quinta-feira, 30 de janeiro de 2014

CISCO Adaptive Security Appliance (ASA) – ping tcp

CISCO Adaptive Security Appliance (ASA) – ping tcp

Os devices ASA não permitem by design utilizar telnet a partir deles mesmos.

O problema de segurança envolvido é o da escuta de rede para obter informações sigilosas.
“Os comandos remotos e o telnet usam transferência direta de dados sem codificação. Isto permite que redes abertas a "escutas" tenham informações críticas vazadas. Uma "escuta" é facilmente instalada numa rede ethernet na qual não é possível controlar o acesso de maquinas ou usuários suspeitos.” (http://www.rnp.br/newsgen/9708/n3-3.html)

Como o ASA não disponibiliza telnet, fica difícil realizar testes – a partir dele – que permitam identificar se uma determinada porta tcp está ou não aberta no destino, ou se o Firewall (ASA) está bloqueando a comunicação.

O “ping tcp” permite testes de disponibilidade e acesso a portas TCP em hosts de destino que têm seu caminho pelo firewall.

Para demonstrar este comando estou utilizando o GNS3 v0.8.6 integrado com minha estação física.  Abaixo, o diagrama da pequena estrutura montada.


- Como funciona?

# ping tcp <ip-address> <tcp-port>


Primeiro, vamos verificar quais portas TCP estão abertas em meu desktop. Com o netstat a gente consegue isso:


Vamos testar as portas TCP 135, 139 e 80

NOTA: Se você estiver usando algum antivírus integrado com o Personal Firewall, desative a função de firewall dele. Caso não esteja, lembre-se de desativar o Windows Firewall para realizar esse teste.



Na realidade o “ping tcp” é um comando que dispara uma sequência de SYN requests para o host/porta destino. Se esta porta está aberta, o host destino devolve o ACK (3-way handshake) para o ASA que incrementa o contador e mostra a resposta.  Se a porta não estiver aberta no host destino, o mesmo responde com um RESET packet que é interpretado pelo ASA como resposta negativa (“request time out” do ICMP).

Existem várias ferramentas no mercado que fazem a mesma coisa de modos muito semelhantes em Sistemas Operacionais Windows, Linux, Mac e outros, o NPing é um exemplo. Como o objetivo aqui é somente mostrar o comando no ASA, deixo o assunto para que outros interessados escrevam sobre J

Notem que, como a porta 80 (http), não está em LISTENING no desktop, o “ping” não teve sucesso.

O tempo de resposta é tão rápido como o ICMP ping.

Uma das vantagens sobre o telnet é que o “ping tcp” não tenta fechar nenhuma conexão, simplesmente recebe a resposta, interpreta e descarta o pacote.

A desvantagem? Só funciona em devices ASA.  A cisco bem que poderia implementar isso geral!

É isso aí

Gerson Conus


Nenhum comentário:

Postar um comentário