TREINAMENTO CISCO

ASA
Por Kelson Gomes
1º Parte
 RECURSOS DO ASA

O ASA da Cisco é um conjunto de dispositivos de segurança stateful que vão desde o modelo 5505,
que é projetado para ambientes Small Office, Home Office (SOHO), até o 5580, que é projetado para
grandes redes empresariais e sites de ISP. Todos esses produtos usam o mesmo sistema operacional e
ferramentas de gerenciamento, facilitando sua implementação e monitoramento tarefas. Como todos
os dispositivos de segurança usam o mesmo sistema operacional, a principal diferença as diferenças
entre os modelos dizem respeito principalmente à escalabilidade e ao desempenho. A família de
produtos ASA (e seus irmãos mais velhos, os produtos PIX) pode ser melhor descritos como firewalls
híbridos. Cisco, no entanto, não gosta de usar o termo "firewall" para descreve a família de produtos
ASA e PIX. Em vez disso, a Cisco prefere usar o termo “segurança aparelho ”, principalmente
porque os produtos ASA e os produtos que eles substituíram, o PIX produtos, não são apenas
firewalls com monitoramento de estado; eles também oferecem suporte a muitos outros recursos de
segurança.
 RECURSOS DE SEGURANÇA DO ASA
• Sistema operacional proprietário seguro e em tempo real.
• Firewall com estado usando Cisco Security Algorithm (SA).
• Sequence Number Randomization (SNR) para proteger as conexões TCP.
• Cut-through Proxy (CTP) para autenticação de conexões telnet, HTTP e FTP.
• Políticas de segurança padrão para garantir proteção máxima, bem como a capacidade
para personalizar essas políticas e construir suas próprias políticas.
• Habilidades de rede privada virtual (VPN): IPSec, SSL e L2TP.
• Sistemas de detecção e prevenção de intrusão (IDS e IPS).
• Tradução de endereços usando rede dinâmica e estática e endereço de porta tradução.
• Redundância stateful de conexões e VPNs entre dois dispositivos de segurança.
• Virtualização de políticas usando contextos.
 GESTÃO DO ASA
A Gestão do ASA pode ser feita de três métodos :

• Interface de linha de comando (CLI)

• Adaptive ou Appliance Security Device Manager (ASDM)
• Cisco Secure Manager (CSM), que substitui o Cisco Works produtos.
 Algoritmo de Segurança
Uma função principal que os dispositivos de segurança executam é um firewall com
monitoração de estado (Statefull firewall) . Um firewall statefull adiciona e mantém
informações sobre a (s) conexão (ões) de um usuário. Na versão 6 e anterior do sistema
operacional, o Adaptive Security Algorithm (ASA) implementou o função stateful do
firewall PIX, mantendo as informações de conexão em um estado tabela, conhecida como
tabela conn. Quando a Cisco introduziu a plataforma de hardware ASA em versão 7, ele
abandonou o termo "adaptativo" e agora se refere apenas ao processo que lida com as
funções de segurança como o "algoritmo de segurança". Os dispositivos de segurança
usam o conn para fazer cumprir as políticas de segurança para as conexões dos usuários.
Aqui estão algumas das informações que um firewall com estado mantém em sua tabela
de estado:
• Source IP address
• Destination IP address
• IP protocol (like TCP or UDP)
• IP protocol information, such as TCP/UDP port numbers, TCP sequence
• numbers, and TCP flags
 EXPLICAÇÃO DE STATEFUL
FIREWALL
A Figura 1-1 (Proximo slide) é um exemplo simples que ilustra o
processo com estado realizado por um firewall stateful.
As etapas serão as esplicadas no slides que se seguem.
Exemplo da comunicação: Um usuário (PC-A) dentro de sua rede
realiza uma solicitação HTML para um servidor web fora de sua rede.
CONNECTION TABLE
(Tabela de Conexão)
2 - Conforme a solicitação atinge o firewall de estado, o firewall guarda as
informações do usuário , por exemplo, o endereço de origem e destino, o protocolo
IP, e qualquer informação de protocolo (como os números de porta de origem e
destino para TCP) e coloca esses dados na tabela de estado ou conexão.
3. O firewall encaminha a solicitação HTTP do usuário para o servidor da web de
destino.
A Figura 1-2 mostra o tráfego de retorno do servidor HTTP, Estas são as etapas do
tráfego quando retorna do servidor web:
1. O servidor da Web de destino envia a página da Web correspondente de volta ao
usuário.
2. O firewall intercepta a resposta da conexão e a compara com o entradas que ele
tem em sua tabela de estado.
• Se uma correspondência for encontrada na tabela de conexão, o (s) pacote (s) de
retorno são permitido.
• Se uma correspondência não for encontrada na tabela de conexão, o (s) pacote
(s) de retorno é descartado.
Um firewall de estado mantém a tabela de conexão. Se acontecer um rompimento na
conexão entre a origem e o destino, o firewall stateful remove a correspondente entrada de
conexão. Se uma entrada de conexão ficar ociosa por um período de tempo, o firewall com
monitoração de estado removerá a entrada de conexão.
 Stateful vs. Packet Filtering Firewalls
(Firewalls com filtro de estado Vs pacote)

O exemplo da seção anterior mostra a diferença entre um firewall com estado e um firewall
de pacote. Um firewall com monitoração de estado reconhece as conexões que passam por
ele. Os firewalls de pacotes, por outro lado, não olham para o estado das conexões, mas
apenas para os próprios pacotes.
Um bom exemplo de firewall de filtragem de pacotes são as listas de controle de acesso
estendidas (ACLs) que os roteadores Cisco IOS usam. Com essas ACLs, o roteador vai
olhar apenas para o seguinte abaixo as informações em cada pacote individual

• Endereço IP de origem.
• Endereço IP de destino.
• protocolo IP.
• informações de protocolo IP, como números de porta TCP / UDP ou tipos de mensagens
ICMP.
 Política de implementação (continuação)
• O algoritmo de segurança é responsável por implementar e fazer cumprir
sua política de segurança. O algoritmo usa uma hierarquia em camadas
que permite implementar vários níveis de segurança. Para fazer isso, cada
interface no dispositivo é atribuído a um nível de segurança número 0 a
100, onde 0 é o menos seguro e 100 é o mais seguro.
O algoritimo usa esses níveis de segurança para impor suas políticas padrão.
Por exemplo, a interface conectado à rede pública deve ter o nível de
segurança mais baixo, enquanto o interface conectada à rede interna deve
ter o nível de segurança mais alto.
• Aqui está o quatro regras de política de segurança padrão para o tráfego à
medida que ele flui pelo dispositivo:
 Política de implementação (continuação)
• O tráfego que flui de uma interface de segurança de nível superior
para uma inferior é permitido por padrão.
• O tráfego que flui de uma interface de segurança de nível inferior para
uma superior é negado por padrão.
• O tráfego que flui de uma interface para outra com o mesmo nível de
segurança é negado por padrão.
• O tráfego que flui para dentro e para fora da mesma interface é
negado por padrão.
A Figura 1-5 mostra um exemplo simples do que é ou não permitido. Neste exemplo,
O usuário interno que inicia uma conexão com um servidor web na Internet é permitido.
Além disso, o algoritmo de segurança adiciona uma conexão em sua tabela de conexão
para que o retorno do tráfego do servidor da web externo será permitido ao usuário. Uma
vez o usuário encerra a conexão, a entrada será removida da tabela de conexões.
Na parte inferior da Figura 1-5, um usuário na Internet está tentando acessar um servidor
web dentro da rede.
As regras do algoritmo no aparelho eliminam automaticamente este tráfego por padrão.
As regras da lista anterior são as regras padrão. Você pode criar exceções para estas regras
para o algoritmo de segurança, que geralmente se enquadram em duas categorias:

• Permitindo acesso com base em uma conta de usuário

• Permitindo acesso com base em um filtro
Redundância
Os dispositivos de segurança da Cisco oferecem suporte a duas formas
de redundância:
• Hardware e failover com estado (Hardware and stateful failover) ;
• Implementação ativa / em espera e ativa / ativa

Tipos de failover:
Esta seção apresentará os dois tipos de failover: hardware e failover
com estado.
Failover de Hardware
Com o failover de hardware, apenas a redundância de chassi é fornecida: se
o dispositivo de segurança primário na configuração de failover falha, o
dispositivo de espera começará a processar o tráfego. O único item replicado
entre os dois aparelhos é a configuração usada. Este tipo de failover é
prejudicial para as comunicações que foram sendo transportado pelo
aparelho primário porque as informações da tabela necessárias para manter
conexões, como a tabela de estado, a tabela de conversão e as tabelas VPN,
é não sincronizado entre os dispositivos principal e em espera. Portanto, este
tipo de o failover não tem estado - os usuários precisam restabelecer suas
conexões quando ocorre um failover.
A parte superior da Figura 1-6 mostra um exemplo de configuração de
failover sem estado (chassi).
 Stateful Failover
(Failover com estado)
Uma configuração de failover com estado executa as mesmas funções que um failover de
hardware - as duas principais diferenças são que uma configuração de failover com estado
requer uma conexão Fast ou Gigabit Ethernet dedicada entre a unidade principal e a de
espera, e as informações de estado no primário são sincronizadas com o modo de espera
neste conexão. Uma conexão LAN é usada para sincronizar o estado do primário, tradução
de tabelas VPN com a unidade em espera. Tal como acontece com um failover de chassi, a
unidade de espera monitora a unidade primária e quando ela vê que o primário não está
funcionando corretamente, a unidade em espera promove-se para o papel principal.
Ao fazer isso, o cutover deve ser completamente transparente para os usuários e suas
conexões porque a tabela de estado no modo de espera é a mesma que no primário
Um exemplo de configuração de failover com estado é mostrado na parte inferior da Figura
1-6.
Figura 1-6
Implementações de Failover
This section will introduce the two failover implementations: active/standby and
active/active.

Failover ativo / em espera (active/standby) : até a versão 6 do sistema

operacional, apenas ativo / failover em espera foi suportado. Tanto o hardware
quanto o failover com estado são suportados neste configuração. Com a
implementação de failover ativo / em espera, a segurança primária aparelho
assume a função ativa, e o aparelho secundário assume o modo de espera Função.
Quando um dispositivo está em um estado ativo, ele encaminha o tráfego entre as
interfaces; isto não é verdade para a unidade em espera. Um aparelho em estado
de espera monitora apenas o ativo unidade, aguardando a ocorrência de um
failover e, em seguida, passando para uma função ativa.
Estas duas funções são mostradas na Figura 1-7.
Implementações de Failover (Continuação)
• Failover ativo / ativo: A partir da versão 7 do sistema operacional, a
Cisco adicionou uma novo implementação de failover chamada
failover ativo / ativo. Ambos Hardware e stateful failover são
suportados na configuração. Com active/active failover, os dois
apliences de segurança podem processar o trafego, basicamente
tomando vantagem dos valores monetários gastos nos mesmos bem
como as larguras de Banda os cabos ethernets conectados ao mesmo.
Failover
Firewall transparente
Outro recurso adicionado na versão 7 é o recurso de firewall transparente.
Até a seção 6, os dispositivos de segurança eram dispositivos da camada 3,
ou roteados;
Agora você tem a opção de executar seu aparelho no modo transparente,
onde pode se comportar de forma semelhante a um equipamento da
camada 2 ou (switch).
Como você verá no Capítulo 21, ao executar em modo, o dispositivo de
segurança não se comportará exatamente como uma verdadeira ponte
transparente.
Para exemplo, você ainda pode aplicar políticas em seu aparelho que
permitem examinar o cargas úteis de pacotes (camada 7 do Modelo de
Referência OSI). Duas vantegans de se usar o firewall em modo transparente:
Vantagens de se usar um firewall em modo
Transparente
• Você pode inserir um dispositivo de segurança em um segmento de
LAN existente ou VLAN sem ter que reendereçar os dispositivos.
• As interfaces do dispositivo com ponte transparente não têm
endereços IP ativados eles, restringindo assim o acesso ao aparelho, o
que reduz bastante o probabilidade de um ataque de acesso.
Capitulo 2
CLI Basics
 ACESSO AO DISPOSITIVO

A Cisco oferece três métodos principais para configurar

seu dispositivo de segurança:

• Interface de linha de comando (CLI)

• Adaptive Security Device Manager (ASDM)
• Cisco Security Manager (CSM)
 SEQUÊNCIA DE INICIALIZAÇÃO ASA
• A sequência de inicialização do dispositivo de segurança é semelhante
à inicialização de qualquer dispositivo de rede.
• O dispositivo carrega primeiro a sua BIOS, realiza algumas verificações
de diagnóstico em seu hardware e componentes e depois carrega o
sistema operacional, conforme mostrado no slide que se segue.
Modos CLI
Os dispositivos de segurança oferecem suporte a diferentes níveis de
acesso ao sistema operacional.
Esses níveis, e os prompts do usuário que os acompanham são
mostrados na Tabela 2-2.
• Os dispositivos de segurança têm três níveis principais de acesso:
• Modos de usuário EXEC,
• Privilege EXEC
• Modo de Configuração
Modos CLI ASA

ciscoasa> enable ciscoasa# configure

Password: terminal
ciscoasa# ciscoasa(config)#
Modo de monitor ROM (ROMMON)
O modo ROMMON é semelhante ao ROMMON em um dispositivo
Cisco IOS como um roteador - é típico normalmente usado para
executar a recuperação de senha, solução de problemas de baixo nível
e para recuperar de um sistema operacional perdido ou corrompido. Os
PIXs suportam um modo semelhante chamado modo Monitor que
executa essas funções.
• Para acessar o modo ROMMON, você primeiro precisa reiniciar o seu
aparelho para ter acesso à porta do console do dispositivo. Conforme
o aparelho é inicializado, você verá uma mensagem que estados Use
BREAK ou ESC para interromper a inicialização do flash. Pressione
uma dessas teclas dentro 10 segundos depois de ver esta mensagem,
você será levado ao modo ROMMON.
Comparação de ASA e roteador IOS CLI
Até agora neste capítulo, a CLI que os aparelhos usam parece ser muito
semelhante à da Cisco Uso de dispositivos IOS. Aqui estão algumas das
diferenças entre o dispositivo e IOS CLI:
• Com os aparelhos, você pode executar comandos show tanto no
Privilege EXEC e modo de configuração.
• O modo EXEC do usuário em um aparelho tem um conjunto muito
limitado de comandos que você pode ser executado em comparação
com os comandos para dispositivos IOS.
Dadas essas diferenças, no entanto, esses dois produtos têm muitos
recursos CLI em comum:
• Ajuda contextual
• Abreviatura do comando
• Rememoração da história
• Recursos de edição CLI
 Capitulo 3
ASA Configuração básica
Comandos de Gestão Básica

Os dispositivos de segurança usam memória flash para armazenar o sistema operacional, a imagem
ASDM e o arquivo de configuração do dispositivo. Tal como acontece com os dispositivos IOS,
sempre que você faz a configuração e mudanças, essas mudanças afetam apenas a configuração que
está em execução na RAM a configuração que o dispositivo está usando ativamente (comumente
chamado de con em execução figuration, ou running-config para breve). Você deve inserir
manualmente um comando para copiar a configuração para salvá-lo. Esta seção cobre os comandos
que você pode usar para manipular seus arquivos de configuração.
• Comando para visualizar a configuração em execução na RAM:
bigdog # show running-config

• Comando para visualizar a configuração de startup na Flash:

bigdog #show startup-config
Configuração de Nome de Domínio e
dispositivo
O nome do seu aparelho é padronizado como ciscoasa se for ASA . Você pode alterar o
nome do dispositivo com o modo de configuração do nome do host com o comando:
• ciscoasa (config) # hostname Kelson_ASA

Um recurso útil no dispositivo é que você pode usar o comando name para construir uma tabela de resolução estática
de Domain Name Service (DNS):
ciscoasa(config)# name IP_address device_name
ciscoasa(config)# names

• Obs. O comando name desempenha uma função semelhante à do comando ip host no IOS dispositivos: mapeia
um endereço IP para um nome específico. No entanto, uma grande diferença é entre o aparelho e os dispositivos IOS
é que, quando você usa nomes nos aparelhos, qualquer comando de configuração que faz referência a um endereço
IP usado por um comando de nome irá ser substituído pelo nome no comando name . Para habilitar o uso do
comando name com, execute o comando names .
Configuração de Palavras Passes
Os aparelhos oferecem suporte a dois níveis de senhas: uma para acesso ao
modo EXEC do usuário via telnet e SSH, e um para acesso ao Privilege EXEC.
Essas senhas são criptografadas automaticamente quando armazenados em
RAM ou flash para protegê-los de ataques de espionagem (eavesdropping
attacks).
• Senha EXEC do usuário
Para configurar a senha EXEC do usuário, use o comando passwd:
ciscoasa# passwd password

• Senha EXEC Privilege

Para definir a senha Privilege EXEC, use o comando enable password :
ciscoasa# enable password password
Configuração de Palavras Passes (Cont.)

• ALERTA DE SEGURANÇA! A senha EXEC do usuário padrão é cisco,

você definitivamente vai querer alterá-la! O acesso EXEC do usuário por
meio da porta do console não usa essa senha. Na verdade, não há
senha para acesso ao console, a menos que você implemente AAA.

• O limite para o comprimento da senha é de 16 caracteres

Banner de login (Login Banner)
• Você pode criar banners de login que são exibidos durante o processo
de login para o dispositivo usando o comando banner:
• bigdog (config) #banner banner_type banner_description
Table 3-3 lists the banner types you can create
Interfaces
Agora que você configurou o nome, as senhas e o banner de login no
seu aparelho, você está pronto para prosseguir com a configuração das
interfaces do dispositivo. Antes de se falar sobre as configurações de
interfaces, mostraremos a nomenclatura usada para as interfaces.
As interfaces têm dois nomes para serem distinguidas:
• Nome físico, comumente chamado de nome de hardware.
• Nome lógico.

Nomes físico: O nome físico é usado sempre que você precisa configurar as propriedades físicas
de uma interface, como sua velocidade, duplexação ou endereço IP
Interfaces
Interfaces de Gerenciamento
A interface de gerenciamento foi implementada apartir do ASA 5510, a
nomenclatura desta interface é management0 / 0.
por padrão nenhum trafego diferente da que foi projectada passará por ela,
apenas o trafego destinado para o efeito de gerenciamento. A Cisco projetou
esta interface principalmente para gerenciamento fora de banda do dispositivo
usando IP. No entanto, você pode substituir esse comportamento e usar a
interface de gerenciamento como uma interface de dados. Para usar a
interface de gerenciamento como uma interface de dados, aplique o comando:
• ciscoasa (config) # interface management0 / 0
• ciscoasa(config-if)# no management-only
• Obs. Depois de fazer isso, você pode tratar a interface de gerenciamento
como uma interface física e referenciá-lo em seus comandos de política,
como ACLs e comandos de tradução de endereço.
Interfaces (Cont.)
Nomes lógicos: Os nomes lógicos são usados na maioria dos outros
comandos, como a aplicação de uma ACL a uma interface o
especificando uma interface para uma política de tradução de
endereços. Os Nomes lógicos devem ser descritivos sobre o que a
interface está conectada. Dois nomes comuns usados são “Inside"
(conectado à sua rede interna) e “outside" (conectado ao rede externa
ou pública).
Níveis de Segurança
Cada interface tem um nível de segurança atribuído a ela que pode
variar de 0 a 100. O mínimo seguro é 0 e o mais seguro é 100. Supondo
que você esteja usando o nome “inside” para uma interface, o nível de
segurança é padronizado para 100. Todos os outros nomes de interface
têm a segurança nível padrão para 0 (o menos seguro).
O algoritmo de segurança usa os níveis de segurança para fazer cumprir
suas políticas de segurança. Aqui estão as regras que o algoritmo usa:
Níveis de Segurança (Cont)
• O tráfego de um nível de segurança superior para um inferior é
permitido por padrão, a menos que você tenha restringido o tráfego
com uma ACL. Isso é chamado de conexão de saída.
• O tráfego de um nível inferior para um superior é negado, por padrão,
a menos que você explicitamente permiti-lo configurando listas de
controle de acesso (ACLs), discutidas no Capítulo 6, e / ou configurar
a autenticação Cut-through Proxy (CTP), discutida em Capítulo 8. Isso
é chamado de conexão de entrada
• O tráfego do mesmo nível de segurança para o mesmo nível é negado
por padrão.
Níveis de Segurança (Cont)
Para permitir o tráfego entre interfaces com o mesmo nível de segurança,
use o seguinte comando:
ciscoasa(config)# same-security-traffic permit inter-interface
Depois de executar este comando, todo o tráfego é permitido entre as
interfaces com o mesmo número de nível; se você quiser restringir este
tráfego, use ACLs, que são discutidos em Capítulo 6.
ALERTA DE SEGURANÇA!
Por padrão, o tráfego de saída em seu dispositivo é permitido. No entanto, o
tráfego de entrada é automaticamente descartado quando vai para qualquer
outra interface, a menos que você explicitamente permitir isso.
 Níveis de Segurança (Cont)
Vejamos um exemplo para ilustrar
o uso de níveis de segurança. A
Figura 3-1 mostra um rede que
servirá como padrãro no restante
deste capítulo.
Neste exemplo, o firewall tem três
interfaces: uma externa (conectada
ao roteador de perímetro e à
Internet), uma interface interna e
uma DMZ. Com o algoritmo de
segurança do firewall em ação,
aqui são as conexões de dados
permitidas por padrão:
• Tráfego da interface interna para o DMZ
• Tráfego da interface interna para a externa
• Tráfego da interface DMZ para o exterior
Configuração da Interface Física
Para configurar as propriedades de uma interface física, acesse a interface
usando o comando interface, referenciando seu nome físico.
(Isso o levará para um modo de subcomandos, em que os comandos
inseridos afetarão apenas a interface especificada).
ciscoasa(config)# interface physical_if_name
ciscoasa(config-if)# nameif logical_if_name
ciscoasa(config-if)# ip address IP_address [subnet_mask]
ciscoasa(config-if)# security-level number
ciscoasa(config-if)# speed {10|100|1000|auto|nonegotiate}
ciscoasa(config-if)# duplex {auto|full|half}
ciscoasa(config-if)# [no] shutdown
Configuração da Interface Física (Cont.)
O comando nameif atribui um nome lógico à interface. Se você atribuir um
nome de “inside" a interface, o padrão de nível de segurança será 100. Qualquer
outro nome lógico dado a interface fará com que o seu nível de segurança seja
0. O comando ip address atribui um endereço IP estático a interface; omitir a
máscara de sub-rede fará com que a máscara seja padronizada para a classe
configurada do endereço IP. Você também pode atribuir um endereço dinâmico à
interface usando DHCP ou PPPoE - isso é discutido posteriormente no capítulo
da seção “Endereçamento dinâmico”.
O comando de nível de segurança (security-level) atribui um nível de
segurança à interface: pode variar de 0 (menos confiável) a 100 (mais confiável).
Os comandos de velocidade (Speed) e duplex definem a velocidade e
duplexação da interface. Por padrão, as interfaces estão desabilitadas e precisam
ser habilitadascom o comando no shutdown .
Configuração de VLAN
A partir da versão 6.3, o sistema operacional do dispositivo de segurança oferece suporte à
conexão de entroncamento. Apenas o protocolo de entroncamento 802.1Q é compatível; o
ISL proprietário da Cisco não é. VLANs são implementadas através da criação de uma
subinterface (uma interface lógica associada com uma interface física) e associando o
identificador VLAN (o número VLAN) que a subinterface deve processar. As subinterfaces
são associadas as interfaces físicas , normalmente ela possuem as características de
hardware (velocidade, duplexing, trazendo-o à tona) configuradas. Endereços IP, níveis de
segurança e nomes lógicos são configurados nas subinterfaces. A única exceção a esta
regra é se você precisa usar a VLAN nativa em 802.1Q; neste caso, você configura o
endereço IP, nível de segurança e nome lógico em a interface física (a interface física lida
com quadros não marcados). A criação de uma interface VLAN é feita da mesma forma que
em um roteador Cisco IOS; associar a tag de VLAN à subinterface é diferente em relação a
um roteador Cisco. Eis o exemple de uma configuração para criar uma subinterface e
identificar a VLAN para o subinterface:
ciscoasa(config)# interface physical_name slot_#/port_#.subid_#
ciscoasa(config-subif)# vlan vlan_#
• Obs. O subid_ # é o número da subinterface. O número que você especificar aqui não tem que corresponder ao número da VLAN que a
interface irá processar; no entanto, é uma prática comum.
 exemplo simples que ilustra o uso de VLANs
em uma sub-interface física:
• ciscoasa(config)# interface ethernet0/0
• ciscoasa(config-if)# no shutdown
• ciscoasa(config-if)# exit
• ciscoasa(config)# interface ethernet0/0.1
• ciscoasa(config-subif)# vlan 10
• ciscoasa(config-subif)# ip address 192.168.10.1 255.255.255.0
• ciscoasa(config-subif)# nameif dmz1
• ciscoasa(config-subif)# security-level 51
• ciscoasa(config-subif)# exit
• ciscoasa(config)# interface ethernet0/0.2
• ciscoasa(config-subif)# vlan 20
• ciscoasa(config-subif)# ip address 192.168.20.1 255.255.255.0
• ciscoasa(config-subif)# nameif dmz1
• ciscoasa(config-subif)# security-level 50
• ciscoasa(config-subif)# exit
Configuração de Interface ASA 5505
O uso de interfaces no modelo 5505 difere de todos os outros ASAs: as oito
interfaces ( e0 / 0 a e0 / 7 ) são portas de switch da camada 2. Ao contrário dos
outros ASAs, o 5505 não usa subinterfaces para associar interfaces a VLANs. Em
vez disso, uma interface lógica da camada 3 chamada de interface VLAN é usada.
Como você verá em breve, a configuração é um pouco semelhante aos switches IOS
da Cisco. Com uma licença base instalada, três interfaces VLAN são suportadas.
Com a licença Security Plus, três interfaces VLAN são suportadas usando as
interfaces locais, e uma interface pode ser configurada como um tronco, suportando
um total de 20 VLANs nas interfaces físicas e no tronco.
Por padrão, duas interfaces VLAN são configuradas no ASA 5505. A Tabela 3-4 exibe
as propriedades dessas duas interfaces lógicas.
Configuração de Interface ASA 5505 (Cont)

Para alterar as propriedades das duas interfaces lógicas de VLAN, ou para criar uma nova
interface VLAN lógica, use a seguinte configuração:
Configuração de Interface ASA 5505 (Cont)
• ciscoasa(config)# interface vlan vlan_#
• ciscoasa(config-if)# nameif logical_name
• ciscoasa(config-if)# ip address IP_address [subnet_mask]
• ciscoasa(config-if)# security-level number
Para associar uma interface física a uma interface VLAN lógica, use o
seguinte configuração:
ciscoasa(config)# interface physical_name
ciscoasa(config-if)# switchport access vlan vlan_#
Configuração de Interface ASA 5505
(Cont)
Aqui está um exemplo de configuração com três interfaces lógicas: Inside, outside e dmz:
ciscoasa(config)# interface vlan 1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# exit
ciscoasa(config)# interface vlan 2
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip address 200.1.1.1 255.255.255.248
ciscoasa(config-if)# security-level 0
ciscoasa(config-if)# exit
ciscoasa(config)# interface vlan 3
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# ip address 192.168.2.1 255.255.255.0
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# exit
Configuração de Interface ASA 5505
(Cont)
ciscoasa(config)# interface ethernet0/0
ciscoasa(config-if)# switchport access vlan 2
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
ciscoasa(config)# interface ethernet0/1
ciscoasa(config-if)# switchport access vlan 1
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
ciscoasa(config)# interface ethernet0/2
ciscoasa(config-if)# switchport access vlan 3
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit
Obs. Use the show switch vlan command to verify your VLAN configuration on the
ASA 5505 (from the preceding configuration):
Endereçamento Dinâmico
Além de especificar um endereço IP estático, você também pode adquirir o
endereçamento dinamicamente por usando DHCP (protocolo de
configuração dinâmica de hosts) ou PPP sobre Ethernet (PPPoE).
As duas seções a seguir discutirão essas abordagens.
Cliente DHCP |62 ingles|68 Portugues|
Seu dsipositivo pode ser um cliente DHCP e obter suas informações de
endereçamento na (s) interface (s) dinamicamente a partir de um servidor
DHCP.Aqui está a sintaxe da interface para uma interface usandoDHCP para
adquirir suas informações de endereçamento:
ciscoasa(config)# interface physical_name
ciscoasa(config-if)# ip address dhcp [setroute] [retry retry_count]
Endereçamento Dinâmico (Cont)

O parâmetro setroute faz com que o dispositivo aceite a rota padrão do DHCP servidor — isso normalmente é
feito quando sua interface externa está adquirindo seu endereçamento dinamicamente do ISP. Se você omitir este
parâmetro, você precisará configurar um rota padrão em seu aparelho (isso é discutido no Capítulo 4). Você
também pode especificar o número muitas vezes o aparelho deve tentar obter seu endereçamento.
PPP sobre Ethernet (PPPoE)
PPPoE é normalmente usado em conexões DSL de banda larga para um
ISP. Configurando PPPoE envolve estas tarefas:

• Criando um grupo PPPoE

• Especificando o método de autenticação PPP: PAP, CHAP ou MS-CHAP
• Associando um nome de usuário ao grupo PPPoE
• Criação de uma conta de nome de usuário local e senha atribuída pelo ISP
• Ativando PPPoE na interface

• NOTA PPPoE foi introduzido na versão 6.2 e só é suportado no modo de roteamento único sem failover
configurado.
Esta é a sintaxe para realizar as tarefas
anteriores:
• ciscoasa(config)# vpdn group group_name request dialout pppoe
• ciscoasa(config)# vpdn group group_name ppp authentication{chap | mschap |
pap}
• ciscoasa(config)# vpdn group group_name localname username
• ciscoasa(config)# vpdn username username password password [store-local]
• ciscoasa(config)# interface physical_if_name
• ciscoasa(config-if)# ip address pppoe [setroute]
O primeiro comando vpdn group especifica um nome de grupo localmente significativo que os grupos juntos
aos comandos PPPoE do dispositivo para uma interface. O segundo grupo vpdn comando especifica o método
de autenticação PPP a ser usado. O terceiro grupo vpdn comando especifica a conta de usuário local atribuída
pelo ISP. O comando vpdn username especifica o nome de usuário e a senha atribuídos pelo ISP; o parâmetro
local da loja faz com que o aparelho armazene o nome de usuário e a senha em um lugar especial no flash para
que um comando de configuração claro não o apagará. Depois de configurar seu Parâmetros PPPoE, habilite
PPPoE na interface com o comando ip address pppoe ;
o parâmetro setroute executa a mesma função que com o endereço IP dhcp comando da seção anterior. Depois
de configurar o PPPoE, use estes comandos show para verificação:
• show ip address logical_if_name pppoe Displays the IP addressing for the outside
interface
• show vpdn [session pppoe] Displays the PPPoE session information
DNS dinâmico
DNS dinâmico é um recurso onde o aparelho, agindo como um cliente DHCP, obtém seu IP endereço
dinamicamente de um servidor DHCP. O aparelho pode então atualizar um servidor DNS com seu
nome e o endereço dinâmico. Portanto, não importa qual endereço IP dinâmico é atribuído ao
dispositivo, você sempre pode usar o mesmo nome para alcançá-lo. Para configurar este processo,
use os seguintes comandos:

• ciscoasa(config)# dhcp-client update dns server none

• ciscoasa(config)# ddns update method ddns-2
• ciscoasa(DDNS-update-method)# ddns both
• ciscoasa(DDNS-update-method)# exit
• ciscoasa(config)# interface physical_if_name
• ciscoasa(if-config)# ddns update ddns-2
• ciscoasa(if-config)# ddns update hostname appliance’s_FQDN
DNS dinâmico (Cont)
O comando dhcp-client update especifica que o cliente (o próprio aparelho), em vez do servidor DHCP,
atualizará o servidor DNS com o endereçamento dinâmico em formação. Os comandos ddns update e ddns
especificam que o aparelho atualizará os registros DNS A e PTR no servidor DNS.
Depois de fazer isso, você precisa habilitar o DNS dinâmico no físico ou VLAN interface com o comando ddns
update ddns-2 e para especificar o totalmente qualificado nome de domínio (FQDN) sendo passado para o
servidor DNS com o nome de host de atualização ddns comando, como “appliance.dealgroup.com”.
Gestão do ASA
Esta seção resume os comandos básicos de configuração do Security
Appliance. A seguir será abordado o meio de como permitir o acesso
remoto a CLI do dispositivo para gerencia-lo fins e alguns testes básicos
e ferramentas de monitoramento necessárias.
Acesso Remoto
Por padrão, o único acesso que o dispositivo permite é na porta do
console – HTTP (ASDM), telnet e acesso SSH são negados.
As seções a seguir mostram como permitir os dois últimos tipos de
acesso ao aparelho.
Obs. O acesso ASDM será apresentado em outro capitulo.
Telnet
Para permitir o acesso telnet ao seu dispositivo, você precisa configurar dois comandos. Primeiro, você deve
atribuir uma senha telnet com o comando Passwd discutido na seção “Senha EXEC do usuário” deste capítulo.
Em segundo lugar, você deve especificar os endereços IPs que têm permissão de acesso ao dispositivo via
telnet com a seguinte configuração:
ciscoasa(config)# telnet IP_address subnet_mask [logical_if_name]
Se você omitir o nome da interface lógica, o padrão é dentro . Você pode listar até 16 hosts ou redes com vários
comandos telnet .Se você deseja permitir o acesso telnet de todas as máquinas internas, use o seguinte sintaxe:
ciscoasa(config)# telnet 0 0 inside

Lembre-se de que você pode abreviar 0.0.0.0 como 0 . Para permitir o acesso de apenas a um segmento de rede
interno específico, use a sintaxe:
ciscoasa(config)# telnet 192.168.4.0 255.255.255.0 inside
Telnet (Cont)
Se você deseja permitir o acesso telnet de apenas uma máquina
específica, use esta configuração:
ciscoasa(config)# telnet 192.168.5.2 255.255.255.255 inside
Observe que você pode inserir o comando telnet várias vezes para
definir políticas de acesso telnet. Para ver suas políticas de acesso
telnet, use o comando show run telnet. O tempo limite padrão para
sessões telnet inativas é de 5 minutos. Você pode mudar isso com o
comando telnet timeout :
ciscoasa(config)# telnet timeout number_of_minutes

• O tempo pode variar de 1 a 60 minutos.

Telnet (Cont)
Para ver quem está atualmente conectado ao dispositivo via telnet, use o comando
who :
ciscoasa# who
1: From 192.168.1.7
2: From 192.168.1.2
O primeiro número é o ID da sessão e é exclusivo para cada usuário conectado.
Você pode terminar a conexão telnet usando o comando kill:
ciscoasa# kill session_ID

Você pode visualizar os IDs de sessão usando o comando who . Quando você está encerrando um sessão, o
aparelho permite que o usuário telnet permita qualquer comando atualmente em execução e então, sem aviso,
termina a conexão telnet do usuário.
SSH
Secure shell (SSH) permite que um usuário estabeleça uma conexão de pseudo-console por meio de um servidor
remoto. SSH basicamente fornece uma conexão CLI criptografada entre o cliente e o dispositivo usando o
algoritmo de criptografia RSA. Uma limitação do uso do telnet é que você não pode fazer telnet para o
dispositivo a partir da interface externa ; O SSH não tem essa limitação. Para permitir o acesso SSH, você deve
configurar o seguinte em seu dispositivo:
• Defina um nome de host e um nome de domínio.
• Gerar uma combinação de chave RSA pública / privada.
• Especifique os endereços permitidos para acessar o dispositivo via SSH.
como atribuir um nome de host e um nome de domínio ao dispositivo foi vista seção “Nomes de host e
domínio”. Uma combinação de chave RSA pública / privada é usada para proteger a conexão do shell seguro.
Para Gerar a chave rsa , use o comando crypto key generate rsa :
ciscoasa(config)# crypto key generate rsa [modulus_size]
Para executar o comando acima, você deve primeiro instalar uma licença DES ou 3DES / AES
SSH (Cont)
O tamanho do módulo para gerar a chave rsa pode ser 512, 768, 1024
ou 2048 bits; se você simplesmente omitir sem especificar o módulo, o
módulo é padronizado para 1024 bits. Quanto maior o tamanho do
módulo, mais segura a conexão será.
Aqui está um exemplo de geração de um par de chaves RSA para SSH:
SSH (Cont)

Você pode ter vários pares de chaves RSA no seu dispositivo, será discutidos no Capítulo 15. Por padrão o SSH
usa o par “Default-RSA-Key”; então, se já existe, você terá que substituí-lo. Para ver a chave pública criada pelo
comando crypto key generate rsa , use o comando show crypto key mypubkey rsa:

• Use o comando write memory para armazenar pares de chaves RSA na memória flash
SSH (Cont)
Depois de criar seu par de chaves RSA, agora você pode especificar os endereços por tentado
estabelecer conexões SSH com o dispositivo. Use o comando ssh para especificar endereços
permitidos:
ciscoasa(config)# ssh ip_address subnet_mask [logical_if_name]
O tempo limite ocioso padrão para sessões SSH é de 5 minutos. Para alterar este valor, use o comando ssh
timeout:

ciscoasa(config)# ssh timeout minutes

Para ver os comandos SSH, use o comando show run ssh . Para ver quais usuários têm conexões SSH atuais
com o dispositivo, use o comando show ssh session :
Teste de Conectividade
Para verificar se você tem conectividade IP, você pode usar três comandos básicos de solução de problemas:
ping , traceroute e show arp . As duas seções cobrem esses tópicos.
Ping
Para testar se você tem uma conexão com outros dispositivos IP, você pode executar o comando ping:

O parâmetro logical_if_name permite que você especifique qual endereço IP de interface para use como a fonte
do ping. Se você omitir o nome, o padrão será o endereço IP de a interface que o dispositivo usará para chegar
ao destino. Você pode incluir um dado padrão na carga útil ICMP, especifique o número de pings a serem
executados (quatro por padrão), o tamanho dos pings (100 bytes por padrão), o tempo limite ao esperar por
respostas de eco (2 segundos por padrão) e validação da carga útil.
Teste de Conectividade (Cont)
Se você não conseguir fazer o ping de um destino, verifique se as interfaces do dispositivo estão ativas e se você
tem os endereços IP corretos atribuídos a eles. Você pode usar as interfaces de exibição ou comando show ip
para verificar isso. Você também pode usar o comando debug icmp trace para ver os pacotes ICMP reais.
Depois de atribuir um endereço IP a uma interface em o aparelho, você pode verificar sua acessibilidade
executando o ping de outra máquina no mesma sub-rede. No dispositivo, primeiro insira o comando debug
icmp trace para habilitar depuração para tráfego ICMP. Em seguida, vá para outra máquina na mesma sub-rede
e execute ping interface do aparelho. Sua saída será mais ou menos assim:

A saída do comando é razoavelmente legível: houve quatro solicitações de eco do máquina e quatro respostas do
aparelho (os dois últimos conjuntos foram omitidos do saída). Para desligar a depuração para ICMP, anteceda o
comando anterior com o não parâmetro: nenhum rastreamento de depuração do icmp ; ou você pode usar o
undebug all or no debug todos os comandos.
Traceroute
A partir da versão 7.2, os dispositivos de segurança suportam o comando traceroute , que permite rastrear os
saltos da camada 3 pelos quais os pacotes passam para chegar a um destino. Esta é a sintaxe do comando:

O único parâmetro necessário é o endereço IP de destino. Opcionalmente, você pode especificar um endereço IP
de origem diferente no dispositivo do que aquele que usará ao sair do interface de destino. Além disso, você
pode desativar a busca de DNS reverso com o numérico parâmetro. O tempo limite padrão para respostas é de 3
segundos e pode ser alterado com o parâmetro de tempo limite . O número padrão de sondas para cada salto da
camada 3 é 3, mas pode ser alterado com o parâmetro da sonda . Você pode controlar o número de saltos como
parâmetro ttl.

73 port – 69 ingles
Traceroute(cont)
Por padrão, o traceroute usa a porta UDP 33.434, mas pode ser
alterado com o parâmetro port. E em vez de usar UDP, você pode
especificar o uso de ICMP ao realizar o traceroute com o parâmetro
use-icmp.
Protocolo de resolução de endereço (ARP)
O protocolo TCP / IP ARP resolve um endereço IP (camada 3) para um endereço MAC (camada 2).
Os endereços MAC são usados para comunicações entre dispositivos no mesmo segmento ou sub-rede, ou seja,
o mesmo meio de LAN. Sempre que o aparelho inicia conexões ou recebe solicitações de conexões para si
mesmo, ele adicionará o IP e MAC do dispositivo conectado endereços à sua tabela ARP local. Para visualizar a
tabela ARP do aparelho, use o comando show arp comando, conforme mostrado aqui:

Atualmente há uma entrada na tabela ARP do aparelho: um dispositivo com um endereço IP 192.168.7.200 que
está fora da interface interna . Você pode limpar as entradas na tabela ARP com o comando clear arp
[logical_if_name ] .
Por padrão, o dispositivo mantém os endereços na tabela ARP por 4 horas (14.400 segundos). Você pode
modificar o tempo limite para entradas ARP com o comando arp timeout :
Protocolo de resolução de endereço (ARP)
Para ver o tempo limite que você configurou, use o comando show run arp timeout. Você pode adicionar ou
remover manualmente uma entrada da tabela ARP usando os Comandos:

Você precisa especificar o nome da interface em que o dispositivo está desativado, bem como o endereços IP e
MAC do dispositivo. Se você adicionar o parâmetro alias , a entrada se tornará uma entrada permanente na
tabela ARP; se você salvar a configuração do aparelho, então a entrada ARP estática é salva, mesmo após a
reinicialização do dispositivo. Se você omitir o parâmetro alias, qualquer reinicialização do dispositivo fará com
que o dispositivo perca o ARP estático.
 Informações de Hardware e Software
Os dispositivos de segurança suportam uma grande variedade de comandos show . Muitos desses comandos são os
mesmos que se pode executar em um dispositivo baseado em IOS para ver os mesmos tipos de informações. As
seções a seguir cobrirão alguns conteúdos comums realacionado aos commandos show version , show memory e
show cpu usage .
Comando para exibir informação de versão:
Para exibir as características de hardware e
software de seu dispositivo de segurança,
use o comando show version:
Informações de Hardware e Software
(Cont)

• Uso de memória
Os dispositivos de segurança usam a RAM para armazenar muitos de seus componentes, como configurações,
tabela de tradução, a tabela de estado (conn), a tabela ARP, tabela de roteamento e muitas outras tabelas. Porque
a RAM é um recurso importante que o dispositivo ASA usa para aplicar as suas políticas de segurança, você
deve verificar periodicamente quanto de RAM está livre no seu equipamento. Para visualizar essas informações,
use o comando show memory no modo Privilege EXEC:
Informações de Hardware e Software
(Cont)

• Utilização da CPU
Para ver o processo de utilização da CPU do seu dispositivo de segurança, use o comando show cpu usage no
modo Privilege EXEC, conforme mostrado abaixo:

Você pode ver a utilização da CPU nos últimos 5 segundos, 1 minuto e 5 minutos. Novamente, periodicamente,
você deve verificar isso para garantir que a CPU do seu aparelho possa lidar com o carga que passa por ele; caso
contrário, você precisará substituir seu aparelho por um modelo superior.
Exemplo de Configuração ASA
Nesta seção, irá se abordar a configuração básica do dispositivo ASA 5510.
Exemplo de Configuração ASA (Cont)
Nesta seção, irá se abordar a configuração básica do dispositivo ASA 5510.
Exemplo de Configuração ASA (Cont)
Nesta seção, irá se abordar a configuração básica do dispositivo ASA 5510.
Exemplo de Configuração ASA (Cont)
O primeiro comando executado na imagem 3-1 foi para alterar o nome de host do dispositivo para
asa e o nome de domínio para dealgroup.com . Seguindo isso configurou-se uma senha para o modo
EXEC priveligiado como OpenSaysMe . Em seguida, configurou-se três interfaces, atribuindo a eles
nomes lógicos, níveis de segurança e endereços IP e ativando-os. Depois que o IP foi configurado,
para podermos ter acesso remoto via SSH ao dispositivo atribuí-se uma senha EXEC do usuário
especificadad como NoEntry , gerando as chaves RSA públicas e privadas e permitindo qualquer
acesso SSH do computador interno. Por fim, salvou-se a configuração do dispositivo, lembre-se de
que você pode executar o comando write memory em qualquer modo EXEC (privilegiado ou de
configuração global).
Na verdade, você precisará fazer mais algumas configuraçoes para passar o tráfego pelo seu
equipamento, como a configuração de roteamento, configuração de políticas de tradução (se
necessário NAT), configuração de ACLs e muitas outras politicas de configurações. Este capítulo,
bem como este exemplo, focou-se apenas no básico, preparando seu aparelho para que você possa
implementar as suas políticas de segurança. Os capítulos a seguir tratarão do tráfego conforme ele
flui através do seu equipamento.
 CAPITULO 4
Roteamento e Multicast
Roteamento no ASA
Este capitulo irá introduzir os conceitos e configurações de roteamento e
multicast do aplience de segurança ASA. Os dispositivos ASA suportam
roteamento estático e roteamento dinâmico tais como EIGRP, OSPF,
RIP, BGP. Os equipamentos também possuem recursos de multicast
limitados, incluindo suporte para interação com clientes multicast
usando o protocolo IGMP e roteamento de tráfego multicast. Os tópicos
abordados neste capítulo são:
• Recursos de roteamento
• Recursos multicast
Recursos de Roteamento
Você pode usar dois métodos para obter informações de roteamento em
seu dispositivo: rotas estáticas e um protocolo de roteamento dinâmico.
Os três protocolos de roteamento dinâmico suportados incluem RIP,
OSPF e EIGRP. Os aparelhos precisam de algumas informações básicas
de roteamento para receber os pacotes que chegam e os encaminham
para fora de uma interface apropriada para chegar a um destino isso
quando está a mais de um salto de distância. As seções a seguir cobrem
a implementação, configuração e verificação de roteamento do seu
aparelho.
Distância Administrativa
Se você tiver vários caminhos para chegar ao mesmo destino em um protocolo de
roteamento, o aparelho usa o menor valor métrico ao escolher uma rota e coloca a
rota com métrica mais baixa na tabela de roteamento. No entanto, se mais de um
protocolo de roteamento estiver aprendendo uma rota, a Cisco usa um recurso
proprietário chamado distância administrativa para classificar os protocolos
roteamento. O protocolo de roteamento com o menor valor de distância
administrativa terá sua rota colocada na tabela de roteamento. A Tabela 4-1 lista as
distâncias administrativas dos protocolos de roteamento. Observe que a Cisco usa os
mesmos valores de distância administrativa para classificar protocolos de
roteamento em seus roteadores IOS.
Distância Administrativa (Cont)
Rotas Estáticas
• Os três tipos de rotas estáticas são:
• Rota conectada
• Rota estática
• Rota padrão
Depois de configurar um endereço IP na interface do seu aparelho, o aparelho automaticamente cria
uma rota estática para o número de rede especificado e a associa com o interface configurada. Isso é
conhecido como uma rota conectada. Quando o equipamento está a determinar qual rota deve ser
usada para chegar a um destino, as rotas conectadas têm a preferência mais alta pois porque possuem
a distância administrativa mais baixa). Depois de configurar os endereços IP da interface, o appliance
saberá sobre todas as redes diretamente conectadas. No entanto, o aparelho não conhece redes a mais
de um salto de si mesmo. Para resolver este problema, uma opção é configurar rotas estáticas ou
padrão. Este tópico é discutido na próximo seção.
Configuração de rota estática
Para criar uma rota estática ou padrão, use o comando route , conforme mostrado abaixo:

• Como você pode ver pela sintaxe, a configuração deste comando não é muito diferente de configurar uma rota
estática em um IOS do roteador. O primeiro parâmetro que você deve inserir para o comando de route e o
nome lógico da interface onde a rota de destino existe. Se você examinar a Figura 4-1, para 192.168.4.0/24
e 192.168.5.0/24, isso seria a interface interna. Em seguida, você segue com o número da rede e a máscara
de sub-rede. Para uma rota padrão, digite 0.0.0.0 para o número da rede ou 0 para abreviar e 0.0.0.0 para a
máscara de sub-rede, que também pode ser abreviada para 0 . Depois de inserir o número da rede e a máscara
de sub-rede, especifique o Endereço IP do roteador para o qual o dispositivo encaminhará o tráfego, a fim de
encaminhar o tráfego para o destino correto. Novamente, para as redes 192.168.4.0/24 e 192.168.5.0/24, o
endereço de próximo salto é 192.168.3.2.
Configuração de rota estática
Configuração de rota estática (Cont)
Opcionalmente é possivel adicionar a configuração de contagem de saltos para classificar as rotas estáticas
quando o seu aparelho estiver conectado a mais de um roteador por formas que o mesmo conheça mais
caminhos para possivel destino, para tal deverá ser configurado com o parâmetro métric . Este parâmetro
pondera as rotas estáticas, dando preferência a rota de menor valor métrico. Quando você cria uma rota padrão
com o parâmetro tunneled , todo o tráfego criptografado que não pode ser roteado que chega a um dispositivo
que tem rotas dinamicas ou estática é enviada para a rota denominada tunneled. Caso contrário, se o tráfego não
for criptografado, a rota padrão padrão é usada. Duas restrições se aplicam quando você está usando a opção
túnnel :
• Você não pode definir mais de uma rota padrão com esta opção.
• ICMP para tráfego em túnel não é compatível com esta opção.

NOTA Os dispositivos de segurança não balancearão a carga entre vários caminhos. eles apenas usam um
caminho. Se a métrica for diferente o aparelho usará o caminho com a métrica de valor inferior. Se o valor da
métrica for igual, o dispositivo usará o primeiro comando de rota que você configurou.
Verificação de Rota
Para visualizar as rotas na tabela de roteamento do seu aparelho, use o
seguinte comando:
Aqui está um exemplo do uso do comando show route :
Fig 4-1. Uma configuração de rota estática para a Figura 4-1
Verificação de Rota (Cont)
Uma rota estática é representada por um S na tabela de roteamento. Uma rota diretamente conectada é
representado por C . Se você vir uma rota 127.0.0.0 , isso indica que você está em um ASA, este endereço é
usado para acessar a porta do pseudo-console de uma placa IPS ou CSC instalada. Para rotas não conectadas,
como rotas estáticas, você verá dois números entre colchetes (“ [] ”). O primeiro número é a distância
administrativa do protocolo de roteamento, e o segundo número é a métrica da rota.

• Exemplo de configuração de rota estática

Para ilustrar a configuração de rotas estáticas, será usada a rede mostrada anteriormente na Figura 4-1. Aqui está
a configuração para realizar a saída da tabela de roteamento mostrada anteriormente na Listagem 4-1:
Rastreamento de Rota Estática
Um problema com as rotas estáticas é que o aparelho, por padrão, não tem como saber se o caminho para o
destino está disponível, a menos que a interface do dispositivo associado com a rota estática esteja desabilitada.
No entanto, se o vizinho do próximo salto for desativado, o dispositivo ainda encaminhará o tráfego para este
destino. O rastreamento de rota estática é um novo recurso, introduzido na versão 7.2, para lidar com este
problema ao usar rotas estáticas. Este recurso permite que um aparelho detecte que uma rota estática calculada
que está atualmente na tabela de roteamento não é mais alcançável, fazendo com que omesmo use uma rota
estática de backup configurada. ICMP é usado pelo aparelho para testar conectividade para a rota estática
atualmente na tabela de roteamento do dispositivo. Se as respostas ICMP echo não forem recebidas por um
período pré-configurado no dispositivo monitorado, o dispositivo pode, então, remover a rota estática associada
rota de sua tabela de roteamento e usar uma rota estática de backup configurada.

• NOTA Uma restrição relativa ao recurso de rastreamento de rota estática é que ela não pode ser usada com um
uma rota estática com a opção tunnel habilitada.
Configuração de rastreamento de rota estática
Use os seguintes comandos para configurar o rastreamento de rota estática :

O comando sla monitor especifica como o rastreamento deve ser feito. O SLA_ID associa um valor de
identificação ao processo de rastreamento. O subcomando de type especifica o protocolo a ser usado para
realizar o teste ao dispositivo remoto, e a interface à qual o dispositivo monitorado está conectado.
Configuração de rastreamento de rota estática
Atualmente o único protocolo suportado para teste é ICMP ( ipIcmpEcho ). O comando timeout especifica o
número mais de milissegundos de espera pela resposta de eco. O comando de frequência especifica o número
de respostas eco que devem ser perdidas antes que a rota estática rastreada seja considerada inactiva. O comando
sla monitor schedule especifica quando o monitoramento deve começar e por quanto tempo. Normalmente
você deseja que o rastreamento comece depois da configuração mas você pode alterar esses valores. O comando
track associa o SLA_ID para monitoramento com o ID de rastreamento especificado no (s) comando (s) de rota.

• Exemplo de configuração de rastreamento de rota estática Para ilustrar como o rastreamento de rota estática
é usado, examine a Figura 4-2. Neste exemplo, o dispositivo de perímetro está conectado a dois ISPs via dois
roteadores de perímetro diferentes, onde ISP1 é o caminho padrão e ISP2 é o backup. No entanto, se qualquer
um desses dois links ISP cair, o dispositivo, uma vez que não está direitamente conectado a eles, não saberia
da indisponibilidade da rota. No proximo slide tem o exemplo prático de uma configuração para rastreamento
de rota estática.
Configuração de rastreamento de rota estática
Atualmente o único protocolo suportado para teste é ICMP ( ipIcmpEcho ). O comando timeout especifica o
número mais de milissegundos de espera pela resposta de eco. O comando de frequência especifica o número
de respostas eco que devem ser perdidas antes que a rota estática rastreada seja considerada inactiva. O comando
sla monitor schedule especifica quando o monitoramento deve começar e por quanto tempo. Normalmente
você deseja que o rastreamento comece depois da configuração mas você pode alterar esses valores. O comando
track associa o SLA_ID para monitoramento com o ID de rastreamento especificado no (s) comando (s) de rota.

• Exemplo de configuração de rastreamento de rota estática Para ilustrar como o rastreamento de rota estática
é usado, examine a Figura 4-2. Neste exemplo, o dispositivo de perímetro está conectado a dois ISPs via dois
roteadores de perímetro diferentes, onde ISP1 é o caminho padrão e ISP2 é o backup. No entanto, se qualquer
um desses dois links ISP cair, o dispositivo, uma vez que não está direitamente conectado a eles, não saberia
da indisponibilidade da rota. No proximo slide tem o exemplo prático de uma configuração para rastreamento
de rota estática.
Exemplo prático de configuração de
rastreamento de rota estática

Na configuração anterior, o appliance está rastreando um dispositivo, provavelmente um roteador, na rede ISP1
(200.1.1.1). Se uma resposta de eco não for recebida durante o rastreamento dentro 1 segundo (1.000
milissegundos) este processo será repetido três vezes, por padrão apôs este timing rota será considerada
inalcançavel (o vizinho 192.168.1.1 com uma métrica de 1), por este facto a rota de backup para a interface outside
2 será usada.
Rastreamento de rota estática
Topologia usada no exemplo anterior
Roteamento OSPF
O dispositivo ASA possue a maioria dos recursos que os roteadores Cisco IOS suportam para o protocolo OSPF.
Por exemplo, os aparelhos suportam roteamento intra- área, roteamento inter-área e externo do tipo-1 e tipo-2.
Os aparelhos podem desempenhar o papel de um roteador designado (DR) e backup de DR (BDR) em uma área,
um roteador de borda de área (ABR) e um sistema autônomo roteador de limite de tempo (ASBR). Os aparelhos
suportam recursos OSPF avançados, como rota autenticação com MD5, áreas stubby e NSSA, anúncio de estado
de link ABR (LSA) filtragem tipo 3, links virtuais e redistribuição de rota, fornecendo muita flexibilidade na
configuração do OSPF em seu dispositivo para fornecer um design de rede OSPF escalonável.

Obs. Cerca de 70 por cento dos recursos OSPF serão abordados. Os tópicos discutidos são os mais comumente
implementado por administradores.
Configuração Básica de OSPF
A ativação do OSPF é um processo de duas etapas:
• 1. Crie seu processo OSPF.
• 2. Especifique as interfaces que estão associadas a uma área particular.

A configuração básica do OSPF é semelhante à feita em um roteador Cisco:

ciscoasa (config) # router ospf process_ID

ciscoasa (config-router) # network IP_address subnet_mask area area_ #
ciscoasa (config-router) # timers spf spf_delay spf_holdtime

Primeiro, crie seu processo OSPF com o comando router ospf , dando o OSPF um ID de processo - você pode
ter apenas dois processos OSPF em execução simultaneamente em seu utensílio. Observe que este comando leva
você para um modo de subcomando para o OSPF processo de roteamento.
Configuração Básica de OSPF
Em segundo lugar, você usa o comando network para especificar qual interface está em qual área. Isso é quase
como o comando network em roteador com ospf com uma exceção: você não especifica uma máscara curinga;
em vez disso, você especifica uma máscara de sub- rede. Para colocar uma interface específica em uma área
específica, use o endereço IP da interface e uma máscara de sub-rede de 255.255.255.255. Opcionalmente, você
pode alterar o atraso do SPF (Short path first) e o tempo de espera com o comando timers spf . O atraso é o
número de segundos que o aparelho irá aguardar até aperceber-se de uma mudança de topologia e a execução do
algoritmo SPF, o tempo padrão de espera é de 5 segundos.
Se você especificar 0, o dispositivo não aguardará quando uma alteração for recebida. O período de espera é o
número de segundos que o aparelho espera entre dois cálculos de SPF; por padrão, são 10 segundos. Esses
temporizadores são usados para evitar oscilações de rota que podem causar problemas de CPU em um
dispositivo, atrasando o cálculo do SPF quando uma mudança é recebida. No proximo slide será apresentado
um exemplo simples de uma configuração do OSPF em um dispositivo, com base na rede mostrada na Figura 4-
3:
Exemplo de configuração básica do OSPF

No exemplo anterior, qualquer interface começando com 10 é colocada na área 0; qualquer interface
começando com 192.168.1 ou 192.168.2 está na área 1.
Parâmetros de interface para o OSPF
Você pode ajustar muitos parâmetros OSPF específicos da interface, mas isso normalmente é desnecessário.
Aqui estão alguns dos comandos OSPF específicos da interface em um dispositivo:

O comando ospf cost codifica o custo de uma interface, substituindo o padrão de cálculo que é usado. O custo
deve corresponder ao custo usado pelo equipamento vizinho, ou inadvertidamente Cálculos de SPF podem
ocorrer. O comando ospf priority é usado para eleger o DR e BDR - a prioridade padrão é 1; configurá-lo para 0
faz com que a interface não participe do processo eleitoral.
O comando ospf hello-interval especifica a frequência com que as mensagens LSA são geradas. O comando
ospf dead-interval especifica o número de segundos após as quais se as mensagens de hello de um vizinho não
forem recebidas, o vizinho é declarado indisponível. O temporizador para intervalo de hello por padrão é de 10
segundos já o dead é de 40 segundos respectivamente, e devem corresponder a o valor configurado nos vizinhos
OSPF conectados à interfaca se assim não for não se formará a adjacência.
Autenticação OSPF
OSPF e os aparelhos oferecem suporte à autenticação de atualizações de roteamento usando um texto não
criptografado senha ou a função MD5. Se você deseja autenticar atualizações de roteamento no OSPF, você
deve habilitar a autenticação para cada área dentro do processo de roteamento do OSPF. Comandos para a
configuração de autenticação:

Para MD5, você precisa do parâmetro message-digest . Sem ele, as teclas de texto não criptografado são usadas
para autenticação em vez de assinaturas MD5. Depois de habilitar a autenticação para uma área ou áreas, você
precisará configurar a autenticação na (s) interface (s) que o usará:
Autenticação OSPF (Cont)
Na interface, se você estiver usando autenticação de texto não criptografado, use os comandos ospf
authentication e ospf authentication-key. Para autenticação usando MD5, use os comandos ospf
authentication message-digest e ospf message-digest-key.
Aqui está um exemplo de uso da autenticação MD5 para uma área OSPF:

Neste exemplo, a autenticação MD5 é usada na área 0, que inclui a interface e0 / 1. O número da chave usado é
500 e a chave de assinatura real é cisco123abc .
• Obs. Para se proteger contra ataques de roteamento, é altamente recomendável configurar seu dispositivo com
autenticação OSPF, porque o mesmo oferece suporte a assinaturas MD5 para autenticação de atualizações de
roteamento.
Stubs de área OSPF
Stubs são usados para limitar o número de rotas em uma área. Um zona stub tem LSAs do tipo-1 e tipo-2 intra-
área, LSAs do tipo 3 e tipo 4 para inter-área e uma rota padrão é injetada neles pelo ABR para rotas externas de
um sistema autônomo diferente. Se o seu aparelho é um ABR e você deseja designar uma área como um stub,
use a seguinte configuração:

• Para configurar uma área como stub, use o comando area stub . Qualquer LSAs do tipo-5 (rotas externas do
tipo 1 e tipo 2) não serão encaminhadas para a área especificada, mas uma rota padrão será acrescentada para
encaminar o trafego para rotas que não constam na tabela de roteamento. A função stub deve ser configurada
em todos os dispositivos OSPF na área, incluindo o ABR. No ABR, se você especificar o parâmetro no-
summary, você estará tornando a área " totally stubby ". Este é um recurso proprietário da Cisco, rotas
externas de ASBRs e as rotas de outras áreas não são injetadas em uma área totaly stub: apenas um a rota
padrão é injetada. O comando de area default-cost permite que você atribua um custo na métrica
para a rota padrão injetada que será anunciada em uma área de stub.
Área Stubs OSPF (Cont)
NSSA significa “not-so-stubby area”. Suponha que seu aparelho seja um ASBR e não esteja conectado à área
0, mas em uma área diferente, e essa área é uma área stub. Para obter as rotas externas do backbone através da
área stub, o ASBR deve anunciar as rotas externas tipo 7, isso é conhecido como área not-so-stubby area
(NSSA). Novamente, todos os dispositivos OSPF na área devem ser configurados como NSSA. Quando
configurados como tal, os dispositivos na área irão encaminhar LSAs tipo 7 para o backbone (área 0), mas não
irão adiciona-las na tabela de base de dados do OSPF. Para configurar seu dispositivo ABR para NSSA, use a
seguinte configuração:

On the ASBR that’s NSSA, the area nssa command makes the device understand about this issue.
Adicionar o parâmetro default-information originate faz com que o dispositivo, quando é um ASBR, para
injetar uma rota padrão na área NSSA. A área O comando default-cost permite que você altere o custo padrão
da rota padrão.
OSPF Summarization
Se o seu aparelho for um ABR, ele pode resumir as rotas entre as áreas com o comando area range :

Este comando apenas resume as rotas localizadas na área especificada. O parâmetro advertise é o padrão -
ele anuncia a rota sumarizada. O parametro not-advertise não anunciará nenhuma rota que corresponda à
máscara de rede / sub-rede especificada para a área a quaisquer outras áreas conectadas (LSAs tipo 3 e 4). Aqui
estão os comandos necessários para realizar a sumarização em um aparelho que é um ASBR:
OSPF Summarization (Cont)
Você pode injetar uma rota padrão no processo OSPF com o comando default-information
originate. O parâmetro always faz com que o aparelho sempre injete um rota padrão no processo OSPF,
mesmo se não existir uma na tabela de roteamento local.
Ao injetar uma rota padrão, você pode atribuir uma métrica a ela com o parâmetro metric , especifique o tipo de
rota externa com o parâmetro metric-type e aplique um route-map para o processo, que pode ser usado para
alterar as propriedades da rota.

Você também pode resumir as rotas externas usando o comando summary address. Como na configuração
anterior, o parâmetro not-advertise não anunciará rotas que correspondem ao número de rede e valores de
máscara de sub-rede configurados no processo OSPF local. O valor da tag é um número de 32 bits que o próprio
OSPF não usa, mas que outros protocolos de roteamento como o BGP podem usar.

• OBSERVAÇÃO: Você não pode criar uma rota sumarizada de 0.0.0.0/0, ao invéz disso que tem que se usar o
comando defaultinformation originate.
Filtragem de rota OSPF
Os aparelhos oferecem suporte à filtragem de LSAs do tipo 3 isso pode ser necessário se você estiver a usar uma
rede privada em certas interfaces e não quer passá-las como rotas via OSPF. A configuração da filtragem de
prefixo (filtragem de LSAs tipo 3) é um processo de duas etapas:

Configure sua lista de rotas de prefixo que serão ou não filtradas com o comando prefix- list . A ordem em que
você insere a lista de prefixos é importante, uma vez que o aparelho lê a lista de cima para baixo. As declarações
de permissão permitem a rota, enquanto as declarações de negação filtram a rota. Para especificar um prefixo,
digite o número da rede, seguido por uma barra (“/”) e o número de bits de rede, como 10.0.0.0/8.
Você então aplica a lista de prefixos a uma área em um processo de roteamento OSPF com o comando area
filter-list . Você pode filtrar atualizações de roteamento entrando em uma área (in parameter) ou deixando uma
área (out parameter).
Redistribuição de Rota no OSPF
Você pode seguir rotas de uma fonte externa em seu aparelho, supondo que ele esteja agindo como um ASBR e
injetá-los no OSPF e vice-versa. A configuração da redistribuição nos dispositivos é semelhante à configuração
em roteadores Cisco. A redistribuição é realizada usando o comando redistribute .
Redistribuição de Rota no OSPF (Cont)
O comando redistribute pega as rotas de um processo de roteamento externo e os distribui no processo OSPF
atual. O parâmetro métric permite associar um custo às rotas redistribuídas. O parâmetro do metric-type
permite que você especifique se as rotas redistribuídas são rotas externas do tipo 1 ou 2, se não específicado por
padrão serão redistribuidas as rotas do tipo-2 . Você também pode marcar as rotas com o parâmetro tag : OSPF
não processa essas informações, mas um BGP que fala ASBR pode usar essas informações. Se você omitir o
parâmetro subnets , apenas as rotas classfull serão redistribuídas ficando de fora as redes classless. O parâmetro
match é usado para que OSPF tome as rotas de outros processos de OSPF, é possível controlar quais rotas
(rotas internas e / ou externas do tipo 1 ou 2) podem ser inseridas dentro processo OSPF local. Com os
procedimentos certos do comando redistribute, você pode usar o parâmetro route-map para alterar as
informações relacionadas às rotas correspondentes, bem como algumas métricas.
Para ilustrar a simplicidade de configuração da redistribuição de rota, examine a rede mostrada na Figura 4-4.
Nesta rede, o aparelho redistribuirá as rotas do sistema autônomo (AS) 100 em AS 200. Eis abaixo a
configuração relacioanda a redistribuição no OSPF:
Redistribuição de Rota no OSPF (Cont)

NOTA Se houver números de rede

sobrepostos nos dois processos de
roteamento quando você estiver executando
redistribuição, você precisará filtrá-los
usando a filtragem LSA tipo 3 ou criará
problemas de acessibilidade
com seus processos de roteamento.

Verificação OSPF
Ao executar o OSPF, use o comando show route para visualizar as rotas na sua tabela de roteamento, as
rotas OSPF aparecem como um O na tabela de roteamento. Este comando foi discutido
Protocolo EIGRP
O EIGRP é um protocolo aberto desenvolvido pela Cisco foi adicionado aos dispositivo ASA apartir da versão
8.0. Os Recursos do EIGRP são muito semelhantes aos recursos usados nos roteadores Cisco. Os recursos
suportados pelo ASA são:
• Autenticação de vizinhança
• Rota sumarizada
• Filtragem de rota
• Redistribuição com outros protocolos de roteamento (muito semelhante à redistribuição discutido na seção
"Redistribuição de rota OSPF" e, portanto, omitido desta seção)
• Rota Stub

NOTA A discussão EIGRP neste treinamento é mantida um tanto breve, cobrindo cerca de 70 por cento dos
recursos reais usados nos dispositivos. Os tópicos discutidos são os mais comumente implementado por
administradores.
Comandos de Visualização OSPF
Configuração Básica de EIGRP
Configurar o roteamento EIGRP em um dispositivo é muito semelhante em configurá-lo em um IOS do roteador
Cisco. Aqui estão os comandos básicos para habilitar o roteamento EIGRP:

• Para habilitar o processo de roteamento EIGRP, você precisa atribuir a ele um número AS. Dentro do
processo de roteamento, para cada rede listada (com o comando network ) que corresponda uma interface no
dispositivo, essa interface é incluída no processo de roteamento EIGRP. Se você omite a máscara de sub-rede,
o padrão é a máscara de classe de rede (A, B, C). O comando passive-interface coloca uma interface
especificada em modo passivo, o dispositivo não processará nenhuma atualização EIGRP nesta interface. O
parâmetro default desabilita EIGRP em todas as interfaces, então para habilitar para interfaces específicas,
use o no passive-interface, referenciando os nomes de interface lógica específicos
Configuração Básica de EIGRP
Aqui está um exemplo simples, com base na Figura 4-3, de ativação do EIGRP em todas interface do dispositivo
de rede ASA:

• Neste exemplo, todas as três interfaces estão no sistema autônomo 1.

Autenticação EIGRP
Configurar a autenticação de atualizações de roteamento EIGRP é fácil. Entre na interface (s) EIGRP aonde
estão conectados os Vizinhos pertencentes ao mesmo AS, especifique que o MD5 é usado com o comando
authentication mode. Em seguida, configure a chave e o número da chave usados dentro do AS nessa
interface com o comando authentication key :

Obs. todos os roteadores EIGRP conectados à interface precisam ter o mesmo número de AS, mesmo valor-
chave e número-chave. Aqui está um exemplo simples baseado na imagem da topologia do exemplo anterior:
Sumarização EIGRP
Por padrão, o EIGRP se comporta, em muitos casos, como um protocolo de vetor de distância. Um exemplo
desse processo é quando o EIGRP anuncia sub-redes através dos limites de rede, antes de anunciar qualquer sub-
rede em um outra rede diferente, o EIGRP automaticamente resume as sub-redes de volta ao limite da classe de
rede (A, B ou C) e anuncia o endereço de classefull da rede. Você pode desativar este resumo automático com o
comando no auto-summary no processo de roteamento EIGRP:

Executar o comando acima desativa toda sumarização.

Para realizar a sumarização manual, entre na interface em que a sumarização deve ser executada e use o
comando summary-address para resumir redes ou sub-redes contíguas:
Configuração de redes Stub no EIGRP
Quando seu aparelho está na extremidade da rede, como um link WAN ou o acesso camada na rede do campus,
normalmente não é necessário compartilhar uma lista inteira da rede de rotas EIGRP para dispositivos de borda.
O EIGRP oferece suporte a um processo semelhante ao OSPF chamado stubs. Aqui está a configuração para
definir o roteamento de stub para EIGRP em seu dispositivo:

Você precisa especificar quais tipos de rede serão anunciadas pelo processo de roteamento no dispositivo stub
para os outros roteadores que se encontrem no mesmo nível de distribuição EIGRP usando o comando eigrp
stub, você pode configurar mais de uma opção em uma linha. O parâmetro de receive-only receberá rotas de
vizinhos, mas não anunciará as rotas recebidas. Redes estáticas e conectadas não são automaticamente
redistribuídas no processo de roteamento de stub; se você quiser incluí-los, especifique os parâmetros connected
e static. O parâmetro redistributed faz com que o aparelho anuncie as rotas que foram redistribuídas de
outros protocolos de roteamento no dispositivo. O parâmetro summary permite que o dispositivo anuncie rotas
resumidas. Aqui estão alguns exemplos do uso do comando eigrp stub :
• eigrp stub connected summary : Anúncia rotas conectadas e sumarizadas
• eigrp stub connected static : Anúncia rotas conectadas e estáticas
• eigrp stub redistributed : Anúncia rotas redistribuidas dentro do protcolo EIGRP
provenientes de outros protocolos de roteamento
Filtragem de Rota no Protocolo EIGRP
Você também tem a capacidade de filtrar rotas EIGRP entrando ou saindo do processo EIGRP ou em uma
interface particular. Isso é feito usando listas de controle de acesso (ACLs) e listas distribuição, da mesma forma
que se faz em roteadores cisco:

Primeiro, você precisa definir uma ACL padrão ( com o comando access-list ) que irá listar o Rotas
EIGRP permitidas e / ou negadas, observe que você está inserindo o número da rede para as rotas - você não está
usando uma ACL padrão para filtrar o tráfego de dados. ACLs as suas sintaxe será discutida com mais detalhes
no Capítulo 6. Um item importante a ser destacado sobre ACLs, porém, é que as ACLs nos dispositivos ASA ao
contrário dos roteadores IOS não usam máscaras de sub-rede curingas para combinar em intervalos de
endereços. Dentro do processo de roteamento EIGRP, use o comando Distribution-list . Você pode filtrar o
tráfego de entrada ou saída do próprio processo EIGRP ou de uma interface com nome específico.
Comandos de visualização EIGRP
Ao executar o EIGRP, use o comando show route para visualizar as rotas na tabela de roteamento, as rotas
EIGRP aparecem como uma letra D . Este comando foi discutido no início do capítulo. Outros comandos EIGRP
que você pode usar são mostrados abaixo na Tabela 4-3.