» Cisco: Unsupported transceivers



Alguns equipamentos Cisco, por padrão, não funcionam com tranceivers de terceiros como no exemplo abaixo:

*Mar 28 11:07:49.547: %TRANSCEIVER-6-REMOVED: SIP0/3: Transceiver module removed from POS0/3/0

*Mar 28 11:07:59.542: %TRANSCEIVER-6-INSERTED: SIP0/3: transceiver module inserted in POS0/3/0

*Mar 28 11:08:01.160: %ASR1000_RP_ALARM-6-INFO: CLEAR CRITICAL xcvr container 0/3/0 Transceiver Missing - Link Down

*Mar 28 11:08:01.161: %ASR1000_RP_ALARM-6-INFO: ASSERT CRITICAL POS0/3/0 Physical Port Link Down

*Mar 28 11:08:01.124: %TRANSCEIVER-3-NOT_SUPPORTED: SIP0/3: Detected for transceiver module in POS0/3/0, module disabled

Sendo assim, para tornar possivel a utilização de SFP's e XFP's de outras marcas, deve ser aplicado o seguinte comando "escondido":

ROUTER(config)#service unsupported-transceiver

Escondido, pois não é listado ao recorrer ao help "?".
Após aplicação, os Logs relacionado aos unsupported-transceiver desaparecem da tela.

Warning: When Cisco determines that a fault or defect can be traced to

the use of third-party transceivers installed by a customer or reseller,

then, at Cisco's discretion, Cisco may withhold support under warranty or

a Cisco support program. In the course of providing support for a Cisco

networking product Cisco may require that the end user install Cisco

transceivers if Cisco determines that removing third-party parts will

assist Cisco in diagnosing the cause of a support issue.

 

ROUTER(config)#

E o status se altera para UP.
*Mar 28 12:28:36.354: %LINK-3-UPDOWN: SIP0/3: Interface POS0/3/0, changed state to up

*Mar 28 12:28:37.372: %LINEPROTO-5-UPDOWN: Line protocol on Interface POS0/3/0, changed state to up

O comando se aplica aos Roteadores Cisco, da Série ASR.  




» Fail2Ban: Detecte BruteForce



Dependendo de seu nicho de negócio, tentativas de BruteForce podem ser comuns em seus servidores com específicos serviços em operação, e não só negócios de alto conhecimento podem ser alvos, com um simples scan é possível sem querer varrer seus serviços e identificar algo vulnerável que o torne um alvo da noite para o dia.
Pensando nisso, o Fail2Ban foi desenvolvido para monitoramento de logs, ele verifica as assinaturas de muitas tentativas de entrada e falha além de algumas outras funções que podem ser configuradas junto ao aplicativo, nele você pode criar o monitoramento para serviços como ssh, pam, xinetd, apache, vsftpd, proftpd, wuftpd, postfix, couriersmtp, courierauth, sasl e named.

Seu funcionamento é bem simples, ele adicionará uma regra de firewall após identificar as situações potêncialmente perigosas bloqueando efetivamente os ataques.

A ferramenta pode ser obtida facilmente pelo seu site oficial ou instalação via console:

# apt-get update
# apt-get install fail2ban


O seu arquivo de configuração fica em /etc/fail2ban/jail.local e é de fácil entendimento além de existir diversas documentações no site do projeto auxiliando em uma boa configuração especificamente para o seu tipo de serviço.

Demonstração:



» Wallpaper padrão Windows 10 | Behind the Scenes



A Microsoft revelou nesta quinta-feira (25) a imagem que vai ilustrar o plano de fundo padrão dos computadores de milhões de pessoas pelos próximos anos. O Windows 10 vai novamente estampar o logotipo da marca como papel de parede, mas, dessa vez, feito de luz.

Wallpaper Padrão MS Windows 10
Seria mais fácil fazer a imagem utilizando programas de edição como o Photoshop, mas a Microsoft fez questão de reservar um estúdio em São Francisco e contratar Bradley G. Munkowitz para produzir a melhor fotografia possível. O diretor de design trabalhou nos efeitos visuais de filmes como Oblivion e Tron: O Legado.

Munkowitz usou lasers, fumaça, filtros coloridos, mapeamento de câmera e outros recursos práticos para criar o efeito de um logo feito de luz. "Obviamente tem bastante design, mas o projeto tem mais a ver com a presença física, com ter uma câmera capturando de verdade esses objetos", explicou o designer.

A imagem foi batizada como "Hero" (herói) e, ao contrário do que parece, o logo não será animado. Assista ao vídeo que mostra como o papel de parede foi feito:



» Correção ssh-RSA em Equipamentos Cisco



Quando você gera uma chave RSA em um dispositivo Cisco, o tamanho padrão módulo é 512. Se você tentar SSH para o equipamento a partir de uma estação de trabalho Linux, você poderá receber o seguinte erro:

ssh_rsa_verify: RSA modulus too small: 512; minimum 768 bits
key_verify failed for server_host_key

A solução consiste em fornecer o seu cliente com o openssh -1 argumento que usa SSH v1 em vez do padrão v2. Isso, contudo, não é a solução ideal. A menos que haja alguma razão por que você precisa especificamente um tamanho de módulo de 512, torná-lo 1024 ou 768, executando o seguinte comando no dispositivo Cisco:

(config)#crypto key generate rsa

Especifique o tamanho do módulo. Você pode ser solicitado para substituir a chave existente. Selecione sim. Agora openssh se conecta via v2 ao seu dispositivo Cisco.

» Sistema de Criptografia Quântica inquebrável



Para quem não conhece, este modelo de criptografia se vale dos princípios da física quântica. Neste ramo da ciência, o observador de um experimento tem influência direta no resultado. As partículas se comportam de forma diferente quando são diretamente medidas ou não. Desta forma, se houver algum tipo de escuta, a interferência será percebida imediatamente e a transmissão da informação será interrompida.

Contudo, o sistema está em uso apenas em alguns poucos estabelecimentos, como bancos em Genebra, na Suíça, e tem limitações sérias de uso. O processo, que utiliza lasers para transmitir dados, funciona apenas a curtas distâncias e só pode ser usado para conectar dois computadores de uma vez.

A empresa japonesa Toshiba trabalha no desenvolvimento de um novo sistema baseado em criptografia quântica que promete ser praticamente inquebrável. O método segue o conceito de distribuição de chaves quânticas, e consiste no uso de fótons, que são enviados de uma ponta a outra por meio de um cabo “personalizado” de fibra óptica desconectado da internet, de acordo com uma reportagem do Wall Street Journal.

O novo sistema dá sequência aos estudos divulgados por cientistas da mesma Toshiba ainda em 2013. Divulgada na revista Nature, a pesquisa explicava como montar uma rede de acesso quântico para até 64 computadores, e ressaltava que “esse tipo de comunicação não pode ser derrotado nem por avanços futuros em poder computacional, nem por novos algoritmos”.

Conforme disse na época Andrew Shields, chefe do Grupo de Informação Quântica do laboratório de pesquisas da Toshiba na Europa, “enquanto as leis da física forem verdadeiras, o sistema garantirá que suas comunicações estejam totalmente protegidas”.

Mas como esse método funciona? Os fótons são responsáveis por codificar apenas a chave de criptografia, que é do mesmo tamanho dos dados cifrados por outro método mais tradicional – normalmente o one-time pad, que é baseado no uso de uma chave única. Essa sequência, já protegida, é então enviada pela fibra óptica especial, e um detector conta os fótons quando ela chega ao destino e envia a combinação ao ponto final.

A vantagem desse sistema é que qualquer interferência sofrida no meio do caminho já altera os pacotes com informações. Dessa forma, os dois lados que estão se comunicando saberão se a segurança da chave for comprometida – e poderão agir a tempo.

Mas o método também tem seus problemas. Apesar de a tecnologia da Toshiba permitir que os fótons viajem a uma distância de até 100 quilômetros, a estrutura é sensível até a simples variações de temperatura. Fora isso, ainda é preciso considerar o preço: só os servidores custam mais de 80 mil dólares, segundo o Wall Street Journal.

Ainda assim, o método já é testado internamente pela Toshiba há algum tempo, e em agosto a empresa japonesa começará a aplicá-lo na comunicação da Universidade Tohuku, para transmitir dados genéticos. Essa e outras avaliações serão feitas ao longo de pelo menos dois anos, e já em 2020 a empresa pretende fornecer o serviço aos primeiros governos e empresas. O uso comercial mais amplo, por sua vez, ainda deve demorar mais um ou duas décadas.

» Sincronização Rotas BGP



bgp-toc16.gif
Sincronização

Antes de discutir a sincronização, observe este cenário. O RTC no AS300 envia atualizações sobre 170.10.0.0. RTA e RTB executam iBGP, portanto o RTB recebe a atualização e é capaz de alcançar 170.10.0.0 pelo próximo nó, 2.2.2.1. Lembre-se que o próximo nó é carregado pelo iBGP. Para alcançar o próximo nó, o RTB deve enviar o tráfego para o RTE.
Suponhamos que o RTA não tenha redistribuído a rede 170.10.0.0 no IGP. Nesse ponto, o RTE não faz idéia de que 170.10.0.0 sequer existe.
Se o RTB começar a anunciar para o AS400 que pode alcançar 170.10.0.0, tráfego que vem do RTD para o RTB com destino 170.10.0.0 flui e descarrega no RTE.
A sincronização determina que, se o seu AS passa tráfego de outro AS para um terceiro AS, o BGP não deve anunciar uma rota antes que todos os roteadores no seu AS aprenderam sobre a rota pelo IGP. O BGP espera até que o IGP tenha propagado a rota dentro do AS. Depois, ele anuncia a rota para peers externos.
No exemplo nesta seção, o RTB espera escutar sobre 170.10.0.0 pelo IGP. Então, o RTB começa a enviar a atualização ao RTD. É possível fazer o RTB acreditar que o IGP propagou as informações se você adicionar no RTB uma rota estática que aponta para 170.10.0.0. Certifique-se de que outros roteadores podem alcançar 170.10.0.0.

Desabilitar sincronização

Em alguns casos, a sincronização não é necessária. Se você não passar tráfego de um AS diferente pelo seu AS, pode desabilitar a sincronização. Também é possível desabilitar a sincronização se todos os roteadores no seu AS executarem o BGP. A desabilitação deste recurso pode permitir que você carregue alguns roteadores no seu IGP e que o BGP convirja mais rapidamente.
A desabilitação da sincronização não é automática. Se todos os seus roteadores no AS executarem o BGP e você não executar o IGP, o roteador não tem como saber. Seu roteador aguarda indefinidamente por uma atialização do IGP sobre certo roteador antes de enviar a rota a peers externos. Neste caso, é preciso desabilitar a sincronização manualmente para que o roteamento funcione corretamente:
router bgp 100
no synchronization
Observação: Certifique-se de emitir o comando clear ip bgp address para reiniciar a seção.
bgp-toc17.gif

RTB#
router bgp 100
network 150.10.0.0
neighbor 1.1.1.2 remote-as 400
neighbor 3.3.3.3 remote-as 100
no synchronization

               !--- O RTB coloca 170.10.0.0 em sua tabela de IP Routing e anuncia a rede
!--- para o RTD, ainda que o RTB não possua um caminho de IGP para o 170.10.0.0.
            
RTD#
router bgp 400
neighbor 1.1.1.1 remote-as 100
network 175.10.0.0

RTA#
router bgp 100
network 150.10.0.0
neighbor 3.3.3.4 remote-as 100

Leia também:


.


ITIL ® é uma marca registrada do Office of Government Commerce, no Reino Unido e em outros países.