Arquivo da Categoria “Segurança”
Informações técnicas de configurações de equipamentos como firewall, ips, roteadores, switches e outros devices, levando em conta o fator de segurança.
O mestre Fábio Amorim encaminhou para o blog um tutorial bem bacana para utilizar o VPN Client da Cisco com o firewall Fortigate. Curtam! 
Obs: A autenticação será utilizada com os usuários na Base do AD, a ponte de consultas será realizada pelo radius.
Configurando o radius no Fortigate
Guia User
-> Remote
Radius
Criando um grupo para usuário da VPN via Radius
User
- User Group
- Firewall “Create New”
- Nome do Grupo “Group_Radius_server”
- Atribuir o membro “NPS-RADIUS” criado no primeiro passo.
Criando o objeto utilizado na regra do split tunnel
Firewall Objects
- Address
Obs: Incluir o range de endereços que fazem parte do Split Tunnel, qualquer outro segmento de rede fora deste grupo será resolvido localmente na conexão local do cliente. Ou seja, apenas este trafego será tunelado para o Firewall.
Configurando o Fortigate UTM
Informações:
Ident ID: vpn.amorim.com.br
Pre-Key: amorim@12
Peer IP “interface outside” port 9: 200.200.200.1
Range IP Virtual: “IP pool”
10.255.255.1 a 10.255.255.254
Obs: Utilizamos o modo CLI devido ter mais facilidades nas atribuições dos parâmetros.
Configuração da fase 1
config vpn ipsec phase1-interface
edit "VPN-CLIENT-P1"
set type dynamic
set interface "port9"
set dhgrp 2
set peertype one
set xauthtype pap
set mode aggressive
set mode-cfg enable
set proposal 3des-sha1
set peerid " vpn.amorim.com.br"
set authusrgrp " Group_Radius_server "
set ipv4-start-ip 10.255.255.1
set ipv4-end-ip 10.255.255.254
set ipv4-netmask 255.255.255.0
set ipv4-dns-server1 192.168.1.1
set ipv4-wins-server1 192.168.1.1
set ipv4-split-include "Split_Tunnel_VPN"
set domain "amorim.com.br"
set banner "*** Bem vindo ao ambiente de rede virtual AMORIM - Click em Continue para ter acesso ao ambiente***"
set psksecret amorim@12
next
Configuração da fase 2
config vpn ipsec phase2-interface
edit " VPN-CLIENT-P2"
set phase1name " VPN-CLIENT-P1"
set proposal 3des-sha1
set dhgrp 2
next
end
Configurando o Client Cisco
Atribuir os valores:
NAME: Utilizar o Ident ID configurado
Password: Utilizar o Pre-Key definido na fase 1
Clicar em Connect, em seguida será solicitado um user/senha. Observe que, em nosso LAB utilizamos autenticação via Radius, consequentemente o user e senha deve ser utilizado do AD “Active Directory”.
Criando a politica de acesso “Zona de VPN para rede Local”
Policy
- Policy
Obs: Não incluir configurações do radius Server; em nosso projeto utilizamos o NPS server, rule do Windows 2008 server.
Nenhum comentário »
Publicado por Ricardo e arquivado em Segurança, tags: asa, cisco, failover, firewall
Hoje vamos falar sobre failover no firewall ASA, basicamente precisamos apenas que o hardware/IOS seja idêntico em ambos os lados para que possamos utilizar os modos failover ativo / ativo e ativo / standby. No modo ativo/ativo o trafego poderá passar por ambos os firewalls, já no modo ativo/failover o trafego passará apenas pelo firewall primário e o secundário (failover) entrará em ação quando por algum motivo o firewall primário reiniciar ou perder conexões.
Iremos demonstrar de forma simples e rápida como configurar um firewall asa no modo ativo/failover. Pense na seguinte topologia:
Conceitos básicos sobre a configuração:
1. No Firewall Primário deixaremos o IP de standby configurado (Obrigatório apenas para interface de gerencia);
2. No Firewall Secundário deixaremos Configurado apenas a interface failover (rede separada);
3. No Firewall Secundário colocaremos o IP de gerencia diferente do que vai ser usado em produção;
4. No Firewall Primário configuraremos os comandos de failover *Neste momento você irá perder a conexão;
5. No Firewall Secundário acessar pelo IP de gerencia (IP provisório), colocar os comandos de failover e IP na interface failover
* Perderemos conexão com o Firewall.
Agora vamos deixar de blá blá blá e entrar com a configuração.
Configuração Firewall Primário:
interface Ethernet0/0
nameif outside
security-level 0
ip address 10.10.10.1 255.255.255.0 standby 10.10.10.2
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.50.1 255.255.255.0 standby 192.168.50.2
!
interface Ethernet0/2
description LAN/STATE Failover Interface
!
interface Management0/0
nameif management
security-level 99
ip address 172.16.1.1 255.255.255.0 standby 172.16.1.2
management-only
!
failover
failover lan unit primary
failover lan interface failover e0/2
failover polltime unit msec 500 holdtime 7
failover polltime interface 3 holdtime 15
failover interface-policy 5
failover key failovlab123
failover link failover e0/2
failover interface ip failover 192.168.1.1 255.255.255.252 standby 192.168.1.2
Configuração Firewall Secundário:
interface Management0/0
nameif management
security-level 99
ip address 172.16.1.3 255.255.255.0
management-only
!
failover
failover lan unit secondary
failover lan interface failover e0/2
failover polltime unit msec 500 holdtime 7
failover polltime interface 3 holdtime 15
failover interface-policy 5
failover key failovlab123
failover link failover e0/2
failover interface ip failover 192.168.1.1 255.255.255.252 standby 192.168.1.2
Configuração Firewall Primário:
!
Failover active
Pronto, a configuração já será replicada para o firewall secundário, e ele já responderá pelo IP de gerencia failover. Lembrando que, sempre que você quiser verificar qual firewall está como ativo, deverá usar o comando show failover, conforme exemplo abaixo:
Show Failover: Firewall Primário
FW-ASA-LAB # sh failover
Failover On
Failover unit Primary
Failover LAN Interface: failover Ethernet0/2 (up)
Unit Poll frequency 500 milliseconds, holdtime 7 seconds
Interface Poll frequency 3 seconds, holdtime 15 seconds
Interface Policy 5
Monitored Interfaces 3 of 110 maximum
Version: Ours 8.4(4)1, Mate 8.4(4)1
Last Failover at: 16:45:36 BRST Jan 16 2013
This host: Primary - Active
Active time: 1206 (sec)
slot 0: ASA5510 hw/sw rev (2.0/8.4(4)1) status (Up Sys)
Interface management (192.168.1.1): Normal (Monitored)
Interface inside (192.168.50.1): Normal (Monitored)
Interface outside (10.10.10.1): Normal (Monitored)
slot 1: empty
Other host: Secondary - Standby Ready
Active time: 124 (sec)
slot 0: ASA5510 hw/sw rev (2.0/8.4(4)1) status (Up Sys)
Interface management (192.168.1.2): Normal (Monitored)
Interface inside (192.168.50.2): Normal (Monitored)
Interface outside (10.10.10.2): Normal (Monitored)
slot 1: empty
Stateful Failover Logical Update Statistics
Link : failover Ethernet0/2 (up)
Stateful Obj xmit xerr rcv rerr
General 376 0 80 0
sys cmd 80 0 80 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 0 0 0 0
UDP conn 16 0 0 0
ARP tbl 354 0 0 0
Xlate_Timeout 0 0 0 0
IPv6 ND tbl 0 0 0 0
VPN IKEv1 SA 0 0 0 0
VPN IKEv1 P2 0 0 0 0
VPN IKEv2 SA 0 0 0 0
VPN IKEv2 P2 0 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
Route Session 0 0 0 0
User-Identity 1 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 17 92
Xmit Q: 0 1485 2814
Show Failover: Firewall Secundário
FW-ASA-LAB # sh failover
Failover On
Failover unit Secondary
Failover LAN Interface: failover Ethernet0/2 (up)
Unit Poll frequency 500 milliseconds, holdtime 7 seconds
Interface Poll frequency 3 seconds, holdtime 15 seconds
Interface Policy 5
Monitored Interfaces 3 of 110 maximum
Version: Ours 8.4(4)1, Mate 8.4(4)1
Last Failover at: 16:56:06 BRST Jan 16 2013
This host: Secondary - Standby Ready
Active time: 124 (sec)
slot 0: ASA5510 hw/sw rev (2.0/8.4(4)1) status (Up Sys)
Interface outside (10.10.10.2): Normal (Monitored)
Interface inside (192.168.50.2): Normal (Monitored)
Interface management (192.168.1.2): Normal (Monitored)
slot 1: empty
Other host: Primary - Active
Active time: 1358 (sec)
slot 0: ASA5510 hw/sw rev (2.0/8.4(4)1) status (Up Sys)
Interface outside (10.10.10.1): Normal (Monitored)
Interface inside (192.168.50.1): Normal (Monitored)
Interface management (192.168.1.1): Normal (Monitored)
slot 1: empty
Stateful Failover Logical Update Statistics
Link : failover Ethernet0/2 (up)
Stateful Obj xmit xerr rcv rerr
General 100 0 513 0
sys cmd 100 0 100 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 0 0 0 0
UDP conn 0 0 20 0
ARP tbl 0 0 392 0
Xlate_Timeout 0 0 0 0
IPv6 ND tbl 0 0 0 0
VPN IKEv1 SA 0 0 0 0
VPN IKEv1 P2 0 0 0 0
VPN IKEv2 SA 0 0 0 0
VPN IKEv2 P2 0 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
Route Session 0 0 0 0
User-Identity 0 0 1 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 19 2932
Xmit Q: 0 1 100
Observação estas configurações foram testadas desde as versões 8 até a última versão 9.0.2 do asa software IOS.
Referencia Cisco:
Link
Nenhum comentário »
Amigos, segue abaixo um artigo gentilmente cedido pelo Ricardo Lima…
Você, profissional de TI, especialista em redes, certificado, e hoje trabalhando em uma Empresa de Consultoria em TI. Em uma bela tarde de sol recebe um comunicado da área comercial informando a venda de uma consultoria para uma rede de hotéis:
“Olá Consultor,
Informo que nosso Cliente, ABC Resorts, possui hoje uma rede em pleno funcionamento que serve para oferecer acesso Internet aos seus Hospedes.
Nos últimos tempos, seu hospedes tem reclamado constantemente ao ver outros computadores na rede e não sentem-se seguros ao utilizar o acesso oferecido.
Por alguma razão que não nos foi informada, eles optam por não utilizar redes Wi-Fi em suas instalações e sim Switches Ethernet. Um de seus Resorts, que possui 800 quartos, será utilizado como piloto; e se a solução oferecida satisfazer nosso cliente, nossa empresa ganhará a administração da Rede completa de Hotéis e Resorts.
Contamos com você para conseguirmos conquistar mais este cliente!
Att,
Setor comercial.”
Você logo pensa: “- Isso é tranquilo, posso utilizar VLANS para cada quarto! Mas logo lembra que são 800 quartos… 800 subredes para configurar, 800 interfaces VLAN… E o DHCP ? Serão 800 ranges para configurar!!! Vai dar trabalho, mas vai funcionar…”
Esquece ! ”- Vamos usar apenas uma grande subrede, uma interface VLAN e configurar Port ACLs em todas as portas de clientes!” Sim, isso funciona… Mas haja ACLs… E se algo mudar no futuro? Vou ter que refazer todas! Podia haver algo mais simples para este tipo de problemas, não???!!
E há, meu amigo!!! Para este tipo de situação existem as Private VLANs!
Como elas funcionam:
Dentro do mundo das Private VLANs, existem os tipos de VLANs:
- Primary – Esta será a VLAN Principal e responsável pela entrega dos dados para as VLANs secundárias;
- Secondary – Será associada a VLAN principal e possui dois tipos:
a) Isolated – Qualquer porta associada a esta VLAN poderá apenas se comunicar com a VLAN Primary;
b) Community – Qualquer porta associada a esta VLAN poderá se comunicar com outros hosts na mesma VLAN Community e com a VLAN Primary;
Seguindo a mesma linha, também existem os tipos de porta:
- Promiscuous Port – O Host conectado a uma porta do tipo Promisucous poderá se comunicar com todos os hosts abaixo daquela Primary VLAN, não importando se ela é Isolated ou Community;
- Isolated Port – Esta porta estará associada à uma Isolated VLAN e definirá uma porta que não terá mais comunicação com nenhuma outra porta, exceto uma ou mais Promiscuous Port. Apenas uma Isolated VLAN pode ser associada a uma Primary VLAN.
- Community Port – Esta porta estará associada à uma Community VLAN e definirá uma porta que poderá se comunicar apenas com os Hosts que estiverem na mesma VLAN Community e com uma ou mais Promiscuous port.
Em resumo, você criará uma VLAN e, associada a ela, SUB-VLANs. Associada às SUB-VLANS, estarão as portas.
Então você me pergunta:
“OK Ricardo, as coisas ainda estão meio confusas mas pelo que entendi até agora, com apenas duas VLANS (uma Primary e uma Isolated) conseguirei atender todo o Resort com 800 quartos. Mas e as 800 subredes, DHCP, etc…? “
Aí é que entra a parte mais interessante na perspectiva da administração da rede. Você precisará apenas de uma subrede que comporte todos os Hosts. Sendo assim uma rede /22 (assumindo que você sabe como cheguei neste resultado) comportará com folga a quantidade de quartos.
Informações adicionais:
- Para a comunicação das Private Vlans, nada em especial é necessário nas configurações de Trunk entre Switches;
- VTP deve ser desabilitado ou em modo transparent antes de configurar as Private VLANs. Item mandatório;
- As configurações de Private VLANs deverão ser realizadas em todos os Switches envolvidos neste ambiente.
O Diagrama abaixo consegue representar o funcionamento das Private VLANs em um ambiente genérico:
Para a ABC Resorts, o ambiente proposto com esta solução seria assim:
No diagrama acima, três VLANS foram utilizadas para suprir todo o ambiente:
- VLAN 100 – Primary VLAN;
- VLAN 101 – Secondary VLAN – Isolated
- VLAN 102 – Secondary VLAN – Community
Colocando a mão massa:
#Criando a Private Vlan Principal
!
vlan 100
name PVLAN_PRINCIPAL
private-vlan primary
!Este comando configura a pvlan como primária.
!
#Private Vlan Secundária modo Isolated (Nenhuma porta nesta PVLAN conversa com outra porta na mesma nem em outra PVLAN)
!
vlan 101
name PVLAN_QUARTOS
private-vlan isolated
!Este comando configura a pvlan como isolated.
!
#Private Vlan Secundária modo Community (Nenhuma porta nesta PVLAN conversa com outra porta na mesma nem em outra PVLAN)
!
vlan 102
name PVLAN_PRESIDENCIAL
private-vlan community
!Este comando configura a pvlan como community.
!
#Vinculando as VLANs secundárias à private VLAN
vlan 100
private-vlan association 101,102
!Este comando associa as pvlans 101 e 102 à pvlan 100.
!
#Exemplo de Configuração da Interface do Gateway (Firewall ou Roteador de Internet por exemplo)
!
interface GigabitEthernet0/1
description GATEWAY INTERNET
switchport private-vlan mapping 100 101,102
!Este comando configura a porta para participar da pvlan principal (100) e aceitar tráfego das pvlans 101 e 102. (Tráfego da própria pvlan 100 também é aceito).
switchport mode private-vlan promiscuous
!Este comando configura a porta como prosmíscua.
!
#Exemplo de Configuração da Interface do SERVIDOR (WWW, DHCP, DNS, ETC…)
!
interface GigabitEthernet0/1
description SERVIDOR WWW/DHCP/DNS
switchport private-vlan mapping 100 101,102
!Este comando configura a porta para participar da pvlan principal (100) e aceitar tráfego das pvlans 101 e 102. (Tráfego da própria pvlan 100 também é aceito).
switchport mode private-vlan promiscuous
!Este comando configura a porta como prosmíscua.
!
#Exemplo de Configuração de Pontos de Rede para estações (no nosso caso, os pontos que vão para os quartos)
!
interface GigabitEthernet0/3
description QUARTO 001
switchport private-vlan host-association 100 101
!Este comando associa a porta a pvlan 101, tendo como pvlan principal a 100. Se a pvlan é isolated, a porta será isolated.
switchport mode private-vlan host
!Este comando associa esta porta como o membro da pvlan com o papel de host. A mesma não poderá falar com outras portas a não ser as portas promíscuas.
!
interface GigabitEthernet0/4
description QUARTO 002
switchport private-vlan host-association 100 101
switchport mode private-vlan host
!
interface GigabitEthernet0/5
description QUARTO 003
switchport private-vlan host-association 100 101
switchport mode private-vlan host
.
.
.
interface GigabitEthernet0/23
description SUITE PRESIDENCIAL – PONTO 1
switchport private-vlan host-association 100 102
!Este comando associa a porta a pvlan 102, tendo como pvlan principal a 100. Se a pvlan é community, a porta será community.
switchport mode private-vlan host
!Este comando associa esta porta como o membro da pvlan com o papel de host. A mesma não poderá falar com outras portas a não ser as portas promíscuas e, neste caso, com as portas da mesma pvlan secundária (102).
!
interface GigabitEthernet0/24
description SUITE PRESIDENCIAL – PONTO 2
switchport private-vlan host-association 100 102
switchport mode private-vlan host
!
#Exemplo de Configuração de Interfaces Trunk (Nada de Especial  )
!
interface GigabitEthernet0/41
description UPLINK – SWITCH ACESSO 01
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface GigabitEthernet0/42
description UPLINK – SWITCH ACESSO 02
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface GigabitEthernet0/43
description UPLINK – SWITCH ACESSO 03
switchport trunk encapsulation dot1q
switchport mode trunk
.
.
.
interface GigabitEthernet0/48
description UPLINK – SWITCH ACESSO 08
switchport trunk encapsulation dot1q
switchport mode trunk
!
end
A mesma configuração deverá ser aplicada em todos os switches de acesso.
“-Mas e se eu tiver um Switch Layer 3 e ele for o Gateway da minha rede?”
Você poderá configurar a Interface VLAN como promíscua também, mas a configuração é um pouco diferente:
interface Vlan100
description GATEWAY – PRIVATE VLANS
ip address 192.168.0.1 255.255.252.0
private-vlan mapping 101,102
A PVLAN 100, já é implicitamente promíscua. A única coisa a ser feita na Interface VLAN é mapear as PVLANs que terão acesso à ela.
Eu disse que essa solução vinha resolver os problemas que você não tinha, não disse? É difícil pensar em uma Rede em que você quer que as portas não se comuniquem!!! ;)
3 comentários »
Publicado por Ricardo e arquivado em Segurança, tags: asa, cisco, firewall, nat, twice
Galera depois de ficar um bom tempo sem pubilicar artigos sobre VPNs resolvi criar este artigo que visa atualizá-los
quanto algumas mudanças de configuração quando usamos NAT nos firewalls cisco ASA. Peguei como exemplo um artigo
escrito anteriormente sobre VPNs.
Artigo (Referencia):
Exemplo – VPNs Site-to-Site entre Firewalls Cisco NAT
Versão de Firewall = 8.2
name 200.1.1.1 peer_empresa1
h_server01 10.1.1.1
rede_inside_empresa2 192.168.1.0
h_empresa2 172.16.1.22
object-group network inside_empresa2
network-object rede_inside_empresa2 255.255.255.0
access-list acl_nat_empresas extended permit ip host h_server01 object-group inside_empresa2
static (inside,outside) 172.16.1.22 access-list acl_nat_empresas
Versão nova Firewall = 8.4
Agora e feito um NAT DUPLO (Twice Nat )
Dados: (Comparação)
name 200.1.1.1 peer_empresa1
h_server01 10.1.1.1
rede_inside_empresa2 192.168.1.0
h_empresa2 172.16.1.22
Agora não usamos mais aquela ACL Estática padrão (static (inside,outside) 172.16.1.22 access-list acl_nat_empresas).
Agora fazemos desta forma:
nat (inside,outside) 1 source static h_server01 h_empresa2 destination static rede_inside_empresa2 rede_inside_empresa2
Simples assim, percebam que agora temos um NAT Condicional que inclui um nat duplo (twice nat).
Referencia Cisco:
Link
Nenhum comentário »
Publicado por roger e arquivado em Routing, Segurança, tags: cisco, nat, Roteador
Hoje vamos abordar um assunto bastante “conhecido” para técnicos, analistas e engenheiros de Rede, mas que dependendo da técnica/modelo utilizado pode tornar-se extremamente complexo, o NAT.
A RFC1918 cita o uso dentro do range 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16 em redes locais (LAN); e que não devem ser roteados pela Internet, chamado também de endereços privados.
Porém os pacotes com endereços privados podem ser roteados dentro de redes privadas(LAN). Diferente dos endereços IP públicos (endereços IP na Internet), os endereços privados são um bloco reservado que pode ser usados em qualquer rede.
Essa divisão foi desenvolvida para preservar a estrutura de endereços da Internet, pois não existem endereços públicos suficientes para permitir que as organizações forneçam um IP “valido” para cada computador.
Observando esse cenário precisamos que um mecanismo traduza os endereços privados para endereços públicos tanto para tráfegos de entrada quanto para tráfegos de saída, e ai que entra o NAT ( Network Address Translation).
Geralmente, os dispositivos configurados para fazer o NAT retêm menos endereços IP disponíveis para aquela empresa usar na Internet do que a quantidade de máquinas e Serviços que precisam de acesso à Internet. Quando um host enviar pacotes para a Internet, o NAT traduzirá o endereço IP interno (privado) para um endereço externo (publico). Todo esse processo é transparente para dispositivos em redes remotas, como por exemplo, um site na Internet (quando um pacote chegar a uma rede remota chegará com o endereço de origem “valido”).
Apesar de bem questionável, mas efetivo na maioria dos casos, a técnica de NAT também é usada como ferramenta de segurança para mascarar endereços de máquinas na rede local, via rede publica.
O NAT pode ser comparado em alguns casos como uma telefonista de uma Empresa. Imagine que nenhum funcionário possa efetuar ligações externas sem solicitar que a telefonista o faça; e que essa telefonista foi instruída a não encaminhar ligações para nenhum funcionário sem a identificação da pessoa externa que está procurando um funcionário da empresa.
Então, quando uma pessoa entra em contato com número da empresa, que é o único número que ele conhece, pede à recepcionista o nome de quem ele(a) procura e consequentemente a recepcionista verificará em sua tabela de ramal o numero corresponde a seu nome e transferirá a chamada.
Configurando o NAT
Nesse primeiro post mostraremos um exemplos da técnica de NAT estático que permite um mapeamento permanente entre um endereço interno e um endereço público específico.
Exemplo:
Abaixo o script com as configurações necessárias para tradução do cenário acima.
ip nat inside source static 172.16.20.2 200.0.0.10
! Configurando o mapeamento do IP de origem "original" e o endereço IP que será traduzido
interface Fast 0/0
ip address 172.16.20. 1 255.255.255.0
ip nat inside
no shut
interface serial0/1
ip address 200.0.0.1 255.255.255.0
ip nat outside
no shut
Output do comando show ip nat trasnslation no Roteador R1 durante uma conexão Telnet /ICMP iniciada pelo o Host 172.16.20.2 para o Servidor na Intenet 200.200.200.200
R1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 200.0.0.10:21 172.16.20.2:21 200.200.200.200:21 200.200.200.200:21
icmp 200.0.0.10:22 172.16.20.2:22 200.200.200.200:22 200.200.200.200:22
icmp 200.0.0.10:23 172.16.20.2:23 200.200.200.200:23 200.200.200.200:23
icmp 200.0.0.10:24 172.16.20.2:24 200.200.200.200:24 200.200.200.200:24
— 200.0.0.10 172.16.20.2 — —
tcp 200.0.0.10:1025 172.16.20.2:1025 200.200.200.200:23 200.200.200.200:23
no meu próximo post falarei sobre NAT dinâmico, espero que tenham gostado.
Referencia
http://www.ietf.org/rfc/rfc1918.txt
Nenhum comentário »
Publicado por Ricardo e arquivado em Datacenter, Segurança, tags: backup, cisco, drp
Outro dia me deparei com a situação de se criar um site backup para um grande Datacenter, neste artigo venho apresentar conceitos básicos que deverão ser analisados quando se precisa deste tipo de solução. Vamos supor que a empresa RotaDefault tenha uma aplicação de missão critica chamada rdef está aplicação é utilizada por usuários de várias filiais de nosso empresa que se conectam ao Datacenter RotaDefault via uma UP (Unidade Provedora) proprietária e ou contratada de alguma operadora qualquer.
A solução de site backup visa prover disponibilidade para o negócio rdef da empresa Rota Default e também deverá ter transparência para seus clientes quando o Datacenter principal ficar indisponível e o Datacenter backup assuma as requisições a aplicação rdef (de nosso exemplo) de forma automática e com baixo impacto para o usuário.
O crescimento da Infra-Estrutura acompanha o crescimento do negócio. O sucesso do negócio rdef não é afetado por problemas no Datacenter, porém de acordo com os serviços disponibilizados, em uma nova fase poderá ser necessário realizar um Upgrade no link ponto a ponto entre os prédios.
Toda Infra-Estrutura será montada de acordo com a parte relevante que atende ao negocio e desta forma poderemos manter o plano de endereçamento atual e as liberações de firewall controladas de acordo o site principal.
Ambos os sites irão possuir links redundantes que atuarão como UP (Unidade Provedora) para as filiais do Rotadefault provendo assim o negocio; Possuirão também links ponto a ponto redundantes que irão possibilitar a replicação dos dados e ou gravação simultânea dos registros inseridos no rdef. Desta forma A UP Secundaria sempre estará atualizada.
Topologia ilustrativa da solução
Infra-Estrutura básica para atender DATACENTER redundante
Os serviços disponibilizados no site backup necessitarão de:
- Infra-Estrutura física e lógica similar ao DATACENTER principal
- Possibilidade de aumento de Banda, mediante termo aditivo ao Contrato da operadora do link
- Solução multi-layer, com possibilidade de expansão
- Ativação de UP Secundária
- Ativação de Link ponto a ponto entre site principal e site backup
- Monitoramento de rede pró-ativo
- Suporte técnico 24 x 7 x 365
- Serviços de Backup com armazenamento de mídia em área segura
- Firewalls assegurando proteção da rede
- Acesso de pessoal restrito com alto nível de controle
A instalação física e lógica compreende a execução dos procedimentos técnicos necessários à preparação e à operacionalização da solução sendo que qualquer modificação e/ou adaptação da infra-estrutura física, lógica deverá obedecer às normas técnicas ABNT e da EIA/TIA aplicáveis. Lembrando que temos as seguintes situações:
Estrutura Física
- Ambiente localizado longe do DATACENTER principal
- Rede elétrica estabilizada e redundante
Estrutura Lógica
- Contratação de uma UP (Unidade Provedora) secundaria da rede de dados
- Contratação de um Link ponto a ponto entre Matriz e site Backup para realizar a replicação dos dados
- A operadora (órgão provedor do link ponto a ponto) precisara prover Infra-Estrutura técnica de DCI (Data Center InterConnect)
Referência:
Cisco
Nenhum comentário »
Publicado por Ricardo e arquivado em Segurança, tags: firewall, fortigate, fortinet, pat
Hoje falaremos sobre o modulo de firewall fortigate da empresa fortinet. Este e um produto bem interessante devido a variedade de features disponíveis. Vamos a elas:
* Todas verificadas na versão do Firmware 4.0
Neste artigo iremos focar no modulo de firewall, imaginemos que precisamos criar um PAT (Port Forwarding Translation) de uma conexão vinda da internet a um determinado host interno em uma porta especifica.
Topologia:
Faça acesso ao dispositivo via SSH e execute os seguintes comandos:
! Visualizando a policy existente
Rdefault# sh firewall vip
! Visualizando a configuração do VIP (Virtual IP Configuration)
Rdefault# show firewall policy
! Visualizando serviços criados (customizados) por você.
Rdefault# show firewall service custom
! Criando um VIP
Rdefault# config firewall vip
edit "Acesso_SSH"
set extip 200.200.200.2
set extintf "wan"
set portforward enable
set mappedip 172.16.1.4
set extport 22
! Neste passo você poderia fazer um Port Forwading entre portas diferentes
Ex: receber a conexão na porta 55 e passar para 22.
set mappedport 22
next
end
!Criando um grupo de portas especifico
(este a apenas um exemplo caso não existisse o padrão 22(SSH)).
Rdefault# config firewall service custom
edit "SSH_SRV_WebLinux"
set protocol TCP
set tcp-portrange 22
next
end
! Editando a policy wan
Rdefault# config firewall policy 2 Número da Policy wan
set srcintf "wan"
set dstintf "internal"
set srcaddr "all"
set dstaddr " Acesso_SSH "
! Nome do VIP que você criou no passo anterior
set action accept
set schedule "always"
set service "SSH_SRV_WebLinux"
! Aqui você pode colocar SSH ou um outro grupo de portas pré-definidos por você.
set logtraffic enable
set nat enable
! Verifique se não está com NAT habilitado (mude o status para disable),
ele não é necessário neste cenário.
next
Referência:
Fortinet
2 comentários »
Publicado por Ricardo e arquivado em Segurança, tags: asa, cisco, firewall, nat, vpn
Galera agora vou exemplificar como criar uma VPN Site-to-Site entre 2 empresas, porém utilizando NAT dentro do túnel VPN.
Topologia:
Leia o artigo (VPNs Site to Site entre Firewalls Cisco) para visualizar e entender o básico de uma configuração VPN, neste complemento você terá empresa 1 que possui um servidor com endereço IP: 192.168.1.10 e estará fazendo um NAT para um endereço IP:10.1.1.1 que será especificado (tráfego interessante) para a empresa 2, e a empresa 2 irá fazer o mesmo utilizará um IP NAT: 10.2.2.2 do seu servidor IP: 172.16.1.10 ( A configuração da empresa 2 e muito simples e
ficará a cargo do seu entendimento da solução).
[ Configuração Empresa 1 ]
! Definindo Nomes dos hosts/redes
Mantem Configuração do Artigo Anterior.Link
! Criando os inside_hosts
Mantem Configuração do Artigo Anterior.Link
[ Exemplo 1]
! ACLs para trafego cryptografado
access-list cryptomap_emp2 extended permit ip object-group vpn_inside_hosts host inside_empresa2
! ACL para o NAT (Police Nat)
access-list acl_nat_emp2 extended permit ip object-group vpn_inside_hosts host inside_empresa2
! Criando o NAT
static (inside,outside) 10.2.2.2 access-list acl_nat_emp2
[ Exemplo 2]
! ACLs para trafego cryptografado
access-list cryptomap_emp2 extended permit ip object-group vpn_inside_hosts host inside_empresa2
! ACL para o NAT (Police Nat)
access-list acl_nat_out_emp2 extended permit ip object-group vpn_inside_hosts host inside_empresa2
! Criando o NAT
nat (inside) 1 access-list acl_nat_out_emp2v
global (outside) 1 10.2.2.2
! Protocolos Fase 2 / Lifetime em modo global
Mantem Configuração do Artigo Anterior.Link
! Configurando Peer
Mantem Configuração do Artigo Anterior.Link
(Se atentar ao nome da ACL)
! Habilitando crypto map na outside, criar apenas uma crypto map para outside.
Mantem Configuração do Artigo Anterior.Link
! Habilitando Isakmp na Outside
Mantem Configuração do Artigo Anterior.Link
! Configuração Policy 10 Rede Empresa 2
Mantem Configuração do Artigo Anterior.Link
! Definindo Tunnel / Attributos do Tunnel / E o Tunnel Não deve ser nome e SIM o IP do Peer da rede Empresa 2.
Mantem Configuração do Artigo Anterior.Link
[ Troubleshooting ]
Podemos utilizar os mesmos comandos do artigo anterior,
apenas lembrando que iremos executar os testes nos IPs NAT.
[ Conclusão ]
O porque do uso de NAT? Quais benefícios do NAT para esta solução?
Pessoal desta forma não precisamos informar o IP real de nossos servidores aos nossos parceiros e também podemos evitar overlapping entre as empresas fazendo com que cada uma das empresas estenda a sua rede IP para o parceiro de forma a não causar nenhum impacto.
1 comentário »
Bom pessoal, dando continuidade em artigos de ferramentas open source para ativos de rede, venho apresentar o NIPPER, que é uma ferramenta bem útil na hora de documentação e também para compreensão das configurações utilizadas em roteadores, switches e firewalls de fabricantes como cisco, juniper,HP(3com), Nokia, Nortel, Sonicwall.
O Nipper permite aos administradores de rede, profissionais de segurança e auditores uma rápida compreensão através de relatórios de configuração dos dispositivos de infraestrutura de sua rede.
O Nipper funciona em plataformas Windows / Linux / MacOs
1. Parte Instalação em ambiente Linux
Primeiramente você poderá fazer o download da ferramenta em:
http://firewallninja.com/nipper/
Ele foi desenvolvido em linguagem C verifique o arquivo install_script, o processo é muito simples.
2. Utilizando
Utilizando a ferramenta em um ambiente linux ou no prompt de comando (DOS) do Windows.
Tenha em mãos um arquivo com a configuração do seu ativo (Ex: sw_config.txt).
Sintaxe:
nipper –ios-switch –input=sw_config.txt –output=report_switch.html
Agora para quem quiser realizar a consulta direta via SNMP poderá fazer o seguinte:
nipper –ios-router –cisco-ip=172.16.1.56 –local-ip=172.16.1.5 –cisco=new –snmp=testero –tftproot=/tmp –cisco-file=/tmp/report_cisco.html
Lembrando que você precisará de uma comunidade RO (testero) o IP do Router (172.16.1.56) e especificar o local aonde deverá ser gravada a informação (/tmp/report_cisco.html).
3. Resultado
Segue abaixo os arquivos HTML com o resultado da nossa consulta no item anterior.
Link Resultado 1 – Router Cisco 3745 (Arquivo:report_cisco.html)
Link Resultado 2 – Switch Cisco 2960 (Arquivo:report_switch.html)
4. Conclusão
O Nipper se mostra muito útil para uma rápida compreensão da configuração de um determinado ativo de rede e de suas
possíveis falhas de configuração. Tornando o processo de documentação / Tunning de ativos bem mais simples e de fácil
apresentação para um gestor de tecnologia da informação. Segue abaixo as principais características desta ferramenta.
- Exibe uma série de recomendações para desabilitar serviços que possam levar ao acesso não autorizado para o roteador ou rede;
- Verifica versão de OS do dispositivo verificando vulnerabilidades, utilizando-se do banco de dados vulnerabilidade conhecidas;
- Comandos e recomendações para proteger os dispositivos de rede;
- Facilita no entendimento configuração;
- Facilita no processo de Auditorias de segurança;
- Ajuda na verificação de complexidade da senha.
Obs. Quem tiver interesse em acompanhar uma outra versão deste artigo aonde demonstro como descobrir se o ativo em questão possui SNMP configurado e também o nome da comunidade utilizada poderá acessar meu site: Ricardo Security
3 comentários »
Publicado por Ricardo e arquivado em Segurança, tags: 5505, ACL, asa, firewall, site, vpn
 Dando continuidade em como aproveitar o seu firewall asa 5505, vou exemplificar como criar um VPN Site-to-Site entre 2 empresas.
Neste exemplo vou demonstrar utilizando uma configuração básica,porém em um outro post irei falar sobre policy nat para que quando você precise
realizar um NAT. Esta configuração visa à troca de informações entre duas empresas que compartilham entre si informações de mesmo interesse.
Informações Necessárias:
[ Parâmetros de Configuração Empresa 1 ]
Tunnel Group Name: 200.1.1.1
Peer IP:200.1.1.1
pre-shared-key: lab@vpn11
Ike Policy: AES-256 – SHA 1
Parâmetros: Fase 1 e Fase 2 (AES-256 / SHA-1 / DH Group-2 / no pfs / security-association lifetime seconds 3600).
[ Parâmetros de Configuração Empresa 2 ]
Tunnel Group Name: 210.2.2.2
Peer IP:210.2.2.2
pre-shared-key: lab@vpn11
Ike Policy: AES-256 – SHA 1
Parâmetros: Fase 1 e Fase 2 (AES-256 / SHA-1 / DH Group-2 / no pfs / security-association lifetime seconds 3600).
[ Configuração Empresa 1 ]
! Definindo Nomes dos hosts/redes
name 172.16.1.10 inside_empresa2
name 210.2.2.2 peer_empresa2
name 192.168.1.10 h_vpn01
! Criando os inside_hosts
object-group network vpn_inside_hosts
network-object host 192.168.1.10
! ACLs para trafego cryptografado
access-list cryptomap_emp2 extended permit ip object-group vpn_inside_hosts host inside_empresa2
! Protocolos Fase 2 / Lifetime em modo global
crypto ipsec transform-set vpn_empresa2 esp-aes-256 esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
! Configuração Peer Empresa 2
crypto map outside_map 1 match address cryptomap_emp2
crypto map outside_map 1 set peer peer_empresa2
crypto map outside_map 1 set transform-set vpn_empresa2
crypto map outside_map 1 set security-association lifetime seconds 3600
! Habilitando crypto map na outside, criar apenas uma crypto map para outside.
crypto map outside_map interface outside
! Habilitando Isakmp na Outside
crypto isakmp enable outside
! Configuração Policy 10 Rede Empresa 2
crypto isakmp policy 10
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 28800
! Definindo Tunnel / Attributos do Tunnel / E o Tunnel Não deve ser nome e SIM o IP do Peer da rede Empresa 2.
tunnel-group 210.2.2.2 type ipsec-l2l
tunnel-group 210.2.2.2 ipsec-attributes
pre-shared-key lab@vpn11
[ Configuração Empresa 2 ]
! Definindo Nomes dos hosts/redes
name 192.168.1.10 inside_empresa1
name 200.1.1.1 peer_empresa1
name 172.16.1.10 h_vpn01
! Criando os inside_hosts
object-group network vpn_inside_hosts
network-object host 172.16.1.10
! ACLs para trafego cryptografado
access-list cryptomap_emp1extended permit ip object-group vpn_inside_hosts host inside_empresa1
! Protocolos Fase 2 / Lifetime em modo global
crypto ipsec transform-set vpn_empresa1 esp-aes-256 esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
! Configuração Peer Empresa 1
crypto map outside_map 1 match address cryptomap_emp1
crypto map outside_map 1 set peer peer_empresa1
crypto map outside_map 1 set transform-set vpn_empresa1
crypto map outside_map 1 set security-association lifetime seconds 3600
! Habilitando crypto map na outside, criar apenas uma crypto map para outside.
crypto map outside_map interface outside
! Habilitando Isakmp na Outside
crypto isakmp enable outside
! Configuração Policy 10 Rede Empresa 1
crypto isakmp policy 10
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 28800
! Definindo Tunnel / Attributos do Tunnel / E o Tunnel Não devem ser nome e SIM o IP do Peer da rede Empresa 1.
tunnel-group 200.1.1.1 type ipsec-l2l
tunnel-group 200.1.1.1 ipsec-attributes
pre-shared-key lab@vpn11
[ Troubleshooting ]
A partir de um dos hosts locais (192.168.1.10 ou 172.16.1.10) executar um comando ping para que seja iniciado o Túnel VPN a partir deste momento o trafego icmp deverá funcionar.
Abaixo segue comandos que podemos ser executados no firewall para verificação do túnel VPN.
! Verificando se o Túnel está Ativo. 1.Fase
Empresa1# sh crypto isakmp sa
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 210.2.2.2
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE
! Verificando se existe tráfego passando por dentro do Túnel VPN. 2.Fase
Empresa1# sh crypto ipsec sa
interface: outside
#pkts encaps: 956, #pkts encrypt: 956, #pkts digest: 956
#pkts decaps: 302, #pkts decrypt: 302, #pkts verify: 302
O artigo apresentado não é novidade, porém espero ter sido bem claro nos detalhes de configuração para que seja possível compreender cada paramento implementado no firewall.
Até o próximo post aonde estaremos utilizando NAT dentro deste Túnel.
Nenhum comentário »
|
