Când ai un laptop, ești foarte fericit când găsești o conexiune Wireless pentru a te conecta la Internet. Problema este că, de obicei, rețele publice sunt Open, adică nu au nici o securitate în transferul de date. Majoritatea software-ului  nu trimite encriptate datele și este foarte ușor ca cineva să captureze parole sau conversații.

O soluție ar fi VPN, Virtual Private Network. Nu este o soluție implementabilă de oricine, pentru că necesită un server conectat la Internet cu un IP public. Pe serverul respectiv trebuie instalat un daemon cum este OpenVPN [1]. De asemenea, pe fiecare calculator ce va folosi rețeaua VPN va fi necesară instalarea clientului OpenVPN. Pentru fiecare client, se va genera o pereche de chei publică-privată pentru a se asigura că restricționarea accesului la serviciul de VPN.

Un tutorial despre cum se poate crea o rețea VPN se găsește pe site-ul OpenVPN [2]. O versiune mai scurtă și mai practică pe Big Lazy Sysadmin [3].

După crearea rețelei, pe serverul VPN trebuie activată rutarea rețelei private în cea de Internet (cel mai probabil prin NAT). Aici intervine problema unei soluții VPN: tot traficul trece prin serverul respectiv, ceea ce înseamnă că viteza maximă atinsă pe un client este  jumătate din viteza serverului (pentru că traficul trebuie să circule în două direcții). Dar pentru persoanele ce țin la securitate, prețul merită.

[1] http://openvpn.net/

[2] http://openvpn.net/howto.html

[3] http://big.lazyadmin.ro/2007/04/27/openvpn-gateway-tutorial/

În următoarele două săptamâni voi fi plecat la Paris unde am onoarea de a participa la un training intersiv pe domeniul de securităţii IT.

Programul portă numele de Improving the Security Knowledge in ICT – Advanced Technologies [1] şi se ţine anual în Europa (anul acesta e rândul Parisului). La eveniment sunt invitaţi studenţi şi profesori din universităţile europene. Aceştia vor petrece timpul la cursuri despre tehnologii de securitate şi în laboratoare unde vor fi implementate respectivele tehnologii. Grupul de la Universitatea Politehnică Bucureşti este compus din 15 oameni dintre care 12 studenţi din anii III-V şi 3 profesori.

[1] https://ip-security.metropolia.fi/2009/

Day two… am venit direct la prezentari. In ziua 2, in orice moment al zilei aveai de ales intre 5 prezentari (cate una pe sala). Prima data am mers la prezentarea despre Istoria IP Telephony tinuta de Kernel Control (mi-am adus aminte ca ei au avut o prezentare frumoasa la Cisco’s NetReady 2007). Continutul prezentarii a lasat de dorit, dar macar forma in care a venit a fost funny (am aflat ca CCIE inseamna Cisco Certified Internetwork “Engineer” ). Am aflat ca Cisco Call Manager is yestarday si ca se foloseste Cisco Unified Communication Manager si am aflat de un client SCCP (Skinny) pentru telefoane mobile (Symbian si Windows Mobile).
Urmatoarea prezentare la care am mers a fost despre Service Provider Best Practices tinuta de CCIE-ul Marian Selea. A fost probabil a doua cea mai reusta prezentare din tot evenimentul. A prezentat doua case study-uri very high tech (deci am inteles doar 30% din ce a zis… dar aparent nici ceilalti nu au inteles mai mult de 50% deci e ok) in care a fost vorba despre OSPF, MPLS si… o capra (don’t ask). A fost o prezentare intersanta in primul rand pentru ca a prezentat niste situatii interesante, si intr-un mod in care sa capteze atentia si nu in ultimul rand datorita notorietatii prezentatorului. Very interesting fact, omul este orb si a tinut o ora de prezentare pe niste topologii pe care el nu le vedea.
Next, am ramas la o prezentare despre Building Mobile Business tinuta de Logicom… solutia era VoIP pe telefonul mobil (folosind clientul de SCCP de care auzisem si mai dimineta) pentru a unii mai multe numere de telfon  (diversi provideri de mobil si fix) precum si alte servicii (cum ar fi Presence). Adevarul e ca nu prea am fost atent la aceasta prezentare pentru ca eram prea ocupat sa castig premiile de la Cronus (i haz a stick and a swish army knife ).

Dupa pauza de masa (intr-un final au facut si ei o masa cum trebuie…) am fost la Warriors of the Net (ne-a placut titlul ). Primul slide din prezentare era alb pe negru “Cisco is not responsable for the use of information in this presentation in illegal actions”… dupa slide-ul acesta am zis ca va fi o prezentare interesanta… si a fost foarte foarte interesanta…cea mai interesanta de fapt…te face sa fi asa paranoic incat sa nu mai intri vreodata pe Internet. A continut multe lucruri underground (pe langa softuri de hacking, site-uri de unde puteai sa cumperi host-uri sparte, ore de DDoS spre o masina sau chiar conturi bancare). Cea mai buna prezentare de Security, cu prezenta cea mai mare in sala. Impreuna cu cea de inainte au fost maximulul evenimentului.
Runda de azi la standuri, am trecut pe la Probitas si Logicom (firme de care nu stiam). Probitas nu e chiar Cisco based, ofera solutii de securitate. Avreau o solutie foarte interesanta de monitorizare a intrarilor/iesirilor angajatilor in/din firma (cu fingerprinting, logging pe un server, din pacate intr-o baza de date closed, deci fara interactiune cu alte servicii) si o solutie de monitorizare cu IP Cameras si servere media Cisco (au facut o implementare mare in Magazinul Unirea).
Am stat destul de mult la Logicom care prezentau solutii de VoIP. M-am jucat putin pe telefonul mobil VoIP Cisco Wireless IP Phone 7921G si am pus o groaza de intrebari in legatura cu o implementare de solutie VoIP over Wireless. Era compusa dintr-un router voice enabled Cisco Unified 500 (cu CME 7) ce suporta pana la 16 IP Phone-uri (plus 4 telefonae POTS prin porturi FXS); la portul de uplink si cele 8 porturi FastEthernet cu Power over Ethernet se adauga 4 porturi FXO. Pe partea wireless solutia avea un Cisco 520 Wireless Controller ce suporta pana la 6 AP-uri. Cu destui bani (un 7921G costa din ce mi-au zis cam 700$) poti face o implementare foarte frumoasa, mobila si relativ securizata.

Am ajuns tarziu la prezentarea despe IronPort, “Cisco’s No.1 strategy against spam, viruses and spyware” si nu am prins mare lucru.
Ultimul rand de vizitie pe la standuri a fost la Ixia, Fluke, Romsys si S&T. Stiam ca Ixia este cel mai mare tester de echipamente de retea, deci au avut de prezentat… un tester de retea. Niste module hardware foarte mici, care puteau fi conectate la end points si folosind un software centralizat (IxRave) se poate genera o statistica despre bandwidth, delay, jitter pe o retea oricat de mare. Exista si un software ce face acelasi lucru ca aceste module free (dar serverul tot nu este free si este necesar).
La Fluke am vazut tot un tester de retea ce era si generator de trafic, destul de mobil (era bazat pe un laptop normal cu o placa de captura speciala, intr-o carcasa speciala, cu touchscreen, si cu un Windows XP peste care ruleaza si software-ul lor propriu).
Romsys aveau o solutie VoIP in cadrul ATM-urilor bancare. Am aflat ca 1) ATM-urile ruleaza in spate Windows ( ) 2) toate ATM-urile din Romania au in spate routere Cisco (inside information). Solutia consta in modificarea soft-ului de ATM care apeleaza transparent clientului un IP Communicator, care, prin Skinny/SCCP face un apel catre un help center unde clientul poate primi instructiuni despre cum functioneaza ATM-ul.

Ultima vizita a fost la S&T. Cei de acolo mi-au prezentat o topologie de security compusa dintr-un ASA,un IPS si un server MARS. IPS (Intrusion Prevention System) era cel care detecteaza probleme de securitate de retea, care sunt raportate catre MARS (Monitoring, Analysis, and Response System, care de fapt era un server Dell cu Linux si Cisco’s MARS peste) si rezolvarea problemelor se facea de catre firewall-ul ASA (Adaptive Security Appliances) .
Cisco Expo 2008 s-a terminat cu un keynote de la Bogdan Constantinescu (iar) care a dat si ultimele premii pe anul acesta.

Prezent de la prima ora acolo, cum am ajuns in sala am avut de rezolvat problema IP-urilor de la standuri (daca cu o zi inainte echipa de networking rezolvase Layer1, azi am finalizat si Layer3) All ok in the end si am incercat sa prind ceva din expozitie ca participant.

Prima zi a inceput de dimineata cu 3 Power Sessions in paralel pe 3 topic-uri diferite (Security, Mobility si Broadband). Am ales Security unde s-a facut un workshop pe Cisco’s MARS vs…something…
Prezentarile au inceput la pranz cu o introducere din partea lui Bogdan Constantinescu, General Manager Cisco Romania. A prezentant cei 10 ani de Cisco Romania, din care punctul cel mai apropiat mie a fost Academia Cisco (prima Academie Cisco din Romania a fost deschisa in 1998 si este Academia din Facultatea de Automatica si Calculatoare, care un an mai tarziu a plasat Romania pe locul 7 intre Academiile Cisco din Europa…i felt proud to be a part of that academy ). Case study-uri au fost Romtelecom (de la ultimele conferinte la care merg si dau de Romtelecom am inceput sa am o parere din ce in ce mai buna despre ei) si RoEduNet (aflata si pe timeline-ul de 10 ani cu doua puncte, fiind de doua ori primii clienti a unor echipamente very high end din Romania).
Ultima parte din prima prezentare precum si urmatoarele le-am pierdut pentru ca a trebuit sa fac debuggnig la reteaua dintr-o sala (‘good job’ pentru CCIE-ul care a facut-o initial )
Dupa primele 3, prezentarile s-au spart in mai multe sali. Am ales prima data o prezentare despre High Availability (cu aplicatie pe noul router Cisco ASR 100) si am prins niste notiuni interesante despre cum se poate face upgrade la versiunea de IOS fara data loss in retea (Cisco ISSU – In Service Software Upgrade).

Urmatoarea prezentare aleasa a fost una despre Video over IP. Desi ma asteptam sa fie interesanta, a semanat foarte mult cu o prezentare de Voice over IP (doar cu consum de banda mai mare si MPEG in loc de G.729, deci nimic chiar nou). Dar trebuie sa recunosc ca Video over IP a fost un subiect destul de aprins la aceasta conferinta. Daca timp de doi ani peste tot unde mergeam auzeam doar de Voice over IP ca fiind ‘the new thing’ , acum toata lumea vorbeste despre VoIP ca ceva normal si de trecut. Video Is the new Voice

Mi-a placut ce au facut cei de la Cronus pentru a atrage lumea: au facut un Quiz accesibil prin reteaua lor wireless sau prin IP Phone-urile amplasate in hol, quiz la care au castigat niste prieteni premii interesante.

Am facut azi si prima sesiune de vorbit cu oamenii de la standuri (ca participant, ca am vorbit destul ca the network guy ). La pauza, la standuri am vizitat Brinel, o companie de care nu auzisem (si care nu m-a impresionat…probably new in the Cisco Partner Club, dar bine ca am aflat de ei) si Crescendo cu care m-am intalnit la toate event-urile de networking din ultimul an (am intrebat ce au nou, raspunsul fiind solutii pentru Call Center-uri, folosind o solutie Cisco+Microsoft). Inainte sa plec am mai trecut pe le standul Linksys care era cel mai non-bussines de acolo…daca vreau sa imi fac o solutie de home media center over network sau un home IP Telephony network, probabil as apela la ei (am vazut niste dispozitive mici, simple si extrem de ieftine comparativ cu celelalte firme, perfecte pentru SOHO). Ultima vizita a fost la Frontal, alta firma de care nu auzisem. La fel, cam ‘timizi’, dar am vorbit despre niste solutii de Multimedia over IP. La sfarsit a fost un Cocktail Party (si sampania si vinul rosu erau seci ).

Overall, cam dezamagit de prima zi (prezentari cam lame, pe langa faptul ca Cisco nu prea a avut grija de noi ca organizatori si iar am mancat pe banii nostri de la fast food, asta dupa ce am tipat ore intregi sa ni se dea si noua badge-uri si tricouri Cisco). Sper ca in a doua zi sa fie mai bine.

Din newsletterul cel de toate ziele de la Slashdot (sau cel putin din zilele cand mai apuc sa il citesc…) am gasit o stire interesanta. Btw, Slashdot este un site de stiri din lumea tehnica (motto-ul site-ului cred ce zice tot “Slashdot: News for nerds, stuff that matters” ). Este un loc bun pentru cei ce vor sa fie up to date cu ce se intampla in lumea IT (eu sunt abonat la newsletter si primesc email dimineata la prima ora pe care il citesc de obicei inainte sa plec la facultate).

Stirea respectiva vorbea despre un tool de hacking care poate sparge conturile de GMail. Putin speriat de inceputul stirii, dar noroc ca in aceeasi stire prezinta si noul feature de la Google impotriva la asaceva: folosirea HTTPS permanent. Daca nu ati observat, by default, HTTP Secure se foloseste doar la login, dupa, pentru navigare in interfata de webmail este HTTP chior.  Am gasit acest lucru foarte ciudat de la inceput si as fi vrut sa existe sesiunea permanenta pe HTTPS (nu zic ca ar fi total sigura, dar m-as simti mai bine).

Ideea ca aceasta noua optiune trebuie activata manual.  Optiunea se afla in Settings -> General -> Browser connection: si trebuie setata pe Always use https

Recomand sa o activati ca nu strica