AS17557 e o Youtube

No último dia 24 de fevereiro o governo do Paquistão ordenou o bloqueio do site Youtube em seu país alegando que o site exibia vídeos com conteúdo considerado impróprio para seus cidadãos. A Pakistan Telecom (AS 17557), tentando cumprir esta decisão, anunciou internamente um prefixo /24 do Youtube em seus roteadores. Tudo transcorreria bem se o AS17557 tivesse anunciado o prefixo do Youtube somente para seus peers BGP internos, mas não foi isso o que realmente aconteceu.

O AS17557 passou a anunciar de forma não-autorizada para o seu peer BGP de trânsito (AS3491) o prefixo 208.65.153.0/24 que pertence ao Youtube. O AS3491 aceitou e repassou o anúncio do prefixo para Internet o que resultou em um sequestro de todo o tráfego destinado ao prefixo citado pois este prefixo é mais específico do que o anuncionado pelo próprio Youtube (que o anuncia através do bloco 208.65.152.0/22). Este problema deixou o Youtube inacessível por até duas horas em diversas regiões do mundo (possívelmente em toda a Internet).

Este tipo de problema não é novo no BGP e já aconteceu outras vezes, tal como no famoso caso do AS7007 em 1997 e diversos outros. Dentre as informações publicadas sobre o caso do Youtube e o AS17557, quero destacar duas análises: 1) da empresa Renesys e 2) do RIPE-NCC.

Esta é uma boa oportunidade para comentar sobre o projeto RIS do RIPE-NCC. O RIS (Routing Information Service) é um projeto que colheta informações da tabela BGP (full routing) ao redor do mundo. O projeto possui mais de 600 peers BGP e está presente em 16 pontos de troca de tráfego (IXP ou Internet Exchange Point). No Brasil, quem quiser estabelecer um peer BGP com o projeto deve estar conectado ao PTT.br, onde o RIPE-NCC já possui conectividade.

Os dados observados pelo projeto posteriormente podem ser analisados nas diversas ferramentas disponíveis no site: http://www.ripe.net/is-portal/. Uma ferramenta que com certeza é destaque é o BGPlay. Esta ferramenta possibilita visualizar graficamente as mudanças dos anúncios de prefixos no BGP com o passar do tempo e é utilizada para mostrar como aconteceu o o anúncio indevido do prefixo do Youtube.

Problema de filtragem por usuários no Checkpoint

Se você tem um firewall Checkpoint e já teve ou tem problemas para achar alguns usuários nos seus filtros usando o SmartView Tracker, leia esta dica.

Na realidade, estes "alguns usuários" podem ser os autenticados por certificado. O que acontece é que o nome desse usuário não é aquele nome bonito que você coloca no momento da criação do usuário, mas sim o FQDN utilizado no certificado na forma CN=,OU=user,O=.

Assim, quando for filtrar por usuário e ele se autentica por certificado, edite no filtro na coluna de User, procurando-o dessa forma utilizando-se da caixa de texto:

CN="nome_bonito_que_voce_usou_na_criacao_do_usuario"*

O asterisco é obrigatório e as aspas devem ser retiradas. A frase, logicamente, deve ser substituida. :)

Observação: Foi testado em um NGX R65.

DICA: vá no menu Query no seu SmartView Tracker e selecione "Long user name". Assim, será sempre mostrado o FQDN dos usuários autenticados com certificado, e você não esquecerá mais desse detalhe.

Ferramentas GNU para Windows

Sempre que falamos sobre ferramentas GNU (open-source) para Windows vêm à mente o Cygwin. No entanto, para você fazer um grep, awk ou coisa parecida em um grande arquivo texto não é necessário instalar toda a suíte do Cygwin. Existem aplicações que rodam nativamente no Windows (sabores XP/2000, principalmente) que podem ajudar nestes momentos.

- UnxUtils (http://unxutils.sourceforge.net/)

Não é necessário instalar. Basta copiar para um diretório que está no path do sistema e usar. O arquivo zip (UnxUtils.zip) contém 130 arquivos. Dentre eles os que eu considero mais importantes: cat, grep, gawk, sed, sort, patch, diff, echo, tar, zip, unzip e wget (e muitos outros). Mais informações e download na página deste projeto.

C:\bin>cat hello.c | grep ello
printf ("Hello World!\n");

- UWIN (http://www.research.att.com/sw/tools/uwin/)

É uma ferramenta desenvolvida pelo AT&T Labs que instala um shell ksh no Windows. Após instalado você pode executar o shell (ksh.exe) e utilizá-lo como se estivesse em um ambiente unix. O UWIN é compatível com as versões XP/2000/NT/ME/98/95 do Windows. Para mais informações sobre estas e outras características do UWIN visite a página oficial.

$ pwd
/C/Program Files/UWIN/usr/bin
$ uname -a
UWIN-XP mymachinename 4.2/5.1 2600 i1586 i1586 i386 UWIN-XP
$
$ cat ~/bin/hello.c | grep ello
printf ("Hello World!\n");

Quebrando a Criptografia do HD

Foi publicado hoje por alguns pesquisadores da universidade Princeton (EUA) um estudo que mostra algumas técnicas para quebrar a criptografia utilizada nos principais programas utilizados hoje no Windows, Mac OS ou Linux. O vídeo abaixo, publicado no site do grupo de pesquisa, é um resumo de como o ataque foi desenvolvido.

Segundo os pesquisadores, os ataques funcionam pois a chave criptográfica destes programas deve estar armazenada na memória RAM para que as informações possam ser decriptografadas do disco rígido e, com um simples programa para vasculhar a memória RAM, é possível encontrar esta chave. Ainda de acordo com o grupo de pesquisa, o ataque foi bem-sucedido nos sistemas  BitLocker (Microsoft), FileVault (Apple), dm-crypt (Linux) e TrueCrypt (portável para vários sistemas). Vale a pena consultar o paper publicado sobre este trabalho. O estudo é surpreendente não somente por mostrar uma vulnerabilidade em softwares comumente utilizados, mas também por mostrar como a memória RAM é vulnerável a vários tipos de ataque...

Path MTU Discovery (PMTUD)

Se durante uma comunicação alguma estação enviar pacotes IP maiores do que a rede pode suportar, ou seja, maiores que o menor MTU (Maximum Transmission Unit) do caminho, então será necessário que haja algum mecanismo para avisar que esta estação deverá diminuir o tamanho dos pacotes para que a comunicação ocorra com sucesso.

O processo interativo de envio de pacotes em determinados tamanhos, a resposta dos roteadores intermediários (possivelmente com pacotes do tipo ICMP Packet Too Big) e a adequação do tamanho dos pacotes posteriores é chamada de Path MTU Discovery ou PMTUD. No entanto, este processo pode não ser tão simples quanto parece pois, devido a má configuração dos equipamentos de rede intermediários, podem ocorrer problemas neste mecanismo. Os principais problemas estão relacionados à má configuração dos roteadores intermediários (por exemplo, configurando um bloqueio para todos os tipos de mensagens ICMP), a utilização de endereçamento IP inválido (que impede que os roteadores enviem o ICMP Packet Too Big para origem e consequentemente o ajuste do MTU na origem) ou até mesmo bugs no software dos equipamentos envolvidos na comunicação.

Para determinar o MTU de um caminho (dentre outras coisas) podemos utilizar o software scamper, que funciona em plataforma *BSD, Linux, SunOS ou Mac OS X. O mecanismo proposto para determinar o MTU do caminho e mais detalhes sobre esta ferramenta podem ser encontrados neste artigo publicado pela USENIX em 2005. Abaixo está a saída de um comando disparado na tentativa de inferir o MTU do caminho:

host:~/$ sudo ./scamper -c "trace -M" -i 201.6.0.2

traceroute from 192.168.x.y to 201.6.0.2

1 201.6.197.110 0.983 ms [mtu: 1500]

2 201.6.192.1 13.632 ms [mtu: 1500]

3 201.6.0.2 13.320 ms [mtu: 1500]

Outra dica interessante sobre o MTU é o artigo de Ivan Pepelnjak, The Never-Ending Story of IP Fragmentation, cuja leitura é extremamente recomendada.

NANOG 42

Continuando as conferências ao redor do mundo, começou hoje e vai até o próximo dia 20 a NANOG 42 em San Jose, CA.

A NANOG (conferência do North American Network Operators' Group ou grupo de operação de redes da américa do norte) acontece tradicionalmente três vezes ao ano e - principalmente para os brazucas que vivem e trabalham no Brasil - pode ser acompanhada via web streaming.

Para mais informações, pode-se consultar a agenda do evento ou a página oficial da NANOG.

Explore outras máquinas da rede mais rapidamente

Vasculhar por outros computadores na Rede pode travar o Windows Explorer ou até a máquina.
Quando procuramos por outros computadores na rede, o Windows XP verifica por tarefas agendadas em comum nas mesmas (isso é estranho, né!? Mas acredite, é verdade!). Desabilitar este recurso faz com que a procura na rede seja bem mais ágil. Para isso, execute o regedit.exe. Percorra o caminho HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Explorer/RemoteComputer/NameSpace e procure pela chave D6277990−4C6A−11CF−8D87−00AA0060F5BF e apague−a.

Pronto! Agora, a visualização e a navegação por outros PCs da rede ficará mais rápida.

"Secure the Blessings of Liberty"

Vez ou outra circulam pela mídia em geral notícias sobre espionagem, sobre segurança e privacidade, sobre liberdade. E este tipo de notícia de "última-hora" tem se tornado a notícia da última década da segurança da informação. Bruce Schneier, no primeiro artigo da última edição de seu newsletter crypto-gram, discorre sobre este tema também. 

O artigo intitulado "Security vs. Privacy" mostra a opinião do autor sobre o que o sr. Michael McConnell está fazendo bem perto da Casa Branca. Mike :-) é diretor da agência americana responsável por aconselhar o presidente dos Estados Unidos da América denominada National Intelligence e está propondo um plano para monitorar todas as comunicações da Internet. Sim, você entendeu corretamente: TODAS. Mais uma vez os holofotes se voltam para a lei que proíbe este tipo de prática nos EUA, a chamada FISA (1978 Foreign Intelligence Surveillance Act), aquela que, como dizem, o governo dos EUA resolveu esquecer nos últimos anos. Para derrubar esta lei dizem que quando a mesma foi criada não existia Internet, e-mail ou telefone celular. Nos tempos remotos era humanamente impossível vigiar a todos. Agora é eletronicamente viável (???) e por isso permitido (???).

Fica sempre aquela sensação de que com a crescente onda de insegurança é necessário que o algum indivíduo monitore a todos, mesmo que em detrimento da liberdade e da privacidade, para garantir a segurança de toda a população. Ou seja, privacidade e segurança já não devem andar mais juntos (talvez tenha chegado o dia de mudar o nome da famosa revista da IEEE: Security&Privacy, se me permitem a brincadeira neste momento de tristeza). 

Nós sabemos que não é assim. Sabemos que privacidade e segurança não caminham para lados opostos e não é necessário abdicar de uma para alcançar a outra. Estamos de olho. E, por enquanto, vale a pena dar uma boa risada neste fim de semana: Security Bear.

(*) "Secure the Blessings of Liberty" está no primeiro parágrafo da Constituição dos Estados Unidos da América.

Elimine os arquivos thumbs.db do HD

Quando visualizamos imagens e ví­deos no modo miniaturas (Thumbnails), o Windows cria um arquivo oculto chamado thumbs.db em cada pasta de imagens ou ví­deos. Assim acabamos com um monte de arquivos thumbs.db espalhados pelo HD do computador. Esses arquivos não aparecem no Windows Explorer, mas aparecem em disquetes, CDs e DVDs daquelas pastas que forem gravados. Para livrar-se desses arquivos, siga os seguintes passos abaixo:

1. Abra o Windows Explorer
2. Clique em Ferramentas;
3. Escolha Opções de pasta;
4. Escolha Modo de exibição;
5. Marque a opção de "Não armazenar miniaturas em cache";
6. Clique em Aplicar a todas as pastas;
7. Clique em Aplicar e em OK.

Pronto!

-Jarbas.

Verificar Imagem do IOS com MD5

Fazer a verificação do checksum MD5 (Message Digest 5) de uma imagem do Cisco IOS é importante para assegurar que a imagem não foi corrompida durante a cópia (ou mesmo antes da cópia). Ao fazer o download da imagem do site da Cisco você pode conferir o número de checksum MD5 desta imagem no próprio site (o que é bastante recomendado) ou mesmo aplicar o checksum posteriormente. No linux, por exemplo, ficaria assim:

$ md5 ./c7200-js-mz
MD5 (./c7200-js-mz) = 0f369ed9e98756f179d4f29d6e7755d3
$

Após copiá-la para o roteador, basta conferir se está tudo OK (antes de fazer o reload do roteador) com o comando:

Router# verify /md5 disk1:
Verify filename []? c7200-js-mz
..................................
..................................
..................................
..................................
..................................
...............................Done!
verify /md5 (disk1:c7200-js-mz) = 0f369ed9e98756f179d4f29d6e7755d3

Mais uma vez é importante conferir se a imagem não está corrompida principalmente se o roteador estiver à algumas léguas de distância. Este recurso foi liberado a partir da versão 12.0(22)S e 12.2(4)T do Cisco IOS. Mais informações aqui.

Otimizando switches multilayer

Para alguns swicthes Cisco que possuem a funcionalidade de multilayer (isto é, também fazem roteamento) é possível otimizar os recursos de memória do switch para melhorar o seu desempenho. Estão incluídos nesta lista o 3400, 3550, 3560 e 3750.

Suponha que se esteja utilizando um protocolo de roteamento dinâmico (como BGP) em um switch 3560. No modo default, o switch tenta equilibrar os recursos entre switching e routing. No entanto, isso gera algumas limitações que podem gerar alto consumo de CPU do equipamento quando uma funcionalidade é mais exigida do que a outra.

Sendo assim é recomendável mapear previamente qual a funcionalidade do multilayer switch que será mais utilizada. Para alterar o profile de funcionamento do equipamento, basta entrar em modo de configuração e executar o comando:

(config)# sdm prefer profile

Depois de alterar o profile é necessário efetuar um RELOAD no equipamento para que ele possa realocar os recursos do sistema operacional.

Segue a tabela como os recursos podem ser otimizados:


Obs: os nomes dos profiles e a configuração de cada um deles pode variar para cada modelo de switch e versão de IOS

Agenda de Conferências de Segurança

É sempre bom acompanhar o que está acontecendo no mundo, principalmente quando estamos falando de segurança da informação. E no final desta semana começa Shmoocon 2008 (em Whashington, D.C.) e em seguida temos a Black Hat DC na mesma cidade. Para se programar para outros eventos de segurança, nada melhor que as famigeradas aplicações de colaboração como o Google Calendar:

- IT Security Events
- Security Events Calendar

O pessoal do I sh0t the sheriff fez uma boa cobertura destes eventos no passado e esperamos que continue assim... :-) Mais notícias em breve.

Vulnerabilidade no Checkpoint SecureClient

A Checkpoint divulgou este mês uma vulnerabilidade no software cliente de VPN Checkpoint SecureClient/SecuRemote relacionada com a opção "Auto Local Logon" que armazena as informações de login do usuário no registro do Windows (HKLM\Software\Checkpoint\SecuRemote) sem configurar adequadamente as permissões de leitura e escrita, permitindo que qualquer usuário do sistema consiga acessar (e posteriormente usar) as informações de login do usuário. Os sistemas afetados são VPN-1 SecuRemote/SecureClient NGX R60 e NG-AI R56 para a plataforma Microsoft Windows. A Checkpoint já disponibilizou um update que corrige este problema.

- Mais informações na página oficial do suporte Checkpoint ou no release notes do SecuRemote/SecureClient Supplement 2 que corrige este problema.

BGP Multipath

Permite que a tabela de rotas tenha múltiplos caminhos para um mesmo destino, ou seja, na tabela de roteamento IP não é só instalada o best path para um determinado destino, mas também um número finito de rotas adicionais (max. de 6) de forma a permitir balanceamento de carga entre múltiplos links.

Esta feature pode ser aplicada a: eBGP, iBGP ou ambos (eiBGP).

Para a escolha das demais rotas da tabela BGP que serão instaladas na tabela de roteamento IP são utilizados os seguintes critérios (que devem ser iguais ao do best path):

• Weight
• Local preference
• AS-PATH length
• Origin
• MED
• Um dos listados abaixo:

1. Neighboring AS ou sub-AS (antes da inclusão da feature no IOS para eiBGP Multipath)
2. AS-PATH (depois da inclusão da feature no IOS para eiBGP Multipath)

Obs1: por definição o protocolo BGP sempre anuncia somente o best path para seus neighbors, portanto, as múltiplas rotas instaladas na tabela de roteamento IP ficarão restritas ao roteador local.

Obs2: caso as rotas não tenham "custos" equivalentes conforme os critérios citados acima, deve-se utilizar outra feature chamada BGP Link Bandwidth, mas que também só pode ser utilizada com VPN MPLS.

Fazendo backup do WPA, para evitar a reativação do Windows

Nas minhas navegadas pela WEB eu encontrei algumas Dicas WINDOWS que serão postadas aqui no Blog. Essas dicas muitas vezes, quebram galho no momento de sufoco. Principalmente quando você resolve reinstalar aquele windowsZÃO velho da sua mãe, sogra ou cunhado ;-).

Observação: o WPA aqui mencionado está relacionado ao WGA de Windows Genuine Advantage e não ao WPA de Wi-Fi Protected Access.

Caso você tenha o Window XP já ativado e funcionando corretamente no computador, pode ser que você necessite reinstalá−lo por algum motivo. Neste caso, você terá reativá−lo novamente para que ele funcione. Para evitar isso, simplesmente faça um backup (cópia) de um arquivo do WPA e depois de reinstalar o Windows, copie este arquivo para o lugar correspondente. Com isso, ele estará automaticamente ativado. Para isso, copie para um disquete o arquivo WPA.DBL que está em Windows\System32. Após a reinstalação do Windows XP, coloque o arquivo neste mesmo diretório e ação está terminada. Vale dizer que o arquivo WPA.DBL é onde o sistema armazena as informações sobre o hardware instalado no computador.

Observação: Este procedimento não funciona com alguns CDs do Windows XP que já tem o SP1 integrado. Mas não custa nada tentar.

Abraço,

-Jarbas.

Um pouco de história - Cisco CLI

Agora mais um final de semana está no passado e de lá, ainda na década de 1990, também está a história do desenvolvimento do CLI pela Cisco, contada por um dos desenvolvedores: Terry Slattery. O CLI como o conhecemos hoje foi uma das grandes inovações - e talvez uma das mais copiadas - da versão 9.21 do Cisco IOS... Leia mais aqui. 

Comando Reload no Cisco IOS

Perder a comunicação com um roteador (neste caso, um Cisco rodando IOS) não é a melhor coisa que pode acontecer na vida, principalmente se você estiver trabalhando em alguma hora da madrugada de domingo e o equipamento está em outro prédio, cidade ou país... Atualmente (e infelizmente) não existe no Cisco uma interface de commit-rollback de configuração como existe no JunOS da Juniper. No entanto, é possível utilizar o comando reload para programar um reload com tempo hábil para aplicar as configurações e cancelar o reload - ou no pior dos casos, aguardar o processo de boot do IOS novamente com a configuração antiga. Antes de inicar o procedimento abaixo é importante salvar a configuração do roteador.

1. Programe seu reload para daqui 3 minutos:

MyRouter#reload in 3
Reload scheduled in 3 minutes
Proceed with reload? [confirm]y

2. Aplique as configurações (por exemplo, acertar uma ACL):

MyRouter#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
MyRouter(config)#interface serial0
MyRouter(config-if)#ip access-group 110 in
MyRouter(config-if)#^Z
MyRouter#

3. Cancele o reload caso tudo esteja funcionando como esperado:

MyRouter#reload cancel

GNS3

A grande maioria dos nossos leitores vêm até aqui em busca do emulador Dynamips, ou do Dynagen (que é uma interface um pouco mais amigável do Dynamips) ou outras coisas bem parecidas. Sendo assim, eu me sinto na obrigação de deixar um lembrete aqui sobre o GNS3.

O GNS3 é um simulador gráfico para o Dynamips: é uma combinação do Dynamips com o Dynagen com uma interface gráfica amigável. Com ele você desenha a sua rede como se estivesse desenhando um pequeno mapa no Visio (ou no seu software favorito), ajusta o modelo de IOS e das placas que estarão nos roteaores, inclui as conexões e indica quais portas estão conectas umas nas outras e inicia o seu laboratório. A versão para Windows é muito simples de instalar e usar - existe também uma opção de download que traz todos os softwares necessários para o funcionamento no Windows: Dynamips, Winpcap, etc - e ainda existem versões para Linux e Mac OS X.

O software ainda está em desenvolvimeno (atualmente na versão 0.3.2) por um grupo de desenvolvedores da Europa (principalmente França, país de origem de Christophe Fillot que é o criador do Dynamips). Mais informações no site: http://www.gns3.net.

Welcome Back!

Depois de mais de um ano de vida e quase 25 mil visitas (eu também não acredito, mas é o Google que está falando...), a iniciativa de fazer um blog que também fosse um lembrete das coisas que tropeçamos no dia-a-dia funcionou! Pelo menos para nós que agora sabemos e lembramos onde deixamos aquela dica de como fazer funcionar aquela história de não-sei-o-quê... :-)

Algumas mudanças estão planejadas para este ano. A primeira delas, claro, é voltar a escrever alguma coisa aqui. :-)

Para entrar em contato, mandar sua pergunta ou deixar registrada a sua crítica: blog@nexthop.com.br ou deixe seu recado em algum lugar do blog.

That's all! Obrigado.