Seja o primeiro a comentar

Por André Ortega, 03/07/2009 12:40

Configurar uma VPN IPSec pode não ser uma tarefa fácil. São muitos protocolos e termos envolvidos, e diversas linhas de configuração. Para facilitar um pouco essa tarefa vamos publicar alguns post (simplificando o máximo possível)sobre o assunto, sendo este primeiro post a parte teórica da coisa.

O IPSec é um framework padrão do IETF, definido pela RFC 4301, que proporciona confidencialidade, integridade e autenticação dos dados. Com o IPSec podemos criar um túnel entre dois pontos, por onde os “dados sensíveis” são enviado protegidos. Os “dados sensíveis” são definidos por quem está configurando a VPN, e normalmente são selecionados através de uma access-list.

Nos roteadores e firewalss Cisco são utilizados os seguintes protocolos, para o funcionamento do IPSec:

ESP (Encapsulation Security Payload): É um protocolo IP, tipo 50 (não é UDP nem TCP), que prove integridade, autenticação e confidencialidade dos dados. É usado para criptografar o payload dos pacotes IPs. É o principal protocolos usado pelo IPSec atualmente, e pode ser configurado no modo Túnel ou Transporte. No Túnel o pacote inteiro é encapsulado e protegido, sendo um novo cabeçalho IP adicionado ao pacote. Já no modo Transporte, são criptografados apenas os “dados”, não sendo alterado o cabeçalho original.

AH (Authentication Header): Semelhante ao ESP, porém não faz criptografia, e por isso em breve não será mais suportado pelos equipamentos Cisco. É o protocolo IP tipo 51 (não é UDP nem TCP), prove integridade, autenticação e replay detection. Ele é como uma assinatura digital e garante que o pacote não foi alterado. Assim como o ESP, o AH também pode ser configurado como Túnel ou Transporte. O funcionamento é igual ao do ESP.

Quando configurado o IPSec (com ESP ou AH) o tamanho do pacote aumenta, variando de acordo com as opções selecionadas. No máximo são adicionado 58 bytes (quando usando ESP com autenticação) por pacote.

IKE (Internet Key Exchange): Protocolo hibrido que fornece para o IPSec a autenticação dos Peers, negociação do IKE e IPSec security associations, e estabelecimento de chaves que são usadas pelos protocolos de criptografias. Aparece nas configurações como ISAKMP.

DES, 3DES e AES: Algoritmos que fazem a criptografia dos dados. O DES utiliza chaves de 56 bits, o 3DES usa 168 bits e o AES pode trabalhar com chaves de 128, 192 e 256 bits, sendo o mais forte (também é o que consome mais processamento ).

DH (Diffie-Hellman): Protocolo de criptografia com utilização de chaves públicas que foi criado em 1976 por Whitfield Diffie e Martin Hellman. O DH permite que os peers da VPN criem uma chave compartilhada (shared key) segura, mesmo sem que os peers se conheçam ou saibam da chave do ponto remoto. É usado no início do processo IKE, para estabelecer as chaves a serem utilizadas.

MD5 e SHA-1: Algoritmos usados para autenticar os pacotes. Para isso o SHA-1 utiliza um algoritmo que produz um “digest” de 160 bits, sendo mais seguro que o MD5, que cria um “digest” de 128 bits.

Até a próxima.

Só um comentário

Por André Ortega, 01/07/2009 08:13

Como divulgado no brainwork, no dia 2 de março, a Cisco anunciou oficialmente o CCNP Wireless. O anúncio foi feito no Cisco Live, que está sendo realizado em San Francisco e termina hoje.

Com esta certificação os sete caminhos para certificações ficaram completos. Agora para todas as linhas (Routing & Switching, Design, Network Security, Service Provider, Storage Networking, Voice e Wireless) temos certificações Entry-Level, Associate, Professional e Expert.

Para se tornar CCNP Wireless o candidato deverá possuir o CCNA Wireless ou ter um CCIE “qualquer”. Esta nova certificação é composta pelas seguintes provas:

CUWSS (642-731) – Conducting Cisco Unified Wireless Site Survey
IUWVN (642-741) – Implementing Cisco Unified Wireless Voice Networks
IUWMS (642-746) – Implementing Cisco Unified Wireless Mobility Services
IAUWS (642-736) – Implementing Advanced Cisco Unified Wireless Security

Todas as provas do CCNP Wireless estarão disponíveis a partir do dia 24 de julho de 2009, e mais informações podem ser encontradas aqui.

Concorrente para o Office Live

De acordo com notícia da abril.com, a Cisco está pensando em oferecer uma alternativa ao Office Live – ferramenta para edição e compartilhamento de arquivos online, para o mercado corporativo.

Segundo o vice-presidente sênior da empresa, Doug Dennerline, a Cisco deverá desenvolver um serviço baseado na Web e integrá-lo ao Webex, que hoje já permite realizar reuniões online, usar o email e utilizar chat entre outros.

Além da Microsoft, o Google também possui serviços para criação e compartilhamento de documentos de texto, planilhas e apresentações.

Veja a notícia original no site abril.com.

Até a próxima.

(2) Comentários

Por André Ortega, 01/07/2009 03:41

O NTP – Network Time Protocol, é um protocolo que permite a sincronização do relógio dos equipamentos na rede. Esta funcionalidade é extremamente importante, pois apenas com os relógios marcando a hora certa podemos analisar incidentes de forma correta. Do que adiantaria ter um log e não saber quando o problema ocorreu?

Para habilitar esta funcionalidade utilizamos quatro comando, como ilustrado abaixo. Observe que é obrigatório a autenticação do servidor, antes da sincronização do time.

Topologia: O Servidor NTP está na rede interna, e tem o IP 172.16.1.9

Configuração:

! Crie uma chave (3 neste caso) e defina a senha para autenticação (cisco)
ntp authentication-key 3 md5 cisco
! Configure a chave criada como confiável
ntp trusted-key 3
! Especifique o IP do servidor, a chave que será usada e a interface por onde ele será alcançado
ntp server 172.16.1.9 key 3 source inside prefer
! Habilite a autenticação para o NTP
ntp authenticate

Todo pacote NTP enviado pelo servidor deverá conter o identificar 3 na chave para que o ASA os aceite.

Até a próxima.