No segundo post sobre VPN, vamos identificar como ela funciona. Uma VPN IPSec tem 5 fases: Identificação do tráfego interessante, IKE fase 1, IKE fase 2, transferência de dados e fim do túnel IPSec. 1) Tráfego interessante: É o tráfego que deve ser criptografado, geralmente identificado através de Access-lists. 2) IKE fase 1: Basicamente tem a função de negociar as políticas que serão utilizadas, autenticar os peers e fechar um túnel seguro, por onde serão configurados os demais parâmetros. Pode trabalhar em Main Mode ou Agressive Mode. Podemos dizer que é um “primeiro túnel”, para proteger as mensagens de negociação para o túnel principal. Main Mode: utiliza 6 troca de mensagens, e por isso é mais lento que o Agressive Mode. Mensagem 1 e 2: Usadas para garantir a segurança do meio e verificar se os peers estão de acordo. Mensagem 3 e 4: Utilizam o DH para gerar uma shared secret que é enviado para o outro peers, que devolve com sua identidade. Esta chave é usada para gerar outras chaves do processo. Mensagem 4 e 5: Faz a verificação da identidade do peer remoto. Agressive Mode: Utiliza apenas 3 trocas de mensagens, fazendo a identificação do peer antes de criar um canal seguro. É o modo de operação padrão. Opções do IKE fase 1: Algoritmo de criptografia: DES, 3DES, AES Algoritmo Hash: MD5, SHA-1 Método de autenticação: Pré Share, RSA Signature Key Exchange: DH group 1, group 2, group 5 IKE SA lifetime: até 86400 segundos 3) IKE fase 2: É a negociação do “segundo túnel”. São definidos os parâmetros do IPSec e transform sets, são estabelecidos IPSecs SAs, que são renegociados de tempos em tempos e pode também ocorrer a troca do DH (opcional). O Security Association (SA) é uma conexão entre os dois peers que determina quais serviços do IPSec estão disponíveis naquela conexão (tipo de algoritmo de criptografia e autenticação utilizada, enderço IP, tempo de vida da key e outros…). São unidirecionais e assim, para um túnel VPN são criados dois SAs. O IPSec pode trabalhar de duas madeiras: Túnel e Transporte. O modo túnel é o padrão, e com ele o pacote inteiro é criptografado e um novo cabeçalho é criado. Já no modo transporte o cabeçalho não é alterado, sendo criptografado apenas os dados. Opções do IKE fase 2: Algoritmo de criptografia: DES, 3DES, AES Authentication: MD5, SHA-1 SA lifetime: até 28.000 segundos 4) Transferência de dados: Após finalizada o IKE fase 2 o tráfego começa a ser enviado pelo túnel, de forma segura (criptografado). 5) Fim do túnel IPSec: O túnel é finalizado quando a SA é deletada (manualmente) ou ocorre o timeout, que pode ser configurado para ocorrer após um determinado espaço de tempo sem transmissão de dados ou após uma quantidade específica de dados transmitidos. Até a próxima.
VPN IPSec – Parte 1
Configurar uma VPN IPSec pode não ser uma tarefa fácil. São muitos protocolos e termos envolvidos, e diversas linhas de configuração. Para facilitar um pouco essa tarefa vamos publicar alguns post (simplificando o máximo possível)sobre o assunto, sendo este primeiro post a parte teórica da coisa. O IPSec é um framework padrão do IETF, definido pela RFC 4301, que proporciona confidencialidade, integridade e autenticação dos dados. Com o IPSec podemos criar um túnel entre dois pontos, por onde os “dados sensíveis” são enviado protegidos. Os “dados sensíveis” são definidos por quem está configurando a VPN, e normalmente são selecionados através de uma access-list. Nos roteadores e firewalss Cisco são utilizados os seguintes protocolos, para o funcionamento do IPSec: ESP (Encapsulation Security Payload): É um protocolo IP, tipo 50 (não é UDP nem TCP), que prove integridade, autenticação e confidencialidade dos dados. É usado para criptografar o payload dos pacotes IPs. É o principal protocolos usado pelo IPSec atualmente, e pode ser configurado no modo Túnel ou Transporte. No Túnel o pacote inteiro é encapsulado e protegido, sendo um novo cabeçalho IP adicionado ao pacote. Já no modo Transporte, são criptografados apenas os “dados”, não sendo alterado o cabeçalho original. AH (Authentication Header): Semelhante ao ESP, porém não faz criptografia, e por isso em breve não será mais suportado pelos equipamentos Cisco. É o protocolo IP tipo 51 (não é UDP nem TCP), prove integridade, autenticação e replay detection. Ele é como uma assinatura digital e garante que o pacote não foi alterado. Assim como o ESP, o AH também pode ser configurado como Túnel ou Transporte. O funcionamento é igual ao do ESP. Quando configurado o IPSec (com ESP ou AH) o tamanho do pacote aumenta, variando de acordo com as opções selecionadas. No máximo são adicionado 58 bytes (quando usando ESP com autenticação) por pacote. IKE (Internet Key Exchange): Protocolo hibrido que fornece para o IPSec a autenticação dos Peers, negociação do IKE e IPSec security associations, e estabelecimento de chaves que são usadas pelos protocolos de criptografias. Aparece nas configurações como ISAKMP. DES, 3DES e AES: Algoritmos que fazem a criptografia dos dados. O DES utiliza chaves de 56 bits, o 3DES usa 168 bits e o AES pode trabalhar com chaves de 128, 192 e 256 bits, sendo o mais forte (também é o que consome mais processamento :)). DH (Diffie-Hellman): Protocolo de criptografia com utilização de chaves públicas que foi criado em 1976 por Whitfield Diffie e Martin Hellman. O DH permite que os peers da VPN criem uma chave compartilhada (shared key) segura, mesmo sem que os peers se conheçam ou saibam da chave do ponto remoto. É usado no início do processo IKE, para estabelecer as chaves a serem utilizadas. MD5 e SHA-1: Algoritmos usados para autenticar os pacotes. Para isso o SHA-1 utiliza um algoritmo que produz um “digest” de 160 bits, sendo mais seguro que o MD5, que cria um “digest” de 128 bits. Até a próxima.
CCNP Wireless e office by Cisco
Como divulgado no brainwork, no dia 2 de março, a Cisco anunciou oficialmente o CCNP Wireless. O anúncio foi feito no Cisco Live, que está sendo realizado em San Francisco e termina hoje. Com esta certificação os sete caminhos para certificações ficaram completos. Agora para todas as linhas (Routing & Switching, Design, Network Security, Service Provider, Storage Networking, Voice e Wireless) temos certificações Entry-Level, Associate, Professional e Expert. Para se tornar CCNP Wireless o candidato deverá possuir o CCNA Wireless ou ter um CCIE “qualquer”. Esta nova certificação é composta pelas seguintes provas: CUWSS (642-731) – Conducting Cisco Unified Wireless Site Survey IUWVN (642-741) – Implementing Cisco Unified Wireless Voice Networks IUWMS (642-746) – Implementing Cisco Unified Wireless Mobility Services IAUWS (642-736) – Implementing Advanced Cisco Unified Wireless Security Todas as provas do CCNP Wireless estarão disponíveis a partir do dia 24 de julho de 2009, e mais informações podem ser encontradas aqui. Concorrente para o Office Live De acordo com notícia da abril.com, a Cisco está pensando em oferecer uma alternativa ao Office Live – ferramenta para edição e compartilhamento de arquivos online, para o mercado corporativo. Segundo o vice-presidente sênior da empresa, Doug Dennerline, a Cisco deverá desenvolver um serviço baseado na Web e integrá-lo ao Webex, que hoje já permite realizar reuniões online, usar o email e utilizar chat entre outros. Além da Microsoft, o Google também possui serviços para criação e compartilhamento de documentos de texto, planilhas e apresentações. Veja a notícia original no site abril.com. Até a próxima.
Configurando NTP no ASA
O NTP – Network Time Protocol, é um protocolo que permite a sincronização do relógio dos equipamentos na rede. Esta funcionalidade é extremamente importante, pois apenas com os relógios marcando a hora certa podemos analisar incidentes de forma correta. Do que adiantaria ter um log e não saber quando o problema ocorreu? Para habilitar esta funcionalidade utilizamos quatro comando, como ilustrado abaixo. Observe que é obrigatório a autenticação do servidor, antes da sincronização do time. Topologia: O Servidor NTP está na rede interna, e tem o IP 172.16.1.9 Configuração: ! Crie uma chave (3 neste caso) e defina a senha para autenticação (cisco) ntp authentication-key 3 md5 cisco ! Configure a chave criada como confiável ntp trusted-key 3 ! Especifique o IP do servidor, a chave que será usada e a interface por onde ele será alcançado ntp server 172.16.1.9 key 3 source inside prefer ! Habilite a autenticação para o NTP ntp authenticate Todo pacote NTP enviado pelo servidor deverá conter o identificar 3 na chave para que o ASA os aceite. Até a próxima.
Mais que CCIE, CCA!
A Cisco anunciou hoje o Cisco Cisco Certified Architect, nova certificação que fica acima de CCIE na pirâmide. O CCA é uma espécie de CCDE Plus, que contará com cenários onde deverão ser usadas as “Advanced technologies” como Cisco Unified Communications e Cisco TelePresence. O objetivo do Cisco Certified Architect é credenciar profissionais que sejam capazes de criar projetos de redes, utilizando as tecnologias existentes, mas com foco nos negócios. _"Arquitetura não é apenas outro nome para o design, trata-se de uma perspectiva e um conjunto de competências diferentes", disse o renomado autor e perito em rede Terry Slattery. Para conseguir a nova certificação primeiro é preciso ter o CCDE e experiência de trabalho. Ao candidato será apresentado um cenário e o mesmo terá que desenhar uma solução e apresentar para uma banca examinadora, composta provavelmente pelos DEs – Distinguished Engineers. Durante a apresentação podem ser feitas novas solicitações, e o candidato terá que fazer alterações no projeto no momento. Fácil? Nem um pouco né… Veja a notícia original aqui. Até a próxima.
Arquivos de configuração e Security Level
O ASA – Adaptive Security Appliance, firewall da Cisco, trabalha com os arquivos de configuração da mesma forma que os roteadores, apesar de não utilizar o IOS. Veja abaixo os arquivos e como usá-los. Running-config: configuração atual, gravada na memória RAM e em uso. As alterações de configuração são feita diretamente na running-config e tem efeito imediato. Para ver a configuração em uso podemos usar o comando show running-config ou write terminal. Startup-config: configuração salva na flash. Quando o equipamento inicia ele carrega a configuração da startup-config (flash) e copia para a running-config (RAM). Para visualizar a configuração salva na memória flash utilize o comando show startup-config ou show configure. Copy running-config startup-config: copia as configurações da RAM para a flash. Assim se o equipamento for desligado ele não perderá as configurações. Clear config all: apaga toda a configuração da running-config (RAM), sem alterar a startup-config. Configure factory-default: Retorna a configuração ao padrão de fábrica. Nos modelos PIX515 e PIX515E, e nos ASAs acima do 5510 este comando configura um IP na interface de gerencia e deixa pronto para acesso via ASDM. No ASA5505 este comando automaticamente configura as interfaces inside e outside e o NAT, deixando o equipamento preparado para o uso. Write erase: apaga o conteúdo da startup-config. Security Level O Security Level informa o quanto uma interface é segura em relação a outra interface. Normalmente a interface inside (conectada a LAN) tem Security Level 100, enquanto a interface conectada a Internet (outside) tem Security Level 0. Outras interfaces podem ser definidas com valores de 1 a 99 (também é possível usar os valores 0 e 100 em outras interfaces). Por padrão, o tráfego originado em uma interface mais segura (Security Level maior) pode ir para uma interface menos secura, mas o contrário é bloqueado. Para que o tráfego da interface com menor Security Level vá para a interface com maior Security Level é necessário liberar o tráfego explicitamente (através de access-list). Por padrão, o tráfego entre interfaces que tenham o mesmo Security Level é bloqueado, podendo ser liberado como o comando same-security-traffic permit. Até a próxima.
