IFPR-Labtelecom: ASA 5512X

O Labtelecom tem um firewall ASA-5512X como gateway principal da rede. Nessa página são apresentados alguns comandos úteis para o uso e configuração de equipamento.

Back up da configuração para o servidor local FTP 192.168.1.3:

ciscoasa# copy running-config ftp://telecom:telecom@192.168.1.3/ASA_default.cfg

Restaurar configuração default do equipamento ASA pelo servidor local FTP 192.168.1.3:

ciscoasa# copy ftp://telecom:telecom@192.168.1.3/ASA_default.cfg startup-config

ciscoasa# reload

Firewall: O Labtelecom tem um política de filtragem de portas TCP e UDP visando a segurança e bom uso da rede acadêmica. Logo abaixo estão listadas as portas liberadas para serviços essencias de rede no laboratório. Essa filtragem é realizada por listas de controle de acesso (ACL) no Firewall ASA-5512X.

33434 Traceroute tcp 27000-27009 AutoCad tcp 23399 Skype tcp 22136 Flir (Camera) tcp 17500 Dropbox tcp 9030 Tor (network) tcp 9001 Tor (network) tcp 8080 Web tcp 8000 Shoutcast tcp 6667 IRC Chat tcp 5938 Teamviewer tcp 5351 NAT Map tcp 5061 SIP over TLS tcp 5060 SIP tcp 5005 RTP tcp 5004 RTP tcp 2727 MGCP tcp 2427 MGCP tcp 2086 GNUnet tcp 2080 AutoCad tcp 1720 H.323 tcp 1719 H.323 tcp 994 IRC over TLS tcp 554 RTSP tcp 546 DHCPv6 tcp/udp 443 https tcp 220 Imap v3 tcp 194 IRC udp 143/993 Imap tcp 123 NTP udp 80 http tcp 67-68 DHCP udp 43 Whois tcp 13 Daytime tcp

Firewall - Script que permite acesso ao servidor de licenças do AutoCad:

conf t

access-list FIREWALLIN line 1 extended permit ip 192.168.0.0 255.255.0.0 172.17.0.0 255.255.0.0

access-list FIREWALLIN line 2 extended permit ip 172.17.0.0 255.255.0.0 192.168.0.0 255.255.0.0

access-group FIREWALLIN in interface outside

exit

Monitoramento: O Firewall ASA está posicionado na ARDB e tem um conexão na porta console com o Servidor de Rede do Labtelecom para configurações remotas, alguns dicas desse tipo de conexão são descritos aqui:

Para visualizar a interface serial no terminal digite:

dmesg | grep ttyS

O resultado desse comando é apresentado abaixo

root@amanda:~# dmesg | grep ttyS

[ 0.921537] 00:04: ttyS0 at I/O 0x3f8 (irq = 4, base_baud = 115200) is a 16550A

[ 0.942671] 0000:0b:05.1: ttyS1 at I/O 0xbc80 (irq = 21, base_baud = 1382400) is a 16550A

Localizar processo que está utilizando a porta serial no terminal digite [3]:

ls -l /proc/[0-9]*/fd/* |grep /dev/ttyS0

Monitoramento - temperatura: a coleta da dados é realizada por um conexão entre as interface console e serial do servidor principal. Nesse caso, é enviado o comando sh environment temperature\rlogout\r para o arquivo /dev/ttyS0 e realizada a captura das 16 primeiras linhas da resposta.

echo -ne "sh environment temperature\rlogout\r" > /dev/ttyS0; ((head -16 /dev/ttyS0) | grep :)| grep - > ASA_acc1.txt; ACC1=$(awk '{print $3} ' ASA_acc1.txt); echo $(date +%Y)/$(date +%m)/$(date +%d)-$(date +%H):$(date +%M)" "$ACC1 >> ASA_data_temperature.txt; tail -n 600 ASA_data_temperature.txt > ASA_buffer_temperature.txt;

Netflow: O Firewal ASA também tem suporte ao Netflow, nesse caso foram utilizados os comandos [5] abaixo para exportar o fluxo de todas as interface de rede para o servidor principal (192.168.1.3):

configure terminal

flow-export destination inside 192.168.1.3 2055

flow-export template timeout-rate 1

flow-export delay flow-create 60

logging flow-export syslogs disable

access-list NETFLOW_ACL extended permit ip any any

class-map NETFLOW_CLASS

match access-list NETFLOW_ACL

policy-map NETFLOW_POLICY

class NETFLOW_CLASS

flow-export event-type all destination 192.168.1.3

service-policy NETFLOW_POLICY global