Múltiplas camadas de defesa: A complementaridade do Firewall e do IPS

Não há muita discussão no que diz respeito à possibilidade de um Sistema de Prevenção de Intrusão (IPS) complementar o trabalho realizado por um firewall stateful. No entanto, é bem comum que se presenciem discussões de cunho quase filosófico sobre o posicionamento relativo de tais elementos em uma topologia de rede. O propósito do presente artigo é discutir as duas opções clássicas e caracterizar porque uma delas se mostra a mais natural. (Não que você precise concordar comigo… )

As duas disposições tradicionais são representadas na Figura 1, na qual os conceitos de “antes” e “depois” estão relacionados com o sentido de criação da conexão de uma máquina cliente para um servidor que se deseja proteger.

No primeiro arranjo, apenas o tráfego permitido pelo firewall é passado ao IPS, o qual, por sua vez, tem função de promover uma inspeção mais detalhada. Imagine, por exemplo, que se tente fazer um telnet, a partir de uma máquina externa, a um servidor web localizado na DMZ. O firewall poderia bloquear tal acesso sem necessidade de uso de qualquer funcionalidade mais elaborada do IPS.
Já no segundo modelo, todos os pacotes passariam inicialmente pelo IPS antes de chegarem à interface outside do firewall. Em algumas situações cheguei a ouvir que a razão de se ter o IPS na rede outside era permitir que ele “protegesse” o firewall ou que limitasse as novas conexões para tal dispositivo…

Refletindo por um instante sobre a atuação dos equipamentos de rede no contexto do modelo de camadas TCP/IP, podemos perceber que a complexidade de operação ( e conseqüente impacto em recursos tais como CPU) aumenta na seguinte ordem: Switch LAN (L2) < Roteador < Firewall < IPS. Os sistemas IPS concentram seus recursos de análise nas camadas de rede, transporte e aplicação. Além disso mantém informação de estado (stateful pattern matching), realizam detecção de anomalias e, após tais tarefas, ainda precisam encaminhar os pacotes permitidos (na camada de enlace). Tantas atribuições acabam significando que a mais alta performance atingida por um IPS (num dado momento) é aproximadamente 4 ordens de grandeza menor que a do maior switch ou roteador da época e cerca de 1/10 da performance do maior firewall disponível. A última comparação é ainda mais favorável ao firewall se as métricas de conexões por segundo (CPS) e pacotes por segundo (pps) forem levadas em conta, conforme já discutido no artigo “Considerações sobre desempenho de Firewalls” (http://wp.me/p1loe7-15). Uma outra forma de avaliar o cenário é pensar que se fosse possível construir um IPS com a mesma performance do maior roteador disponível, o custo por Gbps protegido pelo IPS seria certamente muito maior do que o custo por Gbps encaminhado pelo roteador. (Não há mágica aqui… Toda a capacidade de análise de padrões e contexto de um IPS exige módulos de hardware e software complexos, o que naturalmente acarreta custos extras). Mas de onde vem a (eventual) percepção de que um IPS teria maior desempenho que o Firewall ? (- Seria natural ter o IPS antes do Firewall ?) Enxergo duas possíveis explicações: Em um grande número de empresas a solução de IPS foi comprada (ou implementada) bem depois que o firewall já estava em uso. Essa diferença de fase entre os projetos de Firewall e IPS pode ter contribuído para que o IPS fosse selecionado entre as ofertas mais modernas do mercado ao passo que o firewall era um pouco antigo (no que diz respeito a desempenho). Os parâmetros utilizados para análise provavelmente foram restritos a throughput (Gbps), de modo que foi negligenciado o fato de que um IPS tem natureza stateful. ( Conforme já mencionado, CPS é um atributo chave na avaliação de qualquer elemento stateful). Uma opção que pode ser interessante para prover visibilidade adicional é representada na Figura 2. O IPS está localizado depois do firewall e um IDS (Intrusion Detection System) foi acrescentado à rede externa (em modo passivo, sem bloqueio de conexões). Desta forma pode-se obter informação sobre tentativas de ataque (inclusive direcionados a alvos entre o roteador e o firewall). O desafio é justamente ter uma equipe (tipicamente um Grupo de Resposta a Incidentes) que possa tirar proveito dos dados coletados.

Se você ainda não está convencido sobre qual seria a opção mais natural, imagine a alegoria proposta na Figura 3. Considerando que o controle de passaporte (ou mesmo o check-in) corresponde ao firewall e que o sistema de raio-X represente o IPS, apenas quem teve acesso concedido ao portão de embarque será submetido à inspeção avançada. Lembre-se de sua experiência em aeroportos e considere a inversão dos processos: todos que chegam ao terminal passam inicialmente pelo raio-X, independentemente de terem viagem marcada…

O modelo que emprega o Sistema de Prevenção de Intrusão após o firewall é adequado tanto em projetos em que os equipamentos são distintos quanto naqueles em que o IPS consiste em um módulo do firewall. Na segunda opção é ainda comum que o firewall selecione os tipos de tráfego que serão direcionados ao IPS (em vez de se fazer o espelhamento completo), ação esta que também contribui para um melhor uso dos recursos de IPS.

** Artigos Relacionados:

Posts em Português: http://alexandremspmoraes.wordpress.com/category/portugues/
Segurança para Comunicações Unificadas: o que esperar do seu Firewall ? (http://wp.me/s1loe7-1064)
Revisiting Firewall Performance Parameters: https://supportforums.cisco.com/docs/DOC-16954
** Recursos Adicionais:

Gravação webex (slides/áudio) sobre Cisco ASA (contemplando IPS): https://cisco.webex.com/ciscosales-pt/lsr.php?AT=pb&SP=EC&rID=61682667&rKey=a32c95c9e790dbc6
Informação sobre IPS na família Cisco ASA: http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5729/ps5713/ps407

Quer saber mais? Acesse: AlexandreMoraes

Segurança para Comunicações Unificadas: o que esperar do seu Firewall ?

Em um artigo anterior, apresentamos os conceitos básicos de VoIP, Telefonia IP e Colaboração (http://wp.me/p1loe7-c2) e caracterizamos o papel das redes convergentes como plataforma de negócios. Não é necessária uma longa reflexão para concluir que um tal apelo negocial vem acompanhado da necessidade de se prover segurança para o transporte integrado de vídeo, voz e dados.

Seguindo o clássico raciocínio de que é recomendável criar “camadas de segurança”, resumimos a seguir algumas iniciativas relevantes no que concerne à Segurança de Telefonia IP:

Separação das VLANs de voz e dados nas portas de acesso dos switches LAN (usando o conceito de “Voice VLAN“)
Prover proteção contra as técnicas que podem induzir um redirecionamento de tráfego em ambientes de switches LAN (mesmo sem necessidade de configuração explícita de espelhamento de portas). Exemplos de ataques em um tal categoria são ARP Cache Poisoning (combatido com Dynamic ARP Inspection) e emulação do servidor DHCP (combatido com DHCP Snooping).
Controle de acesso entre subredes associadas a voz e dados.
Criptografia da voz para evitar a remontagem das conversações eventualmente capturadas
Proteção dos servidores que implementam as soluções de colaboração usando firewalls
Proteção das entidades de sinalização (Call Managers, gateways, gatekeepers, etc) por meio de firewalls.
A discussão de todas as técnicas que acabamos de elencar exigiria muitos artigos e, portanto, concentraremos nossa atenção na última delas. E uma das motivações para uma tal escolha é precisamente esclarecer o significado da expressão “inspeção avançada dos protocolos de telefonia“, sempre presente nos descritivos técnicos dos firewalls disponíveis no mercado (mas quase nunca detalhados).

A esta altura, alguém que já conheça os princípios básicos de segurança de redes pode estar se perguntando: ” – Se voz e vídeo são apenas novas aplicações que usam o transporte convergente, por que precisariam de um tratamento especial ao atravessar um firewall…? A resposta está relacionada à forma com que os protocolos de sinalização de Telefonia IP (que podem usar transporte TCP ou UDP) negociam as portas UDP destinadas aos canais de mídia (RTP/RTCP):

Se os firewalls inseridos entre os elementos de sinalização não entenderem perfeitamente a natureza do protocolo em uso (SCCP, SIP, H.323 ou MGCP), não serão capazes de criar corretamente as conexões RTP/RTCP. E, bem sabemos, deixar um intervalo de portas UDP previamente aberto não é uma boa idéia se você tem intenção de implementar uma política de firewall que tenha alguma dignidade…
Apesar de sempre mencionarmos a criação das conexões, também é vital (tanto sob a ótica de segurança como de liberação de recursos) que elas sejam terminadas dinamicamente. Para materializar tal possibilidade é importante que o firewall suporte timeouts diferenciados para as sessões de controle e mídia.
Os protocolos de sinalização de voz tipicamente incluem o endereço IP em seu payload (camada de aplicação). Desta forma, caso as comunicações se estabeleçam em ambientes com NAT ou PAT, é fundamental que o firewall tenha consciência de tais características para que possa efetuar as traduções de endereços IP nas camadas 3 e 7 simultaneamente.
Um dos atrativos de Telefonia IP é a capacidade de prover confidencialidade para a voz transportada, usando, por exemplo, sinalização sobre TLS (Transport Layer Security) para então derivar os canais Secure RTP (SRTP) para mídia (vide figura 3). O desafio em uma tal situação é que muitos firewalls não conseguem entender a sinalização cifrada e teriam, portanto, que deixar um grande número de portas UDP (associadas ao SRTP) abertas. Isso, em termos práticos, significa abrir mão da criptografia de voz ou do stateful firewall.
Para auxiliar na compreensão dos principais conceitos da integração de firewalls a projetos de UC , passaremos agora à análise de alguns modelos de topologia: um primeiro, contendo apenas telefones IP, e um mais abrangente, prevendo a existência de gateways de voz e comunicação com a rede pública de telefonia (PSTN). Por último (Figura 3), examinaremos a situação de agregar criptografia a fluxos de voz que atravessam o firewall.

A Figura 1 ilustra um cenário simples em que dois IP Phones SCCP (Skinny), que residem em redes diferentes, precisam se comunicar em uma topologia protegida por um Cisco ASA. A figura caracteriza a situação inicial (apenas sinalização) e um momento seguinte, com uma ligação estabelecida. (Note que o firewall identifica claramente as portas associadas a áudio). Para fins práticos, vale citar que, além da permissão para registro dos telefones e execução de chamadas (porta de serviço TCP/2000 na direção do telefone ao CUCM ), você precisará criar regras que permitam o uso dos serviços auxiliares:

TFTP (dos telefones para o CUCM): neste caso, as atribuições principais do servidor TFP são a transferência de arquivos de firmware e configuração para os telefones.
Resolução DNS do nome do CUCM ( e eventuais serviços complementares).
DHCP é a escolha tradicional para endereçamento dos IP phones. A opção DHCP 150 informa os telefones sobre o endereço IP do servidor TFTP. Tal funcionalidade pode ser habilitada por interface no próprio Cisco ASA.

Há ambientes com complexidade bem superior ao que foi mostrado na Figura 1, exigindo alta capacidade de coordenação por parte do firewall. Isso costuma ocorrer porque, mesmo depois de ter migrado toda a sua rede para telefonia IP, você ainda precisará integrá-la com as redes tradicionais de telefonia, fato este que exige a inclusão dos gateways de voz . Se você estiver usando o conjunto de padrões H.323, por exemplo, a primeira tarefa adicional é decidir se os gateways se comunicarão diretamente com o CUCM ou se haverá o uso de um gatekeeper.

Dentre os protocolos definidos no framework H.323, alguns são de particular relevância para redes VoIP/IPT:

Os dois modelos H.323 brevemente descritos são ilustrados na Figura 2. A principal razão para incluir tal exemplo está relacionada com a tentativa de enfatizar que o firewall deve ser capaz de analisar as várias etapas de sinalização e manter o processo de chamadas o mais transparente possível para os usuários finais.  Note que há várias entidades de sinalização envolvidas (CUCM, gateways, gatekeeper), as quais normalmente estão situadas em diferentes interfaces do firewall. Além disso, o objetivo final (após inspecionar as várias mensagens de controle) é estabelecer a chamada entre os telefones (os quais também podem estar localizados em interfaces diferentes).

Cumpre ainda ressaltar que o Cisco Unified Communications Manager (CUCM) pode operar simultaneamente como controlador de chamadas que usem qualquer dos protocolos mencionados (SCCP, SIP, H.323 e MGCP), o que permite seu uso como elemento de interworking entre tais tecnologias. Mais interessante ainda é o fato de o Cisco ASA poder ser incorporado a um tal cenário sem qualquer perda de funcionalidade.

 

A Figura 3 traz um cenário que envolve troca de sinalização sobre TLS (TCP 2443 para SCCP/TLS ou TCP/5061 para SIP/TLS) e posterior estabelecimento do canal SRTP através do firewall. Basicamente, o firewall se apresenta como CUCM para os telefones (usando os certificados apropriados) e simula ser um telefone para o CUCM. Após criação de tais relações de confiança, os telefones podem se registrar de forma segura e criar as sessões SRTP pertinentes.

Lembrando que as chaves para criptografia de voz são geradas durante o processo de sinalização, usar mensagens de controle em clear text não é uma abordagem conveniente. (Daí o fato de se recorrer ao transporte sobre TLS).

 

Para sintetizar o que foi exposto até aqui, achei interessante criar uma espécie de resumo sobre o que não pode faltar no seu firewall para telefonia, usando como exemplo o protocolo SIP (pois sua tendência de adoção é crescente):

Para ir um pouco além do que foi tratado no presente post, sugiro a leitura do texto Firewalls and UC Security (artigo que escrevi para a Cisco Support Community): https://supportforums.cisco.com/docs/DOC-24159

** Leitura Adicional:

Quer saber mais? Acesse:Alexandre Moraes

PORQUE CUIDAR BEM DOS DADOS DE SUA EMPRESA?

Segundo Sêmola (2003) a segurança da informação é uma área de conhecimento dedicada à proteção de ativos da informação contra acessos não autorizados, alterações indevidas ou sua indisponibilidade, como pratica de gestão de riscos de incidentes que atinjam diretamente a confidencialidade, integridade e disponibilidade da informação. Já para Beal (2004) segurança da informação é uma área de gestão da informação onde o objetivo é garantir a proteção da informação conforme os requisitos de sigilo, integridade, autenticidade, disponibilidade e irretabilidade da comunicação. As duas definições são coerentes, mas nesse caso fico com a definição de Marcos Sêmola, pois a mesma esta perfeitamente de acordo com a norma NBR ISO/IEC 17799:2001, que define a informação como um ativo importante para os negócios que consequentemente necessita ser protegido. Como podemos analisar no texto acima, a segurança da informação tem como objetivo a preservação da Confidencialidade, integridade e disponibilidade. Confidencialidade segundo a norma significa, “[…] garantir que as informações estejam accessíveis apenas para aqueles que estão autorizados. (NBR 17799, 2000, p. 14) Segundo Sêmola (2003) integridade é a proteção contra alterações indevidas, intencionais ou acidentais, a informação deve ser mantida na mesma condição em que foi disponibilizada.

A disponibilidade é a garantia de que os usuários terão acesso às informações no momento em que os mesmos precisem, para qualquer finalidade. Para Sêmola (2003) ameaças são condições ou agentes que causam incidentes e comprometem as informações e seus ativos por meio da exploração de uma vulnerabilidade, provocando assim perdas de confidencialidade, integridade e disponibilidade causando impactos nos negócios de uma organização. As ameaças podem vir de várias origens como espionagem, vandalismo sabotagem, fraudes, incêndio e inundações. Outras origens como vírus, hacking e ataques de paralisação de serviços estão se tornando cada vez mais comuns e sofisticados, as ameaças estão divididas em Naturais, Involuntárias e Voluntárias. (SÊMOLA, 2003)

Porque A Segurança Da Informação É Necessária

Em 11 de Setembro de 2001, acontecia um das maiores tragédias da humanidade, a queda do Word Trade Center conhecido também como torres gêmeas. Ali existiam diversas empresas de diversos ramos, todas com um problema imediato – primeiro, encontrar os empregados sobreviventes e, segundo, recuperar os dados para colocar a empresa de novo em operação. Uma dessas empresas chama-se OUB – Overseas Union Bank, com sede em Cingapura. O banco possuía um escritório no 39º andar do Word Trade Center. Assim que a noticia chegou a Cingapura as 21h30min horário local, o plano de continuidade dos negócios do banco foi posto em ação. Uma equipe de recuperação em Nova York foi mobilizada em minutos. Mesmo com pontes, túneis e estradas interrompidas no final do dia a uma distancia de três quilômetros de Wall Street a equipe havia reconstruído a empresa. Com o novo plano de recuperação, um local temporário foi estabelecido e os dados reconstruídos, o tempo em que o banco retornasse as suas operações normais foi relativamente pequeno, e os danos mínimos. Outros não obtiveram bons resultados, como por exemplo, o escritório do Jan He Law, da China, que operava no 77º andar do Word Trade Center. Todos os arquivos da empresa, armazenados nos computadores, foram perdidos, a empresa perdeu até a própria agenda com os telefones dos clientes da empresa, eles não tinha backup em outro local, os prejuízos foram irreversíveis. (TURBAN,2003)

No ocorrido acima podemos ver como a segurança da informação exerce um papel fundamental para uma organização. A informação, sistemas e redes são importantes ativos para os negócios. Mas muitos sistemas de informação não foram projetados para serem seguros. (NBR 17799, 2001, P.2). Assim, podemos perceber como é importante um plano de backup e vou mais além, um plano  de continuidade dos negócios, pois em nossos dias a informação é primordial, a falta dela pode levar uma organização a falência. A informação quando utilizada por pessoas não autorizadas tambem pode trazer danos ao patrimonio, pois pode manchar a imagem de uma organização. Rescentemente o HD de meu laptop queimou, onde haviam inumeras fotos e documentos, graças ao meu backup obtive todos os dados com sucesso, pare e pense se coloque em meu lugar, agora imagine esse cenario em uma empresa que tem um faturamento mensal de alguns milhões, pensou  ?  Então, você faz parte disso, reveja suas estratégias.

Figura 02 – O World Trade Center em chamas, após o impacto do United Airlines Flight 175 à Torre Sul (direita), e após o American Airlines Flight 11 ter atingido a Torre Norte (esquerda).

 

Quer saber mais? Acesse:TIEspecialistas

Configurando 3G no Cisco 819

A Cisco conta com muitos modelos de roteadores com suporte a 3G. Os equipamentos da séries 1900, 2900 e 3900, por exemplo, podem receber placas HWIC com interfaces 3G. Outros modelos, como o 819, tem a interface 3G integrada.

Aliás esse é um roteador bem interessante, pois além da interface 3G (com suporte a dois SIM Cards), ainda tem uma interface Gigabit e uma serial, ambas para WAN, e 4 portas FastEthernet (LAN). Já falamos dele aqui no blog, inclusive.

Voltando ao assunto, a procura por equipamentos com interface 3G tem aumentado. Este tipo de solução vai bem para ambientes onde o tráfego WAN não é pesado, para locais onde outros tipos de link não chegam, ou ainda como opção de backup.

Inserindo o SIM Card

O primeiro passo é inserir o SIM Card no roteador. Para isso é preciso remover uma tampa que fica na parte debaixo do equipamento (quatro parafusos). Depois é só destravar e inserir o “chip”.

Com o SIM Card inserido, observe os LEDs (SIM / 3G) para ver se ele foi devidamente reconhecido. Também podemos usar o comando show cellular 0 network.

Chip devidamente reconhecido

brain819#show cellular 0 network
Current Service Status = Normal, Service Error = None
Current Service = Combined
Packet Service = HSPA (Attached)
Packet Session Status = Inactive
Current Roaming Status = Home
Network Selection Mode = Automatic
Country = BRA, Network = Claro
Mobile Country Code (MCC) = 724
Mobile Network Code (MNC) = 5
Location Area Code (LAC) = 33011
Routing Area Code (RAC) = 1
Cell ID = 15164
Primary Scrambling Code = 354
PLMN Selection = Automatic
Registered PLMN = , Abbreviated =
Service Provider = Claro BR
brain819#

Configurando 3G

A configuração do 3G é simples para quem está acostumado com o Cisco IOS e com a configuração de APNs em celulares.

Apesar desta configuração ter sido realizada no 819, acredito que não mude muito para os demais modelos.

1) No modo de configuração global, configure o script de inicialização do modem. Recomendo copiar e colar esta linha para não haver erro.

brain819(config)#chat-script gsm “” “atdt*98*1#” TIMEOUT 30 “CONNECT”

2) No modo de configuração privilegiado, crie um profile GSM, informando o número do profile, o nome da APN, tipo de autenticação, usuário e senha.

brain819#cellular 0 gsm profile create 1 claro.com.br PAP claro claro

Observe que foi utilizado um SIM Card da Claro. Se for o caso, faça as devidas alterações.

3) Configure o DDR – Dial-on-Demand Routing. Aqui podemos especificar que tipo de tráfego vai iniciar a conexão 3G, através da access-list.

brain819(config)#access-list 1 permit any
brain819(config)#dialer-list 1 protocol ip list 1

3.1) Configure a line 3 para permitir a conexão 3G, usando o profile criado anteriormente. Deve ser utilizada sempre a line 3.

brain819#conf t
brain819(config)#line 3
brain819(config-line)# exec-timeout 0 0
brain819(config-line)# script dialer gsm
brain819(config-line)# modem InOut

4) Entre no modo de configuração da interface, configure o PPP (usuário, senha, tipo de autenticação, ip address e async mode), e os parâmetros de dialer.

brain819#conf t
brain819(config)# int cellular 0
brain819(config-if)#ip address negotiated
brain819(config-if)#ip virtual-reassembly in
brain819(config-if)#encapsulation ppp
brain819(config-if)#dialer in-band
brain819(config-if)#dialer idle-timeout 200
brain819(config-if)#dialer string gsm
brain819(config-if)#dialer-group 1
brain819(config-if)#async mode interactive
brain819(config-if)#ppp chap hostname claro
brain819(config-if)#ppp chap password 0 claro
brain819(config-if)# ppp ipcp dns request

Observe que foi utilizado um SIM Card da Claro. Se for o caso, faça as devidas alterações.

5) A configuração do 3G foi finalizada no passo 4. Agora basta fazer a configuração comum para navegação (rota e NAT).

brain819#conf t
brain819(config)#access-list 101 permit ip any any
brain819(config)# ip nat inside source list 101 interface Cellular0 overload
brain819(config)# ip route 0.0.0.0 0.0.0.0 Cellular0
brain819(config)# int cellular 0
brain819(config-if)#ip nat outside
brain819(config)#int vlan 1
brain819(config-if)#ip nat inside

Do roteador podemos dar um ping 8.8.8.8 source vlan 1 para que a conexão seja inicializada. Se tudo estiver certo, basta navegar.

Troubleshooting

Podemos usar os comandos debug ppp authentication, debug ppp negotiation e debug chat line 3 para verificar a negociação PPP e a execução do script do modem.

Também temos o comando show cellular 0 all, que trás todas as informações relacionadas a interface cellular 0.

brain819#show cellular 0 all
Hardware Information
====================
Modem Firmware Version = K2_0_7_44AP C:/WS/FW
Modem Firmware built = 09/10/10
Hardware Version = 1.0
International Mobile Subscriber Identity (IMSI) = 724051104110118
International Mobile Equipment Identity (IMEI) = 354226045119503
Integrated Circuit Card ID (ICCID) = 89550532110000007890
Mobile Subscriber International Subscriber
IDentity Number (MSISDN) =
Factory Serial Number (FSN) = C9A175228751009
Modem Status = Online
Current Modem Temperature = 37 deg C, State = Normal
PRI SKU ID = 9993456, SKU Rev. = 1.3

Profile Information
====================
Profile 1 = ACTIVE*
——–
PDP Type = IPv4
PDP address = 187.70.181.104
Access Point Name (APN) = claro.com.br
Authentication = PAP
Username: claro
Password: claro

* – Default profile

Configured default profile for active SIM 0 is profile 1.

Data Connection Information
===========================
Data Transmitted = 404952 bytes, Received = 9503866 bytes
Profile 1, Packet Session Status = ACTIVE
IP address = 187.70.181.104
Negotiated QOS Parameters:
Precedence = High Priority, Delay = Class 2
Reliability = Unack GTP, LLC, RLC, Protected data
Peak = 256 kB/sec, Mean = 50000 kB/hr
Traffic Class = Interactive
Uplink Max = 1.8Mbps, Guaranteed = Subscribed
Downlink Max = 11.5Mbps, Guaranteed = Subscribed
Max SDU size = 1500 bytes
SDU error ratio = 1E-3, BER = 1E-5
Profile 2, Packet Session Status = INACTIVE
Inactivity Reason = Normal inactivate state
Profile 3, Packet Session Status = INACTIVE
Inactivity Reason = Normal inactivate state
Profile 4, Packet Session Status = INACTIVE
Inactivity Reason = Normal inactivate state
Profile 5, Packet Session Status = INACTIVE
Inactivity Reason = Normal inactivate state
Profile 6, Packet Session Status = INACTIVE
Inactivity Reason = Normal inactivate state
Profile 7, Packet Session Status = INACTIVE
Inactivity Reason = Normal inactivate state
Profile 8, Packet Session Status = INACTIVE
Inactivity Reason = Normal inactivate state
Profile 9, Packet Session Status = INACTIVE
Inactivity Reason = Normal inactivate state
Profile 10, Packet Session Status = INACTIVE
Inactivity Reason = Normal inactivate state
Profile 11, Packet Session Status = INACTIVE
Inactivity Reason = Normal inactivate state
Profile 12, Packet Session Status = INACTIVE
Inactivity Reason = Normal inactivate state
Profile 13, Packet Session Status = INACTIVE
Inactivity Reason = Normal inactivate state
Profile 14, Packet Session Status = INACTIVE
Inactivity Reason = Normal inactivate state
Profile 15, Packet Session Status = INACTIVE
Inactivity Reason = Normal inactivate state
Profile 16, Packet Session Status = INACTIVE
Inactivity Reason = Normal inactivate state

Network Information
===================
Current Service Status = Normal, Service Error = No PDP context activated
Current Service = Combined
Packet Service = HSPA (Attached)
Packet Session Status = Active
Current Roaming Status = Home
Network Selection Mode = Automatic
Country = BRA, Network = Claro
Mobile Country Code (MCC) = 724
Mobile Network Code (MNC) = 5
Location Area Code (LAC) = 33011
Routing Area Code (RAC) = 1
Cell ID = 15164
Primary Scrambling Code = 354
PLMN Selection = Automatic
Registered PLMN = , Abbreviated =
Service Provider = Claro BR

Radio Information
=================
Radio power mode = ON
Current Band = WCDMA 850, Channel Number = 4414
Current RSSI = -47 dBm
Band Selected = Auto
Number of nearby cells = 1
Cell 1
Primary Scrambling Code = 0×162
RSCP = -46 dBm, ECIO = -7 dBm

Modem Security Information
==========================
Active SIM = 0
SIM switchover attempts = 0
Card Holder Verification (CHV1) = Disabled
SIM Status = OK
SIM User Operation Required = None
Number of CHV1 Retries remaining = 3

GPS Information
==========================

GPS Info
————-
GPS State: GPS disabled

SMS Information
===============
Incoming Message Information
—————————-
SMS stored in modem = 1
SMS archived since booting up = 0
Total SMS deleted since booting up = 0
Storage records allocated = 20
Storage records used = 1
Number of callbacks triggered by SMS = 0
Number of successful archive since booting up = 0
Number of failed archive since booting up = 0

Outgoing Message Information
—————————-
Total SMS sent successfully = 0
Total SMS send failure = 0
Number of outgoing SMS pending = 0
Number of successful archive since booting up = 0
Number of failed archive since booting up = 0
Last Outgoing SMS Status = SUCCESS
Copy-to-SIM Status = 0×0
Send-to-Network Status = 0×0
Report-Outgoing-Message-Number:
Reference Number = 0
Result Code = 0×0
Diag Code = 0×0 0×0 0×0 0×0 0×0

SMS Archive URL =
brain819#

Outras informações sobre a configuração da interface 3G no 819 neste link

Até a próxima.

Quer saber mais? Acesse:BrainWork

Os diferenciais da rede sem fio Cisco

Desde sua criação, o padrão 802.11 e os equipamentos para rede sem fio vem evoluindo. E atualmente já vemos o interesse na substituição da rede cabeada por um rede totalmente sem fio.

Na minha opinião, ainda não estamos neste ponto, mas sem dúvida as redes sem fio hoje são bem estáveis e em alguns casos até podem ser uma opção a rede cabeada.

Talvez pensando nisso, e também de olho na explosão de dispositivos móveis, a Cisco tem investido pesado em novas funcionalidades para seus produtos sem fio.

Abaixo algumas das funcionalidades lançadas nos últimos dois anos, que fazem a diferença na solução sem fio da Cisco.

Bonjour Services Directory: A integração entre produtos Apple é fantástica, e um dos segredos por trás desta mágica é o Bonjour. Este protocolo permite que dispositivos Apple descubram automaticamente quais serviços estão disponíveis na rede. Porém, o Bonjour gera muito tráfego e foi criado para comunicação de equipamentos na mesma rede ( foi projetado para redes domésticas…).

Para melhorar o funcionamento do Bonjour em redes sem fio, foi criado o Bonjour Services Directory, que permite a redução do tráfego deste protocolo na rede e ainda permite o descobrimento de serviços entre dispositivos em redes diferentes, o que faz todo sentido em redes corporativas.

Neste blog do Cisco, mais detalhes sobre o Bonjour Service Directory.

CleanAir: O CleanAir é uma tecnologia criada pela Cisco, e implementada em hardware, que permite que o access-point identifique interferências não Wi-Fi. Ou seja, com ele é possível identificar dispositivos que utilizam a mesma frequência dos access-points (2.4 GHz e 5 GHz), sem respeitar o padrão 802.11.

Sem o CleanAir, apesar de interferir diretamente na utilização da rede sem fio, este tipo de interferência torna-se imperceptível.

O CleanAir é ainda uma ótima ferramenta para troubleshooting, permitindo identificar e localizar a fonte de interferência.

Mais detalhes sobre o Cisco CleanAir aqui.

ClientLink: O Beamforming é uma tecnologia onde o sinal do access-point “é direcionado para o cliente”, melhorando a qualidade do sinal recebido pelo client. Para funcionar precisa que o access-point e o client tenham suporte a esta funcionalidade. E ai é que está o problema, pois muitos dispositivos não tem suporte ao Beamforming.

O Cisco ClientLink é uma evolução do Beamforming, onde o access-point é capaz de direcionar o sinal para todos os clients, sem depender de nenhuma funcionalidade do lado client.

Mais informações sobre o ClientLink neste link.

Band Select: Esta funcionalidade faz com que clients dual band (com suporte à 2.4GHz e 5 GHz) se conectem ao rádio 5 GHz do AP, preferencialmente.

Para isso o access-point não responde (ou demora um pouco mais para responder) a primeira tentativa de conexão no rádio 2.4 GHz. Com isso o client dual band poderá tentar se associar ao rádio 5 GHz, onde a resposta do access-point será realizada imediatamente.

Assim os clients dual band utilizam a frequência menos poluída (5 GHz), e deixam o 2.4 GHz para os clients sem suporte ao 5 GHz.

Mais informações sobre o Band Select aqui.

VideoStream: Access-points são como “hubs sem fio”. Eles não sabem como tratar multicast, e tráfego deste tipo são encaminhados como broadcast, tornando a utilização do meio físico (o ar, neste caso) ineficiente. Este é o principal problema quando tentamos fazer um streaming de vídeo sobre Wi-Fi.

O VideoStream faz com que o access-point seja capaz de encaminhar tráfego multicast como unicast, evitando assim que um streaming acabe com a banda da rede sem fio.

Neste link tem um material com mais detalhes sobre esta funcionalidades.

 

Quer saber mais? Acesse:Brainwork

Next Page →