Документ описывает функциональные возможности межсетевого экрана Cisco ASA, охватывая такие аспекты, как сценарии настройки, лицензирование, режимы работы и ключевые функции, включая NAT, инспекцию приложений и поддержку VPN. Также рассмотрены новые версии Cisco ASA и их улучшенные функции по сравнению с предыдущими версиями. В документе представлены рекомендации по выбору устройства и лицензий в зависимости от конкретных задач пользователей.

1. Как получить максимум от
сетевого экрана Cisco
ASA?
Сергей Кучеренко
serg.kucherenko@getccna.ru
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 1

2. О чем Мы поговорим:
 Функционал межсетевого экрана Cisco ASA
 Новые версии Cisco ASA
 Новое ПО Cisco ASA 9.1
 Подбор ASA и лицензии под нужную задачу
 Начальная настройка устройства с использованием Startup-Wizard
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 2

3. Функционал Cisco ASA:
ASA – Adaptive Security Appliance, многофункциональное устройство
безопасности способное реализовать ряд функций
 Firewall
 VPN Concentrator
 Intrusion Prevention
 Content Security
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 3

4. Функции Firewall:
1. Сегментация сети разделение сети на зоны доверия и контроль
прохождения трафика между зонами.
Сегментация происходит за счет назначения каждому интерфейсу уровня
безопасности (Security-Level)
Security-Level – число в диапазоне от 0 до 100 (100 – самый безопасный, 0
– самый опасный)
Правила Security Levels:
 Traffic from higher to lower Security Level – permitted by default
 Traffic from lower to higher Security Levels– denied by default для
прохождения трафика нужно явное разрешение в ACL
 Identical Security Levels - denied by default
Outside Zone
Internet
permit tcp any WEB_SRV eq 80
0
WEB Server
Inside Zone
DMZ 100
Zone
50
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 4

5. 2. Statefull Firewall (Межсетевой экран хранящий информацию о сессиях) –
Если трафик разрешен по правилам Security Levels ASA создает запись об
этой сессии в таблице сессий
Получив пакет ASA проверяет является ли он частью ранее созданной сессии
если да то такой пакет пропускается
Protocol Source IP Source Port Dest. IP Dest. Port Timeout
UDP 192.168.1.10 1024 1.1.1.10 53 20s
TCP 192.168.1.10 1025 1.1.1.1 80 3600s
DNS Server WEB Server
1.1.1.10 vk.com
Internet
1.1.1.1
S_IP:1.1.10 S_IP:1.1.1
S_IP:192.168.1.10 S_IP:192.168.1.10
S_Por:53 S_Por:80
S_Por:1024 S_Por:1025
D_IP:192.168.1.10 D_IP:192.168.1.10
D_IP:1.1.1.10 D_IP:1.1.1.1
D_Por:1024 D_Por:1025
D_Por:53 D_Por:80
Data: DNS Resp Data: http Resp
Data: DNS Req Data: http req
192.168.1.10
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 5

6. 2. Application Inspection – инспекция протоколов на 7 уровне модели OSI
Контроль большого количества приложений на соответствие их поведения
описанным политикам (есть встроенные политики, так же есть возможность
тонкой настройки). Кроме того для приложений использующих динамические
подключения (ex: FTP) ASA использует Application Inspection для создания
дополнительных сессий
permit tcp any FTP_SRV eq 21
FTP Server
FTP Client
Internet
To TCP/21 Хочу скачать файл winamp.exe
From TCP/21 Ок! Подключись ко мне на TCP/20
To TCP/20 Data block request
From TCP/20 Data block response
FTP использует два порта TCP 21 (Control) TCP 20 (DAT), благодаря Application
Inspection мы можем открывать на ASA только порт 21 для входящих
подключений. Доступ на порт TCP 20 будет открыт динамически
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 6

7. 4. NAT – трансляция сетевых адресов в пакетах при прохождении
межсетевого экрана
Виды NAT:
 Object NAT – простой в настройке вид NAT, делаем трансляцию
только source IP, или Destination IP
Static NAT, Dynamic NAT, Static PAT, Dynamic PAT
 Twice NAT – более сложный но более гибкий вид NAT, есть
возможность транслировать как Source так и Destination
 Identity NAT – трансляция адреса в себя же
Static NAT, используется при настройке VPN
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 7

8. 5. Firewall Modes – устройство может работать в двух режимах:
Routed mode - ASA работает как L3 устройство,
выступая шлюзом по умолчанию для ПК подключенных
в сети ее интерфейсов, и может обмениваться
маршрутной информацией с другими L3 устройствами
при использовании протоколов динамической
маршрутизации
Transparent mode - ASA работает как L2 устройство.
Устанавливается в разрыве сети на пути следования
трафика такой вариант не требует редизайна адресного
пространства
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 8

9. 6. Virtualization – в рамках одного физического устройства есть возможность
создать несколько виртуальных.
Эти виртуальные устройства будут не зависимые (Единственно в чем они
едины это количество аппаратных ресурсов физического устройства)
Виртуальная ASA = Context
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 9

10. 7. High Availability – возможность организовать отказоустойчивую группу из
межсетевых экранов, когда при выходи из строя одного из устройств трафк
продолжает идти через другое.
Методы High Availability:
 Failover
A. Active/Standby – одно устройство обрабатывает все запросы (Active),
второе устройство хранит информацию о текущих подключениях и
ожидает(Standby) выхода из-строя первого
B. Active/Active – используется принцип виртуализации. Два устройства
разделяются на контексты (ex: CTX1, CTX2). При этом первое
устройство будет Active для первого контекста (CTX1) а второе будет
активным для второго контекста (CTX2), в случаи отказа первого
устройства весь трафик будет обрабатываться вторым.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 10

11.  Clustering – реализация High-Availability при которой все устройства
занимаются обработкой пользовательского трафика. При этом
устройство Master в кластере выбирает кем из участников кластера
должна быть обработана каждая конкретная сессия
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 11

12. 8. Identity Firewall – возможность создавать списки контроля доступа
использую вместо source ip address логин пользователя в MS AD или
группу в которой находиться пользователь
Кроме того вместо destination IP можно использовать FQDN
permit tcp Ivan vk.com eq 80
deny tcp Ivan facebook.com eq 80
deny tcp Oleg vk.com eq 80
permit tcp Oleg facebook.com eq 80
WEB Server vk.com Ivan/IT
vk.com 192.168.1.10
1.1.1.1 facebook.com
Internet
vk.com What Login have:
WEB Server 192.168.1.10
And
facebook.com facebook.com 192.168.1.11? Oleg/Finance
1.1.1.10
192.168.1.11
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 12

13. VPN Concentrator:
ASA имеет поддержку различных видов VPN технологий
1. Site-to-Site VPN – объединение сетей двух разнесенных офисов через
Интернет
2. Remote Access VPN – возможность для пользователя с помощью
специального ПО (VPN client) защищенно подключиться к ASA и получить
доступ к ресурсам организации так как будто пользователь находиться в
локальной сети.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 13

14. 3. Clientless ssl VPN – пользователю достаточно WEB браузера, в нем по https
он подключается на внешний интерфейс ASA, проходит аутентификацию и
попадает портала. С портала используя
 http/https
 RDP
 Telnet/SSH
Пользователь может получить доступ к ресурсам предприятия
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 14

15. IPS:
В основе IPS (Intrusion Prevention System) от Cisco лежат три основных подхода
1. Сканирование трафика на соответствие известным сигнатурам атак
2. Информирование администратора о сетевых аномалиях
3. Проверка репутации IP адресов сети Интернет на их возможную
зловредность
В ASA функции IPS реализуются в виде:
 Специальных аппаратных модулей (старая линейка ASA 55xx)
 Не посредственно операционной системой ASA (новая линейка ASA 55xx-X)
Функционал открывается лицензией
Сканировать можно как весь проходящий через устройство трафик так и
трафик с/для определенных IP адресов
Signature Cisco
update Inelegance
Operations
Reputation
update
Client- Проверка на Проверка Проверка
Server аномалии сигнатурами репутации
traffic WEB Server
Internet
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 15

16. Content Security:
Новый функционал для ASA выполняющий:
 Управление доступом к WEB ресурсам по URL категориям (social networking,
gaming, adult…)
 Управления доступом к приложениям использующим WEB (Facebook games,
Skype…)
 Аутентификацию пользователей (LDAP или MS AD)
 Проверка сайта на потенциальную зловредность по его репутации
Доступен в виде:
Аппаратного модуля в ASA5585-X
Программного модуля в ASA5500-X
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 16

17. Новые версии Cisco ASA
Новое семейство устройств ASA 5500-Х:
 5512-X replace 5510
 5525-X replace 5520
 5545-X replace 5540
 5555-X replace 5550
На сегодняшний день нет замены для ASA5505
самого младшего устройства
Новое серия характеризуется:
 Использование многоядерных процессоров
 4-х кратное увеличение объема памяти
 Специализированные аппаратные ускорители IPS/VPN
 Реализация дополнительных сервисов программными
модулями
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 17

18. Новое ПО Cisco ASA 9.1
Историческая эволюция
8.3 8.4,8.5
 Изменен принцип работы NAT  IKEv2
 FQDN support in ACL  Etherchannel
 Global ACL  Identity Firewall
8.6,8.7 9.0,9.1
 New family 5500-X  Trust Sec support
 ASA 1000V  Software ASA CX
 Software IPS  ScanSafe Support
Подробную информацию о новых функциях можно найти по ключевой
фразе Cisco ASA New Features by Release введенной в Google
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 18

19. Подбор ASA и лицензии под нужную задачу
 Размещение устройства в сети (Интернет/ЦОД/Кампус/Удаленный офис)
 Примерная схема внедрения устройства
 Определить какие функции устройства необходимы
 Определение количественных показателей
 Сколько физических интерфейсов необходимо
 Какая производительности потребуется (ширина интернет
канала/стандартные уровни нагрузки в сети)
 Примерное количество соединений в секунду которые будут
устанавливаться (не всегда необходимо)
 Сколько VPN подключений и какого типа
потребуется
 и т.д.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 19

20. Выбор устройства
http://www.slideshare.net/fullscreen/CiscoRu/asa-5500x/1
Подробную информацию характеристиках моделей можно найти по
ссылке
http://www.cisco.com/en/US/products/ps6120/products_data_sheets_list.ht
ml#anchor1
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 20

21. Выбор лицензии
На младших моделях ASA (5505/5510/5512-X) присутствует деление на
лицензии Base и Security +, и уникальная для ASA5505 лицензия на
количество подключенных ПК
Base:
 Ограничение по количеству VLAN и Trunks (5505)
 Ограничение по количеству VPN подключений (5505)
 Ограничение по количеству соединений
 Ограничение по скорости интерфейсов (5510)
Security +
 Устройство работает в полную меру своих аппаратных возможностей
Количество ПК (5505):
 10/50/Unlimited
Кроме того для всех устройств могут приобретаться лицензии на
 Контексты (кроме 5505)
 Количество VPN клиентов
 Функционал Unified Communications
 IPS/Content Security
 И другие функции
Подробней:
http://www.cisco.com/en/US/docs/security/asa/asa91/license/license_management/li
cense.html
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 21

22. License Notes:
 Подключение Easy VPN клиентов не лицензируется
 AnyСonnect VPN подключения бывают двух типов
 Существуют временные лицензии практически на все функции
 При использовании High-Availability лицензии приобретаются только на Active
устройство
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 22

23. Начальная настройка устройства:
ASA5505 внешний вид ASA5505 настройки по умолчанию
 Имя устройства ciscoasa
 Enable password/ASDM login&password blank (при запросе
пароля жмем Enter)
 Inside interface - Vlan 1 в нем находиться порты 0/1-0/7
Ip address: 192.168.1.1 255.255.255.0
 Outside interface – Vlan 2 в нем находиться порт 0/0,
получения ip адреса через DHCP
 Маршрутом по умолчанию устанавливается gateway
полученный по DHCP
 Запущен http server для доступа к устройства по ASDM
 Административный доступ возможен через ASDM (для
сети 192.168.1.0/24) и консоль
 Сеть Inside интерфейса транслируется в адрес Outside
интерфейса
 На Inside interface запущен dhcp server диапазон
192.168.1.5 - 192.168.1.36
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 23

24. Приступаем к работе:
 Рисуем топологию
 Описываем свои задачи:
Динамический NAT для inside пользователей, статический NAT для
DMZ_Server, ACL для DMZ сервисов, …
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 24

25. Cisco ASA: практический курс
Короткий тренинг-курс по устройствам Cisco ASA, ориентированный на предоставление
слушателям основных практических знаний по работе с устройством
Программа курса включает в себя рассмотрение теоретических вопросов и практику по
следующим темам:
1. Обзор технологий, применяющихся в специализированных устройствах
безопасности Cisco ASA.
2. Введение в линейку продуктов Cisco ASA.
3. Базовые сетевые настройки Cisco ASA.
4. Настройка базовых функций по управлению устройством.
5. Настройка трансляции сетевых адресов (NAT – Network Address Translation) на Cisco
ASA.
6. Настройка ACL.
7. Настройка функций маршрутизации на Cisco ASA.
8. Настройка VPN на Cisco ASA.
9. Настройка межсетевого экрана на Cisco ASA
в режиме “Transparent”
Подробнее http://www.skillfactory.ru/courses/cisco_asa
А какие еще курсы по решениям Cisco в области безопасности
Вам интересны? http://bit.ly/12kkoi5
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 25

26. Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 26

27. Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Public 27