Dead Packets

22/10/2013

Listar usuários de um grupo no Active Directory

Filed under: dicas e truques — drak @ 2:26 PM

Para listar rapidamente os usuários de um determinado grupo do AD usar o seguinte comando:

dsquery group -samid nomedogrupo | dsget group -members

Contribuição do Luciano!

Anúncios

06/06/2013

Descobrir o modelo de um servidor Check Point

Filed under: checkpoint,dicas e truques — drak @ 9:57 PM

Descobrir o modelo e serial de um servidor que tem SPLAT instalado não é tão fácil quanto deveria ser, mas uma vez aprendido nunca se esquece mais:

dmidecode | egrep 'Prod|erial'

Depois basta comparar com as tabelas existentes no link referências.

Para conseguir o serial no Nokia

clish -c "show asset hardware"

Referências
Find UTM-1 Check Point Appliance model from CLI

26/06/2012

Export de variáveis na inicialização em sistemas Linux

Filed under: dicas e truques — drak @ 3:39 PM

É comum em certos ambientes que seja necessário incluir algumas variáveis de ambiente durante a inicialização, como exemplo iremos utilizar o export para configuração de proxy:

export http_proxy=http://proxy.dominio.com:8080

Para fazer export de variáveis quando o sistema subir, alterar os seguintes arquivos.

/etc/rc.local (Red Hat based)
/etc/rc.conf (BSD based)

Configurações que sobem quando o usuário loga

/etc/profile (shell bash para todos os usuários)
/home/usuario/.bash_profile (shell bash somente para o usuário específico, utilizado para export de variáveis)
/home/usuario/.bashrc (Para execução de programas)

Referências
Running Additional Programs at Boot Time

22/09/2011

Verificando e limpando a tabela de sessões no CheckPoint

Filed under: checkpoint,dicas e truques — drak @ 10:23 PM

Post rápido sobre tabela de sessões no Checkpoint, para manipular a tabela de conexões segue:

CONEXÕES:
fw tab -t connections -s (para sumário)
fw tab -t connections -x (para limpar)

A tabela de sessões acima não leva em consideração os NATs, eles estão em outra tabela específica (fwx_alloc):

NAT:
fw tab -t fwx_alloc -s
fw tab -t fwx_alloc -x

Referências
CPshared Forum

02/09/2011

Traceroute passando pelo firewall Cisco ASA

Filed under: cisco,dicas e truques — drak @ 8:40 PM

Depois de um tempo inativo, finalmente um post novo, pequeno para começar com calma 😛

Um recurso muito útil para analisar se determinado tráfego está passando pelos firewalls que você administra é o traceroute, este comando envia pacotes (geralmente UDP se for Linux, ICMP se Windows) com TTL iniciando em 1 e incrementando-os a cada 3 pacotes, ele espera como retorno um pacote ICMP Time Exceeded (type 11, code 0).

Quando um equipamento L3 recebe um pacote antes de roteá-lo ele irá subtrair 1 do TTL do pacote a ser roteado, caso esse valor chegue a zero o roteador irá devolver um pacote de erro ICMP Time Exceeded e o IP da interface que entrou o pacote erá o visto nesse retorno.

Uma dificuldade associada a realizar um traceroute num ambiente que possui firewalls Cisco (tanto PIX quanto ASA) é que, devido à configuração padrão destes equipamentos não subtrairem TTL como um outro device que roteia qualquer os mesmos não aparecem no traceroute, ou seja, ao fazer um traceroute entre a rede interna e a DMZ você não irá ver nenhum IP da interface do firewall no resultado.

Essa tecnologia funciona dessa maneira pois provê uma segurança adicional, tornando o firewall “invisível” na rede, porém há casos de redes complexas em que a necessidade de facilitar o troubleshooting é maior do que o risco de expor o IP do firewall em um traceroute, e para esse caso é possível implementar uma configuração no ASA para que ele apareça no traceroute, basta seguir o seguinte artigo da Cisco: Make the Firewall Show Up in a Traceroute in ASA/PIX

Referências
ICMPv4 Traceroute Messages
Traceroute
ASA/PIX/FWSM: Handling ICMP Pings and Traceroute

24/05/2010

Análise de sessões do ScreenOS via CLI

Filed under: dicas e truques,ScreenOs — drak @ 6:25 PM

Continuando o post anterior sobre análise de sessões em firewalls Netscreen/Juniper, uma vez que nós já conseguimos filtrar apenas o que é importante do log de sessões agora basta organizar, o jeito elegante de fazer isso seria juntar os dois scripts em apenas um só que fizesse as duas funções porém como eu não tenho habilidade nenhuma em perl mas quero conseguir analizar isto HOJE, segue o shell script que eu criei para organizar as informações obtidas com o parser anterior.

Para usar o nss_analyzer.sh basta rodar ele e dar como argumento o arquivo de sessões “cru”, o script nse2csv.pl deve estar na mesma pasta. Você pode indicar um segundo argumento para definir o número de “TOP” itens irão aparecer, por padrão são exibidos os 10 TOP de cada categoria.

Um item importante que deixei de lado nestes scripts foi o número do protocolo, mas se algum dia eu realmente precisar a modificação é bem trivial.

nss_analyzer.sh

#!/bin/sh
# Analise de IPs
sample=$1
top=$2
: ${top:="10"}

#ORIGEM
echo "TOP $top IPs de ORIGEM"
cat $sample | nse2csv.pl | cut -d"," -f1 | sort | uniq -c | sort -nr | head -n$top
echo

#DESTINO
echo "TOP $top IPs de DESTINO"
cat $sample | nse2csv.pl | cut -d"," -f2 | sort | uniq -c | sort -nr | head -n$top
echo

#PORTA
echo "TOP $top Portas de DESTINO"
cat $sample | nse2csv.pl | cut -d"," -f3 | sort | uniq -c | sort -nr | head -n$top
echo

#FLUXOS
echo "TOP $top Fluxos"
cat $sample | nse2csv.pl | sort | uniq -c | sort -nr | head -n$top

21/04/2010

GNS3 – Qual router escolher ?

Filed under: cisco,dicas e truques — drak @ 8:42 AM

Estou estudando para o CCNA Security e geralmente faço muitas simulações utilizando o GNS3, uma coisa que estava me irritando muito era a frequência que meu router estava crashando, parando o processo dynamips e consequentemente perdendo todas as configs que eu havia feito.

Para resolver isso dei uma pesquisada nos foruns do GNS3 e encontrei uma ótima dica: Use o router 2691. Para ser mais exato, para realizar todos os Labs necessários ao CCNA Security eu utilizo a imagem do 2691, pack ADVANCED SECURITY v12.4.15T13(MD), senti uma melhora expressiva na estabilidade e ela contém todos as características necessárias (VPN e IPS, por exemplo).

Referências
GNS3

21/03/2010

Resetar senha do firewall PIX/ASA

Filed under: cisco,dicas e truques — drak @ 1:02 PM

Tenho notado que muitas pessoas chegam ao blog procurando por este assunto, portanto para atender a demanda, segue como realizar o reset de senha nos firewalls PIX (procedimento para ASA pode ser visto nas referências), copiado descaradamente dos guias oficiais da Cisco.

  1. Pegue o arquivo de Lockout adequado para a versão do seu PIX no site da Cisco
  2. Conecte seu PC ao PIX com um cabo serial via console, você verá somente a tela de login;
  3. Reboote o PIX (retire o cabo de energia);
  4. Quando as mensagens de STARTUP começarem aperte ESC (ou BREAK), deve aparecer um prompt escrito “monitor>”;
  5. Entre com os comandos:
! Define a interface que tem conectividade com um servidor TFTP
monitor>interface 0
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )

Using 0: i82559 @ PCI(bus:0 dev:13 irq:10), MAC: 0050.54ff.82b9
! Endereço da interface
monitor>address 10.21.1.99
address 10.21.1.99
! IP do TFTP Server
monitor>server 172.18.125.3
server 172.18.125.3
! Nome da imagem que você pegou no site da Cisco
monitor>file np52.bin
file np52.bin
! Default gateway
monitor>gateway 10.21.1.1
gateway 10.21.1.1
! Testanto conectividade com o TFTP Server
monitor>ping 172.18.125.3
Sending 5, 100-byte 0xf8d3 ICMP Echoes to 172.18.125.3, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
! Pegando o arquivo
monitor>tftp
tftp np52.bin@172.18.125.3 via 10.21.1.1...................................
Received 73728 bytes
  1. Quando o arquivo carregar, digite “y” para aceitar o reset das senhas;
  2. A senha default para telnet será resetada para “cisco”, a senha de enable ficará em branco;
  3. Lembre-se de alterar as senhas e salvar a configuração no final.

Referências
Performing Password Recovery

Password Recovery and AAA Configuration Recovery Procedure for the PIX

06/03/2010

Proxy transparente com Policy Based Routing

Filed under: dicas e truques,ScreenOs — drak @ 1:57 PM

Uma característica bem interessante e desconhecida para mim no ScreenOS era a funcionalidade de Policy Based Routing (PBR). Inicialmente esta funcionalidade permite algo parecido com os route-maps da Cisco, provendo diferentes caminhos de rede baseados em match numa política, o que permite que realizemos certos malabarismos baseados no IP ou porta, como rotear tráfego FTP por um link de alta velocidade e tráfego SSH por outro, de baixa velocidade.

O desafio apresentado é o seguinte: Todo o tráfego HTTP/HTTPS oriundo de determinadas redes internas deveria ser redirecionado não para uma determinada rota, mas sim para um determinado proxy, criando efetivamente um proxy transparente.

Agora, vamos começar com a topologia da rede:

A implementação do PBR ocorre em 5 etapas:

  1. Criação da ACL para realizar match no tráfego de interesse (no nosso caso toda a rede interna para a Internet na porta TCP/80 e TCP/443);
  2. Agrupa-se as diversas linhas da ACL sob um Match group, mesmo que a ACL tenha somente uma linha;
  3. Configura-se um Action group que definirá a ação que o tráfego sofrerá;
  4. Associamos o Match group a um Action group utilizando um PBR Policy;
  5. Indicamos em que interface ou zona o PBR Policy irá atuar, finalizando a configuração.

Se você tentar utilizar a Internet apenas com a configuração de PBR verá que o tráfego está sendo redirecionado para a zona onde seu proxy está, porém ele provavelmente está sendo dropado, isto ocorre porque não criamos nenhuma regra de acesso para este tráfego, além disso, após a criação da regra você poderá verificar nos logs que o tráfego está chegando corretamente no Proxy, porém ele não está redirecionando as requisições para Internet, isto ocorre porque a porta destino dos pacotes são 80 ou 443, devemos realizar um NAT-dst no host e na porta para que o proxy transparente funcione, tudo isto para que os pacotes cheguem na porta que o nosso proxy está ouvindo, neste exemplo na 3128.

Abaixo seguem as linhas de configuração necessárias:

set vrouter "trust-vr"
# Define ACLs
set access-list extended 10 src-ip 172.16.1.0/24 dst-port 80-80 protocol tcp entry 1
set access-list extended 10 src-ip 192.168.4.0/24 dst-port 80-80 protocol tcp entry 1
# Define Match group
set match-group name match_rede_interna
set match-group match_rede_interna ext-acl 10 match-entry 1
set match-group match_rede_interna ext-acl 10 match-entry 2
# Define Action group
set action-group name action_redirect_proxy
set action-group action_redirect_proxy next-hop 10.0.0.100 action-entry 1
set action-group action_redirect_proxy next-hop 10.0.0.100 action-entry 2
set pbr policy name policy_redirect_http_https_to_proxy
set pbr policy policy_redirect_http_https_to_proxy match-group match_rede_interna action-group action_redirect_proxy 1
set interface ethernet0/1 pbr policy_redirect_http_https_to_proxy
#Criação da regra com NAT no destino
set policy id 500 from "Trust" to "Proxy"  "172.16.1.0/24" "Any" "HTTP" nat dst ip 10.0.0.100 port 3128 permit log
set policy id 500
set src-address "192.168.4.0/24"
exit

Não se esqueça de configurar o proxy para operar de modo transparente, no Squid isso é feito da seguinte forma:

Squid <2.6
# Se não existir, criar as linhas abaixo
httpd_accel_port 80 
httpd_accel_host virtual 
httpd_accel_with_proxy on 
httpd_accel_uses_host_header on 

Squid >=2.6
# a linha abaixo normalmente já existe, basta adicionar o "transparent". Se não existir, criar
http_port 80 transparent

Para verificar se a configuração está funcionando, basta tentar acessar a Internet sem nenhum proxy setado no browser, você deverá ver logs na regra recém criada e tráfego nos logs do Proxy.

28/09/2009

Melhorando o PuTTY – PuTTY Connection Manager

Filed under: dicas e truques — drak @ 10:00 AM

O maior problema ao utilizar o Putty para gerenciar diversos dispositivos é como ele salva a configuração de cada sessão. A listagem dos devices na tela do Putty facilmente fica confusa e fora de ordem, além quem trabalha com dezenas de dispositivos tem que: lembrar da senha de todos eles / usar a mesma senha em todos.

Essas dificuldades acima foram completamente resolvidas quando conheci o ótimo gerenciador de putty: Putty Connection Manager

Abaixo seguem duas telas representativas do programa, que é free. Em suma, o que ele oferece ? Organização, segurança (senhas ficam criptografadas, mas não por padrão) e praticidades (abas, automação de login, mais abas…)

puttycm

puttycm_conf

Vale MUITO a pena conhecer se você trabalha com mais de 1 device acessado por SSH/Telnet.

Referências
PuTTY Connection Manager

Próxima Página »

Blog no WordPress.com.