Seja o primeiro a comentar

Por André Ortega, 09/09/2009 22:19

Por razões de segurança, o ASA/PIX não aparece quando fazemos um tracert (ou traceroute). Ele fica “invisível” para este tipo de tráfego deixando o pacote passar sem decrementar o TTL.

Exemplo: Com a configuração padrão o usuário não consegue ver o ASA como um dos “hops”.

C:\>tracert 200.221.11.100

Rastreando a rota para brahms.uol.com.br [200.221.11.100]
com no máximo 30 saltos:

1     1 ms    <1 ms    <1 ms  200.1.1.1  <—- O roteador é o primeiro “hop”
2     *        *        *     Esgotado o tempo limite do pedido.
3     *        *        *     Esgotado o tempo limite do pedido.
4     *          27 ms    28 ms  201.0.5.121
5    60 ms    57 ms    59 ms  201.63.253.154
6    84 ms   121 ms   152 ms  201.63.253.182
7    27 ms   47 ms    60 ms  189.109.69.74]
8    28 ms    26 ms    28 ms  200.221.136.102
9    26 ms    25 ms    26 ms  brahms.uol.com.br [200.221.11.100]

Rastreamento concluído.

C:\>

Apesar deste ser o comportamento padrão do firewall, muitas vezes precisamos que todos os “hops” do caminho sejam identificados. Para isso é necessário configurar o ASA/PIX para que ele passe a decrementar o TTL, e assim ser identificado no tracert.

Nas versões mais recentes (a partir da versão 8.0 (3)) basta entrar no policy-map padrão, depois na class-default e colocar o comando set connection decrement-ttl.

Configuração: Decrementando TTL no tráfego layer 3 que passa pelo ASA/PIX.

BrainFW01# conf t
BrainFW01(config)# policy-map global_policy
BrainFW01(config-pmap)# class class-default
BrainFW01(config-pmap-c)# set connection decrement-ttl
BrainFW01(config-pmap-c)# end
BrainFW01#

Com a configuração acima o ASA/PIX começará a “aparecer” no tracert.

C:\>tracert 200.221.11.100

Rastreando a rota para brahms.uol.com.br [200.221.11.100]
com no máximo 30 saltos:

1     1 ms    <1 ms    <1 ms  200.1.1.2    <—- IP da outside do ASA
2    <1 ms     *       <1 ms  200.1.1.1
3     *        *        *     Esgotado o tempo limite do pedido.
4     *        *        *     Esgotado o tempo limite do pedido.
5     *           28 ms    28 ms  201.0.5.121
6    60 ms    57 ms    59 ms  201.63.253.154
7    84 ms   101 ms   152 ms  201.63.253.182
8    27 ms   101 ms    27 ms  189.109.69.74]
9    28 ms    26 ms    28 ms  200.221.136.102
10    26 ms    25 ms    26 ms  brahms.uol.com.br [200.221.11.100]

Rastreamento concluído.

C:\>

Além desta configuração, para que o ASA/PIX aceite o tracert, é preciso liberar o ICMP nas access-lists aplicadas nas interfaces outside e inside (caso exista uma).

Mais detalhes neste link, e até a próxima.

(2) Comentários

Por André Ortega, 23/07/2009 09:34

Existe apenas um hardware e um software para cada modelo de ASA. Ou seja, para todo ASA 5510 é o mesmo hardware e software (claro que existem as versões, mas toda versão 8.0 é igual…), assim como para o ASA5505, ASA5520 e demais modelos. Podemos dizer que todo ASA é “k8” por padrão.

O "k9" no nome do equipamento, indica especificamente o uso de uma licença adicional e GRATUITA que habilita, unicamente, o algoritmo de criptografia 3DES (mais seguro, já que utiliza 168 bit, ao invés dos 56 do DES) normalmente utilizado para configuração de VPN.

Podemos confirmar isso conectando em um equipamento ASA "k9" e dar o comando dir. Observe que vai aparecer o nome do software por ele utilizado com a indicação “k8” (algo do tipo asa821-k8.bin).

Qual a diferença de comprar o ASA “k9” e o ASA “k8”?

Quando você adquiri o ASA “k9” ele já vem da Cisco com a licença para criptografia 3DES inclusa. Já o “k8” vem apenas com o DES habilitado, e você, se quiser, tem que adicionar o licença. Para isso, com o equipamento em mãos basta entrar no site da Cisco (www.cisco.com/go/license) e baixar a licença,  transformando o ASA “k8” em “k9” (leia-se habilitar a criptografia 3DES).

Já que é gratuito e mais seguro, por que não usar apenas o “k9” direto?

O governo americano controla rigidamente a exportação de produtos que utilizam criptografia avançada, como é o caso do 3DES, para o nosso país (parece que não somos vistos com bons olhos… ).

Uma das normas desse controle impede que os distribuidores/revendas armazenem produtos com este protocolo de criptografia, já que eles só podem sair do EUA quando o cliente final é conhecido.

Assim só existe em estoque o produto “k8” e quando é vendido, o próprio cliente ou a revenda realiza o cadastro do cliente no site do fabricante e baixa a licença, transformando o equipamento em “k9”.

Como saber se o ASA é “k8” ou “k9”?

Para saber se o dispositivo é "k8" ou "k9" digite show version e verifique se o 3DES está habilitado. Se tiver é "k9".

Se você comprar um ASA, mesmo que seja k8 pode pedir para o vendedor a licença 3DES, ou fazer a “transformação” sozinho.

Até a próxima.

(2) Comentários

Por André Ortega, 01/07/2009 03:41

O NTP – Network Time Protocol, é um protocolo que permite a sincronização do relógio dos equipamentos na rede. Esta funcionalidade é extremamente importante, pois apenas com os relógios marcando a hora certa podemos analisar incidentes de forma correta. Do que adiantaria ter um log e não saber quando o problema ocorreu?

Para habilitar esta funcionalidade utilizamos quatro comando, como ilustrado abaixo. Observe que é obrigatório a autenticação do servidor, antes da sincronização do time.

Topologia: O Servidor NTP está na rede interna, e tem o IP 172.16.1.9

Configuração:

! Crie uma chave (3 neste caso) e defina a senha para autenticação (cisco)
ntp authentication-key 3 md5 cisco
! Configure a chave criada como confiável
ntp trusted-key 3
! Especifique o IP do servidor, a chave que será usada e a interface por onde ele será alcançado
ntp server 172.16.1.9 key 3 source inside prefer
! Habilite a autenticação para o NTP
ntp authenticate

Todo pacote NTP enviado pelo servidor deverá conter o identificar 3 na chave para que o ASA os aceite.

Até a próxima.

Só um comentário

Por André Ortega, 28/06/2009 05:27

O ASA – Adaptive Security Appliance, firewall da Cisco, trabalha com os arquivos de configuração da mesma forma que os roteadores, apesar de não utilizar o IOS. Veja abaixo os arquivos e como usá-los.

Running-config: configuração atual, gravada na memória RAM e em uso. As alterações de configuração são feita diretamente na running-config e tem efeito imediato. Para ver a configuração em uso podemos usar o comando show running-config ou write terminal.

Startup-config: configuração salva na flash. Quando o equipamento inicia ele carrega a configuração da startup-config (flash) e copia para a running-config (RAM). Para visualizar a configuração salva na memória flash utilize o comando show startup-config ou show configure.

Copy running-config startup-config: copia as configurações da RAM para a flash. Assim se o equipamento for desligado ele não perderá as configurações.

Clear config all: apaga toda a configuração da running-config (RAM), sem alterar a startup-config.

Configure factory-default: Retorna a configuração ao padrão de fábrica. Nos modelos PIX515 e PIX515E, e nos ASAs acima do 5510 este comando configura um IP na interface de gerencia e deixa pronto para acesso via ASDM. No ASA5505 este comando automaticamente configura as interfaces inside e outside e o NAT, deixando o equipamento preparado para o uso.

Write erase: apaga o conteúdo da startup-config.

Security Level

O Security Level informa o quanto uma interface é segura em relação a outra interface. Normalmente a interface inside (conectada a LAN) tem Security Level 100, enquanto a interface conectada a Internet (outside) tem Security Level 0. Outras interfaces podem ser definidas com valores de 1 a 99 (também é possível usar os valores 0 e 100 em outras interfaces).

Por padrão, o tráfego originado em uma interface mais segura (Security Level maior) pode ir para uma interface menos secura, mas o contrário é bloqueado.

Para que o tráfego da interface com menor Security Level vá para a interface com maior Security Level é necessário liberar o tráfego explicitamente (através de access-list).

Por padrão, o tráfego entre interfaces que tenham o mesmo Security Level é bloqueado, podendo ser liberado como o comando same-security-traffic permit.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 07/06/2009 04:46

Como mencionei no post IPS no ASA5505 o módulo AIP-SSC-5 não possui nenhuma interface, mas mesmo assim podemos configurá-lo via console ou acesso remoto, através de seu IP de gerência.

1°) Acessando via console

Acesse o ASA via linha de comando, e digite session 1. Com isso você entrará na console do módulo.

asa# session 1
Opening command session with slot 1.
Connected to slot 1. Escape character sequence is ‘CTRL-^X’.

Login: cisco
Password:
***NOTICE***
This product contains cryptographic features and is subject to United States and local
country laws governing import, export, transfer and use. Delivery of Cisco cryptographic
products does not imply third-party authority to import, export, distribute or use
encryption. Importers, exporters, distributors and users are responsible for compliance
with U.S. and local country laws. By using this product you agree to comply with
applicable laws and regulations. If you are unable to comply with U.S. and local laws,
return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to export@cisco.com.

***LICENSE NOTICE***
There is no license key installed on the system.
Please go to http://www.cisco.com/go/license to obtain a new license or install a license.
aip-ssm#

2°) Através do IP de Gerência

O módulo não tem interface física, mas podemos criar uma interface VLAN no ASA e através dele chegar ao IPS, para gerência. Para isso siga o procedimento abaixo:

!Por padrão a VLAN 1 é a VLAN de gerência do ASA (interface inside), mas devemos desabilitá-la
hostname(config)# interface vlan 1
hostname(config-if)# no allow-ssc-mgmt

! Crie um interface VLAN qualquer e defina o nome
hostname(config-if)# interface vlan 20
hostname(config-if)# nameif inside

! Coloque o IP para gerência do ASA e o security-level
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# security-level 100

! Configure a interface para permitir a gerência do módulo e habilite a interface
hostname(config-if)# allow-ssc-mgmt
hostname(config-if)# no shutdown

! Configure a interface para servir apenas para gerência
hostname(config-if)# management-only

! Configure o IP de gerência do módulo e seu gateway
hostname(config)# hw-module module 1 ip 10.1.1.2 255.255.255.0 10.1.1.1

! Especifique quem pode acessar o módulo para administração (10.1.1.30, neste exemplo)
hostname(config)# hw-module module 1 allow-ip 10.1.1.30 255.255.255.255

! Associe a VLAN a uma interface física do ASA e habilite a interface
hostname(config)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 20
hostname(config-if)# no shutdown

Com esta configuração acima, podemos acessar o ASA através do IP 10.1.1.1 e o módulo IPS através do IP 10.1.1.2. Observe porém, que nesta configuração apenas o host 10.1.1.30 poderá acessar o IPS.

Após acessar o módulo, pela console ou pelo IP de gerência, basta digitar setup que será apresentado um prompt interativo para que a configuração inicial seja realizada, assim como nos demais módulos e appliances IPS.

Por padrão o módulo AIP-SSC-5 vem configurado com usuário e senha cisco, IP administrativo 192.168.1.2/24, gateway 192.168.1.1 e permite o acesso remoto da rede 192.168.1.0/24.

Direcionando o tráfego para inspeção no IPS

A configuração do ASA5505 para enviar o tráfego para inspeção no módulo AIP-SSC-5 é exatamente igual a configuração realizada nos ASA5510, ASA5520 e ASA5540 para inspeção nos módulos AIP-SSM.

Exemplo: Configuração do ASA (5505, 5510, 5520 ou 5540) para envio de tráfego para o módulo IPS (AIP-SSC-5, AIP-SSM10 ou AIP-SSM20)

! Conecte no ASA e entre no modo de configuração global
asa# configure terminal

! Crie uma access-list selecionando o tráfego que será inspecionado (neste exemplo, todo o tráfego)
asa(config)# access-list aclips permit ip any any

! Crie um class-map que identificará o tráfego que será enviado para o módulo
asa(config)# class-map ips_class

! Dentro do class-map indique a access-list criada acima para seleção do tráfego
asa(config-cmap)# match access-list aclips

! Agora crie um policy-map, que definirá a ação que será tomada com relação ao tráfego selecionado
asa(config-cmap)# policy-map ips_policy

! Dentro do policy-map especifique o class-map criado anteriormente
asa(config-pmap)# class ips_class

! Especifique se o IPS trabalhará inline ou em modo promíscuos e como o tráfego será tratado se o IPS falhar
Observação:    fail-close: Se o IPS falhar todo o tráfego selecionado para inspeção será bloqueado
                      fail-open: Se o IPS falhar todo o tráfego selecionado para inspeção será liberado
asa(config-pmap-c)# ips inline fail-open

! Ative o service policy em uma interface ou em modo global
asa(config)# service-policy ips_policy outside

Com esta configuração todo o tráfego ip que entrar ou sair pela interface outside, será enviado para inspeção no módulo IPS. Se o módulo parar de funcionar o tráfego será enviado para seu destino normalmente, sem a análise do IPS no entanto.

O guia completo para configuração de IPS pode ser encontrado no site da Cisco.

Até a próxima.