Presentation_ID 1© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

Как получить максимум от сетевого экрана Cisco

ASA?

Сергей Кучеренко

serg.kucherenko@getccna.ru

Presentation_ID 2© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

О чем Мы поговорим:

Функционал межсетевого экрана Cisco ASA

Новые версии Cisco ASA

Новое ПО Cisco ASA 9.1

Подбор ASA и лицензии под нужную задачу

Начальная настройка устройства с использованием Startup-Wizard

Presentation_ID 3© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

ASA – Adaptive Security Appliance, многофункциональное устройство

безопасности способное реализовать ряд функций

Firewall

VPN Concentrator

Intrusion Prevention

Content Security

Функционал Cisco ASA:

Presentation_ID 4© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

Функции Firewall:1. Сегментация сети разделение сети на зоны доверия и контроль

прохождения трафика между зонами.Сегментация происходит за счет назначения каждому интерфейсу уровня безопасности (Security-Level)Security-Level – число в диапазоне от 0 до 100 (100 – самый безопасный, 0 – самый опасный)

Правила Security Levels: Traffic from higher to lower Security Level – permitted by default Traffic from lower to higher Security Levels– denied by default для

прохождения трафика нужно явное разрешение в ACL Identical Security Levels - denied by default

Internet

WEB Server

DMZ Zone

Inside Zone

Outside Zone

permit tcp any WEB_SRV eq 80

100

50

0

Presentation_ID 5© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

2. Statefull Firewall (Межсетевой экран хранящий информацию о сессиях) – Если трафик разрешен по правилам Security Levels ASA создает запись об этой сессии в таблице сессий

Получив пакет ASA проверяет является ли он частью ранее созданной сессии если да то такой пакет пропускается

Protocol Source IP Source Port Dest. IP Dest. Port Timeout

UDP 192.168.1.10 1024 1.1.1.10 53 20s

TCP 192.168.1.10 1025 1.1.1.1 80 3600s

Internet

WEB Servervk.com1.1.1.1

DNS Server1.1.1.10

192.168.1.10

S_IP:192.168.1.10

D_IP:1.1.1.10

D_Por:53

S_Por:1024

Data: DNS Req

S_IP:1.1.10

D_IP:192.168.1.10

D_Por:1024

S_Por:53

Data: DNS Resp

S_IP:192.168.1.10

D_IP:1.1.1.1

D_Por:80

S_Por:1025

Data: http req

S_IP:1.1.1

D_Por:1025

S_Por:80

Data: http Resp

D_IP:192.168.1.10

Presentation_ID 6© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

2. Application Inspection – инспекция протоколов на 7 уровне модели OSI

Контроль большого количества приложений на соответствие их поведения описанным политикам (есть встроенные политики, так же есть возможность тонкой настройки). Кроме того для приложений использующих динамические подключения (ex: FTP) ASA использует Application Inspection для создания дополнительных сессий

Internet

FTP Client

permit tcp any FTP_SRV eq 21

FTP использует два порта TCP 21 (Control) TCP 20 (DAT), благодаря Application Inspection мы можем открывать на ASA только порт 21 для входящих подключений. Доступ на порт TCP 20 будет открыт динамически

To TCP/21 Хочу скачать файл winamp.exe

From TCP/21 Ок! Подключись ко мне на TCP/20

Data block requestTo TCP/20

Data block responseFrom TCP/20

FTP Server

Presentation_ID 7© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

4. NAT – трансляция сетевых адресов в пакетах при прохождении межсетевого экрана Виды NAT:

Object NAT – простой в настройке вид NAT, делаем трансляцию только source IP, или Destination IP

Static NAT, Dynamic NAT, Static PAT, Dynamic PAT Twice NAT – более сложный но более гибкий вид NAT, есть

возможность транслировать как Source так и Destination Identity NAT – трансляция адреса в себя же Static NAT, используется при настройке VPN

Presentation_ID 8© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

5. Firewall Modes – устройство может работать в двух режимах:

Routed mode - ASA работает как L3 устройство, выступая шлюзом по умолчанию для ПК подключенных в сети ее интерфейсов, и может обмениваться маршрутной информацией с другими L3 устройствами при использовании протоколов динамической маршрутизации

Transparent mode - ASA работает как L2 устройство. Устанавливается в разрыве сети на пути следования трафика такой вариант не требует редизайна адресного пространства

Presentation_ID 9© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

6. Virtualization – в рамках одного физического устройства есть возможность создать несколько виртуальных.Эти виртуальные устройства будут не зависимые (Единственно в чем они едины это количество аппаратных ресурсов физического устройства)

Виртуальная ASA = Context

Presentation_ID 10© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

7. High Availability – возможность организовать отказоустойчивую группу из межсетевых экранов, когда при выходи из строя одного из устройств трафк продолжает идти через другое.Методы High Availability:

FailoverA. Active/Standby – одно устройство обрабатывает все запросы (Active),

второе устройство хранит информацию о текущих подключениях и ожидает(Standby) выхода из-строя первого

B. Active/Active – используется принцип виртуализации. Два устройства разделяются на контексты (ex: CTX1, CTX2). При этом первое устройство будет Active для первого контекста (CTX1) а второе будет активным для второго контекста (CTX2), в случаи отказа первого устройства весь трафик будет обрабатываться вторым.

Presentation_ID 11© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

Clustering – реализация High-Availability при которой все устройства занимаются обработкой пользовательского трафика. При этом устройство Master в кластере выбирает кем из участников кластера должна быть обработана каждая конкретная сессия

Presentation_ID 12© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

8. Identity Firewall – возможность создавать списки контроля доступа использую вместо source ip address логин пользователя в MS AD или группу в которой находиться пользователь Кроме того вместо destination IP можно использовать FQDN

Internet

WEB Servervk.com1.1.1.1

WEB Serverfacebook.com

1.1.1.10

Ivan/IT192.168.1.10

Oleg/Finance192.168.1.11

permit tcp Ivan vk.com eq 80deny tcp Ivan facebook.com eq 80deny tcp Oleg vk.com eq 80permit tcp Oleg facebook.com eq 80

vk.com

facebook.com

vk.com

facebook.com

What Login have:192.168.1.10And192.168.1.11?

Presentation_ID 13© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

VPN Concentrator:

ASA имеет поддержку различных видов VPN технологий1. Site-to-Site VPN – объединение сетей двух разнесенных офисов через Интернет

2. Remote Access VPN – возможность для пользователя с помощью специального ПО (VPN client) защищенно подключиться к ASA и получить доступ к ресурсам организации так как будто пользователь находиться в локальной сети.

Presentation_ID 14© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

3. Clientless ssl VPN – пользователю достаточно WEB браузера, в нем по https он подключается на внешний интерфейс ASA, проходит аутентификацию и попадает портала. С портала используя http/https RDP Telnet/SSHПользователь может получить доступ к ресурсам предприятия

Presentation_ID 15© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

IPS:В основе IPS (Intrusion Prevention System) от Cisco лежат три основных подхода1. Сканирование трафика на соответствие известным сигнатурам атак2. Информирование администратора о сетевых аномалиях3. Проверка репутации IP адресов сети Интернет на их возможную

зловредность В ASA функции IPS реализуются в виде: Специальных аппаратных модулей (старая линейка ASA 55xx) Не посредственно операционной системой ASA (новая линейка ASA 55xx-X)Функционал открывается лицензиейСканировать можно как весь проходящий через устройство трафик так и трафик с/для определенных IP адресов

Internet

WEB Server

Client-Server traffic

Проверка репутации

Проверка сигнатурами

Проверка на аномалии

Cisco Inelegance Operations

Signature update

Reputationupdate

Presentation_ID 16© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

Content Security:

Новый функционал для ASA выполняющий: Управление доступом к WEB ресурсам по URL категориям (social networking,

gaming, adult…) Управления доступом к приложениям использующим WEB (Facebook games,

Skype…) Аутентификацию пользователей (LDAP или MS AD) Проверка сайта на потенциальную зловредность по его репутации

Доступен в виде:Аппаратного модуля в ASA5585-XПрограммного модуля в ASA5500-X

Presentation_ID 17© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

Новые версии Cisco ASA

Новое семейство устройств ASA 5500-Х: 5512-X replace 5510 5525-X replace 5520 5545-X replace 5540 5555-X replace 5550На сегодняшний день нет замены для ASA5505 самого младшего устройства

Новое серия характеризуется: Использование многоядерных процессоров 4-х кратное увеличение объема памяти Специализированные аппаратные ускорители IPS/VPN Реализация дополнительных сервисов программными

модулями

Presentation_ID 18© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

Новое ПО Cisco ASA 9.1

8.3

Историческая эволюция

Изменен принцип работы NAT FQDN support in ACL Global ACL

8.4,8.5

IKEv2 Etherchannel Identity Firewall

8.6,8.7

New family 5500-X ASA 1000V Software IPS

9.0,9.1

Trust Sec support Software ASA CX ScanSafe Support

Подробную информацию о новых функциях можно найти по ключевой фразе Cisco ASA New Features by Release введенной в Google

Presentation_ID 19© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

Подбор ASA и лицензии под нужную задачу

Размещение устройства в сети (Интернет/ЦОД/Кампус/Удаленный офис)

Примерная схема внедрения устройства

Определить какие функции устройства необходимы

Определение количественных показателей

Сколько физических интерфейсов необходимо

Какая производительности потребуется (ширина интернет

канала/стандартные уровни нагрузки в сети)

Примерное количество соединений в секунду которые будут

устанавливаться (не всегда необходимо)

Сколько VPN подключений и какого типа

потребуется

и т.д.

Presentation_ID 20© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

Подробную информацию характеристиках моделей можно найти по ссылке http://www.cisco.com/en/US/products/ps6120/products_data_sheets_list.html#anchor1

http://www.slideshare.net/fullscreen/CiscoRu/asa-5500x/1Выбор устройства

Presentation_ID 21© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

Выбор лицензииНа младших моделях ASA (5505/5510/5512-X) присутствует деление на лицензии Base и Security +, и уникальная для ASA5505 лицензия на количество подключенных ПКBase:

Ограничение по количеству VLAN и Trunks (5505) Ограничение по количеству VPN подключений (5505) Ограничение по количеству соединений Ограничение по скорости интерфейсов (5510)

Security + Устройство работает в полную меру своих аппаратных возможностей

Количество ПК (5505): 10/50/Unlimited

Кроме того для всех устройств могут приобретаться лицензии на Контексты (кроме 5505) Количество VPN клиентов Функционал Unified Communications IPS/Content Security И другие функции

Подробней: http://www.cisco.com/en/US/docs/security/asa/asa91/license/license_management/license.html

Presentation_ID 22© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

License Notes: Подключение Easy VPN клиентов не лицензируется AnyСonnect VPN подключения бывают двух типов

Существуют временные лицензии практически на все функции При использовании High-Availability лицензии приобретаются только на Active

устройство

Presentation_ID 23© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

Начальная настройка устройства:ASA5505 внешний вид ASA5505 настройки по умолчанию

Имя устройства ciscoasa

Enable password/ASDM login&password blank (при

запросе пароля жмем Enter)

Inside interface - Vlan 1 в нем находиться порты 0/1-0/7

Ip address: 192.168.1.1 255.255.255.0

Outside interface – Vlan 2 в нем находиться порт 0/0,

получения ip адреса через DHCP

Маршрутом по умолчанию устанавливается gateway

полученный по DHCP

Запущен http server для доступа к устройства по ASDM

Административный доступ возможен через ASDM (для

сети 192.168.1.0/24) и консоль

Сеть Inside интерфейса транслируется в адрес Outside

интерфейса

На Inside interface запущен dhcp server диапазон

192.168.1.5 - 192.168.1.36

Presentation_ID 24© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

Приступаем к работе: Рисуем топологию

Описываем свои задачи:Динамический NAT для inside пользователей, статический NAT для DMZ_Server, ACL для DMZ сервисов, …

Presentation_ID 25© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

Cisco ASA: практический курсКороткий тренинг-курс по устройствам Cisco ASA, ориентированный на предоставление слушателям основных практических знаний по работе с устройством

Программа курса включает в себя рассмотрение теоретических вопросов и практику по следующим темам:

1. Обзор технологий, применяющихся в специализированных устройствах безопасности Cisco ASA.

2. Введение в линейку продуктов Cisco ASA.3. Базовые сетевые настройки Cisco ASA.4. Настройка базовых функций по управлению устройством.5. Настройка трансляции сетевых адресов (NAT – Network Address Translation) на Cisco

ASA.6. Настройка ACL.7. Настройка функций маршрутизации на Cisco ASA.8. Настройка VPN на Cisco ASA.9. Настройка межсетевого экрана на Cisco ASA в режиме “Transparent”

Подробнее http://www.skillfactory.ru/courses/cisco_asa

А какие еще курсы по решениям Cisco в области безопасностиВам интересны? http://bit.ly/12kkoi5

Presentation_ID 26© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public

Presentation_ID 27© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public