Dead Packets

31/08/2009

Remover limitação de tamanho de coluna no PIX/ASA

Filed under: dicas e truques — drak @ 10:10 AM

Uma das características default mais irritantes dos firewalls da Cisco é a limitação do número de colunas, o que faz com que após a 80ª coluna a mesma seja substituída por um marcador ($).

Embora isto não seja um problema em si, caso você grave todas as suas interações em logs (eu gravo) você vai ver toda sua sessão cortada por $’s, tirando a possibilidade de relembrar exatamente o que você fez.

Para alterar esse comportamento é muito fácil, basta acompanhar os passos abaixo:

  1. Logue na CLI
  2. ena
  3. conf t

firewall-pix(config)# terminal wi?
Usage:  terminal {width <columns> | [no] monitor}
firewall-pix(config)# terminal width 120

Sendo que o valor 120 é configurável.

Anúncios

Certificação Juniper com 100% de desconto

Filed under: certificação — drak @ 10:00 AM

A Juniper tomou uma iniciativa que pretende popularizar suas certificações no mercado, principalmente entre aqueles que já são certificados CISCO. É o programa Juniper FastTrack, em que você assiste algumas apresentações explicando o JunOS, faz uma provinha para validar seu aprendizado e ganha um voucher de 100% para realizar a prova na Prometric.

A promoção é válida até Dez/2009 e as certificações disponíveis são de Routing, Switching e Security (Enhanced Services).

24/08/2009

DNS usa TCP ?

Filed under: segurança — drak @ 10:00 AM

Todos sabemos que as queries de resolução de nomes são realizadas na porta 53/UDP, certo ?
A experiência mostra que nem sempre isso é verdade. Ao realizar o controle de acesso para um servidor DNS, libera-se tradicionalmente o 53/UDP, utilizado para queries e quando aplicável o 53/TCP, utilizado para Zone Transfers.

Porém ainda que você não tenha a necessidade de utilizar a funcionalidade de transferência de zona é necessário a liberação da 53/TCP em alguns casos, esse comportamento (não explicitamente declarado na RFC 1035, que dita a implementação do DNS) pode ser explicado principalmente, mas não exclusivamente, pelas razões abaixo:

  • Resposta à query UDP demorou, sendo seguida por uma query TCP (após 3-5s);
  • Utilização de um client para a query como nslookup ou dig;
  • Alguém realizando teste de conectividade ao seu servidor DNS, como telnet.

Como exemplo da utilização normal do UDP, vejam a troca de pacotes numa solicitação comum de resolução de nome.

dns_udp

Agora uma tentativa de zone transfer, que foi devidamente negada. Percebam que a tentativa é realizada contra a 53/TCP.

dns_tcp

Uma das causas para a requisição UDP falhar é a resposta ter mais de 512 bytes, o que fragmenta o UDP e pode ser descartado por alguns filtros de inspeção.

Cabe lembrar que esse comportamento não é o mais comum e não deve-se liberar o 53/TCP a não ser que seja explicitamente necessário ao negócio e que a zone transfer esteja corretamente configurada.

Referências
Public DNS Servers

Use of TCP port 53 for queries?
DNS or other Services works on both TCP and UDP
RFC 1035 – DOMAIN NAMES – IMPLEMENTATION AND SPECIFICATION

17/08/2009

Notepad++ para Cisco IOS

Filed under: dicas e truques — drak @ 10:00 AM

A edição de um arquivo de configuração ou script tradicionalmente é realizada usando um editor de texto puro, sendo o notepad o campeão disparado na preferência de 10 entre 9 analistas.

Porém ao trabalhar com diversas janelas de notepad abertas (eu geralmente sempre tenho, no mínimo, uma para rascunho e outra para o documento final) isso pode diminuir seu rendimento e facilitar erros de digitação.

Se você quer aumentar sua produtividade num cenário como esse, conheça o Notepad++, um substituto do notepad com muitos incrementos e bem rápido, uma das adições mais interessantes dele é a possibilidade de definir em qual linguagem você está trabalhando e ele irá automagicamente realizar uma formatação adequada das palavras chaves dessa linguagem. Só vendo em ação para comprovar a eficiência do programa.

print_11-08-2009 20.29.10trecho de ‘sh run’ no notepad

print_11-08-2009 20.30.01versão “embelezada” no Notepad++

Beleza, gostei e daí ? Como faço pra funcionar essa joça louca aqui ?

Ainda estou descobrindo as possibilidades dele, mas de início segue um pequeno guia para quem quer experimentar as facilidades imediatas, como a formatação de palavras chaves do IOS e o auto-completar.

  1. Faça o download da versão ZIP mais atual
  2. Descompacte, apague a pasta “ansi”
  3. Copie o arquivo UserDefineLang para a pasta unicode, altere a extensão de .DOC para .XML
  4. Copie o arquivo Cisco_ASA_8.04 para a pasta unicode\plugins\API, altere a extensão de .DOC para .XML
  5. Abra o programa, vá em Settings – Preferences…, aba Backup/Auto-completion, marque a opção Word completion
  6. Ao abrir um arquivo de configuração ou log, vá em Language, selecione a penúltima opção: “Cisco_ASA_8.04”

Pronto, agora basta testar as funcionalidades. Para usar a feature de auto-completar basta pressionar “Ctrl+ESPAÇO”, lembre-se também de selecionar a Linguagem correta ao abrir um arquivo novo de texto.

Eu já troquei as associações de texto do notepad padrão para o Notepad++, tem agilizado bastante o trabalho de edição de configuração e acls !

Referências
Cisco ASA Syntax Highlighting with Notepad++

Exemplo de configuração

11/08/2009

Postagem regular

Filed under: news — drak @ 9:37 PM

Apenas um aviso para os 2 (3?) leitores ocasionais do blog: Tentarei manter uma regularidade na postagem, 1 post novo toda segunda-feira, por volta das 10:30h AM.

10/08/2009

Filtro rápido para busca em logs

Filed under: dicas e truques — drak @ 10:10 AM

Muitas vezes precisamos encontrar apenas uma entrada de um grande arquivo de log, para tais situações conhecer regex (regular expressions) pode ser muito útil. Hoje mostrarei apenas um simples comando para ler um arquivo de texto e selecionar as linhas que coincidam com qualquer uma das strings escolhidas:

cat file.txt | grep -E "texto1|texto2"

ou ainda

cat file.txt | egrep "texto1|texto2"

03/08/2009

Tenha boas maneiras!

Filed under: recursos — drak @ 11:35 PM

Uma das coisas que podem assustar um novato na área é a abundância de material sobre… absolutamente TUDO que você pensar na Interneta! Essa variedade pode tornar complicado encontrar certos materiais específicos como um guia de boas práticas em deploy de firewalls, ou sugestões de implementações de um esquema de PKI.

Um ótimo repositório desse tipo de referência é o site do NIST, que contém material de qualidade e atualizado, com o selo de aprovação do Instituto Nacional de Padrões e Tecnologia americano.

Rise and shine, Mr Freeman

Filed under: news — drak @ 8:00 PM

Está no ar o Dead Packets, profundamente inspirado no ótimo blog PacketLife.net. Espero reunir aqui dicas e conteúdo interessante para o profissional de segurança, principalmente na área de infraestrutura (firewalls, IPS).

Meu objetivo é utilizar este espaço como repositório de aprendizado conforme aprendo e pratico no meu dia-a-dia, tentarei dar um enfoque prático e funcional, pois de teoria a rede já está cheia =)

Blog no WordPress.com.