6 - FIREWALLS CISCO ASA

6.1 INTRODUÇÃO AOS SISTEMAS CISCO ASA

Os sistemas ASA (Adaptive Security Appliances) foram apresentados pela Cisco
Systems em 2005, com o objectivo de unificar os serviços de três famílias de
appliances existentes na altura:
Cisco PIX Appliances – fornecia serviços de filtragem de pacotes e tradução de
endereços;
Cisco VPN Concentrators – suportava redes privadas virtuais;
Cisco IPS Series – sistemas de detecção e prevenção de intrusão.
Actualmente, a família ASA 5500 é constituída por vários modelos com diversas
capacidades, que cobrem múltiplas necessidades, desde as pequenas empresas até
aos campus ou centros de dados. A Figura 6.1 mostra um dos modelos de topo
desta família.

Figura 6.1 – ASA 5580-40 (fonte: Cisco)

A Tabela 6.1 compara as principais diferenças entre os vários modelos ASA. Esta
tabela é um resumo, que não tem todos os modelos nem todas as características. A
comparação completa pode ser consultada no sítio Web da Cisco42. A tabela
compara as capacidades de memória, as taxas de filtragem, o número máximo de
ligações simultâneas, a capacidade de sessões VPN e outras características
importantes para quem pretende escolher o modelo mais adequado às suas
necessidades.

42
Disponível em http://cisco.biz/en/US/products/ps6120/prod_models_comparison.html

© FCA - Editora de Informática 199

Firewalls: Soluções Práticas

Tabela 6.1 – Características essenciais da família ASA

CARACTERÍSTICA 5505 5520 5540 5550 5580-40

MEMÓRIA RAM 512 MB 1 GB 2 GB 4 GB 12 GB

CAPACIDADE DE
150 Mbit/s 450 Mbit/s 650 Mbit/s 1 Gbit/s 10 Gbit/s
FILTRAGEM
MÁXIMO DE LIGAÇÕES 10,000 280,000 400,000 650,000 2,000,000
SIMULTÂNEAS
MÁXIMO DE LIGAÇÕES 4,000 12,000 25,000 36,000 150,000
POR SEGUNDO
CAPACIDADE VPN 100 Mbit/s 225 Mbit/s 325 Mbit/s 425 Mbit/s 1 Gbit/s
3DES/AES
MÁXIMO DE SESSÕES 25 750 2500 5000 10,000
VPN SSL
CAPACIDADE DE 1 SSC 1 SSM 1 SSM Não 6 IC
EXPANSÃO

PREVENÇÃO DE Sim, c/ AIP Sim, c/ AIP Sim, c/ AIP

Não Não
INTRUSÃO SSC SSM SSM
FILTRAGEM DE Sim, c/ CSC Sim, c/ CSC
Não Não Não
CONTEÚDOS SSM SSM

TOLERÂNCIA A FALHAS Não Sim Sim Sim Sim

BALANCEAMENTO DE Não Sim Sim Sim Sim

CARGA
CONTEXTOS DE 0 20 50 100 250
SEGURANÇA (MAX)

Alguns modelos possuem baías de expansão que permitem a instalação de

módulos com uma função específica, por exemplo detecção e prevenção de
intrusão, que permitem aumentar a capacidade do modelo ou acrescentar
funcionalidades.

Módulos para inspecção e prevenção de intrusão

Estes módulos, designados AIP (Advanced Inspection and Prevention), permitem
acrescentar funcionalidade de inspecção de pacotes e detecção/prevenção de
intrusão aos sistemas ASA.
Actualmente, existem os módulos AIP que constam da Tabela 6.2.

200 © FCA - Editora de Informática

 Firewalls Cisco ASA

Tabela 6.2 – Módulos AIP

AIP SSC-5 AIP SSM-10 AIP SSM-20 AIP SSM-40

CARACTERÍSTICA

MODELOS ONDE SE
5505 5510, 5520 5520, 5540 5520, 5540
APLICA

MEMÓRIA RAM 512 MB 1 GB 2 GB 4 GB

CAPACIDADE DE 5510: 150 MBIT/S 5520: 375 MBIT/S 5520: 450 MBIT/S
75 MBIT/S
INSPECÇÃO 5520: 225 MBIT/S 5540: 500 MBIT/S 5540: 650 MBIT/S

PROTECÇÃO "DIA ZERO" NÃO SIM SIM SIM

ASSINATURAS NÃO SIM SIM SIM

PERSONALIZÁVEIS

Módulos para filtragem de conteúdos

As firewalls ASA podem ser equipadas com um módulo CSC ( Content Security and
Control ) que lhes permite inspeccionar os conteúdos que fluem através delas. A
inspecção permite detectar e evitar vírus, spyware, phishing, spam e várias outras
ameaças relacionadas com os conteúdos. Estes módulos realizam actualizações
automáticas das assinaturas das ameaças, pelo que garantem uma protecção
actualizada.
A Tabela 6.3 mostra os módulos CSC disponíveis na actualidade.

Tabela 6.3 – Módulos CSC

CSC-SSM-10 CSC-SSM-20

CARACTERÍSTICA

MODELOS ONDE
5510, 5520 5510, 5520, 5540
SE APLICA

MEMÓRIA RAM 1 GB 2 GB

NÚMERO DE
50 A 500 500 A 1000
UTILIZADORES

© FCA - Editora de Informática 201

Firewalls: Soluções Práticas

6.2 MODOS DE OPERAÇÃO

A firewall ASA pode funcionar em diversos modos de operação, que esta secção
apresenta.

Modo de encaminhamento
O modo de encaminhamento é o modo normal de funcionamento da firewall.
Neste modo, a firewall actua como um dispositivo de nível 3, ou seja, cada uma
das suas interfaces está ligada a uma sub-rede diferente e possui um endereço IP
pertencente à respectiva sub-rede.

Figura 6.2 – Modo de encaminhamento

A Figura 6.2 mostra a aplicação típica de uma firewall ASA no modo de

encaminhamento. A firewall é um ponto de passagem obrigatório do tráfego entre a
rede local e o exterior, e cada uma das suas interfaces está ligada a uma sub-rede
diferente, pelo que tem que implementar um processo de encaminhamento de
pacotes entre redes diferentes. No fundo, a firewall tem que desempenhar também
o papel de um router.
Neste modo, o default gateway da rede local é a interface interior da firewall. Desta
forma, o endereço das suas interfaces tem que ser conhecido e a firewall não pode
ser escondida. Normalmente, não é necessário fazer nenhuma configuração para
colocar a firewall no modo de encaminhamento. No entanto, para mudar do modo
transparente para o modo de encaminhamento, é necessário o seguinte comando:

!passar para o modo de encaminhamento

ciscoasa(config)# no firewall transparent

Modo transparente
No modo transparente, a firewall tem as suas interfaces na mesma sub-rede IP e
estas actuam como interfaces de nível 2, ou seja, não têm um endereço IP. A
grande vantagem deste modo é que é extremamente simples aplicar ou retirar uma
firewall em qualquer cenário de rede. Outra vantagem é que no modo transparente

202 © FCA - Editora de Informática

 Firewalls Cisco ASA

é possível transferir tráfego que nunca passaria no modo de encaminhamento

como, por exemplo, protocolos não IP, como o MPLS.
A Figura 6.3 mostra o cenário típico de utilização da firewall no modo transparente.

Figura 6.3 – Modo transparente

De salientar os seguintes aspectos:

As interfaces da firewall estão ambas na mesma sub-rede (10.0.0.0/8) e não
possuem endereços IP próprios;
Todo o tráfego para a Internet passa obrigatoriamente pela firewall;
A firewall possui um endereço IP, mas unicamente para acesso administrativo;
O default gateway da sub-rede não é a firewall, é o router da figura;
Como pode ser confundida com um switch, a presença da firewall na rede é
furtiva.
Se a ideia é usar o modo transparente, essa deve ser a primeira configuração a
realizar, pois este modo de funcionamento tem implicações em muitos aspectos da
configuração. Aliás, a partir do momento em que o modo transparente é aplicado,
uma grande parte das configurações deixa de fazer sentido. Por exemplo, deixa de
ser possível implementar a tradução de endereços (NAT).
Apesar de as interfaces funcionarem apenas na camada 2, as operações internas de
filtragem de pacotes funcionam tal como no modo de encaminhamento.
O modo transparente é configurado com o seguinte comando:

!passar para o modo transparente

ciscoasa(config)# firewall transparent

Múltiplos contextos de segurança

Independentemente de estar no modo transparente ou de encaminhamento, existe
uma outra dicotomia sobre o seu funcionamento: modo single ou múltiplos
contextos. No modo single, que é o modo de funcionamento mais usual, existe
uma única política de segurança aplicada directamente na firewall.

© FCA - Editora de Informática 203

Firewalls: Soluções Práticas

No modo de múltiplos contextos, a firewall é dividida em múltiplas firewalls

virtuais, cada uma com as suas interfaces virtuais e configurações específicas. Esta
virtualização pode ser útil quando se pretende implementar várias políticas de
segurança diferentes com uma única firewall. Também pode ser útil em grandes
organizações, como forma de facilitar a escalabilidade das políticas de segurança.
A configuração de múltiplos contextos é complexa e exige um administrador
experiente. Por outro lado, neste modo, algumas funcionalidades são desactivadas,
pelo que só deve ser usado se as vantagens forem evidentes. A configuração da
firewall com múltiplos contextos tem que ser realizada através da linha de
comando: a aplicação ASDM não suporta este modo.

6.3 FORMAS DE CONFIGURAÇÃO

A configuração das firewalls ASA pode ser feita de diversas formas:
Através de um cabo de consola e uma aplicação de terminal;
Através de Telnet;
Através de SSH;
Com uma aplicação gráfica própria.
Quando se possui acesso local à appliance, a forma mais simples de a configurar
através da CLI (Command Line Interface) consiste na utilização de um cabo de
consola, ligado na respectiva interface, e de uma aplicação terminal, como, por
exemplo, o HyperTerminal do Windows ou a famosa aplicação Putty.
Para configurar remotamente a firewall através da CLI deve usar-se a tecnologia
SSH em vez de sessões Telnet, porque estas não são encriptadas, o que pode
originar quebras de segurança.
Uma das formas mais cómodas para configurar e administrar remotamente estas
firewalls é usar a aplicação gráfica ASDM (Adaptive Security Device Manager). Esta
aplicação, fornecida com a firewall, permite realizar praticamente todas as
operações que se efectuam através da linha de comando, de uma forma bem mais
simples e intuitiva. Os exemplos deste capítulo usam esta aplicação.

Preparação prévia
Para que a firewall possa ser configurada remotamente através de SSH ou da
aplicação ASDM, é necessário realizar previamente uma configuração mínima que
permita a utilização dessas aplicações. Esta configuração prévia deve ser realizada
através da interface de consola. Eis um exemplo de configuração prévia:

204 © FCA - Editora de Informática

 Firewalls Cisco ASA

ciscoasa# configure terminal

!configuração da interface ligada à zona segura
ciscoasa(config)# interface Ethernet0/0
ciscoasa(config-if)# nameif inside
!o nível de segurança 100 significa que se trata da zona segura
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip address 10.6.99.99 255.255.0.0
ciscoasa(config-if)# exit

!configuração de utilizadores e senhas

ciscoasa# enable password oj7TV4s5
ciscoasa# username admin password xo9Yh2rt privilege 15

!activação do serviço HTTP, necessário para o acesso via ASDM

ciscoasa# http server enable
ciscoasa# http 10.6.0.0 255.255.0.0 inside

!activação do acesso via SSH

ciscoasa# ssh 10.6.0.0 255.255.0.0 inside
ciscoasa# aaa authentication ssh console LOCAL
ciscoasa# ssh version 2

Adaptive Security Device Manager (ASDM)

Esta aplicação gráfica é disponibilizada pela própria firewall, bastando para isso
efectuar o acesso através de um browser de um computador cliente. No caso da
configuração prévia anterior, é necessário que o computador cliente esteja ligado
na rede 10.6.0.0/16. O acesso à interface Web da firewall é protegido através de
SSL, logo, neste caso, deve usar-se o seguinte URL: https://10.6.99.99.
Após a autenticação, que usa as credenciais definidas na configuração anterior,
surge a página inicial, mostrada na Figura 6.4, com duas opções:
Descarregar a aplicação e instalá-la no computador cliente;
Usar a aplicação como uma applet Java.

© FCA - Editora de Informática 205

Firewalls: Soluções Práticas

Recomenda-se vivamente a primeira opção, que é normalmente mais rápida e

menos problemática. A versão 5.0 do ADSM poderá ser incompatível com as
versões mais recentes do Java Runtime Environment (JRE).

Figura 6.4 – Página Web inicial disponibilizada pela firewall

Caso isso suceda, recomenda-se o seguinte procedimento:

Verifique se tem instalada a versão 1.6.0_07 do JRE. Se não tiver esta versão
instalada, descarregue-a e instale-a;
Encontre o ficheiro asdm-launcher.config file (normalmente em C:\Program
Files\Cisco Systems\ASDM\asdm-launcher.config);
Remova a opção 'read only' desse ficheiro;
Abra o ficheiro com um editor e adicione a seguinte linha: javapath c:\Program
Files\Java\jre1.6.0_07\bin\client\jvm.dll;
Grave o ficheiro e volte a colocar a opção ‘read only’.
Após a instalação da aplicação ASDM, para a usar basta usar o atalho que é criado
no ambiente de trabalho, designado ‘Cisco ASDM Launcher’. Ao iniciar a

206 © FCA - Editora de Informática

 Firewalls Cisco ASA

aplicação, surge a janela de autenticação, visível na Figura 6.5, onde devem ser
colocados o endereço IP da interface da firewall, o nome do utilizador e a
respectiva senha, tal como foram definidos na configuração prévia.

Figura 6.5 – Janela inicial de autenticação

Após uma autenticação bem sucedida, surge a janela inicial da aplicação ASDM,
que pode ser observada na Figura 6.6. A interface gráfica usa conceitos comuns e é
bastante intuitiva. A interacção com o utilizador é feita através de menus, barras de
ferramentas e painéis de informação.
A página inicial da aplicação é de carácter informativo e possui seis painéis:
Device Information – mostra informação sobre o hardware, sistema operativo,
modo de operação e tipo de licença;
VPN Status – mostra informação sobre túneis VPN activos;
System Resources Status – mostra estatísticas sobre a utilização de memória e
CPU;
Interface Status – mostra o estado das interfaces da firewall;
Traffic Status – mostra estatísticas sobre o tráfego que está a passar através da
firewall;
Latest ASDM Syslog Messages – mostra as últimas mensagens de logging.
O painel ‘Device Information’ é particularmente importante porque contém
informações que condicionam as operações que se podem realizar com a firewall.
Essas informações incluem a versão do sistema operativo da firewall, o modo de
operação (modo transparente ou de encaminhamento) e o modo de contexto
(singular ou múltiplos contextos). Também é mostrada informação sobre a
quantidade de memória não volátil e memória RAM.

© FCA - Editora de Informática 207

Firewalls: Soluções Práticas

Figura 6.6 – Aspecto inicial da aplicação ASDM

O painel ‘Interface Status’ é também importante porque nos mostra uma visão geral
sobre as interfaces da firewall e o seu estado. Além do nome e endereço IP, é
possível observar o seu estado físico e lógico, o que permite a detecção rápida de
eventuais anomalias. As interfaces podem ser seleccionadas, o que permite a
visualização das estatísticas do tráfego de entrada e de saída dessa interface.
No painel 'System Resource Status' é possível monitorizar a utilização da memória
e do CPU, não só no próprio instante mas também ao longo do tempo, em gráficos
que podem ser muito úteis para detectar eventuais situações de sobrecarga da
firewall.
O painel 'Traffic Status' contém gráficos que mostram a evolução ao longo do
tempo do número de ligações por segundo e a quantidade de dados que estão a
fluir nas interfaces. Estes gráficos podem denunciar situações anómalas,
nomeadamente tentativas de ataques de negação de serviço.
Finalmente, o painel 'Latest ASDM Syslog Messages' serve para mostrar ao
administrador as entradas no sistema de registo de eventos. Estas mensagens são
cruciais para, quando existe um problema, fornecer pistas ao administrador sobre a
origem desse problema.

208 © FCA - Editora de Informática