(2) Comentários

Por André Ortega, 23/07/2009 09:34

Existe apenas um hardware e um software para cada modelo de ASA. Ou seja, para todo ASA 5510 é o mesmo hardware e software (claro que existem as versões, mas toda versão 8.0 é igual…), assim como para o ASA5505, ASA5520 e demais modelos. Podemos dizer que todo ASA é “k8” por padrão.

O "k9" no nome do equipamento, indica especificamente o uso de uma licença adicional e GRATUITA que habilita, unicamente, o algoritmo de criptografia 3DES (mais seguro, já que utiliza 168 bit, ao invés dos 56 do DES) normalmente utilizado para configuração de VPN.

Podemos confirmar isso conectando em um equipamento ASA "k9" e dar o comando dir. Observe que vai aparecer o nome do software por ele utilizado com a indicação “k8” (algo do tipo asa821-k8.bin).

Qual a diferença de comprar o ASA “k9” e o ASA “k8”?

Quando você adquiri o ASA “k9” ele já vem da Cisco com a licença para criptografia 3DES inclusa. Já o “k8” vem apenas com o DES habilitado, e você, se quiser, tem que adicionar o licença. Para isso, com o equipamento em mãos basta entrar no site da Cisco (www.cisco.com/go/license) e baixar a licença,  transformando o ASA “k8” em “k9” (leia-se habilitar a criptografia 3DES).

Já que é gratuito e mais seguro, por que não usar apenas o “k9” direto?

O governo americano controla rigidamente a exportação de produtos que utilizam criptografia avançada, como é o caso do 3DES, para o nosso país (parece que não somos vistos com bons olhos… ).

Uma das normas desse controle impede que os distribuidores/revendas armazenem produtos com este protocolo de criptografia, já que eles só podem sair do EUA quando o cliente final é conhecido.

Assim só existe em estoque o produto “k8” e quando é vendido, o próprio cliente ou a revenda realiza o cadastro do cliente no site do fabricante e baixa a licença, transformando o equipamento em “k9”.

Como saber se o ASA é “k8” ou “k9”?

Para saber se o dispositivo é "k8" ou "k9" digite show version e verifique se o 3DES está habilitado. Se tiver é "k9".

Se você comprar um ASA, mesmo que seja k8 pode pedir para o vendedor a licença 3DES, ou fazer a “transformação” sozinho.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 03/07/2009 12:40

Configurar uma VPN IPSec pode não ser uma tarefa fácil. São muitos protocolos e termos envolvidos, e diversas linhas de configuração. Para facilitar um pouco essa tarefa vamos publicar alguns post (simplificando o máximo possível)sobre o assunto, sendo este primeiro post a parte teórica da coisa.

O IPSec é um framework padrão do IETF, definido pela RFC 4301, que proporciona confidencialidade, integridade e autenticação dos dados. Com o IPSec podemos criar um túnel entre dois pontos, por onde os “dados sensíveis” são enviado protegidos. Os “dados sensíveis” são definidos por quem está configurando a VPN, e normalmente são selecionados através de uma access-list.

Nos roteadores e firewalss Cisco são utilizados os seguintes protocolos, para o funcionamento do IPSec:

ESP (Encapsulation Security Payload): É um protocolo IP, tipo 50 (não é UDP nem TCP), que prove integridade, autenticação e confidencialidade dos dados. É usado para criptografar o payload dos pacotes IPs. É o principal protocolos usado pelo IPSec atualmente, e pode ser configurado no modo Túnel ou Transporte. No Túnel o pacote inteiro é encapsulado e protegido, sendo um novo cabeçalho IP adicionado ao pacote. Já no modo Transporte, são criptografados apenas os “dados”, não sendo alterado o cabeçalho original.

AH (Authentication Header): Semelhante ao ESP, porém não faz criptografia, e por isso em breve não será mais suportado pelos equipamentos Cisco. É o protocolo IP tipo 51 (não é UDP nem TCP), prove integridade, autenticação e replay detection. Ele é como uma assinatura digital e garante que o pacote não foi alterado. Assim como o ESP, o AH também pode ser configurado como Túnel ou Transporte. O funcionamento é igual ao do ESP.

Quando configurado o IPSec (com ESP ou AH) o tamanho do pacote aumenta, variando de acordo com as opções selecionadas. No máximo são adicionado 58 bytes (quando usando ESP com autenticação) por pacote.

IKE (Internet Key Exchange): Protocolo hibrido que fornece para o IPSec a autenticação dos Peers, negociação do IKE e IPSec security associations, e estabelecimento de chaves que são usadas pelos protocolos de criptografias. Aparece nas configurações como ISAKMP.

DES, 3DES e AES: Algoritmos que fazem a criptografia dos dados. O DES utiliza chaves de 56 bits, o 3DES usa 168 bits e o AES pode trabalhar com chaves de 128, 192 e 256 bits, sendo o mais forte (também é o que consome mais processamento ).

DH (Diffie-Hellman): Protocolo de criptografia com utilização de chaves públicas que foi criado em 1976 por Whitfield Diffie e Martin Hellman. O DH permite que os peers da VPN criem uma chave compartilhada (shared key) segura, mesmo sem que os peers se conheçam ou saibam da chave do ponto remoto. É usado no início do processo IKE, para estabelecer as chaves a serem utilizadas.

MD5 e SHA-1: Algoritmos usados para autenticar os pacotes. Para isso o SHA-1 utiliza um algoritmo que produz um “digest” de 160 bits, sendo mais seguro que o MD5, que cria um “digest” de 128 bits.

Até a próxima.