Biografia: Mwende Window Snyder

Poucas mulheres sao conhecidas no submundo da segurança de informação (talvez eu é que nao conheça). No entanto a jovem Window Snyder é uma excecção. Filha de mãe Queniana e pai Norte-Americano já trabalhou na Microsoft como Senior Security Strategist nos produtos Service Pack 2 e Windows Server 2003,  na @Stake como Director of Security Architecture, na Matasano Security como co-fundadora. Recentemente esteve na Mozilla Foundation como Chief Security Something-or-Other. Retirou-se no fim de 2008 e foi agora anunciada como Senior Product Manager, Security and Privacy na Apple.

Anúncios

Implementando Vlans em um Roteador com subinterfaces

Existem 2 formas conhecidas de se implementar comunicacao entre vlans diferentes: Com um switch de camada 3 ou com um roteador.

O cenario mais economico e’ implementando em router com subinterfaces por causa da falta de interfaces fisicas. O nosso exemplo e’ um cenario de exemplo basico com 2 vlans 10 e 20 (gestao e administracao) que necessitam de se comunicar entre si. Por questoes de seguranca trocou-se a interface vlan de gestao para uma diferente da 1 no nosso caso a 90.

Um exemplo similar a este saiu numa empresa onde ja testei. Como foi testado no Packet Tracer 5.3 o exemplo tem por base o mesmo.

Para download deste cenario criado em Packet Tracer 5.3, siga este link.

Curso de IPv6

Mais um para você aprender mais alguma coisa. Não se esqueça do esgotamento dos endereços IPv4 daí que aprender a estrutura de endereçamento IPv6 é importantissimo.
Siga este link.

Entendendo de vez o uso do parametro established em ACLs

Bom, continuamos aqui a falar sobre acls. Desta vez para explicar o uso do parametro established em acls. A razão disto é que as vezes não é muito bem explicado porque se usa este parametro. Este parametro é utilizado para garantir que um tráfego de retorno X é permitido a entrar numa rede Y se ele teve origem na rede Y. Por exemplo na figura abaixo:

Suponha que queiramos permitir que os usuarios de R1 (Rede Interna 4.4.4.0, protegida por acl) possam usar a Web por meio do provedor de Internet R3 (Rede externa 3.3.3.0). Todo tráfego deve ser negado. A seguinte ACL poderia ser utilizada (não testei):

R1>access-list 100 permit tcp 4.4.4.0 0.0.0.255 3.3.3.0 0.0.0.255 eq 80 established
R1>access-list 100 deny ip any any

Se o parametro established nao estivesse ali os usuarios de R1 poderia enviar pacotes HTTP a R2, mas estes quando retornassem a R1 seria barrados. Com o parametro established é garantido que toda conexão com a flag ACK ou RST setada é permitida. Toda nova tentativa de criar uma nova sessão é negada.

ACLs: Entendendo de vez os parametros IN e OUT

Sinceramente, chega de conversa. Aprender ACL sem ter dificuldade em entender como funcionam os parametros in e out do comando ‘ip access-group’ do modo de interface é privilegio de poucos. Tive as minhas dificuldades.

Afinal o que significam os parametros in e out? Naturalmente significam entrada e saida. Então porque a dificuldade em usa-lo? O problema reside na direcção a aplicar. Repare a seguinte figura:

O problema nos diz que devemos evitar que o tráfego proveniente da rede 192.168.1.0 alcance a rede 192.168.4.0. Todas as outras redes podem ser alcançadas.

A teoria das acls nos diz que acls padrão devem ser colocadas mais ‘proximas do destino do tráfego’. A nossa acl é a seguinte (ver fig. acima):

access-list 9 deny 192.168.1.0 0.0.0.255
access-list 9 permit any

Naturalmente esta acl por ser padrão irá ser colocada no router da rede 192.168.4.0.

A pergunta que se coloca é a seguinte: Em que direcção? in ou out? Poderiamos cair na tentacção de considerar como in na interface serial, já que o tráfego entrante indesejavel vem de 192.168.1.0 por aquele caminho. Mas não é assim, porque devemos levar em conta que acls padrão devem ser posicionadas mais proximas do destino e como o destino mais proximo a rede 192.168.4.0 é a interface fa0/0 então ela deve ali ser colocada. Mas em que direcção? Note que deve ser colocada na direcção out porque a posição de fa0/0 nos indica que o tráfego ali passante ‘atravessou’ o roteador de um extremo de entrada (interface serial) até o outro de saida (fa0/0).

E se fosse uma acl estendida? Aonde ela seria aplicada?
A seguinte acl seria produzida:

access-list 109 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 109 permit ip any any

Novamente recorremos a definição que nos diz que acls estendidas devem ser posicionadas mais proximas a ‘origem do tráfego’. E aonde está mais proxima a origem dos dados? Na interface fa0/0 do roteador da rede 192.168.1.0. E em que direcção deva ser colocada? Logico que na direcção in do roteador porque a mesma nao necessita de ‘atravessar’ o roteador para ser tratada.

É apenas uma questão de se ‘jogar’ com a definição de lista padrão e estendida e entender que uma direcção out na maior parte das vezes indica tráfego ‘atravessante’ no roteador e in indica tráfego a entrar ao roteador.

Como surgiu a Internet em Angola

Hoje possivelmente já temos mais de 300.000 angolanos a usar o Hi5 (o segundo site mais visitado em Angola, depois do Google) o que pressupoe que pelo menos a Internet já é algo normal entre nós.

Mas houve um tempo que não era assim. Não só nao havia Internet como se havia então era para pouquissimos, até que em 1992/1993 um antigo estudante Angolano de Informatica na Ucrania (Silvio Almada) e sua companheira Cubana (Haymme Perez Cogle) resolveram ter uma ideia. Dessa ideia surgiu a Ebonet e o resto da historia você pode ler nesse documento.

É serio, merece documentario. Lembro de ter tido uma conversa esporadica com a dra Haymee acho que em 2000 (ano das ilusoes das linhas de comando e programação em C) se nao estou em erro e naquele tempo eles já usavam Linux.