Categoria: Firewall

Novos Cisco ASA 5500-X

A Cisco lançou, ainda discretamente, os novos firewalls ASA 5500-X. Esta nova série, que conta com os modelos 5512-X, 5515-X, 5525-X, 5545-X, 5555-X, além dos já existentes 5585-X, possui mais desempenho e pelo menos uma grande mudança.

ASA 5500-X

Comparado com os hardwares da série anterior, os novos appliances oferecem até quatro vezes mais desempenho de firewall, mais portas ethernet (até 14 portas Gigabit) e fonte de alimentação redundante nos modelos 5545-X e 5555 X.

Comparativo ASA5500-X

Além disso, estes novos equipamentos rodam o software versão 8.6.1, já 64 bits, e possuem aceleração em hardware dedicado para IPS.

E aqui está a maior mudança pra mim: Nestes equipamentos o IPS pode ser ativado sem a necessidade de hardware adicional.

Pode parecer estranho, mas por enquanto não há planos para descontinuar os modelos anteriores(ASA5505, 5510, 5520, 5540 e 5550), lançados em 2005, e que terão suporte, no mínimo até 2017.

Veja mais informações sobre os novos equipamentos nos links abaixo:

ASA for Small Offices and Branch Locations

ASA for Internet Edge

ASA 5500-X Q&A

Até a próxima.

Licenças no Cisco ASA

O ASA, firewall da Cisco, conta com vários tipos de licenças, que você pode adquirir de acordo com suas necessidades.

As licenças podem ser perpetuas ou temporárias, e podemos ver abaixo uma breve descrição das principais.

Cisco ASA

  • Security Plus: Esta licença está disponível apenas para os modelos 5505 e 5510. Ela permite aumentar o número de conexões simultâneas, VLANs, o número de túneis VPN e usuários (ASA5505 apenas), e no modelo 5510 habilita o HA e duas portas Gigabits. Perpétua.
  • AnyConnect Essentials: Licença para usuários acessarem VPN IPSec a partir de um client instalado em um PC/Notebook. Ela limita o número de usuários conectados simultaneamente, e a quantidade máxima de túneis depende do modelo do firewall. Perpétua.
  • AnyConnect Premium: Licença para usuários acessarem VPN IPSec e/ou SSL, através de um client, ou browser, ou Cisco Secure Desktop. A licença limita o número de usuários conectados simultaneamente e esta quantidade vária de acordo com o modelo do ASA. Perpétua.
  • AnyConnect Mobile: Licença para VPN Clients usados em dispositivos móveis, como celulares e tablets (Android e iOS). Perpétua.
  • Botnet Traffic Filter: Licença para habilitar a identificação de Botnets. Temporária.
  • Unified Communications Proxy Sessions: Esta licença permite que o ASA atue como um Proxy para os telefones IPs Cisco. Ou seja, um telefone IP pode ser instalado remotamente e se conectar com segurança ao CUCM que está na empresa. Perpétua.
  • Security Contexts: Licença para incrementar o número de contextos de seguranças (firewalls virtuais) no appliance. A quantidade depende do modelo do ASA. Perpétua.

É importante saber que algumas funcionalidades são incompatíveis. Por exemplo, quando usamos o security context (até a versão 8.4, pelo menos) não podemos configurar VPNs. Assim como não faz sentido ter a licença AnyConnect Essential e Premium simultaneamente.

Veja mais informações sobre estas e outras licenças, bem como possíveis incompatibilidades neste link.

Instalando um licença no Cisco ASA

Felizmente o processo para habilitar ou fazer o upgrade de licenças no ASA é bem simples.

Primeiro vá até o site www.cisco.com/go/license (é preciso ter um usuário no site da Cisco), com o PAK (Product Authorization Key) que você recebe quando efetua a compra da licença e com o número de série do seu equipamento em mãos. Seguindo as instruções do site em alguns minutos você recebe sua licença (um número) por email.

Depois de receber a licença abra o ASDM e acesse Configuration > Device Management > System Image/Configuration > Activation Key, insira a licença e clique em Upgrade Activation Key.

ASDM Activation Key

*Algumas licenças precisam que o equipamento seja reiniciado.

Depois disso você verá na parte de baixo as funcionalidades habilitadas.

Se você preferir, também é possível fazer este processo via CLI. Basta entrar no modo de configuração e usando o comando activation-key informar o número da licença.

Instalando licença no Cisco ASA

BrainVPN# conf t
BrainVPN(config)# activation-key 8e303cfa f1f425d9 f189dfdf d857fe27 cf48a68e

 

Para verificar as funcionalidades habilitadas use o comando show activation-key detail.

Até a próxima.

Logins simultâneos na VPN – Cisco ASA

Quando criamos uma VPN remote access, onde os usuários usam um cliente para realizar o acesso remoto, o mais comum é que cada usuário tenha suas credenciais (usuário e senha/token/certificado).

Mas eventualmente é necessário o uso de credenciais compartilhadas. Ou seja, pessoas diferentes realizam o acesso utilizando o mesmo usuário e senha, simultaneamente.

Por padrão o ASA permite que até 3 conexões VPN sejam estabelecidas com o mesmo usuário. Mas podemos aumentar (ou diminuir) este número de acordo com a necessidade.

Logins simultâneos com mesmo usuário

Com a configuração default, caso um quarto usuário tente se logar na VPN usando o username vpnuser1, um dos usuários será desconectado.

Para mudar este parâmetro, basta usar o comando vpn-simultaneous-logins, dentro do group-policy em uso.

Aumentando o número de logins simultâneos na VPN, com o mesmo usuário:

group-policy BRAIN attributes

vpn-simultaneous-logins 5

Mais informação sobre este comando aqui.

Até a próxima.

Novidades no ASA OS 8.4

Por , 01/06/2011 10:03

A versão 8.4(x) do ASA OS – no momento está na versão 8.4(1), traz algumas novidades interessantes. Esta versão foi totalmente reescrita, e é este software que servirá de base para que novas funcionalidades sejam implantadas no futuro.

Abaixo algumas novidades.

  • No Payload Encryption: A partir desta versão é possível adquirir o ASA sem “Payload Encryption”. Por mais estranho que isso possa parecer, já que se trata de um firewall, isso é necessários para vender em alguns países que não são muito amigos dos EUA.
  • VPN com Android: Uma funcionalidade que já estava fazendo falta… Na versão 8.4 é possível fechar VPN (L2TP/IPSec) a partir de um dispositivo Android (2.1 ou superior), através do client nativo.
  • IKEv2: Suporte a utilização do IKEv2 em VPN IPSec, site-to-site ou remote access (com o client AnyConnect).
  • SSL SHA-2: Esta versão suporta o algoritmo SHA-2 para autenticar conexões SSLVPN que usam certificados digitais. São suportadas as versões SHA-256, SHA-384 e SHA-512.
  • SCEP Proxy: Funcionalidade que permite a automação da distribuição de certificados de terceiros para o AnyConnect Secure Mobility Client.
  • Kerberos Constrained Delegation: O KCD permite que usuários logados na SSLVPN (clientless) façam single sing-on em sites protegidos pelo Kerberos. Ou seja, após logar na VPN não é necessários entrar com as credenciais novamente para acessar o OWA ou SharePoint, por exemplo.
  • Etherchannel: Assim como os switches e roteadores, agora o ASA (a partir do 5510) tem suporte a Etherchannel .
  • Stateful Failover com Protocolo de Roteamento: Rotas que são aprendidas através de protocolos de roteamento dinâmico (como OSPF e EIGRP) na unidade ativa são mantidas na Routing Information Base (RIB) na unidade standby. Assim a unidade secundária, quando ativa, terá o mínimo de interrupção, pois as rotas já são conhecidas.
  • TCP Ping: Com esta funcionalidade é possível escolher o IP de destino, a interface de origem e a porta TCP que você quer verificar.
  • Top CPU Processes: Novo comando show process cpu-usage sorted mostra quanto da CPU os processo estão utilizando.
  • Encryption Visibility: Comando show Encryption Visibility mostra as senhas criptografadas em um security context.

Além de novas funcionalidades o software 8.4 aumenta a capacidade de contextos, VLANs, Conexões e VPN nos appliances 5550, 5580 e 5585.

ASA OS 8.4

Upgrade de memória

Os equipamentos fabricados antes de fevereiro de 2010 precisam de upgrade de memória DRAM para suportar o novo software. Já os equipamentos fabricados após fevereiro de 2010 já vem de fábrica com a quantidade de memória requerida.

ASA OS 8.4 DRAM Necessária

Veja todas as novas funcionalidades e outras informações sobre a versão 8.4 (x) do ASA OS no release notes.

Ate a próxima.

Cisco lança firewall /IPS de alto desempenho

Por , 05/10/2010 16:38

A Cisco lançou hoje os novos ASA 5585-X, firewall e IPS de alto desempenho. A nova família, desenvolvida para o mercado de data center / missão crítica, conta com quatro modelos, chegando a 20 Gbps de throughput de firewall com o Security Services Processor 60 (ou SSP-60).

 

ASA5585X

Além do throughput elevado, estes novos equipamentos também conseguem suportar um grande número de conexões concorrentes, além de permitir também a criação de até 350.000 novas conexões por segundo (aliás, sempre observe isso, pois só throughput não resolve muito).

Os ASA 5585-X também podem ser concentradores VPN, além de firewall e IPS, e neste quesito as especificações também são interessantes. É possível ter 100 mil sessões VPN concorrentes, com throughput de até 5 Gbps (no modelo SSP-60).

image

Outro destaque dos novos ASAs, que ocupam 2 RU e tem fontes redundantes, é a estrutura em 64 bits, diferente dos modelos anteriores, que eram 32 bits.

Por enquanto apenas os modelos com SSP-20 e SSP-60 estão disponíveis para compra, e os modelos SSP-10 e SSP-40 devem estar disponíveis no começo de 2011.

Mais informações sobre os novos produtos aqui.

Até a próxima.

Tema Brainwork 0.2(beta)