Pesquisar neste blog

quinta-feira, 31 de julho de 2014

Determinação de Subnets

A fórmula de cálculo para determinar quantas redes podemos criar em função dos bits usados desta forma é (2n-2), em que n é o número de bits. Assim, se usarmos 1 bit teremos 0 redes, com 2 bits teremos 2 redes, com 3 bits teremos 6 redes e por aí adiante. Por este cálculo, vemos que iremos utilizar 3 bits, pois só com apenas seria possível obter 2 subnets.

Embora os números costumem ser uma matéria complicada, neste caso ajudam-nos a compreender melhor o que foi explicado. Vamos começar por reduzir a binário o endereço original (172.16.0.0 com Subnet Mask 255.255.0.0) sem nos preocuparmos para já com a questão do subnetting. A decomposição do endereço IP é mostrada na tabela 1.

           1º OCTETO 2º OCTETO 3º OCTETO 4º OCTETO DECIMAL

SUBNET MASK 11111111 11111111 00000000 00000000 255.255.255.0

ENDEREÇO IP 10101100 00010000 00000000 00000000 172.16.0.0

TABELA 1 – Endereços na forma binária

De acordo com o cálculo efectuado anteriormente, vamos usar 3 bits do Host ID no Network ID. Assim, vamos alterar o 3º octeto da Subnet Mask de “00000000”para “11100000”. Em relação ao 3º octeto do endereço IP, combinando todas as possibilidade de “0” e “1” teremos o seguinte: “000”, “001”, “010”,“011”, “100”, “101”, “110” e “111”, o que resulta num total de 8 combinações.

Mas, segundo as regras, as combinações “000” e “111” não são válidas (daí o “-2” na fórmula).

Vamos voltar a fazer a tabela com os novos dados, sublinhando as diferenças em relação à tabela anterior:

            1º OCTETO 2º OCTETO 3º OCTETO 4º OCTETO DECIMAL

SUBNET MASK 11111111 11111111 11100000 00000000 255.255.224.0

SUBNET 1 10101100 00010000 00100000 00000000 172.16.32.0

SUBNET 2 10101100 00010000 01000000 00000000 172.16.64.0

SUBNET 3 10101100 00010000 01100000 00000000 172.16.96.0

SUBNET 4 10101100 00010000 10000000 00000000 172.16.128.0

SUBNET 5 10101100 00010000 10100000 00000000 172.16.160.0

SUBNET 6 10101100 00010000 11000000 00000000 172.16.192.0

TABELA 2 – Cálculo das subnets

segunda-feira, 21 de julho de 2014

How to calculate the Wildcard Mask

This is really simple.

Simply subtract your mask from 255.255.255.255 to get your wildcard mask.

Example:

The wilcard mask of /26 is:

255.255.255.255 - 255.255.255.192 = 0.0.0.63

The wilcard mask of /19 is:

255.255.255.255 - 255.255.224.0 = 0.0.31.255

The wildcard mask of /12 is:

255.255.255.255 - 255.240.0.0 = 0.15.255.255

There is an alternative way of calculating your wildcard mask which follows on from the Subnetting Made Easy post about boundaries. If you do not understand what I mean about boundaries please read that post.

For example, if you had a /28, your next boundary is /32 so 32 - 28 = 4 and 24 = 16. If we subtract 1 from the block size it gives us 15 which is what we put into our wildcard mask in the octet that we are subnetting in. All octets before the one we are subnetting in are 0 and all octets after the octet we are subnetting in should be 255. 

Let's follow that again:

1. /28 gives us 15 in the last octet (i.e. 32 - 28 = 4 and 24 - 1 = 15)
2. All octets before that octet have to be 0 (i.e. 1st, 2nd, and 3rd octets)
3. All octets after that octet have to be 255 (not applicable here as /28 is in the last octet)
4. We therefore have 0.0.0.15 as our wildcard mask

Let's do it with a /21:

1. /21 gives us 7 in the third octet (i.e. 24 - 21 = 3 and 23 - 1 = 7)
2. All octets before that octet have to be 0 (i.e. 1st and 2nd octets)
3. All octets after that octet have to be 255 (i.e. the 4th octet)
4. We therefore have 0.0.7.255 as our wildcard mask

Let's do it with a /9:

1. /9 gives us 127 in the second octet (i.e. 16 - 9 = 7 and 27 - 1 = 127
2. All octets before that octet have to be 0 (i.e. the 1st octet)
3. All octets after that octet have to be 255 (i.e. the 3rd and 4th octet)
4. We therefore have 0.127.255.255 as our wildcard mask

domingo, 20 de julho de 2014

terça-feira, 15 de julho de 2014

Configurando senhas em um roteador Cisco


Segurança em um roteador Cisco


As senhas em um roteador Cisco são de extrema importância para a segurança do sistema e da rede como um todo. Em um roteador Cisco existem 4 tipos de senha: enable secretenable passwordconsole e vty.

enable secret é a senha mais forte do roteador Cisco. Ela é requerida quando se tenta entrar no modo EXEC privilegiado. A diferença entre a enable secret e a enable password é que a primeira é criptografada por padrão com uma chave poderosa, enquanto a segunda não, sendo que a secret tem precedência sobre a password. Entretanto, vou mostrar no final deste artigo, como implementar criptografia leve para todas as senhas não criptografadas do roteador.

enable password como dito anteriormente é uma senha sem criptografia, e é requerida também quando se tentar entrar no modo EXEC privilegiado.

senha de console será requerida quando o administrador entrar no roteador pela porta console, utilizando para isso um cabo rollover conectado a porta console do roteador à porta serial do computador. Como podemos ver, essa é uma senha para conexão física ao roteador. Entretanto, mesmo sendo uma conexão física, ela deve possuir senha para aumentar a segurança.

A senha de vty será requerida ao tentar se conectar ao roteador por meio de uma sessão telnet. No roteador Cisco, o padrão são 5 conexões remotas, numeradas a partir do 0.

É importante frisar que somente a enable secret é criptografada por default (padrão). As demais senhas, quando inserido o comando #show running-config, que mostra a configuração em execução do roteador aparecem em texto aberto o que compromete a segurança da rede. Abaixo segue um exemplo desta situação.

enable password cisco
!
(...)
line con 0
password cisco
login
line vty 0 3
login
line vty 4
password cisco
login
!

Agora que você já tem uma idéia sobre as senhas em um roteador Cisco, está na hora de começar a configurá-las. Primeiramente vamos configurar as senhas de console e vty.

Router>en
Router#configure terminal
Router(config)#line console 0 // Entra na interface de console. O nº 0 é referente ao nº da interface de console.
Router(config-line)#password //Aqui você define sua senha.
Router(config-line)#login //Garante que a senha será requerida ao se logar no roteador.
Router(config-line)#exit //Retorna ao modo de configuração global.
Router(config)#line vty 04 //04 siginifica que vamos configurar de uma vez a senha de todas as conexões remotas do roteador.
Router(config-line)#password
Router(config-line)#login //Garante que a senha configurada será requerida ao se logar remotamente no roteador.
Router(config-line)#^Z //Retorna raiz.
Router#copy running-config statup-config //Salva a configuração.
Agora vamos configurar as senhas enable, requeridas ao se passar do modo EXEC usuáriopara o modo EXEC privilegiado.
Router>en
Router#configure terminal
Router(config)#enable password //Aqui você defini sua senha.
Router(config)#enable secret //Aqui você define a senha criptografada que terá precedencia sobre a senha configurada acima.
Pronto, seu roteador já possui todas as senhas configuradas. Agora vamos aumentar ainda mais a segurança de suas senhas não criptografadas. A criptografia usada não é tão complexa como a criptografia utilizada na enable secret, mas já quebra um ganho tremendo no quesito segurança. Para que isso seja feito, insira o seguinte comando:
Router(config)#service password-encryption

É claro que as senhas não são garantia de segurança total do roteador e da rede, mas são uma barreira que aumenta a segurança do equipamento e da rede como um todo. Para efeito de comparação, segue a saída do comando Router(config)#service password-encryption.Note que agora todas as senhas estão criptografadas.
!
enable secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
enable password 7 0822455D0A16
!
line con 0
password 7 0822455D0A16
login
line vty 0 3
login
line vty 4
password 7 0822455D0A16
login
!

Source: Viavida

CSU/DSU, DTE e DCE

DTE – Data Terminal Equipment ou equipamento de terminação de dados. Como o nome diz é o equipamento onde os dados terminam e onde também podem ser iniciados. Um DTE pode ser um computador, ou um roteador. Geralmente este dispositivo prepara a informação a ser enviada/recebida a linha de comunicação pelo usuário.
DCE – Data Communications Equipment, Data Circuit-terminating Equipment, como o nome o diz é o equipamento responsável por realizar a comunicação dos dados. Isto pode fazer alguma confusão se pensarmos num roteador do outro lado a servir como DCE como muitas das vezes pensamos.  Na verdade o DCE serve para realizar algumas tarefas importantes na transmissão de dados entre dois dispositivos como determinar a frequência de clock, a determinação dos erros de transmissão  e a codificação, enfim a definição de como se envia e como se recebem os dados. Isso significa que um DCE pode ser um dispositivo ligado directamente ao roteador ou uma interface com estas capacidades.
A razão porque você precisa de um DCE tem a ver com a mesma razão porque você precisa de um cabo crossover para ligar dois computadores directamente sem necessitar dum comutador. É necessário saber como (e que pinos tratando-se de cabos seriais) se enviam os dados, e o DCE trata disso automaticamente. Por isso é que nos laboratórios Cisco você pode usar um cabo serial padrão V35 para fazer isso:

Mas note que em se tratando de comunicação entre um computador e um modem num caso em que se usa ADSL o computador é o DTE e o modem o DCE, pelas razoes já definidas antes: Alguém precisa de dizer como os dados são transmitidos.

CSU/DSU – Está aí um termo que faz confusão a muita gente. Channel Service Unit / Data Service Unit como o nome sugere é um equipamento que diz ao DTE de um lado e o DCE do outro para se ‘casarem’ :


Um dado importante é que hoje em dia muitos roteadores vêem equipados com CSU/DSU nas suas interfaces WIC de modo que não mais é necessário usar um separado. De modo que a tarefa de ligar um roteador a um circuito digital tal como a uma hierarquia PDH/E1, ou a um link ponto a ponto ligado a um provedor de serviços, não precisa mais de um CSU/DSU separado do roteador como este da figura acima.

segunda-feira, 14 de julho de 2014

Classful x Classless Routing

Classfull/Classless e ip subnet-zero


Métrica

refere-se ao número de saltos até a rede destino, e sempre a menor métrica é escolhida (ex: largura de banda, delay/atraso, carga). 

Distância administrativa

é levado em consideração o custo da rota até a rede destino. E caso o número de saltos “métrica” seja igual para duas ou mais situações, então aquela rota com o menor custo “distancia administrativa” será escolhida.

Classfull 

 Não carrega máscara, se baseia nos bits inicio do endereço

A 1-126 0
B 128-191 10
C 192-223 110
D 224-239 1110
E 240-255 11110


Protocolos (exemplo)

RIP V1
IGRP


Classless 

A máscara é nescessária para saber quantos bits são de rede/host
Suporta VLMS (variable lenght subnet mask) e supernet.

Protocolos (exemplo)

RIP V2
EIGRP
OSPF


Redes privadas

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16


Sabemos que o primeiro endereço de uma range representa a rede e o ultimo o host, porém no meio de uma range pode haver um endereços terminados em zero ou um (255), exemplo:

Na rede 10.0.0.0/8 os endereços 10.1.0.0 e 10.1.0.255 podem ser usados, porque os endereços de rede e broadcast são respectivamente 10.0.0.0 e 10.255.255.255

Porem alguns sistemas não trabalham bem com esses endereços, então para desabilitar esses endereços basta usar o comando: no ip subnet-zero

Feature Classless Supports VLSM Send Subnet Mask
RIP-1 No No No
RIP-2 Yes Yes Yes
EIGRP Yes Yes Yes
OSPF Yes Yes Yes
IS-IS Yes Yes Yes

Linux Ubuntu and Cisco switch link aggregation (load balancing, bonding)

Link aggregation between Cisco 3750 switch and Ubintu 9.10
Ubuntu configuration:
Install ifenslave — Attach and detach slave network devices to a bonding device.
apt-get install  ifenslave
Edit or create file /etc/modprobe.d/aliases.conf
alias bond0 bonding
options bonding mode=4 miimon=100
where mode 4 – IEEE 802.3ad Dynamic link aggregation. Creates aggregation groups that share the same speed and
duplex settings. Utilizes all slaves in the active aggregator according to the 802.3ad specification.
Edit /etc/network/interfaces.
auto bond0
iface bond0 inet static
        address 192.168.200.5
        netmask 255.255.255.0
        network 192.168.200.0
        broadcast 192.168.200.255
        post-up ifenslave bond0 eth0 eth1
        gateway 192.168.200.1
        dns-nameservers 192.168.200.1
        dns-search example.com
UPDATE (02.01.2012): Ubuntu 11.10 (oneiric).
1.  Edit or create file /etc/modprobe.d/aliases.conf
alias netdev-bond0 bonding
options bonding mode=4 miimon=100
or
2. To run bonding first put module “bonding” in “/etc/modules” :
# /etc/modules: kernel modules to load at boot time.
#
# This file contains the names of kernel modules that should be loaded
# at boot time, one per line. Lines beginning with "#" are ignored.
loop
lp
rtc
bonding
In “/etc/network/interfaces”
auto bond0
iface bond0 inet static
        slaves eth0 eth1
        bond_mode 4
        bond_miimon 100
        address 192.168.200.5
        netmask 255.255.255.0
        network 192.168.200.0
        broadcast 192.168.200.255
        post-up ifenslave bond0 eth0 eth1
Cisco configuration ( Gi1/0/1 and Gi1/0/2 will be aggregated ):
cisco-3750(config)#interface range GigabitEthernet 1/0/1, GigabitEthernet 1/0/2
cisco-3750(config-if-range)#switchport trunk encapsulation dot1q
cisco-3750(config-if-range)#switchport trunk allowed vlan 10,20
cisco-3750(config-if-range)#switchport mode trunk
cisco-3750(config-if-range)#channel-group 1 mode active
Creating a port-channel interface Port-channel 1
cisco-3750(config-if-range)#end
cisco-3750#
Configuration of interface Port-Channel 1 must be exactly the same as Gi1/0/1 and Gi1/0/2.
cisco-3750#sh ru int Po1
Building configuration...
Current configuration : 159 bytes
!
interface Port-channel1
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 10,20
end
If you want to modify configuration of aggregated interfaces, modify only configuration of Port-Channel interface.
And the last step is to set load-balance algorithm:
cisco-3750(config)#port-channel load-balance src-dst-ip
cisco-3750#sh etherchannel load-balance
EtherChannel Load-Balancing Operational State (src-dst-ip):
Non-IP: Source XOR Destination MAC address
  IPv4: Source XOR Destination IP address
  IPv6: Source XOR Destination IP address

cisco-3750#show etherchannel summary
Flags:  D - down        P - in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      f - failed to allocate aggregator
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port

Number of channel-groups in use: 1
Number of aggregators:           1

Group  Port-channel  Protocol    Ports
------+-------------+-----------+-----------------------------------------------
1      Po1(SU)         LACP      Gi1/0/1(P)  Gi1/0/2(P)

cisco-3750#
cisco-3750#show etherchannel protocol
                Channel-group listing:
                ----------------------
Group: 1
----------
Protocol:  LACP
Traffic on Gi1/0/1
Traffic on Gi1/0/2
Traffic on Port-Channel1

Enabling multicast routing on Cisco ME-3400G

First we need to allow multicast routing:
ip multicast-routing distributed
In our example we have two vlans:
VLAN 3000 – clients that will receive multicast traffic
VLAN 4000 – in this VLAN are sources of multicast traffic
enter the following commands:
ip igmp snooping querier
ip igmp snooping vlan 3000 mrouter learn cgmp
ip igmp snooping vlan 4000 mrouter learn cgmp

According Cisco’s official documentation: “A querier is a network device that sends query messages to discover which network devices are members of a given multicast group.”
The next two lines configure VLAN 3000 and VLAN 4000 as multicast router port (static connection to a multicast router) and to learn sooping from CGMP (Cisco Group Management Protocol) self-join packets.
Configuration of VLAN interfaces 3000 and 4000
interface Vlan3000
 description multicast_client
 ip address 172.20.20.1 255.255.255.0
 ip pim dense-mode
!
interface Vlan4000
 description source_multicast
 ip address 150.158.231.111 255.255.0.0
 ip pim dense-mode
!
You can read this article about pim dense-mode.
To view IGMP grops:
sh ip igmp groups
226.168.20.44    Vlan3000                 5d04h     00:02:38  172.20.20.6
226.168.20.45    Vlan3000                 2d03h     00:02:35  172.20.20.6
226.168.20.46    Vlan3000                 1d14h     00:02:34  172.20.20.6
226.168.20.47    Vlan3000                 2d11h     00:02:41  172.20.20.6
226.168.20.49    Vlan3000                 00:58:13  00:02:38  172.20.20.9
226.168.20.48    Vlan3000                 1d14h     00:02:40  172.20.20.6
226.168.20.51    Vlan3000                 00:58:13  00:02:39  172.20.20.9
226.168.20.50    Vlan3000                 00:58:13  00:02:40  172.20.20.9
226.168.20.53    Vlan3000                 00:58:13  00:02:33  172.20.20.9
226.168.20.52    Vlan3000                 00:58:13  00:02:39  172.20.20.9
226.168.20.55    Vlan3000                 1d14h     00:02:41  172.20.20.6
226.168.20.54    Vlan3000                 00:58:13  00:02:35  172.20.20.9
226.168.20.57    Vlan3000                 1d14h     00:02:36  172.20.20.6
To view membership
multicast#sh ip igmp membership all
Flags: A  - aggregate, T - tracked
       L  - Local, S - static, V - virtual, R - Reported through v3
       I - v3lite, U - Urd, M - SSM (S,G) channel
       1,2,3 - The version of IGMP, the group is in
Channel/Group-Flags:
       / - Filtering entry (Exclude mode (S,G), Include mode (G))
Reporter:
        - last reporter if group is not explicitly tracked
       /      -  reporter in include mode,  reporter in exclude
 *,226.168.20.27                172.20.20.6     1d14h    02:37 2A     Vl3000
 *,226.168.20.26                172.20.20.6     1d14h    02:30 2A     Vl3000
 *,226.168.20.37                172.20.20.6     1d14h    02:32 2A     Vl3000
 *,226.168.20.40                172.20.20.6     2d03h    02:28 2A     Vl3000
 *,226.168.20.41                172.20.20.6     2d03h    02:31 2A     Vl3000
 *,226.168.20.43                172.20.20.6     1d14h    02:30 2A     Vl3000
 *,226.168.20.44                172.20.20.6     5d04h    02:34 2A     Vl3000
 *,226.168.20.45                172.20.20.6     2d03h    02:28 2A     Vl3000
 *,226.168.20.46                172.20.20.6     1d14h    02:34 2A     Vl3000
 *,226.168.20.47                172.20.20.6     2d11h    02:32 2A     Vl3000
 *,226.168.20.49                172.20.20.9     01:00:18 02:28 2A     Vl3000
 *,226.168.20.48                172.20.20.6     1d14h    02:33 2A     Vl3000
 *,226.168.20.51                172.20.20.9     01:00:18 02:29 2A     Vl3000
 *,226.168.20.50                172.20.20.9     01:00:18 02:35 2A     Vl3000
 *,226.168.20.53                172.20.20.9     01:00:18 02:31 2A     Vl3000
To view snooping groups
multicast#sh ip igmp snooping groups
Vlan      Group                    Type        Version     Port List
-----------------------------------------------------------------------
3000      226.168.1.1              igmp                    Gi0/6
3000      226.168.1.2              igmp                    Gi0/4
3000      226.168.1.3              igmp                    Gi0/4
3000      226.168.1.4              igmp                    Gi0/4
3000      226.168.1.6              igmp                    Gi0/6
3000      226.168.1.7              igmp                    Gi0/6
3000      226.168.1.9              igmp                    Gi0/6
3000      226.168.1.10             igmp                    Gi0/4
3000      226.168.1.12             igmp                    Gi0/4
3000      226.168.1.13             igmp                    Gi0/4
3000      226.168.1.14             igmp                    Gi0/4
3000      226.168.1.15             igmp                    Gi0/4
3000      226.168.1.16             igmp                    Gi0/4
3000      226.168.1.17             igmp                    Gi0/4
3000      226.168.1.18             igmp                    Gi0/4
3000      226.168.1.19             igmp                    Gi0/4
3000      226.168.1.22             igmp                    Gi0/6
3000      226.168.1.23             igmp                    Gi0/4
3000      226.168.1.24             igmp                    Gi0/4
3000      226.168.1.26             igmp                    Gi0/6
3000      226.168.1.28             igmp                    Gi0/6
3000      226.168.1.30             igmp                    Gi0/4


Source: blog.webdir.bg

Understanding Cisco ME3400 UNI/NNI Port Types

Cisco ME 3400 series switches are designed to meet the needs of Metro service providers. Introduce brand new concept and features to make the product easier to manage, deploy, and troubleshoot. One of new features is the new concept of UNI/NNI Port Types.
  • UNI – User Network Interface
  • NNI – Network Node Interface
Based on the port type, certain features/behaviors are enabled or disabled to ease configuration, deployment, and troubleshooting.
UNI ports will not do local switching by default,  for example no local switching on UNI protects customers from each other ( host A dosn’t see host B ), and Control Plane Security  (CPS) is enabled, CPS protects against DoS attacks.
By default UNI ports:
  • not switching local traffic, for example no local switching on UNI protects customers from each other ( host A dosn’t see host B ).
  • Control Plane Security  (CPS) is enabled, CPS protects against DoS attacks.
  • using multiple UNI ports on the same ME 3400, up to 8 UNI ports can be configured to do local switching.
NNI ports:
  • For ME 3400-24TS, by default, the 2 SFP ports are NNI port-type
  • For ME 3400G-12CS and ME 3400G-2CS, by default, the SFP-only ports are NNI port-type
  • There can be a maximum of 4 ports defined as NNI ports (applicable to ME 3400-24TS and ME 3400G-12CS, all 4 ports can be configured as NNI on ME 3400G-2CS)
NOTE: In 12.2(25)SEG and later releases—Metro IP Access Image, all ports can be optionally configured as NNI (not limited to 4).


To configure port type:
me3400#conf t
me3400(config)#int gi0/10
me3400(config-if)#port-type ?
  nni  Set port-type to NNI
  uni  Set port-type to UNI

Configuring UNI ports to do local switching (forwarding traffic between UNI ports)

Port Fa0/3 and Fa0/4 on Cisco me3400 are UNI ports, belongs to VLAN 10, and Fa0/3 is not forwarding traffic to Fa0/4, and vice versa, but we wand to do local switching between them. Interface Fa0/1 is NNI. Configuration:
me3400(config)#vlan 10
me3400(config-vlan)#uni-vlan community
Configuration of ports:
interface FastEthernet0/3
 switchport trunk allowed vlan 10
 switchport mode trunk
!
interface FastEthernet0/4
 switchport access vlan 10
!
View VLAN configuration:
me3400-test#sh vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/2, Fa0/5, Fa0/6, Fa0/7
                                                Fa0/8, Fa0/9, Fa0/10, Fa0/11
                                                Fa0/12, Fa0/13, Fa0/14, Fa0/15
                                                Fa0/16, Fa0/17, Fa0/18, Fa0/19
                                                Fa0/20, Fa0/21, Fa0/22, Fa0/23
                                                Fa0/24, Gi0/1, Gi0/2
10   test1                           active    Fa0/4
20   test                             active
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1    enet  100001     1500  -      -      -        -    -        0      0
10   enet  100010     1500  -      -      -        -    -        0      0
20   enet  100020     1500  -      -      -        -    -        0      0
1002 fddi  101002     1500  -      -      -        -    -        0      0
1003 tr    101003     1500  -      -      -        -    -        0      0
1004 fdnet 101004     1500  -      -      -        ieee -        0      0
1005 trnet 101005     1500  -      -      -        ibm  -        0      0

Remote SPAN VLANs
------------------------------------------------------------------------------

Primary Secondary Type              Ports
------- --------- ----------------- ------------------------------------------

VLAN Type              Ports
---- ----------------- -------------------------------------------------------
10   UNI community     Fa0/1, Fa0/3, Fa0/4

quinta-feira, 3 de julho de 2014

Fraude em Boletos Bancários

Prezados usuários, fiquem atentos as orientações passadas abaixo:

A RSA publicou um relatório em que analisa um tipo de malware específico do Brasil: o malware de boleto (veja também reportagem sobre isto na Folha de São Paulo, no The New York Times e no blog do Brian Krebs). Este estudo foi baseado em uma família de malware analisada pelos especialistas da RSA e encontrou algumas coisas interessantes:
  • Foram identificados quase 496 mil transações com boletos, com data de pagamento nos últimos dois anos, segundo os dados obtidos nos servidores da quadrilha;
  • Estas transações correspondem, na verdade, a cerca de 8 mil boletos únicos, uma vez que a maioria deles foi paga diversas vezes;
  • O valor potencial da fraude, baseado nos boletos identificados, corresponde a cerca de R$ 8,57 bilhões (obviamente, nem todos os boletos foram processados pelos bancos);
  • Cerca de 192 mil computadores foram infectados (estimativa baseada nos endereços IPs identificados)
  • O esquema de fraude envolve boletos de pelo menos 34 instituições bancárias, incluindo os maiores bancos brasileiros.

Mas a verdade é que esse tipo de malware não deveria ser novidade para ninguém. O portal Linha Defensiva e o Fabio Assolini, da Kaspersky, já abordaram esse tipo de golpe desde o ano passado (incluindo através de uma extensão maliciosa do Chrome ou sites que prometem gerar uma segunda via de boletos vencidos).

A fraude de boleto é um crime típico do cenário brasileiro, que não existe em nenhum lugar do mundo. Isso porque os boletos de pagamento são algo específicos do nosso sistema financeiro. em poucas palavras, na fraude de boleto o ciber criminoso paga boletos "seus" (em sua posse) utilizando as contas correntes de suas vítimas.

O ciber criminoso mantém uma base de boletos a serem pagos de forma fraudulenta, que podem ser boletos criados a partir de contas correntes de laranjas, ou podem ser boletos válidos (boletos enviados para consumidores finais que, na impossibilidade de pagar o total da conta, ele/ela recorre a criminosos que cobram apenas uma porcentagem do valor do boleto, e em troca o fraudador paga o valor total utilizando a conta corrente de uma vítima). A fraude com boleto válido faz com que o ciber criminoso receba o dinheiro de forma rápida e fácil, além de dificultar o rastreio da fraude: o banco consegue identificar o dono do boleto pago fraudulentamente, mas não consegue identificar o ciber criminoso. 

Os ciber criminosos tem várias formas específicas para forçar o usuário final a pagar um boleto fraudulento: 
  • Sites falsos de reemissão de boletos: são sites criados por ciber criminosos que prometem a revalidação de um boleto vencido. Ao fornecer os dados de seu boleto, a vítima recebe um novo código de boleto, mas que na verdade direciona o pagamento utilizando o código do boleto do fraudador;
  • Envio de boletos falsos por correio: Os criminosos podem interceptar a correspondência da vítima e substituir o boleto. Assim, a vítima recebe sua conta impressa em sua casa, mas na verdade esta conta já está com os dados de pagamento adulterados;
  • Malware de Boleto: Ele infecta o computador da vítima pode alterar os dados do boleto de três formas:
    • No pagamento de um boleto no Internet Banking: o trojan troca as informações do boleto (a linha digitável) no momento em que a vítima digita os dados no formulário de pagamento. O Browser do usuário já envia para o banco os dados do boleto fraudulento;
    • Na emissão online de boletos (ao pedir uma segunda via ou escolher fazer um pagamento com boleto): o trojan identifica uma página com dados de boleto e troca as informações pelos dados do boleto fraudulento. Eles alteram o valor da linha digitável e inserem espaços no código de barras para inutilizá-lo (assim a vítima é obrigada a digitar os dados do boleto, que já estão trocados);
    • Infectando as empresas que emitem boletos: ao infectar o compitador de uma empresa, o trojan pode fazer com que ela gere, erroneamente, boletos com os dados de pagamento já redirecionados para a conta do fraudador. O cliente já recebe em sua casa o boleto adulterado :(

O Malware de Boleto comunica-se com o servidor central do ciber criminoso para buscar as informações do boleto que o fraudador quer pagar. Normalmente o malware mantém o valor original da conta, para que a vítima não perceba que pagou um boleto fraudulento e troca apenas o trecho da linha digitável que identifica o cedente, isto é, o destino do pagamento (afinal das contas, quem tem paciência para ficar conferindo a linha digitável dos boletos?). Mas, mesmo que a vítima quisesse comparar a linha digitável, o Malware altera a página de resposta do Internet Banking para que o usuário não perceba a alteração dos dados de pagamento.



A fraude de boletos representa um dos métodos de roubo de fundos mais populares entre os ciber criminosos brasileiros atualmente, apesar da Febraban informar que os boletos representaram apenas 4,5% do volume de pagamentos e 3% do total de fraudes, em 2013. 

Os ciber criminosos adotam mecanismos de fraude populares em um determinado país ou região em que atuam, de acordo com as características dos sistemas de meios de pagamento locais. Há vários métodos para transferir dinheiro a partir da conta corrente de uma vítima, além de uma simples transferência bancária (que pode ser facilmente rastreada). Em alguns países, é comum utilizar compra e venda de ações para transferir os fundos. Aqui no Brasil, os ciber criminosos se especializaram em explorar pagamentos de contas e de impostos, através dos boletos bancários, além de realizar compras online (em lojas de e-commerce) ou compra de créditos pré-pagos para celulares.

O que fazer para evitar a fraude de boleto? É muito difícil, mas em alguns casos não é impossível... as dicas abaixo podem ajudar um pouco:
  • Antes de mais nada, evite ser infectado por malwares!
  • E sempre utilize um computador confiável para acessar o Internet Banking;
  • Como a fraude envolve a troca dos dados do boleto, sempre verifique se você está pagando o boleto correto. Não tenha preguiça e compare o código apresentado;
  • Para saber se o seu computador está infectado pelo malware de boleto, um teste simples é digitar a linha de um boleto na tela de busca do Google; algumas versões do malware, que atuam no browser, já trocam a linha mesmo nesta tela, e aí você verá que o autocompletar vai mostrar um valor diferente do que você digitou!
  • Como os criminosos alteram os dados do boleto para enganar a vítima, para conferir um boleto que você recebeu via correio ou que gerou online, a melhor forma é conferir o código inicial do boleto que está sendo pago:
    • os 4 primeiros dígitos identificam o banco; fique de olho se corresponde ao banco que normalmente emite aquela conta que você está acostumado a pagar;
    • a primeira metade do código do boleto identifica o banco e o cedente, ou seja, é um código que identifica a empresa que emitiu aquela conta (que é um cliente daquele banco). Normalmente essa parte do código tem que ser idêntica as contas semelhantes que você pagou no passado. Confira isso ! (ex: se você paga seu aluguel via boleto, o código inicial identifica o banco e sua imobiliária, que todo mês é o mesmo).