Nuva

08/10/2024

Twitter/X desbloqueado por ordem do Supremo.

Solicite o desbloqueio do X/Twitter no seu provedor de Internet.

Publicação no site do STF:
https://lnkd.in/dhTR7War

Documento na íntegra:
https://lnkd.in/dU8nQzXy

18/09/2024

Bom dia a todos.

Parecer tecnico sobre o bloqueio do X (x.com, twitter.com)

Existe um novo protocolo em adoção crescente na Internet chamado DoH.

No DoH (rfc8484 - DNS over HTTP) a conexão com o DNS é feita entre o cliente (navegador, Windows, smartphone Android ou iPhone) e o servidor DNS certif**ado por HTTPs (porta tcp 443 com TLS), impossível interceptar.

Exemplo: a conexão DoH feita com o DNS 9.9.9.9, nome e reverso em dns9.quad9.net, é iniciada na porta TCP/443 e a camada TLS requer que o certif**ado digital tenha o CN=dns9.quad9.net, logo, interceptar e desviar a conexão DoH para seu servidor DNS local resultará em erro de TLS.

Uma vez que o DoH nativo do Windows 11, novos Androids e iPhones se torna padrão de fabrica, não tem como interceptar o DNS mais, o provedor poderá apenas criar seu DNS local com todas as exigências de DoH e especif**ar explicitamente nos clientes.

O domínio x.com será resolvido no DNS sem que o provedor possa fazer nada para impedir sem causar efeitos colaterais graves.

Uma vez que o x.com aponta pra IPs dinâmicos, que mudam constantemente (balanceamento por DNS de servidores HTTP), o x.com pode balancear entre IPs de empresas de proxy-reverso anti-DDoS como Fastly, CloudFlare, Akamai, Google, Azure, AWS, entre outros, que irão usar nesses servidores IPs que são usados para receber conexões de milhões de sites, incluindo .gov.br, empresas de turismo, muitas redes sociais (Tiktok, Instagram, Facebook, Whatsapp, ...).

Bloquear o IP para onde o x.com apontar agora resultará em colapso de serviços vitais e serviços protegidos por lei.

Ainda há uma maneira de impedir o acesso ao x.com de maneira nacional, isso envolveria analisar todas as conexões para os IPs envolvidos por meio de um firewall DPI (Deep packet inspection). Esses firewalls conseguem analixar em camada 7 (aplicação) a negociação de certif**ados que possuam o CN=x.com e abortar a conexão TCP.

Infelizmente é materialmente e economicamente inviável para provedores de Internet realizar a implementação de DPI, o custo seria perto do PIB anual.

Grato a todos pelo tempo de leitura.
Patrick Brandão

14/08/2024

Hoje teremos live pra falar de IPoE e Proxmox, as 20:00
https://www.youtube.com/watch?v=FtpsBcaV4aM

22/05/2024

O curso de Proxmox vem ai!
Inscreva-se:
https://nuva.com.br/?page=pve

14/05/2024

Curso: Proxmox PVE (nível 1 - single node do zero ao mestre)
Boa tarde senhores,

segue a URL da grade e para cadastro de interesse no treinamento:

https://nuva.com.br/?page=pve

O valor estimado para o curso será de R$ 1.200,00

Previsão para lançamento (primeira aula): 2 meses (julho/2024).

16/02/2024

Palestra do Thiago Montenegro - Sistema SGP

Palestra de Thiago Montenegro (criador do SGP) no curso VMware ESXi. Ensinamentos sobre virtualização aberta usando oVirt, iSCSI e várias tecnologias abertas...

31/08/2023

Você conhece o protocolo RADIUS?

Ele é um protocolo muito simples, baseado em pergunta e resposta. O servidor RADIUS é um agente passivo, ele só responde as perguntas!
O cliente RADIUS (chamado de NAS) é o agente ativo, que envia as perguntas para o servidor RADIUS.
Muita gente confunde o cliente RADIUS com o cliente final. O cliente final é aquele agente (usuário ou programa) que deseja ter acesso a um recurso. Esse recurso é um serviço de rede provido pelo NAS, como: PPPoE Server, Hotspot, Wifi, ...
As perguntas enviadas ao RADIUS tem poucos tipos: pedido de autenticação, pedido para iniciar uma contabilidade (sessão), pedido para atualizar uma sessão, pedido para encerrar uma sessão, e o status do servidor (pouco utilizado).
O uso mais comum do RADIUS é em provedores de Internet para autenticação de clientes PPPoE.
Para utilizar o servidor RADIUS, o roteador NAS (PPPoE Server por exemplo) precisa estar cadastrado pelo IP e possuir uma senha principal, chamada SECRET. Isso dá ao NAS o acesso a fazer as perguntas.
As respostas do RADIUS ao NAS são simples: possuem um TIPO (acesso permitido, acesso negado, operação concluída) e uma tabela. A tabela possui duas colunas: código do atributo (ID) e valor.
Como humanos não são bons com números, um dicionário pode ser usado para dar nome a esses códigos de atributos, essa é a função do "Dicionário RADIUS" fornecido pelos fabricantes dos equipamentos que fazem o papel do NAS. Assim, em vez de ler "1=joao", o RADIUS te apresenta como "User-Name=joao" !!
Um elemento importante no framework do RADIUS é o COA, ele não é o servidor RADIUS em si, mas um agente que monitora as necessidades do servidor RADIUS e envia ordens ao NAS (como desconectar um cliente ou modif**ar o controle de banda).
Uma coisa esperta é montar um Proxy-RADIUS, ele é como um servidor RADIUS que recebe a pergunta de um NAS e encaminha para um servidor RADIUS final, mas nesse repasse ele pode logar, manipular parâmetros e filtrar/adicionar dados.
Gostou? Deixe seu comentário e compartilhe com seu amigo que não conhece RADIUS!

O slide abaixo é um entre muitos do nosso curso "Linux do Zero", apresentado na aula 35 sobre Freeradius!
Visite nosso site e fique atento a novos cursos!

14/06/2021

BGP - O protocolo que mantêm a Internet funcionando
Todos os roteadores, independente do fabricante, operam com os mesmos princípios:
- Cada empresa precisa ter um número de AS, que será usado na configuração do roteador.
- O registro de ASN é realizado no Brasil através do Registro.br (www.registro.br), os IPs (prefixos IPv4 e IPv6) também são reservados nesse processo.
- Cada roteador pode originar prefixos (NETWORK), informando aos roteadores vizinhos (neighbor, peer ou peering) quais endereços IPs são usados atrás do roteador (dentro da rede da empresa). Esse roteador recebe o carinhoso nome de BORDA.
- Quando sua BORDA faz peering com a BORDA de uma empresa que irá repassar os prefixos para os demais roteadores na Internet, esse repasse se chama TRÂNSITO, assim, você é um cliente de trânsito da sua operadora, e sua operadora pode ser cliente de trânsito de outras operadoras, até que toda a malha da Internet se forme - uma enorme teia de ar**ha!
- Se sua BORDA pode se conectar a roteadores de seus clientes que possuem ASN, repassando os prefixos desses clientes para a Internet, você se tornar assim um provedor de trânsito.
- Cada BORDA escolhe quais prefixos pode enviar (EXPORT) e quais pode receber (IMPORT) por meio de uma política, essa política é configurada manualmente no roteador e nela você cadastra quais prefixos estão autorizados. É dessa forma que uma operadora pode bloquear ou autorizar a passagem de rotas, e, por consequência, pacotes IPs passando dentro da rede dela.
- Diferente do que se pensa, não é o protocolo BGP que faz o roteamento dos pacotes IP. O roteamento é feito pela tabela de rotas que f**a nas interfaces de rede do roteador (chamado DATAPLANE) e o BGP apenas preenche essas tabelas (ou não) com as informações recebidas. Você e todos os administradores de rede poderiam preencher as rotas de Internet cadastrando-as manualmente nos roteadores (rotas estáticas). O trabalho seria enorme, então entenda que o BGP é um robozinho que faz esse trabalho pra você: conversando com outros roteadores e fofocando as informações entre eles, enquanto você se preocupa com outras coisas!
Nos acompanhe para mais dicas!

11/03/2021

Próxima sexta-feira teremos uma live às 20 horas no canal Loucos da Telecom, no YouTube. Não perca!

Seja membro deste canal e ganhe benefícios:https://www.youtube.com/channel/UCWPZRxOJ36fhpX5qn3W4yCA/join

24/12/2020

Boas festas!

24/12/2019