Как получить максимум от сетевого экрана cisco asa?
DESCRIPTION
Автор презентации – инструктор SkillFactory, международный эксперт по информационной безопасности, специалист CCIE Security Сергей Кучеренко. Запись вебинара "Как получить максимум от сетевого экрана Cisco ASA?" – http://www.youtube.com/watch?v=GJJj4_htPsQ&feature=plcp Подписывайтесь на наш канал YouTube и будьте в курсе новых образовательных событий! http://www.youtube.com/subscription_center?add_user=skillfactoryvideoTRANSCRIPT
Presentation_ID 1© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
Как получить максимум от сетевого экрана Cisco
ASA?
Сергей Кучеренко
Presentation_ID 2© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
О чем Мы поговорим:
Функционал межсетевого экрана Cisco ASA
Новые версии Cisco ASA
Новое ПО Cisco ASA 9.1
Подбор ASA и лицензии под нужную задачу
Начальная настройка устройства с использованием Startup-Wizard
Presentation_ID 3© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
ASA – Adaptive Security Appliance, многофункциональное устройство
безопасности способное реализовать ряд функций
Firewall
VPN Concentrator
Intrusion Prevention
Content Security
Функционал Cisco ASA:
Presentation_ID 4© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
Функции Firewall:1. Сегментация сети разделение сети на зоны доверия и контроль
прохождения трафика между зонами.Сегментация происходит за счет назначения каждому интерфейсу уровня безопасности (Security-Level)Security-Level – число в диапазоне от 0 до 100 (100 – самый безопасный, 0 – самый опасный)
Правила Security Levels: Traffic from higher to lower Security Level – permitted by default Traffic from lower to higher Security Levels– denied by default для
прохождения трафика нужно явное разрешение в ACL Identical Security Levels - denied by default
Internet
WEB Server
DMZ Zone
Inside Zone
Outside Zone
permit tcp any WEB_SRV eq 80
100
50
0
Presentation_ID 5© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
2. Statefull Firewall (Межсетевой экран хранящий информацию о сессиях) – Если трафик разрешен по правилам Security Levels ASA создает запись об этой сессии в таблице сессий
Получив пакет ASA проверяет является ли он частью ранее созданной сессии если да то такой пакет пропускается
Protocol Source IP Source Port Dest. IP Dest. Port Timeout
UDP 192.168.1.10 1024 1.1.1.10 53 20s
TCP 192.168.1.10 1025 1.1.1.1 80 3600s
Internet
WEB Servervk.com1.1.1.1
DNS Server1.1.1.10
192.168.1.10
S_IP:192.168.1.10
D_IP:1.1.1.10
D_Por:53
S_Por:1024
Data: DNS Req
S_IP:1.1.10
D_IP:192.168.1.10
D_Por:1024
S_Por:53
Data: DNS Resp
S_IP:192.168.1.10
D_IP:1.1.1.1
D_Por:80
S_Por:1025
Data: http req
S_IP:1.1.1
D_Por:1025
S_Por:80
Data: http Resp
D_IP:192.168.1.10
Presentation_ID 6© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
2. Application Inspection – инспекция протоколов на 7 уровне модели OSI
Контроль большого количества приложений на соответствие их поведения описанным политикам (есть встроенные политики, так же есть возможность тонкой настройки). Кроме того для приложений использующих динамические подключения (ex: FTP) ASA использует Application Inspection для создания дополнительных сессий
Internet
FTP Client
permit tcp any FTP_SRV eq 21
FTP использует два порта TCP 21 (Control) TCP 20 (DAT), благодаря Application Inspection мы можем открывать на ASA только порт 21 для входящих подключений. Доступ на порт TCP 20 будет открыт динамически
To TCP/21 Хочу скачать файл winamp.exe
From TCP/21 Ок! Подключись ко мне на TCP/20
Data block requestTo TCP/20
Data block responseFrom TCP/20
FTP Server
Presentation_ID 7© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
4. NAT – трансляция сетевых адресов в пакетах при прохождении межсетевого экрана Виды NAT:
Object NAT – простой в настройке вид NAT, делаем трансляцию только source IP, или Destination IP
Static NAT, Dynamic NAT, Static PAT, Dynamic PAT Twice NAT – более сложный но более гибкий вид NAT, есть
возможность транслировать как Source так и Destination Identity NAT – трансляция адреса в себя же Static NAT, используется при настройке VPN
Presentation_ID 8© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
5. Firewall Modes – устройство может работать в двух режимах:
Routed mode - ASA работает как L3 устройство, выступая шлюзом по умолчанию для ПК подключенных в сети ее интерфейсов, и может обмениваться маршрутной информацией с другими L3 устройствами при использовании протоколов динамической маршрутизации
Transparent mode - ASA работает как L2 устройство. Устанавливается в разрыве сети на пути следования трафика такой вариант не требует редизайна адресного пространства
Presentation_ID 9© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
6. Virtualization – в рамках одного физического устройства есть возможность создать несколько виртуальных.Эти виртуальные устройства будут не зависимые (Единственно в чем они едины это количество аппаратных ресурсов физического устройства)
Виртуальная ASA = Context
Presentation_ID 10© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
7. High Availability – возможность организовать отказоустойчивую группу из межсетевых экранов, когда при выходи из строя одного из устройств трафк продолжает идти через другое.Методы High Availability:
FailoverA. Active/Standby – одно устройство обрабатывает все запросы (Active),
второе устройство хранит информацию о текущих подключениях и ожидает(Standby) выхода из-строя первого
B. Active/Active – используется принцип виртуализации. Два устройства разделяются на контексты (ex: CTX1, CTX2). При этом первое устройство будет Active для первого контекста (CTX1) а второе будет активным для второго контекста (CTX2), в случаи отказа первого устройства весь трафик будет обрабатываться вторым.
Presentation_ID 11© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
Clustering – реализация High-Availability при которой все устройства занимаются обработкой пользовательского трафика. При этом устройство Master в кластере выбирает кем из участников кластера должна быть обработана каждая конкретная сессия
Presentation_ID 12© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
8. Identity Firewall – возможность создавать списки контроля доступа использую вместо source ip address логин пользователя в MS AD или группу в которой находиться пользователь Кроме того вместо destination IP можно использовать FQDN
Internet
WEB Servervk.com1.1.1.1
WEB Serverfacebook.com
1.1.1.10
Ivan/IT192.168.1.10
Oleg/Finance192.168.1.11
permit tcp Ivan vk.com eq 80deny tcp Ivan facebook.com eq 80deny tcp Oleg vk.com eq 80permit tcp Oleg facebook.com eq 80
vk.com
facebook.com
vk.com
facebook.com
What Login have:192.168.1.10And192.168.1.11?
Presentation_ID 13© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
VPN Concentrator:
ASA имеет поддержку различных видов VPN технологий1. Site-to-Site VPN – объединение сетей двух разнесенных офисов через Интернет
2. Remote Access VPN – возможность для пользователя с помощью специального ПО (VPN client) защищенно подключиться к ASA и получить доступ к ресурсам организации так как будто пользователь находиться в локальной сети.
Presentation_ID 14© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
3. Clientless ssl VPN – пользователю достаточно WEB браузера, в нем по https он подключается на внешний интерфейс ASA, проходит аутентификацию и попадает портала. С портала используя http/https RDP Telnet/SSHПользователь может получить доступ к ресурсам предприятия
Presentation_ID 15© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
IPS:В основе IPS (Intrusion Prevention System) от Cisco лежат три основных подхода1. Сканирование трафика на соответствие известным сигнатурам атак2. Информирование администратора о сетевых аномалиях3. Проверка репутации IP адресов сети Интернет на их возможную
зловредность В ASA функции IPS реализуются в виде: Специальных аппаратных модулей (старая линейка ASA 55xx) Не посредственно операционной системой ASA (новая линейка ASA 55xx-X)Функционал открывается лицензиейСканировать можно как весь проходящий через устройство трафик так и трафик с/для определенных IP адресов
Internet
WEB Server
Client-Server traffic
Проверка репутации
Проверка сигнатурами
Проверка на аномалии
Cisco Inelegance Operations
Signature update
Reputationupdate
Presentation_ID 16© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
Content Security:
Новый функционал для ASA выполняющий: Управление доступом к WEB ресурсам по URL категориям (social networking,
gaming, adult…) Управления доступом к приложениям использующим WEB (Facebook games,
Skype…) Аутентификацию пользователей (LDAP или MS AD) Проверка сайта на потенциальную зловредность по его репутации
Доступен в виде:Аппаратного модуля в ASA5585-XПрограммного модуля в ASA5500-X
Presentation_ID 17© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
Новые версии Cisco ASA
Новое семейство устройств ASA 5500-Х: 5512-X replace 5510 5525-X replace 5520 5545-X replace 5540 5555-X replace 5550На сегодняшний день нет замены для ASA5505 самого младшего устройства
Новое серия характеризуется: Использование многоядерных процессоров 4-х кратное увеличение объема памяти Специализированные аппаратные ускорители IPS/VPN Реализация дополнительных сервисов программными
модулями
Presentation_ID 18© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
Новое ПО Cisco ASA 9.1
8.3
Историческая эволюция
Изменен принцип работы NAT FQDN support in ACL Global ACL
8.4,8.5
IKEv2 Etherchannel Identity Firewall
8.6,8.7
New family 5500-X ASA 1000V Software IPS
9.0,9.1
Trust Sec support Software ASA CX ScanSafe Support
Подробную информацию о новых функциях можно найти по ключевой фразе Cisco ASA New Features by Release введенной в Google
Presentation_ID 19© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
Подбор ASA и лицензии под нужную задачу
Размещение устройства в сети (Интернет/ЦОД/Кампус/Удаленный офис)
Примерная схема внедрения устройства
Определить какие функции устройства необходимы
Определение количественных показателей
Сколько физических интерфейсов необходимо
Какая производительности потребуется (ширина интернет
канала/стандартные уровни нагрузки в сети)
Примерное количество соединений в секунду которые будут
устанавливаться (не всегда необходимо)
Сколько VPN подключений и какого типа
потребуется
и т.д.
Presentation_ID 20© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
Подробную информацию характеристиках моделей можно найти по ссылке http://www.cisco.com/en/US/products/ps6120/products_data_sheets_list.html#anchor1
http://www.slideshare.net/fullscreen/CiscoRu/asa-5500x/1Выбор устройства
Presentation_ID 21© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
Выбор лицензииНа младших моделях ASA (5505/5510/5512-X) присутствует деление на лицензии Base и Security +, и уникальная для ASA5505 лицензия на количество подключенных ПКBase:
Ограничение по количеству VLAN и Trunks (5505) Ограничение по количеству VPN подключений (5505) Ограничение по количеству соединений Ограничение по скорости интерфейсов (5510)
Security + Устройство работает в полную меру своих аппаратных возможностей
Количество ПК (5505): 10/50/Unlimited
Кроме того для всех устройств могут приобретаться лицензии на Контексты (кроме 5505) Количество VPN клиентов Функционал Unified Communications IPS/Content Security И другие функции
Подробней: http://www.cisco.com/en/US/docs/security/asa/asa91/license/license_management/license.html
Presentation_ID 22© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
License Notes: Подключение Easy VPN клиентов не лицензируется AnyСonnect VPN подключения бывают двух типов
Существуют временные лицензии практически на все функции При использовании High-Availability лицензии приобретаются только на Active
устройство
Presentation_ID 23© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
Начальная настройка устройства:ASA5505 внешний вид ASA5505 настройки по умолчанию
Имя устройства ciscoasa
Enable password/ASDM login&password blank (при
запросе пароля жмем Enter)
Inside interface - Vlan 1 в нем находиться порты 0/1-0/7
Ip address: 192.168.1.1 255.255.255.0
Outside interface – Vlan 2 в нем находиться порт 0/0,
получения ip адреса через DHCP
Маршрутом по умолчанию устанавливается gateway
полученный по DHCP
Запущен http server для доступа к устройства по ASDM
Административный доступ возможен через ASDM (для
сети 192.168.1.0/24) и консоль
Сеть Inside интерфейса транслируется в адрес Outside
интерфейса
На Inside interface запущен dhcp server диапазон
192.168.1.5 - 192.168.1.36
Presentation_ID 24© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
Приступаем к работе: Рисуем топологию
Описываем свои задачи:Динамический NAT для inside пользователей, статический NAT для DMZ_Server, ACL для DMZ сервисов, …
Presentation_ID 25© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
Cisco ASA: практический курсКороткий тренинг-курс по устройствам Cisco ASA, ориентированный на предоставление слушателям основных практических знаний по работе с устройством
Программа курса включает в себя рассмотрение теоретических вопросов и практику по следующим темам:
1. Обзор технологий, применяющихся в специализированных устройствах безопасности Cisco ASA.
2. Введение в линейку продуктов Cisco ASA.3. Базовые сетевые настройки Cisco ASA.4. Настройка базовых функций по управлению устройством.5. Настройка трансляции сетевых адресов (NAT – Network Address Translation) на Cisco
ASA.6. Настройка ACL.7. Настройка функций маршрутизации на Cisco ASA.8. Настройка VPN на Cisco ASA.9. Настройка межсетевого экрана на Cisco ASA в режиме “Transparent”
Подробнее http://www.skillfactory.ru/courses/cisco_asa
А какие еще курсы по решениям Cisco в области безопасностиВам интересны? http://bit.ly/12kkoi5
Presentation_ID 26© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public
Presentation_ID 27© 2008 Cisco Systems, Inc. All rights reserved. Cisco Public