Seja o primeiro a comentar

Por André Ortega, 23/11/2011 13:50

Quando criamos uma VPN remote access, onde os usuários usam um cliente para realizar o acesso remoto, o mais comum é que cada usuário tenha suas credenciais (usuário e senha/token/certificado).

Mas eventualmente é necessário o uso de credenciais compartilhadas. Ou seja, pessoas diferentes realizam o acesso utilizando o mesmo usuário e senha, simultaneamente.

Por padrão o ASA permite que até 3 conexões VPN sejam estabelecidas com o mesmo usuário. Mas podemos aumentar (ou diminuir) este número de acordo com a necessidade.

Com a configuração default, caso um quarto usuário tente se logar na VPN usando o username vpnuser1, um dos usuários será desconectado.

Para mudar este parâmetro, basta usar o comando vpn-simultaneous-logins, dentro do group-policy em uso.

Aumentando o número de logins simultâneos na VPN, com o mesmo usuário:

group-policy BRAIN attributes

vpn-simultaneous-logins 5

Mais informação sobre este comando aqui.

Até a próxima.

(5) Comentários

Por André Ortega, 01/06/2011 10:03

A versão 8.4(x) do ASA OS – no momento está na versão 8.4(1), traz algumas novidades interessantes. Esta versão foi totalmente reescrita, e é este software que servirá de base para que novas funcionalidades sejam implantadas no futuro.

Abaixo algumas novidades.

• No Payload Encryption: A partir desta versão é possível adquirir o ASA sem “Payload Encryption”. Por mais estranho que isso possa parecer, já que se trata de um firewall, isso é necessários para vender em alguns países que não são muito amigos dos EUA.
• VPN com Android: Uma funcionalidade que já estava fazendo falta… Na versão 8.4 é possível fechar VPN (L2TP/IPSec) a partir de um dispositivo Android (2.1 ou superior), através do client nativo.
• IKEv2: Suporte a utilização do IKEv2 em VPN IPSec, site-to-site ou remote access (com o client AnyConnect).
• SSL SHA-2: Esta versão suporta o algoritmo SHA-2 para autenticar conexões SSLVPN que usam certificados digitais. São suportadas as versões SHA-256, SHA-384 e SHA-512.
• SCEP Proxy: Funcionalidade que permite a automação da distribuição de certificados de terceiros para o AnyConnect Secure Mobility Client.
• Kerberos Constrained Delegation: O KCD permite que usuários logados na SSLVPN (clientless) façam single sing-on em sites protegidos pelo Kerberos. Ou seja, após logar na VPN não é necessários entrar com as credenciais novamente para acessar o OWA ou SharePoint, por exemplo.
• Etherchannel: Assim como os switches e roteadores, agora o ASA (a partir do 5510) tem suporte a Etherchannel .
• Stateful Failover com Protocolo de Roteamento: Rotas que são aprendidas através de protocolos de roteamento dinâmico (como OSPF e EIGRP) na unidade ativa são mantidas na Routing Information Base (RIB) na unidade standby. Assim a unidade secundária, quando ativa, terá o mínimo de interrupção, pois as rotas já são conhecidas.
• TCP Ping: Com esta funcionalidade é possível escolher o IP de destino, a interface de origem e a porta TCP que você quer verificar.
• Top CPU Processes: Novo comando show process cpu-usage sorted mostra quanto da CPU os processo estão utilizando.
• Encryption Visibility: Comando show Encryption Visibility mostra as senhas criptografadas em um security context.

Além de novas funcionalidades o software 8.4 aumenta a capacidade de contextos, VLANs, Conexões e VPN nos appliances 5550, 5580 e 5585.

Upgrade de memória

Os equipamentos fabricados antes de fevereiro de 2010 precisam de upgrade de memória DRAM para suportar o novo software. Já os equipamentos fabricados após fevereiro de 2010 já vem de fábrica com a quantidade de memória requerida.

Veja todas as novas funcionalidades e outras informações sobre a versão 8.4 (x) do ASA OS no release notes.

Ate a próxima.

Só um comentário

Por André Ortega, 05/10/2010 16:38

A Cisco lançou hoje os novos ASA 5585-X, firewall e IPS de alto desempenho. A nova família, desenvolvida para o mercado de data center / missão crítica, conta com quatro modelos, chegando a 20 Gbps de throughput de firewall com o Security Services Processor 60 (ou SSP-60).

Além do throughput elevado, estes novos equipamentos também conseguem suportar um grande número de conexões concorrentes, além de permitir também a criação de até 350.000 novas conexões por segundo (aliás, sempre observe isso, pois só throughput não resolve muito).

Os ASA 5585-X também podem ser concentradores VPN, além de firewall e IPS, e neste quesito as especificações também são interessantes. É possível ter 100 mil sessões VPN concorrentes, com throughput de até 5 Gbps (no modelo SSP-60).

Outro destaque dos novos ASAs, que ocupam 2 RU e tem fontes redundantes, é a estrutura em 64 bits, diferente dos modelos anteriores, que eram 32 bits.

Por enquanto apenas os modelos com SSP-20 e SSP-60 estão disponíveis para compra, e os modelos SSP-10 e SSP-40 devem estar disponíveis no começo de 2011.

Mais informações sobre os novos produtos aqui.

Até a próxima.

(6) Comentários

Por André Ortega, 21/09/2010 10:20

Além de permitir visualizar as mensagens Syslog na console e no ASDM (e enviar para um servidor Syslog), o ASA também pode enviar as mensagens para um endereço de e-mail.

Antes de continuar cuidado: ENVIAR TODOS OS LOGS PARA O EMAIL PODE GERAR UM DoS NO SERVIDOR, E IMPOSSIBILITAR A ANÁLISE, PELA GRANDE QUANIDADE DE MENSAGENS GERADAS.

Com o comando logging mail podemos especificar o servidor de email, o endereço de origem, destino e o nível de log a ser enviado.

Nível de severidade para mensagens syslog:

• 0 or emergencies—System is unusable
• 1 or alerts—Immediate action needed
• 2 or critical—Critical conditions
• 3 or errors—Error conditions
• 4 or warnings—Warning conditions
• 5 or notifications—Normal but significant conditions
• 6 or informational—Informational messages
• 7 or debugging—Debugging messages

O recomendado é enviar mensagens críticas (2), alertas (1) ou emergências (0). E lembre-se que ao selecionar o nível 2, serão geradas mensagens para os níveis 2, 1 e 0.

Exemplo: Configurando o ASA para enviar mensagens syslog por email.

BrainFW01(config)# logging enable
BrainFW01(config)# logging mail critical
BrainFW01(config)# logging from-address brainfw01@brainwork.com.br
BrainFW01(config)# logging recipient-address operador@brainwork.com.br
BrainFW01(config)# smtp-server 10.10.10.50 10.10.10.51

Com esta configuração o ASA enviará mensagens críticas, alertas e emergências, usando o endereço brainfw01 para o email do operador, usando os servidores smtp 10.10.10.50 e 51.

Também é possível criar filtro, usando o comando logging list, e assim diminuir a quantidade de logs gerados.

BrainFW01(config)# logging list log-mail-list 100100-100110
BrainFW01(config)# logging list log-mail-list level critical
BrainFW01(config)# logging mail log-mail-list

Outra opção é especificar o nível de log enviado para cada usuário. Para isso basta informar o level do logging quando for criar o recipien-address.

BrainFW01(config)# logging recipient-address operador@brainwork.com.br level 2
BrainFW01(config)# logging recipient-address administrador@brainwork.com.br level 0

Outras informações no Command Reference 8.2, do ASA.

(3) Comentários

Por Rafael Leão, 15/06/2010 07:00

Fala galera!!! Neste post em flash, estarei mostrando como autenticar os usuários que acessam o console, SSh, telnet, e HTTP do PIX, através do IAS (Internet Authentication Service) do Windows, integrado com o AD (Active Directory).