(2) Comentários

Por André Ortega, 20/07/2010 13:18

Beleza, você tem um firewall. Isso basta?

Veja abaixo 10 dicas para melhorar a administração e a segurança do seu firewall, independe do fabricante.

1. Mantenha o equipamento atualizado: Utilize sempre que possível a versão mais recente/estável do software. Quando aplicável, também instale os patches.
2. Limite o acesso ao firewall: Talvez a regra mais importante em um firewall seja aquela que limita o acesso a partir de determinados hosts/redes. Crie uma regra liberando o acesso apenas para o IP do administrador do firewall, ou da máquina/rede de gerencia.
3. Acesso via SSH e HTTPS: Esta regra vale para todos os equipamentos de rede. O acesso remoto deve ser feito via SSH e/ou HTTPS. Estes protocolos criptografam o tráfego, impedindo que alguém possa capturar sua senha enquanto você acessa o equipamento.
4. Não crie regras genéricas: O firewall é um filtro, e deve ser usado como tal. Não crie regras permitindo tudo para qualquer lugar. Libere o acesso apenas ao que é necessário. E se o firewall permitir, agrupe regras semelhantes.
5. Ordem nas regras: Sempre que um pacote chega ao firewall ele é testado contra as regras definidas, de cima para baixo. É uma boa prática colocar as regras mais específicas e com mais acesso (matches) no topo, evitando que o pacote seja testado em toda a tabela de regras. Isso diminuirá a carga no processamento.
6. Deny Any Any: A última regra na tabela de regras deve ser um deny any any. Ou seja negue tudo de qualquer lugar para qualquer lugar. Também habilite o log nesta regra, assim você poderá verificar o que estão tentando acessar e não está liberado.
7. Diminua o nível de logging: Não adianta habilitar log para todos os eventos. Além de sobrecarregar o firewall, isso irá tornar a análise impossível. Configure o firewall para gerar apenas logs importantes para você.
8. Criptografia com AES: Se você utiliza VPN, configure um protocolo seguro para criptografia, como o AES. Cuidado apenas na hora de escolher quantos bits vai ter a chave (128, 192, 256…). Quanto maior, mais segura, porém mais processamento será utilizado.
9. Redundância: Implementar um segundo firewall para trabalhar como backup, ou dividir a carga, fará aumentar o uptime da rede.
10. Backup: Pois é, quando tudo mais falhar e você tiver que reinstalar o firewall, o backup permitirá a restauração rápida dos serviços.

Quais outras dicas para administração de um firewall??

Até a próxima.

(3) Comentários

Por Rafael Leão, 15/06/2010 07:00

Fala galera!!! Neste post em flash, estarei mostrando como autenticar os usuários que acessam o console, SSh, telnet, e HTTP do PIX, através do IAS (Internet Authentication Service) do Windows, integrado com o AD (Active Directory).

Seja o primeiro a comentar

Por Rafael Leão, 04/05/2010 11:41

Caríssimo leitor… faz um tempinho que não posto nada… mas eu não abandonei o blog!! Bom, vamos ao que interessa…

Certo dia estava fazendo um upgrade de OS em um PIX 525, e quando tinha acabado de apagar a memória flash dele… acabou a energia!!! Mas eu não me abalei e resolvi ver o lado bom disso: pesquisei como fazê-lo via monitor e aproveitei pra fazer este post.

Ao ligar o PIX, o prompt irá dar ao usuário 10 segundos para escolher a opção de boot.

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Flash boot interrupted.

Se for pressionado espaço ou esperar expirar o tempo, o PIX irá procurar uma imagem .bin na memória flash para carregar, e se não encontrar, ele reinicia e repete este processo. No meu caso, como não havia OS na flash, pressionei ESC e entrei em modo monitor, que exibia o prompt da seguinte forma:

Use ? for help.
monitor>

A seguir está um passo-a-passo de todos os processos para fazer o upgrade.

1º) Inicializar uma interface

Conecte um cabo UTP na interface Ethernet 0 ou 1, entre com o comando “interface x”, onde “x” é o número da interface Ethernet conectada ao switch, ou diretamente ao PC por cabo crossover. É necessário que fisicamente o link esteja “up”. Usei a interface Eth1.

monitor> interface 1
0: i8255X @ PCI(bus:0 dev:14 irq:10)
1: i8255X @ PCI(bus:0 dev:13 irq:11)
Using 1: i82557 @ PCI(bus:0 dev:13 irq:11), MAC: 000d.bc0b.a899

2º) Configurar o IP do PIX

Com o comando “address” configura-se o IP que o PIX irá usar para acessar o servidor TFTP.

monitor> address 192.168.10.1
address 192.168.10.1

3º) OPCIONAL – Com o comando “gateway” configura-se o IP do default-gateway. Ex.:

monitor> gateway 192.168.10.100
gateway 192.168.100.1

4º) Especificar o servidor

Com o comando “server”, especificamos o servidor TFTP.

monitor> server 192.168.10.20
server 192.168.10.20

5º) Especificar o nome do arquivo

Com o comando “file”, especificamos o nome do arquivo de imagem.

monitor> file pix804.bin
file pix804.bin

6º) OPCIONAL – Um ping para testar a conectividade…

monitor> ping 192.168.10.20
Sending 5, 100-byte 0×4018 ICMP Echoes to 192.168.10.20, timeout is 4 seconds:
!!!!
Success rate is 80 percent (4/5)

7º) Download da imagem

Para finalizar, entramos com o comando “tftp”, para o PIX baixar a imagem do servidor, e dar boot com ela.

monitor> tftp
tftp pix804.bin@192.168.10.20…………………………………………………………

Pronto? Não… o PIX somente carrega este OS na RAM, para dar boot uma única vez. Após o boot, é necessário copiar a imagem para a flash.

pixfirewall# copy tftp: flash:

Address or name of remote host []? 192.168.10.20

Source filename []? pix804.bin

Destination filename [pix804.bin]?

Accessing tftp://192.168.10.20/pix804.bin…!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Writing file flash:/pix804.bin…

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
7538688 bytes copied in 101.590 secs (74640 bytes/sec)
pixfirewall# boot system flash:/pix804.bin
pixfirewall# wr

Agora sim está terminado. Mas aconteceu uma outra coisa comigo… no próximo post você irá saber!!!

Mais informações aqui!

Até mais… qualquer dúvida mande comentários!

(2) Comentários

Por André Ortega, 26/04/2010 11:25

A Cidade Administrativa, complexo que receberá todos os órgãos do governo mineiro, e já está em funcionamento (os órgãos estão sendo migrados aos poucos), conta com uma das mais moderna infra estrutura de TI do Brasil.

Localizada entre o aeroporto de Confins e Belo Horizonte, e com projeto arquitetônico de Oscar Niemayer, o projeto foi criado para agrupar os serviços estatuais, e assim dinamizar os processos da gestão pública.

Mas para isso, além de reunir as secretarias e demais entidades governamentais em um só lugar, também foi preciso utilizar uma infra estrutura inteligente. E foi ai que entrou o Cisco Borderless Network, com soluções para rede, wireless, segurança e comunicação unificada.

São 26 mil pontos de acesso gigabit,  333 access-points e 11 mil telefones IPs, além de firewall, IPS, MARS e solução para balanceamento de carga entre servidores, entre outros.

Notícia original aqui.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 08/03/2010 10:52

Um dos post mais lidos do ano é o Client VPN para Windows 64, onde sugiro a utilização do client da Shrew (Soft VPN Access Manager) para computadores com Windows 64, já que a Cisco não disponibiliza um.

Mas devido aos pedidos, imagino (ou reclamações…),  a Cisco decidiu lançar uma versão para o Windows 7 64 bits.

O client 5.0.7 ainda está na versão beta, mas quem tiver um CCO com Smartnet associado pode baixar no site. Do lado direito, clique em All Releases e depois em 5.BETA. Tem duas opções: o normal (para Windows 200/XP/Vista/7, todos 32 bits e a versão para Windows 7 64 bits.

Para os demais sistemas operacionais 64, o jeito é continuar com Soft VPN Access Manager.

Até a próxima.