Habilitando monitoração no ASA

Antes de configurarmos qualquer opção de monitoração, é necessário configurarmos a hora e data correta no ASA para quando analisarmos um log, podermos identificar a data e hora que aconteceu o evento.

FW#clock set 10:24:37 APR 26 2012    <- Para configurar Data/hora
FW(config)#ntp server 192.43.244.18 source outside    <- Para configurar um servidor NTP externo

Para visualizarmos Data/hora e servidor NTP utilizamos o comando show clock detail
Para visualizarmos os servidores NTP associados utilizamos o comando show ntp associations

O Firewall ASA gera logs classificados para dois grupos principais:
- Eventos do Sistema
- Eventos de Rede

Como exemplo, vamos utilizar a opção Buffer. Para essa opção de monitoração, é utilizado o buffer de memória interna do ASA. É útil para armazenamento e análise da atividades recentes. Tudo o que for monitorado pode opcionalmente ser arquivado em um servidor FTP externo ou para a memória do aparelho de segurança do flash interna.

Para habilitar:

FW(config)#logging enable   <- Habilita opção de logging
FW(config)#logging timestamp  <- Habilita a forma de exibição de log para Data/hora que ocorreu o evento
FW(config)#logging buffered debugging  <- Salva em buffer os eventos

Para visualizar as mensagens de log:

FW#show logging

Existe muitas opções para monitoração, desde salvar em um servidor com Syslog ou até mandar por email.

Um otimo guia para todas as configurações é o guia oficial da Cisco: CCNP Security Firewall 642-617 – David Hucaby

Abraços, até o próximo post!

GNS3 Lab – Configurando VPN Site to Site

Segue topologia para configuração da VPN Site to Site:

Para essa topologia foi configurado a interface Loopback do Windows (IP 192.168.1.2) na interface Fa 0/0 de R1 (IP 192.168.1.1, que se comunicará com o IP 10.2.2.1, interface Loopack de R2 através da VPN.

Para configurarmos uma VPN Site to Site precisamos primeiro definir 4 passos necessários:

-  Definir os parametros que serão usados para o IKE Phase 1 tunnel. A configuração desses parametros é chamada ISAKM.
- Definir os parametros que serão usados para o IKE Phase 2 tunnel. Esse é o tunel IPSec. Os parametros para essa configuração é chamado de ‘transform set’
- Criar uma Access-list que será responsável pelo tráfego que vai passar pelo tunel IPSec
- Criar a crypto map, que será responsável por agrupar os parametros dos passos acima. Depois de criar a crypto map, aplicaremos ela na interface da conexão VPN.

Segue configuração de R1 e R2:
R1

!        
interface FastEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 duplex auto
 speed auto
!        
interface Serial0/0
 ip address 172.30.2.1 255.255.255.0
!    

R2

!
interface Loopback1
 ip address 10.2.2.1 255.255.255.0
!
!
interface Serial0/0
 ip address 172.30.2.2 255.255.255.0
!

2 -  Definição de IKE Phase 1 tunnel em R1:

2 -  Definição de IKE Phase 1 tunnel em R2:

3 - Definição de IKE Phase 2 tunnel + access-list em R1:

4 - Definição de IKE Phase 2 tunnel + access-list em R2:

5 – Configurar a crypto map R1_to_R2 na interface Serial 0/0 em R1:

6 - Configurar a crypto map R2_to_R1 na interface Serial 0/0 em R2:

7 – Verificação que a sessão está ativa:

8 - Agora que a sessão VPN está configurada e funcionando, para fazer um teste efetuamos um ping da máquina local (Interface Loopback) para o IP da interface Loopback de R2:

9 – Podemos ver em R1 e em R2 os pacotes encriptados que foram encaminhados para R2:

10 – Em R2:

Segue alguns comandos úteis para verificação e troubleshooting:

show crypto isakmp policy
show crypto ipsec transform-set
show crypto isakmp sa
show crypto ipsec sa
show crypto map
show crypto session

Fonte:  CCNA Security Official Exam Certification Guide – Michael Watkins

Até o próximo post!

GNS3 Lab – Configurando o Firewall ASA + ASDM no GNS3 – Parte 2

Bem, como vimos no post anterior, vamos usar o mesmo Lab para configurarmos o Firewall ASA para acessarmos pelo ASDM. Vamos lá então!

1 – Adicione na topologia um Switch e uma Cloud. Conecte o Switch na porta E1 do ASA. Conecte qualquer porta do Switch na interface Loopback do Windows da Cloud. Para ver como configurar uma interface Loopback na Cloud clique aqui

2 – Configure a interface Loopback do Windows com o IP 192.168.1.2 Máscara 255.255.255.0. Para o ASA, entre com a configuração abaixo:

3 – Agora é só verificar se é possível efetuar ping na interface Loopback do Windows (IP 192.168.1.2) e se é possível pingar o IP do ASA 192.168.1.1 do prompt do Windows:

4 – Agora que temos conectividade entre o Windows e o ASA, vamos configurar o ASDM no ASA. Para isso, primeiro precisamos copiar o arquivo asdm-602.bin para o ASA.
Execute o tftpd32.exe e clique em Browse. Selecione o diretório aonde voce salvou o arquivo asdm-602.bin:

5 – Entre com os comandos abaixo para copiar o arquivo asdm-602.bin para a memória do ASA:

6 – Configure o ASA para ser administrado pelo Internet Explorer:

7 – Abra o Internet Explorer e digite o endereço do ASA: https://192.168.1.1

8 – Clique em continuar nesse site. Na tela seguinte clique em Install ASDM Launcher and Run ASDM:

9 – Entre com o usuário e senha cisco. Depois de instalado será criado um atalho na área de trabalho para o ASDM e vai aparecer uma tela para fazer o login. Usuário e senha também cisco

10 – Lembrando que para rodar o ASDM tem que ter o Java instalado, se não tiver execute o arquivo jre-6u6-windows-i586-p.exe
Segue tela do ASA no ASDM! Clique na imagem para ampliar

Podemos usar esse mesmo procedimento para configurarmos o SDM nos Roteadores ou PIX no GNS3.
Espero que tenham conseguido configurar
Até o próximo post!

GNS3 Lab – Configurando o Firewall ASA + ASDM no GNS3 – Parte 1

Rumo ao CCNA Security!! Todos Labs que eu utilizar para estudos vou postar aqui
Vamos começar então com a configuração do ASA no GNS3.

1 – Para essa configuração vamos usar os seguintes arquivos:
asa802-k8.initrd.gz – http://www.4shared.com/file/cm7sFS6d/asa802-k8initrd.html
asdm-602.bin – http://www.4shared.com/file/n1hSFd9V/asdm-602.html
tftpd32.exe - http://www.4shared.com/file/PZ9MVS7d/tftpd32.html
vmlinuz - http://www.4shared.com/file/xTOhE7JV/vmlinuz.html
jre-6u6-windows-i586-p.exe - http://www.4shared.com/file/-r1DJE5G/jre-6u6-windows-i586-p.html

2 – Importante: Seguir o passo a passo exatamente como descrito para evitar algumas dor de cabeça que tive rs.
Para essa configuração usei a versão do GNS 3 atual: GNS3-0.7.4-win32-all-in-one.exe

Abra o GNS3 e coloque um nome para o seu projeto. Marque os dois campos abaixo e após clicar em OK, clique em File e em Save:

3 – No GNS3, clique em Edit, Preferences, Qemu, ASA. Na tela que abrir, configure conforme a tela abaixo.
Initrd > Selecione o arquivo asa802-k8.initrd.gz
Kernel > Selecione o arquivo vmlinuz

Depois de selecionado clique em ‘Save‘


4 – Adicione o Firewall ASA no seu projeto:

5 - Após adicionado, inicie o ASA. Ao iniciar, abrirá um prompt com a título QEMU (ASA1). Não feche essa tela, deixe ela minimizada:

5 - Conecte ao ASA na Console. Deverá aparecer a seguinte tela:

6 - Digite os comandos abaixo e pressione enter:

cd /mnt/disk0
/mnt/disk0/lina_monitor

7 – Deverá aparecer a tela do ASA já para utilização! A senha para enable é em branco:

No próximo post vamos configurar o ASA para acessarmos ele pelo ASDM no Internet Explorer.
Até o próximo post!

Apex – Inner Space

Apenas pra deixar registrado, nunca imaginei que o Apex iria fazer um som desses, cada vez mais viajo nesse som rs.

CCNP – Cisco Certified Network Professional

Depois de 3 anos e meio de estudos na área de redes (Cisco), hoje tirei a certificação CCNP!!!
Foram no total 5 provas com uma abrangência muito grande de vários tópicos de redes.
A última prova para o CCNP que fiz hoje (TSHOOT 642-832), é realmente uma das provas mais bem elaboradas da Cisco.
Foram 13 Trouble Tickets sobre os mais diversos tópicos: NAT, ACL, Routing, Security, BGP, IPv6, Route Map, VLAN, etcs.
É uma prova muito trabalhosa, a forma mais fácil de passar é fazendo Labs.
Quanto mais Labs, mais fácil fica de identificar os problemas dos Tickets da prova.

Agora é hora de definir novos planos!
[]s Até o próximo post! :D

GNS3 Lab – Implementando redistribuição de rotas (OSPF / EIGRP)

Terceiro e último Lab com OSPF! Redistribuição de rotas, outro Workaround para problemas com protocolos de roteamento. Recapitulando, redistribuição de rotas é utilizado para redes com protocolos diferente comunicarem-se. Segue topologia:

Objetivos:

1 – Configurar o EIGRP e OSPF para a rede acima. Anunciar todas as redes em todos roteadores. Não implementar sumarização no EIGRP ou OSPF. Configurar OSPF na area 0 e configurar todas interfaces loopback em R3 como rede OSPF ponto-a-ponto.
2 – Habilitar redistribuição entre EIGRP e OSPF, implementando qualquer métrica necessária para garantir que todos roteadores visualizem todas as rotas. Rotas OSPF externas não devem incrementar sua métrica quando propagadas na rede.
3 – Implementar lista de distribuição de modo que o dominio OSPF visualize somente as redes loopbacks numeradas ímpares recebidas de R1.
4 – Implementar o filtro route-map de modo que o dominio EIGRP não visualize as rotas com a máscara subnet /24

Configuração inicial dos roteadores.

R1:

!
interface Loopback0
ip address 10.1.0.1 255.255.255.0
!
interface Loopback1
ip address 10.1.1.1 255.255.255.0
!
interface Loopback2
ip address 10.1.2.1 255.255.255.0
!
interface Loopback3
ip address 10.1.3.1 255.255.255.0
!
interface Loopback4
ip address 10.1.4.1 255.255.255.0
!
interface Loopback5
ip address 10.1.5.1 255.255.255.0
!
interface Loopback6
ip address 10.1.6.1 255.255.255.0
!
interface Serial0/0
ip address 10.1.12.1 255.255.255.0
clock rate 2000000
!

R2:

!
interface Serial0/0
ip address 10.1.12.2 255.255.255.0
clock rate 2000000
!
interface Serial0/1
ip address 10.1.23.2 255.255.255.0
clock rate 2000000
!

R3:

!
interface Loopback7
ip address 10.1.7.1 255.255.255.0
!
interface Loopback8
ip address 10.1.8.1 255.255.255.0
!
interface Loopback9
ip address 10.1.9.1 255.255.255.0
!
interface Loopback10
ip address 10.1.10.1 255.255.255.0
!
interface Loopback11
ip address 10.1.11.1 255.255.255.252
!
interface Loopback12
ip address 10.1.11.5 255.255.255.252
!
interface Loopback13
ip address 10.1.11.9 255.255.255.252
!
interface Serial0/0
ip address 10.1.23.3 255.255.255.0
clock rate 2000000
!

Resolução:

1 – Configurar o EIGRP e OSPF para a rede acima. Anunciar todas as redes em todos roteadores. Não implementar sumarização no EIGRP ou OSPF. Configurar OSPF na area 0 e configurar todas interfaces loopback em R3 como rede OSPF ponto-a-ponto:

Configurar o EIGRP e OSPF para a rede acima. Anunciar todas as redes em todos roteadores. Não implementar sumarização no EIGRP ou OSPF:

Após configurado, podemos observar  pelo comando show ip route em R2 que as “redes” das interfaces loopback de R3 estão sendo exibidas como endereços hosts (/32):

Para isso, utilizaremos o último requisito do primeiro objetivo: Configurar OSPF na area 0 e configurar todas interfaces loopback m R3 como rede OSPF ponto-a-ponto:

Agora podemos visualizar em R2 que as redes estão com a máscara correta:

2 – Habilitar redistribuição entre EIGRP e OSPF, implementando qualquer métrica necessária para garantir que todos roteadores visualizem todas as rotas. Rotas OSPF externas não devem incrementar sua métrica quando propagadas na rede:

 3 – Implementar lista de distribuição de modo que o dominio OSPF visualize somente as redes loopbacks numeradas ímpares recebidas de R1:

4 – Implementar o filtro route-map de modo que o dominio EIGRP não visualize as rotas com a máscara subnet /24:

Depois de criar a prefix-list permitindo somente redes igual ou menores que /24, é só criar a route-map e associar com a prefix-list. Entrar em R2 e redistribuir o OSPF novamente no dominio EIGRP com a route-map criada:

R2(config-router)# redistribute ospf 1 metric 100 100 100 100 100 route-map FILTRO_OSPF_PARA_EIGRP

Feito! Poderíamos simplesmente ter criado uma access-list para negar todas as redes /30 , porem em um ambiente conturbado , o ideal é criamos route maps para não perder controle do que é permitido ou não na rede.

Até o próximo post!!!