A Cisco lançou, ainda discretamente, os novos firewalls ASA 5500-X. Esta nova série, que conta com os modelos 5512-X, 5515-X, 5525-X, 5545-X, 5555-X, além dos já existentes 5585-X, possui mais desempenho e pelo menos uma grande mudança.
Comparado com os hardwares da série anterior, os novos appliances oferecem até quatro vezes mais desempenho de firewall, mais portas ethernet (até 14 portas Gigabit) e fonte de alimentação redundante nos modelos 5545-X e 5555 X.
Além disso, estes novos equipamentos rodam o software versão 8.6.1, já 64 bits, e possuem aceleração em hardware dedicado para IPS.
E aqui está a maior mudança pra mim: Nestes equipamentos o IPS pode ser ativado sem a necessidade de hardware adicional.
Pode parecer estranho, mas por enquanto não há planos para descontinuar os modelos anteriores(ASA5505, 5510, 5520, 5540 e 5550), lançados em 2005, e que terão suporte, no mínimo até 2017.
Veja mais informações sobre os novos equipamentos nos links abaixo:
ASA for Small Offices and Branch Locations
ASA for Internet Edge
ASA 5500-X Q&A
Até a próxima.
O ASA, firewall da Cisco, conta com vários tipos de licenças, que você pode adquirir de acordo com suas necessidades.
As licenças podem ser perpetuas ou temporárias, e podemos ver abaixo uma breve descrição das principais.
-
Security Plus: Esta licença está disponível apenas para os modelos 5505 e 5510. Ela permite aumentar o número de conexões simultâneas, VLANs, o número de túneis VPN e usuários (ASA5505 apenas), e no modelo 5510 habilita o HA e duas portas Gigabits. Perpétua.
-
AnyConnect Essentials: Licença para usuários acessarem VPN IPSec a partir de um client instalado em um PC/Notebook. Ela limita o número de usuários conectados simultaneamente, e a quantidade máxima de túneis depende do modelo do firewall. Perpétua.
-
AnyConnect Premium: Licença para usuários acessarem VPN IPSec e/ou SSL, através de um client, ou browser, ou Cisco Secure Desktop. A licença limita o número de usuários conectados simultaneamente e esta quantidade vária de acordo com o modelo do ASA. Perpétua.
-
AnyConnect Mobile: Licença para VPN Clients usados em dispositivos móveis, como celulares e tablets (Android e iOS). Perpétua.
-
Botnet Traffic Filter: Licença para habilitar a identificação de Botnets. Temporária.
-
Unified Communications Proxy Sessions: Esta licença permite que o ASA atue como um Proxy para os telefones IPs Cisco. Ou seja, um telefone IP pode ser instalado remotamente e se conectar com segurança ao CUCM que está na empresa. Perpétua.
-
Security Contexts: Licença para incrementar o número de contextos de seguranças (firewalls virtuais) no appliance. A quantidade depende do modelo do ASA. Perpétua.
É importante saber que algumas funcionalidades são incompatíveis. Por exemplo, quando usamos o security context (até a versão 8.4, pelo menos) não podemos configurar VPNs. Assim como não faz sentido ter a licença AnyConnect Essential e Premium simultaneamente.
Veja mais informações sobre estas e outras licenças, bem como possíveis incompatibilidades neste link.
Instalando um licença no Cisco ASA
Felizmente o processo para habilitar ou fazer o upgrade de licenças no ASA é bem simples.
Primeiro vá até o site www.cisco.com/go/license (é preciso ter um usuário no site da Cisco), com o PAK (Product Authorization Key) que você recebe quando efetua a compra da licença e com o número de série do seu equipamento em mãos. Seguindo as instruções do site em alguns minutos você recebe sua licença (um número) por email.
Depois de receber a licença abra o ASDM e acesse Configuration > Device Management > System Image/Configuration > Activation Key, insira a licença e clique em Upgrade Activation Key.
*Algumas licenças precisam que o equipamento seja reiniciado.
Depois disso você verá na parte de baixo as funcionalidades habilitadas.
Se você preferir, também é possível fazer este processo via CLI. Basta entrar no modo de configuração e usando o comando activation-key informar o número da licença.
Instalando licença no Cisco ASA
BrainVPN# conf t
BrainVPN(config)# activation-key 8e303cfa f1f425d9 f189dfdf d857fe27 cf48a68e
Para verificar as funcionalidades habilitadas use o comando show activation-key detail.
Até a próxima.
Quando criamos uma VPN remote access, onde os usuários usam um cliente para realizar o acesso remoto, o mais comum é que cada usuário tenha suas credenciais (usuário e senha/token/certificado).
Mas eventualmente é necessário o uso de credenciais compartilhadas. Ou seja, pessoas diferentes realizam o acesso utilizando o mesmo usuário e senha, simultaneamente.
Por padrão o ASA permite que até 3 conexões VPN sejam estabelecidas com o mesmo usuário. Mas podemos aumentar (ou diminuir) este número de acordo com a necessidade.
Com a configuração default, caso um quarto usuário tente se logar na VPN usando o username vpnuser1, um dos usuários será desconectado.
Para mudar este parâmetro, basta usar o comando vpn-simultaneous-logins, dentro do group-policy em uso.
Aumentando o número de logins simultâneos na VPN, com o mesmo usuário:
group-policy BRAIN attributes
vpn-simultaneous-logins 5
Mais informação sobre este comando aqui.
Até a próxima.
A versão 8.4(x) do ASA OS – no momento está na versão 8.4(1), traz algumas novidades interessantes. Esta versão foi totalmente reescrita, e é este software que servirá de base para que novas funcionalidades sejam implantadas no futuro.
Abaixo algumas novidades.
-
No Payload Encryption: A partir desta versão é possível adquirir o ASA sem “Payload Encryption”. Por mais estranho que isso possa parecer, já que se trata de um firewall, isso é necessários para vender em alguns países que não são muito amigos dos EUA.
-
VPN com Android: Uma funcionalidade que já estava fazendo falta… Na versão 8.4 é possível fechar VPN (L2TP/IPSec) a partir de um dispositivo Android (2.1 ou superior), através do client nativo.
-
IKEv2: Suporte a utilização do IKEv2 em VPN IPSec, site-to-site ou remote access (com o client AnyConnect).
-
SSL SHA-2: Esta versão suporta o algoritmo SHA-2 para autenticar conexões SSLVPN que usam certificados digitais. São suportadas as versões SHA-256, SHA-384 e SHA-512.
-
SCEP Proxy: Funcionalidade que permite a automação da distribuição de certificados de terceiros para o AnyConnect Secure Mobility Client.
-
Kerberos Constrained Delegation: O KCD permite que usuários logados na SSLVPN (clientless) façam single sing-on em sites protegidos pelo Kerberos. Ou seja, após logar na VPN não é necessários entrar com as credenciais novamente para acessar o OWA ou SharePoint, por exemplo.
-
Etherchannel: Assim como os switches e roteadores, agora o ASA (a partir do 5510) tem suporte a Etherchannel .
-
Stateful Failover com Protocolo de Roteamento: Rotas que são aprendidas através de protocolos de roteamento dinâmico (como OSPF e EIGRP) na unidade ativa são mantidas na Routing Information Base (RIB) na unidade standby. Assim a unidade secundária, quando ativa, terá o mínimo de interrupção, pois as rotas já são conhecidas.
-
TCP Ping: Com esta funcionalidade é possível escolher o IP de destino, a interface de origem e a porta TCP que você quer verificar.
-
Top CPU Processes: Novo comando show process cpu-usage sorted mostra quanto da CPU os processo estão utilizando.
-
Encryption Visibility: Comando show Encryption Visibility mostra as senhas criptografadas em um security context.
Além de novas funcionalidades o software 8.4 aumenta a capacidade de contextos, VLANs, Conexões e VPN nos appliances 5550, 5580 e 5585.
Upgrade de memória
Os equipamentos fabricados antes de fevereiro de 2010 precisam de upgrade de memória DRAM para suportar o novo software. Já os equipamentos fabricados após fevereiro de 2010 já vem de fábrica com a quantidade de memória requerida.
Veja todas as novas funcionalidades e outras informações sobre a versão 8.4 (x) do ASA OS no release notes.
Ate a próxima.
A Cisco lançou hoje os novos ASA 5585-X, firewall e IPS de alto desempenho. A nova família, desenvolvida para o mercado de data center / missão crítica, conta com quatro modelos, chegando a 20 Gbps de throughput de firewall com o Security Services Processor 60 (ou SSP-60).
Além do throughput elevado, estes novos equipamentos também conseguem suportar um grande número de conexões concorrentes, além de permitir também a criação de até 350.000 novas conexões por segundo (aliás, sempre observe isso, pois só throughput não resolve muito).
Os ASA 5585-X também podem ser concentradores VPN, além de firewall e IPS, e neste quesito as especificações também são interessantes. É possível ter 100 mil sessões VPN concorrentes, com throughput de até 5 Gbps (no modelo SSP-60).
Outro destaque dos novos ASAs, que ocupam 2 RU e tem fontes redundantes, é a estrutura em 64 bits, diferente dos modelos anteriores, que eram 32 bits.
Por enquanto apenas os modelos com SSP-20 e SSP-60 estão disponíveis para compra, e os modelos SSP-10 e SSP-40 devem estar disponíveis no começo de 2011.
Mais informações sobre os novos produtos aqui.
Até a próxima.
Seja o primeiro a comentar 
