Como configurar roteadores Huawei WS5200 com TR069
Hoje vou mostrar a vocês como configurar sua CPE WS5200, no TR-069 do Made4Graph. Recomendo que seja feito em bancada e com IP público, pois será necessário homologar, para isso vamos mudar algumas informações em sua CPE, via TR-069, não queremos que um cliente fique sem internet. Antes de iniciar a configuração, é indispensável que entre a CPE e o servidor do TR-069, não exista qualquer tipo “NAT” na rede, se houver vai comprometer a funcionalidade do TR-069, isso conforme a documentação do protocolo. Agora que passei os pré-requisitos, vamos configurar a CPE. Ao acessar a CPE, iremos na aba Mais Funções, depois em Configurações do sistema, e TR-069 Ao chegar na tela exibida abaixo, faremos as seguintes configurações Configurações CWMP: → O botão Gerenciamento do TR069 deve ficar ativo→ O botão intervalo de informação deve ficar ativo→ Endereço do servidor ACS = http://ip_do_server_de_tr:7547→ Nome de usuário ACS = admin→ Senha ACS = admin→ Nome de usuário de solicitação de conexão = admin→ Senha de solicitação de conexão = admin→ Intervalo de informação = 300 Depois clique em salvar Logo em seguida o CPE deve aparecer no made4graph, para ser homologada por nossa equipe Algumas informações foram ocultas a fim de manter os dados da CPE em sigilo. Caso ainda tenha dúvidas, manda uma mensagem para a gente, que vamos te ajudar com a sua CPE.
A importância de um provedor ter um DNS próprio
Um provedor sempre busca fornecer a internet com melhor qualidade para seus clientes, e um fator muito importante para conseguirmos navegar na internet é possuirmos um servidor DNS recursivo configurado, o porquê disso e como ele funciona já entendemos, mas como ter um servidor dentro da sua rede vai melhorar ainda mais a navegação de seus clientes?
Como configurar roteadores Archer-C20 com TR069
Hoje vou mostrar a vocês como configurar sua Archer-C20 no TR-069 do Made4Graph.Recomendo que seja feito em bancada, e com IP público, pois será necessário homologar, e para isso vamos mudar algumas informações em sua CPE, via TR-069, e não queremos que um cliente fique sem internet.Antes de iniciar a configuração, é indispensável que entre a CPE e o servidor do TR-069, não exista qualquer tipo “NAT” na rede, se houver vai comprometer a funcionalidade do TR-069, isso conforme a documentação do protocolo.Agora que passei os pré-requisitos, vamos configurar a CPE. Ao acessar a CPE, iremos na aba avançado, depois em Ferramentas do Sistema, e por último em Configurações .Ao chegar na tela exibida abaixo, faremos as seguintes configurações: Configurações CWMP:→ O botão CWMP deve ficar ativo→ O botão de informação deve ficar ativo→ Intervalo de informação = 300→ URL ACS = http://ip_do_server_de_tr:7547→ Nome de usuário ACS = admin→ Senha ACS = admin→ Interface utilizada pelo TR-069 = Qualquer WAN→ CPE ID = SN→ Botão Exibir mensagem SOAP = desativado→ A caixa “Autenticação de solicitação de conexão” = deve estar marcadaNos campos abaixo da caixa de solicitação de conexão, é solicitado usuário e senha, você deve usar:→ Usuário = admin→ Senha = admin→ Caminho = /tr069→ Porta = 7547 A opção Traversal Simples de UDP sobre NATs pode ser ativada, mas não precisa ser configurada, as opções podem ser deixadas como padrão.Após isso Clique em salvar. Logo em seguida o CPE deve aparecer no Made4Graph, para ser homologada por nossa equipe Algumas informações estão borradas a fim de manter os dados da CPE em sigilo.Caso ainda tenha dúvidas, manda uma mensagem para a gente, que vamos te ajudar com a sua CPE.
Atualizações – Made4Graph e Made4Flow 04/23
Hoje dia 11 de abril realizamos o lançamento da versão 2.3.3 do Made4Graph e versão 2.0.2 do Made4Flow V2. Segue os principais itens desta nova versão: Made4Graph – Versão 2.3.3 (11/04/2023)Adicionado-Adicionado algumas imagens dos fabricantes de NAS e TR069 por padrão.-Feita uma revisão do inglês e do espanhol por completo.-Adicionado a possibilidade de realizar o gerenciamento de DMZ no TR-069 para roteadores compatíveis.Alterado-Alterado no traceroute quando não chega no destino, adicionado hops com * e uma mensagem de falha.-Alterado os países da america latina como prioridade no campo de telefone na demo do made4graph.-Alterado o new nas releases das notas de atualizações.-Alterado a responsividade da tela de login. Made4Flow V2 – Versão 2.0.2 (11/04/2023)Adicionado-Adicionado a variável “start” para o template de aviso de anomalia no Telegram.Alterado-Alterado o redirecionamento do link “Clique aqui” na tela de leads da demoCorrigido-Corrigido as datas nas telas de edições.-Corrigido a duplicação de prefixo no botão “Importar prefixos por WHOIS”. Links para as wikis publicas: https://wiki.made4it.com.br/pt-br/notas_da_versao/made4graphhttps://wiki.made4it.com.br/pt-br/notas_da_versao/made4flow_v2 Demos:https://demo.made4flow.com.br/demohttps://demo.made4graph.com.br/demo
Ação social – Edhucca
A Made4it, uma empresa de tecnologia sediada em Apucarana/PR, realizou recentemente uma ação social em parceria com o Sindicato da Indústria de Tecnologia da Informação do Paraná (TI Parana), Governança de TIC de Apucarana, ACIA, Conecta e APL de TIC Londrina para ajudar a ONG Edhucca, sediada também em Apucarana, no Paraná. A ação consistiu na doação de 30 computadores pela TI Parana, que foram entregues para a instituição. A Edhucca é uma organização não governamental que atua há mais de 20 anos na cidade de Apucarana, Paraná, com o objetivo de promover a inclusão social e desenvolver habilidades profissionais em jovens e adultos em situação de vulnerabilidade social. Com a doação, a Edhucca poderá ampliar sua oferta de cursos e treinamentos, beneficiando ainda mais pessoas em busca de oportunidades. O curso de Dev + Infraestrutura, que será oferecido pela Edhucca com a ajuda dos computadores doados, tem como objetivo capacitar os alunos para atuar na área de tecnologia da informação, especificamente no desenvolvimento de softwares e na administração de infraestrutura de sistemas. A iniciativa é fundamental para a inclusão digital e para a formação de profissionais qualificados em uma área que está em constante crescimento. A Made4it, por sua vez, reforça seu compromisso com a responsabilidade social e a sustentabilidade ao promover uma ação que traz benefícios diretos para a comunidade local. A empresa acredita que a tecnologia pode ser uma ferramenta poderosa para transformar vidas e incentivar o desenvolvimento social e econômico das regiões onde atua.
Provedores de internet enfrentam nova onda de ataques DDoS
Falta de cuidados com equipamentos, serviços e a configuração de blocos de endereçamento IP tem colocado ISPs sob risco iminente de ataques distribuídos de negação de serviço Provedores de serviços de internet (ISPs, na sigla em inglês) estão sob risco iminente de ataques distribuídos de negação de serviço (DDoS) em larga escala e isso, em grande parte, se deve à falta de cuidados com equipamentos, serviços e a configuração de blocos de endereçamento IP. No ano passado, diversos provedores brasileiros passaram por momentos difíceis enfrentando ataques de DDoS em sua estrutura, fato que gerou diversas publicações em redes sociais, jornais e programas de TV. Recentemente, no final de fevereiro, uma nova onda de ataques voltou a assolar diversos ISPs, com vários relatos envolvendo provedores do Rio de Janeiro que, inclusive, têm se manifestado publicamente, informando os clientes que estão enfrentando sérios problemas no fornecimento dos serviços devido a esses ataques. A vítima não é necessariamente o alvo Apesar dos transtornos que causam às operações de provimento de internet, os ataques DDoS direcionados aos ISPs, ao contrário do que se imagina, não têm necessariamente como alvo os provedores. Na maioria dos casos, o objetivo dos grupos hackers é usar a infraestrutura dessas empresas para atacar os verdadeiros alvos, que geralmente são as grandes corporações multinacionais. Equipamentos com configurações inadequadas ou incorretas e descuidos humanos, normalmente são fatores que facilitam as explorações e o “recrutamento” dessa infraestrutura para o submundo do crime. Durante ataques DDoS em grande escala, as vítimas costumam ser acometidas por um alto volume de requisições, provenientes de milhares, às vezes, dezenas de milhares, de origens diferentes, geralmente espalhadas pelo mundo todo. Medidas e estratégias de mitigação que dependem do trabalho humano para a identificação das fontes dos ataques se tornam ineficazes diante do enorme poder de fogo dos hackers, já que provêm de milhares de origens maliciosas diferentes, as quais passam a chegar repentinamente na infraestrutura da vítima. Por isso o ideal é contar com a ajuda de um sistema Anti-DDoS. Ataques DDoS espalhados por 181 países No dia 12 do mês passado, cerca de duas semanas antes da nova onda de ataques DDoS ser divulgada publicamente, a Hacknet, rede neural artificial voltada à identificação de atividades hackers no mundo, identificou e mapeou uma grande rede com mais de 40 mil servidores, espalhados por 181 países, que estavam sendo usados para gerar ataques de DDoS. A notícia foi divulgada no site e nas redes sociais da empresa NetSensor, que é a mantenedora dessa rede neural, juntamente com um link para download da lista dos IPs que estavam sendo usados nos ataques, de maneira que os profissionais de segurança pudessem tomar medidas preventivas de proteção. A NetSensor trabalhou a lista de dispositivos que estavam sendo explorados, enriqueceu com mais dados e enviou comunicados privados para os endereços cadastrados como forma de contato para cada um dos blocos de endereçamentos IP. No Brasil foram mais de mil empresas envolvidas, o que resultou em mais de 1.600 e-mails de contato, nos quais a NetSensor emitiu o alerta, passou informação sobre o dispositivo e se colocou à disposição para maiores esclarecimentos. O resultado das notificações surpreendeu negativamente, com coisas como: O retorno mais triste foi o do responsável pelo bloco de um provedor, que apenas escreveu: “remova meu e-mail da lista por gentileza”. Poucas empresas adotam postura séria Houve também algumas empresas que retornaram de forma positiva ao alerta. Algumas encaminharam o caso para o responsável pelo dispositivo que estava usando o IP, outras pediram mais informações sobre o caso e, ainda, algumas agradeceram o alerta e disseram que iriam analisar o caso e tomar as medidas necessárias. Infelizmente o percentual de empresas com essa postura mais séria e profissional ficou por volta de 0,5%. Diante desse cenário, as empresas de modo geral precisam ter em mente que o crime cibernético se especializou muito nos últimos anos, se tornou altamente organizado, estruturado, inteligente e rentável. Portanto, para estar à altura de enfrentar e se defender desses cibercriminosos, é preciso desenvolver técnicas, conhecimento e lançar mão de recursos com inteligência que se equiparem ao nível dos nossos ofensores. Ou seja, buscar novas abordagens e tecnologias capazes de ajudar na defesa contra as novas ameaças, que, atualmente, não se consegue enfrentar de maneira eficaz. Além disso, os descasos, imperícias e negligências que se verifica em relação às redes, equipamentos e serviços, não podem mais ser admitidos. Só assim haverá chances de êxito para enfrentar as ameaças que nos rondam, vindas do submundo da internet. Fonte: https://www.cisoadvisor.com.br/provedores-de-internet-enfrentam-nova-onda-de-ataques-ddos/ Como proteger o seu provedor de ataques DDoS Assim como existem as ferramentas do atacante, também temos ferramentas e meios para proteger o provedor. O que precisamos é mitigar o ataque, que consiste em proteger o alvo dos ataques DDoS. A Made4it possui a ferramenta certa para você, o Made4Flow!Com o Made4Flow você consegue detectar os ataques e tomar uma ação para proteger o seu provedor. Conheça os benefícios do anti-DDoS para provedores de internet:
O que há de novo no Zabbix 6.4?
A nova versão se concentra na simplificação da configuração do Zabbix, permitindo que o Zabbix propague instantaneamente as alterações de configuração em ambientes grandes e distribuídos, além de simplificar os fluxos de trabalho de atualização do software. As organizações que utilizam LDAP ou SAML se beneficiarão dos novos recursos de provisionamento de usuários Just-in-time (JIT), permitindo que os administradores de TI propaguem os usuários do Zabbix utilizando mecanismos centralizados de autenticação de usuários. Esta atualização também contém vários templates e integrações para os fornecedores e provedores de nuvem mais populares, como Veeam, AWS, Azure, Cisco e muitos outros. Provisionamento de usuários Just-in-time (JIT) Crie e atualize automaticamente seus usuários do Zabbix com o novo recurso de provisionamento de usuários Just-in-time para LDAP e SAML: Eventos de causa e sintomas Para permitir uma visão geral dos problemas e opções de filtragem melhor, bem como identificar causa raiz de problemas, os eventos de problema agora podem ser marcados como eventos de causa ou sintoma: Propagação instantânea de alterações na configuração Sincronize instantaneamente suas alterações de configuração para Zabbix Agent e Proxy, executando em modos ativo ou passivo. Os proxies ativos e passivos do Zabbix agora podem capturar qualquer alteração de configuração feita em sua instância do Zabbix quase que instantaneamente: O agente ativo do Zabbix agora recebe uma cópia completa de configuração somente quando são feitas alterações de configuração entre os intervalos de sincronização de configuração: Atualização do Zabbix sem downtime Para melhorar os fluxos de atualização de componentes do Zabbix (especialmente para ambientes grandes), os proxies agora são retrocompatíveis dentro do mesmo ciclo de lançamento LTS: Melhorias de velocidade e desempenho na descoberta e coleta de dados SNMP em massa Uma nova maneira de coletar uma grande quantidade de métricas SNMP em massa com o mínimo impacto de desempenho no endpoint monitorado, utilizando solicitações GetBulk: Novo layout do menu O layout do menu do Zabbix foi redesenhado. O objetivo do novo layout do menu é fornecer acesso lógico e consistente aos principais recursos do Zabbix: Transmissão em tempo real de métricas e eventos HTTP Transmita em tempo real métricas e eventos do Zabbix para sistemas externos via HTTP: Versionamento de Template O versionamento de templates foi introduzido para melhorar e tornar mais fácil o gerenciamento de templates: Framework de desenvolvimento para criação de widgets do Zabbix Foram feitas várias mudanças de design com o objetivo de simplificar o fluxo de trabalho para a criação de widgets personalizados no Zabbix: Interfaces opcionais para verificações originadas pelo servidor. Uma interface de host não é mais necessária para tipos de itens relacionados a coletas iniciadas diretamente do Zabbix Server ou Zabbix Proxy: Configuração simplificada de tipos de mídia para vários provedores de serviço de e-mail O Zabbix 6.4 simplifica o fluxo de trabalho de configuração de um novo tipo de mídia de e-mail, permitindo que você selecione entre vários provedores de serviços de e-mail pré-configurados: Templates e integrações adicionais O Zabbix 6.4 chega com muitos templates novos para os provedores de nuvem e fornecedores mais populares: O Zabbix 6.4 introduz uma integração de webhook para o aplicativo de mensagens Line, permitindo que os eventos do Zabbix sejam encaminhados para o aplicativo Mudanças e melhorias adicionais A Made4it é uma empresa de tecnologia que se orgulha em ser parceiro certificado da Zabbix, uma das mais renomadas plataformas de monitoramento de redes do mundo. Como parceiros certificados, nossos profissionais estão altamente capacitados para fornecer soluções personalizadas e adequadas às necessidades específicas de cada cliente. Nossas soluções para monitoramento de rede são abrangentes e incluem desde a configuração básica até a implementação de soluções avançadas para redes de grande porte. Com a Made4it, você pode ter certeza de que seu sistema está sendo monitorado 24 horas por dia, 7 dias por semana, garantindo a segurança e o bom desempenho da sua rede. Além disso, temos uma equipe de suporte altamente qualificada que está sempre pronta para ajudar em caso de problemas ou dúvidas. Com a Made4it, você pode ter a tranquilidade de saber que está em boas mãos. Não perca mais tempo e conheça nossos serviços de monitoramento de rede. Entre em contato conosco hoje mesmo e saiba como podemos ajudar a sua empresa a alcançar um desempenho ainda melhor!
Túnel GRE + IPSec entre Cisco IOS e Huawei NE40
Neste post iremos discutir um cenário muito comum (e pouco documentado), que é utilizar um túnel GRE protegido com IPSec entre um roteador Cisco IOS ASR1002 e um Roteador Huawei NE40. A topologia deste exemplo é descrita abaixo. Ela foi mantida simples para que possamos discutir os detalhes do GRE+IPSEC, sem entrar nos demais pontos da rede. Nela temos o roteador Cisco com endereço IP público 198.51.100.2 e o roteador Huawei NE40 com o IP público 203.0.113.66. Ambos estão conectados à Internet, e com conectividade entre si. Precisamos estabelecer um túnel GRE entre os roteadores e protegê-lo através do IPSec no modo tunnel. O endereçamento do túnel é 172.31.31.0/30. Informações importantes sobre licença/módulos Veja com o fabricante dos seus equipamentos se não é necessário algum tipo de placa de serviços, ou licença. No caso dos equipamentos deste laboratório, o roteador NE40-M2K não precisou de módulo físico adicional, apenas a licença de IPSec. No roteador Cisco também não foi necessário licença, pois o IOS dele já estava no ADVIPSERVICES-K9 (que contém toda a base para o Ipsec). *informação útil*: se quiser rodar IKEv1, no roteador Huawei você precisa de um módulo de software para IKEv1 (que você consegue com o fornecedor Huawei). Configurações do Cisco IOS XE Vamos lá então configurar o roteador Cisco para estabelecer a VPN. Não vou entrar em detalhes das interfaces físicas, somente da VPN. No final do artigo tem um bloco com a conf pertinente delas. Configurações de fase 1, de acordo com a tabela acima: Tudo o que estiver acima é relativo à Fase 1. Então quando estiver diagnosticando problemas, e ele for desta fase, já sabe onde mudar 🙂. Agora, configurando a fase 2: Simples demais no Cisco! Vamos agora combinar as duas fases em um profile: Criando o túnel GRE e adicionando a proteção IPSec: Configurações do Huawei Vamos lá então configurar o roteador Huawei para estabelecer a VPN. Assim como do Cisco, não vou entrar em detalhes das interfaces físicas, somente da VPN. No final do artigo tem um bloco com a conf pertinente delas. A configuração no roteador Huawei é um pouco mais complexa, pois ele cria um túnel para o protocolo GRE, e um túnel para o IPSec. Além disso, queremos usar o mesmo IP para ambos os túneis, sendo necessária uma VRF. 😮 Criando o service instance para uso da VPN (aplicavel somente no NE40): Subindo a nova VRF (vpn-instance): Criando as duas interfaces Loopback com o mesmo IP (magias da VRF). A looback com o túnel IPSec ficará na tabela de roteamento pública, enquanto que a com o túnel GRE ficará na tabela VPNA. Agora sim chegamos ao IPSec. A ACL de tráfego interessante define o tráfego que será protegido pelo IPSec. No caso então, teremos o tráfego GRE entre os IPs do site A e site B. Perceba que só faço a comunicação em um sentido – o sentido do roteador protegendo o tráfego dele). A ACL acima pode ser lida assim: “Proteja os dados do protocolo GRE, vindo da VRF vpna entre a origem 203.0.113.66 e o destino 198.51.100.2” Partimos agora para criar a fase 1 (lembra que no Cisco já até começa com ela, muito mais simples). No meio dela tem algumas configurações de binding de VPN-Instance, por conta da VRF criada. Tudo o que estiver acima é relativo à Fase 1. Então quando estiver diagnosticando problemas, e ele for desta fase, já sabe onde mudar 🙂. Seguimos para a fase 2: Vamos agora combinar as duas fases em um profile: Criando os túneis GRE e IPSEC. Vamos lá para não confundir: Tunnel 900 – é um túnel GRE, operando por dentro da vpna. Tunnel 10 – é um túnel IPSec, operando na tabela global A ideia na Huawei é de que exista um túnel IPSec rodando por fora, e um segundo túnel GRE por dentro, um encapsulado no outro. Mas o engraçado é que o túnel GRE roda fora da VRF, e o ipsec dentro. Baguncinha, né? Então o tunnel900 que é o GRE (e que recebe os IPs do /30) usa um destino que vai por dentro da VPNA. E dentro da VPNA o destino é alcançado pelo túnel IPSec. Também observe que a policy de IPsec foi associada ao tunnel 10, utilizando o profile que foi criado. Por fim, e não menos importante, uma rota que tem uma certa complexidade em si mesma: dentro da instancia VPNA, eu digo que para chegar ao peer remoto, eu utilizo a interface de IPSec recém-criada, com o next-hop o próprio peer. E assim configuramos o roteador Huawei. Vamos ver se subiu agora. Validação do funcionamento No processo de validação do túnel, devemos sempre lembrar que cada fase e etapa depende do estabelecimento completo da outra, logo, não adianta querer ter conectividade se a fase 1 ainda não estabeleceu a comunicação. Em ambos os roteadores, vamos validar em sequência: Vamos lá para os testes. Checagem Cisco Validando a conectividade via ICMP ping Checando se o IKEv2 estabeleceu na Fase 1: Quando não aparecer nada na saída, ou ele não estiver em ready, quer dizer que alguns dos parâmetros da Fase 1 não casaram. Confira em ambos os lados se eles estão de acordo. Continuamos a validação na Fase 2: Na saída acima, vemos que os roteadores trocaram o contrato de “tráfego interessante”. Cada lado se comprometeu a proteger um sentido da comunicação GRE. Em sequência ainda na Fase 2, existem alguns contadores muito importantes que se referem a pacotes enviados/recebidos/encapsulados/encryptados/verificados. Ele fica na saída do comando “show crypto ipsec sa”. Vamos ver eles. Quando estes contadores não estão incrementando, ou ainda incrementando falhas, é porque alguma configuração da Fase 2 não está casando. Um bom exemplo seria somente o contador de encaps/encrypt ser incrementado, e enquanto o decaps/decrypt ficando zerado. Isto vai ser um problema da ACL de tráfego interessante que está divergindo em ambos os lados. Ou bloqueio da comunicação na rede de transporte ou ainda outros fatores que não vamos tratar aqui. Se
Lançamento Made4Flow v2
É com muito orgulho que anunciamos o lançamento da versão 2 do Made4Flow e Anti-DDoS. Trazendo diversas melhorias, essa versão traz novas funcionalidades e otimizações. Com um visual bem mais atrativo e opção de customização interativa das Dashboards, o Made4Flow v2 se destaca com sua interface muito mais polida e refinada, e também muito mais rápida e dinâmica comparado ao seu antecessor.
O que é TR-069 e como ele pode ajudar os provedores
TR-069 é um protocolo de gestão de dispositivos de rede. Ele permite que provedores de serviços de internet gerenciem e configurem dispositivos de rede, como roteadores e modems, remotamente.
Com TR-069, os provedores podem automatizar tarefas de configuração, monitoramento e manutenção dos dispositivos de rede, o que ajuda a garantir que os serviços de internet funcionem de maneira consistente e eficiente. Além disso, TR-069 também permite aos provedores coletar dados de desempenho dos dispositivos, o que os ajuda a identificar e resolver problemas de maneira rápida e eficiente.
Em resumo, TR-069 é uma ferramenta valiosa para provedores de serviços de internet, pois permite automatizar e gerenciar dispositivos de rede de forma remota, coletar dados de desempenho para identificar e resolver problemas rapidamente, automatizar atualizações de software e firmware e oferecer soluções de gerenciamento de rede para seus clientes, o que pode ajudar a reduzir custos, aumentar a eficiência operacional e aumentar a satisfação e a fidelidade dos clientes.
