Quantcast
Channel: Computer Networking
Viewing all 34 articles
Browse latest View live

[Pesquisa] Curso presencial em Montes Claros

August 20, 2017, 7:51 pm
$
0
0
Olá.
Como muitos já sabem, moro em Montes Claros - MG, onde leciono e trabalho na área de redes.
Estou fazendo uma pesquisa para avaliar o interesse das pessoas em um curso presencial.

O objetivo é fazer um curso de acordo a realidade do mercado no norte de Minas e região atendendo ao perfil encontrado, tando em conteúdo quanto em preço.
Os cursos serão presenciais e 100% mão na massa.

Responda este formulário rápido para eu ter uma noção das suas necessidades e interesses.
Fique a vontade para responder e comentar. Assim que tiver novidades entro em contato:

 https://goo.gl/forms/NOLsRRQErMACieSh2

Qualquer dúvida pode entrar em contato comigo aqui nos comentários ou em qualquer rede social.
Um abraço



Search

10 diferenças entre IPv6 e IPv4

November 11, 2017, 2:42 pm
$
0
0
 IPv6 é um protocolo inteiramente novo. Ele não é uma atualização do IPv4. Existem diferenças substanciais entre os dois. Isto nos leva a esclarecer algumas diferenças em relação ao protocolo antigo e algumas curiosidades.


  1.  O IPv4 não vai ser desativado tão cedo. Ninguém  "migra" para IPv6. Ambos protocolos vão coexistir até que o IPv4 não seja mais necessário. 
  2. Não há protocolo ARP no IPv6, este foi inteiramente substituído pelo ICMPv6. Os mecanismos de descoberta de vizinhança e rotadores são muito mais simplificados.
  3. Interfaces IPv6 tem suporte nativo para múltiplos endereços. Os sistemas operacionais geram vários endereços aleatórios para evitar de usar o seu endereço "oficial" na internet.
  4. IPv6 não tem NAT! A capacidade de endereçamento é virtualmente infinita. Um único provedor recebe o equivalente a uma Internet IPv4 INTEIRA, não em endereços únicos, mas em redes /64, cada uma com uma capacidade ABSURDA de endereços.
  5. Em contra partida, exite o NAT64, que é exclusivo para redes IPv6 only. Onde um roteador IPv6 traduz endereços IPv4 em IPv6 para hosts IPv6 acessarem redes IPv4.
  6. O DHCP é completamente dispensável. Em redes IPv6 os hosts podem aprender seus endereços de forma autônoma através de anúncios dos roteadores(RA), o que torna a configuração muito mais simples e automática. DHCPv6 é opcional.
  7. O bloco reservado pela IANA para endereços IPv6 globais(2000::/3), como endereços IPv4 "públicos", é praticamente INFINITO, e corresponde apenas a 13% da capacidade total do protocolo.
  8. Em IPv6 não há endereços de broadcast. Existem grupos de multicast que assumem funções alcançadas com endereços de broadcast na versão antiga. Assim, não é necessário "descartar" o primeiro e o último endereço da subrede. Todos os endereços são válidos.
  9. Roteadores IPv6 não fragmentam pacotes! Diferente do IPv4, se um roteador recebe um pacote com tamanho maior que permitido pela próxima rede, ele envia uma mensagem ICMPv6 "packet too big" para que o host de origem ajuste o tamanho dos pacotes. Assim não é necessário que roteadores IPv6 façam fragmentação e remontagem de pacotes de acordo com o MTU. Os pacotes saem da origem já ajustados ao MTU do caminho. O processo é chamado de "path MTU discovery".
  10. Não há mudança para os DNS. Servidores DNS podem fornecer informações IPv6 sem problema algum. Registros DNS IPv4 são do tipo A, e IPv6 do tipo AAAA. Seu sevidor DNS não precisa sequer ter suporte a IPv6 para atender consultas do tipo AAAA.

Curso presencial de IPv6 - Montes Claros - MG

November 15, 2017, 4:29 pm

Certificação Linux Essentials - Por que fazer?

December 20, 2017, 4:38 pm
$
0
0
Recentemente resolvi fazer a certificação LPI Linux essentials, exame 010-150.  O preço relativamente baixo, a validade vitalícia e o mínimo necessário de apenas 50% de aproveitamento me deixou bastante animado. Afinal, Linux é uma área bem escassa de profissionais, e uma certificação é uma certificação. Depois de ver a série do Gustavo Kalau sobre o exame vi que o conteúdo é aquilo que qualquer pessoa com o mínimo de familiaridade com o pinguim tiraria de letra. A única parte talvez mais chata, para alguns, é sobre a filosofia do software livre e licenciamento. Algumas pessoas ignoram esse assunto, não eu.
Calhou que ao mesmo tempo descobri o curso NGD Linux Essentials no Cisco Netacad. O curso é gratuito, excelente, e aborda todo o conteúdo do exame. Ainda tem mais 2 cursos no mesmo estilo com o conteúdo dos exames superiores(LPIC-1 e LPIC-2).

Em resumo o que pode ser dito da prova:
  1.  A prova é fácil e de conteúdo bem resumido. 
  2. A validade eterna e a nota mínima de apenas 50% deixam claro que é um exame para você quebrar o gelo e obter um reconhecimento profissional em Linux.
  3. O preço é $110,00 dólares. Mas alunos do curso NGD do Netacad tem um voucher de desconto. O que é ainda melhor!
  4. O agendamento é feito no portal da VUE mesmo.  http://vue.com/lpi/

Por que fazer?


Bom, se você já tem alguma familiaridade com Linux vai ser um exame extremamente fácil. Obter certificações é a melhor maneira de ter reconhecimento profissional na área de TI. Pense que uma certificação não demonstra apenas conhecimento em uma área específica, demonstra seu empenho e dedicação.
Ainda, apenas 33% de profissionais de TI no Brasil têm alguma certificação, e apenas 15% têm mais de uma,  segundo a pesquisa do site APINFO. E certificação Linux está entre as mais raras. Por muito pouco você pode estar dentro de um seleto grupo, e ter um grande diferencial no currículo.

Espero encorajar você leitor a fazer esta, ou qualquer outra prova.  Eu, particularmente vou começar a trabalhar para o exame LPIC-1.


Certificações - Um seleto grupo de profissionais

December 21, 2017, 2:11 pm
$
0
0
Dia desses acabei analisando a pesquisa do APINFO sobre o mercado de TI no Brasil. Para quem não sabe, é um dos sites mais antigos da área, e mantêm um enorme cadastro de vagas e profissionais de TI. É bem raro obter dados numéricos sobre as certificações. Não se sabe ao certo quantos são, índices de reprovação, proporção de profissionais etc. Mas a pesquisa do APINFO mostra muitas coisas em detalhes.

Vendo a pesquisa, me chamou a atenção um ponto. Apenas 33% dos profissionais de TI têm alguma certificação, e apenas 15% têm mais de uma. Pense nisso. Realmente, refletindo um pouco, eu conheço muito pouca gente com alguma certificação. Obter um título desses te coloca em um grupo de um terço de profissionais da área, o que é bem interessante. Se você tiver duas certificações, o que não é difícil, estará em um grupo com metade do tamanho, dentro de um sexto de profissionais. É uma coisa a se pensar não acha?
Do ponto de vista do recrutador a certificação valida o seu conhecimento técnico, coisa difícil de se fazer de forma eficiente em processo de seleção. O exame terceiriza isso para ele. Uma coisa é você colocar no currículo que tem domínio em uma área, outra coisa é mostrar um "certification ID".
Outro detalhe importante visto por quem contrata é o empenho do candidato necessário para passar em uma prova dessas. Um indivíduo que passou em um exame com certeza gastou algumas noites estudando, provavelmente pagou caro em um curso e desembolsou um valor bem salgado para agendar a prova.
Realmente, para sair apenas da formação curricular padrão e obter uma certificação é uma curva bem grande, mas o reconhecimento é natural. Depois de fazer o primeiro exame, tudo fica mais fácil a diante.
Eu gostaria de recomendar algumas certificações para você quebrar o gelo e ver que pode não estar muito longe de chegar a este grupo seleto:
  1. Microsoft MTA: É a base da pirâmide da MS. O conteúdo delas é bem básico e tem um custo baixo($77 USD). Ela tem exames específicos para cada área(banco de dados, infra, etc.)
  2. Linux Essentials: É o mínimo de conhecimento no universo Linux. A prova é feita para ser bem atrativa, já que tem validade vitalícia e cobra apenas 50% de aproveitamento. Bem interessante. Vale lembrar que, segundo a pesquisa, certificações LPI são das mais rara.
  3. Cisco CCENT: Fazendo o exame de base da Cisco, ICND1 você obtém o título de de "Certified Entry Network Technician". Este exame abre as portas para um CCNA em qualquer área de especialidade(Routing & Switching, VoIP, Wireless, etc.) fazendo mais uma prova. Os exames da Cisco são uma faca de 2 gumes. Por um lago existe muito material e cursos para treinamento, mesmo gratuitos, o que torna bem fácil estudar. Mas a prova é muito maldosa, tempo curto, somente em inglês(ou japonês), e requer 85% de aproveitamento. Talvez por isso certificados Cisco tenham um reconhecimento maior.
  4. CompTIA: A instituição oferece algumas certificações bem interessantes como a "IT fundamentals" e a "A+" que são, digamos, de nível básico para qualquer pessoa que trabalha na área. A curva de aprendizado é bem pequena para alguém que tem experiência com TI e suporte por exemplo. Eu só acho o preço salgado, mas vale a pena conferir.
Para concluir, veja que uma certificação pode ter grande peso no currículo, e talvez nem custe tando esforço de você. É um forma bem mais prática de garantir reconhecimento. Some isto aos dados da pesquisa e veja que estará entre profissionais muito selecionados. Boa sorte!

Comandos IPv6 no Windows

March 18, 2018, 11:27 am
$
0
0



Vejamos os comandos básicos de manipulação de endereços IPv6 no Windows. É possível, é claro, fazer pela interface gráfica, mas no caso vamos usar o comando netsh que tem muito mais opções:
 




1) exibir endereços:
netsh int ipv6 sh addr [int="Conexão Local"]

Especificar a interface é opcional aqui, mas caso seja feito ele mostra muito mais detalhes.

2) Adicionar endereços:
netsh int ipv6 add addr "Conexão Local" 2001:db8::2/64 store=persistent

Em IPv6 é possível que uma interface tenha múltiplos endereços, portanto você pode executar este comando várias vezes para a mesma interface. Naturalmente, ao adicionar um endereço os outros  não são removidos, você deve removê-los usando o próximo comando.
O parâmetro "store=persistent" indica que a configuração será salva permanentemente. Do contrário o será perdida na reinicialização.

3) Remover endereços:
netsh int ipv6 del addr int="Conexão Local" addr=2001:db8::2


4) Exibir vizinhança:
netsh int ipv6 sh neig

Este comando é análogo ao "arp -a" do IPv4. Lembrando que no IPv6 não existe ARP, por o ICMPv6 assume sua função. Veja este artigo com as principais diferenças entre os protocolos.


5) exibir rotas:
netsh int ipv6 sh route

6) adicionar rota:
netsh int ipv6 add route 2001:db8:BABA::/64 2001:db8::F int="Conexão Local"


7) remover rota:
netsh int ipv6 del route 2001:db8:BABA::/64 int="Conexão Local"

OBS: Lembre-se que o parâmetro "store=persistent"  é válido para todos os comandos, ele deve ser adicionado para que a configuração permaneça após a reinicialização.

Mais alguma sugestão? Deixe nos comentários. :- )

Comandos IPv6 no Linux

March 20, 2018, 7:54 am
$
0
0




Vejamos os comandos básicos de manipulação de endereços IPv6 no Linux. É possível, é claro, fazer pela interface gráfica, mas no caso vamos usar o comando "ip" que além de ter muito mais opções, ele substituiu o "ifconfig", portanto agora é a opção padrão em todas as distribuições:


1) exibir endereços:
ip -6 addr show [dev eth0]
 
2) Adicionar endereço:
ip -6 addr add 2001:db8::1/64 dev eth0

 Em IPv6 é possível que uma interface tenha múltiplos endereços, portanto você pode executar este comando várias vezes para a mesma interface. Naturalmente, ao adicionar um endereço os outros  não são removidos, você deve removê-los usando o próximo comando.

3) Remover endereço:
ip -6 addr del 2001:db8::1/64 dev eth0

4) exibir vizinhança:
ip -6 neig

Este comando é análogo ao "arp" do IPv4. Lembrando que no IPv6 não existe ARP, por o ICMPv6 assume sua função. Veja este artigo com as principais diferenças entre os protocolos.

5) exibir rotas:
ip -6 route show

6) adicionar rota:
ip -6 route add 2001:db8:BABA::/64 via 2001:db8::1 [dev eth0]

ip -6 route add default via FE80::1 dev eth1

OBS: Se no próximo salto for especificado um endereço link-local(FE80::) a interface deve ser especificada.

7) remover rota:
ip -6 route del 2001:db8:BABA::/64

OBS: Lembre-se que estas configurações são perdidas na reinicialização. Caso queira torná-las permanentes é necessário declaras no arquivo de configuração ou nos scripts de inicialização.

Mais alguma sugestão? Deixe nos comentários. :- )

Spanning tree - A importância das Edge Port

January 28, 2019, 5:10 pm
$
0
0
A vantagem do protocolo Spanning treeé que  ele faz praticamente tudo sozinho. É necessário pouca ou nenhuma intervenção para que a rede funcione normalmente com ele. Talvez a sua rede use e você nem saiba.
Mas o que quero deixar claro aqui é que a funcionalidade do "Edge Port"(Port fast ou Edged port dependendo do fabricante) é talvez a mais importante de todas, e porque você deve prestar atenção nela.


Para contextualizar o artigo vou falar de uma situação que passei recentemente.
Peguei uma rede relativamente grande para configurar, e habilitei o STP em todos os 25 switchs. O STP não vinha habilitado por padrão, então setei todos eles com o RSTP(802.1w).
Depois de alguns dias fiz uma vistoria nos logs de todos os switchs, a começar pelo root bridge, e verifiquei que os logs estavam inundados de mudanças de topologia(ou TCN's, Topology change notifications). Além de inundar os logs dos equipamentos, sabemos que a cada mudança de topologia a tabela MAC é ZERADA em todos os participantes da topologia.
Bem, isso é um problema muito sério. Como as portas não estavam habilitadas como "Edge port", cada vez que um dispositivo era desligado ou ligado, para cada porta da rede inteira, havia uma mudança de topologia. Este comportamento seria intolerável na rede. Todas as portas que se conectam a dispositivos finais foram setadas no modo "Edge port" e problema resolvido.

Lição, você tem a OBRIGAÇÃO de colocar todas as portas conectadas a dispositivos finais como Edge. Do contrário você certamente vai "entupir" os logs dos equipamentos e terá uma degradação no desempenho da rede, já que a as tabelas serão ZERADAS cada vez que um PC for ligado ou um cabo plugado.
Muitos equipamentos atualmente vêm com o STP habilitado e as portas configuradas como Edge por padrão. Mas você deve se certificar disso antes de colocar um switch em produção.

Nunca é demais falar, mas a condição de Edge port lhe garante um bom funcionamento, já que  as portas serão colocada em estado de forwarding imediatamente. Hoje com os SSDs é comum o sistema operacional ser iniciado com menos de 30s, e o usuário pode acabar percebendo que a porta do switch ainda não está encaminhando tráfego, ou mesmo sofrer um "DHCP time out".
Em caso de loop a porta perde a condição de Edge e você terá um loop temporário e praticamente imperceptível.

Outra discussão interessante é se devemos colocar como Edge portas conectadas a pequenos switch/HUBs que não são gerenciáveis e tão pouco rodam o STP. Eu coloco.
Search

Pincelada no NetBox - Documentação de Rede

July 5, 2020, 7:26 pm
$
0
0
NetBox é um software para documentação de infraestrutura de TI. É um IPAM e DCIM com alto poder de integração, personalização e uma plataforma que serve de base para ferramentas de automação de rede.

Para min é a melhor invenção depois da roda. Ele serve como uma documentação viva da sua infraestrutura e pode ser integrado com várias ferramentas. Fiz um vídeo apenas para dar uma pincelada no sistema:








Deixe o like e comente se você gostou ou tem alguma dúvida.

Configurando Voice VLAN em switchs Huawei e aparelhos de outro fabricante (com port security)

September 6, 2020, 7:05 am
$
0
0

Recentemente precisei configurar um parque de switchs Huawei com telefones IP de marca Siemens / Unify. Como de praxe, a ideia é separar o tráfego dos telefones na VLAN de voz e permitir que os computadores se conectem pela porta do telefone em uma VLAN separada. Após longas horas lendo a documentação oficial cheguei na configuração ideal para as portas que vão se conectar aos telefones. 

Este modelo OpenStage 15 da Siemens / Unify tem suporte ao LLDP, que vai descobrir a VLAN de voz informada pelo switch. Neste caso estou usando a VLAN de voz com 2211 e a VLAN de dados como 2000. Quando o aparelho for ligado ele será informado do ID da VLAN de voz por LLDP e o switch identificará o aparelho através do MAC OUI. Se o seu telefone IP não tem suporte a LLDP você terá que definir o ID da VLAN de voz manualmente na configuração dele.

Esta é uma configuração RESUMIDA, e não pretende explicar os detalhes envolvidos em VLANs de voz ou as funcionalidades específicas de cada opção disponível nesses switchs, mas creio que ela se aplique a maioria dos casos. Como não achei nenhum material em português explicando de maneira bem direta e prática, resolvi escrever.

Primeiro configure as VLANs de voz e dados no switch, e o MAC OUI dos seus aparelhos de telefonia IP:

voice-vlan mac-address 001a-e800-0000 mask ffff-ff00-0000 description Siemens-Unify
vlan 2211
 name Vlan-VoIP
 description VoIP-VoiceVLAN

vlan 2000
 name Vlan-Dados
 quit

Em seguida aplique a configuração abaixo em cada interface:

int GigabitEthernet 0/0/2
 port link-type hybrid
 voice-vlan 2211 enable
 voice-vlan remark-mode mac-address
 port hybrid pvid vlan 2000
 port hybrid untagged vlan 2000
 port hybrid tagged vlan 2211
 undo port hybrid vlan 1
 voice-vlan security enable

 quit

Repare que no switch Huawei é necessário colocar a porta em modo Hybrid para que ele consiga encaminhar tráfego com e sem TAG de cada VLAN. Os frames do telefone serão marcados com TAG 802.1q da VLAN de voz e o tráfego do PC conectado será encaminhado sem. 

A opção "voice-vlan security enable" garante que apenas tráfego com MAC de origem que coincida com o OUI configurado seja encaminhado para a VLAN de voz. Do contrário qualquer outro equipamento com o TAG da VLAN de voz conectado à esta porta teria o seu tráfego encaminhado normalmente, tendo acesso direto à sua Voice VLAN. 

Já o comando "undo port hybrid vlan 1" remove a VLAN 1 da porta, pois é deixada por padrão em portas modo hybrid. É importante você garantir isso para que não haja mistura de VLAN e que a configuração deixe de maneira explícita cada VLAN que deve trafegar ali.

Port Secuity

Se você também usa port security tome cuidado. Em primeiro lugar, você deve garantir que os  MAC address do telefone e do PC conectado a ele possam ser associados àquela porta. Mas existe uma pegadinha. O MAC do telefone acaba sendo associado às duas VLANs, por isso você deve definir o máximo de MAC addresses naquela porte como 3. Quando o telefone é ligado o switch imediatamente aprende o seu MAC na VLAN de dados(sem TAG), e só depois que o sistema é iniciado, e o telefone descobre a VLAN de voz por LLDP, ele começa a enviar os seus frames com o TAG da VLAN de voz. O switch fica com MAC do telefone associado àquela porta nas duas VLANs aumentando a quantidade de MAC addresses aprendidos naquela porta. Quando os frames do PC chegarem poderá haver uma violação do port security. Por isso é recomendado definir a contagem para 3. Veja:

int GigabitEthernet 0/0/2
 port link-type hybrid
 voice-vlan 2211 enable
 voice-vlan remark-mode mac-address
 port hybrid pvid vlan 2000
 port hybrid untagged vlan 2000
 port hybrid tagged vlan 2211
 undo port hybrid vlan 1
 voice-vlan security enable
 stp edged-port enable
 port-security enable
 port-security protect-action shutdown
 port-security mac-address sticky
 port-security max-mac-num 3
 q

Execute o comando "display mac-addr <interface>" e veja o resultado. Existem, portanto, 3 MAC associados à porta.


Espero ter ajudado ;-)



Portas tronco e acess no Mikrotik RouterOS [atualizado]

September 7, 2020, 7:50 am
$
0
0

 Em 2013 publiquei um artigo explicando como configurar portas em modo tronco e Access no Mikrotik RouterOS, já que o famoso sistema Letão deixa as coisas extremamente confusas. 7 anos depois muita coisa mudou no RouterOS,  e agora está ainda mais confuso fazer essa configuração. Antes era preciso apenas criar bridges para cada VLAN e selecionar as portas que fariam parte de cada bridge(VLAN), o que era intuitivo de certa maneira. Mas agora a coisa mudou completamente.

Neste caso estou usando uma RB951Ui e pretendo usá-la como switch L3 e ter a seguinte configuração:

ether1: Interface WAN.
ether2: Porta em modo "trunk" passando diversas VLANs, sendo a VLAN 1704 nativa.
ether3: Porta em modo "access" na VLAN 1704.
ether4: Porta em modo "access" na VLAN 2200.
ether5: Porta em modo "access" na VLAN 2211.
wlan1: Interface Wifi na VLAN 1704

Em switchs e roteadores "normais" você faz atribuição de VLANs na própria interface/porta do equipamento, mas o caso aqui é bem mais complexo. Então vejamos:

1º) Crie uma bridge, de nome "Br0" por exemplo, e coloque o ID da VLAN que será usada como nativa. O importante aqui é marcar a opção de "vlan-filtering":

/interface bridge
add name=Br0 pvid=1704 vlan-filtering=yes

2º) Crie VLAN interfaces para cada VLAN que precise de interfaces IP, já que neste exemplo ele também fará o roteamento entre as VLANs:

/interface vlan
add interface=Br0 name=intVLAN-2200 vlan-id=2200
add interface=Br0 name=intVLAN-2211 vlan-id=2211
add interface=Br0 name=intVLAN-1704 vlan-id=1704

ATENÇÃO: Não é mais necessário marcar a opção "Use service TAG" nas interfaces. Não pergunte o porquê.

3º) Adicione todas as portas na mesma bridge marcando a VLAN nativa de cada uma:

/interface bridge port
add bridge=Br0 pvid=1704 interface=ether2
add bridge=Br0 pvid=2200 interface=ether3
add bridge=Br0 pvid=2211 interface=ether4
add bridge=Br0 pvid=1704 interface=wlan1

4º) Esta é a única parte que pode deixar as coisas menos confusas na hora de manter a configuração. No menu de VLAN em bridge adicione uma entrada para cada VLAN, para que fique mais claro para você a configuração, e marque quais portas são membros de cada VLAN e se usam tag ou não:

/interface bridge vlan
add bridge=Br0 vlan-ids=2200 tagged=Br0,ether2 untagged=ether4
add bridge=Br0 vlan-ids=2211 tagged=Br0,ether2 untagged=ether5
add bridge=Br0 vlan-ids=1704 tagged=Br0 untagged=ether2,ether3,wlan1

5º) Os endereços IP devem ser atribuídos às "VLAN interfaces":

/ip address
add interface=intVLAN1704 address=10.17.4.254/24 network=10.17.4.0
add interface=intVLAN2211 address=10.22.11.254/24 network=10.22.11.0
add interface=intVLAN2200 address=10.22.0.254/24 network=10.22.0.0

 É um duplo twist carpado  para fazer algo que seria banal em outras plataformas. Por isso é tão fácil fazer uma configuração falha ou mesmo problemática no RouterOS, deixando loops e misturando domínios de broadcast. Esta é apenas uma das maneira de se configurar VLANs no Mikrotik, dizem que existe mais 3.

Firewall IPv6 básico para Mikrotik

September 10, 2020, 6:32 pm
$
0
0

    

Muitos se perguntam como fica a segurança da rede em IPv6, já que todos os hosts internos estarão "expostos" na Internet. O NAT por si só já funciona como um firewall statefull, o que lhe dá uma segurança mínima na rede. Por isso muitos se quer conseguem imaginar um firewall sem NAT. Mas a coisa é muito mais simples do que você imagina. Um firewall IPv6 basicamente não vai aceitar estabelecimento de conexões que vêm de fora, apenas pacotes de conexões já estabelecidas.

Basicamente, a única novidade em firewall IPv6 é que VOCÊ NÃO PODE FILTRAR PACOTES ICMPv6. Vou repetir para que fique claro: Você não pode filtrar pacotes ICMPv6. O ICMPv6 acumula várias funcionalidades que eram desempenhadas por outros protocolos e processos no IPv4. Não vem ao caso discutir isso agora, mas sem ICMPv6 a rede simplesmente não funciona.

Baseado neste artigo, que é baseado na RFC 4890, fiz um firewall IPv6 básico para Mikrotik que serve bem para ambientes domésticos ou pequenas empresas. Você pode usar como base para fazer o seu, e tem os exemplos para abertura de portas no próprio firewall(input) ou em hosts dentro da rede(forward).

Fique tranquilo e veja que isso oferece uma segurança tão boa quanto, ou melhor que o NAT:

#
# Cria lista de interfaces LAN.
#
/interface list
add name=LAN-interfaces comment="Interfaces LAN"
member add interface=bridge list=LAN-interfaces

#
# Cria Lista de Bogons IPv6.
#
/ipv6 firewall address-list
add address=::/128 list=IPv6_Bogons comment="unspecified address"
add address=::1/128 list=IPv6_Bogons comment="loopback"
add address=fec0::/10 list=IPv6_Bogons comment="site-local"
add address=::ffff:0.0.0.0/96 list=IPv6_Bogons comment="IPv4-mapped"
add address=::/96 list=IPv6_Bogons comment="IPv4 compat"
add address=100::/64 list=IPv6_Bogons comment="discard only"
add address=2001:db8::/32 list=IPv6_Bogons comment="documentation"
add address=2001:10::/28 list=IPv6_Bogons comment="ORCHID"
add address=3ffe::/16 list=IPv6_Bogons comment="6bone"
add address=::224.0.0.0/100 list=IPv6_Bogons comment="IPv4 compat Multicast"
add address=::127.0.0.0/104 list=IPv6_Bogons comment="IPv4 compat loopback"
add address=::/104 list=IPv6_Bogons comment="IPv4 compat unspacified"
add address=::255.0.0.0/104 list=IPv6_Bogons comment="IPv4 compat uso futuro"

/ipv6 firewall filter
#
# Regras de INPUT - Validas para conexoes diretas ao Roteador/Firewall.
#

add action=accept chain=input comment="Aceita conexoes estabelecidas" connection-state=established,related,untracked
add action=drop chain=input comment="Drop em conexoes invalidas" connection-state=invalid
add action=accept chain=input comment="Aceita ICMPv6" protocol=icmpv6

#
# A regra abaixo libera as portas do Winbox e ssh no Mikrotik/Firewall.
# Use como exemplo, mas JAMAIS deixe-as abertas para a Internet!
#
add action=accept chain=input comment="Libera portas 8291 e 22 no Mikrotik" dst-port=8291,22 protocol=tcp

add action=accept chain=input comment="Aceita traceroute UDP" port=33434-33534 protocol=udp
add action=accept chain=input comment="Aceita DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="Aceita IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="Aceita ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="Aceita ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="Aceita tudo dentro da politica de IPsec" ipsec-policy=in,ipsec
add action=drop chain=input comment="Drop em tudo mais que não veio da LAN" in-interface-list=!LAN-interfaces

#
# Regras de FORWARD - Validas para conexoes dos hosts internos.
#

add action=accept chain=forward comment="Aceita conexoes estabelecidas" connection-state=established,related,untracked
add action=drop chain=forward comment="Drop em conexoes invalidas" connection-state=invalid
add action=drop chain=forward comment="Drop pacotes com Bogons de origem" src-address-list=IPv6_Bogons
add action=drop chain=forward comment="Drop pacotes com Bogons de destino" dst-address-list=IPv6_Bogons
add action=drop chain=forward comment="Drop ICMPv6 com hop-limit de 1." hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="Aceita ICMPv6" protocol=icmpv6

#
# Regra de exemplo para liberação de portas 80 e 22 em host interno.
# Altere as portas e endereço de destino.
#
add action=accept chain=forward comment="Libera portas 80 e 22 em host interno" dst-port=80,22 protocol=tcp dst-address=2001:db8:BEBA:CAFE::1

add action=accept chain=forward comment="Aceita HIP" protocol=139
add action=accept chain=forward comment="Aceita IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="Aceita ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="Aceita ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="Aceita tudo dentro da politica de IPsec" ipsec-policy=in,ipsec
add action=drop chain=forward comment="Drop em tudo mais que não veio da LAN" in-interface-list=!LAN-interfaces

Você poder fazer os testes de portas usando este link.

Onde ficou o IPv5?

November 2, 2020, 5:14 pm
$
0
0

É estranho pensar que o protocolo internet evoluiu da versão 4 direto para 6. Muitas pessoas ficam confusas e é comum ver algumas especulações sobre essa numeração. Alguns tentam fazer alguma relação com a proporção de bits ou bytes presentes no campo de endereçamento ou até mesmo dizem ser algo relacionado à superstição dos programadores, em que releases de número ímpar são sempre consideradas beta, e não devem ser publicadas, e por isso decidiram colocar a versão final com número par.

A resposta na verdade é muito simples. O número 5 no campo version do cabeçalho IP já vinha sendo usado pelo que foi chamado de Internet Stream Protocol, ou ST. É uma situação um pouco confusa, mas os ST, ST-2 e ST-2+ foram desenvolvidos como protocolos para aplicações como voz e vídeo, que demandam uma qualidade de serviço. O protocolo IP não é orientado a conexões, portando os pacotes geralmente são enviados com a política de "melhor esforço". O proposta do ST era bem parecida com a de redes ATM,mas em camada 3, trazendo controles e armazenamento de estado de conexões, enfileiramento e muito mais. Cada fluxo ST agrega o armazenamento de estado da conexão pelos roteadores e controles dinâmicos para garantir a qualidade de serviço. Como podemos ver na RFC 1190, o cabeçalho ST é completamente diferente do IPv4, a não ser pelo primeiro campo que indica a versão(número 5):

Imagem original da RFC 1190.

Como o ST seria incompatível com o IP foi designado o próximo número de versão para diferenciar os pacotes. Desde essa época o número 5 estava reservado para ele no campo versão do IP(camada 3) e número de protocolo(camada 4). A ideia é que roteadores pudessem diferenciar os pacotes logo na chegada verificando a versão, ou mesmo que pacotes IPv4 pudessem carregar pacotes ST encapsulados onde o número 5 seria o identificador do protocolo que estava sendo carregado. Na RFC 1060 já podemos conferir o número 5 com essa designação em "version numbers" e "protocol numbers". 

Com o número 5 já em uso não faria sentido uma próxima versão levar esse número, por isso foi "pulado" para evitar confusão. O número 6 só apareceria designado poucos anos depois numa atualização do "Assigned numbers" - RFC 1700, ainda como "Simple Internet Protocol".

Repare que aqui já temos numeração reservada para os "concorrentes" do que veio a ser o IPv6. Inicialmente foi cogitado o número 7, esperando que o ST-2 usasse o número 6. Os números 7, 8 e 9 foram usados para identificar as propostas que vieram a ser mescladas na elaboração da arquitetura definitiva do IPv6. Sendo o número mais baixo disponível depois do 4, e já usado na proposta do "Simple Internet Protocol" do mesmo Bob Hinden, o número 6 foi mantido para a primeira especificação oficial na RFC 1883.

Portanto, não espere que no futuro existam versões 7 ou 8 do IP, nem mesmo a 9 que já foi "queimada" em uma piada de 1º de abril. Os protocolos ST jamais saíram da fase experimental e IPv5 sequer existiu.





Tutorial Instalação do NetBox - Ferramenta para documentação e automação de redes.

March 16, 2021, 6:26 pm
Viewing all 34 articles
Browse latest View live
Search