Эксперт школы SkillFactory, специалист в области информационной безопасности Сергей Кучеренко – о том, как использовать новую версию ПО Cisco ASA для решения актуальных задач и уверенно ориентироваться в функциях всей линейки Cisco ASA.
Новая Cisco ASA: тотальный контроль над пользователем
1. Новая Cisco ASA:
тотальный контроль
над пользователем
Сергей Кучеренко
15 июля 2013
serg.kucherenko@getccna.ru
ведущий:
2. О
чем
мы
поговорим:
§ Обзор
функционала
межсетевого
экрана
Cisco
ASA
§ Продуктовая
линейка
и
позиционирование
устройств
§ История
версий
программного
обеспечения
§ Варианты
управления
устройством
§ ASA-‐CX
–
новый
уровень
обеспечения
безопасности
§ Защищаем
виртуальные
среды
с
помощью
ASA
1000v
§ Подбор
ASA
и
лицензии
под
нужную
задачу
3. Функции
Firewall:
1.
Сегментация
сети
–
разделение
сети
на
зоны
доверия
и
контроль
прохождения
трафика
между
зонами.
Сегментация
происходит
за
счет
назначения
каждому
интерфейсу
уровня
безопасности
(Security
Level)
Security
Level
–
число
в
диапазоне
от
0
до
100
(100
–
самый
безопасный,
0
–
самый
опасный)
Правила
Security
Levels:
§ Traffic
from
higher
to
lower
Security
Level
–
permihed
by
default
§ Traffic
from
lower
to
higher
Security
Levels
–
denied
by
default
для
прохождения
трафика
нужно
явное
разрешение
в
ACL
§ Idenncal
Security
Levels
-‐
denied
by
default
Internet
WEB
Server
DMZ
Zone
Inside
Zone
Outside
Zone
permit
tcp
any
WEB_SRV
eq
80
100
50
0
Обзор
функционала
межсетевого
экрана
Cisco
ASA
4. 2.
Statefull
Firewall
(межсетевой
экран,
хранящий
информацию
о
сессиях)
–
если
трафик
разрешен
по
правилам
Security
Levels,
ASA
создает
запись
об
этой
сессии
в
таблице
сессий.
Получив
пакет,
ASA
проверяет,
является
ли
он
частью
ранее
созданной
сессии,
и
если
да,
то
такой
пакет
пропускается.
Protocol
Source
IP
Source
Port
Dest.
IP
Dest.
Port
Timeout
UDP
192.168.1.10
1024
1.1.1.10
53
20s
TCP
192.168.1.10
1025
1.1.1.1
80
3600s
Internet
WEB
Server
vk.com
1.1.1.1
DNS
Server
1.1.1.10
192.168.1.10
S_IP:192.168.1.10
D_IP:1.1.1.10
D_Por:53
S_Por:1024
Data:
DNS
Req
S_IP:1.1.10
D_IP:192.168.1.10
D_Por:1024
S_Por:53
Data:
DNS
Resp
S_IP:192.168.1.10
D_IP:1.1.1.1
D_Por:80
S_Por:1025
Data:
hhp
req
S_IP:1.1.1
D_Por:1025
S_Por:80
Data:
hhp
Resp
D_IP:192.168.1.10
5. 2.
Applicaon
Inspecon
–
инспекция
протоколов
на
7
уровне
модели
OSI
Контроль
большого
количества
приложений
на
соответствие
их
поведения
описанным
политикам
(есть
встроенные
политики,
также
есть
возможность
тонкой
настройки).
Кроме
того,
для
приложений,
использующих
динамические
подключения
(ex:
SIP),
ASA
использует
Applicanon
Inspecnon
для
создания
дополнительных
сессий.
Internet
SIP
Client
permit
tcp
any
PBX_SRV
eq
5060
To
TCP/5060
Хочу
позвонить
на
номер
111
мой
IP:5.1.1.1
и
номер
112
From
TCP/5060
Ок!
Connect
to
IP:10.1.1.10
port
UDP
16543
Voice
DATA
To
UDP/16543
Voice
DATA
From
UDP/16543
IP
PBX
ASA
Change
10.1.1.10
to
6.1.1.10
5.1.1.1
6.1.1.10
Dynamically
Open
port
UDP16543
6. 4.
NAT
–
трансляция
сетевых
адресов
в
пакетах
при
прохождении
межсетевого
экрана
Виды
NAT:
§ Object
NAT
–
простой
в
настройке
вид
NAT,
делаем
трансляцию
только
source
IP
Sta%c
NAT,
Dynamic
NAT,
Sta%c
PAT,
Dynamic
PAT
§ Twice
NAT
–
более
сложный,
но
более
гибкий
вид
NAT,
есть
возможность
транслировать
как
Source
(Sta%c
NAT/PAT,
Dynamic
NAT/PAT),
так
и
Desnnanon
(для
Des%na%on
только
Sta%c)
§ Identy
NAT
–
трансляция
адреса
в
себя
же
Sta%c
NAT,
используется
при
настройке
VPN
7. 5. Firewall
Modes
–
устройство
может
работать
в
двух
режимах:
Routed
mode
–
ASA
работает
как
L3-‐устройство,
выступая
шлюзом
по
умолчанию
для
ПК,
подключенных
в
сети
ее
интерфейсов,
и
может
обмениваться
маршрутной
информацией
с
другими
L3-‐устройствами
с
использованием
протоколов
динамической
маршрутизации.
Применение:
Периметр
сети/Сегментация
кампуса
Transparent
mode
–
ASA
работает
как
L2-‐устройство.
Устанавливается
в
разрыве
сети
на
пути
следования
трафика
–
такой
вариант
не
требует
редизайна
адресного
пространства.
Применение:
Сегментация
кампуса/ЦОД
8. 6.
Virtualizaon
–
в
рамках
одного
физического
устройства
есть
возможность
создать
несколько
виртуальных.
Эти
виртуальные
устройства
будут
независимые
(единственное,
в
чем
они
едины
–
это
количество
аппаратных
ресурсов
физического
устройства).
Виртуальная
ASA
=
Context
9. 7.
High
Availability
–
возможность
организовать
отказоустойчивую
группу
из
межсетевых
экранов,
когда
при
выходе
из
строя
одного
из
устройств
трафик
продолжает
идти
через
другое.
Методы
High
Availability:
§ Failover
A. Ac%ve/Standby
–
одно
устройство
обрабатывает
все
запросы
(Acnve),
второе
устройство
хранит
информацию
о
текущих
подключениях
и
ожидает
(Standby)
выхода
из
строя
первого.
B. Ac%ve/Ac%ve
–
используется
принцип
виртуализации.
Два
устройства
разделяются
на
контексты
(ex:
1,
2).
При
этом
первое
устройство
будет
Acnve
для
первого
контекста
(1-‐A),
а
второе
будет
активным
для
второго
контекста
(2-‐A),
в
случае
отказа
первого
устройства
весь
трафик
будет
обрабатываться
вторым.
.2
.2
.2
.1
.1
.1
10. § Clustering
–
реализация
High
Availability,
при
которой
все
устройства
занимаются
обработкой
пользовательского
трафика.
Устройства
делятся
на
следующие
роли:
ü Master
–
одно
устройство
на
кластер,
все
настройки
выполняются
через
него
ü Slave
–
все
остальные
устройства
в
кластере
С
точки
зрения
обработки
пакетов
ASA
в
кластере
делятся
на
следующие
роли:
SYN-‐ACK
2.
Запрос
владельца
3.
Информация
о
владельце
4.
SYN-‐ACK
ü Connec%on
Owner
(Владелец)
–
та
ASA,
через
которую
началась
установка
соединения
ü Director
(Директор)
–
ASA,
отвечающая
за
хранение
информации
о
сессии
на
случай
выходя
из
строя
владельца,
кроме
того
решает
проблемы,
связанные
с
асимметричным
трафиком
ü Forwarder
–
все
другие
ASA
в
кластере
Перенаправление
трафика:
ü Ether
Channel
load
balancing
ü Equal
Cost
Mulnpath
Rounng*
ü Route-‐Map*
*
–
Rounng
mode
only
11. 8.
Identy
Firewall
–
возможность
создавать
списки
контроля
доступа,
используя
вместо
source
ip
address
логин
пользователя
в
MS
AD
или
группу,
в
которой
находится
пользователь.
Кроме
того,
вместо
desnnanon
IP
можно
использовать
FQDN.
Немного
истории:
Первоначально
для
IP
to
User/Group
Mapping
использовался
Cisco
Acnve
Directory
Agent
–
ПО,
устанавливаемое
на
контроллер
домена
либо
на
любой
сервер,
входящий
в
домен.
На
смену
ему
пришел
Context
Directory
Agent
–
виртуальный
appliance
под
Linux.
1.
Запрос
списка
пользователей
и
групп
2.
Информация
о
User
Login
через
WMI
3.
Запрос
списка
User-‐to-‐IP
mapping
4.
Вход
John
в
систему
5.
John
вошел
с
адреса
10.1.200.3
6.
Проверка
ACL
12. VPN
Concentrator:
ASA
имеет
поддержку
различных
видов
VPN-‐технологий
1.
Site-‐to-‐Site
VPN
–
объединение
сетей
двух
разнесенных
офисов
через
Интернет.
Site-‐to-‐Site
VPN
на
ASA
основан
на
crypto-‐map
2.
Remote
Access
VPN
–
предоставление
доступа
к
корпоративным
ресурсам
удаленным
сотрудникам
и
мобильным
пользователям.
Разделяется
на
несколько
видов:
§ Client
VPN
–
требует
установку
на
устройство
пользователя
специализированного
ПО
(VPN
Client).
На
сегодняшний
день
есть
два
типа
клиентов,
отличные
по
функционалу.
13. ü Cisco
Easy
VPN
Client
–
использует
в
качестве
транспорта
набор
стандартов
IPsec,
для
согласования
параметров
ikev1.
При
установке
на
клиенте
создается
виртуальный
сетевой
адаптер,
на
который
после
успешной
аутентификации
и
получения
конфигурации
с
ASA
будет
назначен
IP-‐адрес
из
корпоративной
сети.
Использование
клиента
не
требует
лицензий.
Клиент
больше
не
поддерживается
и
не
обновляется.
Host
B
195.5.110.1/24
192.168.110.0/24
195.5.111.10/24
192.168.151.10/24
Route
to:
0.0.0.0/0
Username/Password/Cernficate
Configuranon
(IP/DNS/WINS)
SRC_IP:
192.168.151.10
DST_IP:
192.168.110.10
Original
IP
Packet
SRC_IP:
195.5.111.10
DST_IP:
195.5.110.1
IPsec
Header
Проверить
включен
ли
Firewall
Расширенная
конфигурация
(Proxy
Server
Auto
Update)
Internet
Proxy
Server
14. ü Сisco
AnyConnect
Secure
Mobility
Client
–
использует
в
качестве
транспорта
SSL
либо
IPsec
ikev2.
Клиент
существует
под
все
популярные
стационарные
(образ
клиента
должен
быть
загружен
в
Flash
ASA)
и
мобильные
(загрузка
из
соответствующего
market)
OS
В
сравнении
с
традиционным
Easy
VPN
Client
имеет
ряд
преимуществ:
§ Возможность
установки
клиента
на
мобильные
устройства
§ Оценка
состояния
рабочей
станции
(Host
Scan)
§ Start
Before
Login
–
запуск
VPN
требуется
для
входа
в
систему
§ Always
ON
VPN
–
автоматически
запускать
клиента
при
входе
в
систему
§ Перенаправление
hhp/hhps/šp
трафика
на
Cisco
Web
Security
Appliance
§ Сам
клиент
имеет
модульную
структуру,
которая
дает
целый
ряд
дополнительных
возможностей,
не
имеющих
прямого
отношения
к
VPN:
a) Менеджер
проводных
и
беспроводных
подключений
b) Клиент
Cisco
ScanSafe
15. Internet
195.5.110.1/24
192.168.110.0/24
195.5.111.10/24
192.168.151.10/24
Route
to:
0.0.0.0/0
Аутентификация
на
WEB-‐портале
Client
Download
SRC_IP:
192.168.151.10
DST_IP:
192.168.110.10
Original
IP
Packet
SRC_IP:
195.5.111.10
DST_IP:
195.5.110.1
SSL
Header
Сбор
информации
о
состоянии
системы
OS
Version/Annvirus
type/Firewall
type
...
Username/Password
Seœngs
SRC_IP:
192.168.151.10
DST_IP:
192.168.110.10
SRC_IP:
192.168.151.10
DST_IP:
Facebook
16. Client
less
VPN
–
никакого
специализированного
ПО
пользователю
не
требуется,
достаточно
наличия
браузера
с
поддержкой
SSL.
На
ASA
создается
SSL
VPN-‐портал,
на
котором
в
самом
простом
случае
может
осуществляется
публикация
hhp/hhps/cifs
ресурсов.
При
использовании
browser
plugin
(java
applet)
добавляются:
§ RDP
§ Telnet/SSH
§ VNC
Internet
195.5.110.1/24
Аутентификация
на
WEB-‐портале
Аутентификация
на
WEB-‐портале
IT
user
Finance
user
17. IPS:
В
основе
IPS
(Intrusion
Prevennon
System)
от
Cisco
лежат
три
основных
подхода:
1. Сканирование
трафика
на
соответствие
известным
сигнатурам
атак
2. Информирование
администратора
о
сетевых
аномалиях
3. Проверка
репутации
IP-‐адресов
сети
Интернет
на
их
возможную
зловредность
В
ASA
функции
IPS
реализуются
в
виде:
§ Специальных
аппаратных
модулей
(старая
линейка
ASA
55xx,
а
также
ASA5585-‐X)
§ Программных
модулей
(новая
линейка
ASA
55xx-‐X)
Функционал
открывается
лицензией.
Сканировать
можно
как
весь
проходящий
через
устройство
трафик,
так
и
трафик
с/для
определенных
IP-‐адресов.
Internet
WEB
Server
Client-‐
Server
traffic
Проверка
репутации
Проверка
сигнатурами
Проверка
на
аномалии
Cisco
Inelegance
Operanons
Signature
update
Reputanon
update
18. История
версий
программного
обеспечения
8.3
Историческая
эволюция
§ Изменен
принцип
работы
NAT/ACL
§ FQDN
support
in
ACL
§ Global
ACL
8.4,8.5
§ IKEv2
§ Etherchannel
§ Idennty
Firewall
8.6,8.7
§ New
family
5500-‐X
§ ASA
1000V
§ Sošware
IPS
9.0,9.1
§ Trust
Sec
Support
§ Sošware
ASA
CX
§ ScanSafe
Support
§ Mixed
Mode
Подробную
информацию
о
новых
функциях
можно
найти
по
ключевой
фразе
Cisco
ASA
New
Features
by
Release,
введенной
в
Google
WHY?!?!
19. Варианты
управления
устройством
CLI:
§ Классический
способ
управления
§ IOS
like
интерфейс
с
небольшими
отличиями
§ Не
все
функции
устройства
могут
быть
настроены
из
CLI
ASDM:
§ Графический
интерфейс
на
Java
§ В
ASDM
launcher
можно
добавить
несколько
устройств
и
быстро
переключаться
между
ними
§ Не
все
функции
устройства
могут
быть
настроены
из
ASDM
Cisco
Security
Manager:
§ Централизованное
управление
большим
количеством
устройств
§ Управление
на
основе
политик
§ Интегрированный
менеджер
событий
20. ASA-‐CX
–
новый
уровень
обеспечения
безопасности
ASA
CX
–
межсетевой
экран
нового
поколения,
задачей
которого
является
обеспечение
пользовательского
доступа
на
основе
КОНТЕКСТА
Контекст:
§ Кто
инициатор
соединения
(User
login/User
Group)
§ Чем
соединение
инициировано
(Device
type/User
Agent)
§ Откуда
инициировано
соединение
(Office/Out
of
office)
§ Какое
приложение
используется
(HTTP/Torrent/Skype)
§ Какое
микро-‐приложение
используется
(Facebook
Games/Photos
Upload)
21. ASA
CX
–
как
это
выглядит?
1.
Аппаратный
модуль
в
ASA5585X
(CX
SSP),
установка
только
в
slot
1.
На
текущий
момент
доступна
установка
в
SSP-‐10
и
SSP-‐20.
CX
для
SSP-‐40,
SSP-‐60
в
Roadmap
2.
Программный
модуль
в
ASA5500-‐X
(приобретается
в
составе
bundle
либо
как
дополнительная
лицензия).
Кроме
того,
для
ASA5500-‐X
требуется
установить
120GB
SSD
для
хранения
логов
3.
Лицензии:
§ AVC
(Applicanon
Visibility
and
Control)
–
распознавание
и
мониторинг
приложений
§ WSE
(Web
Security
Essennal)
–
URL-‐категории
и
WEB-‐репутация
Лицензии
продаются
в
виде:
AVC
only
or
WSE
only
or
AVC+WSE
Нет
ограничения
по
количеству
пользователей,
чем
производительней
устройство,
тем
дороже
лицензии.
Подписка
приобретается
на
1/3/5
лет.
23. ASA
CX
–
как
туда
попадает
трафик?
Перенаправления,
как
и
для
IPS-‐модуля,
происходит
с
помощью
Service
Policy.
Может
быть
перенаправлен
как
весь
трафик,
проходящий
через
устройство,
так
и
выбранный
администратором.
Ключевое
слово
auth-‐proxy
должно
быть
использовано
в
случае
Acnve
Authenncanon*
*
будет
рассмотрено
далее
24. ASA
CX
–
как
модуль
обрабатывает
трафик?
Есть
отличия
в
обработке
HTTP
и
не
HTTP
трафика:
§ Не
HTTP
трафик
–
§ HTTP-‐трафик
–
ASA
CX-‐Module
ASA
Фильтрация
по
L3/L4
header
Пассивная
аутентификация
Опознание
приложения
Политика
на
основе:
Source:
User/Group/Device/Address…
Service:
Applicanon/Service
group…
Desnaon:
Address/URL
Acon:
Deny/Permit
ASA
CX-‐Module
ASA
Фильтрация
по
L3/L4
header
Пассивная
аутентификация
Опознание
приложения
Трафик
классифицирован
как
HTTP
Проверка
URL-‐
категории
и
репутации
Активная
аутентификация,
кроме
того,
в
политиках
с
действием
Allow
есть
возможность
делать
фильтрацию
по
типам
файлов
и
микроприложениям
25. ASA
CX
–
как
проходит
аутентификация
пользователей?
ASA
CX
предлагает
два
способа
аутентификации
пользователей:
§ Acve
Authencaon
–
применяется
только
к
HTTP-‐трафику,
для
проведения
аутентификации
используется:
ü Kerberos/NTLM
–
в
случае,
если
пользователь
уже
вошел
в
систему,
для
него
прозрачна,
если
пользователь
не
вошел
в
систему
–
происходит
переключение
на
следующий
метод
ü Basic
–
применяется
для
LDAP-‐каталогов.
Пользователь
видит
в
браузере
приглашение
на
ввод
логина
и
пароля
§ Passive
Authencaon
–
применяется
для
любого
типа
трафика,
возможна
только
в
домене
MS
Acnve
Directory.
Для
получения
соответствия
Username-‐to-‐IP
используется
Cisco
Context
Directory
Agent.
Список
групп
и
пользователей
ASA,
как
и
в
случае
с
Idennty
Firewall,
получает
с
сервера
MS
AD.
При
настройке
политики
с
пассивной
аутентификацией
в
качестве
резерва
может
быть
указана
активная
аутентификация.
26. ASA
CX
–
как
управляется?
Управление
функционалом
CX
происходит
с
помощью
Prime
Security
Manager
(PRSM):
§ Графический
интерфейс
на
HTML-‐5
§ CLI
только
для
инициализации
и
восстановления
системы
Управление
ASA
CX
с
помощью
PRSM
может
осуществляться
двумя
способами:
§ Local
–
на
каждом
модуле
PRSM
доступен
локально
§ Centralized
–
PRSM
установлен
на
выделенном
физическом
или
виртуальном
сервере
и
выполняет
настройку
и
сбор
информации
с
нескольких
ASA-‐CX.
Кроме
того,
при
использовании
этой
модели
появляется
возможность
предоставлять
Role
Based
Access
Control
для
администраторов.
Варианты
Centralized
PRSM:
Cisco
UCS
Virtual
Machine
27. ASA
CX
–
как
настраивается?
ASA
CX
имеет
три
основных
типа
политик,
с
которыми
необходимо
работать
администратору
(последовательность
обработки
политик
различного
вида
проводится
устройством,
как
указано
ниже):
1.
Identy
Policy
–
описывают,
требуется
ли
аутентификация
для
приведенного
в
политике
сочетания
Source/Service/Desnnanon,
если
требуется,
то
указывается
тип
аутентификации
(Acnve/
Passive).
Проверка
Idennty-‐политик
происходит
сверху
вниз
Последнее
правило
в
списке
–
28. 2.
Decrypon
Policy
–
описывает,
требуется
ли
дешифрование
трафика
для
приведенного
в
политике
сочетания
Source/Service/Desnnanon.
В
случае
действия
Decrypt
CX
работает
по
принципу
Man-‐in-‐the-‐Middle.
Для
того,
чтобы
эта
схема
заработала,
сертификат
ASA
CX
должен
быть
помещен
в
Root
Trusted
на
стороне
клиента.
Политики
проверяются
сверху
вниз
Последнее
правило
в
списке
–
1.
Согласование
алгоритмов
1.а.
Согласование
алгоритмов
2.
Аутентификация
сертификата
сервера
3.
CX
генерирует
прокси
сертификат
сервера
для
клиента
4.
Клиент
аутентифицирует
сертификат
сервера
5.
Генерация
ключей
5.а.
Генерация
ключей
29. 3.
Access
Policy
–
задает
действие
Deny/Permit
для
приведенного
в
политике
сочетания
Source/
Service/Desnnanon.
Где:
Source
–
User/User
Group/Device/User
Agent/Network
Service
–
Applica%on/Port
Des%na%on
–
Network/URL/FQDN
Кроме
стандартных
действий
Permit/Deny
для
каждой
политики
доступно
включение
захвата
пакетов
и
лога
событий.
Для
HTTP-‐трафика
и
политик
с
действием
Allow
также
доступно:
§ File
filtering
–
типы
файлов,
которые
необходимо
блокировать
§ Web
reputa%on
–
проверка
сайтов
на
их
потенциальную
зловредность
с
помощью
WBRS
(Web
Based
Reputanon
Score)
30. Защищаем
виртуальные
среды
с
помощью
ASA
1000v
В
современном
ЦОД
безопасность
должна
быть
обеспечена
как
для
трафика,
входящего
и
покидающего
ЦОД,
так
и
для
трафика,
циркулирующего
между
виртуальными
машинами.
§ North-‐south
traffic
–
трафик,
входящий
в
ЦОД
и
покидающий
его.
Для
защиты
используются
аппаратные
решения
ASA/IPS
§ East-‐west
traffic
–
трафик,
циркулирующий
между
виртуальными
машинами
и
tenants
внутри
ЦОД.
Защита
обеспечивается
с
помощью:
ü Virtual
Security
Gateway
(VSG)
–
решение,
способное
обеспечить
контроль
трафика
в
рамках
одного
VLAN
ü ASA
1000v
–
виртуальная
ASA,
основной
задачей
которой
является
наложение
политик
доступа
на
трафик,
циркулирующий
между
сетевыми
сегментами
31. ASA
1000v
–
как
это
выглядит?
Поставляется
как
OVA
file,
в
процессе
его
развертывания
пользователю
нужно
пройти
несложный
wizard
Важная
информация:
§ Обязательно
наличие
Nexus
1000v
(только
в
его
port-‐group
могут
включаться
интерфейсы
ASA)
§ Режим
работ
только
Routed
§ Только
два
интерфейса
для
трафика
данных
(Inside/Outside)
§ Динамическая
маршрутизация
не
поддерживается
§ Remote
Access
VPN
не
поддерживается
В
остальном
устройство
работает
аналогично
обычной
ASA
Устройство
приобретается
в
виде
лицензии,
определяющим
моментом
является
количество
CPU
сервера,
на
котором
будет
происходить
deployment.
Количество
устройств,
которые
можно
развернуть,
при
этом
не
ограничено.
32. ASA
1000v
–
какая
производительность?
ASA
1000v
–
как
управляется?
Есть
два
варианта
управления
устройством,
вариант
управления
выбирается
в
процессе
deployment,
не
подлежит
изменению
после
развертывания
1.
ASDM/CLI
2.
VNMC
33. ASA
1000v
–
как
разворачивается?
1.
Создание
необходимых
VLAN
и
Port-‐Profile
на
Nexus
1000v
2.
Начало
Deployment
ASA,
добавление
интерфейсов
в
VLAN
3.
Выбор
варианта
работы
устройства
(Standalone/Primary/Secondary)
4.
Настройка
параметров
Management
Interface/Failover/Выбор
режима
работы
34. В
случае
выбора
варианта
VNMC
необходимо
по
окончании
процесса
Deployment
подключиться
к
консоли
устройства
и
добавить
pre-‐shared
key
для
связи
с
VNMC
После
этого
ASA
регистрируется
на
VNMC
и
все
дальнейшие
настройки
выполняются
через
интерфейс
VNMC
При
выборе
варианта
ASDM
–
ASA
настраивается
традиционным
способом,
через
ASDM
или
CLI
35. Подбор
ASA
и
лицензии
под
нужную
задачу
§ Размещение
устройства
в
сети
(Интернет/ЦОД/Кампус/Удаленный
офис)
§ Примерная
схема
внедрения
устройства
(Режим
работы/Метод
отказоустойчивости)
§ Определить,
какие
дополнительные
функции
необходимы
(Виртуализация/IPS/Content
Security)
§ Определение
количественных
показателей:
ü Сколько
физических
интерфейсов
необходимо
(кроме
того,
их
скорости
и
типы)
ü Какая
производительность
потребуется
(ширина
интернет-‐канала/стандартные
уровни
нагрузки
в
сети)
ü Примерное
количество
соединений
в
секунду,
которые
будут
устанавливаться
(не
всегда
необходимо)
ü Сколько
VPN-‐подключений
потребуется
и
какого
типа
ü и
т.
д.
36. Выбор
устройства:
ТТХ
младших
моделей
(5505/5510/5512-‐X)
–
hhp://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/data_sheet_c78-‐701253.html
ТТХ
средних
моделей
(5520/5525-‐X/5540/5545-‐X/5550/5555-‐X)
–
hhp://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/data_sheet_c78-‐701808.html
ТТХ
старших
моделей
(5585-‐Х)
hhp://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/product_data_sheet0900aecd802930c5.html
37. Выбор
лицензии:
На
младших
моделях
ASA
(5505/5510/5512-‐X)
присутствует
деление
на
лицензии
Base
и
Security
+,
и
уникальная
для
ASA5505
лицензия
на
количество
подключенных
ПК
Base:
§ Ограничение
по
количеству
VLAN
и
Trunks
(5505/5512-‐X)
§ Ограничение
по
количеству
VPN-‐подключений
(5505)
§ Ограничение
по
количеству
соединений
§ Ограничение
по
скорости
интерфейсов
(5510)
Security
+
§ Устройство
работает
в
полную
меру
своих
аппаратных
возможностей
Количество
ПК
(5505):
§ 10/50/Unlimited
Кроме
того,
для
всех
устройств
могут
приобретаться
лицензии
на
§ Контексты
(кроме
5505)
§ Количество
VPN-‐клиентов
§ Функционал
Unified
Communicanons
§ IPS/Content
Security
§ и
другие
функции
Подробнее:
hhp://www.cisco.com/en/US/docs/security/asa/asa91/license/license_management/license.html
38. License
Notes:
§ Подключение
клиентов
Easy
VPN
не
лицензируется
§ AnyConnect
VPN
подключения
бывают
двух
типов
§ Существуют
временные
лицензии
практически
на
все
функции
§ При
использовании
High
Availability
лицензии
приобретаются
только
на
Acnve-‐устройство
39. Полезные
ссылки:
BRKSEC-‐2699
–
Deploying
Next
Generanon
Firewalling
with
ASA-‐CX
(2013
London)
hhps://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=6050&backBtn=true
Cisco
PRSM
Configuranon
Guide
hhp://www.cisco.com/en/US/docs/security/asacx/9.0/user/guide/
b_User_Guide_for_ASA_CX_and_PRSM_9_0.html
ASA
1000v
lab
video
hhp://www.labminutes.com/video/sec/ASA%201000V
Nexus
1000v
lab
video
hhp://www.labminutes.com/video/rs/Nexus%201000V
40. И
напоследок
Не
пропустите
ни
одного
интересного
события!
hhp://skillfactory.nmepad.ru/subscribe
Подписывайтесь
на
наш
канал
YouTube
с
записями
вебинаров:
hhp://www.youtube.com/subscripnon_center?add_user=skillfactoryvideo
Презентации
c
вебинаров
SkillFactory
на
SlideShare:
hhp://www.slideshare.net/SkillFactory