Seja o primeiro a comentar

Por André Ortega, 11/01/2012 16:53

Como já era esperado desde o lançamento do CCNP Security, a Certificação CCSP, da Cisco, chega ao fim. Desde maio de 2011 não era possível fazer as provas do CCSP, e agora, a partir de 17 de novembro de 2012, também não será possível fazer a renovação.

Quem já é certificado poderá fazer provas complementares, e “migrar” para o CCNP Security. Quem fez apenas uma ou algumas provas do CCSP, também poderá substituir algumas, e trocar outras.

Por exemplo, se você já fez a prova SNRS, ela poderá substituir a prova SECURE. Se você tem a prova IPS 6.0, não precisará fazer a IPS 7.0, e a SNAF ou SNPA pode ser usada no lugar da FIREWALL. Da mesma forma, quem já fez a prova SNAA, não precisará fazer a prova VPN.

Já as provas MARS e CANAC não tem equivalentes na nova certificação.

Mais informação no Cisco Learning Network.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 23/11/2011 13:50

Quando criamos uma VPN remote access, onde os usuários usam um cliente para realizar o acesso remoto, o mais comum é que cada usuário tenha suas credenciais (usuário e senha/token/certificado).

Mas eventualmente é necessário o uso de credenciais compartilhadas. Ou seja, pessoas diferentes realizam o acesso utilizando o mesmo usuário e senha, simultaneamente.

Por padrão o ASA permite que até 3 conexões VPN sejam estabelecidas com o mesmo usuário. Mas podemos aumentar (ou diminuir) este número de acordo com a necessidade.

Com a configuração default, caso um quarto usuário tente se logar na VPN usando o username vpnuser1, um dos usuários será desconectado.

Para mudar este parâmetro, basta usar o comando vpn-simultaneous-logins, dentro do group-policy em uso.

Aumentando o número de logins simultâneos na VPN, com o mesmo usuário:

group-policy BRAIN attributes

vpn-simultaneous-logins 5

Mais informação sobre este comando aqui.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 29/03/2011 17:19

A nova versão de software do Cisco ASA traz algumas novidades e também mudanças em algumas sintaxes de configuração. A configuração de NAT foi uma das que sofreram alterações (desde a versão 8.3, aliás).

A idéia da Cisco é que toda configuração de NAT seja orientada a objetos. E apesar da falta de costume, acho que isso vai facilitar a configuração.

Tipos de NAT (para relembrar):

• NAT estático: NAT onde um IP real é associado a um IP mapeado (um-para-um). Permite a iniciação de tráfego nos dois sentidos. Um exemplo comum é um host que está na rede interna e é publicado na Internet. A comunicação deste host com a Internet poderá ser iniciado por ele ou para ele. Uma variação é o NAT estático com PAT. Neste caso é possível publicar um serviço sem dar acesso completo ao host. Um servidor web por exemplo pode ter apenas a porta 80 publicada.
• NAT Dinâmico: Permite a tradução de um grupo de hosts com IP real para um pool de IP mapeado. O pool normalmente tem menos IPs do que o grupo de hosts com IP real. Neste tipo de NAT (muitos-para-muitos) apenas o host com IP real pode iniciar o tráfego, e é usado para permitir que os usuários tenham acesso a Internet, por exemplo.
• PAT Dinâmico: Um grupo de hosts com IP real é traduzido para um único IP mapeado, mas cada um usa uma porta diferente (muitos-para-um). Este tipo de NAT também é usado para permitir que hosts internos tenham acesso a Internet, e com a vantagem de usar apenas um IP público.
• NAT Identidade (NAT 0): NAT que permite a tradução de um endereço IP para ele mesmo (fazendo um bypass no NAT). Normalmente é usado para acesso VPN.

* IP real é o IP que será traduzido, enquanto que o IP mapeado é o endereço para o qual o IP real foi traduzido.

Configuração de NAT dinâmico, no ASA OS 8.4

Neste exemplo temos a rede interna com 254 hosts e um pool com 4 endereços públicos, o que caracteriza o NAT muitos-para-muitos.

O primeiro host a passar pelo ASA usará o primeiro IP disponível, e assim por diante, até esgotarem-se os IPs do pool.

BrainFW01# conf t
BrainFW01(config)# object network ips-publicos
BrainFW01(config-network-object)# range 200.20.20.2 200.20.20.5
BrainFW01(config)# object network minha-rede-interna
BrainFW01(config-network-object)# subnet 192.168.0.0 255.255.255.0
BrainFW01(config-network-object)# nat (inside,outside) dynamic ips-publicos

Como o pool é limitado (após o quarto host interno acessar a Internet os demais hosts não terão acesso), é normal que haja um backup, com o PAT dinâmico.

Configuração de PAT dinâmico, no ASA OS 8.4

Neste exemplo ao invés de um pool temos apenas um endereço da rede pública. Este é um NAT dinâmico, mas todos os hosts internos usarão o mesmo IP externo (200.20.20.7).

BrainFW01# conf t 
BrainFW01(config)# object network minha-rede-interna
BrainFW01(config-network-object)# subnet 192.168.0.0 255.255.255.0
BrainFW01(config-network-object)# nat (inside,outside) dynamic 200.20.20.7

Temos uma variação desta configuração com a utilização da interface outside do ASA. Neste caso os hosts internos serão traduzidos para o IP 200.20.20.1.

BrainFW01# conf t
BrainFW01(config)# object network minha-rede-interna
BrainFW01(config-network-object)# subnet 192.168.0.0 255.255.255.0
BrainFW01(config-network-object)# nat (inside,outside) dynamic interface

O PAT dinâmico é uma ótima forma de preservar seus IPs públicos, pois um único IP pode servir para mais de 64.000 mil conexões.

Mais informações sobre NAT na versão 8.4 do ASA OS neste link.

Até a próxima.

Só um comentário

Por André Ortega, 21/02/2011 11:52

Quem está se preparando para tirar o CCNA Security tem uma boa oportunidade com o workshop que será realizado dias 7 e 8 de abril, em São Paulo. O treinamento será realizado pelo instrutor Adilson Florentino, que mantem o blog Netfinders Brasil.

O workshop cobrirá os temas exigidos na certificação e terá duração de 16 horas, com o custo de R$ 600,00. Neste valor já está incluso também o ingresso para o Web Security Forum, que acontecerá nos dias 9 e 10 de abril e está sendo organizado pelo Gustavo Lima, do blog Coruja de TI.

Veja mais detalhes no post do Netfinders.

Livro Cisco Firewalls

A Cisco Press acabou de fazer o pré lançamento do livro Cisco Firewalls. A obra tem 800 páginas (em inglês) e aborda os firewalls statefull da Cisco, de rede e aplicação, e mostra como cada um pode agregar segurança ao seu ambiente.

Mas o destaque é que este livro foi escrito pelo brasileiro Alexandre M. S. P. Moraes, que é triplo CCIE (R&S, Service Provider e Security), e trabalha na Cisco Brasil. Esta é a primeira publicação de um brasileiro pela editora oficial da Cisco.

Quem se interessou pode fazer a reserva na Amazon.

(Fonte: Netfinders Brasil)

Até a próxima.

Só um comentário

Por André Ortega, 17/02/2011 10:53

A Cisco disponibilizou o Relatório de Segurança 2010 (Cisco 2010 Annual Security Report), com dados dos problemas enfrentados no último ano e as tendências para os próximos meses.

O relatório fala da exploração da confiança, através de engenharia social (com ajuda das redes sociais) e do worm Stuxnet, que visa atingir sistemas de controle industrial.

Tem uma matéria sobre as “money mule”, que são as pessoas usadas para pegar o dinheiro roubado via Internet (pois é, o cybercriminoso tem acesso a uma conta bancária ou cartão de crédito no mundo virtual, mas ele precisa de alguém para sacar o dinheiro real).

O relatório também mostra que os dispositivos móveis tem se tornado alvo dos ataques, graças ao grande número de vulnerabilidades disponíveis.

Uma boa notícia é queda no volume total de spam, que ocorre pela primeira vez na história, apesar de alguns países europeus ainda apresentarem crescimento.

Apesar da redução de mais de 40%, o Brasil ainda continua como terceiro maior produtor de spam do mundo.

Para ver o relatório completo basta acessar aqui.

Até a próxima.