Só um comentário

Por André Ortega, 28/06/2009 05:27

O ASA – Adaptive Security Appliance, firewall da Cisco, trabalha com os arquivos de configuração da mesma forma que os roteadores, apesar de não utilizar o IOS. Veja abaixo os arquivos e como usá-los.

Running-config: configuração atual, gravada na memória RAM e em uso. As alterações de configuração são feita diretamente na running-config e tem efeito imediato. Para ver a configuração em uso podemos usar o comando show running-config ou write terminal.

Startup-config: configuração salva na flash. Quando o equipamento inicia ele carrega a configuração da startup-config (flash) e copia para a running-config (RAM). Para visualizar a configuração salva na memória flash utilize o comando show startup-config ou show configure.

Copy running-config startup-config: copia as configurações da RAM para a flash. Assim se o equipamento for desligado ele não perderá as configurações.

Clear config all: apaga toda a configuração da running-config (RAM), sem alterar a startup-config.

Configure factory-default: Retorna a configuração ao padrão de fábrica. Nos modelos PIX515 e PIX515E, e nos ASAs acima do 5510 este comando configura um IP na interface de gerencia e deixa pronto para acesso via ASDM. No ASA5505 este comando automaticamente configura as interfaces inside e outside e o NAT, deixando o equipamento preparado para o uso.

Write erase: apaga o conteúdo da startup-config.

Security Level

O Security Level informa o quanto uma interface é segura em relação a outra interface. Normalmente a interface inside (conectada a LAN) tem Security Level 100, enquanto a interface conectada a Internet (outside) tem Security Level 0. Outras interfaces podem ser definidas com valores de 1 a 99 (também é possível usar os valores 0 e 100 em outras interfaces).

Por padrão, o tráfego originado em uma interface mais segura (Security Level maior) pode ir para uma interface menos secura, mas o contrário é bloqueado.

Para que o tráfego da interface com menor Security Level vá para a interface com maior Security Level é necessário liberar o tráfego explicitamente (através de access-list).

Por padrão, o tráfego entre interfaces que tenham o mesmo Security Level é bloqueado, podendo ser liberado como o comando same-security-traffic permit.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 01/12/2008 11:18

A partir da versão 12.3(8)T do Cisco IOS, foi inserida a feature Resilient Configuration. Esta feature permite salvar uma cópia da runnging-config de forma segura na memória do roteador (não é possível deletar esta cópia via CLI).

Assim, quando ocorrer um problema pode-se rapidamente restaurar a configuração.

Habilitando o Resilient Configuration:

BrainworkRT01# conf t
BrainworkRT01(config)#secure boot-config
BrainworkRT01(config)#

Com o comando acima (secure boot-config) uma cópia da running-config é armazenada na memória do roteador, mas não aparece no quando o usuário digita dir.

Verificando a cópia secura:

BrainworkRT01#show secure bootset
IOS resilience router id FTX0827B1Y3

IOS image resilience is not active

IOS configuration resilience version 12.4 activated at 13:17:26 UTC Mon Dec 1 2008
Secure archive flash:.runcfg-20081201-131726.ar type is config
configuration archive size 4989 bytes

O arquivo de nome runcfg-20081201-131726.ar foi criado.

Restaurando a cópia da running-config:

BrainworkRT01(config)#secure boot-config restore filename
ios resilience:configuration successfully restored as filename

Para restaurar a cópia utilize o comando secure boot-config restore filename (nome que o arquivo receberá).

Para cancelar o secure boot-config é preciso estar na console do equipamento:

BrainworkRT01(config)#no secure boot-config
BrainworkRT01(config)#
*Dec  1 13:23:19.778: %IOS_RESILIENCE-5-CONFIG_RESIL_INACTIVE: Disabled secure config archival [removed flash:.runcfg-20081201-131726.ar]

Além da running-config também é possível fazer uma cópia secura do IOS.

Limitações e outras informações sobre Resilient Configuration podem ser verificadas aqui.

Até a próxima.