Biografia: Mwende Window Snyder

Poucas mulheres sao conhecidas no submundo da segurança de informação (talvez eu é que nao conheça). No entanto a jovem Window Snyder é uma excecção. Filha de mãe Queniana e pai Norte-Americano já trabalhou na Microsoft como Senior Security Strategist nos produtos Service Pack 2 e Windows Server 2003,  na @Stake como Director of Security Architecture, na Matasano Security como co-fundadora. Recentemente esteve na Mozilla Foundation como Chief Security Something-or-Other. Retirou-se no fim de 2008 e foi agora anunciada como Senior Product Manager, Security and Privacy na Apple.

Implementando Vlans em um Roteador com subinterfaces

Existem 2 formas conhecidas de se implementar comunicacao entre vlans diferentes: Com um switch de camada 3 ou com um roteador.

O cenario mais economico e’ implementando em router com subinterfaces por causa da falta de interfaces fisicas. O nosso exemplo e’ um cenario de exemplo basico com 2 vlans 10 e 20 (gestao e administracao) que necessitam de se comunicar entre si. Por questoes de seguranca trocou-se a interface vlan de gestao para uma diferente da 1 no nosso caso a 90.

Um exemplo similar a este saiu numa empresa onde ja testei. Como foi testado no Packet Tracer 5.3 o exemplo tem por base o mesmo.

Para download deste cenario criado em Packet Tracer 5.3, siga este link.

Entendendo de vez o uso do parametro established em ACLs

Bom, continuamos aqui a falar sobre acls. Desta vez para explicar o uso do parametro established em acls. A razão disto é que as vezes não é muito bem explicado porque se usa este parametro. Este parametro é utilizado para garantir que um tráfego de retorno X é permitido a entrar numa rede Y se ele teve origem na rede Y. Por exemplo na figura abaixo:

Suponha que queiramos permitir que os usuarios de R1 (Rede Interna 4.4.4.0, protegida por acl) possam usar a Web por meio do provedor de Internet R3 (Rede externa 3.3.3.0). Todo tráfego deve ser negado. A seguinte ACL poderia ser utilizada (não testei):

R1>access-list 100 permit tcp 4.4.4.0 0.0.0.255 3.3.3.0 0.0.0.255 eq 80 established
R1>access-list 100 deny ip any any

Se o parametro established nao estivesse ali os usuarios de R1 poderia enviar pacotes HTTP a R2, mas estes quando retornassem a R1 seria barrados. Com o parametro established é garantido que toda conexão com a flag ACK ou RST setada é permitida. Toda nova tentativa de criar uma nova sessão é negada.

ACLs: Entendendo de vez os parametros IN e OUT

Sinceramente, chega de conversa. Aprender ACL sem ter dificuldade em entender como funcionam os parametros in e out do comando ‘ip access-group’ do modo de interface é privilegio de poucos. Tive as minhas dificuldades.

Afinal o que significam os parametros in e out? Naturalmente significam entrada e saida. Então porque a dificuldade em usa-lo? O problema reside na direcção a aplicar. Repare a seguinte figura:

O problema nos diz que devemos evitar que o tráfego proveniente da rede 192.168.1.0 alcance a rede 192.168.4.0. Todas as outras redes podem ser alcançadas.

A teoria das acls nos diz que acls padrão devem ser colocadas mais ‘proximas do destino do tráfego’. A nossa acl é a seguinte (ver fig. acima):

access-list 9 deny 192.168.1.0 0.0.0.255
access-list 9 permit any

Naturalmente esta acl por ser padrão irá ser colocada no router da rede 192.168.4.0.

A pergunta que se coloca é a seguinte: Em que direcção? in ou out? Poderiamos cair na tentacção de considerar como in na interface serial, já que o tráfego entrante indesejavel vem de 192.168.1.0 por aquele caminho. Mas não é assim, porque devemos levar em conta que acls padrão devem ser posicionadas mais proximas do destino e como o destino mais proximo a rede 192.168.4.0 é a interface fa0/0 então ela deve ali ser colocada. Mas em que direcção? Note que deve ser colocada na direcção out porque a posição de fa0/0 nos indica que o tráfego ali passante ‘atravessou’ o roteador de um extremo de entrada (interface serial) até o outro de saida (fa0/0).

E se fosse uma acl estendida? Aonde ela seria aplicada?
A seguinte acl seria produzida:

access-list 109 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 109 permit ip any any

Novamente recorremos a definição que nos diz que acls estendidas devem ser posicionadas mais proximas a ‘origem do tráfego’. E aonde está mais proxima a origem dos dados? Na interface fa0/0 do roteador da rede 192.168.1.0. E em que direcção deva ser colocada? Logico que na direcção in do roteador porque a mesma nao necessita de ‘atravessar’ o roteador para ser tratada.

É apenas uma questão de se ‘jogar’ com a definição de lista padrão e estendida e entender que uma direcção out na maior parte das vezes indica tráfego ‘atravessante’ no roteador e in indica tráfego a entrar ao roteador.

Como surgiu a Internet em Angola

Hoje possivelmente já temos mais de 300.000 angolanos a usar o Hi5 (o segundo site mais visitado em Angola, depois do Google) o que pressupoe que pelo menos a Internet já é algo normal entre nós.

Mas houve um tempo que não era assim. Não só nao havia Internet como se havia então era para pouquissimos, até que em 1992/1993 um antigo estudante Angolano de Informatica na Ucrania (Silvio Almada) e sua companheira Cubana (Haymme Perez Cogle) resolveram ter uma ideia. Dessa ideia surgiu a Ebonet e o resto da historia você pode ler nesse documento.

É serio, merece documentario. Lembro de ter tido uma conversa esporadica com a dra Haymee acho que em 2000 (ano das ilusoes das linhas de comando e programação em C) se nao estou em erro e naquele tempo eles já usavam Linux.