Новая Cisco ASA: тотальный контроль над пользователем

Сергей Кучеренко 15 июля 2013

serg.kucherenko@getccna.ru

ведущий:

О  чем  мы  поговорим:  

§  Обзор  функционала  межсетевого  экрана  Cisco  ASA  

§  Продуктовая  линейка  и  позиционирование  устройств  

§  История  версий  программного  обеспечения  

§  Варианты  управления  устройством  

§  ASA-­‐CX  –  новый  уровень  обеспечения  безопасности  

§  Защищаем  виртуальные  среды  с  помощью  ASA  1000v  

§  Подбор  ASA  и  лицензии  под  нужную  задачу  

Функции  Firewall:  1.      Сегментация  сети  –  разделение  сети  на  зоны  доверия  и  контроль  прохождения  трафика  между  зонами.  Сегментация  происходит  за  счет  назначения  каждому  интерфейсу  уровня  безопасности  (Security  Level)  Security  Level  –  число  в  диапазоне  от  0  до  100  (100  –  самый  безопасный,  0  –  самый  опасный)    Правила  Security  Levels:  §  Traffic  from  higher  to  lower  Security  Level  –  permihed  by  default  §  Traffic  from  lower  to  higher  Security  Levels  –  denied  by  default  для  прохождения  трафика  

нужно  явное  разрешение  в  ACL  §  Idenncal  Security  Levels  -­‐  denied  by  default  

Internet  

WEB  Server  

DMZ  Zone  

Inside  Zone  

Outside  Zone  

permit  tcp  any  WEB_SRV  eq  80  

100  

50  

0  

Обзор  функционала  межсетевого  экрана  Cisco  ASA  

2.  Statefull  Firewall  (межсетевой  экран,  хранящий  информацию  о  сессиях)  –  если  трафик  разрешен  по  правилам  Security  Levels,  ASA  создает  запись  об  этой  сессии  в  таблице  сессий.    Получив  пакет,  ASA  проверяет,  является  ли  он  частью  ранее  созданной  сессии,  и  если  да,  то  такой  пакет  пропускается.  

Protocol   Source  IP   Source  Port   Dest.  IP   Dest.  Port   Timeout  

UDP   192.168.1.10   1024   1.1.1.10   53   20s  

TCP   192.168.1.10   1025   1.1.1.1   80   3600s  

Internet  

WEB  Server  vk.com  1.1.1.1  

DNS  Server  1.1.1.10  

192.168.1.10  

S_IP:192.168.1.10  

D_IP:1.1.1.10  

D_Por:53  

S_Por:1024  

Data:  DNS  Req  

S_IP:1.1.10  

D_IP:192.168.1.10  

D_Por:1024  

S_Por:53  

Data:  DNS  Resp  

S_IP:192.168.1.10  

D_IP:1.1.1.1  

D_Por:80  

S_Por:1025  

Data:  hhp  req  

S_IP:1.1.1  

D_Por:1025  

S_Por:80  

Data:  hhp  Resp  

D_IP:192.168.1.10  

2.  Applica\on  Inspec\on  –  инспекция  протоколов  на  7  уровне  модели  OSI    Контроль  большого  количества  приложений  на  соответствие  их  поведения  описанным  политикам  (есть  встроенные  политики,  также  есть  возможность  тонкой  настройки).  Кроме  того,  для  приложений,  использующих  динамические  подключения  (ex:  SIP),  ASA  использует  Applicanon  Inspecnon  для  создания  дополнительных  сессий.  

Internet  

SIP  Client  permit  tcp  any    PBX_SRV  eq  5060  

To  TCP/5060   Хочу  позвонить  на  номер  111  мой  IP:5.1.1.1  и  номер  112  

From  TCP/5060  Ок!  Connect  to  IP:10.1.1.10  port  UDP  16543  

Voice  DATA  To  UDP/16543  

Voice  DATA  From  UDP/16543  

IP  PBX  

ASA  Change  10.1.1.10  to  6.1.1.10  

5.1.1.1  6.1.1.10  

Dynamically  Open  port    UDP16543  

4.    NAT  –  трансляция  сетевых  адресов  в  пакетах  при  прохождении  межсетевого  экрана    Виды  NAT:  

§  Object  NAT  –  простой  в  настройке  вид  NAT,  делаем  трансляцию  только  source  IP              Sta%c  NAT,  Dynamic  NAT,  Sta%c  PAT,  Dynamic  PAT  §  Twice  NAT  –  более  сложный,  но  более  гибкий  вид  NAT,  есть  возможность  транслировать  

как  Source  (Sta%c  NAT/PAT,  Dynamic  NAT/PAT),  так  и  Desnnanon  (для  Des%na%on  только  Sta%c)  

§  Iden\ty  NAT  –  трансляция  адреса  в  себя  же              Sta%c  NAT,  используется  при  настройке  VPN  

5.   Firewall  Modes  –  устройство  может  работать  в  двух  режимах:  

Routed  mode  –  ASA  работает  как  L3-­‐устройство,  выступая  шлюзом  по      умолчанию  для  ПК,  подключенных  в  сети  ее  интерфейсов,  и  может  обмениваться  маршрутной  информацией  с  другими  L3-­‐устройствами  с  использованием  протоколов  динамической  маршрутизации.    Применение:  Периметр  сети/Сегментация  кампуса  

Transparent  mode  –  ASA  работает  как  L2-­‐устройство.  Устанавливается  в  разрыве  сети  на  пути  следования  трафика  –  такой  вариант  не  требует  редизайна  адресного  пространства.    Применение:  Сегментация  кампуса/ЦОД  

6.    Virtualiza\on  –  в  рамках  одного  физического  устройства  есть  возможность  создать  несколько  виртуальных.  Эти  виртуальные  устройства  будут  независимые  (единственное,  в  чем  они  едины  –  это  количество  аппаратных  ресурсов  физического  устройства).    Виртуальная  ASA  =  Context  

7.    High  Availability  –  возможность  организовать  отказоустойчивую  группу  из  межсетевых  экранов,  когда  при  выходе  из  строя  одного  из  устройств  трафик  продолжает  идти  через  другое.  Методы  High  Availability:  

§  Failover  A.  Ac%ve/Standby  –  одно  устройство  обрабатывает  все  запросы  (Acnve),  второе  устройство  

хранит  информацию  о  текущих  подключениях  и  ожидает  (Standby)  выхода  из  строя  первого.  

B.  Ac%ve/Ac%ve  –  используется  принцип  виртуализации.  Два  устройства  разделяются  на  контексты  (ex:  1,  2).  При  этом  первое  устройство  будет  Acnve  для  первого  контекста  (1-­‐A),  а  второе  будет  активным  для  второго  контекста  (2-­‐A),  в  случае  отказа  первого  устройства  весь  трафик  будет  обрабатываться  вторым.  

.2  .2  

.2  .1  

.1  .1  

§  Clustering  –  реализация  High  Availability,  при  которой  все  устройства  занимаются  обработкой  пользовательского  трафика.  Устройства  делятся  на  следующие  роли:  ü  Master  –  одно  устройство  на  кластер,  все  настройки  выполняются  через  него  ü  Slave  –  все  остальные  устройства  в  кластере  

С  точки  зрения  обработки  пакетов  ASA  в  кластере  делятся  на  следующие  роли:  

SYN-­‐ACK  

2.  Запрос  владельца    

3.  Инф

ормац

ия  о      

влад

ельц

е    

4.  SYN-­‐ACK      

ü  Connec%on  Owner  (Владелец)  –  та  ASA,  через  которую  началась  установка  соединения  ü  Director  (Директор)  –  ASA,  отвечающая  за  хранение  информации  о  сессии  на  случай  

выходя  из  строя  владельца,  кроме  того  решает  проблемы,  связанные  с  асимметричным  трафиком  

ü  Forwarder  –  все  другие  ASA  в  кластере  

Перенаправление  трафика:  ü  Ether  Channel  load  balancing  ü  Equal  Cost  Mulnpath  Rounng*  ü  Route-­‐Map*    *  –  Rounng  mode  only  

8.    Iden\ty  Firewall  –  возможность  создавать  списки  контроля  доступа,  используя  вместо  source  ip  address  логин  пользователя  в  MS  AD  или  группу,  в  которой  находится  пользователь.  Кроме  того,  вместо  desnnanon  IP  можно  использовать  FQDN.  Немного  истории:  Первоначально  для  IP  to  User/Group  Mapping  использовался  Cisco  Acnve  Directory  Agent  –  ПО,  устанавливаемое  на  контроллер  домена  либо  на  любой  сервер,  входящий  в  домен.  На  смену  ему  пришел  Context  Directory  Agent  –  виртуальный  appliance  под  Linux.  

1.  Запрос  списка  пользователей  и  групп    

2.  Информация  о  User    Login  через  WMI      

3.  Запрос  списка  User-­‐to-­‐IP  mapping    4.  Вход  John  в  

систему    

5.  John  вошел  с  адреса    10.1.200.3    

6.  Проверка  ACL    

VPN  Concentrator:  ASA  имеет  поддержку  различных  видов  VPN-­‐технологий  1.  Site-­‐to-­‐Site  VPN  –  объединение  сетей  двух  разнесенных  офисов  через  Интернет.  Site-­‐to-­‐Site  VPN  на  ASA  основан  на  crypto-­‐map  

           2.  Remote  Access  VPN  –  предоставление  доступа  к  корпоративным  ресурсам  удаленным  сотрудникам  и  мобильным  пользователям.    Разделяется  на  несколько  видов:  §  Client  VPN  –  требует  установку  на  устройство  пользователя  специализированного  ПО  (VPN  

Client).  На  сегодняшний  день  есть  два  типа  клиентов,  отличные  по  функционалу.  

ü  Cisco  Easy  VPN  Client  –  использует  в  качестве  транспорта  набор  стандартов  IPsec,  для  согласования  параметров  ikev1.  При  установке  на  клиенте  создается  виртуальный  сетевой  адаптер,  на  который  после  успешной  аутентификации  и  получения  конфигурации  с  ASA  будет  назначен  IP-­‐адрес  из  корпоративной  сети.  

       Использование  клиента  не  требует  лицензий.          Клиент  больше  не  поддерживается  и  не  обновляется.  

Host  B  

195.5.110.1/24  

192.168.110.0/24  

195.5.111.10/24  

192.168.151.10/24  Route  to:  0.0.0.0/0  

Username/Password/Cernficate  

Configuranon  (IP/DNS/WINS)  

SRC_IP:  192.168.151.10  

DST_IP:  192.168.110.10  

Original  IP  Packet  

SRC_IP:  195.5.111.10  

DST_IP:  195.5.110.1  

IPsec  Header  

Проверить  включен  ли  Firewall  

 Расширенная  конфигурация  (Proxy  Server  Auto  Update)    

Internet  

Proxy  Server  

ü  Сisco  AnyConnect  Secure  Mobility  Client  –  использует  в  качестве  транспорта  SSL  либо  IPsec  ikev2.  Клиент  существует  под  все  популярные  стационарные  (образ  клиента  должен  быть  загружен  в  Flash  ASA)  и  мобильные  (загрузка  из  соответствующего  market)  OS  

В  сравнении  с  традиционным  Easy  VPN  Client  имеет  ряд  преимуществ:    §  Возможность  установки  клиента  на  мобильные  устройства  §  Оценка  состояния  рабочей  станции  (Host  Scan)  §  Start  Before  Login  –  запуск  VPN  требуется  для  входа  в  систему  §  Always  ON  VPN  –  автоматически  запускать  клиента  при  входе  в  систему  §  Перенаправление  hhp/hhps/�p  трафика  на  Cisco  Web  Security  Appliance  §  Сам  клиент  имеет  модульную  структуру,  которая  дает  целый  ряд  дополнительных  

возможностей,  не  имеющих  прямого  отношения  к  VPN:  a)  Менеджер  проводных  и  беспроводных  подключений  b)  Клиент  Cisco  ScanSafe  

Internet  

195.5.110.1/24  

192.168.110.0/24  

195.5.111.10/24  

192.168.151.10/24  Route  to:  0.0.0.0/0  

Аутентификация  на  WEB-­‐портале  Client  Download  

SRC_IP:  192.168.151.10  

DST_IP:  192.168.110.10  

Original  IP  Packet  

SRC_IP:  195.5.111.10  

DST_IP:  195.5.110.1  

SSL  Header  

Сбор  информации  о  состоянии  системы  

OS  Version/Annvirus  type/Firewall  type  ...  

Username/Password  

Se�ngs  

SRC_IP:  192.168.151.10  

DST_IP:  192.168.110.10  

SRC_IP:  192.168.151.10  

DST_IP:  Facebook  

Client  less  VPN  –  никакого  специализированного  ПО  пользователю  не  требуется,  достаточно  наличия  браузера  с  поддержкой  SSL.  На  ASA  создается  SSL  VPN-­‐портал,  на  котором  в  самом  простом  случае  может  осуществляется  публикация  hhp/hhps/cifs  ресурсов.  При  использовании  browser  plugin  (java  applet)  добавляются:  §  RDP  §  Telnet/SSH  §  VNC  

Internet   195.5.110.1/24  

Аутентификация  на  WEB-­‐портале  

Аутентификация  на  WEB-­‐портале  

IT  user  

Finance      user  

IPS:  В  основе  IPS  (Intrusion  Prevennon  System)  от  Cisco  лежат  три  основных  подхода:  1.  Сканирование  трафика  на  соответствие  известным  сигнатурам  атак  2.  Информирование  администратора  о  сетевых  аномалиях  3.  Проверка  репутации  IP-­‐адресов  сети  Интернет  на  их  возможную  зловредность    В  ASA  функции  IPS  реализуются  в  виде:  §  Специальных  аппаратных  модулей  (старая  линейка  ASA  55xx,  а  также  ASA5585-­‐X)  §  Программных  модулей  (новая  линейка  ASA  55xx-­‐X)  Функционал  открывается  лицензией.  Сканировать  можно  как  весь  проходящий  через  устройство  трафик,  так  и  трафик  с/для  определенных  IP-­‐адресов.  

Internet  

 WEB  Server  

Client-­‐Server  traffic  

Проверка  репутации  

Проверка  сигнатурами  

Проверка  на  аномалии  

Cisco  Inelegance  Operanons    

Signature  update  Reputanon  update  

История  версий  программного  обеспечения  

8.3  

Историческая  эволюция  

§  Изменен  принцип  работы  NAT/ACL  §  FQDN  support  in  ACL  §  Global  ACL  

8.4,8.5  

§  IKEv2  §  Etherchannel  §  Idennty  Firewall  

8.6,8.7  

§  New  family  5500-­‐X  §  ASA  1000V  §  So�ware  IPS  

9.0,9.1  

§  Trust  Sec  Support  §  So�ware  ASA  CX  §  ScanSafe  Support  §  Mixed  Mode    

Подробную  информацию  о  новых  функциях  можно  найти  по  ключевой  фразе  Cisco  ASA  New  Features  by  Release,  введенной  в  Google  

WHY?!?!  

Варианты  управления  устройством  

CLI:  §  Классический  способ  управления  §  IOS  like  интерфейс  с  небольшими  отличиями  §  Не  все  функции  устройства  могут  быть  настроены  из  CLI      ASDM:  §  Графический  интерфейс  на  Java  §  В  ASDM  launcher  можно  добавить  несколько  устройств  и  

быстро  переключаться  между  ними  §  Не  все  функции  устройства  могут  быть  настроены  из  ASDM      Cisco  Security  Manager:  §  Централизованное  управление  большим  количеством  

устройств  §  Управление  на  основе  политик  §  Интегрированный  менеджер  событий  

ASA-­‐CX  –  новый  уровень  обеспечения  безопасности  

ASA  CX  –  межсетевой  экран  нового  поколения,  задачей  которого  является  обеспечение  пользовательского  доступа  на  основе  КОНТЕКСТА    Контекст:    §  Кто  инициатор  соединения  (User  login/User  Group)    §  Чем  соединение  инициировано  (Device  type/User  Agent)    §  Откуда  инициировано  соединение  (Office/Out  of  office)    §  Какое  приложение  используется  (HTTP/Torrent/Skype)    §  Какое  микро-­‐приложение  используется  (Facebook  Games/Photos  Upload)  

ASA  CX  –  как  это  выглядит?    1.  Аппаратный  модуль  в  ASA5585X  (CX  SSP),  установка  только  в  slot  1.  На  текущий  момент  доступна  установка  в  SSP-­‐10  и  SSP-­‐20.  CX  для  SSP-­‐40,  SSP-­‐60  в  Roadmap            2.  Программный  модуль  в  ASA5500-­‐X  (приобретается  в  составе  bundle  либо  как  дополнительная  лицензия).  Кроме  того,  для  ASA5500-­‐X  требуется  установить  120GB  SSD  для  хранения  логов          3.  Лицензии:  §  AVC  (Applicanon  Visibility  and  Control)  –  распознавание  и  мониторинг  приложений  §  WSE  (Web  Security  Essennal)  –  URL-­‐категории  и  WEB-­‐репутация    Лицензии  продаются  в  виде:  AVC  only  or  WSE  only  or  AVC+WSE  Нет  ограничения  по  количеству  пользователей,  чем  производительней  устройство,  тем  дороже  лицензии.  Подписка  приобретается  на  1/3/5  лет.  

ASA  CX  –  какая  производительность?                          Измерение  производительности  проводилось  для  EMIX  (Enterprise  Mix)  профайла  трафика.  

ASA  CX  –  как  туда  попадает  трафик?    Перенаправления,  как  и  для  IPS-­‐модуля,  происходит  с  помощью  Service  Policy.  Может  быть  перенаправлен  как  весь  трафик,  проходящий  через  устройство,  так  и  выбранный  администратором.                                Ключевое  слово  auth-­‐proxy  должно  быть  использовано  в  случае  Acnve  Authenncanon*  *  будет  рассмотрено  далее  

ASA  CX  –  как  модуль  обрабатывает  трафик?    Есть  отличия  в  обработке  HTTP  и  не  HTTP  трафика:  §  Не  HTTP  трафик  –  

§  HTTP-­‐трафик  –  

ASA   CX-­‐Module   ASA  Фильтрация  по  L3/L4  header  Пассивная  аутентификация    

Опознание  приложения  

Политика  на  основе:  Source:  User/Group/Device/Address…  Service:  Applicanon/Service  group…  Des\na\on:  Address/URL  Ac\on:  Deny/Permit  

ASA   CX-­‐Module   ASA  Фильтрация  по  L3/L4  header  Пассивная  аутентификация      

Опознание  приложения  Трафик  классифицирован  как  HTTP  

Проверка  URL-­‐категории  и  репутации  

Активная  аутентификация,  кроме  того,  в  политиках  с  действием  Allow  есть  возможность  делать  фильтрацию  по  типам  файлов  и  микроприложениям  

ASA  CX  –  как  проходит  аутентификация  пользователей?    ASA  CX  предлагает  два  способа  аутентификации  пользователей:  §  Ac\ve  Authen\ca\on  –  применяется  только  к  HTTP-­‐трафику,  для  проведения  аутентификации  

используется:  ü  Kerberos/NTLM  –  в  случае,  если  пользователь  уже  вошел  в  систему,  для  него  прозрачна,  

если  пользователь  не  вошел  в  систему  –  происходит  переключение  на  следующий  метод  ü  Basic  –  применяется  для  LDAP-­‐каталогов.  Пользователь  видит  в  браузере  приглашение  на  

ввод  логина  и  пароля  

§  Passive  Authen\ca\on  –  применяется  для  любого  типа  трафика,  возможна  только  в  домене  MS  Acnve  Directory.  Для  получения  соответствия  Username-­‐to-­‐IP  используется  Cisco  Context  Directory  Agent.  Список  групп  и  пользователей  ASA,  как  и  в  случае  с  Idennty  Firewall,  получает  с  сервера  MS  AD.  При  настройке  политики  с  пассивной  аутентификацией  в  качестве  резерва  может  быть  указана  активная  аутентификация.  

ASA  CX  –  как  управляется?    Управление  функционалом  CX  происходит  с  помощью  Prime  Security  Manager  (PRSM):    §  Графический  интерфейс  на  HTML-­‐5  §  CLI  только  для  инициализации  и  восстановления  системы    Управление  ASA  CX  с  помощью  PRSM  может  осуществляться  двумя  способами:    §  Local  –  на  каждом  модуле  PRSM  доступен  локально  §  Centralized  –  PRSM  установлен  на  выделенном  физическом  или  виртуальном  сервере  и  

выполняет  настройку  и  сбор  информации  с  нескольких  ASA-­‐CX.  Кроме  того,  при  использовании  этой  модели  появляется  возможность  предоставлять  Role  Based  Access  Control  для  администраторов.  

 Варианты  Centralized  PRSM:      Cisco  UCS                Virtual  Machine  

ASA  CX  –  как  настраивается?    ASA  CX  имеет  три  основных  типа  политик,  с  которыми  необходимо  работать  администратору  (последовательность  обработки  политик  различного  вида  проводится  устройством,  как  указано  ниже):    1.  Iden\ty  Policy  –  описывают,  требуется  ли  аутентификация  для  приведенного  в  политике  сочетания  Source/Service/Desnnanon,  если  требуется,  то  указывается  тип  аутентификации  (Acnve/Passive).  Проверка  Idennty-­‐политик  происходит  сверху  вниз  Последнее  правило  в  списке  –  

2.  Decryp\on  Policy  –  описывает,  требуется  ли  дешифрование  трафика  для  приведенного  в  политике  сочетания  Source/Service/Desnnanon.  В  случае  действия  Decrypt  CX  работает  по  принципу  Man-­‐in-­‐the-­‐Middle.  Для  того,  чтобы  эта  схема  заработала,  сертификат  ASA  CX  должен  быть  помещен  в  Root  Trusted  на  стороне  клиента.                            Политики  проверяются  сверху  вниз  Последнее  правило  в  списке  –  

1.  Согласование  алгоритмов  

1.а.  Согласование  алгоритмов  

2.  Аутентификация  сертификата  сервера  

3.  CX  генерирует  прокси  сертификат  сервера  для  клиента  4.  Клиент  

аутентифицирует  сертификат  сервера  

5.  Генерация  ключей   5.а.  Генерация  ключей  

3.  Access  Policy  –  задает  действие  Deny/Permit  для  приведенного  в  политике  сочетания  Source/Service/Desnnanon.  Где:      Source  –  User/User  Group/Device/User  Agent/Network    Service  –  Applica%on/Port    Des%na%on  –  Network/URL/FQDN      Кроме  стандартных  действий  Permit/Deny  для  каждой  политики  доступно  включение  захвата  пакетов  и  лога  событий.    Для  HTTP-­‐трафика  и  политик  с  действием  Allow  также  доступно:    §  File  filtering  –  типы  файлов,  которые  необходимо                блокировать  §  Web  reputa%on  –  проверка  сайтов  на  их                потенциальную  зловредность  с  помощью  WBRS              (Web  Based  Reputanon  Score)  

Защищаем  виртуальные  среды  с  помощью  ASA  1000v  

В  современном  ЦОД  безопасность  должна  быть  обеспечена  как  для  трафика,  входящего  и  покидающего  ЦОД,  так  и  для  трафика,  циркулирующего  между  виртуальными  машинами.    §  North-­‐south  traffic  –  трафик,  входящий  в  ЦОД  и  покидающий  его.  Для  защиты  используются  

аппаратные  решения  ASA/IPS  §  East-­‐west  traffic  –  трафик,  циркулирующий  между  виртуальными  машинами  и  tenants  внутри  

ЦОД.  Защита  обеспечивается  с  помощью:    

ü  Virtual  Security  Gateway  (VSG)  –  решение,  способное  обеспечить  контроль  трафика  в  рамках  одного  VLAN  

ü  ASA  1000v  –  виртуальная  ASA,              основной  задачей  которой  является              наложение  политик  доступа  на                трафик,  циркулирующий  между                сетевыми  сегментами  

ASA  1000v  –  как  это  выглядит?    Поставляется  как  OVA  file,  в  процессе  его  развертывания  пользователю  нужно  пройти  несложный  wizard          Важная  информация:  §  Обязательно  наличие  Nexus  1000v  (только  в  его  port-­‐group  могут  включаться  интерфейсы  ASA)  §  Режим  работ  только  Routed  §  Только  два  интерфейса  для  трафика  данных  (Inside/Outside)  §  Динамическая  маршрутизация  не  поддерживается  §  Remote  Access  VPN  не  поддерживается  В  остальном  устройство  работает  аналогично  обычной  ASA    Устройство  приобретается  в  виде  лицензии,  определяющим  моментом  является  количество  CPU  сервера,  на  котором  будет  происходить  deployment.  Количество  устройств,  которые  можно  развернуть,  при  этом  не  ограничено.  

ASA  1000v  –  какая  производительность?                        ASA  1000v  –  как  управляется?  Есть  два  варианта  управления  устройством,  вариант  управления  выбирается  в  процессе  deployment,  не  подлежит  изменению  после  развертывания  

     1.  ASDM/CLI              2.  VNMC  

ASA  1000v  –  как  разворачивается?    1.  Создание  необходимых  VLAN  и  Port-­‐Profile  на  Nexus  1000v  2.  Начало  Deployment  ASA,  добавление  интерфейсов  в  VLAN  

 3.  Выбор  варианта  работы  устройства  (Standalone/Primary/Secondary)  

 4.  Настройка  параметров  Management  Interface/Failover/Выбор  режима  работы  

В  случае  выбора  варианта  VNMC  необходимо  по  окончании  процесса  Deployment  подключиться  к  консоли  устройства  и  добавить  pre-­‐shared  key  для  связи  с  VNMC                  После  этого  ASA  регистрируется  на  VNMC  и  все  дальнейшие  настройки  выполняются  через  интерфейс  VNMC                  При  выборе  варианта  ASDM  –  ASA  настраивается  традиционным  способом,  через  ASDM  или  CLI  

Подбор  ASA  и  лицензии  под  нужную  задачу  

§  Размещение  устройства  в  сети  (Интернет/ЦОД/Кампус/Удаленный  офис)  

§  Примерная  схема  внедрения  устройства  (Режим  работы/Метод  отказоустойчивости)  

§  Определить,  какие  дополнительные  функции  необходимы  (Виртуализация/IPS/Content  

Security)  

§  Определение  количественных  показателей:  

ü  Сколько  физических  интерфейсов  необходимо  (кроме  того,  их  скорости  и  типы)  ü  Какая  производительность  потребуется  (ширина  интернет-­‐канала/стандартные  уровни  

нагрузки  в  сети)  

ü  Примерное  количество  соединений  в  секунду,  которые  будут  устанавливаться  (не  всегда  

необходимо)  

ü  Сколько  VPN-­‐подключений  потребуется  и  какого  типа  ü  и  т.  д.  

Выбор  устройства:  ТТХ  младших  моделей  (5505/5510/5512-­‐X)  –  hhp://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/data_sheet_c78-­‐701253.html  

ТТХ  средних  моделей  (5520/5525-­‐X/5540/5545-­‐X/5550/5555-­‐X)  –  hhp://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/data_sheet_c78-­‐701808.html  

ТТХ  старших  моделей  (5585-­‐Х)  hhp://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/product_data_sheet0900aecd802930c5.html  

Выбор  лицензии:  На  младших  моделях  ASA  (5505/5510/5512-­‐X)  присутствует  деление  на  лицензии  Base  и  Security  +,  и  уникальная  для  ASA5505  лицензия  на  количество  подключенных  ПК    Base:  

§  Ограничение  по  количеству  VLAN  и  Trunks  (5505/5512-­‐X)  §  Ограничение  по  количеству  VPN-­‐подключений  (5505)  §  Ограничение  по  количеству  соединений  §  Ограничение  по  скорости  интерфейсов  (5510)  

Security  +  §  Устройство  работает  в  полную  меру  своих  аппаратных  возможностей  

Количество  ПК  (5505):  §  10/50/Unlimited    

Кроме  того,  для  всех  устройств  могут  приобретаться  лицензии  на  §  Контексты  (кроме  5505)  §  Количество  VPN-­‐клиентов  §  Функционал  Unified  Communicanons  §  IPS/Content  Security  §  и  другие  функции  

Подробнее:  hhp://www.cisco.com/en/US/docs/security/asa/asa91/license/license_management/license.html  

License  Notes:  

§  Подключение  клиентов  Easy  VPN  не  лицензируется  §  AnyConnect  VPN  подключения  бывают  двух  типов  

§  Существуют  временные  лицензии  практически  на  все  функции  §  При  использовании  High  Availability  лицензии  приобретаются  только  на  Acnve-­‐устройство  

Полезные  ссылки:    BRKSEC-­‐2699  –  Deploying  Next  Generanon  Firewalling  with  ASA-­‐CX  (2013  London)  hhps://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=6050&backBtn=true    Cisco  PRSM  Configuranon  Guide  hhp://www.cisco.com/en/US/docs/security/asacx/9.0/user/guide/b_User_Guide_for_ASA_CX_and_PRSM_9_0.html    ASA  1000v  lab  video  hhp://www.labminutes.com/video/sec/ASA%201000V    Nexus  1000v  lab  video  hhp://www.labminutes.com/video/rs/Nexus%201000V  

И  напоследок    Не  пропустите  ни  одного  интересного  события!  hhp://skillfactory.nmepad.ru/subscribe    Подписывайтесь  на  наш  канал  YouTube  с  записями  вебинаров:  hhp://www.youtube.com/subscripnon_center?add_user=skillfactoryvideo    Презентации  c  вебинаров  SkillFactory  на  SlideShare:  hhp://www.slideshare.net/SkillFactory