(5) Comentários

Por André Ortega, 01/06/2011 10:03

A versão 8.4(x) do ASA OS – no momento está na versão 8.4(1), traz algumas novidades interessantes. Esta versão foi totalmente reescrita, e é este software que servirá de base para que novas funcionalidades sejam implantadas no futuro.

Abaixo algumas novidades.

• No Payload Encryption: A partir desta versão é possível adquirir o ASA sem “Payload Encryption”. Por mais estranho que isso possa parecer, já que se trata de um firewall, isso é necessários para vender em alguns países que não são muito amigos dos EUA.
• VPN com Android: Uma funcionalidade que já estava fazendo falta… Na versão 8.4 é possível fechar VPN (L2TP/IPSec) a partir de um dispositivo Android (2.1 ou superior), através do client nativo.
• IKEv2: Suporte a utilização do IKEv2 em VPN IPSec, site-to-site ou remote access (com o client AnyConnect).
• SSL SHA-2: Esta versão suporta o algoritmo SHA-2 para autenticar conexões SSLVPN que usam certificados digitais. São suportadas as versões SHA-256, SHA-384 e SHA-512.
• SCEP Proxy: Funcionalidade que permite a automação da distribuição de certificados de terceiros para o AnyConnect Secure Mobility Client.
• Kerberos Constrained Delegation: O KCD permite que usuários logados na SSLVPN (clientless) façam single sing-on em sites protegidos pelo Kerberos. Ou seja, após logar na VPN não é necessários entrar com as credenciais novamente para acessar o OWA ou SharePoint, por exemplo.
• Etherchannel: Assim como os switches e roteadores, agora o ASA (a partir do 5510) tem suporte a Etherchannel .
• Stateful Failover com Protocolo de Roteamento: Rotas que são aprendidas através de protocolos de roteamento dinâmico (como OSPF e EIGRP) na unidade ativa são mantidas na Routing Information Base (RIB) na unidade standby. Assim a unidade secundária, quando ativa, terá o mínimo de interrupção, pois as rotas já são conhecidas.
• TCP Ping: Com esta funcionalidade é possível escolher o IP de destino, a interface de origem e a porta TCP que você quer verificar.
• Top CPU Processes: Novo comando show process cpu-usage sorted mostra quanto da CPU os processo estão utilizando.
• Encryption Visibility: Comando show Encryption Visibility mostra as senhas criptografadas em um security context.

Além de novas funcionalidades o software 8.4 aumenta a capacidade de contextos, VLANs, Conexões e VPN nos appliances 5550, 5580 e 5585.

Upgrade de memória

Os equipamentos fabricados antes de fevereiro de 2010 precisam de upgrade de memória DRAM para suportar o novo software. Já os equipamentos fabricados após fevereiro de 2010 já vem de fábrica com a quantidade de memória requerida.

Veja todas as novas funcionalidades e outras informações sobre a versão 8.4 (x) do ASA OS no release notes.

Ate a próxima.

Seja o primeiro a comentar

Por André Ortega, 29/03/2011 17:19

A nova versão de software do Cisco ASA traz algumas novidades e também mudanças em algumas sintaxes de configuração. A configuração de NAT foi uma das que sofreram alterações (desde a versão 8.3, aliás).

A idéia da Cisco é que toda configuração de NAT seja orientada a objetos. E apesar da falta de costume, acho que isso vai facilitar a configuração.

Tipos de NAT (para relembrar):

• NAT estático: NAT onde um IP real é associado a um IP mapeado (um-para-um). Permite a iniciação de tráfego nos dois sentidos. Um exemplo comum é um host que está na rede interna e é publicado na Internet. A comunicação deste host com a Internet poderá ser iniciado por ele ou para ele. Uma variação é o NAT estático com PAT. Neste caso é possível publicar um serviço sem dar acesso completo ao host. Um servidor web por exemplo pode ter apenas a porta 80 publicada.
• NAT Dinâmico: Permite a tradução de um grupo de hosts com IP real para um pool de IP mapeado. O pool normalmente tem menos IPs do que o grupo de hosts com IP real. Neste tipo de NAT (muitos-para-muitos) apenas o host com IP real pode iniciar o tráfego, e é usado para permitir que os usuários tenham acesso a Internet, por exemplo.
• PAT Dinâmico: Um grupo de hosts com IP real é traduzido para um único IP mapeado, mas cada um usa uma porta diferente (muitos-para-um). Este tipo de NAT também é usado para permitir que hosts internos tenham acesso a Internet, e com a vantagem de usar apenas um IP público.
• NAT Identidade (NAT 0): NAT que permite a tradução de um endereço IP para ele mesmo (fazendo um bypass no NAT). Normalmente é usado para acesso VPN.

* IP real é o IP que será traduzido, enquanto que o IP mapeado é o endereço para o qual o IP real foi traduzido.

Configuração de NAT dinâmico, no ASA OS 8.4

Neste exemplo temos a rede interna com 254 hosts e um pool com 4 endereços públicos, o que caracteriza o NAT muitos-para-muitos.

O primeiro host a passar pelo ASA usará o primeiro IP disponível, e assim por diante, até esgotarem-se os IPs do pool.

BrainFW01# conf t
BrainFW01(config)# object network ips-publicos
BrainFW01(config-network-object)# range 200.20.20.2 200.20.20.5
BrainFW01(config)# object network minha-rede-interna
BrainFW01(config-network-object)# subnet 192.168.0.0 255.255.255.0
BrainFW01(config-network-object)# nat (inside,outside) dynamic ips-publicos

Como o pool é limitado (após o quarto host interno acessar a Internet os demais hosts não terão acesso), é normal que haja um backup, com o PAT dinâmico.

Configuração de PAT dinâmico, no ASA OS 8.4

Neste exemplo ao invés de um pool temos apenas um endereço da rede pública. Este é um NAT dinâmico, mas todos os hosts internos usarão o mesmo IP externo (200.20.20.7).

BrainFW01# conf t 
BrainFW01(config)# object network minha-rede-interna
BrainFW01(config-network-object)# subnet 192.168.0.0 255.255.255.0
BrainFW01(config-network-object)# nat (inside,outside) dynamic 200.20.20.7

Temos uma variação desta configuração com a utilização da interface outside do ASA. Neste caso os hosts internos serão traduzidos para o IP 200.20.20.1.

BrainFW01# conf t
BrainFW01(config)# object network minha-rede-interna
BrainFW01(config-network-object)# subnet 192.168.0.0 255.255.255.0
BrainFW01(config-network-object)# nat (inside,outside) dynamic interface

O PAT dinâmico é uma ótima forma de preservar seus IPs públicos, pois um único IP pode servir para mais de 64.000 mil conexões.

Mais informações sobre NAT na versão 8.4 do ASA OS neste link.

Até a próxima.

(6) Comentários

Por André Ortega, 21/09/2010 10:20

Além de permitir visualizar as mensagens Syslog na console e no ASDM (e enviar para um servidor Syslog), o ASA também pode enviar as mensagens para um endereço de e-mail.

Antes de continuar cuidado: ENVIAR TODOS OS LOGS PARA O EMAIL PODE GERAR UM DoS NO SERVIDOR, E IMPOSSIBILITAR A ANÁLISE, PELA GRANDE QUANIDADE DE MENSAGENS GERADAS.

Com o comando logging mail podemos especificar o servidor de email, o endereço de origem, destino e o nível de log a ser enviado.

Nível de severidade para mensagens syslog:

• 0 or emergencies—System is unusable
• 1 or alerts—Immediate action needed
• 2 or critical—Critical conditions
• 3 or errors—Error conditions
• 4 or warnings—Warning conditions
• 5 or notifications—Normal but significant conditions
• 6 or informational—Informational messages
• 7 or debugging—Debugging messages

O recomendado é enviar mensagens críticas (2), alertas (1) ou emergências (0). E lembre-se que ao selecionar o nível 2, serão geradas mensagens para os níveis 2, 1 e 0.

Exemplo: Configurando o ASA para enviar mensagens syslog por email.

BrainFW01(config)# logging enable
BrainFW01(config)# logging mail critical
BrainFW01(config)# logging from-address brainfw01@brainwork.com.br
BrainFW01(config)# logging recipient-address operador@brainwork.com.br
BrainFW01(config)# smtp-server 10.10.10.50 10.10.10.51

Com esta configuração o ASA enviará mensagens críticas, alertas e emergências, usando o endereço brainfw01 para o email do operador, usando os servidores smtp 10.10.10.50 e 51.

Também é possível criar filtro, usando o comando logging list, e assim diminuir a quantidade de logs gerados.

BrainFW01(config)# logging list log-mail-list 100100-100110
BrainFW01(config)# logging list log-mail-list level critical
BrainFW01(config)# logging mail log-mail-list

Outra opção é especificar o nível de log enviado para cada usuário. Para isso basta informar o level do logging quando for criar o recipien-address.

BrainFW01(config)# logging recipient-address operador@brainwork.com.br level 2
BrainFW01(config)# logging recipient-address administrador@brainwork.com.br level 0

Outras informações no Command Reference 8.2, do ASA.

Seja o primeiro a comentar

Por André Ortega, 18/02/2010 10:23

A Cisco anunciou ontem, dia 17, uma lista de vulnerabilidades que afetam o ASA, PIX, o módulo FWSM (para 6500 e 7600) e ainda o CSA – Cisco Security Agent. Todos os problemas podem ser evitados com a atualização do software, já disponível (menos para o PIX).

Todos os clientes podem atualizar seus softwares, para corrigir estes problemas, mesmos os que não estejam cobertos pelo Smartnet. Para isso é necessário entrar em contato com o TAC, informar o número de série e fornecer a URL do anúncio das vulnerabilidades (que estão abaixo).

Ainda não há registros de uso mal intencionado destas vulnerabilidades, sendo os problemas encontrados pela própria Cisco.

ASA

Todos os modelos do ASA são afetados, dependendo da versão do software, mais ou menos problemas são encontrados. E as falhas não são interdependentes, de forma que uma release pode ser afetada por uma vulnerabilidade, e por outra não.

Veja os detalhes do anúncio, produtos afetados, workarounds e demais informações aqui.

FWSM

No módulo FWSM o problema ocorre quando um pacote SCCP mal formado é processado. Este erro pode fazer o módulo reiniciar.

Apenas a versão 4.0 é afetada, e a correção é encontrada no software a partir da versão 4.0 (8).

Mais informações no anúncio oficial, aqui.

CSA

O CSA, que vem instalado em diversos produtos, como Call Manager, IPCC Express, Unity, ACS e outros, sofre com problemas de DoS, SQL Injection e Directory Traversal.

No quadro abaixo as versões afetadas e as opções para correção.

Outras informações sobre as vulnerabilidades do CSA aqui.

PIX

Os firewall da família PIX também são afetados pelas vulnerabilidades listadas abaixo.

• TCP Connection Exhaustion Denial of Service Vulnerability
• SIP Inspection Denial of Service Vulnerabilities
• SCCP Inspection Denial of Service Vulnerability
• Crafted IKE Message Denial of Service Vulnerability
• NTLMv1 Authentication Bypass Vulnerability

Porém, como já estão com o End Of Software Maintenance (desde 28 de julho de 2009) não foram desenvolvidas correções para estes problemas.

Para minimizar o problema alguns workaround estão disponíveis. Veja aqui como proceder.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 26/01/2010 10:21

Já foi o tempo em que a ameaça vinha de fora… Com as botnets, além de nos preocuparmos com possíveis ataques, também precisamos garantir que não estamos “atacando” ninguém.

Botnets são rede de computadores infectados, que passam a ser controladas pelo botmaster. Uma botnet pode ter computadores espalhados pelo mundo, e seu controlador a utiliza, sem que os verdadeiros donos dos PCs percebam, para enviar spam e fazer ataques, entre outros.

Segundo estimativa do FBI, existem entre 1 e 5 milhões de hosts infectados nos Estados Unidos e uma botnet pode ser “alugada” por até 50 mil dólares por dia.

Para evitar estes tipo de problema o Cisco ASA, com a licença apropriada, pode fazer a verificação dinâmica, através de URL ou IP, e identificar a comunicação entre um host infectado e seu controlador.

Após habilitar a verificação, quando um host interno tenta acessar uma URL, o ASA consulta o DNS para transformar a URL em IP e então compara com sua base de dados, que é constantemente atualizado pelo Cisco Security Intelligence Operations (trabalha com reputação, como o Senderbase e o Ironport). Caso este IP esteja na base de dados, ele é adicionado no DNS Reverse Lookup Cache, que é consultado quando a conexão é realizada. Assim, todas vez que um host se conectar a este IP é gerando um log, para que o administrador possa tomar as medidas cabíveis.

Também é possível criar sua própria blacklist e whitelist.

Configurando o ASA para detectar botnets

1°) Configure o DNS no ASA, para que as URLs (nomes) possam ser convertidos para IP.

dns domain-lookup outside
dns server-group DefaultDNS
name-server 8.8.8.8
domain-name brainwork.com.br

2°) Habilite o dynamic-filter updater-client, para baixar as atualizações do SIO.

dynamic-filter updater-client enable

3°) Configure o ASA para utilizar o banco de dados (também podemos configurar para usar black list).

dynamic-filter use-database

4°) Habilite a filtragem para todos os protocolos.

access-list dynamic-filter_acl extended permit ip any any

5°) Aplique a filtragem na interface de saída, neste caso a outside.

dynamic-filter enable interface outside classify-list dynamic-filter_acl

6°) Agora habilite o DNS snooping na interface outside, que fará a inspeção nas consultas DNS.

class-map dynamic-filter_snoop_class
match port udp eq domain
policy-map dynamic-filter_snoop_policy
class dynamic-filter_snoop_class
inspect dns dynamic-filter-snoop
service-policy dynamic-filter_snoop_policy interface outside

7°) (Opcional) Adicione entradas na black e white lists.

dynamic-filter blacklist
name exemploblack1.com.br
name exemploblack2.com.ru
address 200.20.20.1 255.255.255.255
dynamic-filter whitelist
name exemplowhite1.com.br
name exemplowhite2.com
address 200.30.1.1 255.255.255.255

Bloqueando a botnet

Após as configurações o ASA passará a gerar logs quando um host tentar acessar um IP com má reputação.

Exemplo de log

ASA-4-338002: Dynamic Filter permitted black listed TCP traffic from inside:10.1.1.45/6798 (209.165.201.1/7890) to outside:209.165.202.129/80 (209.165.202.129/80), destination 209.165.202.129 resolved from dynamic list: bad.example.com

Após verificar o log, devemos impedir que o host infectado tenha acesso a rede.

1°) Crie uma access-list.

access-list bloquear_botnet extended deny ip host 10.1.1.45 host 209.165.202.129
access-list bloquear_botnet extended permit ip any any

2°) Aplique a access-list na interface outside.

access-group bloquear_botnet out interface outside

No site da Cisco também tem um vídeo tutorial, mostrando como fazer esta configuração via ASDM.

Até a próxima.