O SSLv3 é considerado um protocolo obsoleto e inseguro, já substituído pelo TLS 1.0, TLS 1.1 e TLS1.2. No entanto, para manter a compatibilidade com dispositivos legados, boa parte das implementações TLS ainda mantém o SSLv3 como opção. No POODLE (Padding Oracle On Downgraded Legacy Encryption) Attack o atacante tenta usar o SSLv3 e então aproveita-se das vulnerabilidades deste protocolo, podendo ter acesso a informações sensíveis de uma conexão. Por isso a recomendação é desabilitar o SSLv3. O Anyconnect a partir da versão 3.1 não negocia o uso do SSLv3, ou seja, não é vulnerável. No entanto, se você usa uma versão mais velha deve atualizá-lo para não correr riscos. O mesmo acontece com o ASA OS, que a partir da versão 9.3, usa o TLSv1.0 por padrão, ao invés do SSLv3, e não está vulnerável. Se você usa um software anterior a versão 9.3 é recomendado que o software seja atualizado. Ou use o comando “ssl server-version tlsv1-only” para impedir a negociação e uso do SSLv3. Por fim, para ficar livre também do POODLE BITES devemos utilizar o ASA OS versões 8.2.5.55, 8.4.7.26, 9.0.4.29,9.1.6, 9.2.3.3 e 9.3.2.2, ou superiores. Até a próxima.
Reload/Restart/Shutdown Cisco FireSIGHT
O Cisco FireSight, anteriormente chamado DefenseCenter (quando ainda era SourceFire), é o software de gerência do NGIPS. Nele podemos fazer todas as configurações de regras de IPS, controle de aplicação, programar o discovery da rede, filtro de URL e demais funcionalidades. Caso seja necessário desligar ou reiniciar o FireSight por qualquer motivo, basta acessar a opção System > Local > Configuration > Process. A opção Shutdown desliga o equipamento, sendo necessário acessá-lo fisicamente (ou via console se for um appliance virtual) pra religá-lo. Já a opção Reboot reinicia o appliance, enquanto o Restart reinicia os serviços e processos, sem desligar o equipamento. Também é possível parar/iniciar/reiniciar os processo via linha de comando, usando o comando /etc/rc.d/init.d/console start|stop|restart|reload. Observe que é necessário ter privilégios de root para efetuar estas operações via linha de comando. Até a próxima.
HP entra na onda do whitebox switching
O que parece ser o sonho de muita gente esta se tornando realidade: switches onde você pode colocar seu próprio software. A HP, depois da Dell e Juniper, anunciou uma linha de whitebox switch (ou brite-box), que virão com software Cumulus (Linux) e serão fabricados pela empresa Tailandesa Accton Technology. Esses equipamentos devem atender a demanda de grandes data centers, como Amazon, Facebook e Google, que já utilizam hardware e software próprios. Também podem endereçar muito bem mercados como o brasileiro, onde a maioria das médias e pequenas empresas não tem nenhum tipo de inteligência nos equipamentos de rede, que servem apenas para prover conectividade. Essa desassociação de hardware e software, disseminada ultimamente pelo SDN, ainda facilita a vida das fabricantes de rede como HP e Dell, que nunca investiram pesado (comparando com outros fabricantes) no desenvolvimento de seus produtos de rede. Na tabela acima temos o total de vendas em milhões de dólares, e o total investido pelas empresas em pesquisa e desenvolvimento. Importante notar que no caso de Dell e HP apenas uma parte do valor acaba indo para P&D de network, o que tornam os números acima ainda menores… Para uma empresa como a Cisco, que há anos desenvolve e compra empresas visando melhorar seus produtos esse deve ser um caminho mais difícil (seja optar por fabricar uma “caixa branca” ou concorrer com contra elas). No entanto é bom lembrarmos que a Cisco já possui há algum tempo equipamentos com total suporte a SDN. A diferença é que a estes equipamentos, além de permitirem total integração com soluções SDN ainda contam com softwares ricos em funcionalidades, desenvolvidos pela própria Cisco. Até a próxima.
Configurando ASA FirePower (Startup)
Todos que trabalham com segurança sabem (ou deveriam saber) que em 2013 a Cisco comprou a SourceFire, o mais conceituado fabricante de IPS do mercado. Rapidamente a Cisco integrou a solução SourceFire ao ASA, sob o nome de FirePower. Realmente esta aquisição/integração fez com que a solução de firewall da Cisco subisse de patamar, tornando o ASA um verdadeiro NGFW/NGIPS. O ASA com FirePower é um next generation firewall e IPS, que possui Application and Visibility Control, Web Security e proteção contra Malware. Para usar o módulo FirePower você precisa de um ASA da nova geração (tem o “X” no nome) com software 9.2.2 ou acima, e um módulo SSD, onde o FirePower é instalado. As funcionalidades são disponibilizadas através de licenças (L-ASA551X-TA para IPS e APP, L-ASA5512-TAC para IPS, APP e Filtro de URL, L-ASA551X-TAM, licença completa, com IPS, APP, URL e AMP – anti Malware). Instalando o módulo FirePower 1) O primeiro passo é garantir que não há outro módulo de serviço habilitado no ASA. asa#sw-module module ips shutdownasa#sw-module module ips uninstallasa#sw-module module cxsc shutdownasa#sw-module module cxsc uninstallasa#reload 2) Faça o download da imagem de boot do FirePower e envie para o ASA (extenção img, ex: asasfr-5500x-boot-5.3.1-152.img). asa# copy tftp://<tftp-server>/asasfr-5500x-boot-5.3.1-152.img disk0:/ asasfr-5500x-boot-5.3.1-152.img 3) Aponte a imagem para o boot. asa# sw-module module sfr recover configure image disk0:/asasfr-5500x-boot-5.3.1-152.img 4) Inicie o módulo FirePower. asa# sw-module module sfr recover boot OBS: Você pode usar o comando debug module-boot para acompanhar a inicialização do módulo FirePower. Após uns 15 minutos você deve ver uma mensagem “Cisco ASA SFR Boot Image 5.3.1”, indicando que o software está pronto. 5) Acesse o módulo FirePower (usuário e senha padrão abaixo). asa# session sfr consoleOpening console session with module sfr.Connected to module sfr. Escape character sequence is ‘CTRL-^X’.Cisco ASA SFR Boot Image 5.3.1asasfr login: adminPassword: Admin123 6) Agora começa a configuração do módulo FirePower. Digite “setup” e forneça as informações solicitadas (hostname, IP, DNS e NTP Server) asasfr-boot> setup Welcome to SFR Setup [hit Ctrl-C to abort] Default values are inside [] 7) Faça o download e instale o FirePower (arquivo .pkg). asasfr-boot> system install tftp://<tftp-server>/asasfr-sys-5.3.1-152.pkgVerifyingDownloadingExtracting Package Detail Description: Cisco ASA-FirePOWER 5.3.1-152 System Install Requires reboot: Yes Do you want to continue with upgrade? [y]: yWarning: Please do not interrupt the process or turn off the system. Doing so might leave system in unusable state. UpgradingStarting upgrade process …Populating new system image Reboot is required to complete the upgrade. Press ‘Enter’ to reboot the system.(press Enter) Pode demorar uns 10 minutos o reload do módulo. 8) Acesse o módulo FirePower novamente. Observe que agora o módulo está completamente funcional, e a senha é outra. ciscoasa# session sfrOpening command session with module sfr.Connected to module sfr. Escape character sequence is ‘CTRL-^X’.Sourcefire ASA5555 v5.3.1 (build 152)Sourcefire3D login:adminPassword: Sourcefire 9) Complete o setup inicial. System initialization in progress. Please stand by. You must change the passwordfor ‘admin’ to continue. Enter new password: novasenhaConfirm new password: novasenhaYou must configure the network to continue.You must configure at least one of IPv4 or IPv6.Do you want to configure IPv4? (y/n) [y]: yDo you want to configure IPv6? (y/n) [n]:Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:Enter an IPv4 address for the management interface [192.168.45.45]: 10.123.45.16Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0Enter the IPv4 default gateway for the management interface []: 10.123.45.1Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.brainwork.com.brEnter a comma-separated list of DNS servers or ‘none’ []: 10.123.45.20, 8.8.8.8Enter a comma-separated list of search domains or ‘none’ [example.net]: brainwork.com.br If your networking information has changed, you will need to reconnect.For HTTP Proxy configuration, run ‘configure network http-proxy’ 10) Aponte a gerência (FireSight). configure manager add 10.123.45.17 brainworkblog Registrando o Módulo na Gerência e Direcionando o tráfego 1) Considerando que você já tem o FireSight instalado, configurado e com licenças disponíveis, vá em Devices > Device Management e clique Add > Add Device. Forneça as informações e então clique Register. 2) Temos o módulo FirePower pronto e gerenciável. Vamos agora direcionar tráfego para inspeção. Acesse o ASA e insira os comandos abaixo. access-list SFR_REDIRECT extended permit ip any anyclass-map SFR match access-list SFR_REDIRECTpolicy-map global_policyclass SFR sfr fail-open OBS: Neste exemplo todo o tráfego que passar pelo ASA será inspecionado. Assim finalizamos a configuração inicial do módulo FirePower. Evidentemente é necessário configurar a Access Policy, onde habilitamos o IPS, Network Discovery, Filtro de URL, Anti Malware e demais funcionalidades. Links de referência: Instalando FirePower Service Module (ASA5512 até ASA5555) Configuração Inicial do FireSight Registrando um Device no FireSight Até a próxima.
Configurando Netflow no Cisco ASA
Sabemos que o Netflow é um cara legal, que nos permite ter visibilidade sobre o que está rolando na rede. Ele está presente em roteadores, em alguns switches e também no Cisco ASA, desde a versão 8.2.1. Habilitar o Netflow no ASA, além de ser simples, é uma ótima medida, pois os firewalls normalmente ficam em pontos estratégicos da rede. O ASA implementa o Netflow v9, de acordo com o estabelecido na RFC 3954. Configurando Netflow no ASA 1) Abra o ASDM e vá para a aba Configuration, e então selecione Device Management > Logging > Netflow, no menu lateral esquerdo. Clique Add para adicionar um Coletor Netflow (servidor que vai receber as informações). 2) Informe o IP do Coletor, a interface do ASA pela qual ele será acessado e também a porta utilizada (verificar a documentação do software que você está usando para ver qual porta deve ser configurada). 3) Agora vamos criar uma Policy para selecionar o tráfego que será monitorado. Na aba Configuration, selecione a opção Firewall > Service Policy Rules no menu lateral esquerdo, e então Add. 4) Selecione a opção Global (vamos usar a política padrão, que monitorará todo o tráfego), e clique em Next. 5) De um nome para a classe de tráfego e marque a opção Source and Destination IP Address. Clique Next. 6) Especifique qual tráfego (origem e destino) será inspecionado. Neste exemplo, todo o tráfego (any, any, IP). Clique Next. 7) Por fim, selecione a opção Netflow > Add e marque a opção Send no IP do Coletor que cadastramos anteriormente. Clique Ok, Finish e então Apply. Com estas configurações o ASA já está pronto para enviar as estatísticas para o Coletor Netflow. Caso o Coletor também já esteja configurado você deve começar a ver as estatísticas em alguns minutos. Caso deseje fazer a configuração via linha de comando, basta usar o modelo abaixo: flow-export destination inside 10.10.10.69 9991access-list ACL_NETFLOW line 1 extended permit ip any any class-map global-class match access-list ACL_NETFLOWpolicy-map global_policy class global-class flow-export event-type all destination 10.10.10.69 Podemos verificar se o ASA está enviando as informações para o coletor com o comando show flow-export counters. E importante notar que o Cisco Prime Infrastructure até a versão 2.1 não suporta Netflow do ASA. Outras informações e detalhes sobre Netflow no Cisco ASA aqui. Até a próxima.
Monte uma topologia no GNS3 e ganhe $250
Que tal ganhar um Amazon Gift Card no valor de 250 dólares? Se você costuma fazer testes/poc/simulação/estudo no GNS3 está ai uma ótima oportunidade. Para participar basta montar uma topologia bem elaborada no GNS3, fazer um print screen e adicionar nos comentários do post February Network Topology Photo Challenge, da comunidade GNS3. Também é necessário fazer uma breve descrição, incluindo a finalidade da topologia que você criou (ex: teste de funcionalidade, prática para prova CCIE,…). Por fim adicione a tag #photomission. Abaixo os critérios pelos quais as imagens serão jugadas: Descrição (15 pontos): Coloque claramente a finalidade da topologia, porque e para que ela foi criada. Complexidade (30 pontos): Uma topologia com vários equipamentos, integrando outros softwares/equipamento, leva vantagem. Imagem (5 pontos): A imagem deve ser clara, com a topologia devidamente ilustrada, com descrições, para facilitar o entendimento. Se a topologia for compartilhada no Twitter ou no Facebook com a #gns3topology você ganha 5 pontos de bônus. O ganhador ainda terá sua topologia ilustrando o desafio do mês de março. O período para participar começou ontem, e vai até dia 2 de março às 11h59 (MST), e as demais condições da promoção estão aqui. Quem quiser pode marcar o brainwork no Twitter ou no Facebook quando compartilhar a imagem, assim repostamos. Até a próxima e boa sorte aos participantes.
