quarta-feira, 27 de junho de 2012

Dicas de segurança IPv6


Há  algumas semanas, vimos o anuncio oficial do uso do IPv6 em alguns dos sites mais acessados do mundo. Isso é um exemplo de que o uso de IPv6 está cada vez mais difundido e o cuidado com a segurança nessa nova versão do protocolo IP é cada vez mais necessário. Segue algumas dicas iniciais de segurança para essa nova versão do protocolo IP.
·     Antes de mais nada, devemos desabilitar o protocolo IPv6 em redes onde ele não está sendo usado. O sistema de auto configuração e descoberta de vizinhança IPv6, pode ser um ponto falho na segurança e além disso gera tráfego desnecessário na rede.
·     Em redes Microsoft, é de suma importância que seja desabilitado o tunelamento "Teredo" que vêm habilitado por padrão nas versões  mais recentes do Windows. No win7 basta desabilitar o serviço “Auxiliar de IP”: Fornece conectividade em túnel usando tecnologias de transição do IPv6 (6to4, ISATAP, Port Proxy e Teredo) ISATAP, 6to4 e Teredo são habilitados por default no Windows.
·     Habilitar regras IPv6 para os firewalls também é indispensável , lembramos que toda e qualquer regra de firewall IPv4 deve ser implementada também para IPv6, não há compatibilidade entre estas regras... um exemplo disso é o uso do iptables onde um # IPTABLES –P  INPUT DROP apenas bloqueia pacotes da versão 4, para versão 6 usa-se #IP6TABLES -P  INPUT DROP. um exemplo de script firewall ipv6 vemos neste link http://bash.cyberciti.biz/firewall/centos-debian-rhel-ipv6-iptables .
·     Outro fator importante é que o uso do IPv6 coloca praticamente todos os hosts de sua rede de frente para a internet, cabendo um maior cuidado com as configurações de segurança. O NAT está perdendo força e caminha para a extinção... e com o surgimento da internet das coisas,  será cada vez mais importante proteger o perímetro não mais somente das empresas e governos.. mais de nossas próprias residências. 

sábado, 9 de junho de 2012

IPv6 entra oficialmente em vigor!

     Nesta quinta feira 07/06 entrou oficialmente em vigor o IPv6. A passagem do padrão IP da versão 4 (IPv4) para a 6 (IPv6) ocorreu às 00h01 GMT de quarta-feira (21h01 de Brasília na terça-feira), uma mudança imperceptível para os milhões de usuários conectados.

    Os participantes no lançamento mundial do IPv6 incluem as quatro páginas mais visitadas do mundo - Google, Facebook, YouTube e Yahoo! - assim como os provedores de roteadores e serviços de internet em mais de 100 países. Ao se somar o novo protocolo IPv6, estas companhias permitem a milhões de usuários finais desfrutar de suas vantagens sem terem que fazer nada", declarou a ISOC.

segunda-feira, 13 de fevereiro de 2012

Contador IPv4

       Para homenagear a semana Ipv6, que terminou no último dia 12.... Adicionei mais um gadget em nosso blog .. Trata-se, do contador de esgotamento dos blocos Ipv4 .. separado por RIR's.
Só para lembrar aos colegas que a coisa está próxima !
       E ainda nesse gancho.. Agradeço a todos, pela grande procura pelo curso IPv6, que será realizado na SEARH/COTIC RN, e ministrado pelo IPv6.br... Nosso empenho em trazer esse curso, para os ASN's locais e principalmente para o gov.br ... é mais um esforço, em divulgar e qualificar os administradores e analistas locais para esta mudança..

Um abraço a todos e até a proxima.

quarta-feira, 25 de janeiro de 2012

IPv6 entra oficialmente em uso em Junho deste ano.

A Internet Society, da qual fazem parte Google, Yahoo!, Facebook e AT&T, entre outras gigantes, anunciaram nesta quarta-feira que o protocolo IPv6 começará a ser usado oficialmente em todo o mundo no dia 6 de junho deste ano. O novo sistema de direcionamento numérico dos usuários aos sites garantirá mais endereços online, uma vez que o sistema atual, o IPv4, tem hoje poucas opções ainda disponíveis.

Este é mais um argumento para os profissionais de Infraestrutura se atualizarem a respeito desta "pilha" de conhecimento. E é com esse objetivo que estarei retomando a serie de publicações relacionadas ao IPv6.

Fonte: http://tecnologia.terra.com.br/noticias/0,,OI5564627-EI12884,00.html





domingo, 30 de outubro de 2011

Método de Transição Pilha Dupla IPv4/IPv6

     Como o período de coexistência entre os dois protocolos pode durar indefinidamente, a implementação de métodos que possibilitem a interoperabilidade entre o IPv4 e o IPv6, poderá garantir uma migração segura para o novo protocolo, através da realização de testes que permitam conhecer as opções que estes mecanismos oferecem, além de evitar, no futuro, o surgimento de“ilhas” isoladas de comunicação.

Iniciamos esse estudo com o mecanismo de Pilha Dupla.

Pilha dupla consiste na utilização por parte dos hosts de ambos os protocolos IP’s, onde o equipamento poderá se comportar com o nó de acordo com seu protocolo seja ele IPv4 ou IPv6. Isso permite que os host’s e roteadores Pilha Dupla IPv4/IPv6  possam se comunicar com nós apenas IPv4, e se comportará como um nó IPv4, e com nós IPv6 se comportará como um nó IPv6.



Algumas características do mecanismo de Pilha Dupla devem receber maior atenção.
·       O precisa de pelo menos um endereço para cada pilha.
·        Utiliza mecanismos IPv4, como por exemplo DHCP, para adquirir endereços IPv4, e mecanismos do IPv6 para endereços IPv6
E Exige a análise de alguns aspectos:
·        Configuração dos servidores de DNS;
Os servidores DNS devem comportar a resolução de nomes para ambas as pilhas , e no caso do IPV6 devem resolver nomes no formato AAAA (quad-A), que armazenam endereços no formato do IPv6, e para o domínio criado para a resolução de reverso, o ip6.arpa. Para mais detalhes sobre o suporte do DNS ao IPv6, consulte a RFC 3596.
·       Configuração dos protocolos de roteamento;
A configuração do roteamento IPv6 normalmente é independente da configuração do roteamento IPv4. Isto implica no fato de que, se a rede antes de ser implementada a pilha dupla utilizava apenas o protocolo de roteamento interno OSPFv2, com suporte apenas ao IPv4, será necessário migrar para um protocolo de roteamento que suporte
tanto IPv6 quanto IPv4, como IS-IS por exemplo, ou forçar a execução de um IS-IS ou OSPFv3paralelamente com o OSPFv2.

·       Configuração dos firewalls;
A filtragem dos pacote que trafegam na rede, pode depender da plataforma que se estiver utilizando. Em um ambiente Linux, por exemplo, os filtros de pacotes são totalmente independentes um dos outros, de modo que o iptables filtra apenas pacotes IPv4 e o ip6tables apenas IPv6, não compartilhando nenhuma configuração. No FreeBSD, as regras são aplicadas a ambos os protocolos, a menos que se restrinja explicitamente a qual família de protocolo as regras devem ser aplicadas, usando inet ou inet6.
·       Mudanças no gerenciamento das redes.
Com a adoção do novo Protocolo Internet, é preciso conhecer quais dessas ferramentas são
capazes de coletar informações sobre IPv6 e se estão aptas a obtê-las através da rede IPv6.

Postarei um capitulo para falar desse assunto após essa serie de postagens neste nesta postagem estes aspectos serão abordados em relação a alguns protocolos utilizados para estes fins como SSH, FTP, SNMP, entre outros, e alguns aplicativos como Argus, Nagios, MRTG, Rancid, Wireshark e Looking Glass.

Conclusão:

Nesta fase de transição os especialistas não recomendam a passagem imediata de toda a infraestrutura para o IPv6, visto que equipamentos e softwares existentes podem não suportar esse tipo de endereçamento, e o modelo de Pilha Dupla vem a calhar nesse aspecto, podemos ainda perceber que a transição nesse modelo pode ser feita de maneira modular, não havendo a necessidade de toda a infraestrutura venha a sofrer tal mudança de uma só vez.

Referencia: http://ipv6.br/

Ipv6, Metodos de transição e coexistencia

Uma das principais dúvidas dos administradores de redes, é  como seria a transição do Ipv4 para o Ipv6 e sua coexistência.
Existem diversas técnicas para essa transição, e não há uma melhor que a outra, o que há, é uma que se adapte melhor ao seu cenário.
Iremos aqui iniciar um estudo baseado na documentação do Ipv6.br destas técnicas. O estudo irá se dividir em uma serie de 4 postagens seguindo a ordem das documentações do site oficial do Ipv6 no Brasil.

Estas técnicas de transição são divididas em 3 categorias:

Pilha Dupla
Provê o suporte a ambos os protocolos no mesmo dispositivo.

Tunelamento
Permite o tráfego de pacotes IPv6 sobre a estrutura da rede IPv4 já existente.

Tradução
Permite a comunicação entre nós com suporte apenas a IPv6 com nós que suportam apenas IPv4.

Para cada categoria destas já citadas existem diferentes técnicas, espero que acompanhem as próximas postagens onde iremos descrever cada uma.

domingo, 9 de outubro de 2011

IPv6 - Um futuro próximo, ou uma realidade distante ?

As corporações estão mesmo antenadas nas mudanças que há por vir? . A realidade do esgotamento da versão 4 do protocolo que rege a internet está sendo assimilada com a importância que merece ?.
Não há como dimensionar os impactos em que as comunicações sofrerão com a migração que chega, sem que haja bastante treinamento e simulações . E o nic.br através do ipv6.br está fazendo um enorme esforço para que esta migração ocorra da maneira mais suave possível.  Cabe a cada gestor planejar como será tal mudança em sua corporação, e quais impactos causará.
Apesar do IPv6 não ter uma data fixa para sua migração total e que a convivência com sua versão anterior se prorrogará por alguns anos. A escolha é,  quando e como irão fazer isso....? . Creio que as novas funcionalidades do novo modelo, agregam bastante às corporações, principalmente quando falamos em segurança e  desempenho, visto que o encapsulamento em pilha dupla dos 2 protocolos , podem gerar problemas a esses 2 quesitos.
O IPv6.br, oferece treinamentos presenciais por todo Brasil, além de vídeos , artigos e  estatísticas sobre o IPv6. E mais recentemente irá ocorrer o II Fórum Implementadores  IPv6 consultem o site http://www.ipv6.br/IPV6/ForumImplementadores para maiores informações.
E o http://ipv6.br/IPV6/MenuIPv6CursoPresencial  para locais e datas de cursos no Brasil.
Crescimento de AS que alocaram blocos IPv6 no Brasil

Routers vs Alocações

quarta-feira, 5 de outubro de 2011

Job's is dead

Após afastar-se da diretoria da Apple no último dia 24, alegando ter chegado a hora da despedida de suas funções... Steve Jobs, um dos principais responsáveis pela revolução tecnológica ocorrida nas ultimas décadas morre e deixa para traz um império com cerca de    8 bilhões de dólares. A página oficial da Apple publicou a imagem abaixo e algumas palavras homenageando Steve, que faleceu aos 56 anos nos Estados Unidos .

        

        A página da empresa americana, em seu anúncio oficial, convida os fãs da marca a enviar mensagens de condolência através do e-mail rememberingsteve@apple.com.

A causa da morte do fundador da Apple ainda não foi confirmada

texto adaptado da http://tecnologia.uol.com.br/ultimas-noticias/redacao/2011/10/05/morre-steve-jobs-fundador-da-apple.jhtm


domingo, 2 de outubro de 2011

Outubro de 2011, Um marco para a qualidade da internet no RN.

Venho através desta postagem divulgar e informar a todos os entusiastas da internet do RN, que nesse mês de outubro será implantado e entrará em operação o primeiro PTTMetro em nosso queridíssimo estado...

PTT ?, vou apenas transcrever o que o próprio PTT.br o denomina.

PTTMetro é o nome dado ao projeto do Comitê Gestor da Internet no Brasil (CGIbr) que promove e cria a infra-estrutura necessária (Ponto de Troca de Tráfego - PTT) para a interconexão direta entre as redes ("Autonomous Systems" - ASs) que compõem a Internet Brasileira. A atuação do PTTMetro volta-se às regiões metropolitanas no País que apresentam grande interesse de troca de tráfego Internet.

Uma das principais vantagens deste modelo, é a racionalização dos custos, uma vez que os balanços de tráfego são resolvidos direta e localmente e não através de redes de terceiros, muitas vezes fisicamente distantes.

Outra grande vantagem é o maior controle que uma rede pode ter com relação a entrega de seu tráfego o mais próximo possível do seu destino, o que em geral resulta em melhor desempenho e qualidade para seus clientes e operação mais eficiente da Internet como um todo.

Um PTTMetro é, assim, uma interligação em área metropolitana de pontos de interconexão de redes (PIXes), comerciais e acadêmicos, sob uma gerência centralizada.

fonte :http://pttt.br 
Então pessoal, ná prática o tráfego interno não mais terá (quando consolidado) que passar por outras localidades para atingir destinos dentro do nosso próprio estado. 
Ótimo não é....! 
Más para isso, todas os AS, (Sistemas autônomos), precisam interconectar fisicamente ao PIXe locais, que aqui no estado teremos 2 no inicio, a sede da RNP e a Cabo Telecom...  
Para os AS que ainda não estão interligados aos PIXes locais, o incentivo para está interligação deve ser  impulsionado.

Nesse contexto entra também uma questão séria, a regulamentação dos potenciais AS's do estado...
quanto mais AS's no estado mais investimentos do PTT'br em nossa infraestrutura...
 O PTT.br trata um potencial AS, como sendo um órgão seja publico ou privado, detendo de uma demanda de um numero superior a 100 IP's públicos. 
Outra questão é o incentivo a migração IPv4 para o IPv6, e ou a utilização de equipamentos compatíveis com essas 2 versões. 
Sobre o IPv6, tá se formando um grupo para estudo mais afundo da versão aqui no estado..., estão todos convidados ... 
E ai pessoal mês 10 será ou não será um marco para internet no RN ?, só depende de nós! 
Abaixo temos um gráfico que representa o tráfego agregado de todos os PTTs que estão em operação atualmente.





Um abraço a todos!









,







 

quinta-feira, 28 de julho de 2011

"Gerenciamento remoto em tempo real."

 Uma das  principais atribuições de um analista de redes, ou de um bom administrador, é manter-se atualizado quanto aos acontecimentos e sinistros que ocorrem em sua network.     
Para isto, o mercado oferece inúmeras ferramentas de gerenciamento remoto, sejam elas, “Open-Source” ou não e ainda gratuitas ou não. Dentre essas ferramentas, fiz um breve comparativo entre as 3  das mais utilizadas na atualidade, o PRTG, ZABBIX, NAGIOS.
Essas 3 ferramentas utilizam diversas maneiras de obterem informações dos ativos  gerenciados ou sobre sua tutela. O protocolo SNMP (do inglês Simple Network Management Protocol - Protocolo Simples de Gerência de Rede) é o mais usado na maioria das ferramentas disponíveis. Para utilizar qualquer das 3 ferramentas supracitadas é recomendado sempre um cuidado maior com a segurança dos dados relacionados ao snmp. O ideal, é sempre que possível ocultar a comunidade publica do snnp e utilizar-se de comunidades privadas com senhas de acesso para seus dados trafegarem de maneira segura na rede.

    Quanto as ferramenta começamos pelo PRTG,  ou "PRTG Monit Network", ferramenta baseada em sistemas windows, permite monitorar tráfegos através do snmp v1, v2 e v3 e de outros ferramentas de monitoria. Apesar de ser um software proprietário, possui sua versão free, onde suas ferramentas são limitadas, porém na versão full, é uma boa ferramenta, suporta diferentes tipos de equipamentos, fornecendo análise aprofundada e concisa em relatórios. O PRTG oferece cinco diferentes interfaces de gerenciamento sendo 2 web's, 1 para plataforma windows, 1 para o Android, e uma para o IOS, fechando assim uma boa gama de dispositivos moveis. É ótimo para que precisa de um gerenciamento e que não tem um bom nível de conhecimento.



O Nagios; é uma  das ferramenta mais completa de todas e também a mais estável, pode ser customizada ao máximo, exige um bom conhecimento na área. Sua infra-estrutura permite gerenciar varias plataformas de SO, através de plug-ins e agentes instalados em clientes remotos. O sistema baseado em  Linux roda também em outras plataformas Unix, sua atual versão é a Nagios XI, sua pagina oficial é http://www.nagios.org/.
O Nagios é ótimo para quem tem conhecimento aprofundado em protocolos de gerencia de redes e em sistemas UNIX.



Integração com o google-maps



Gráficos em tempo real

Central de alarme


O Zabbix, que atualmente está em sua versão 1.8 estável, une a maioria da gama de ferramenta disponível no nagios, com uma boa praticidade, característica do PRTG. O zabbix é baseado em PHP-APACHE e utiliza banco Mysql ou Postegree. Existe boa documentação em português porem as veções não estaveis possuem uma morosidade em suas traduções. Sua pagina oficial é : http://www.zabbix.org .
Essse sistema, é ótimo para quem possui um bom conhecimento em linux e snmp, porém não precisa de uma ferramenta prática em sua configuração. O zabbix possui alertas em jamber, E-mail e scripts que podem ser customizados, um exemplo é utilizar modems 3G para o envio de SMS para seu celular, Seus mapas emitem sinais sonoros e visuais de acordo com a gravidade do evento.

Gráficos em telas configuraveis

Telas imcluindo mapas e gráficos

Espero ter esclarecido um pouco sobre estas ferramentas e ter dado uma luz para sua escolha de ferramenta de gerenciamento de redes.
Até a próxima publicação!

sexta-feira, 29 de abril de 2011

Caso Sony Playstation! Segurança em check!

A "Sony Computer Entertainment America LLC", anunciou dia 27 de abril, em uma de suas paginas http://us.playstation.com/support/answer/?a_id=2185, que sua rede de usuários playtastion, foi invadida por cracker's, e que possivelmente dados pessoais de usuários  tenham sido furtados.

Esse fato só foi publicado, 6 dias após a possível invasão (segundo o site teria ocorrido entre 16 e 19 de abril de 2011), fato este que causou a fúria de seus usuários.

Os procedimentos da sony para imediata resposta foi:

1. -A PlayStation Network e seus serviços foram interrompidos temporariamente .
2-Uma, empresa de segurança renomada
, foi contratada para conduzir uma investigação plena e completa sobre o que aconteceu.
3-Estão sendo tomadas medidas para aumentar a segurança e reforçar a infra-estrutura de rede, re-criação do sistema para proporcionar uma maior proteção das informações pessoais
dos usuários.

As seguintes informações podem ter sido furtadas: nome, endereço completo, país, e-mail, data de nascimento, senha e nome de usuário na PSN. É possível que outras informações podem ter sido obtidas como histórico de compras e endereço de cobrança. Caso o usuário tenha um cartão de crédito cadastrado, é possível que o número do cartão (o código de segurança foi protegido) e data de vencimento também tenham sido obtidos.

 A invasão da rede virtual  Sony, pode custar à empresa US$ 24 bilhões (R$ 37,7 bilhões), segundo estimativa do instituto americano Ponemon, especializado em pesquisa de segurança de dados. A informação foi divulgada pela revista Forbes, que usou a base de custo por conta acessada, em casos de ataques do tipo – de US$ 318 (R$ 500), em 2010 – e multiplicou pelo número de usuários da rede PSN, que passa dos 77 milhões.

Os papéis da multinacional japonesa caíram 2,02% hoje na Bolsa de Tóquio e, no momento, estão em baixa de 2,55% na NYSE, a bolsa de ações de Nova York, que opera em alta de 0,8% nesta quarta-feira. Além disso, a empresa recebeu hoje o primeiro processo judicial pela invasão da rede. Uma ação coletiva, movida por um escritório de advocacia da Califórnia, pede indenização em dinheiro pela "falha da empresa em cuidar dos dados" dos clientes. 

 A previsão para a volta da Playstation Network é de uma semana
A Sony informou que pode restaurar alguns serviços da rede dentro de uma semana e criou uma página de dúvidas ( em inglês / em espanhol ) em seu site para lidar com as dúvidas sobre a PSN.


“A maior questão para a Sony é como o cracker vai usar as informações que foram ilegalmente obtidas.”

.
Leia mais sobre esse assunto em: