Dead Packets

28/09/2009

Melhorando o PuTTY – PuTTY Connection Manager

Filed under: dicas e truques — drak @ 10:00 AM

O maior problema ao utilizar o Putty para gerenciar diversos dispositivos é como ele salva a configuração de cada sessão. A listagem dos devices na tela do Putty facilmente fica confusa e fora de ordem, além quem trabalha com dezenas de dispositivos tem que: lembrar da senha de todos eles / usar a mesma senha em todos.

Essas dificuldades acima foram completamente resolvidas quando conheci o ótimo gerenciador de putty: Putty Connection Manager

Abaixo seguem duas telas representativas do programa, que é free. Em suma, o que ele oferece ? Organização, segurança (senhas ficam criptografadas, mas não por padrão) e praticidades (abas, automação de login, mais abas…)

puttycm

puttycm_conf

Vale MUITO a pena conhecer se você trabalha com mais de 1 device acessado por SSH/Telnet.

Referências
PuTTY Connection Manager

Anúncios

21/09/2009

Configuração de HA ativo/passivo com NSRP no ScreenOS

Filed under: ScreenOs — drak @ 10:00 AM

A configuração de High Availability pode ser realizada no ScreenOS de duas maneiras, pela Web ou pela CLI. Como nem sempre a interface Web está disponível eu sempre prefiro realizar todas as configurações pela CLI, deixando para a Web a rotina diária de inclusão/exclusão de regras e outras atividades corriqueiras.

Segue abaixo o procedimento para configurar um par de firewalls em HA, este procedimento foi validado na versão 6.2 mas deve funcionar normalmente em versões anteriores.

O primeiro passo é configurar o firewall master, as configurações estão comentadas com o que faz cada linha.

# Associa uma porta a zona de HA, essa sera a porta por onde serao passadas as sincronizacoes de sessao e heartbeat
set int e1/4 zone HA
# Define o ID do cluster
set nsrp cluster id 1
#Define o nome do cluster, necessario para ser gerenciado pelo NSM
set nsrp cluster name CLUSTER_NAME
# Sincronizacao de sessoes, ageout serve para que o FW BKP nao remova a sessao antes de confirmar no PRIM
set nsrp rto-mirror sync
set nsrp rto-mirror session ageout-ack
# Tunning do tempo de failover, tempo padrao 3s, aqui alterado para 1s
# init-hold so vale quando os dois FWs entram no ar ao mesmo tempo e estao decidindo quem sera o MASTER
set nsrp vsd-group init-hold 25
# Necessario a falha de 5 HBs para failover
set nsrp vsd-group hb-threshold 5
# Cada HB e enviado a cada 200ms
set nsrp vsd-group hb-interval 200
# Caso haja falha nas interfaces dos dois FWs existe a possibilidade dos dois se tornarem
# 'ineligible', ou seja, nenhum assumiria, com essa config um deles assume mesmo com falha na IF
set nsrp vsd-group master-always-exist
# Define quem sera o master, essa configuracao e local
set nsrp vsd-group id 0 priority 1
# Caso o cabo de HA seja rompido, existe caminho alternativo antes de realizar o failover
# E recomendado utilizar uma IF do lado TRUST. Esta configuracao e OPCIONAL
set nsrp secondary-path ethernet1/2
# Configuracao da monitoracao das IFs, caso alguma caia o FW realiza o failover imediatamente
set nsrp vsd-group id 0 monitor interface ethernet1/1
set nsrp vsd-group id 0 monitor interface ethernet1/2
set nsrp vsd-group id 0 monitor interface ethernet1/3
# Desabilita a sincronizacao do NTP via HA, deve ser feito indidualmente por cada caixa
set ntp no-ha-sync

Após realizar esta configuração no FW que será master, copiar sua configuração (get conf ou save conf to tftp X.Y.W.Z confMASTER.cfg)

Após copiar a configuração, alterar os seguintes campos no arquivo confMASTER.cfg, salvando-o como confBKP.cfg após as alterações:

set hostname HOSTNAME
set nsrp vsd-group id 0 priority XXX
set snmp name "HOSTNAME"

Aplique o arquivo confBKP.cfg no FW BKP (copie e cole na console ou pegue o arquivo via TFTP), após isso execute os comandos abaixo no firewal BACKUP:

exec nsrp sync file from peer
exec nsrp sync global-config save
save all
reset

Após reiniciar o equipamento, todas as configurações já deverão estar sincronizadas (certificados, SSH fingerprint, etc)

Para testar o chaveamento e verificar o status do HA pode-se utilizar os seguintes comandos:

# Forca o FW a se tornar backup
exec nsrp vsd-group 0 mode backup
# Exibe as informacoes de NSRP
get nsrp

Referências
NSRP Resolution Guide — How to configure NSRP and test failover condition

14/09/2009

Fazer query LDAP do Linux CentOS

Filed under: webfilters — drak @ 10:00 AM

Durante a integração do webfilter com a base LDAP, importante para a granularidade da concessão de liberações, é essencial ter visibilidade de como o serviço de diretório está estruturado.

Caso seu webfilter esteja sobre um SO Windows isso é moleza, basta instalar o “Ferramentas Administrativas” e ler a base com as credenciais do domínio, porém, caso seu Webfilter seja baseado em Linux as coisas complicam um pouco.

Para contornar esse problema, utilizei um pacote para o CentOS da implementação open source OpenLDAP. Segue o procedimento utilizado para a consulta a partir da CLI.

Instalação do pacote adequado

yum install openldap-clients.i386

Consulta na base

ldapsearch -x -h 192.168.1.252 -b 'OU=MKT,DC=lab,DC=local' -D 'CN=leitura,OU=MKT,DC=lab,DC=local' -w leitura '(objectCategory=person)'

Onde os parâmetros utilizados são os seguintes:

-h: IP do Servidor LDAP
-b: DN onde serão procurados os usuários, limita o escopo da busca
-D: Usuário utilizado para consulta a base
-w: Senha do usuário, pode ser substituído por ‘-W’ para que você entre com a senha no momento da busca

Outros filtros (utilizando a sintaxe comum de querys LDAP) podem ser utilizados para que sua consulta retorne os resultados adequados. Por exemplo, no lugar do ‘(objectCategory=person)’ podem ser usados:

‘(sAMAccountName=vipuser)’ – Busca um usuário com o account name “vipuser”
‘(memberOf=CN=FC-LAB-AcessoVIP,OU=MKT,DC=lab,DC=local)’ – Busca os membros do grupo “FC-LAB-AcessoVIP”

Referências
How to write a LDAP search filter

07/09/2009

Dúvida nas categorias do Webfilter

Filed under: webfilters — drak @ 10:00 AM

Uma das dúvidas mais comuns ao montar a política de bloqueio do filtro de conteúdo web é: Qual site está em qual categoria ?

Embora seja impossível listar cada site de cada categoria (primeiro porque isso é o segredo de cada produto, segundo porque seria uma lista com milhões de sites entrando e saindo de cada categoria diariamente) é possível verificar pontualmente alguns sites chave.

No site SurfControl Filter Testing é possível testar a URL de interesse, minimizando possíveis erros de interpretação nas diferentes categorias do seu filtro de conteúdo.

02/09/2009

Ativar SSH no Cisco PIX

Filed under: dicas e truques — drak @ 10:00 AM

Estava trabalhando com um PIX 506 no laboratório, após cerca de 15 indas e vindas da minha mesa ao local do lab lembrei do acesso SSH (duh!), porém o mesmo não estava ativado nele, como até então eu sempre havia trabalhado com equipamentos que já estavam com aceso remoto ativado, fui pesquisar…

Após uma goggleada rápida, encontrei o procedimento para ativação do recurso.

pixfirewall(config)# hostname lab
lab(config)# domain-name cisco.com
lab(config)# ca generate rsa key 2048
lab(config)# ca save all
lab(config)# ssh 192.168.111.7 255.255.255.255 inside
lab(config)# ssh timeout 60
lab(config)# enable password hArd2Gue$$
lab(config)# passwd Ace$$D3n13d

Referências
Configuring the PIX Firewall for SSH (Secure Shell)

Crie um website ou blog gratuito no WordPress.com.