X e 2960-S, no entanto, as features são limitadas à tecnologia FlexStack: 40 Gbps e máximo de 4 membros. É importante lembrar que é necessário aplicar o comando “switch stack-speed 40” caso haja um mix de switches na mesma pilha.
  • No caso de stack com mix de switches, todos devem estar na mesma release de IOS, sendo a versão mínima a 15.0(2)EX;

As principais melhorias da linha 2960-X e XR em relação ao 2960-S são:

  • Dual-Core;
  • FlexStack-Plus, possibilitando o empilhamento de até 8 switches e banda de 80 Gbps;
  • Duas fontes de energia (2960-XR apenas);
  • Netflow-Lite em todas as portas;
  • Switch Hibernation Mode;
  • Energy-Efficient Ethernet (EEE) – 802.3az;
  • Layer 3 (2960-XR apenas);

Como pode-se notar, há diversas melhorias para tornar esta linha  mais “green”, tornando-o eficiente e, consequentemente, reduzindo os custos.Green Technology

Switch Hibernation Mode coloca o switch em modo de hibernação durante um período pré-programado possibilitando redução de até 90% no consumo de energia fora do horário de produção. Durante este período o switch fica inativo, as ASICs (application-specific integrated circuits) são desligadas, bem como equipamentos PoE conectados ao switch. Apenas a DRAM fica ativa, mantendo os dados.

Como tirar o switch do modo de hibernação?

O switch sai do modo de hibernação após terminar o período pré-programado ou apertando o botão MODE.

Caso seja configurado o modo de hibernação em uma pilha de switches, ele é aplicado a todos os switches membros do stack, não sendo possível que apenas determinado membro do stack hiberne.

Outra técnologia green destes switches é o suporte ao padrao 802.3az – Enery-Efficient Ethernet (EEE), habilitado por default em todas as interfaces de downlink. Com isso a interface é colocada em um modo de baixo consumo de energia durante os períodos em que não está sendo utilizada. É importante lembrar que o dispositivo conectado a interface do switch deve ser compatível com o padrão EEE, para verificar o status pode-se utilizar o comando “show eee status interface Gigabit Ethernet X/X“.

Falando sobre as feature sets…

A linha 2960-X/XR utiliza um IOS universal e suporta 3 features set:

  • LAN Lite: entry-level Layer 2 features, destinadas ao midmarket em geral. Pessoalmente eu nao recomendo, pois você sentirá falta de features que gostaria de ter, em especial as de segurança;
  • LAN Base: Advanced Layer 2 features. Essa sim eu recomendo!
  • IP Lite: Layer 3 features!
2960-X Feature Sets

2960-X Feature Sets

IMPORTANTE: a feature set é atrelada ao hardware e não a licenças. Sendo assim, não é possível adquirir um equipamento LAN Lite e posteriormente fazer o upgrade para LAN Base. Compre logo o LAN Base ou IP Lite que será melhor, eu garanto!

Como identificar a feature set?

Pelo Part Number, a ultima letra do Product ID indica a feature set.

“-L” = LAN Base

“-LL” = LAN Lite

“-I” = IP Lite

Por exemplo:

WS-C2960XR-48FPS-I é IP Lite.
WS-C2960X-48LPS-L é LAN Base.
WS-C2960X-48TS-LL é LAN Lite.

Via CLI pode-se utilizar o comando “show license” e verificar qual está ativa. Como exemplo, o output abaixo exibe um switch LAN Base:

C2960-X_Switch# show license
Index 1 Feature: lanlite
Period left: 0 minute 0 second
Index 2 Feature: lanbase
Period left: Lifetime
License Type: Permanent
License State: Active, In Use
License Priority: Medium
License Count: Non-Counted

Por fim, vamos falar do 2960-XR… O que ele tem de vantagem?

  • Fonte redundante integrada, sem a necessidade de RPS externo;
  • Layer 3 Features:
  • 48 EtherChannel Groups

As features Layer 3 são:

  • RIP V1 e V2;
  • OSPF V2 e V3 Stub;
  • EIGRP Stub;
  • Equal-cost Routing;
  • HSRP;
  • PIM (Sparse Mode, Dense Mode, Sparse Dense Mode, Source Specific Multicast) stub;
  • VRRP;
  • Private VLANs.

A tabela abaixo sumariza as principais funcionalidades do 2960, 2960-S, 2960-X e 2960-XR.

Comparação 2960

Comparação 2960

Caso tenham dúvidas, dicas ou sugestões, postem nos comentários… =)Follow_Me

Se inscrevam no blog para receber notificações sempre que um novo post for publicado, clique em seguir, lá em cima…

Ah… se increvam no meu canal do YouTube tb: www.youtube.com/mbartulihe.

Abraços,

Marco Bartulihe

Recentemente encontrei o seguinte problema ao abrir o Cisco Configuration Professional no Internet Explorer 10:

CCP Problem

A tela é carregada parcialmente.

Para resolver isso é simples.

Aperte ALT para abrir o Toobar do IE e acesse Tools > Compatibility View Settings.

Compatibility View Settings

Adicione o IP 127.0.0.1.

Compatibility View Settings 2

E finalmente, funcionando!!!

CCP Solved

Abraços,

Bartulihe

Mal saiu a versão 7.4 do WLC, com a grande novidade do AVC (Application Visibility and Control) – feature que permite ver as aplicações que trafegam pela rede Wireless (por WLAN ou por usuário) e criar políticas para remarcar ou descartar os pacotes, e já saiu uma versão novinha… a 7.5, que tráz ainda mais coisas interessantes!

Na versão 7.4 foi implementado o HA – High Availability – que permite que os WLCs maiores (5500, 7500, 8500 e WiSM-2) operem de forma redundante, como uma única caixa.

Deployment Guide de HA – http://www.cisco.com/en/US/products/ps10315/products_tech_note09186a0080bd3504.shtml

Na versão 7.4 foi implementado o AP SSO, ou seja, as tabelas de APs conectados são replicadas entre ambos WLCs. Dessa forma, se um WLC falhar, os APs não precisam se reassociar. Esse processo demora de 5 a 100 ms.

TODAVIA, na versão 7.4 não havia sido implementado o Client SSO. As tabelas de APs connectados são replicadas, mas a de usuários conectados não. Dessa forma, no caso de falha de um WLC, os APs não precisam se reassociar, mas os usuários conectados sim.

Na versão 7.5 isso foi corrigido, sendo implementado, além do AP SSO, o Client SSO. Agora todas as tabelas são sincronizadas entre ambos equipamentos e um deles pode falhar que nenhum usuário será impactado.

Outra novidade da versão 7.5 foi o suporte ao módulo 802.11ac, também conhecido como Gigabit WiFi, pois permitirá conexões de até 1,3 Gbps na primeira Wave.

Agora também é possível criar um par HA de WLCs em Data Centers diferentes conectando as interfaces RP (redundant port) através de switches em uma VLAN Layer 2. É importante que não haja roteamento para o HA funcionar.

WLC5508

Uma das coisas que eu achei mais interessantes e legais nessa versão é a possibilitade de tratar dispositivos móveis como smartphones e tablets, possibilitando a adoção do BYOD. Não chega a ser um ISE, mas já faz 80% das coisas que escuto os clientes pedindo. Nessa versão é possível detectar o tipo de dispositivo e criar regras aplicando:

  • ACL;
  • VLAN
  • QoS
  • Session Timeout
  • Sleeping Client Timeout (já vou falar disso)

As imagens abaixou ilustram uma policy que eu criei chamada de Mobile_Devices. Esta policy detecta dispositivos móveis e aplica o QoS Gold (porque eu gosto de assistir vídeos em HD no Ipad rs).

Local Policies

Device List:

Policy_001

Ação realizada:

Policy_002

Aplicando a Policy a WLAN:

Policy_003

Diversas Policies podem ser aplicadas a uma WLAN. Elas serão verificadas de forma sequencial e a primeira a dar match será executada.

A imagem abaixo exibe a nova coluna que pode ser vista em Monitor > Clients: Device Type.

Monitor_Clients

Agora uma boa notícia para quem faz implantações Wireless de forma errada em desacordo com as Best Practices: é comum ver em implantações toscas, usuários corporativos sendo tratados como guests, ou seja, a rede Wireless corporativa, utiliza certificado (PEAP, EAP-TLS, EAP-FAST, etc), mas só os notebooks utilizam essa rede. Smartphones e tablets se conectam a WLAN de guest que utiliza Web Authentication, para isso, usam um usuário com lifetime infinito. Este é o primeiro erro: credenciais diferentes. Para acessar os recursos da empresa os usuários usam a senha do AD. Para acessar o Wifi do smartphone, usam outra senha.

O problema da Web Authentication para usuários corporativos: cada ver que o smartphone hiberna, é necessário entrar com as credenciais novamente para acessar o WiFi. Obviamente isso irrita muito os usuários, principalmente os VIPs.

Para tanto, foi implementada a feature Sleeping Clients. Agora é mantido um cache dos usuários autenticados em WLANs com WebAuth. Dessa forma, quando o smartphone hiberna, não é necessário digitar as credenciais novamente!🙂

Sleeping_Clients

Brincadeiras a parte, essa feature não é para fazer implantações incorretas operarem de forma que agrade os usuários. Mas mesmo para os guests, era muito chato ter que digitar o usuário e senha toda vez que o celular hibernava.

Agora que eu falei de um monte de coisa bacana da versão 7.5, vamos ao outro lado da moeda!

Se você utiliza o Cisco Prime Infrastructure para monitorar a LAN e WLAN e adorou as novidades da versão 7.5, você precisará atualizar o Prime para versão 1.4 antes de realizar o upgrade do WLC.

O fato é que a Cisco chamou a versão 1.4 de “desenvolvimento paralelo”. E o que isso quer dizer?

Usuários da versão 1.3 do Prime, poderão fazer o upgrade para futura versão 2.0.

Usuários da versão 1.3 do Prime, por se tratar de um desenvolvimento paralelo, terão que aguardar a versão 2.1.

Portanto, selo de XGH (Extreme Go Horse) para versão 1.4 do Prime:

XGH

Para quem não conhece a metodologia de programação XGH, segue link. VALE A PENA LER!!! RSRS

Minha opinião pessoal sobre esta versão: Estou utilizando-a em ambiente de Lab há mais de uma semana, não detectei nenhum problema grave. A feature Local Policies é show de bola e a sleeping clients, excelente!

Bartulihe

Meu Canal do Youtube

Um dos posts com mais acessos é o Criando uma Wordlist com o Chunch.

Também surgiram muitas dúvidas, tais como:

Quero criar uma wordlist com todas as combinações possíveis, como faço?

ou

O Backtrack trava quando tento criar uma Wordlist. Estou tentando criar uma wordlist com 10 caracteres e usando os caracteres: A-Z, a-z, 0-9, !@#$%¨&*()_

Criar uma wordlist desse porte, é possível, mas é viável? Você sabe quantas combinações serão geradas? E, mais importante, você vai ter espaço em disco para armazenar essa Wordlist?

No post de hoje irei mostrar como calcular o tamanho da Wordlist.

Para isso vamos usar um exemplo. Digamos que iremos tentar quebrar uma chave WPA que exige o mínimo de 8 caracteres. Para gerar a wordlist vamos usar todos os caracteres do alfabeto, minúsculos, e números de 0 a 9, totalizando 36 caracteres (26 + 10).

O comando para gerar tal wordlist é:

./crunch 8 8 0123456789abcdefghijklmnopqrstuvwxyz -o WPA_List.txt

ou, ainda mais simples:

./crunch 8 8 -f charset.lst lalpha-numeric -o WPA_List.txt

Parace uma wordlist simples, mas ao ver os números, você vai pensar duas vezes antes de gerá-la…

A fórumla para calcular o tamanho da wordlist é:

(x^y) * (y+1) = Tamanho em bytes, onde:

x = Número de caracteres sendo utilizados para gerar a Wordlist

y = Tamanho da Wordlist

No nosso exemplo:

(36^8)*(8+1)

Calculando:

003

25389989167104 é o tamanho da Wordlist em bytes. Podemos usar qualquer calculadora online para converter para outra escala.

004

Ou seja, a Wordlist, aparentemente simples, possui pouco mais de 23 TB!!!

Usando o chunch para gerar a wordlist na tela (ou seja, usando o comando ./crunch 8 8 -f charset.lst lalpha-numeric) e apertando CTRL+C para parar a criação da wordlist, podemos confirmar o tamanho da wordlist:

005

O Crunch informa que o tamanho da Wordlist é de 23 TB. Observe também a quantidade de combinações (linhas na wordlist), possíveis: 2.821.109.907.456. Isso é muita coisa, testar todas essas combinações levaria bastante tempo…

Nesse  site, muito bom por sinal, o autor criou um script para calcular o tamanho da wordlist. Eu peguei este script e traduzi para o Português (mantendo os créditos, obviamente). Você pode fazer o download do script traduzido clicando no link abaixo.

DOWNLOAD

http://www.4shared.com/file/jA4gndd7/crunch_size.html

Depois de salvar no diretório root, basta executá-lo utilizando o comando:

./crunch_size

Caso apareça a tela abaixo referente a permissão para executar o script, digite o seguinte comando:

chmod u+rwx crunch_size

BT5R3-2013-07-14-21-49-06

Agora é só executar o script novamente, com o comando ./crunch_size.

Wordlist_Scrip_PT-BR_001

Executando o script para o nosso exemplo:

Wordlist_Scrip_PT-BR_002

Agora você vai pensar duas vezes antes de criar uma wordlist…

Deixem seus comentários, caso tenham dúvidas ou sugestões, e se inscrevam no meu blog e no Canal do Youtube para receber por email as atualizações.

Canal do Youtube:

http://www.youtube.com/mbartulihe

Ontém, 26/7, a Cisco finalmente lançou a tão esperada versão 1.2 do Cisco Identity Services Engine (ISE).

O Release Notes pode ser encontrado nesse link.

ISE 1.2 002

Essa versão trás grandes melhorias!!! Talvez a principal seja a alteração da arquitetura de x86 para x64. Com isso haverá melhor performance e escalabilidade, tornando o ISE ainda mais rápido. A versão x86 suportava até 100k endpoints simultâneos, já a x64 suporta até 250k.

A tela inicial mudou um pouco:

ISE_Tela Inicial

E a tela de Authentications também:

AuthenticationsA imagem abaixo resume as principais melhorias.

Huge Release

Os appliances 33×5 (ISE-3315-K9, ISE-3355-K9 e ISE-3395-K9) entraram em end-of-life, conforme anúncio que pode ser visto neste link.

Agora os appliances utilizandos são os Cisco Secure Network Servers, que são baseados no UCS C220, mas designados para o ISE, NAC e ACS. Os novos servidores são SNS-3415-K9 e SNS-3495-K9. O dimensionamento é feito utilizando a tabela abaixo.

ISE Sizing

Outra melhoria interessante é o Logical Profiles. Com ele você pode criar um grupo de determinados dispositivos que compartilham a mesma regra e usar estre grupo em uma Authorization Policy. Um exemplo de aplicação é criar um Logical Profile para dispositivos móveis, incluindo Android, iPhone, iPad, etc.

Antes da release 1.2 a AuthZ Policy precisava ser criada assim:

AuthZ_Policy

Agora é criada assim:

AuthZ_Policy_New

Criar o Logical Profile é bem simples:

Logical Profiles Creation

Outra aguardada melhoria foi o dACL Checker, que verifica se a sintaxe da Access List está correta. Isso certamente irá poupar muitos erros por falta de atenção…

dACL_Checker_001

dACL_Checker_002

dACL_Checker_003

Também houveram melhorias no Guest Portal, tornando-o mais amigável em dispositivos móveis. Em outras palavras, agora não é necessário que o usuário fique dando zoom para entrar com as credenciais. A imagem abaixo exibe a tela de um iPad.

Guest Portal iPad

Os MDM suportados são:

  • AirWatch Version 6.2
  • Mobile Iron Version 5.0
  • ZenPrise Version 7.1
  • Good Version 2.3
  • SAP Sybase

Apenas UM MDM pode estar ativo ao mesmo tempo no Cisco ISE.

Agora que você viu quantas melhoras existem nessa versão, deve estar ansioso para testá-la. Neste link você encontra o upgrade guide para versão 1.2, informando todos os passos para instalar uma fresh version, ou fazer o upgrade.

Vale ressaltar essa excelente apresentação que eu encontrei com muito mais detalhes sobre as novas features da release 1.2 do Cisco ISE… link.

Se você gostou desse post, se increva em meu blog para receber atualizações por e-mail e deixe seu comentário… o incentivo é muito importante. E se não gosto, deixe um comentário também dizendo o motivo!

Se increvam no meu canal do YouTube tambem: www.youtube.com/mbartulihe

Marco Bartulihe

Gerenciar uma grande quantidade de senhas não é tarefa fácil… Senhas de acesso à rede, acesso aos equipamentos, acesso ao e-mail e aos sistemas da empresa , etc. Geralmente cada empresa que faz determinada implantação cria usuários locais para os respectivos equipamentos implantados. No final das contas você tem que criar uma planilha mapeando os endereços IP e sistemas às suas respectivas senhas… a famosa planilha de senhas!

O ideal é unificar todas essas senhas e acessos. Praticamente todas as empresas utilizam o Active Directory como Identity Store. Este é o seu usuário e senha para acessar o e-mail da empresa, entrar nos sistemas, etc. Sendo assim, uma boa prática é criar um grupo especifico no AD como, Technical Team, por exemplo, e os usuários deste grupo possuirem permissões para acessar os equipamentos.

No post Acessando a CLI de Roteadores e Switches utilizando o Cisco ISE (Radius) mostrei como utilizar o Cisco ISE para autenticar os usuários que acessam roteadores e switches, as credenciais podiam ser validadas através do AD.

Hoje mostrarei como configurar a própria gerência do Cisco ISE para utilizar os usuários de determinado grupo do Active Directory.

O primeiro passo é associar o Cisco ISE ao AD. Para isso acesse Administration > Identity Management > External Identity Sources. Selecione Active Directory. Preencha com o nome do domínio, de um nome para este AD. Clique em Save e depois Join.

Quando solicitado, entre com as credeciais de administrador do AD. Estando tudo ok, em status mostrará Connected to: nome do AD, conforme exibe a imagem abaixo.

ISE-AdminUser-AD_001

Agora vamos buscar os grupos do AD. Para isso, clique na guia Groups > Add > Select Groups From Directory. Na tela que aparecer, clique em Retrieve Groups. Selecione o grupo que será utilizado (neste exemplo, Technical Team) e clique em OK.

ISE-AdminUser-AD_002

O próximo passo é configurar a gerência do ISE para utilizar o AD. Selecione Administration > System > Admin Access. Clique em Authentication e selecione, em Identity Source, o AD previamente adicionado. Clique em Save.

ISE-AdminUser-AD_003

No menu esquerdo, expanda Administrators, clique em Admin Groups e depois em Add.

ISE-AdminUser-AD_004

Na tela que aparecer, preencha com o nome e uma descrição para este grupo e em Type, marque External. Em External Groups, selecione o grupo do AD que terá permissão para acessar o Cisco ISE. Clique em Submit.

ISE-AdminUser-AD_005

Agora precisamos definir qual o perfil de autorização que este grupo terá, ou seja, se este grupo será um Super Admin, Helpdesk Admin, Network Device Admin, entre outros. Para isso, no menu esquerdo, expanda Authorization e clique em Policy. Insira uma nova Policy, clicando em Actions e selecionando Insert New Policy.

Dê um nome para esta regra e selecione o grupo criado anteriormente (External System Admin) e o respectivo nível de permissão. Neste exemplo, Super Admin.

ISE-AdminUser-AD_006

Feito!

Agora vamos testar… Clique em logout. Será exibida a tela abaixo.

ISE-AdminUser-AD_007.1Note que agora há uma nova opção: Identity Source. Preencha com as credenciais do AD, não esquecendo de selecionar o AD como Identity Source.

Agora você está logado no ISE utilizando suas credenciais do AD!!!

ISE-AdminUser-AD_008

Outra coisa interessante é que agora cada usuário que acessa o Cisco ISE utiliza a sua própria conta ao invés de uma conta de admin compartilhada entre diversas pessoas. Sendo assim, é possível extrair relatórios dizendo quem e quando acessou o ISE.

Para isso, selecione Operations > Reports > Catalog > Server Instance > Server Administrator Logins. Escolha o período e clique em Run.

ISE-AdminUser-AD_009

A imagem abaixo exibe o relatório gerado, mostrando quem e quando logou, deslogou, falhas de autenticação, etc.

ISE-AdminUser-AD_010

Bom, é isso ai pessoal. Espero quem tenham gostado e que seja útil para bastante gente.

Se inscrevam em meu blog para receberem as novidades por e-mail e no meu canal do youtube também: www.youtube.com/mbartulihe

Até a próxima.

Bartulihe