Pesquisar neste blog

quarta-feira, 25 de junho de 2014

AnchisesLandia- Brazilian Security Blogger: [Segurança] Quando sua nuvem evapora...

AnchisesLandia- Brazilian Security Blogger: [Segurança] Quando sua nuvem evapora...: Essa é uma história triste: Após uma série de ataques e uma tentativa de extorsão, o site Code Spaces perdeu todos os seus dados na nuvem e...

Como forçar o uso de módulos SFP em equipamentos Cisco

A frequent problem with Cisco's new line of Catalyst switches is that they do not support 3rd party SFPs - or at least they seem they don't :)

If you've just replaced your network switches and tried using any 3rd party SFPs to connect your network backbone, you'll quickly stumble across an error similar to the following:
%PHY-4-UNSUPPORTED_TRANSCEIVER: Unsupported transceiver found in Gi1/0/0
%GBIC_SECURITY_CRYPT-4-VN_DATA_CRC_ERROR: GBIC in port 65538 has bad crc
Congratulations!  The Catalyst switch has just disabled the GBIC port! This happens because Cisco Catalyst switches are configured by default not to work with non-Cisco SFPs.

When a SFP is inserted into a switch's GBIC port, the switch immediately reads a number of values from the SFP and if it doesn't like what it sees, it throws the above error message and disables the port. 

All SFP modules contain a number of recorded values in their EEPROM and include:

  • Vendor Name
  • Vendor ID
  • Serial Number
  • Security Code
  • CRC

HOW TO FORCE YOUR CISCO SWITCH TO USE 3RD PARTY SFPS

Despite the error displayed, which leaves no hope for a solution, keep smiling as you're about to be given one.
There are two undocumented commands which can be used to force the Cisco Catalyst switch to enable the GBIC port and use the 3rd party SFP:
3750G-Stack(config)# service unsupported-transceiver

Warning: When Cisco determines that a fault or defect can be traced to
the use of third-party transceivers installed by a customer or reseller,
then, at Cisco's discretion, Cisco may withhold support under warranty or
a Cisco support program. In the course of providing support for a Cisco
networking product Cisco may require that the end user install Cisco
transceivers if Cisco determines that removing third-party parts will
assist Cisco in diagnosing the cause of a support issue.

3750G-Stack(config)# no errdisable detect cause gbic-invalid
When entering the service unsupported-transceiver command, the switch will automatically throw a warning message as a last hope to prevent the usage of a 3rd party SFP.
The no errdisable detect cause gbic-invalid command will help ensure the GBIC port is not disabled when inserting an invalid GIBC.
Since the service unsupported-transceiver  is undocumented, if you try searching for the command with the usual method (?), you won't find it:
3750G-Stack(config)# service ?
compress-config              Compress the configuration file
  config                             TFTP load config files
  counters                         Control aging of interface counters
  dhcp                               Enable DHCP server and relay agent
  disable-ip-fast-frag           Disable IP particle-based fast fragmentation
  exec-callback                   Enable exec callback
  exec-wait                       Delay EXEC startup on noisy lines
  finger                            Allow responses to finger requests
  hide-telnet-addresses     Hide destination addresses in telnet command
  linenumber                    enable line number banner for each exec
  nagle                             Enable Nagle's congestion control algorithm
  old-slip-prompts             Allow old scripts to operate with slip/ppp
  pad                              Enable PAD commands
  password-encryption      Encrypt system passwords
  password-recovery        Disable password recovery
  prompt                         Enable mode specific prompt
  pt-vty-logging               Log significant VTY-Async events
  sequence-numbers        Stamp logger messages with a sequence number
  slave-log                      Enable log capability of slave IPs
  tcp-keepalives-in          Generate keepalives on idle incoming network connections
  tcp-keepalives-out       Generate keepalives on idle outgoing network connections
  tcp-small-servers         Enable small TCP servers (e.g., ECHO)
  telnet-zeroidle             Set TCP window 0 when connection is idle
  timestamps                 Timestamp debug/log messages
  udp-small-servers       Enable small UDP servers (e.g., ECHO)

3750G-Stack(config)# service 
The same applies for the no errdisable detect cause gbic-invalid command. 

We tried both service unsupported-transceiver  & no errdisable detect cause gbic-invalid commands on 2960G, 3560G, 3750G, 4507R and 4507R-E Catalyst switches and all accepted the commands without a problem. In fact if the Catalyst switch is running IOS 12.2(25)SE and above, the undocumented commands are available.

 SHOULD 3RD PARTY SFPS BE USED?


There are mixed feelings about this. We certainly do not recommend using non-Cisco SFP's in production environments, however in a lab environment, its most probably a cheap way out. 

When using 3rd party GBICs, one must keep in mind that Cisco TAC will not provide any support for problems related to the SFPs as they are totally unsupported. Here is a small portion from the Cisco Catalyst 3750G Q&A that refers to the usage of 3rd party SFP modules on the switch:
Q. Do the Cisco Catalyst 3750 Series Switches interoperate with SFPs from other vendors?

A. Yes, starting from 12.2(25)SE release, the user has the option via CLI to turn on the support for 3rd party SFPs. However, the Cisco TAC will not support such 3rd party SFPs. In the event of any link error involving such 3rd party SFPs the customer will have to replace 3rd party SFPs with Cisco SFPs before any troubleshooting can be done by TAC.


Source: http://www.firewall.cx/cisco-technical-knowledgebase/cisco-switches/866-cisco-switches-3rd-party-sfp.html

Instalando o JBoos AS 7.1 no CentOS 5.10


Para uma instalação mais enxuta, baixe a ISO do CD1 do CentOS, a instalação deve ser em inglês, e todos os pacotes devem ser desmarcados:

http://centos.ufes.br/5.10/isos/i386/CentOS-5.10-i386-bin-1of8.iso


Após feita a instalação do CentOS 5.10, vamos instalar alguns pacotes padrões que iremos precisar:
# yum install unzip wget ntsysv vim-enhanced -y

Vamos baixar um pré-requisito de instalação para o JBoss, o pacote JDK para a nossa plataforma:
# wget http://download.oracle.com/otn-pub/java/jdk/8u5-b13/jdk-8u5-linux-i586.rpm

Para instalarmos rodamos o comando abaixo:
# rpm -ivh jdk-8u5-linux-i586.rpm

Para testar se o JDK está instalado, executamos o comando abaixo:
# javac
se aparecer as opções de help do comando é porque está ok, senão tente reinstalar o pacote.

Agora vamos ao pacote principal, o JBoss.
Fazendo o donwload do JBoss:
# wget http://download.jboss.org/jbossas/7.1/jboss-as-7.1.1.Final/jboss-as-7.1.1.Final.zip
# unizp jboss-as-7.1.1.Final.zip
# mv jboss-as-7.1.1.Final jboss
# mv jboss /opt/

Pronto! instalação efetuada, simples assim.

Agora vamos conhecer um pouco da estrutura de pastas do JBoss 7.1
# cd /opt/jboss/
jboss] # ls -l

appclient: Arquivos de configuração, conteúdo de deployment e áreas graváveis utilizadas pelo contêiner de aplicações cliente rodando a partir desta instalação.
bin: Nesta pasta contém os scripts de inicialização
bundles: Localização dos pacotes OSGi
docs: Arquivos de definição de esquemas XML
domain: Arquivos de configuração, conteúdo de deployment e áreas graváveis utilizados pelos processos de modo domain rodando a partir desta instalação.
modules: AS 7 baseia-se numa arquitetura modular classloading. Os vários módulos utilizados no servidor são armazenadas aqui.
standalone: Arquivos de configuração, conteúdo de deployment e áreas graváveis utilizados pelo single standalone server rodando a partir desta instalação.
welcome-content: Conteúdo da página default de boas vindas

Maiores informações clique aqui.

Bom, agora para subirmos o serviço do server já temos algumas configurações definidas dentro da pasta configuration em standalone: /opt/jboss/standalone/configuration

Standalone Server Configurations

standalone.xml: Java Enterprise Edition 6 full profile certified configuration which includes the technologies required by the Full Profile specification plus others including OSGi

standalone-ha.xml: Java Enterprise Edition 6 certified full profile configuration with high availability

No JBoss 7 há um conceito novo, chamado: domain, que é um conjunto de servers que podem ser administrados de um único ponto.

Para iniciar a configuração do perfil padrão utilizando recursos de gerenciamento de domínio, entre na pasta /opt/jboss/bin e execute o comando:

[root@centos bin]# ./domain.sh

Para iniciar o JBoss AS 7 usando a configuração do perfil completo padrão no modo "standalone", entre no diretório /opt/jboss/bin. e execute o comando:

[root@centos bin]# ./standalone.sh

=========================================================================

  JBoss Bootstrap Environment
  JBOSS_HOME: /opt/jboss
  JAVA: java
  JAVA_OPTS:  -server -XX:+TieredCompilation -Xms64m -Xmx512m -XX:MaxPermSize=256m -Djava.net.preferIPv4Stack=true -Dorg.jboss.resolver.warning=true -Dsun.rmi.dgc.client.gcInterval=3600000 -Dsun.rmi.dgc.server.gcInterval=3600000 -Djboss.modules.system.pkgs=org.jboss.byteman -Djava.awt.headless=true -Djboss.server.default.config=standalone.xml
=========================================================================

Java HotSpot(TM) Server VM warning: ignoring option MaxPermSize=256m; support was removed in 8.0

12:13:56,316 INFO  [org.jboss.modules] JBoss Modules version 1.1.1.GA
12:13:56,805 INFO  [org.jboss.msc] JBoss MSC version 1.0.2.GA
12:13:56,881 INFO  [org.jboss.as] JBAS015899: JBoss AS 7.1.1.Final "Brontes" starting


terça-feira, 24 de junho de 2014

Redimensionar uma partição LVM com sistema de arquivos ext4 | How to resize LVM logical volumes with ext4 as filesystem

Esta dica supõe que você já tenha um volume lógico criado e com espaço livre:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

# mount 
/dev/mapper/systemvg-lvlog on /var type ext4

# df -h
/dev/mapper/systemvg-lvlog 2.0G 1.3G 686M 65% /var

# Vamos adicionar mais 10G a partição /dev/systemvg/lvlog com o comando abaixo:

# lvextend -L 10G /dev/systemvg/lvlog

Após termos aumentado 10G na partição, iremos usar o comando resize2fs, para
efetivar a ampliação do espaço:

# resize2fs /dev/systemvg/lvlog

Obs: a partição não precisa estar desmontada para executar os procedimentos acima.

# df -h
/dev/mapper/systemvg-lvlog 12.0G 1.3G 686M 12% /var


The resize2fs program will resize ext2, ext3, or ext4 file systems. It can be used to enlarge or shrink an unmounted file system located on device

terça-feira, 10 de junho de 2014

Não há mais endereços IPv4 na América Latina e o Caribe

Hoje a região entrou definitivamente na fase de esgotamento da velha tecnologia da Internet (IPv4);  preocupa atraso na implementação do novo protocolo IPv6 nas redes da região.


A Casa da Internet da América Latina e o Caribe, 10 de junho.- O Registro de Endereçamento da Internet para a América Latina e o Caribe (LACNIC), responsável pela designação de recursos para essa região, anunciou hoje o esgotamento do estoque dos endereços IPv4 e expressou sua preocupação pela demora dos operadores e governos em implementar o protocolo da Internet (IPv6) na região.
LACNIC informou hoje que tendo atingido os 4.194.302 endereços IPv4 em seu estoque, entram em vigor políticas restritivas para a entrega de recursos da Internet no continente, que na prática significam o esgotamento dos endereços do IPv4 para os operadores de redes na América Latina e o Caribe.
"Estamos diante de um fato histórico que não por ser esperado e anunciado, é menos importante", afirmou o CEO de LACNIC, Raúl Echeberría. "A partir de agora LACNIC e os Registros Nacionais somente podem designar quantidades muito pequenas de endereços IPv4, insuficientes para atender às necessidades de nossa região". A organização já entregou mais de 182 milhões de endereços IPv4 na América Latina e o Caribe desde o início de suas operações em 2002.
Segundo o acordado oportunamente pela comunidade Internet da região, ao ficar disponíveis 4.194.302 endereços IPv4 (/10), considera-se oficialmente esgotado o estoque do LACNIC e entram em vigor as políticas de "esgotamento gradativo" e "novos membros" que estabelecem alterações nos procedimentos e requisitos para a entrega de recursos.
Assim mesmo, também é ativada a política de "Transferências de blocos IPv4 dentro da região de LACNIC"   (veja 2.3.2.18) que possibilita e regula a transferência de recursos entre organizações da região.
"A implementação do protocolo IPv6 adquire hoje mais do que nunca um senso de urgência, voltando-se inevitável e urgente se os provedores de conectividade quiserem satisfazer a demanda de seus clientes e de novos usuários. LACNIC e a comunidade da Internet têm estado trabalhando por anos para este momento", afirmou Echeberría. 67% das organizações membro já têm endereços IPv6 designados por LACNIC e pelos Registros Nacionais NIC.br e NIC.MX.
No entanto, o CEO de LACNIC mostrou-se preocupado porque "a 10 anos de que LACNIC e os Registros Nacionais NIC.br e NIC.MX começaram a promover a implementação do IPv6, ainda existem muitos operadores e empresas que ainda não têm dado os passos necessários para abordar adequadamente esta circunstância."
Durante esta fase de esgotamento do IPv4 poderão ser designados 2.097.150 desses 4.194.302 endereços remanentes, em blocos de tamanhos limitados (alocações) de entre 256 a 1.024 endereços IP. Por sua vez, as organizações apenas poderão solicitar espaço adicional depois de seis meses de ter recebido sua última designação. Quando esses cerca de dois milhões de endereços IPv4 se esgotarem, os membros de LACNIC não poderão receber mais designações de recursos IPv4.
A partir desse momento, ficará ativada a reserva para novos membros (/11), dando passo à fase 3 do plano de esgotamento IPv4 desenhado por LACNIC e seus Registros Nacionais. Nessa última fase, as políticas estabelecem que somente poderão ser feitas designações de endereços IPv4 para novos membros, em blocos de entre 256 (/24) a 1.024 (/22)  endereços, em que cada novo membro poderá receber apenas uma designação desse espaço.

Fonte: LACNIC

segunda-feira, 2 de junho de 2014

BYOD: Estamos realmente preparados?

De acordo com a matéria publicada no dia 30 de Maio de 2014 pela Computerworld, sob título "BYOD: Saiba como se preparar para os benefícios da mobilidade" que trata de um assunto que não é recente, mas uma tendência que vem tomando uma enorme proporção no dia-a-dia das empresas. A Sigla BYOD (Bring Your Own Device, ou Traga seu próprio dispositivo) começa a despertar nas empresas uma enorme preocupação. Segue abaixo alguns questionamentos muito importantes que devemos nos fazer:

  • A nossa empresa está realmente estão preparada para receber essa tendência?
  • Nossa infraestruturas, softwares de segurança estão adaptados para esse tipo de situação? 
  • Nosso suporte técnico tem expertise para atender essa diversidade de tecnologias?
  • A nossa empresa tem orçamento para investir em sistemas de segurança para gerenciar esses dispositivos? 
  • Nossa empresa tem uma política de segurança atualizada e bem definida?
  • Será que proibindo os funcionários de usar seus próprios dispositivos é a solução? ou liberar o uso é uma vantagem para a corporação? 
  • Será que existe uma única solução no mercado que possa controlar todos os tipos de dispositivos móveis (tablets, smartphones, notbooks, etc...) de forma centralizada?


São muitas as questões referente ao assunto, mas ficam algumas dicas, brevemente resumidas, que não precisam de investimento algum, mas que podem ajudar a evitar uma série de problemas:

  • Crie uma política bem definida para uso dispositivos móveis;
  • Divulgue, comunique sua política via intranet, via e-mail; 
  • Homologue os dispositivos que serão suportados;
  • Homologue os softwares que podem ser usados dentro da rede;
  • Use sistemas de autenticação com criptografia forte;
  • Limite o acesso de dispositivos móveis somente aos recursos necessários e com autenticação forte;
  • Procure orientar, conscientizar os usuários a sempre checar e estar com softwares antivírus atualizados;
  • Procure negociar com seu fornecedor de antivírus, eles sempre tem descontos especiais para usuários domésticos;
  • Crie documentos informativos de fácil acesso e entendimento aos colaboradores, lhes orientando sobre os corretos procedimentos de configuração para os diferentes tipos de dispositivos, isso evita muitas vezes uso desnecessário de recursos humanos (suporte técnico interno da empresa);

Para quem quer se aprofundar mais a respeitos dos riscos, segue link para o artigo "Especialistas alertam para riscos do BYOD sem uma política de segurança".

Aproveitem abaixo a leitura do artigo BYOD: Saiba como se preparar para os benefícios da mobilidade.


Alinhar as expectativas do novo estilo de trabalho com as prioridades de negócios requer melhor gestão dos recursos humanos e técnicos.

Os empregados querem trabalhar com seus aparelhos móveis, obrigando as empresas a estabelecerem políticas para gerenciar a onda do "traga seu próprio dispositivo" (BYOD). É hora de alinhar as expectativas do novo estilo de trabalho com as prioridades de negócios.

A grande variedade de dispositivos móveis obriga a TI a adotar sistemas para controlar os custos, segurança e desenvolver um novo conjunto de políticas que permitam algumas liberdade, sem prejudicar os negócios.

A padronização é semelhante à indústria da moda. Em ambos, a mudança é constante. Portanto, faz sentido para as empresas serem ágeis e darem respostas rápidas. "As companhias precisam estabelecer as melhores práticas para que essa transição seja tranquila ", orienta Ken Dulaney, vice-presidente de pesquisa na área de computação móvel do Gartner.

Para capacitar esse novo trabalhador móvel, as empresas precisam ser mais pró-ativas e reforçar as políticas em três áreas gestão, segurança e entrega de aplicativos.


As políticas na era da BYOD

Para que a migração para a mobilidade seja mais suave, os especialistas do setor recomendam levar em conta dois aspectos da política: o fornecimento e uso dos dispositivos.

Quando se trata de fornecimento de dispositivos, a boa notícia é que com ou sem a estratégia de BYOD, os funcionários estão dispostos a terem o direito de comprar o aparelho de sua escolha.

Os especialistas concordam que não há solução única para a prática do BYOD. Mas há dois modelos mais adotados pelas empresas. O primeiro é o em que os empregados arcam com os custos dos dispositivos e o outro em que a empresa paga uma parte dos gastos.

Independentemente da opção, as empresas são obrigadas a se colocar à disposição dos funcionários para pagar parte de seus dispositivos, planos de serviço e até mesmo aplicativos, aconselha Ted Schadler, analista da Forrester Research.

O ideal para o consumidor de tecnologia, segundo a Nationwide Insurance, empresa com 40 mil funcionários, é manter BYOD sem custos adicionais. Na companhia, um quarto dos funcionários é recompensado pelo uso de seu dispositivo pessoal. Eles recebem reembolso para a compra de um novo smartphone de sua escolha quando o contrato atual termina.

Na seguradora a plataforma padrão era smartphones BlackBerry. Agora com o BYOD todos funcionários são livres para adquirir um plano de dados ou dispositivo de sua escolha e solicitar o acesso à rede corporativa. Para administrar essa base, a companhia adotou uma plataforma de gestão de plataforma móvel (MDM). Dos quatro mil usuários, mais de mil se beneficiaram pelo BYOD.

A protecção de dados é a preocupação número um das organizações. Os usuários concordam com os termos de uso dos dispositivos móveis quando se inscreverem no BYOD. Os especialistas afirmam que é importante estabelecer políticas de responsabilidade compartilhada e conscientizar os empregados de que a empresa tem o direito de suspender o uso de um dispositivo quando as regras não são cumpridas. Além disso, os usuários devem usar senhas e criptografia.


Reforço da gestão 

A abordagem de MDM anda de mãos dadas com o BYOD. Trata-se de uma ferramenta chave para a empresa monitorar, supervisionar e gerir a experiência móvel, garantindo a segurança dos dados de negócios e propriedade intelectual. O Gartner estima existir atualmente cerca de 60 fornecedores de ferramentas MDM.

As plataforma de MDM possibilitam que as empresas suportem a grande diversidade de dispositivos, estabeleça políticas de segurança e conformidade das aplicações e conteúdos. São ferramentas que fazem a gestão de inventário, distribuição de software, informação e serviço de gerenciamento de TI.

Os executivos de TI devem se lembrar que, embora as ferramentas sejam importantes, é essencial que as políticas funcionem para a empresa e o usuário. Em outras palavras, se você bloquear ou impor muitas limitações, o modelo pode não funcionar.

O BYOD bem implementado, orientado para o consumidor de tecnologia promove uma nova relação entre o empregado e a empresa. Portanto, capacitar os funcionários para esse movimento é a melhor alternativa para a organização.

Os usuários de dispositivos móveis sabem o que é bom e como podem ajudar a empresa, destaca a Forrester. E, eles estão dispostos a fazer isso. Além disso, a pesquisa mostra que os empregados que abraçam o BYOD, melhoram processos de trabalho e produtividade.

“Quando surgiu, o conceito de consumerização causou muito desconforto. Mas aprendemos que o processo de mudança é interativo e não tem que ser 100%. Tem que ser aceitável", diz Bob Burkhart, diretor de tecnologia e inovação da Nationwide.


Controle das aplicações móveis

Nesta nova realidade, um smartphone é apenas um pequeno PC. Assim, seu valor vem de sua capacidade de executar aplicativos. Isso significa que uma empresa terá agora uma mistura de back-end de TI liderado e conduzido por aplicações front-end-empregados. Para isso, companhias têm que tomar decisões sobre aplicações móveis e explorar o uso de cada uma delas.

As empresa também têm que portar as principais aplicações que os usuários desejam acessar em seus dispositivos móveis, como email e web colaborativa, portal de empregado, conteúdo ou arquivos. Deve preparar as soluções de negócios corporativos para as plataformas sem fio como os sistemas de dados e CRM, por exemplo.

O que é ideal a construção de uma plataforma própria de aplicativos móveis ou adoção da soluções de terceiros? Os especialistas recomendam a combinação de ambos. Em alguns casos, usuários podem tomar essas decisões por si mesmos.

A entrega de aplicativos para funcionários que abraçam o BYOD é outro caminho que as empresas precisam explorar. Uma alternativa é o modelo de loja de aplicativos para ser acessada pelos empregados. Grandes empresas como a IBM e a General Electric, por exemplo, construíram suas próprias lojas para oferecer aplicações personalizadas e recomendar soluções de negócio a seus colaboradores.

“As empresas maduras em boas práticas de mobilidade duplicam as margens operacionais e apresentam um crescimento de receitas três vezes superior às empresas com práticas de mobilidade médias", revela um benchmarking da SAP realizado no fim de 2012 junto de 300 clientes a nível global, em organizações de todas as dimensões e de setores.

No novo contexto da consumerização, a chave para o crescimento do BYOD é a criação de um modelo flexível. Segundo os especialistas, as empresas ainda têm muito o que aprender para lidar com essa mudança e obter sucesso na estratégia de mobilidade empresarial. Políticas e gestão dos recursos humanos e técnicos são os meios para alcançar os objetivos.

Empresas que apresentam um nível de maturidade superior evidenciam um conjunto de características comuns” como:

1 - a existência de uma estratégia de mobilidade para todos os departamentos e processos relevantes;

2 - normas definidas para os sistemas operacionais e uma plataforma confiável implementada; todas as questões de escalabilidade e segurança contempladas;

3 - política de segurança forte e bem documentada, monitoração centralizada e excelentes mecanismos de autenticação dos dispositivos móveis; 

4 - envolvimento do usuário final logo no início do ciclo de desenvolvimento e também na fase de feedback; formação nas novas aplicações e nas questões relacionadas com a tecnologia sem fios; acesso móvel a todas as aplicações empresariais. 

Fonte: