Mudanças
O SNNAngola está promovendo mudanças. Agradecemos a sua compreensão.
Ass: Nataniel Baiao
Introdução a Voz sobre IP
Ao contrário dos sistemas de telefonia pública em comutação de circuitos, a tecnologia de voz sobre IP VoIP(Voice over IP) utiliza a comutação de pacotes para a transmissão de voz. A voz acústica é digitalizada e embutida num pacote VoIP. O VoIP utiliza datagramas[1] IP para o transporte dos pacotes. O cabeçalho dum pacote VoIP é ilustrado na figura a seguir:
Cabeçalho VoIP
Notemos que o cabeçalho depende do tamanho do Codec de voz, mas apenas sem o tamanho o mesmo já tem 40 bytes[2]. O Codec G.729 sem compressão, possui 20 bytes. Isso faz com que o pacote possua 60 bytes, uma sobrecarga desnecessária no ambiente de voz. Mais adiante falaremos de técnicas para controlar estes inconvenientes.
O protocolo TCP (i.e. Transport Control Protocol) não é recomendado para esse transporte, porque é um protocolo com garantia de entrega que baseia-se na confirmação do emissor e retransmissão em caso de perca de pacotes. Essa retransmissão pode acarretar problemas de atraso na comunicação, num ambiente que necessita de ser totalmente interactivo.
O protocolo UDP (i.e. User Datagram Protocol) ao contrário não possui garantia de entrega de pacotes e possui um cabeçalho menor em relação ao protocolo TCP. A figura abaixo ilustra como é feita a conversão da sinalização da voz da rede de comutação de telefonia pública para sinalização da rede de comutação em pacotes e sua transmissão:
Mudança de sinalização VoIP
O processo de Digitalização da Voz
Para entender melhor a razão técnica da adopção do VoIP é necessário perceber bem o processo de Digitalização da Voz, até chegar ao VoIP. Comunicações analógicas, sempre foram usadas nas transmissões. No entanto por causa da sua falta de eficiência, sentiu-se a necessidade de se adoptar outra técnica de transmissão.
Um dos motivos que levou a isso foi os demasiados erros de transmissão que as transmissões analógicas comportam. Com o aumento da distância na transmissão de informação, a amplitude do sinal degrada, tornando difícil, separa-lo do ruído de transmissão. Quando o sinal é amplificado, o ruído também é amplificado, tornando a informação irreconhecível.
A forma de onda da comunicação digital foi modulada de tal forma que existam apenas dois estados binários, o Zero e o Um. Dessa forma é mais simples separa-lo do ruído de comunicação.
A conversão do sinal analógico para o digital, comummente usada em ambientes tradicionais de voz é a Modulação Codificada por Pulsos o PCM (i.e. Pulse Code Modulation) definido pela ITU-T G.711.
Faixa de frequências
O domínio das frequências de voz está situado entre os 8 Hz a 12kHz. Na banda entre os 150 Hz e 8kHz o espectro é mais concentrado. A ITU-T na recomendação G.132 e G.151 determina que em sistemas telefónicos a faixa de frequência utilizada esteja entre os 300 Hz e os 3.4kHz.
Amostragem
Para a digitalização do sinal e realizada a amostragem do sinal filtrado usando a Modulação PAM (i.e. Pulse Amplitude Modulation) que converte o sinal analógico original num trem de pulsos com amplitude e frequência constantes. Este trem de pulsos move-se a uma frequência constate conhecida como frequência de amostragem.
O sinal de voz pode ser amostrado a milhões de ciclos por segundo ou a pequenos ciclos por segundo. O sinal analógico de voz é recriado usando o teorema de Nyquist[1], segundo o qual, a frequência necessária para recriar o sinal original de voz, ou seja a frequência de amostragem, tem de ser maior que duas vezes a mais alta frequência do sinal original de voz. A frequência de amostragem pode ser determinada pela expressão abaixo:
Onde:
Fa – É a frequência de amostragem.
BW – É a largura de banda do sinal original de voz.
Como a frequência mais alta do sinal são 3.4kHz então o sinal original pode ser reconstruído sem distorção a frequência de 8kHz.
A quantificação tem por objectivo atribuir valores discretos de amplitude ao sinal amostrado. Esta operação introduz distorção no sinal, que é geralmente conhecido como ruído de quantificação. O erro de quantificação, está associado ao intervalo de quantificação. O intervalo de quantificação q possui um determinado número de amostras e representa-as pelo centro do seu intervalo Xi. Se for retirada uma amostra do sinal X(t) no instante X(ti) cujo centro do intervalo de quantificação é definido por Xi. A figura abaixo ilustra isso:
Considere-se uma amostra do sinal X(t) tirada no instante ti a qual se encontra no intervalo Xi+q/2>X(ti)>Xi-q/2. Esta amostra irá ser quantificada pelo nível Xi. O erro de quantificação será definido por Eq = Xi – X. Onde X= X(ti).
Codificação
O processo de codificação, consiste em transmitir os níveis de quantificação usando-se códigos binários, a fim de aproveitar a imunidade ao ruído das transmissões digitais, conforme a figura a seguir:
O número de bits necessários para representar cada amostra é dado pela equação abaixo:
Onde L é o numero dos níveis de quantificação. Como a cada amostra são atribuídos 8 bits e a frequência de amostragem é igual a 8kHz, então temos um débito de 64kbps (i.e. 8 bits x 8kHz=64kbps).
Fontes:
1 – Joao J. O. Pires [Sistemas e Redes de Telecomunicações, Departamento de Engenharia Electrotécnica e de Computadores
Instituto Superior Técnico]
2 – BAIÃO, Nataniel [Implementação duma rede Voz sobre IP num ambiente Multi-Serviços: Usando ambiente de simulação por computador para projectar Qualidade de Serviço, UCAN]
[1] Engenheiro. Contribuiu para a teoria da informação
A importância das redes Voz sobre IP
Com o aumento da necessidade de comunicação entre entidades comerciais e administrativas, o uso da Internet e das comunicações de voz como meio de inter-relacionamento assumiu uma importância nunca antes vista. Com a criação da WWW (i.e World Wide Web) a partir do fim dos anos 80, início dos anos 90 e o aumento do número de clientes da Internet, as entidades comerciais e administrativas notaram que não havia uma integração entre os dados e a voz.
Uma entidade tinha de ter uma rede de dados e uma rede de voz. Isto tinha consequências, como o aumento de custos e a dificuldade técnica de instalação, gerenciamento e manutenção. Por exemplo, uma universidade tinha de gastar recursos financeiros elevados, apenas para interligar os seus campus em diferentes localizações geográficas.
Em Angola entidades governativas a nível mesmo de municípios e comunas continuam a debater-se com problemas de custos de chamadas telefónicas não autorizadas e controladas, devido a dificuldade de se controlar, quem chama, quanto chama e quando chama.
O padrão de comunicação que permite reduzir custos de chamadas de voz e adiciona facilidades de gerenciamento e controlo chama-se VoIP (i.e. Voice over IP) ou Voz sobre IP. Este padrão veio tirar proveito da larga escalabilidade da Internet uma rede globalmente estabelecida, e dos seus modelos de comunicação, como o modelo OSI (i.e. Open Systems Interconnection) ou o modelo TCP/IP (i.e. Transport Control Protocol/Internet Protocol), para estabelecer ligações de voz a partir da Internet.
Talvez nos perguntemos porque não era possível antes fazer-se isso. Na verdade, sempre foi possível, dado que a maior parte dos protocolos estavam já criados ou em fase de criação. O único problema foi sempre o transporte. Os meios físicos de transporte de dados dos anos 70 não tinham o débito necessário para suportar grandes dimensões de dados, quanto mais de voz.
Com o passar dos anos e o advento de tecnologias e meios de transporte, como as fibras ópticas e a criação de padrões de Qualidade de Serviço, ou técnicas de engenharia e controlo de tráfego para controlar o alto débito binário da multiplexagem TDM[1] então o conceito e adopção de VoIP foi ganhando mais aceitação e mais investimentos, como temos verificado até hoje.
[1] A informação é transmitida em fatias de tempo
SNNAngola: Novidades
Para já anunciamos algumas novidades:
1 – A obtenção dum domínio .com está para os próximos dias.
2 – Adição de novos tópicos na área de Comunicações em Voz sobre IP (VoIP) muito em parte baseados no tema da minha monografia e da certificação CCNA Voice que procuro obter.
3 – Continuação do tratamento de tópicos relacionados a segurança de redes propriamente relacionado a redes privadas virtuais (VPN’s) e certificados digitais.
Facebook: Um problema de crescimento
A compra do Instagram pelo Facebook pode ter deixado muita gente admirada. Menos admirados ficaram os consultores e investidores de Silicon Valley. O valor por acção do Facebook situa-se em alta, isso significa muito dinheiro em jogo, que nenhum investidor vai desembolsar sem ter certeza que se depara perante um negocio que vai continuar a crescer e o crescimento do Facebook, são usuários, não daqueles fantasmas criados por empresas de marketing oportunistas, mas usuários reais tipo aqueles que o Instagram possui.
Sim, aqui é necessário perceber que o Instagram crescia como aplicativo e também como uma semi-rede-social com perspectivas de crescimento de usuários muito boa, ainda mais com a recente migração para a plataforma Android.
Ninguém pode esconder que o Facebook tem crescimento desacelerado nos países desenvolvidos. Apenas nos países em vias de desenvolvimento tem se verificado o contrario.
Os gestores e analistas sabem que quando uma instituição cresce e começa a atingir o limite do seu crescimento seja por limitações geográficas ou tecnológicas ela tem que tomar duas medidas imediatas:
1 – Verificar o seu design (nada a ver com desenho de per si). O Facebook tentou isso lançando o timeline. Não sei se resultou ou vai resultar.
2 – Comprar uma empresa que apresenta um produto concorrente e que esteja em crescimento. O Facebook fez isso comprando o Instagram.
Para finalizar, vou vos dizer uma coisa: O verdadeiro desafio do Facebook começa agora. Por falar nisso sabem qual o resultado que o Facebook tem obtido com as duas medidas acima? Sim, O Facebook agora já diz que tem 900 Milhões de usuários a nível mundial, metade deles são do segmento Mobile.
Tudo para agradar aos investidores de Silicon Valley.
Fonte: http://techcrunch.com/2012/04/23/facebooks-amended-s-1-500-million-mobile-users-paid-300m-cash-23-million-shares-for-instagram/
INE disponibiliza material completo de CCNA Voice (Videos)
Vocês devem saber que as carreiras de VoIP (Voice over IP) estão em alta. A InterNetworking Experts os mais cotados experts em treinamento de redes de computadores acabam de disponibilizar todos vídeos para a certificação CCNA Voice que eles utilizam nas suas aulas (que não são baratas) imaginem a que preço: DE GRAÇA!!!
Por isso registem-se e aproveitem ou façam o download. O Link segue abaixo:
http://blog.ine.com/2012/04/08/ine-ccna-voice-product-left-free
Facebook Viruses: Uma análise e aprenda a proteger-se
O SNNAngola bem tentou. Toleramos durante algum tempo que passasse qual ventania de furação, ao nosso lado. Mas não podíamos ficar impávidos e serenos a toda ‘violência’ que assistimos com a infecção de milhares de usuários do facebook por parte de vírus.
Cabe-nos pois desmistificar, desmontar, mesmo se possível, esta teia, este emaranhado sofisticado. Já não constitui novidade nem para o mosquito que ronda o nosso PC que existe um elevado numero de infecções por vírus no facebook.
Estas infecções daquilo que pudemos pesquisar, são divididas em 3 esquemas: Atracção, infecção e disseminação.
Os esquemas de atracção.
a)
Temos assistido nos últimos tempos a um crescente aumento de comentários e posts em mural do tipo:
1 – ‘Mudei cor do meu perfil no facebook: Descubra como’.
2 - ‘Veja quem visitou seu perfil’.
b)
Não são raros os casos em que são promovidos links com conteúdo inapropriado, pornográfico e noticias sensacionalistas. Esses links ou vem acompanhados de supostos vídeos (que não são) ou de links para conteúdos.
Os esquemas de infecção.
Um dos esquemas de infecção usados por estes vírus são por meio da instalação das facebook app’s. O usuário sem saber, ao permitir a instalação dum aplicativo na realidade esta concedendo permissões a uma app maliciosa que vez por outra posta no seu mural mensagens apelativas que supostamente permitiriam realizar mil e uma maravilhas como ver quem visitou seu perfil.
A dado momento o SNNAngola pensou que esse esquema fosse o mais utilizado. No entanto ao analisarmos a lista de app’s instaladas de alguns usuários do face infectados ficamos chocados ao perceber que não havia uma app que realizava tais acções. Das duas uma: Ou a app escondia-se da lista ou o esquema de infecção não usava qualquer app.
Preferimos acreditar na segunda opção e imediatamente nos perguntamos: Como um usuário era infectado só por clicar num segundo link? Foi aí que me lembrei que o ingénuo era eu, sim, até parece que nunca tinha visto isto antes. Percebi a gravidade do assunto, a conclusão será chocante.
O esquema em cascata funciona da seguinte forma:
1 – O usuário vê um link nas actualizações ou comentários do face que o atrai.
2 – O usuário clica nesse link.
3 – Esse link o redirecciona para uma pagina especialmente preparada para infectar o computador do usuário, geralmente instalando um vírus no seu computador ou uma extensão no navegador.
4 – Esse vírus consegue capturar os dados de login do usuário como seu e-mail ou senha de acesso. Com isso ele pode permitir que um hacker instale remotamente outros vírus, desactive o teu antivírus, instale app’s no face. No entanto o mais usual é vírus provocar uma infecção em cascata, isto é postando um link no teu mural como seu fosse você que tivesse feito isso com um convite usual do tipo: ‘Mudei cor do meu perfil no facebook: Descubra como’.
5 - Esse esquema se espalha de usuário a usuário.
O esquema de disseminação.
O esquema de disseminação é absolutamente risível: Engenharia social. Só cai quem acredita no fiasco do link. Incrível e básico, mas funciona. E este esquema pode funcionar por meio do mural ou por meio do envio de e-mail.
Como proteger-se?
Não existe, pelo menos até agora, um esquema 100% fiável por parte do facebook para evitar situações como esta. E a razão disto é simples. Qualquer link pode ser postado num mural. Complicado seria o esquema de verificar que é malicioso. Isso seria mais fácil com a denuncia dos usuários, mas a maior parte deles nem imagina que está infectado.
No entanto, existem sim precauções que tomadas podem ser eficazes para proteger-nos contra vírus no facebook. O SNNAngola recomenda algumas delas:
1 – Mantenha seu navegador actualizado. Isto diminuirá a probabilidade dum vírus se aproveitar duma falha de segurança para instalar-se no teu computador.
2 – Tenha consciência das extensões que você tem instalada no seu navegador. Alguns vírus disfarçam-se de aplicações conhecidas para dificultar sua detecção. Nunca instale muitas extensões para não dificultar sua gerência.
3 – Sempre que for instalar uma facebook app verifique quais permissões ele está pedindo.
4 – NUNCA acredite em apps e links que te prometem ver quem visitou seu perfil, ou que te prometam mudar a cor do seu facebook. Sao duas das coisas que o face não permite fazer e não tão cedo permitirá.
5 – Use um antivírus que seja eficiente. Recomendamos o Avira.
6 – Nunca clique em links estranhos. Principalmente de vídeos embutidos no face via actualizações de mural. Desconfie sempre de links estranhos e com propostas estranhas do tipo ‘mudei a cor do meu facebook’.
7 - Nunca use o facebook sem utilizar Secure HTTP, ou seja em vez de http://www.facebook.com você deve ver https://www.facebook.com
OBS: Mesmo no meio da escrita desse post saiu uma noticia no Brasil a indicar que um grupo de pesquisadores descobriu que esse esquema de disseminação de vírus alimenta uma poderosa industria criminosa com origens no Brasil e que parece movimentar milhões de dólares com promessa de visita e venda de links.
Links
https://www.facebook.com/security
https://www.facebook.com/notes/facebook-security/link-shim-protecting-the-people-who-use-facebook-from-malicious-urls/10150492832835766
Dos exageros do dr Richard Stallman a liberdade de Kim ‘KIMBLE’ schmitz
1 -
Richard Stallman, não tenho duvidas, é hoje uma figura menos influente do que era 5 anos antes ou então eu ando mesmo desligado de tudo. Formado em física pela universidade de Harvard e depois pelo MIT onde foi colaborador no departamento de Inteligência Artificial, RMS como é vulgarmente conhecido sempre foi polémico em quase tudo até ao ponto de rejeitar emprego nas maiores empresas de computação do mundo para se dedicar exclusivamente ao sonho ‘contra natura’ do software livre, com seu modelo de licenciamento GPL que permite a partilha de código fonte por quem quiser.
Isso parece tão contrastante numa sociedade ‘cruel’ e capitalista como a sociedade Americana onde vingam apenas as mentes mais brilhantes ou oportunistas. RMS está no primeiro grupo.
Ele queria criar um sistema operativo livre conhecido como GNU (GNU is Not Unix) cujo seu kernel conhecido como ‘Hurd‘, quase 30 anos depois não saiu praticamente da prateleira (anda em desenvolvimento até hoje).
Na verdade RMS não seria tão influente se o génio Finlandês da computação Linus Torvalds não tivesse criado no inicio dos anos 90 o Linux um sistema baseado no Unix mas que se diferencia por poder rodar em maquina não mainframe.
RMS não entendeu isso. Resultado: Linus Torvalds hoje trabalha na Linux Foundation, tornou-se milionário e é reconhecido como moderado. RMS é encarado como um chato politiqueiro de plantão sem ideias técnicas inovadoras.
Não que ser rico transforme Linus em feliz e RMS em infeliz. A verdade é que a fronteira já foi traçada, chega de tentar impor por meio de projectos-de-lei e associações. Deixem o mercado assumir o que é melhor, software livre ou proprietário.
RMS esteve esta semana em Portugal e destilou para fora tudo o que ele pensa. Para vocês não acharem que eu exagero basta lerem a ultima entrevista dele, onde já não aceita o contraditório e nem admite algo contrario.
Eu sou a favor do software livre e open source (sem ele eu não saberia o pouco que sei) e não é de hoje, posso dizer que fui até dos primeiros em Luanda a criar tutoriais sobre softwares livres. Comecei a estudar ‘agressivamente’ comandos do Unix em 2001 e fiz a primeira certificação em Linux em 2003. Sou da época do Debian woody, Slackware e Conectiva Linux.
Mas não podia cair no ‘truque’ de Stallman em achar que todo código tem de ser aberto e sob o licenciamento GPL, não teria sentido, a propriedade intelectual e a concorrência cairiam em descrédito.
Não defendo aqui praticas agressivas das grandes companhias como Oracle e Microsoft. Mas ele melhor do que eu sabe que a Índia exporta mais de 1.000.000.000 USD em software por ano e SÓ isso já mete pão na casa de muita gente.
2 -
Por falar em pão, alguém andava a contribuir para tira-lo da casa de muito boa gente a favor de sua boa vida num bairro luxuoso qualquer de Auckland na Nova Zelândia. Refiro-me a nada mais nada menos que Kim ‘KIMBLE’ schmitz.
kim 'kimble' schmitz
Sinceramente, quem conhece o senhor Kim é que não se surpreendeu nada ao saber que afinal ele era a ‘mente brilhante’ por detrás do Megaupload, aquele site fantástico onde você podia baixar os filmes do James Bond como se eles tivessem sido produzidos a custo zero.
A primeira vez que ouvi falar do Kim foi em 2001 após os ataques de 11 de Setembro as torres WTC. O mundo esperançoso de heróis ouviu falar dum tal Alemão Kim ‘KIMBLE’ schmitz que havia acabado de criar um grupo de hackers designado por YIHAT (Young Intelligent Hackers Against Terrorism). Este grupo, dizia Kim, conseguiu aceder a um conjunto de contas supostamente ligadas a Bin Laden num banco do Sudão e as enviou para um departamento qualquer da luta anti-terrorismo nos EUA. Que isso fosse verdade só o senhor Kim pode explicar.
Mas mesmo já naquele tempo o senhor Kim não enganou os mais atentos e aqueles que já o conheciam, aliás estas pessoas sempre duvidaram da sua capacidade técnica como suposto hacker renomado (nunca ninguém viu grande novidade no que ele fazia e dizia) e viram no tal YIHAT mais uma oportunidade dele para ‘aparecer’ na midia como bem gostava.
O que se sabe é que antes de 2001 Kim estava preso na Alemanha por uma qualquer fraude financeira ou informática. Saiu da prisão, criou uma empresa de segurança foi bem sucedido em vende-la, tornou-se milionário e começou a pensar em multiplicar o seu dinheiro, nunca abdicando dos seus direitos de ‘aparecedor’ fosse nos jornais do ocidente, fosse na Tailândia onde tirava fotos pomposas em Kuala Lumpur a frente dos Petronas Towers em Mercedes topos de gamas e exibindo sempre o seu fato e o seu charuto ao lado de bonitas jovens.
Depois disso desapareceu. Sempre procurei por ele, mais de 5 anos a tentar saber onde ele andava. Nem precisei procurar mais. Foi apanhado na Nova Zelândia a dirigir um monstruoso serviço de partilha de ficheiros o famoso MegaUpload. Os prejuízos para as produtoras são enormíssimos: Milhões de dólares perdidos a troco da boa vida do senhor KIMBLE e sua trupe, que afinal, dizem, la na Nova Zelândia, não perdeu o jeito, também gostava de se exibir e dizer de boca cheia que era um dos 5 mais ricos do país. Foi apanhado com as calças na mão numa luxuosa mansão rodeado de dinheiro, espingardas e carros luxuosos de milionários custos. La dentro da mansão: Uma infra-estrutura de rede e hardware de fazer inveja a muitas empresas, tudo a dar suporte ao Megaupload.
Admirou-me sim, foi ver boa gente a defende-lo em nome da liberdade. Até o meu amigo COG caiu nessa (ele foi enganado, confesso hehe). Qual liberdade, qual que? A liberdade do Kim e do Megaupload deve acabar onde inicia a dos dinheiros perdidos do pessoal de Hollywood e etc. O senhor Kim sabia bem o que estava sendo partilhado lá, negar isso é brincar com coisa seria. O pessoal quando quer um filme ou o ultimo álbum da Madonna vai ao Megaupload. Quando quer partilhar o trabalho da escola envia um email aos colegas, so isso.
Implementando Firewalls baseadas em zona (ZFW) com zona desmilitarizada (DMZ)
Desde que a Cisco os introduziu em 2006, firewalls baseadas em zona (ZFW) são a ‘bola de vez’. São stateful firewalls poderosas que também permitem application inspection. Ja vimos no post anterior que antigas implementações representavam um esforço grande em termos de escalabilidade e gestão. Com a introdução do conceito de zonas as interfaces dum encaminhador ou dum comutador de camada 3 pertencem a uma determinada zona ou a nenhuma zona.
Depois disso, são estabelecidas relações (policy) entre esta e outras zonas. Se nenhuma policy for atribuída a interfaces pertencentes a zonas o tráfego estará sujeito a condição de deny all ou seja será negado tráfego da interface e para a interface. Para determinar a que tráfego será aplicada uma determinada policy são criadas class-maps. Class-maps permitem identificar tráfego vindo a determinada interface.
Entre uma zona e outra podem existir um determinado numero de relações, a saber:
- A zone must be configured before interfaces can be assigned to the zone.
- An interface can be assigned to only one security zone.
- All traffic to and from a given interface is implicitly blocked when the interface is assigned to a zone, except traffic to and from other interfaces in the same zone, and traffic to any interface on the router.
- Traffic is implicitly allowed to flow by default among interfaces that are members of the same zone.
- In order to permit traffic to and from a zone member interface, a policy allowing or inspecting traffic must be configured between that zone and any other zone.
- The self zone is the only exception to the default deny all policy. All traffic to any router interface is allowed until traffic is explicitly denied.
- Traffic cannot flow between a zone member interface and any interface that is not a zone member. Pass, inspect, and drop actions can only be applied between two zones.
- Interfaces that have not been assigned to a zone function as classical router ports and might still use classical stateful inspection/CBAC configuration.
- If it is required that an interface on the box not be part of the zoning/firewall policy. It might still be necessary to put that interface in a zone and configure a pass all policy (sort of a dummy policy) between that zone and any other zone to which traffic flow is desired.
- From the preceding it follows that, if traffic is to flow among all the interfaces in a router, all the interfaces must be part of the zoning model (each interface must be a member of one zone or another).
- The only exception to the preceding deny by default approach is the traffic to and from the router, which will be permitted by default. An explicit policy can be configured to restrict such traffic.
A seguinte figura ilustra uma rede com 3 zonas definidas: private, DMZ e Internet.
Implementar firewalls baseadas em zona é algo executado nos seguintes passos:
1 – Definir e configurar zonas.
2 – Definir e configurar zone-pairs (por exemplo, Internet-DMZ ou Private-Internet).
3 – Configurar class-maps para definir que tráfego irá ser permitido entre as zone-pairs.
4 – Configurar policy-maps e aplicar acções sobre uma class-map (por exemplo para a class-map class-negar-ftp, aplicar a action drop)
5 – Associar uma interface a uma zona.
O diagrama abaixo é bastante elucidativo. Trata-se duma rede com 3 zonas, a saber: FINANCE, DMZ e INTERNET.
Diagrama de Firewall com 3 zonas: FINANCE, DMZ e INTERNET
Ficaram definidas as seguintes restrições (policy) para o tráfego:
1 – TRAFFIC FROM INTERNET TO DMZ -> ALLOW
2 – TRAFFIC FROM INTERNET TO FINANCE -> DENY
3 – TRAFFIC FROM FINANCE TO DMZ -> ALLOW
4 – TRAFFIC FROM FINANCE TO INTERNET -> ALLOW
5 – TRAFFIC FROM DMZ TO INTERNET -> DENY
6 – TRAFFIC FROM DMZ TO FINANCE -> DENY
Estas restrições tipificam o comportamento normal duma Firewall: Permitir tráfego (http e dns) da rede privada (FINANCE) para a INTERNET, mas barrar todo tráfego vindo da INTERNET. No entanto liberar tráfego (icmp, dns, ftp, tftp, http) da rede privada (FINANCE) para a DMZ (que é rede publica). Da INTERNET para a DMZ permitir também algum tráfego.
No caso da INTERNET para a DMZ foi necessário combinar a aplicação de ACL’s com class-maps ja que a DMZ comporta 3 servidores (FTP, DNS e HTTP) com endereços IP públicos. Esta ACL permitirá acesso a hosts na INTERNET a estes 3 servidores.
Vamos então a configuração:
Encaminhador SNNANGOLA FIREWALL
Hostname
hostname SNNANGOLA
Lista de acesso para tráfego que venha da INTERNET aos 3 servidores da DMZ
access-list 100 permit ip any host 195.30.30.35
access-list 100 permit ip any host 195.30.30.34
access-list 100 permit ip any host 195.30.30.35
Class-maps para definir tráfego que as interfaces das 3 zonas receberão
class-map type inspect match-any FINANCE-TO-INTERNET
match protocol tcp
match protocol udp
match protocol icmp
match protocol http
match protocol dnsclass-map type inspect match-any FINANCE-TO-DMZ
match protocol tcp
match protocol udp
match protocol icmp
match protocol dns
match protocol ftp
match protocol tftp
match protocol httpclass-map type inspect match-any INTERNET-TO-DMZ
match access-group 100
match protocol http
match protocol dns
match protocol ftp
match protocol icmp
Na class-map INTERNET-TO-DMZ note a existência duma correspondência com a ACL 100.
3 Policy-Maps para aplicar acção de inspect a tráfego definido pelas class-maps
policy-map type inspect FINANCE-TO-INTERNET-POLICY
class type inspect FINANCE-TO-INTERNET
inspectpolicy-map type inspect FINANCE-TO-DMZ-POLICY
class type inspect FINANCE-TO-DMZ
inspectpolicy-map type inspect INTERNET-TO-DMZ-POLICY
class type inspect INTERNET-TO-DMZ
inspect
Existem 3 tipos de acções que podem ser aplicadas a uma policy-map. inspect, drop e pass:
- Drop—This is the default action for all traffic, as applied by the “class class-default” that terminates every inspect-type policy-map. Other class-maps within a policy-map can also be configured to drop unwanted traffic. Traffic that is handled by the drop action is “silently” dropped (i.e., no notification of the drop is sent to the relevant end-host) by the ZFW, as opposed to an ACL’s behavior of sending an ICMP “host unreachable” message to the host that sent the denied traffic. Currently, there is not an option to change the “silent drop” behavior. The log option can be added with drop for syslog notification that traffic was dropped by the firewall.
- Pass—This action allows the router to forward traffic from one zone to another. The pass action does not track the state of connections or sessions within the traffic. Pass only allows the traffic in one direction. A corresponding policy must be applied to allow return traffic to pass in the opposite direction. The pass action is useful for protocols such as IPSec ESP, IPSec AH, ISAKMP, and other inherently secure protocols with predictable behavior. However, most application traffic is better handled in the ZFW with the inspect action.
- Inspect—The inspect action offers state-based traffic control. For example, if traffic from the private zone to the Internet zone in the earlier example network is inspected, the router maintains connection or session information for TCP and User Datagram Protocol (UDP) traffic. Therefore, the router permits return traffic sent from Internet-zone hosts in reply to private zone connection requests. Also, inspect can provide application inspection and control for certain service protocols that might carry vulnerable or sensitive application traffic. Audit-trail can be applied with a parameter-map to record connection/session start, stop, duration, the data volume transferred, and source and destination addresses.
Definir e configurar zonas
zone security FINANCE
zone security INTERNET
zone security DMZ
Configurar ‘zone-pairs’
zone-pair security FINANCE-DMZ source FINANCE destination DMZ
service-policy type inspect FINANCE-TO-DMZ-POLICYzone-pair security FINANCE-INTERNET source FINANCE destination INTERNET
service-policy type inspect FINANCE-TO-INTERNET-POLICYzone-pair security INTERNET-DMZ source INTERNET destination DMZ
service-policy type inspect INTERNET-TO-DMZ-POLICY
As zone-pair’s sao configuradas definindo-se uma origem e um destino de trafego. Em seguida associar o mesmo a uma policy.
Atribuir uma zona a uma interface:
interface FastEthernet0/0
ip address 192.168.20.1 255.255.255.0
zone-member security FINANCE
duplex auto
speed autointerface FastEthernet0/1
ip address 195.30.30.62 255.255.255.224
zone-member security DMZ
duplex auto
speed autointerface Serial0/0/0
ip address 195.30.30.30 255.255.255.224
zone-member security INTERNET
clock rate 64000
Só para que conste e fique anotado se você ainda não se apercebeu:
Fa0/0 – Interface facing FINANCE subnetwork.
Fa0/1 – Interface facing DMZ subnetwork.
Serial0/0/0 – Interface facing INTERNET subnetwork.
Em seguida configurações de encaminhamento RIP version 2 e estático:
router rip
version 2
network 192.168.10.0
network 192.168.20.0
network 195.30.30.0
default-information originate
no auto-summaryip route 0.0.0.0 0.0.0.0 195.30.30.1
Encaminhador INTERNET
hostname INTERNET
interface FastEthernet0/0
ip address 195.30.30.65 255.255.255.224
duplex auto
speed autointerface Serial0/0/0
ip address 195.30.30.1 255.255.255.224router rip
version 2
network 195.30.30.0
no auto-summary
Os resultados são animadores e como você pode ver não é difícil configurar firewalls baseadas em zona, alem destas possuírem uma soberba flexibilidade. E isto é apenas o começo. O poder deste tipo de firewalls é absolutamente impressionante senão único em se tratando de aplication inspection.
Fontes:
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00808bc994.shtml
http://blog.ipexpert.com/2010/01/18/cisco-ios-zone-based-firewalls/
Entendendo firewall’s baseadas em zona
As primeiras implementações de Stateful Firewall’s (basicamente, que levam em conta o estado da sessão) da Cisco foram chamados de CBAC ou Controle de acesso baseado no contexto. Esse género de implementações sempre enfrentou o problema de não ser escalável e aumentar a complexidade de com o aumento do numero de interfaces.
Para dirimir este problema a Cisco lançou em 2006 o conceito de Firewall’s baseadas em zona (ZPF). Um Brasileiro que trabalha na Cisco tem produzido uma serie de papers que mostram como este conceito pode ser implementado.
