Só um comentário

Por André Ortega, 05/10/2010 16:38

A Cisco lançou hoje os novos ASA 5585-X, firewall e IPS de alto desempenho. A nova família, desenvolvida para o mercado de data center / missão crítica, conta com quatro modelos, chegando a 20 Gbps de throughput de firewall com o Security Services Processor 60 (ou SSP-60).

Além do throughput elevado, estes novos equipamentos também conseguem suportar um grande número de conexões concorrentes, além de permitir também a criação de até 350.000 novas conexões por segundo (aliás, sempre observe isso, pois só throughput não resolve muito).

Os ASA 5585-X também podem ser concentradores VPN, além de firewall e IPS, e neste quesito as especificações também são interessantes. É possível ter 100 mil sessões VPN concorrentes, com throughput de até 5 Gbps (no modelo SSP-60).

Outro destaque dos novos ASAs, que ocupam 2 RU e tem fontes redundantes, é a estrutura em 64 bits, diferente dos modelos anteriores, que eram 32 bits.

Por enquanto apenas os modelos com SSP-20 e SSP-60 estão disponíveis para compra, e os modelos SSP-10 e SSP-40 devem estar disponíveis no começo de 2011.

Mais informações sobre os novos produtos aqui.

Até a próxima.

(6) Comentários

Por André Ortega, 21/09/2010 10:20

Além de permitir visualizar as mensagens Syslog na console e no ASDM (e enviar para um servidor Syslog), o ASA também pode enviar as mensagens para um endereço de e-mail.

Antes de continuar cuidado: ENVIAR TODOS OS LOGS PARA O EMAIL PODE GERAR UM DoS NO SERVIDOR, E IMPOSSIBILITAR A ANÁLISE, PELA GRANDE QUANIDADE DE MENSAGENS GERADAS.

Com o comando logging mail podemos especificar o servidor de email, o endereço de origem, destino e o nível de log a ser enviado.

Nível de severidade para mensagens syslog:

• 0 or emergencies—System is unusable
• 1 or alerts—Immediate action needed
• 2 or critical—Critical conditions
• 3 or errors—Error conditions
• 4 or warnings—Warning conditions
• 5 or notifications—Normal but significant conditions
• 6 or informational—Informational messages
• 7 or debugging—Debugging messages

O recomendado é enviar mensagens críticas (2), alertas (1) ou emergências (0). E lembre-se que ao selecionar o nível 2, serão geradas mensagens para os níveis 2, 1 e 0.

Exemplo: Configurando o ASA para enviar mensagens syslog por email.

BrainFW01(config)# logging enable
BrainFW01(config)# logging mail critical
BrainFW01(config)# logging from-address brainfw01@brainwork.com.br
BrainFW01(config)# logging recipient-address operador@brainwork.com.br
BrainFW01(config)# smtp-server 10.10.10.50 10.10.10.51

Com esta configuração o ASA enviará mensagens críticas, alertas e emergências, usando o endereço brainfw01 para o email do operador, usando os servidores smtp 10.10.10.50 e 51.

Também é possível criar filtro, usando o comando logging list, e assim diminuir a quantidade de logs gerados.

BrainFW01(config)# logging list log-mail-list 100100-100110
BrainFW01(config)# logging list log-mail-list level critical
BrainFW01(config)# logging mail log-mail-list

Outra opção é especificar o nível de log enviado para cada usuário. Para isso basta informar o level do logging quando for criar o recipien-address.

BrainFW01(config)# logging recipient-address operador@brainwork.com.br level 2
BrainFW01(config)# logging recipient-address administrador@brainwork.com.br level 0

Outras informações no Command Reference 8.2, do ASA.

(2) Comentários

Por André Ortega, 20/07/2010 13:18

Beleza, você tem um firewall. Isso basta?

Veja abaixo 10 dicas para melhorar a administração e a segurança do seu firewall, independe do fabricante.

1. Mantenha o equipamento atualizado: Utilize sempre que possível a versão mais recente/estável do software. Quando aplicável, também instale os patches.
2. Limite o acesso ao firewall: Talvez a regra mais importante em um firewall seja aquela que limita o acesso a partir de determinados hosts/redes. Crie uma regra liberando o acesso apenas para o IP do administrador do firewall, ou da máquina/rede de gerencia.
3. Acesso via SSH e HTTPS: Esta regra vale para todos os equipamentos de rede. O acesso remoto deve ser feito via SSH e/ou HTTPS. Estes protocolos criptografam o tráfego, impedindo que alguém possa capturar sua senha enquanto você acessa o equipamento.
4. Não crie regras genéricas: O firewall é um filtro, e deve ser usado como tal. Não crie regras permitindo tudo para qualquer lugar. Libere o acesso apenas ao que é necessário. E se o firewall permitir, agrupe regras semelhantes.
5. Ordem nas regras: Sempre que um pacote chega ao firewall ele é testado contra as regras definidas, de cima para baixo. É uma boa prática colocar as regras mais específicas e com mais acesso (matches) no topo, evitando que o pacote seja testado em toda a tabela de regras. Isso diminuirá a carga no processamento.
6. Deny Any Any: A última regra na tabela de regras deve ser um deny any any. Ou seja negue tudo de qualquer lugar para qualquer lugar. Também habilite o log nesta regra, assim você poderá verificar o que estão tentando acessar e não está liberado.
7. Diminua o nível de logging: Não adianta habilitar log para todos os eventos. Além de sobrecarregar o firewall, isso irá tornar a análise impossível. Configure o firewall para gerar apenas logs importantes para você.
8. Criptografia com AES: Se você utiliza VPN, configure um protocolo seguro para criptografia, como o AES. Cuidado apenas na hora de escolher quantos bits vai ter a chave (128, 192, 256…). Quanto maior, mais segura, porém mais processamento será utilizado.
9. Redundância: Implementar um segundo firewall para trabalhar como backup, ou dividir a carga, fará aumentar o uptime da rede.
10. Backup: Pois é, quando tudo mais falhar e você tiver que reinstalar o firewall, o backup permitirá a restauração rápida dos serviços.

Quais outras dicas para administração de um firewall??

Até a próxima.

(3) Comentários

Por Rafael Leão, 15/06/2010 07:00

Fala galera!!! Neste post em flash, estarei mostrando como autenticar os usuários que acessam o console, SSh, telnet, e HTTP do PIX, através do IAS (Internet Authentication Service) do Windows, integrado com o AD (Active Directory).

Seja o primeiro a comentar

Por Rafael Leão, 04/05/2010 11:41

Caríssimo leitor… faz um tempinho que não posto nada… mas eu não abandonei o blog!! Bom, vamos ao que interessa…

Certo dia estava fazendo um upgrade de OS em um PIX 525, e quando tinha acabado de apagar a memória flash dele… acabou a energia!!! Mas eu não me abalei e resolvi ver o lado bom disso: pesquisei como fazê-lo via monitor e aproveitei pra fazer este post.

Ao ligar o PIX, o prompt irá dar ao usuário 10 segundos para escolher a opção de boot.

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Flash boot interrupted.

Se for pressionado espaço ou esperar expirar o tempo, o PIX irá procurar uma imagem .bin na memória flash para carregar, e se não encontrar, ele reinicia e repete este processo. No meu caso, como não havia OS na flash, pressionei ESC e entrei em modo monitor, que exibia o prompt da seguinte forma:

Use ? for help.
monitor>

A seguir está um passo-a-passo de todos os processos para fazer o upgrade.

1º) Inicializar uma interface

Conecte um cabo UTP na interface Ethernet 0 ou 1, entre com o comando “interface x”, onde “x” é o número da interface Ethernet conectada ao switch, ou diretamente ao PC por cabo crossover. É necessário que fisicamente o link esteja “up”. Usei a interface Eth1.

monitor> interface 1
0: i8255X @ PCI(bus:0 dev:14 irq:10)
1: i8255X @ PCI(bus:0 dev:13 irq:11)
Using 1: i82557 @ PCI(bus:0 dev:13 irq:11), MAC: 000d.bc0b.a899

2º) Configurar o IP do PIX

Com o comando “address” configura-se o IP que o PIX irá usar para acessar o servidor TFTP.

monitor> address 192.168.10.1
address 192.168.10.1

3º) OPCIONAL – Com o comando “gateway” configura-se o IP do default-gateway. Ex.:

monitor> gateway 192.168.10.100
gateway 192.168.100.1

4º) Especificar o servidor

Com o comando “server”, especificamos o servidor TFTP.

monitor> server 192.168.10.20
server 192.168.10.20

5º) Especificar o nome do arquivo

Com o comando “file”, especificamos o nome do arquivo de imagem.

monitor> file pix804.bin
file pix804.bin

6º) OPCIONAL – Um ping para testar a conectividade…

monitor> ping 192.168.10.20
Sending 5, 100-byte 0×4018 ICMP Echoes to 192.168.10.20, timeout is 4 seconds:
!!!!
Success rate is 80 percent (4/5)

7º) Download da imagem

Para finalizar, entramos com o comando “tftp”, para o PIX baixar a imagem do servidor, e dar boot com ela.

monitor> tftp
tftp pix804.bin@192.168.10.20…………………………………………………………

Pronto? Não… o PIX somente carrega este OS na RAM, para dar boot uma única vez. Após o boot, é necessário copiar a imagem para a flash.

pixfirewall# copy tftp: flash:

Address or name of remote host []? 192.168.10.20

Source filename []? pix804.bin

Destination filename [pix804.bin]?

Accessing tftp://192.168.10.20/pix804.bin…!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Writing file flash:/pix804.bin…

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
7538688 bytes copied in 101.590 secs (74640 bytes/sec)
pixfirewall# boot system flash:/pix804.bin
pixfirewall# wr

Agora sim está terminado. Mas aconteceu uma outra coisa comigo… no próximo post você irá saber!!!

Mais informações aqui!

Até mais… qualquer dúvida mande comentários!