Firewalls Soluções Práticas

6 - FIREWALLS CISCO ASA

6.1 INTRODUÇÃO AOS SISTEMAS CISCO ASA Os sistemas ASA (Adaptive Security Appliances) foram apresentados pela Cisco Systems em 2005, com o objectivo de unificar os serviços de três famílias de appliances existentes na altura: Cisco PIX Appliances – fornecia serviços de filtragem de pacotes e tradução de endereços; Cisco VPN Concentrators – suportava redes privadas virtuais; Cisco IPS Series – sistemas de detecção e prevenção de intrusão. Actualmente, a família ASA 5500 é constituída por vários modelos com diversas capacidades, que cobrem múltiplas necessidades, desde as pequenas empresas até aos campus ou centros de dados. A Figura 6.1 mostra um dos modelos de topo desta família.

Figura 6.1 – ASA 5580-40 (fonte: Cisco)

A Tabela 6.1 compara as principais diferenças entre os vários modelos ASA. Esta tabela é um resumo, que não tem todos os modelos nem todas as características. A comparação completa pode ser consultada no sítio Web da Cisco42. A tabela compara as capacidades de memória, as taxas de filtragem, o número máximo de ligações simultâneas, a capacidade de sessões VPN e outras características importantes para quem pretende escolher o modelo mais adequado às suas necessidades.

42

Disponível em http://cisco.biz/en/US/products/ps6120/prod_models_comparison.html

199

Firewalls: Soluções Práticas

Tabela 6.1 – Características essenciais da família ASA CARACTERÍSTICA

5505

5520

5540

5550

5580-40

MEMÓRIA RAM

512 MB

1 GB

2 GB

4 GB

12 GB

150 Mbit/s

450 Mbit/s

650 Mbit/s

1 Gbit/s

10 Gbit/s

10,000

280,000

400,000

650,000

2,000,000

4,000

12,000

25,000

36,000

150,000

CAPACIDADE VPN 3DES/AES

100 Mbit/s

225 Mbit/s

325 Mbit/s

425 Mbit/s

1 Gbit/s

MÁXIMO DE SESSÕES VPN SSL

25

750

2500

5000

10,000

CAPACIDADE DE

1 SSC

1 SSM

Não

6 IC

INTRUSÃO

Sim, c/ AIP SSC

Sim, c/ AIP SSM

Não

FILTRAGEM DE

Não

Sim, c/ CSC SSM

Não

TOLERÂNCIA A FALHAS

Não

Sim

BALANCEAMENTO DE

Não

Sim

0

20

50

100

250

CAPACIDADE DE FILTRAGEM

MÁXIMO DE LIGAÇÕES SIMULTÂNEAS

MÁXIMO DE LIGAÇÕES POR SEGUNDO

EXPANSÃO

PREVENÇÃO DE

CONTEÚDOS

CARGA

CONTEXTOS DE SEGURANÇA (MAX)

Alguns modelos possuem baías de expansão que permitem a instalação de módulos com uma função específica, por exemplo detecção e prevenção de intrusão, que permitem aumentar a capacidade do modelo ou acrescentar funcionalidades.

Módulos para inspecção e prevenção de intrusão Estes módulos, designados AIP (Advanced Inspection and Prevention), permitem acrescentar funcionalidade de inspecção de pacotes e detecção/prevenção de intrusão aos sistemas ASA. Actualmente, existem os módulos AIP que constam da Tabela 6.2.

200

Firewalls Cisco ASA

Tabela 6.2 – Módulos AIP AIP SSC-5

AIP SSM-10

AIP SSM-20

AIP SSM-40

5505

5510, 5520

5520, 5540

512 MB

1 GB

2 GB

4 GB

75 MBIT/S

5510: 150 MBIT/S 5520: 225 MBIT/S

5520: 375 MBIT/S 5540: 500 MBIT/S

5520: 450 MBIT/S 5540: 650 MBIT/S

PROTECÇÃO "DIA ZERO"

NÃO

SIM

ASSINATURAS

NÃO

SIM

CARACTERÍSTICA

MODELOS ONDE SE APLICA

MEMÓRIA RAM CAPACIDADE DE INSPECÇÃO

PERSONALIZÁVEIS

Módulos para filtragem de conteúdos As firewalls ASA podem ser equipadas com um módulo CSC ( Content Security and Control ) que lhes permite inspeccionar os conteúdos que fluem através delas. A inspecção permite detectar e evitar vírus, spyware, phishing, spam e várias outras ameaças relacionadas com os conteúdos. Estes módulos realizam actualizações automáticas das assinaturas das ameaças, pelo que garantem uma protecção actualizada. A Tabela 6.3 mostra os módulos CSC disponíveis na actualidade. Tabela 6.3 – Módulos CSC CSC-SSM-10

CSC-SSM-20

5510, 5520

5510, 5520, 5540

1 GB

2 GB

50 A 500

500 A 1000

CARACTERÍSTICA

MODELOS ONDE SE APLICA

MEMÓRIA RAM NÚMERO DE UTILIZADORES

201

Firewalls: Soluções Práticas

6.2 MODOS DE OPERAÇÃO A firewall ASA pode funcionar em diversos modos de operação, que esta secção apresenta.

Modo de encaminhamento O modo de encaminhamento é o modo normal de funcionamento da firewall. Neste modo, a firewall actua como um dispositivo de nível 3, ou seja, cada uma das suas interfaces está ligada a uma sub-rede diferente e possui um endereço IP pertencente à respectiva sub-rede.

Figura 6.2 – Modo de encaminhamento

A Figura 6.2 mostra a aplicação típica de uma firewall ASA no modo de encaminhamento. A firewall é um ponto de passagem obrigatório do tráfego entre a rede local e o exterior, e cada uma das suas interfaces está ligada a uma sub-rede diferente, pelo que tem que implementar um processo de encaminhamento de pacotes entre redes diferentes. No fundo, a firewall tem que desempenhar também o papel de um router. Neste modo, o default gateway da rede local é a interface interior da firewall. Desta forma, o endereço das suas interfaces tem que ser conhecido e a firewall não pode ser escondida. Normalmente, não é necessário fazer nenhuma configuração para colocar a firewall no modo de encaminhamento. No entanto, para mudar do modo transparente para o modo de encaminhamento, é necessário o seguinte comando: !passar para o modo de encaminhamento ciscoasa(config)# no firewall transparent

Modo transparente No modo transparente, a firewall tem as suas interfaces na mesma sub-rede IP e estas actuam como interfaces de nível 2, ou seja, não têm um endereço IP. A grande vantagem deste modo é que é extremamente simples aplicar ou retirar uma firewall em qualquer cenário de rede. Outra vantagem é que no modo transparente

202

Firewalls Cisco ASA

é possível transferir tráfego que nunca passaria no modo de encaminhamento como, por exemplo, protocolos não IP, como o MPLS. A Figura 6.3 mostra o cenário típico de utilização da firewall no modo transparente.

Figura 6.3 – Modo transparente

De salientar os seguintes aspectos: As interfaces da firewall estão ambas na mesma sub-rede (10.0.0.0/8) e não possuem endereços IP próprios; Todo o tráfego para a Internet passa obrigatoriamente pela firewall; A firewall possui um endereço IP, mas unicamente para acesso administrativo; O default gateway da sub-rede não é a firewall, é o router da figura; Como pode ser confundida com um switch, a presença da firewall na rede é furtiva. Se a ideia é usar o modo transparente, essa deve ser a primeira configuração a realizar, pois este modo de funcionamento tem implicações em muitos aspectos da configuração. Aliás, a partir do momento em que o modo transparente é aplicado, uma grande parte das configurações deixa de fazer sentido. Por exemplo, deixa de ser possível implementar a tradução de endereços (NAT). Apesar de as interfaces funcionarem apenas na camada 2, as operações internas de filtragem de pacotes funcionam tal como no modo de encaminhamento. O modo transparente é configurado com o seguinte comando: !passar para o modo transparente ciscoasa(config)# firewall transparent

Múltiplos contextos de segurança Independentemente de estar no modo transparente ou de encaminhamento, existe uma outra dicotomia sobre o seu funcionamento: modo single ou múltiplos contextos. No modo single, que é o modo de funcionamento mais usual, existe uma única política de segurança aplicada directamente na firewall.

203

Firewalls: Soluções Práticas

No modo de múltiplos contextos, a firewall é dividida em múltiplas firewalls virtuais, cada uma com as suas interfaces virtuais e configurações específicas. Esta virtualização pode ser útil quando se pretende implementar várias políticas de segurança diferentes com uma única firewall. Também pode ser útil em grandes organizações, como forma de facilitar a escalabilidade das políticas de segurança. A configuração de múltiplos contextos é complexa e exige um administrador experiente. Por outro lado, neste modo, algumas funcionalidades são desactivadas, pelo que só deve ser usado se as vantagens forem evidentes. A configuração da firewall com múltiplos contextos tem que ser realizada através da linha de comando: a aplicação ASDM não suporta este modo.

6.3 FORMAS DE CONFIGURAÇÃO A configuração das firewalls ASA pode ser feita de diversas formas: Através de um cabo de consola e uma aplicação de terminal; Através de Telnet; Através de SSH; Com uma aplicação gráfica própria. Quando se possui acesso local à appliance, a forma mais simples de a configurar através da CLI (Command Line Interface) consiste na utilização de um cabo de consola, ligado na respectiva interface, e de uma aplicação terminal, como, por exemplo, o HyperTerminal do Windows ou a famosa aplicação Putty. Para configurar remotamente a firewall através da CLI deve usar-se a tecnologia SSH em vez de sessões Telnet, porque estas não são encriptadas, o que pode originar quebras de segurança. Uma das formas mais cómodas para configurar e administrar remotamente estas firewalls é usar a aplicação gráfica ASDM (Adaptive Security Device Manager). Esta aplicação, fornecida com a firewall, permite realizar praticamente todas as operações que se efectuam através da linha de comando, de uma forma bem mais simples e intuitiva. Os exemplos deste capítulo usam esta aplicação.

Preparação prévia Para que a firewall possa ser configurada remotamente através de SSH ou da aplicação ASDM, é necessário realizar previamente uma configuração mínima que permita a utilização dessas aplicações. Esta configuração prévia deve ser realizada através da interface de consola. Eis um exemplo de configuração prévia:

204

Firewalls Cisco ASA ciscoasa# configure terminal !configuração da interface ligada à zona segura ciscoasa(config)# interface Ethernet0/0 ciscoasa(config-if)# nameif inside !o nível de segurança 100 significa que se trata da zona segura ciscoasa(config-if)# security-level 100 ciscoasa(config-if)# ip address 10.6.99.99 255.255.0.0 ciscoasa(config-if)# exit

!configuração de utilizadores e senhas ciscoasa# enable password oj7TV4s5 ciscoasa# username admin password xo9Yh2rt privilege 15

!activação do serviço HTTP, necessário para o acesso via ASDM ciscoasa# http server enable ciscoasa# http 10.6.0.0 255.255.0.0 inside

!activação do acesso via SSH ciscoasa# ssh 10.6.0.0 255.255.0.0 inside ciscoasa# aaa authentication ssh console LOCAL ciscoasa# ssh version 2

Adaptive Security Device Manager (ASDM) Esta aplicação gráfica é disponibilizada pela própria firewall, bastando para isso efectuar o acesso através de um browser de um computador cliente. No caso da configuração prévia anterior, é necessário que o computador cliente esteja ligado na rede 10.6.0.0/16. O acesso à interface Web da firewall é protegido através de SSL, logo, neste caso, deve usar-se o seguinte URL: https://10.6.99.99. Após a autenticação, que usa as credenciais definidas na configuração anterior, surge a página inicial, mostrada na Figura 6.4, com duas opções: Descarregar a aplicação e instalá-la no computador cliente; Usar a aplicação como uma applet Java.

205

Firewalls: Soluções Práticas

Recomenda-se vivamente a primeira opção, que é normalmente mais rápida e menos problemática. A versão 5.0 do ADSM poderá ser incompatível com as versões mais recentes do Java Runtime Environment (JRE).

Figura 6.4 – Página Web inicial disponibilizada pela firewall

Caso isso suceda, recomenda-se o seguinte procedimento: Verifique se tem instalada a versão 1.6.0_07 do JRE. Se não tiver esta versão instalada, descarregue-a e instale-a; Encontre o ficheiro asdm-launcher.config file (normalmente em C:\Program Files\Cisco Systems\ASDM\asdm-launcher.config); Remova a opção 'read only' desse ficheiro; Abra o ficheiro com um editor e adicione a seguinte linha: javapath c:\Program Files\Java\jre1.6.0_07\bin\client\jvm.dll; Grave o ficheiro e volte a colocar a opção ‘read only’. Após a instalação da aplicação ASDM, para a usar basta usar o atalho que é criado no ambiente de trabalho, designado ‘Cisco ASDM Launcher’. Ao iniciar a 206

Firewalls Cisco ASA

aplicação, surge a janela de autenticação, visível na Figura 6.5, onde devem ser colocados o endereço IP da interface da firewall, o nome do utilizador e a respectiva senha, tal como foram definidos na configuração prévia.

Figura 6.5 – Janela inicial de autenticação

Após uma autenticação bem sucedida, surge a janela inicial da aplicação ASDM, que pode ser observada na Figura 6.6. A interface gráfica usa conceitos comuns e é bastante intuitiva. A interacção com o utilizador é feita através de menus, barras de ferramentas e painéis de informação. A página inicial da aplicação é de carácter informativo e possui seis painéis: Device Information – mostra informação sobre o hardware, sistema operativo, modo de operação e tipo de licença; VPN Status – mostra informação sobre túneis VPN activos; System Resources Status – mostra estatísticas sobre a utilização de memória e CPU; Interface Status – mostra o estado das interfaces da firewall; Traffic Status – mostra estatísticas sobre o tráfego que está a passar através da firewall; Latest ASDM Syslog Messages – mostra as últimas mensagens de logging. O painel ‘Device Information’ é particularmente importante porque contém informações que condicionam as operações que se podem realizar com a firewall. Essas informações incluem a versão do sistema operativo da firewall, o modo de operação (modo transparente ou de encaminhamento) e o modo de contexto (singular ou múltiplos contextos). Também é mostrada informação sobre a quantidade de memória não volátil e memória RAM.

207

Firewalls: Soluções Práticas

Figura 6.6 – Aspecto inicial da aplicação ASDM

O painel ‘Interface Status’ é também importante porque nos mostra uma visão geral sobre as interfaces da firewall e o seu estado. Além do nome e endereço IP, é possível observar o seu estado físico e lógico, o que permite a detecção rápida de eventuais anomalias. As interfaces podem ser seleccionadas, o que permite a visualização das estatísticas do tráfego de entrada e de saída dessa interface. No painel 'System Resource Status' é possível monitorizar a utilização da memória e do CPU, não só no próprio instante mas também ao longo do tempo, em gráficos que podem ser muito úteis para detectar eventuais situações de sobrecarga da firewall. O painel 'Traffic Status' contém gráficos que mostram a evolução ao longo do tempo do número de ligações por segundo e a quantidade de dados que estão a fluir nas interfaces. Estes gráficos podem denunciar situações anómalas, nomeadamente tentativas de ataques de negação de serviço. Finalmente, o painel 'Latest ASDM Syslog Messages' serve para mostrar ao administrador as entradas no sistema de registo de eventos. Estas mensagens são cruciais para, quando existe um problema, fornecer pistas ao administrador sobre a origem desse problema. 208

Turn static files into dynamic content formats.

Create a flipbook

Firewalls Soluções Práticas

Published on Jan 8, 2016Programming

Grupo Lidel

Os agentes económicos estão cada vez mais dependentes da Internet como suporte dos seus modelos de negócio. Neste contexto, a segurança informática está a ganhar bastante relevância junto dos gestores e administradores de sistemas informáticos, devido ao impacto potencialmente devastador de um ataque informático aos seus sistemas. Este livro aborda os principais conceitos de segurança informática e apresenta a firewall como um componente activo essencial da política de segurança informática de uma instituição. O livro explora a configuração de firewalls numa perspectiva essencialmente prática, em diferentes plataformas, incluindo o sistema operativo Linux, routers Cisco e soluções profissionais Cisco ASA.