(6) Comentários

Por André Ortega, 26/10/2010 19:01

Já não é novidade (foi anunciado em agosto) mas as certificações CCSP e CCVP, da Cisco, passarão a chamar-se CCNP Security e CCNP Voice, respectivamente. Essas mudanças visam tornar os caminhos das certificações Cisco mais claros (e tenho certeza que para aprovietar a marca CCNP, que é bem forte).

Exceção feita a carreia Design (CCDA, CCDA, CCDP e CCDE) e Service Provider OP (CCNA, CCIP e CCIE), a partir de agora as carreiras Cisco serão padronizadas, começando pela CCENT, indo para o CCNA, CCNP e então o CCIE (e aposto que o CCIP vai se tornar CCNP algumacoisa no futuro – CCPN Operations??).

Até maio de 2011 ainda poderão ser realizadas as provas do CCSP, mas desde já estão disponíveis as provas do novo CCNP Security (642-637 SECURE v1.0, 642-617 FIREWALL v1.0, 642-647 VPN v1.0 e 642-627 IPS v7.0 – a partir de 26/11/10).

Já o CCVP terá as provas disponíveis até 28 de fevereiro de 2011. A partir dai apenas as provas do CCNP Voice poderão ser feitas (642-437 CVOICE v8.0, 642-447 CIPT1 v8.0, 642-457 CIPT2 v8.0, 642-427 TVOICE v8.0 e 642-467 CAPPS v8.0). Todas as novas provas do CCNP Voice estão disponíveis.

Se você já fez alguma prova do CCVP, pode escolher entre continuar fazendo as provas do CCVP ou fazer as novas (CCNP Voice). Elas podem ser combinadas sem problema, pois foram apenas atualizadas.

No caso do CCSP/CCNP Security é mais complicado, já que as novas provas são diferentes das velhas. Se você fez algum prova do CCSP use esta ferramenta para saber as possíveis combinações.

Outras informações sobre sobre certificações Cisco no site The Cisco Learning Network.

Até a próxima.

ATUALIZAÇÃO: O CCSP não mudará de nome. Na verdade o CCNP Security será uma outra certificação, que possivelmente, no futuro, substituirá o CCSP.

Só um comentário

Por André Ortega, 05/10/2010 16:38

A Cisco lançou hoje os novos ASA 5585-X, firewall e IPS de alto desempenho. A nova família, desenvolvida para o mercado de data center / missão crítica, conta com quatro modelos, chegando a 20 Gbps de throughput de firewall com o Security Services Processor 60 (ou SSP-60).

Além do throughput elevado, estes novos equipamentos também conseguem suportar um grande número de conexões concorrentes, além de permitir também a criação de até 350.000 novas conexões por segundo (aliás, sempre observe isso, pois só throughput não resolve muito).

Os ASA 5585-X também podem ser concentradores VPN, além de firewall e IPS, e neste quesito as especificações também são interessantes. É possível ter 100 mil sessões VPN concorrentes, com throughput de até 5 Gbps (no modelo SSP-60).

Outro destaque dos novos ASAs, que ocupam 2 RU e tem fontes redundantes, é a estrutura em 64 bits, diferente dos modelos anteriores, que eram 32 bits.

Por enquanto apenas os modelos com SSP-20 e SSP-60 estão disponíveis para compra, e os modelos SSP-10 e SSP-40 devem estar disponíveis no começo de 2011.

Mais informações sobre os novos produtos aqui.

Até a próxima.

(6) Comentários

Por André Ortega, 21/09/2010 10:20

Além de permitir visualizar as mensagens Syslog na console e no ASDM (e enviar para um servidor Syslog), o ASA também pode enviar as mensagens para um endereço de e-mail.

Antes de continuar cuidado: ENVIAR TODOS OS LOGS PARA O EMAIL PODE GERAR UM DoS NO SERVIDOR, E IMPOSSIBILITAR A ANÁLISE, PELA GRANDE QUANIDADE DE MENSAGENS GERADAS.

Com o comando logging mail podemos especificar o servidor de email, o endereço de origem, destino e o nível de log a ser enviado.

Nível de severidade para mensagens syslog:

• 0 or emergencies—System is unusable
• 1 or alerts—Immediate action needed
• 2 or critical—Critical conditions
• 3 or errors—Error conditions
• 4 or warnings—Warning conditions
• 5 or notifications—Normal but significant conditions
• 6 or informational—Informational messages
• 7 or debugging—Debugging messages

O recomendado é enviar mensagens críticas (2), alertas (1) ou emergências (0). E lembre-se que ao selecionar o nível 2, serão geradas mensagens para os níveis 2, 1 e 0.

Exemplo: Configurando o ASA para enviar mensagens syslog por email.

BrainFW01(config)# logging enable
BrainFW01(config)# logging mail critical
BrainFW01(config)# logging from-address brainfw01@brainwork.com.br
BrainFW01(config)# logging recipient-address operador@brainwork.com.br
BrainFW01(config)# smtp-server 10.10.10.50 10.10.10.51

Com esta configuração o ASA enviará mensagens críticas, alertas e emergências, usando o endereço brainfw01 para o email do operador, usando os servidores smtp 10.10.10.50 e 51.

Também é possível criar filtro, usando o comando logging list, e assim diminuir a quantidade de logs gerados.

BrainFW01(config)# logging list log-mail-list 100100-100110
BrainFW01(config)# logging list log-mail-list level critical
BrainFW01(config)# logging mail log-mail-list

Outra opção é especificar o nível de log enviado para cada usuário. Para isso basta informar o level do logging quando for criar o recipien-address.

BrainFW01(config)# logging recipient-address operador@brainwork.com.br level 2
BrainFW01(config)# logging recipient-address administrador@brainwork.com.br level 0

Outras informações no Command Reference 8.2, do ASA.

(2) Comentários

Por André Ortega, 20/07/2010 13:18

Beleza, você tem um firewall. Isso basta?

Veja abaixo 10 dicas para melhorar a administração e a segurança do seu firewall, independe do fabricante.

1. Mantenha o equipamento atualizado: Utilize sempre que possível a versão mais recente/estável do software. Quando aplicável, também instale os patches.
2. Limite o acesso ao firewall: Talvez a regra mais importante em um firewall seja aquela que limita o acesso a partir de determinados hosts/redes. Crie uma regra liberando o acesso apenas para o IP do administrador do firewall, ou da máquina/rede de gerencia.
3. Acesso via SSH e HTTPS: Esta regra vale para todos os equipamentos de rede. O acesso remoto deve ser feito via SSH e/ou HTTPS. Estes protocolos criptografam o tráfego, impedindo que alguém possa capturar sua senha enquanto você acessa o equipamento.
4. Não crie regras genéricas: O firewall é um filtro, e deve ser usado como tal. Não crie regras permitindo tudo para qualquer lugar. Libere o acesso apenas ao que é necessário. E se o firewall permitir, agrupe regras semelhantes.
5. Ordem nas regras: Sempre que um pacote chega ao firewall ele é testado contra as regras definidas, de cima para baixo. É uma boa prática colocar as regras mais específicas e com mais acesso (matches) no topo, evitando que o pacote seja testado em toda a tabela de regras. Isso diminuirá a carga no processamento.
6. Deny Any Any: A última regra na tabela de regras deve ser um deny any any. Ou seja negue tudo de qualquer lugar para qualquer lugar. Também habilite o log nesta regra, assim você poderá verificar o que estão tentando acessar e não está liberado.
7. Diminua o nível de logging: Não adianta habilitar log para todos os eventos. Além de sobrecarregar o firewall, isso irá tornar a análise impossível. Configure o firewall para gerar apenas logs importantes para você.
8. Criptografia com AES: Se você utiliza VPN, configure um protocolo seguro para criptografia, como o AES. Cuidado apenas na hora de escolher quantos bits vai ter a chave (128, 192, 256…). Quanto maior, mais segura, porém mais processamento será utilizado.
9. Redundância: Implementar um segundo firewall para trabalhar como backup, ou dividir a carga, fará aumentar o uptime da rede.
10. Backup: Pois é, quando tudo mais falhar e você tiver que reinstalar o firewall, o backup permitirá a restauração rápida dos serviços.

Quais outras dicas para administração de um firewall??

Até a próxima.

(3) Comentários

Por Rafael Leão, 15/06/2010 07:00

Fala galera!!! Neste post em flash, estarei mostrando como autenticar os usuários que acessam o console, SSh, telnet, e HTTP do PIX, através do IAS (Internet Authentication Service) do Windows, integrado com o AD (Active Directory).