Новая Cisco ASA: тотальный контроль над пользователем

10,449 views
9,953 views

Published on

Эксперт школы SkillFactory, специалист в области информационной безопасности Сергей Кучеренко – о том, как использовать новую версию ПО Cisco ASA для решения актуальных задач и уверенно ориентироваться в функциях всей линейки Cisco ASA.

Published in: Technology

Новая Cisco ASA: тотальный контроль над пользователем

  1. 1. Новая Cisco ASA: тотальный контроль над пользователем Сергей Кучеренко 15 июля 2013 serg.kucherenko@getccna.ru ведущий:
  2. 2. О  чем  мы  поговорим:   §  Обзор  функционала  межсетевого  экрана  Cisco  ASA   §  Продуктовая  линейка  и  позиционирование  устройств   §  История  версий  программного  обеспечения   §  Варианты  управления  устройством   §  ASA-­‐CX  –  новый  уровень  обеспечения  безопасности   §  Защищаем  виртуальные  среды  с  помощью  ASA  1000v   §  Подбор  ASA  и  лицензии  под  нужную  задачу  
  3. 3. Функции  Firewall:   1.      Сегментация  сети  –  разделение  сети  на  зоны  доверия  и  контроль  прохождения  трафика   между  зонами.   Сегментация  происходит  за  счет  назначения  каждому  интерфейсу  уровня  безопасности   (Security  Level)   Security  Level  –  число  в  диапазоне  от  0  до  100  (100  –  самый  безопасный,  0  –  самый  опасный)     Правила  Security  Levels:   §  Traffic  from  higher  to  lower  Security  Level  –  permihed  by  default   §  Traffic  from  lower  to  higher  Security  Levels  –  denied  by  default  для  прохождения  трафика   нужно  явное  разрешение  в  ACL   §  Idenncal  Security  Levels  -­‐  denied  by  default   Internet   WEB  Server   DMZ   Zone   Inside  Zone   Outside  Zone   permit  tcp  any  WEB_SRV  eq  80   100   50   0   Обзор  функционала  межсетевого  экрана  Cisco  ASA  
  4. 4. 2.  Statefull  Firewall  (межсетевой  экран,  хранящий  информацию  о  сессиях)  –  если  трафик   разрешен  по  правилам  Security  Levels,  ASA  создает  запись  об  этой  сессии  в  таблице  сессий.     Получив  пакет,  ASA  проверяет,  является  ли  он  частью  ранее  созданной  сессии,  и  если  да,  то   такой  пакет  пропускается.   Protocol   Source  IP   Source  Port   Dest.  IP   Dest.  Port   Timeout   UDP   192.168.1.10   1024   1.1.1.10   53   20s   TCP   192.168.1.10   1025   1.1.1.1   80   3600s   Internet   WEB  Server   vk.com   1.1.1.1   DNS  Server   1.1.1.10   192.168.1.10   S_IP:192.168.1.10   D_IP:1.1.1.10   D_Por:53   S_Por:1024   Data:  DNS  Req   S_IP:1.1.10   D_IP:192.168.1.10   D_Por:1024   S_Por:53   Data:  DNS  Resp   S_IP:192.168.1.10   D_IP:1.1.1.1   D_Por:80   S_Por:1025   Data:  hhp  req   S_IP:1.1.1   D_Por:1025   S_Por:80   Data:  hhp  Resp   D_IP:192.168.1.10  
  5. 5. 2.  Applicaon  Inspecon  –  инспекция  протоколов  на  7  уровне  модели  OSI     Контроль  большого  количества  приложений  на  соответствие  их  поведения  описанным   политикам  (есть  встроенные  политики,  также  есть  возможность  тонкой  настройки).  Кроме  того,   для  приложений,  использующих  динамические  подключения  (ex:  SIP),  ASA  использует  Applicanon   Inspecnon  для  создания  дополнительных  сессий.   Internet   SIP  Client  permit  tcp  any    PBX_SRV  eq  5060   To  TCP/5060   Хочу  позвонить  на  номер  111  мой  IP:5.1.1.1  и  номер  112   From  TCP/5060  Ок!  Connect  to  IP:10.1.1.10  port  UDP  16543   Voice  DATA  To  UDP/16543   Voice  DATA  From  UDP/16543   IP  PBX   ASA  Change  10.1.1.10  to  6.1.1.10   5.1.1.1  6.1.1.10   Dynamically  Open  port     UDP16543  
  6. 6. 4.    NAT  –  трансляция  сетевых  адресов  в  пакетах  при  прохождении  межсетевого  экрана    Виды  NAT:   §  Object  NAT  –  простой  в  настройке  вид  NAT,  делаем  трансляцию  только  source  IP              Sta%c  NAT,  Dynamic  NAT,  Sta%c  PAT,  Dynamic  PAT   §  Twice  NAT  –  более  сложный,  но  более  гибкий  вид  NAT,  есть  возможность  транслировать   как  Source  (Sta%c  NAT/PAT,  Dynamic  NAT/PAT),  так  и  Desnnanon  (для  Des%na%on  только   Sta%c)   §  Identy  NAT  –  трансляция  адреса  в  себя  же              Sta%c  NAT,  используется  при  настройке  VPN  
  7. 7. 5.  Firewall  Modes  –  устройство  может  работать  в  двух  режимах:   Routed  mode  –  ASA  работает  как  L3-­‐устройство,  выступая  шлюзом  по       умолчанию  для  ПК,  подключенных  в  сети  ее  интерфейсов,  и  может   обмениваться  маршрутной  информацией  с  другими  L3-­‐устройствами   с  использованием  протоколов  динамической  маршрутизации.     Применение:   Периметр  сети/Сегментация  кампуса   Transparent  mode  –  ASA  работает  как  L2-­‐устройство.  Устанавливается   в  разрыве  сети  на  пути  следования  трафика  –  такой  вариант  не   требует  редизайна  адресного  пространства.     Применение:   Сегментация  кампуса/ЦОД  
  8. 8. 6.    Virtualizaon  –  в  рамках  одного  физического  устройства  есть  возможность  создать  несколько   виртуальных.   Эти  виртуальные  устройства  будут  независимые  (единственное,  в  чем  они  едины  –  это   количество  аппаратных  ресурсов  физического  устройства).     Виртуальная  ASA  =  Context  
  9. 9. 7.    High  Availability  –  возможность  организовать  отказоустойчивую  группу  из  межсетевых  экранов,   когда  при  выходе  из  строя  одного  из  устройств  трафик  продолжает  идти  через  другое.   Методы  High  Availability:   §  Failover   A.  Ac%ve/Standby  –  одно  устройство  обрабатывает  все  запросы  (Acnve),  второе  устройство   хранит  информацию  о  текущих  подключениях  и  ожидает  (Standby)  выхода  из  строя   первого.   B.  Ac%ve/Ac%ve  –  используется  принцип  виртуализации.   Два  устройства  разделяются  на  контексты  (ex:  1,  2).   При  этом  первое  устройство  будет  Acnve  для   первого  контекста  (1-­‐A),  а  второе  будет  активным   для  второго  контекста  (2-­‐A),  в  случае  отказа  первого   устройства  весь  трафик  будет  обрабатываться   вторым.   .2  .2   .2  .1   .1  .1  
  10. 10. §  Clustering  –  реализация  High  Availability,  при  которой  все  устройства  занимаются   обработкой  пользовательского  трафика.  Устройства  делятся  на  следующие  роли:   ü  Master  –  одно  устройство  на  кластер,  все  настройки  выполняются  через  него   ü  Slave  –  все  остальные  устройства  в  кластере   С  точки  зрения  обработки  пакетов  ASA  в  кластере  делятся  на  следующие  роли:   SYN-­‐ACK   2.  Запрос   владельца     3.  Информация  о       владельце     4.  SYN-­‐ACK       ü  Connec%on  Owner  (Владелец)  –  та  ASA,  через  которую  началась  установка  соединения   ü  Director  (Директор)  –  ASA,  отвечающая  за  хранение  информации  о  сессии  на  случай   выходя  из  строя  владельца,  кроме  того  решает  проблемы,  связанные  с   асимметричным  трафиком   ü  Forwarder  –  все  другие  ASA  в  кластере   Перенаправление  трафика:   ü  Ether  Channel  load  balancing   ü  Equal  Cost  Mulnpath  Rounng*   ü  Route-­‐Map*     *  –  Rounng  mode  only  
  11. 11. 8.    Identy  Firewall  –  возможность  создавать  списки  контроля  доступа,  используя  вместо  source   ip  address  логин  пользователя  в  MS  AD  или  группу,  в  которой  находится  пользователь.   Кроме  того,  вместо  desnnanon  IP  можно  использовать  FQDN.   Немного  истории:   Первоначально  для  IP  to  User/Group  Mapping  использовался  Cisco  Acnve  Directory  Agent  –  ПО,   устанавливаемое  на  контроллер  домена  либо  на  любой  сервер,  входящий  в  домен.   На  смену  ему  пришел  Context  Directory  Agent  –  виртуальный  appliance  под  Linux.   1.  Запрос  списка   пользователей  и  групп     2.  Информация  о  User     Login  через  WMI       3.  Запрос  списка  User-­‐to-­‐IP   mapping    4.  Вход  John  в   систему     5.  John  вошел  с  адреса     10.1.200.3     6.  Проверка  ACL    
  12. 12. VPN  Concentrator:   ASA  имеет  поддержку  различных  видов  VPN-­‐технологий   1.  Site-­‐to-­‐Site  VPN  –  объединение  сетей  двух  разнесенных  офисов  через  Интернет.  Site-­‐to-­‐Site  VPN   на  ASA  основан  на  crypto-­‐map               2.  Remote  Access  VPN  –  предоставление  доступа  к  корпоративным  ресурсам  удаленным   сотрудникам  и  мобильным  пользователям.     Разделяется  на  несколько  видов:   §  Client  VPN  –  требует  установку  на  устройство  пользователя  специализированного  ПО  (VPN   Client).  На  сегодняшний  день  есть  два  типа  клиентов,  отличные  по  функционалу.  
  13. 13. ü  Cisco  Easy  VPN  Client  –  использует  в  качестве  транспорта  набор  стандартов  IPsec,  для   согласования  параметров  ikev1.  При  установке  на  клиенте  создается  виртуальный  сетевой   адаптер,  на  который  после  успешной  аутентификации  и  получения  конфигурации  с  ASA   будет  назначен  IP-­‐адрес  из  корпоративной  сети.          Использование  клиента  не  требует  лицензий.          Клиент  больше  не  поддерживается  и  не  обновляется.   Host  B   195.5.110.1/24   192.168.110.0/24   195.5.111.10/24   192.168.151.10/24   Route  to:   0.0.0.0/0   Username/Password/Cernficate   Configuranon  (IP/DNS/WINS)   SRC_IP:   192.168.151.10   DST_IP:   192.168.110.10   Original  IP   Packet   SRC_IP:   195.5.111.10   DST_IP:   195.5.110.1   IPsec   Header   Проверить  включен  ли  Firewall    Расширенная  конфигурация  (Proxy  Server  Auto  Update)     Internet   Proxy   Server  
  14. 14. ü  Сisco  AnyConnect  Secure  Mobility  Client  –  использует  в  качестве  транспорта  SSL  либо  IPsec   ikev2.  Клиент  существует  под  все  популярные  стационарные  (образ  клиента  должен  быть   загружен  в  Flash  ASA)  и  мобильные  (загрузка  из  соответствующего  market)  OS   В  сравнении  с  традиционным  Easy  VPN  Client  имеет  ряд  преимуществ:     §  Возможность  установки  клиента  на  мобильные  устройства   §  Оценка  состояния  рабочей  станции  (Host  Scan)   §  Start  Before  Login  –  запуск  VPN  требуется  для  входа  в  систему   §  Always  ON  VPN  –  автоматически  запускать  клиента  при  входе  в  систему   §  Перенаправление  hhp/hhps/šp  трафика  на  Cisco  Web  Security  Appliance   §  Сам  клиент  имеет  модульную  структуру,  которая  дает  целый  ряд  дополнительных   возможностей,  не  имеющих  прямого  отношения  к  VPN:   a)  Менеджер  проводных  и  беспроводных  подключений   b)  Клиент  Cisco  ScanSafe  
  15. 15. Internet   195.5.110.1/24   192.168.110.0/24   195.5.111.10/24   192.168.151.10/24   Route  to:   0.0.0.0/0   Аутентификация  на  WEB-­‐портале   Client  Download   SRC_IP:   192.168.151.10   DST_IP:   192.168.110.10   Original  IP   Packet   SRC_IP:   195.5.111.10   DST_IP:   195.5.110.1   SSL   Header   Сбор  информации  о  состоянии  системы   OS  Version/Annvirus  type/Firewall  type  ...   Username/Password   Seœngs   SRC_IP:   192.168.151.10   DST_IP:   192.168.110.10   SRC_IP:   192.168.151.10   DST_IP:   Facebook  
  16. 16. Client  less  VPN  –  никакого  специализированного  ПО  пользователю  не  требуется,  достаточно   наличия  браузера  с  поддержкой  SSL.  На  ASA  создается  SSL  VPN-­‐портал,  на  котором  в  самом   простом  случае  может  осуществляется  публикация  hhp/hhps/cifs  ресурсов.   При  использовании  browser  plugin  (java  applet)  добавляются:   §  RDP   §  Telnet/SSH   §  VNC   Internet   195.5.110.1/24   Аутентификация  на  WEB-­‐портале   Аутентификация  на  WEB-­‐портале   IT  user   Finance      user  
  17. 17. IPS:   В  основе  IPS  (Intrusion  Prevennon  System)  от  Cisco  лежат  три  основных  подхода:   1.  Сканирование  трафика  на  соответствие  известным  сигнатурам  атак   2.  Информирование  администратора  о  сетевых  аномалиях   3.  Проверка  репутации  IP-­‐адресов  сети  Интернет  на  их  возможную  зловредность     В  ASA  функции  IPS  реализуются  в  виде:   §  Специальных  аппаратных  модулей  (старая  линейка  ASA  55xx,  а  также  ASA5585-­‐X)   §  Программных  модулей  (новая  линейка  ASA  55xx-­‐X)   Функционал  открывается  лицензией.   Сканировать  можно  как  весь  проходящий  через  устройство  трафик,  так  и  трафик  с/для   определенных  IP-­‐адресов.   Internet    WEB  Server   Client-­‐ Server   traffic   Проверка   репутации   Проверка   сигнатурами   Проверка  на   аномалии   Cisco   Inelegance   Operanons     Signature   update   Reputanon   update  
  18. 18. История  версий  программного  обеспечения   8.3   Историческая  эволюция   §  Изменен  принцип  работы  NAT/ACL   §  FQDN  support  in  ACL   §  Global  ACL   8.4,8.5   §  IKEv2   §  Etherchannel   §  Idennty  Firewall   8.6,8.7   §  New  family  5500-­‐X   §  ASA  1000V   §  Sošware  IPS   9.0,9.1   §  Trust  Sec  Support   §  Sošware  ASA  CX   §  ScanSafe  Support   §  Mixed  Mode     Подробную  информацию  о  новых  функциях  можно  найти  по  ключевой  фразе   Cisco  ASA  New  Features  by  Release,  введенной  в  Google   WHY?!?!  
  19. 19. Варианты  управления  устройством   CLI:   §  Классический  способ  управления   §  IOS  like  интерфейс  с  небольшими  отличиями   §  Не  все  функции  устройства  могут  быть  настроены  из  CLI       ASDM:   §  Графический  интерфейс  на  Java   §  В  ASDM  launcher  можно  добавить  несколько  устройств  и   быстро  переключаться  между  ними   §  Не  все  функции  устройства  могут  быть  настроены  из  ASDM       Cisco  Security  Manager:   §  Централизованное  управление  большим  количеством   устройств   §  Управление  на  основе  политик   §  Интегрированный  менеджер  событий  
  20. 20. ASA-­‐CX  –  новый  уровень  обеспечения  безопасности   ASA  CX  –  межсетевой  экран  нового  поколения,  задачей  которого  является  обеспечение   пользовательского  доступа  на  основе  КОНТЕКСТА     Контекст:     §  Кто  инициатор  соединения  (User  login/User  Group)     §  Чем  соединение  инициировано  (Device  type/User  Agent)     §  Откуда  инициировано  соединение  (Office/Out  of  office)     §  Какое  приложение  используется  (HTTP/Torrent/Skype)     §  Какое  микро-­‐приложение  используется  (Facebook  Games/Photos  Upload)  
  21. 21. ASA  CX  –  как  это  выглядит?     1.  Аппаратный  модуль  в  ASA5585X  (CX  SSP),  установка  только  в  slot  1.  На  текущий  момент   доступна  установка  в  SSP-­‐10  и  SSP-­‐20.  CX  для  SSP-­‐40,  SSP-­‐60  в  Roadmap             2.  Программный  модуль  в  ASA5500-­‐X  (приобретается  в  составе  bundle  либо  как  дополнительная   лицензия).  Кроме  того,  для  ASA5500-­‐X  требуется  установить  120GB  SSD  для  хранения  логов           3.  Лицензии:   §  AVC  (Applicanon  Visibility  and  Control)  –  распознавание  и  мониторинг  приложений   §  WSE  (Web  Security  Essennal)  –  URL-­‐категории  и  WEB-­‐репутация     Лицензии  продаются  в  виде:  AVC  only  or  WSE  only  or  AVC+WSE   Нет  ограничения  по  количеству  пользователей,  чем  производительней  устройство,  тем  дороже   лицензии.  Подписка  приобретается  на  1/3/5  лет.  
  22. 22. ASA  CX  –  какая  производительность?                           Измерение  производительности  проводилось  для  EMIX  (Enterprise  Mix)  профайла  трафика.  
  23. 23. ASA  CX  –  как  туда  попадает  трафик?     Перенаправления,  как  и  для  IPS-­‐модуля,  происходит  с  помощью  Service  Policy.  Может  быть   перенаправлен  как  весь  трафик,  проходящий  через  устройство,  так  и  выбранный  администратором.                                 Ключевое  слово  auth-­‐proxy  должно  быть  использовано  в  случае  Acnve  Authenncanon*   *  будет  рассмотрено  далее  
  24. 24. ASA  CX  –  как  модуль  обрабатывает  трафик?     Есть  отличия  в  обработке  HTTP  и  не  HTTP  трафика:   §  Не  HTTP  трафик  –   §  HTTP-­‐трафик  –   ASA   CX-­‐Module   ASA   Фильтрация  по   L3/L4  header   Пассивная   аутентификация     Опознание   приложения   Политика  на  основе:   Source:  User/Group/Device/Address…   Service:  Applicanon/Service  group…   Desnaon:  Address/URL   Acon:  Deny/Permit   ASA   CX-­‐Module   ASA   Фильтрация  по   L3/L4  header   Пассивная   аутентификация       Опознание   приложения   Трафик   классифицирован   как  HTTP   Проверка  URL-­‐ категории  и   репутации   Активная  аутентификация,   кроме  того,  в  политиках  с   действием  Allow  есть   возможность  делать   фильтрацию  по  типам  файлов   и  микроприложениям  
  25. 25. ASA  CX  –  как  проходит  аутентификация  пользователей?     ASA  CX  предлагает  два  способа  аутентификации  пользователей:   §  Acve  Authencaon  –  применяется  только  к  HTTP-­‐трафику,  для  проведения  аутентификации   используется:   ü  Kerberos/NTLM  –  в  случае,  если  пользователь  уже  вошел  в  систему,  для  него  прозрачна,   если  пользователь  не  вошел  в  систему  –  происходит  переключение  на  следующий  метод   ü  Basic  –  применяется  для  LDAP-­‐каталогов.  Пользователь  видит  в  браузере  приглашение  на   ввод  логина  и  пароля   §  Passive  Authencaon  –  применяется  для   любого  типа  трафика,  возможна  только  в   домене  MS  Acnve  Directory.  Для  получения   соответствия  Username-­‐to-­‐IP  используется   Cisco  Context  Directory  Agent.  Список  групп  и   пользователей  ASA,  как  и  в  случае  с  Idennty   Firewall,  получает  с  сервера  MS  AD.  При   настройке  политики  с  пассивной   аутентификацией  в  качестве  резерва  может   быть  указана  активная  аутентификация.  
  26. 26. ASA  CX  –  как  управляется?     Управление  функционалом  CX  происходит  с  помощью  Prime  Security  Manager  (PRSM):     §  Графический  интерфейс  на  HTML-­‐5   §  CLI  только  для  инициализации  и  восстановления  системы     Управление  ASA  CX  с  помощью  PRSM  может  осуществляться  двумя  способами:     §  Local  –  на  каждом  модуле  PRSM  доступен  локально   §  Centralized  –  PRSM  установлен  на  выделенном  физическом  или  виртуальном  сервере  и   выполняет  настройку  и  сбор  информации  с  нескольких  ASA-­‐CX.  Кроме  того,  при   использовании  этой  модели  появляется  возможность  предоставлять  Role  Based  Access  Control   для  администраторов.     Варианты  Centralized  PRSM:       Cisco  UCS                Virtual  Machine  
  27. 27. ASA  CX  –  как  настраивается?     ASA  CX  имеет  три  основных  типа  политик,  с  которыми  необходимо  работать  администратору   (последовательность  обработки  политик  различного  вида  проводится  устройством,  как  указано   ниже):     1.  Identy  Policy  –  описывают,  требуется  ли  аутентификация  для  приведенного  в  политике   сочетания  Source/Service/Desnnanon,  если  требуется,  то  указывается  тип  аутентификации  (Acnve/ Passive).   Проверка  Idennty-­‐политик  происходит  сверху  вниз   Последнее  правило  в  списке  –  
  28. 28. 2.  Decrypon  Policy  –  описывает,  требуется  ли  дешифрование  трафика  для  приведенного  в   политике  сочетания  Source/Service/Desnnanon.  В  случае  действия  Decrypt  CX  работает  по   принципу  Man-­‐in-­‐the-­‐Middle.  Для  того,  чтобы  эта  схема  заработала,  сертификат  ASA  CX  должен   быть  помещен  в  Root  Trusted  на  стороне  клиента.                             Политики  проверяются  сверху  вниз   Последнее  правило  в  списке  –   1.  Согласование   алгоритмов   1.а.  Согласование   алгоритмов   2.  Аутентификация   сертификата  сервера   3.  CX  генерирует  прокси   сертификат  сервера  для  клиента  4.  Клиент   аутентифицирует   сертификат  сервера   5.  Генерация  ключей   5.а.  Генерация  ключей  
  29. 29. 3.  Access  Policy  –  задает  действие  Deny/Permit  для  приведенного  в  политике  сочетания  Source/ Service/Desnnanon.  Где:       Source  –  User/User  Group/Device/User  Agent/Network     Service  –  Applica%on/Port     Des%na%on  –  Network/URL/FQDN       Кроме  стандартных  действий  Permit/Deny  для  каждой  политики  доступно  включение  захвата   пакетов  и  лога  событий.     Для  HTTP-­‐трафика  и  политик  с  действием  Allow  также  доступно:     §  File  filtering  –  типы  файлов,  которые  необходимо                блокировать   §  Web  reputa%on  –  проверка  сайтов  на  их                потенциальную  зловредность  с  помощью  WBRS              (Web  Based  Reputanon  Score)  
  30. 30. Защищаем  виртуальные  среды  с  помощью   ASA  1000v   В  современном  ЦОД  безопасность  должна  быть  обеспечена  как  для  трафика,  входящего  и   покидающего  ЦОД,  так  и  для  трафика,  циркулирующего  между  виртуальными  машинами.     §  North-­‐south  traffic  –  трафик,  входящий  в  ЦОД  и  покидающий  его.  Для  защиты  используются   аппаратные  решения  ASA/IPS   §  East-­‐west  traffic  –  трафик,  циркулирующий  между  виртуальными  машинами  и  tenants  внутри   ЦОД.  Защита  обеспечивается  с  помощью:     ü  Virtual  Security  Gateway  (VSG)  –  решение,  способное  обеспечить  контроль  трафика  в   рамках  одного  VLAN   ü  ASA  1000v  –  виртуальная  ASA,              основной  задачей  которой  является              наложение  политик  доступа  на                трафик,  циркулирующий  между                сетевыми  сегментами  
  31. 31. ASA  1000v  –  как  это  выглядит?     Поставляется  как  OVA  file,  в  процессе  его  развертывания  пользователю  нужно  пройти  несложный   wizard           Важная  информация:   §  Обязательно  наличие  Nexus  1000v  (только  в  его  port-­‐group  могут  включаться  интерфейсы  ASA)   §  Режим  работ  только  Routed   §  Только  два  интерфейса  для  трафика  данных  (Inside/Outside)   §  Динамическая  маршрутизация  не  поддерживается   §  Remote  Access  VPN  не  поддерживается   В  остальном  устройство  работает  аналогично  обычной  ASA     Устройство  приобретается  в  виде  лицензии,  определяющим  моментом  является  количество  CPU   сервера,  на  котором  будет  происходить  deployment.  Количество  устройств,  которые  можно   развернуть,  при  этом  не  ограничено.  
  32. 32. ASA  1000v  –  какая  производительность?                         ASA  1000v  –  как  управляется?   Есть  два  варианта  управления  устройством,  вариант  управления  выбирается  в  процессе   deployment,  не  подлежит  изменению  после  развертывания        1.  ASDM/CLI              2.  VNMC  
  33. 33. ASA  1000v  –  как  разворачивается?     1.  Создание  необходимых  VLAN  и  Port-­‐Profile  на  Nexus  1000v   2.  Начало  Deployment  ASA,  добавление  интерфейсов  в  VLAN     3.  Выбор  варианта  работы  устройства  (Standalone/Primary/Secondary)     4.  Настройка  параметров  Management  Interface/Failover/Выбор  режима  работы  
  34. 34. В  случае  выбора  варианта  VNMC  необходимо  по  окончании  процесса  Deployment  подключиться  к   консоли  устройства  и  добавить  pre-­‐shared  key  для  связи  с  VNMC                   После  этого  ASA  регистрируется  на  VNMC  и  все  дальнейшие  настройки  выполняются  через   интерфейс  VNMC                   При  выборе  варианта  ASDM  –  ASA  настраивается  традиционным  способом,  через  ASDM  или  CLI  
  35. 35. Подбор  ASA  и  лицензии  под  нужную  задачу   §  Размещение  устройства  в  сети  (Интернет/ЦОД/Кампус/Удаленный  офис)   §  Примерная  схема  внедрения  устройства  (Режим  работы/Метод  отказоустойчивости)   §  Определить,  какие  дополнительные  функции  необходимы  (Виртуализация/IPS/Content   Security)   §  Определение  количественных  показателей:   ü  Сколько  физических  интерфейсов  необходимо  (кроме  того,  их  скорости  и  типы)   ü  Какая  производительность  потребуется  (ширина  интернет-­‐канала/стандартные  уровни   нагрузки  в  сети)   ü  Примерное  количество  соединений  в  секунду,  которые  будут  устанавливаться  (не  всегда   необходимо)   ü  Сколько  VPN-­‐подключений  потребуется  и  какого  типа   ü  и  т.  д.  
  36. 36. Выбор  устройства:   ТТХ  младших  моделей  (5505/5510/5512-­‐X)  –   hhp://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/data_sheet_c78-­‐701253.html   ТТХ  средних  моделей  (5520/5525-­‐X/5540/5545-­‐X/5550/5555-­‐X)  –   hhp://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/data_sheet_c78-­‐701808.html   ТТХ  старших  моделей  (5585-­‐Х)   hhp://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/product_data_sheet0900aecd802930c5.html  
  37. 37. Выбор  лицензии:   На  младших  моделях  ASA  (5505/5510/5512-­‐X)  присутствует  деление  на  лицензии  Base  и  Security  +,   и  уникальная  для  ASA5505  лицензия  на  количество  подключенных  ПК     Base:   §  Ограничение  по  количеству  VLAN  и  Trunks  (5505/5512-­‐X)   §  Ограничение  по  количеству  VPN-­‐подключений  (5505)   §  Ограничение  по  количеству  соединений   §  Ограничение  по  скорости  интерфейсов  (5510)   Security  +   §  Устройство  работает  в  полную  меру  своих  аппаратных  возможностей   Количество  ПК  (5505):   §  10/50/Unlimited     Кроме  того,  для  всех  устройств  могут  приобретаться  лицензии  на   §  Контексты  (кроме  5505)   §  Количество  VPN-­‐клиентов   §  Функционал  Unified  Communicanons   §  IPS/Content  Security   §  и  другие  функции   Подробнее:   hhp://www.cisco.com/en/US/docs/security/asa/asa91/license/license_management/license.html  
  38. 38. License  Notes:   §  Подключение  клиентов  Easy  VPN  не  лицензируется   §  AnyConnect  VPN  подключения  бывают  двух  типов   §  Существуют  временные  лицензии  практически  на  все  функции   §  При  использовании  High  Availability  лицензии  приобретаются  только  на  Acnve-­‐устройство  
  39. 39. Полезные  ссылки:     BRKSEC-­‐2699  –  Deploying  Next  Generanon  Firewalling  with  ASA-­‐CX  (2013  London)   hhps://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=6050&backBtn=true     Cisco  PRSM  Configuranon  Guide   hhp://www.cisco.com/en/US/docs/security/asacx/9.0/user/guide/ b_User_Guide_for_ASA_CX_and_PRSM_9_0.html     ASA  1000v  lab  video   hhp://www.labminutes.com/video/sec/ASA%201000V     Nexus  1000v  lab  video   hhp://www.labminutes.com/video/rs/Nexus%201000V  
  40. 40. И  напоследок     Не  пропустите  ни  одного  интересного  события!   hhp://skillfactory.nmepad.ru/subscribe     Подписывайтесь  на  наш  канал  YouTube  с  записями  вебинаров:   hhp://www.youtube.com/subscripnon_center?add_user=skillfactoryvideo     Презентации  c  вебинаров  SkillFactory  на  SlideShare:   hhp://www.slideshare.net/SkillFactory  

×