Cisco ASA

Cisco ASA 5500 Adaptive Security Appliances (Прилади адаптивної безпеки), або просто Cisco ASA, пристрої компанії Cisco з лінійки мережевої безпеки, які були представлені в травні 2005 року[1], надалі успішно замінили собою три наявних лінійки популярних продуктів Cisco:

Так само як і PIX, ASA базуються на процесорах x86. Починаючи з версії 7.0 PIX і ASA використовують однакові образи операційної системи (але функціональність залежить від того, на якому пристрої вона запущена).

Управляти пристроєм можна через telnet, SSH, вебінтерфейс або за допомогою програми ASDM.

Функціональність залежить від типу ліцензії, яка визначається введеним серійним номером.

ASA — це уніфікований пристрій керування загрозами, який об'єднує декілька функцій безпеки мережі в одній коробці.[3]

Вихід на ринок і критика

Cisco ASA став одним з найбільш широко використовуваних брандмауерів/VPN-рішень для малого і середнього бізнесу.[4] Перші огляди показали, що інструментів Cisco GUI (Graphical user interface) для управління пристроєм не вистачало, але в цілому пристрій був винятковим.[5]

Дефект безпеки в мережі Clientless Secure Sockets Layer Virtual Private Networking був виправлений в 2015 році.[6] Діра в безпеці в WebVPN була усунута в 2018 році.[7]

У 2017 році The Shadow Brokers[en] виявили існування двох експлойтів з підсиленням привілеїв проти ASA під назвою EPICBANANA та EXTRABACON, а також імплантат із введенням коду під назвою BANANAGLEE, який стійкий до JETPLOW.[8]

Особливості

Пристрій серії 5506W-X має WiFi точку доступу.

Архітектура

Програмне забезпечення Cisco ASA базується на Linux. На ньому запускається одна виконувана програма під назвою lina. З початку запускається так званий ROMMON, який розпочинає завантаження ядра Linux, який в  свою чергу завантажує lina_monitor, який потім завантажує lina. ROMMON також має командний рядок, який може використовуватися для завантаження, або вибору іншого образу програмного забезпечення чи конфігурації. Імена файлів прошивки містить індикатор версії, -smp (англ. symmetrical multiprocessor), що означає — для симетричних багатопроцесорних (як і для 64-бітної архітектури), і інші частини, які вказують чи підтримуються алгоритми 3DES або AES.[9]

Програмне забезпечення ASA має аналогічний інтерфейс з програмним забезпеченням Cisco IOS на маршрутизаторах. Існує інтерфейс командного рядка (CLI), який може використовуватися для операції запиту або для налаштування пристрою. У режимі config виконуються налаштування. Конфігурація спочатку зберігається у пам'яті як бібліотечна конфігурація, але потім переноситься у флеш-пам'ять.[9]

Версії програмного забезпечення[9]
Основний реліз 7.0 7.1 7.2 8.0 8.1 8.2 8.3 8.4 8.5 8.6 8.7 9.0 9.1 9.2 9.3 9.4 9.5 9.6 9.7 9.8 9.9
Дата виходу[10] 31

Травня 2005

6

Лютого 2006

31

Травня 2006

18

Червня 2007

1

Березня 2008

6

Травня 2009

8

Березня 2010

31

Січня 2011

8

Липня 2011

28

Лютого 2012

16

Жовтня 2012

29

Жовтня 2012

3

Грудня 2012

24

Квітня 2014

24

Липня 2014

30

Березня 2015

12

Серпня 2015

21

Березня 2016

4

Квітня 2017

15

Травня 2017

4

Грудня 2017

Кінець підтримки × × × × × × × × × × × × × ×
Для 5505-5550 Y Y Y Y Y Y Y Y Y
Для 5512-5585-X Y Y Y Y Y Y Y Y Y Y Y Y

Варіанти

У 5512-х, 5515-х, 5525-х, 5545-X і 5555-x може мати додаткову карту інтерфейсу.[11]

На 5585-x має варіанти для SSP. SSP виступає за безпеку служби процесора.[12] Вони розрізняються по обчислювальній потужності в 10 разів, від SSP-10 SSP-20, SSP-40 та SSP-60. В ASA 5585-x має слот для модуля вводу-виводу. Цей слот можна розділити на дві половини ширини модулів.[13]

На нижній межі моделі, деякі функції будуть обмежені, обмеження можна зняти за допомогою установки ліцензії Security Plus. Це дозволяє використовувати більше віртуальних локальних мереж, або VPN-пірів, з більш високою доступністю.[11] Cisco AnyConnect — це додаткові ліцензовані функції, які оперують протоколами IPSec або SSL тунелями для клієнтів на ПК, iPhone або iPad.[14]

Моделі

5505, представлений в 2010 році, був настільним пристроєм, призначеним для малих підприємств або філій. Він включав функції, що дозволяють зменшити потребу в іншому обладнанні, таких як вбудований комутатор та порти живлення через Ethernet.[15] 5585-x-це більш потужний агрегат для обробки даних, випущений в 2010 році.[16] Він працює в 32-бітному режимі на базі архітектури Intel Atom.[9]

Модель 5505[17] 5510 5520[17] 5540[17] 5550[17] 5580-20[17] 5580-40[17] 5585-X SSP10[17] 5585-X SSP20[17] 5585-X SSP40[17] 5585-X SSP60[17]
Чиста Пропускна спроможність, Mbit/s 150 300 450 650 1,200 5,000 10,000 3,000 7,000 12,000 20,000
AES/Triple DES пропускна спроможність, Mbit/s 100 170 225 325 425 1,000 1,000 1,000 2,000 3,000 5,000
Максимальна кількість одночасних з'єднань 10,000 (25,000 з ліцензією Sec Plus) 50,000 (130,000 з ліцензією Sec Plus) 280,000 400,000 650,000 1,000,000 2,000,000 1,000,000 2,000,000 4,000,000 10,000,000
Максимальна кількість сеансів VPN для сайту та віддаленого доступу 10 (25 з ліцензією Sec Plus) 250 750 5,000 5,000 10,000 10,000 5,000 10,000 10,000 10,000
Максимальна кількість SSL VPN сесій 25 250 750 2,500 5,000 10,000 10,000 5,000 10,000 10,000 10,000
Модель 5505 5510 5520 5540 5550 5580-20 5580-40 5585-X SSP10 5585-X SSP20 5585-X SSP40 5585-X SSP60

Компанія Cisco визначила, що більшість низькотехнологічних пристроїв мають занадто мало можливостей для включення необхідних функцій, таких як антивірус або пісочниця, і таким чином представила нову лінію, що називається брандмауером нового покоління. Вони працюють у 64-бітовому режимі.[9]

Моделі 2018 року.[11]

Модель 5506-х 5506W-Х 5506H-Х 5508 5512-х 5515-х 5516-х 5525-х 5545-х 5555-х 5585-х
Пропускна здатність 0.25 0.25 0.25 0.45 0.3 0.5 0.85 1.1 1.5 1.75 4-40
1ГБ порти 8 8 4 8 6 6 8 8 8 8 6-8
10ГБ порти (потребують окремої ліцензії) 0 0 0 0 0 0 0 0 0 0 2-4
Форм-фактор desktop desktop desktop desktop 1 RU[en] 1 RU 1 RU 1 RU 1 RU 1 RU 2 RU

Апаратне забезпечення

Модель 5505 5510 5520 5540 5550 5580-20 5580-40 5585-X-SSP20 5585-X-SSP60
Рік випуску 2006 2005 2005 2005 2006 2008 2008 2010 2010
Процесор AMD Geode LX Intel Celeron Intel
Pentium 4
Celeron 		Intel Pentium 4 Intel Pentium 4 AMD Opteron (2 процесора, 4 ядра) AMD Opteron (4 процесора, 8 ядер) Intel (16 cores) Intel (24 cores)
Тактова частота 500 MHz 1.6 GHz 2.0 GHz 2.0 GHz 3.0 GHz 2.6 GHz 2.6 GHz 2.4 GHz
Чипсет Geode CS5536 Intel 875P
Canterwood
Об'єм ОЗП по замовчуванню 256 MB 256 MB 512 MB 1 GB 4 GB 8 GB 12 GB 12GB 24GB
Пристрій зберігання ATA CompactFlash ATA CompactFlash ATA CompactFlash ATA CompactFlash ATA CompactFlash ATA CompactFlash ATA CompactFlash ATA CompactFlash ATA CompactFlash
Об'єм пристрою зберігання 64 MB 64 MB 64 MB 64 MB 64 MB 1 GB 1 GB 2GB 2GB
Мінімальна версія ОС, що підтримується 7.2.1 7.0.1 7.0.1 7.0.1 7.1.1 8.1.1 8.1.1
Максимальна кількість віртуальних інтерфейсів 3 або 20 з ліцензією Sec Plus 50 або 100 з ліцензією Sec Plus 150 200 250 250 250
Чипсет мережевих інтерфейсів Marvell 88E6095
Карти розширення AIP-SSC CSC-SSM, AIP-SSM, 4GE-SSM CSC-SSM, AIP-SSM, 4GE-SSM CSC-SSM, AIP-SSM, 4GE-SSM Не підтримує 6 інтерфейсних карт 6 інтерфейсних карт IPS-SSP SSP-20 IPS-SSP SSP-60
Кількість з'єднать SSL VPN 2 за замовчуванням, максимум 50 2 за замовчуванням, максимум 250 2 за замовчуванням, максимум 750 2 за замовчуванням, максимум 2500 2 за замовчуванням, максимум 5000 2 за замовчуванням, максимум 10000 2 за замовчуванням, максимум 10000 2 за замовчуванням, максимум 10000 2 за замовчуванням, максимум 10000
Підтримка резервування Stateless Active/Standby (з ліцензією Sec Plus) Active/Standby, Active/Active (з ліцензією Sec Plus) Active/Standby, Active/Active Active/Standby, Active/Active Active/Standby, Active/Active Active/Standby, Active/Active Active/Standby, Active/Active Active/Standby, Active/Active Active/Standby, Active/Active
Модель 5505 5510 5520 5540 5550 5580-20 5580-40 5585-X-SSP20 5585-X-SSP60

Примітки

  1. Cisco press release [Архівовано 4 грудня 2012 у Wayback Machine.] quote: «Las Vegas (Interop) May 3, 2005 – Cisco Systems, Inc., today announced the availability of the Cisco ASA 5500 Series Adaptive Security Appliance s»
  2. Davis, David (19 лютого 2008). Converting from old to new with the PIX to ASA Migration Tool. TechRepublic (англ.). Архів оригіналу за 3 квітня 2018. Процитовано 3 квітня 2018.
  3. Davis, David (30 червня 2005). Get to know Cisco's new security appliance: ASA 5500. TechRepublic (англ.). Архів оригіналу за 22 березня 2018. Процитовано 21 березня 2018.
  4. What is Cisco ASA? Cisco ASA Overview. Архів оригіналу за 19 січня 2013. Процитовано 28 грудня 2012.
  5. Cisco hits on firewall/VPN, misses on ease of use. Архів оригіналу за 30 квітня 2013. Процитовано 28 грудня 2012.
  6. Saarinen, Juha (20 лютого 2015). Unpatched Cisco ASA firewalls targeted by hackers. iTnews. Архів оригіналу за 22 березня 2018. Процитовано 20 березня 2018.
  7. Saarinen, Juha (30 січня 2018). Cisco ASA VPN feature allows remote code execution. iTnews. Архів оригіналу за 3 квітня 2018. Процитовано 3 квітня 2018.
  8. Equation Group Firewall Operations Catalogue. musalbas.com. Архів оригіналу за 15 травня 2017. Процитовано 3 квітня 2018.
  9. а б в г д Intro to the Cisco ASA. www.nccgroup.trust. Архів оригіналу за 21 березня 2018. Процитовано 3 квітня 2018. [Архівовано 2018-03-21 у Wayback Machine.]
  10. Cisco ASA New Features by Release. Cisco. Архів оригіналу за 22 березня 2018. Процитовано 3 квітня 2018.
  11. а б в Cisco ASA with FirePOWER Services Data Sheet. Cisco (англ.). 9 лютого 2018. Архів оригіналу за 3 квітня 2018. Процитовано 20 березня 2018. [Архівовано 2018-04-03 у Wayback Machine.]
  12. Moraes, Alexandre M. S. P. (2011). Cisco Firewalls (англ.). Cisco Press. ISBN 9781587141119. Архів оригіналу за 3 квітня 2018. Процитовано 3 квітня 2018.
  13. Cisco ASA 5585-X Stateful Firewall Data Sheet. Cisco (англ.). 7 червня 2017. Архів оригіналу за 3 квітня 2018. Процитовано 3 квітня 2018. [Архівовано 2018-04-03 у Wayback Machine.]
  14. Carroll, Brandon (5 січня 2011). Cisco AnyConnect vs. IPsec VPN: Licensing considerations. TechRepublic (англ.). Архів оригіналу за 22 березня 2018. Процитовано 3 квітня 2018. [Архівовано 2018-03-22 у Wayback Machine.]
  15. Cisco Expands Security. Network Computing (англ.). 9 липня 2006. Архів оригіналу за 3 квітня 2018. Процитовано 3 квітня 2018.
  16. Cisco's High-Performance ASA Appliance, New Version Of Anyconnect. Network Computing (англ.). 5 жовтня 2010. Архів оригіналу за 21 березня 2018. Процитовано 3 квітня 2018.
  17. а б в г д е ж и к л Cisco ASA Model Comparison page. Архів оригіналу за 23 липня 2012. Процитовано 15 травня 2008.

Посилання