Cut Through Proxy é uma funcionalidade do Cisco ASA, que vem desde o tempo do PIX e permite que o ASA peça usuário e senha antes de liberar acesso a um determinado serviço (o ASA passa a atuar como um proxy de autenticação, e daí o nome). Podemos configurar o Cut Through Proxy para qualquer protocolo, mas a autenticação precisar ser realizada via ftp, http, https ou telnet. Essa funcionalidade faz sentido quando temos uma aplicação que não é capaz de pedir autenticação, e queremos restringir o acesso. Neste exemplo, para deixar a solução mais atraente, veremos como configurar o Cut Through Proxy com autenticação integrada ao AD (LDAP). Outras opções seriam usar usuários locais (criados no próprio ASA), integrar com um servidor Radius ou TACACS. Configurando Cut Through Proxy integrado com AD 1) Primeiro configure a integração com o AD. aaa-server LDAP protocol ldapaaa-server LDAP (inside) host 10.123.45.20ldap-base-dn dc=lab,dc=brainwork,dc=com,dc=brldap-scope subtreeldap-naming-attribute sAMAccountNameldap-login-password *****ldap-login-dn cn=asa,cn=users,dc=lab,dc=brainwork,dc=com,dc=brserver-type microsoft 2) Crie uma ACL especificando qual tráfego deve passar pela autenticação. access-list WEB-AUTHEN extended permit tcp any host 184.168.47.225 eq www 3) Faça a amarração da autenticação, access-list e informe a interface por onde o LDAP será acessado. aaa authentication match WEB-AUTHEN inside LDAP 4) Habilite o servidor web do ASA, e libere o acesso. http server enablehttp 0.0.0.0 0.0.0.0 inside 5) Opcionalmente configure as mensagens que o usuário receberá. auth-prompt prompt Por favor insira seu Usuario e Senha.auth-prompt accept Acesso Permitido auth-prompt reject Acesso Negado Com esta configuração, ao tentar acessar o endereço/porta especificado na ACL (brainwork.com.br, neste exemplo), a autenticação é solicitada. IMPORTANTE: Note que a autenticação é está sendo feita via HTTP, que é um protocolo não criptografado. Logo, as credenciais podem ser capturadas na rede. Uma opção é usar HTTPS para a autenticação ao invés de HTTP. Para isso use o comando aaa authentication secure-http-client. Mais informações nos links abaixo. Cisco ASA Series Firewall CLI Configuration Guide Cut-Through and Direct ASA Authentication Configuration Example ASA Cut Through (Authentication) Proxy Até a próxima.
Treinamentos Cisco em promoção
Nunca tivemos tantas boas opções de treinamento para as certificações Cisco como atualmente. Fora as empresas “tradicionais” como Multirede, Fastlane, Netts, que oferecem treinamentos presenciais, ainda temos CloudCampus e EAMSOFT, entre outras, que oferecem cursos online, e com preços bem acessíveis. Promoções A CloudCampus tem vários cursos em promoção neste mês de julho. Além de desconto no valor do curso, o aluno ainda pode acessar o treinamento por um período maior. Sites de treinamento do exterior também estão oferecendo cursos com desconto. A CarrerAcademy tem os cursos de CCNA e CCNP por 69 dólares. Esse valor é promocional, e válido somente até dia 13/07/15. Neste pacote o aluno tem acesso por um ano aos dois treinamentos. Outro promoção está acontecendo no site do GNS3, que em parceria com o famoso INE, está oferecendo o curso para o CCNA por 49 dólares e o CCNP por 99 dólares. Lembre-se que no caso destas duas últimas opções os treinamentos são em inglês. Até a próxima.
Jumbo Frames em switches Catalyst
O bom desempenho da rede é fundamental, e há uma infinidade de ajustes que podem ser feitos para melhorar o desempenho. Uma característica importante que poder ser ativada nos switches Cisco Catalyst são os Jumbo Frames. Por padrão o tamanho máximo de um frame ethernet é 1522 bytes (1500 bytes de payload, 18 bytes de cabeçalho e trailer, e por fim 4 bytes do cabeçalho 802.1Q). Quando habilitamos Jumbo Frames estamos permitindo que pacotes maiores do que isso sejam encaminhados pelo switch, e consequentemente aumentando o desempenho da rede (lembre-se que o switch encaminha pacotes, e ao encaminhar um pacote de 9000 bytes ao invés de um de 1500 ele move uma parte maior de dados de uma única vez). Jumbo Frames são usados, por exemplo, por storages, e os switches precisam estar configurados para permitir este tipo de pacote. OBSERVAÇÃO: Em muitos switches o tamanho máximo do frame, por padrão, é 1500 bytes. O Catalyst 6500 suporta Jumbo Frames de 8192 à 9216, dependendo do modelo da placa. Os Catalysts 3750X, 2960X e o Nexus5k também suportam frames de até 9216. No entanto é muito importante notar que para tirar proveito desta configuração é necessário que os servidores ou outros equipamentos, sejam capazes de enviar e receber Jumbo Frames, assim como todos os switches que estiverem no caminho. Configurando Jumbo Frames em switches Catalyst: conf tsystem mtu jumbo 9216endcopy run start Note que será necessário reiniciar o equipamento para que a configuração tenha efeito. No Catalyst 6500, ao invés de habilitarmos Jumbo Frames no sistema todo, podemos habilitar por interface, como no exemplo abaixo. Configurando Jumbo Frames na interface: conf tint g1/1mtu 9216endcopy run start Use os comandos sh system mtu ou show interfaces gigabitEthernet 1/1 para verificar o resultado da configuração. Até a próxima.
CCNA Exam Simulation Day II
Dia 29 de novembro próximo será realizada a segunda edição do CCNA Exam Simulation Day, organizado pelo blog Netfinders Brasil, do ótimo instrutor Adilson Florentino. Este evento serve para quem está se preparando para fazer a prova do CCNA e quer testar seus conhecimentos. Basta fazer uma doação (mínimo de 20 reais) para poder fazer o simulado. O participante que tirar a maior nota ganhará um voucher para fazer a prova do CCNA. Este ano quem participar fazendo a doação ainda terá acesso gratuito ao curso CCNA (em modo gravado) por 90 dias, oferecido pelo Netfinders. Resumo: você doa ao menos 20 reais para ajudar a pagar a prova CCNA do melhor colocado, faz o simulado para verificar seus conhecimentos e ainda tem acesso por 90 dias ao curso CCNA. Sem dúvida é uma ótima opção para todos que estão estudando para o CCNA. Todas as informações sobre o Simulation Day e sobre o o curso CCNA que estará a disposição neste link. Até a próxima.
Acessando o ASA através da VPN
Por padrão, se fecharmos VPN em uma interface do Cisco ASA (outside por exemplo) e tentarmos gerenciá-lo através de outra interface (digamos, inside), não teremos acesso. No entanto esta questão é facilmente resolvida usando o comando management-access inside. Após marcar a interface inside como “management-access” (ou a interface que você preferir), mesmo que o tráfego SSH/ASDM/TELNET venha através da VPN, que pode ser AnyConnect, IPSec, L2TP, remote-access ou site-to-site, o equipamento poderá ser acessado. Isto considerando que a VPN já esteja configurada e o acesso administrativo liberado. Na imagem o pool de VPN está liberado para acessar o ASA através da interface inside, que foi marcada como management-access. Até a próxima.
DHCP Snooping: Protegendo sua rede contra servidores DHCP falsos
Os switches Cisco contam com uma série de funcionalidades de segurança camada 2, e uma das mais simples e úteis é o DHCP Snooping. Esta funcionalidade impede que um servidor DHCP falso (que não está sob a gerência da organização) distribua IPs na rede. Se proteger contra este tipo de situação é importante porque um servidor falso pode distribuir IPs do mesmo range do servidor válido, causando duplicidade, e assim indisponibilidade do serviços. Pode distribuir um range totalmente diferente, de maneira que os usuários seriam incapazes de acessar os demais recursos na rede, e o mais perigoso: Podem fazer com que os clientes DHCPs sejam direcionados para um gateway falso, onde teriam suas informações capturadas em um ataque do tipo Man In The Middle. Antes de falarmos do DHCP Snooping, vamos lembrar como o serviço de DHCP funciona… Basicamente, um computador com DHCP Client instalado (o próprio Windows, por exemplo), quando conectado a rede, envia uma requisição UDP via broadcast (DHCP Discovery) procurando um Servidor DHCP. O Servidor DHCP, por sua vez, responde essa requisição com o DHCPOFFER (que contém o MAC do client que fez a solicitação, o IP, máscara e lease time que o servidor está disponibilizando, e o IP do próprio servidor). O Client então responde ao DHCPOFFER com o DHCPREQUEST (via broadcast), avisando que aceita o IP. Para finalizar, o servidor envia para o client o DHCPACK, com a confirmação das informações contidas no DHCPOFFER. DHCP Snooping O DHCP Snooping é um recurso de segurança de camada 2, que age filtrando mensagens DHCP não confiáveis/inválidas, e para isso constrói e mantém o DHCP Snooping Binding Database (ou DHCP Snooping Binding Table). Ele funciona como um firewall entre as portas confiáveis (onde estão conectados os servidores DHCP e portas de uplink que levam aos servidores) e não confiáveis (demais portas). Esta funcionalidade é habilitada por VLAN (por padrão vem desabilitado) e também é importante ressaltar que outros recursos de segurança, como o Dynamic ARP Inspection (DAI), usam as informações armazenadas no DHCP Snooping Binding Database. Ações executadas pelo switch configurado com DHCP Snooping: Valida mensagens DHCP recebidas de fontes não confiáveis e filtra mensagens inválidas. Faz rate-limit de tráfego DHCP de fontes confiáveis e não confiáveis. Constrói e mantém o DHCP Snooping Binding Database, que contém informações sobre hosts não confiáveis com endereços IP adquiridos via DHCP. Utiliza o DHCP Snooping Binding Database para validar os pedidos subsequentes de hosts não confiáveis. Descarta pacotes do tipo DHCPOFFER, DHCPACK, DHCPNAK, ou pacotes DHCPLEASEQUERY, recebidos em uma porta não confiável. Descarta pacotes recebidos em uma interface não confiável se o endereço MAC de origem e o endereço de hardware do cliente DHCP não coincidem. Descarta mensagens broadcast DHCPRELEASE ou DHCPDECLINE que tem um endereço MAC no DHCP Snooping Binding Database, mas as informações não coincide com a interface em que mensagem foi recebida. Descarta mensagens encaminhadas por um releay agent se ela tiver um endereço de relay agent diferente de 0.0.0.0. Descarta mensagens DHCP com a opção de 82 se estas forem para uma porta não confiável. Configuração A configuração do DHCP Snooping é simples, bastando habilitar a funcionalidade, indicar a VLAN que deverá ser inspecionada, e marcar as portas que “vão” para o DHCP como trust. Opcionalmente podemos definir quantos pacotes DHCP por segundo uma interface pode receber. hostname SW-CORE!ip dhcp snooping vlan 1ip dhcp snooping information option allow-untrustedip dhcp snooping!interface Ethernet0/0 description CONEXAO SW-ACCESSO switchport trunk encapsulation dot1q switchport mode trunk duplex auto!interface Ethernet0/1 description CONEXAO DHCP-SERVER switchport mode access duplex auto ip dhcp snooping trust hostname SW-ACESSO!ip dhcp snooping vlan 1ip dhcp snooping!interface Ethernet0/0 description CONEXAO SW-CORE switchport trunk encapsulation dot1q switchport mode trunk duplex auto ip dhcp snooping trust!interface Ethernet0/1 description CONEXAO DHCP-CLIENT1 switchport mode access duplex auto ip dhcp snooping limit rate 100!interface Ethernet0/2 description CONEXAO DHCP-CLIENT2 switchport mode access duplex auto ip dhcp snooping limit rate 100! Observe que no Core foi inserido o comando ip dhcp snooping information option allow-untrusted, para que as mensagens que vem do switch de acesso (por padrão insere a opção 82) não sejam descartadas. Mais informações neste link. Até a próxima.
