quinta-feira, 30 de janeiro de 2014

CISCO Adaptive Security Appliance (ASA) – ping tcp

CISCO Adaptive Security Appliance (ASA) – ping tcp

Os devices ASA não permitem by design utilizar telnet a partir deles mesmos.

O problema de segurança envolvido é o da escuta de rede para obter informações sigilosas.
“Os comandos remotos e o telnet usam transferência direta de dados sem codificação. Isto permite que redes abertas a "escutas" tenham informações críticas vazadas. Uma "escuta" é facilmente instalada numa rede ethernet na qual não é possível controlar o acesso de maquinas ou usuários suspeitos.” (http://www.rnp.br/newsgen/9708/n3-3.html)

Como o ASA não disponibiliza telnet, fica difícil realizar testes – a partir dele – que permitam identificar se uma determinada porta tcp está ou não aberta no destino, ou se o Firewall (ASA) está bloqueando a comunicação.

O “ping tcp” permite testes de disponibilidade e acesso a portas TCP em hosts de destino que têm seu caminho pelo firewall.

Para demonstrar este comando estou utilizando o GNS3 v0.8.6 integrado com minha estação física.  Abaixo, o diagrama da pequena estrutura montada.


- Como funciona?

# ping tcp <ip-address> <tcp-port>