quarta-feira, 25 de abril de 2007

Alterando o shell padrão no Nokia IPSO

Para usar o backspace para apagar os "dedos-gordos", ops! os erros quando está utilizando o shell padrão do Nokia IPSO (C shell), é necessário trocar o C shell pelo sh (/bin/sh).

% clish

NokiaIPSO> set user admin shell /bin/sh
NokiaIPSO> save config
NokiaIPSO> exit

Fica também a dica para alterar opções dentro da CLI (clish) do IPSO.

terça-feira, 3 de abril de 2007

Dynamips Video Tutorial

Josh Horton publicou em seu blog uma série de tutoriais em vídeo de como instalar e configurar o Dynamips. Vale a pena principalmente pelo conceito interessante de passar uma informação através de imagens.

Installation

Basic T1 Configuration

Communication between virtual router and PC loopback interface

segunda-feira, 2 de abril de 2007

VPN Cisco e MTU

O protocolo IP Path MTU Discovery, definido no RFC 1191, permite que um host descubra dinamicamente qual o maior MTU em que ele pode enviar dados sem ter que efetuar a fragmentação dos pacotes (e que por consequência diminui a quantidade de pacotes enviados). Além disso, este algoritmo é útil caso o MTU de um caminho varie, por exemplo devido ao chaveamente para um link secundário de MTU diferente, permitindo assim que os hosts das pontas "negociem" um novo tamanho máximo de pacote.

O padrão para interfaces Ethernet é de 1518 bytes já contando os cabeçalhos de camada 2. No entanto quando se usa um túnel VPN esse MTU diminui devido aos cabeçalhos adicionais de criptografia (este MTU pode variar dependendo do algoritmo utilizado).

Quando um roteador Cisco tenta passar um pacote maior do que o túnel VPN permite ele manda uma mensagem ICMP unreachable para o originador do pacote informando qual o novo MTU. Portanto é importante permitir que o roteador envie as mensagens de ICMP unreachable com o seguinte comando nas interfaces inside e outside do túnel VPN.

conf t
int fas 0/0
ip unreachables
int fas 0/1
ip unreachables

Para descobrir qual o maior MTU permitido em um determinado caminho podem ser utilizados os seguintes comandos:

traceroute -M -I icmp dest_ip_addr

ou

tracepath -n dest_ip_addr

Maiores informações em:

http://www.cisco.com/en/US/products/ps6350/products_configuration_guide_chapter09186a0080435c3e.html#wp1049788

http://www.cisco.com/en/US/products/ps6350/products_configuration_guide_chapter09186a0080435c3e.html#wp1051721

domingo, 1 de abril de 2007

CUIDADO! Esta página esta infectada!

Sim, esta é realmente uma brincadeira de primeiro de abril, mas o título deste post poderia ser verdade. A nova vulnerabilidade dos cursores animados do Windows CVE-2007-0038 (0-day .ANI vulnerability), agora já não tão "zero-day" assim, deve ser cuidadosamente analisada neste início de semana. O Infocon (do ISC) e o Symantec's ThreatCon já foram alterados para um nível de alerta maior devido à esta nova vulnerabilidade - e esta não é história de primeiro de abril.

A Microsoft confirmou esta vulnerabilidade no último dia 29 - ainda sem disponibilizar o patch, no "Microsoft Security Advisory (935423)" - e provocou uma série de notícias sobre uma vulnerabilidade ainda "sem correção". Ok, você está lendo este post pois com certeza já aplicou o patch no seu computador pessoal e em todos os outros que você administra, certo? Ok, vamos lá, a Microsoft promete disponbilizar o patch até o próximo dia 3...

Como o MSIE faz o download e executa automaticamente um arquivo .ani referenciado dentro de uma página HTML esta vulnerabilidade pode ser facilmente explorada somente deixando um arquivo infectado disponível em um servidor e referenciando este arquivo em uma página web - o que abre um leque enorme de possibilidades associadas a cross-site scripting, SQL injection, etc. além da facilidade de propagação através de worms, por exemplo, baseados em mensagens eletrônicas. Para saber se o seu sistema está vulnerável, consulte a página oficial da Microsoft.

Uma análise detalhada de um artefato infectado foi publicada aqui e o Mcafee Avert Lab Blog publicou um vídeo mostrando o que acontece com o Windows Vista após ser comprometido com um arquivo .ani. O CISRT também publicou um anúncio sobre um novo worm que utiliza arquivos infectados com esta vulnerabilidade para comprometer o sistema operacional.

UPDATE [03-abr-2007]: Patch disponibilizado pela Microsoft em através do Windows Update ou http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx.

UDPATE [04-abr-2007]: Vários usuários estão reportando que após a aplicação do patch ocorreram outros problemas, inclusive a Microsoft já disponibilizou um novo patch para corrigir alguns desses problemas. Mais detalhes na página do ISC - este que está fazendo um excelente trabalho de divulgação de informações sobre esta vulnerabilidade.