Cisco ASA
Cisco ASA 5500 Adaptive Security Appliances (Прилади адаптивної безпеки), або просто Cisco ASA, пристрої компанії Cisco з лінійки мережевої безпеки, які були представлені в травні 2005 року[1], надалі успішно замінили собою три наявних лінійки популярних продуктів Cisco:
- Cisco PIX[en], брандмауер і трансляція мережевих адрес (NAT), продажі завершились 28 липня 2008 року.[2]
- Cisco IPS 4200 Series, який працював як система для запобігання вторгнень у системи (IPS).
- Концентратори Cisco VPN 3000 серії, які забезпечували роботу віртуальної приватної мережі (VPN).
Так само як і PIX, ASA базуються на процесорах x86. Починаючи з версії 7.0 PIX і ASA використовують однакові образи операційної системи (але функціональність залежить від того, на якому пристрої вона запущена).
Управляти пристроєм можна через telnet, SSH, вебінтерфейс або за допомогою програми ASDM.
Функціональність залежить від типу ліцензії, яка визначається введеним серійним номером.
ASA — це уніфікований пристрій керування загрозами, який об'єднує декілька функцій безпеки мережі в одній коробці.[3]
Вихід на ринок і критика
ред.Cisco ASA став одним з найбільш широко використовуваних брандмауерів/VPN-рішень для малого і середнього бізнесу.[4] Перші огляди показали, що інструментів Cisco GUI (Graphical user interface) для управління пристроєм не вистачало, але в цілому пристрій був винятковим.[5]
Дефект безпеки в мережі Clientless Secure Sockets Layer Virtual Private Networking був виправлений в 2015 році.[6] Діра в безпеці в WebVPN була усунута в 2018 році.[7]
У 2017 році The Shadow Brokers[en] виявили існування двох експлойтів з підсиленням привілеїв проти ASA під назвою EPICBANANA та EXTRABACON, а також імплантат із введенням коду під назвою BANANAGLEE, який стійкий до JETPLOW.[8]
Особливості
ред.Пристрій серії 5506W-X має WiFi точку доступу.
Архітектура
ред.Програмне забезпечення Cisco ASA базується на Linux. На ньому запускається одна виконувана програма під назвою lina. З початку запускається так званий ROMMON, який розпочинає завантаження ядра Linux, який в свою чергу завантажує lina_monitor, який потім завантажує lina. ROMMON також має командний рядок, який може використовуватися для завантаження, або вибору ��ншого образу програмного забезпечення чи конфігурації. Імена файлів прошивки містить індикатор версії, -smp (англ. symmetrical multiprocessor), що означає — для симетричних багатопроцесорних (як і для 64-бітної архітектури), і інші частини, які вказують чи підтримуються алгоритми 3DES або AES.[9]
Програмне забезпечення ASA має аналогічний інтерфейс з програмним забезпеченням Cisco IOS на маршрутизаторах. Існує інтерфейс командного рядка (CLI), який може використовуватися для операції запиту або для налаштування пристрою. У режимі config виконуються налаштування. Конфігурація спочатку зберігається у пам'яті як бібліотечна конфігурація, але потім переноситься у флеш-пам'ять.[9]
Версії програмного забезпечення[9] | |||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Основний реліз | 7.0 | 7.1 | 7.2 | 8.0 | 8.1 | 8.2 | 8.3 | 8.4 | 8.5 | 8.6 | 8.7 | 9.0 | 9.1 | 9.2 | 9.3 | 9.4 | 9.5 | 9.6 | 9.7 | 9.8 | 9.9 |
Дата виходу[10] | 31
Травня 2005 |
6
Лютого 2006 |
31
Травня 2006 |
18
Червня 2007 |
1
Березня 2008 |
6
Травня 2009 |
8
Березня 2010 |
31
Січня 2011 |
8
Липня 2011 |
28
Лютого 2012 |
16
Жовтня 2012 |
29
Жовтня 2012 |
3
Грудня 2012 |
24
Квітня 2014 |
24
Липня 2014 |
30
Березня 2015 |
12
Серпня 2015 |
21
Березня 2016 |
4
Квітня 2017 |
15
Травня 2017 |
4
Грудня 2017 |
Кінець підтримки | × | × | × | × | × | × | × | × | × | × | × | × | × | × | |||||||
Для 5505-5550 | Y | Y | Y | Y | Y | Y | Y | Y | Y | ||||||||||||
Для 5512-5585-X | Y | Y | Y | Y | Y | Y | Y | Y | Y | Y | Y | Y |
Варіанти
ред.У 5512-х, 5515-х, 5525-х, 5545-X і 5555-x може мати додаткову карту інтерфейсу.[11]
На 5585-x має варіанти для SSP. SSP виступає за безпеку служби процесора.[12] Вони розрізняються по обчислювальній потужності в 10 разів, від SSP-10 SSP-20, SSP-40 та SSP-60. В ASA 5585-x має слот для модуля вводу-виводу. Цей слот можна розділити на дві половини ширини модулів.[13]
На нижній межі моделі, деякі функції будуть обмежені, обмеження можна зняти за допомогою установки ліцензії Security Plus. Це дозволяє використовувати більше віртуальних локальних мереж, або VPN-пірів, з більш високою доступністю.[11] Cisco AnyConnect — це додаткові ліцензовані функції, які оперують протоколами IPSec або SSL тунелями для клієнтів на ПК, iPhone або iPad.[14]
Моделі
ред.5505, представлений в 2010 році, був настільним пристроєм, призначеним для малих підприємств або філій. Він включав функції, що дозволяють зменшити потребу в іншому обладнанні, таких як вбудований комутатор та порти живлення через Ethernet.[15] 5585-x-це більш потужний агрегат для обробки даних, випущений в 2010 році.[16] Він працює в 32-бітному режимі на базі архітектури Intel Atom.[9]
Модель | 5505[17] | 5510 | 5520[17] | 5540[17] | 5550[17] | 5580-20[17] | 5580-40[17] | 5585-X SSP10[17] | 5585-X SSP20[17] | 5585-X SSP40[17] | 5585-X SSP60[17] |
---|---|---|---|---|---|---|---|---|---|---|---|
Чиста Пропускна спроможність, Mbit/s | 150 | 300 | 450 | 650 | 1,200 | 5,000 | 10,000 | 3,000 | 7,000 | 12,000 | 20,000 |
AES/Triple DES пропускна спроможність, Mbit/s | 100 | 170 | 225 | 325 | 425 | 1,000 | 1,000 | 1,000 | 2,000 | 3,000 | 5,000 |
Максимальна кількість одночасних з'єднань | 10,000 (25,000 з ліцензією Sec Plus) | 50,000 (130,000 з ліцензією Sec Plus) | 280,000 | 400,000 | 650,000 | 1,000,000 | 2,000,000 | 1,000,000 | 2,000,000 | 4,000,000 | 10,000,000 |
Максимальна кількість сеансів VPN для сайту та віддаленого доступу | 10 (25 з ліцензією Sec Plus) | 250 | 750 | 5,000 | 5,000 | 10,000 | 10,000 | 5,000 | 10,000 | 10,000 | 10,000 |
Максимальна кількість SSL VPN сесій | 25 | 250 | 750 | 2,500 | 5,000 | 10,000 | 10,000 | 5,000 | 10,000 | 10,000 | 10,000 |
Модель | 5505 | 5510 | 5520 | 5540 | 5550 | 5580-20 | 5580-40 | 5585-X SSP10 | 5585-X SSP20 | 5585-X SSP40 | 5585-X SSP60 |
Компанія Cisco визначила, що більшість низькотехнологічних пристроїв мають занадто мало можливостей для включення необхідних функцій, таких як антивірус або пісочниця, і таким чином представила нову лінію, що називається брандмауером нового покоління. Вони працюють у 64-бітовому режимі.[9]
Моделі 2018 року.[11]
Модель | 5506-х | 5506W-Х | 5506H-Х | 5508 | 5512-х | 5515-х | 5516-х | 5525-х | 5545-х | 5555-х | 5585-х |
---|---|---|---|---|---|---|---|---|---|---|---|
Пропускна здатність | 0.25 | 0.25 | 0.25 | 0.45 | 0.3 | 0.5 | 0.85 | 1.1 | 1.5 | 1.75 | 4-40 |
1ГБ порти | 8 | 8 | 4 | 8 | 6 | 6 | 8 | 8 | 8 | 8 | 6-8 |
10ГБ порти (потребують окремої ліцензії) | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 2-4 |
Форм-фактор | desktop | desktop | desktop | desktop | 1 RU[en] | 1 RU | 1 RU | 1 RU | 1 RU | 1 RU | 2 RU |
Апаратне забезпечення
ред.Модель | 5505 | 5510 | 5520 | 5540 | 5550 | 5580-20 | 5580-40 | 5585-X-SSP20 | 5585-X-SSP60 |
---|---|---|---|---|---|---|---|---|---|
Рік випуску | 2006 | 2005 | 2005 | 2005 | 2006 | 2008 | 2008 | 2010 | 2010 |
Процесор | AMD Geode LX | Intel Celeron | Intel Pentium 4 Celeron |
Intel Pentium 4 | Intel Pentium 4 | AMD Opteron (2 процесора, 4 ядра) | AMD Opteron (4 процесора, 8 ядер) | Intel (16 cores) | Intel (24 cores) |
Тактова частота | 500 MHz | 1.6 GHz | 2.0 GHz | 2.0 GHz | 3.0 GHz | 2.6 GHz | 2.6 GHz | 2.4 GHz | |
Чипсет | Geode CS5536 | Intel 875P Canterwood |
|||||||
Об'єм ОЗП по замовчуванню | 256 MB | 256 MB | 512 MB | 1 GB | 4 GB | 8 GB | 12 GB | 12GB | 24GB |
Пристрій зберігання | ATA CompactFlash | ATA CompactFlash | ATA CompactFlash | ATA CompactFlash | ATA CompactFlash | ATA CompactFlash | ATA CompactFlash | ATA CompactFlash | ATA CompactFlash |
Об'єм пристрою зберігання | 64 MB | 64 MB | 64 MB | 64 MB | 64 MB | 1 GB | 1 GB | 2GB | 2GB |
Мінімальна версія ОС, що підтримується | 7.2.1 | 7.0.1 | 7.0.1 | 7.0.1 | 7.1.1 | 8.1.1 | 8.1.1 | ||
Максимальна кількість віртуальних інтерфейсів | 3 або 20 з ліцензією Sec Plus | 50 або 100 з ліцензією Sec Plus | 150 | 200 | 250 | 250 | 250 | ||
Чипсет мережевих інтерфейсів | Marvell 88E6095 | ||||||||
Карти розширення | AIP-SSC | CSC-SSM, AIP-SSM, 4GE-SSM | CSC-SSM, AIP-SSM, 4GE-SSM | CSC-SSM, AIP-SSM, 4GE-SSM | Не підтримує | 6 інтерфейсних карт | 6 інтерфейсних карт | IPS-SSP SSP-20 | IPS-SSP SSP-60 |
Кількість з'єднать SSL VPN | 2 за замовчуванням, максимум 50 | 2 за замовчуванням, максимум 250 | 2 за замовчуванням, максимум 750 | 2 за замовчуванням, максимум 2500 | 2 за замовчуванням, максимум 5000 | 2 за замовчуванням, максимум 10000 | 2 за замовчуванням, максимум 10000 | 2 за замовчуванням, максимум 10000 | 2 за замовчуванням, максимум 10000 |
Підтримка резервування | Stateless Active/Standby (з ліцензією Sec Plus) | Active/Standby, Active/Active (з ліцензією Sec Plus) | Active/Standby, Active/Active | Active/Standby, Active/Active | Active/Standby, Active/Active | Active/Standby, Active/Active | Active/Standby, Active/Active | Active/Standby, Active/Active | Active/Standby, Active/Active |
Модель | 5505 | 5510 | 5520 | 5540 | 5550 | 5580-20 | 5580-40 | 5585-X-SSP20 | 5585-X-SSP60 |
Примітки
ред.- ↑ Cisco press release [Архівовано 4 грудня 2012 у Wayback Machine.] quote: «Las Vegas (Interop) May 3, 2005 – Cisco Systems, Inc., today announced the availability of the Cisco ASA 5500 Series Adaptive Security Appliance s»
- ↑ Davis, David (19 лютого 2008). Converting from old to new with the PIX to ASA Migration Tool. TechRepublic (англ.). Архів оригіналу за 3 квітня 2018. Процитовано 3 квітня 2018.
- ↑ Davis, David (30 червня 2005). Get to know Cisco's new security appliance: ASA 5500. TechRepublic (англ.). Архів оригіналу за 22 березня 2018. Процитовано 21 березня 2018.
- ↑ What is Cisco ASA? Cisco ASA Overview. Архів оригіналу за 19 січня 2013. Процитовано 28 грудня 2012.
- ↑ Cisco hits on firewall/VPN, misses on ease of use. Архів оригіналу за 30 квітня 2013. Процитовано 28 грудня 2012.
- ↑ Saarinen, Juha (20 лютого 2015). Unpatched Cisco ASA firewalls targeted by hackers. iTnews. Архів оригіналу за 22 березня 2018. Процитовано 20 березня 2018.
- ↑ Saarinen, Juha (30 січня 2018). Cisco ASA VPN feature allows remote code execution. iTnews. Архів оригіналу за 3 квітня 2018. Процитовано 3 квітня 2018.
- ↑ Equation Group Firewall Operations Catalogue. musalbas.com. Архів оригіналу за 15 травня 2017. Процитовано 3 квітня 2018.
- ↑ а б в г д Intro to the Cisco ASA. www.nccgroup.trust. Архів оригіналу за 21 березня 2018. Процитовано 3 квітня 2018.
- ↑ Cisco ASA New Features by Release. Cisco. Архів оригіналу за 22 березня 2018. Процитовано 3 квітня 2018.
- ↑ а б в Cisco ASA with FirePOWER Services Data Sheet. Cisco (англ.). 9 лютого 2018. Архів оригіналу за 3 квітня 2018. Процитовано 20 березня 2018.
- ↑ Moraes, Alexandre M. S. P. (2011). Cisco Firewalls (англ.). Cisco Press. ISBN 9781587141119. Архів оригіналу за 3 квітня 2018. Процитовано 3 квітня 2018.
- ↑ Cisco ASA 5585-X Stateful Firewall Data Sheet. Cisco (англ.). 7 червня 2017. Архів оригіналу за 3 квітня 2018. Процитовано 3 квітня 2018.
- ↑ Carroll, Brandon (5 січня 2011). Cisco AnyConnect vs. IPsec VPN: Licensing considerations. TechRepublic (англ.). Архів оригіналу за 22 березня 2018. Процитовано 3 квітня 2018.
- ↑ Cisco Expands Security. Network Computing (англ.). 9 липня 2006. Архів оригіналу за 3 квітня 2018. Процитовано 3 квітня 2018.
- ↑ Cisco's High-Performance ASA Appliance, New Version Of Anyconnect. Network Computing (англ.). 5 жовтня 2010. Архів оригіналу за 21 березня 2018. Процитовано 3 квітня 2018.
- ↑ а б в г д е ж и к л Cisco ASA Model Comparison page. Архів оригіналу за 23 липня 2012. Процитовано 15 травня 2008.
Посилання
ред.- Cisco ASA 5500 Series Adaptive Security Appliances [Архівовано 7 вересня 2008 у Wayback Machine.]
- Cisco TAC Security Podcast — ASA troubleshooting information [Архівовано 2 серпня 2013 у Wayback Machine.]
- Cisco ASA 5500 Models Comparison [Архівовано 23 липня 2012 у WebCite]
- ASA Simulator [Архівовано 14 липня 2011 у Wayback Machine.]
- Cisco ASA 5505 Basic Configuration [Архівовано 5 липня 2015 у Wayback Machine.]
- Cisco ASA 5510 Basic Configuration [Архівовано 31 липня 2018 у Wayback Machine.]