Cisco ASA - Cisco ASA - Wikipedia
v počítačové sítě, Adaptivní bezpečnostní zařízení řady Cisco ASA 5500nebo jednoduše Cisco ASA, je Cisco řada z zabezpečení sítě zařízení představená v květnu 2005,[1] který vystřídal tři stávající řady populárních produktů Cisco:
- Cisco PIX, který poskytl firewall a překlad síťových adres Funkce (NAT) ukončily prodej 28. července 2008.[2]
- Řada Cisco IPS 4200, která fungovala jako systémy prevence narušení (IPS).
- Koncentrátory řady Cisco VPN 3000, které poskytly virtuální privátní sítě (VPN).
Cisco ASA je jednotné zařízení pro správu hrozeb kombinující několik funkcí zabezpečení sítě v jednom boxu.[3]
Recepce a kritika
Společnost Cisco ASA se stala jedním z nejpoužívanějších řešení brány firewall / VPN pro malé a střední podniky.[4] První recenze ukázaly, že chybí nástroje Cisco GUI pro správu zařízení.[5]
Bezpečnostní chyba byla zjištěna, když uživatelé přizpůsobili Clientless SSL VPN možnost jejich ASA, ale byla opravena v roce 2015.[6]Další chyba ve funkci WebVPN byla opravena v roce 2018.[7]
V roce 2017 Shadow Brokers odhalila existenci dvou zneužití eskalace privilegií proti ASA zvané EPICBANANA[8] a EXTRABACON.[9][10] Implantát pro vložení kódu s názvem BANANAGLEE byl společností JETPLOW vyroben jako perzistentní.[11]
Funkce
5506W-X má v ceně WiFi bod.
Architektura
Software ASA je založen na Linuxu. Spouští jediný program spustitelného a spojitelného formátu s názvem lina. Toto naplánuje procesy interně, nikoli pomocí zařízení Linux.[12] V zaváděcí sekvenci se spustí zavaděč s názvem ROMMON (ROM monitor), který načte jádro Linuxu a poté načte lina_monitor, který poté načte linu. ROMMON má také příkazový řádek, který lze použít k načtení nebo výběru dalších softwarových obrázků a konfigurací. Názvy souborů firmwaru zahrnují indikátor verze, -smp znamená, že je pro symetrický víceprocesor (a 64bitová architektura) a různé části také označují, zda 3DES nebo AES je podporováno nebo ne.[12]
Software ASA má podobné rozhraní jako Cisco IOS software na směrovačích. Existuje rozhraní příkazového řádku (CLI), které lze použít k dotazování na provoz nebo konfiguraci zařízení. V režimu konfigurace se zadávají konfigurační příkazy. Konfigurace je zpočátku v paměti jako spuštěná konfigurace, ale normálně by se ukládala do paměti flash.[12]
| verze softwaru[12] | |||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| hlavní vydání | 7.0 | 7.1 | 7.2 | 8.0 | 8.1 | 8.2 | 8.3 | 8.4 | 8.5 | 8.6 | 8.7 | 9.0 | 9.1 | 9.2 | 9.3 | 9.4 | 9.5 | 9.6 | 9.7 | 9.8 | 9.9 |
| propuštěn[13] | 31. května 2005 | 6. února 2006 | 31. května 2006 | 18. června 2007 | 1. března 2008 | 6. května 2009 | 8. března 2010 | 31. ledna 2011 | 8. července 2011 | 28. února 2012 | 16. října 2012 | 29. října 2012 | 3. prosince 2012 | 24. dubna 2014 | 24. července 2014 | 30. března 2015 | 12. srpna 2015 | 21. března 2016 | 4. dubna 2017 | 15. května 2017 | 4. prosince 2017 |
| konec života | × | × | × | × | × | × | × | × | × | × | × | × | × | × | |||||||
| pro 5505-5550 | Y | Y | Y | Y | Y | Y | Y | Y | Y | ||||||||||||
| pro 5512-5585-X | Y | Y | Y | Y | Y | Y | Y | Y | Y | Y | Y | Y | |||||||||
Možnosti
K 5512-X, 5515-X, 5525-X, 5545-X a 5555-X lze přidat další kartu rozhraní.[14]
5585-X má možnosti pro SSP. SSP znamená procesor bezpečnostních služeb.[15] Ty se pohybují výkonovým faktorem o faktor 10, od SSP-10 SSP-20, SSP-40 a SSP-60. ASA 5585-X má slot pro I / O modul. Tento slot lze rozdělit na dva moduly poloviční šířky.[16]
U modelů nižší třídy jsou některé funkce omezené a k odpisování dochází při instalaci licence Security Plus. To umožňuje více VLAN nebo VPN kolegové a také vysoká dostupnost.[14] Cisco AnyConnect je další licencovatelná funkce, která funguje IPSec nebo SSL tunely klientům na PC, iPhonech nebo iPadech.[17]
Modely
Model 5505 představený v roce 2010 byl stolní jednotka určená pro malé podniky nebo pobočky. Zahrnovalo funkce ke snížení potřeby dalšího vybavení, jako je například vestavěný přepínač a napájení přes Ethernet porty.[18]5585-X je jednotka s vyšším výkonem pro datová centra představen v roce 2010.[19] Běží v 32bitovém režimu na čipu Atom s architekturou Intel.[12]
| Modelka | 5505[20] | 5510 | 5520[20] | 5540[20] | 5550[20] | 5580-20[20] | 5580-40[20] | 5585-X SSP10[20] | 5585-X SSP20[20] | 5585-X SSP40[20] | 5585-X SSP60[20] |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Jasný text propustnost, Mbit / s | 150 | 300 | 450 | 650 | 1,200 | 5,000 | 10,000 | 3,000 | 7,000 | 12,000 | 20,000 |
| AES /Triple DES propustnost, Mbit / s | 100 | 170 | 225 | 325 | 425 | 1,000 | 1,000 | 1,000 | 2,000 | 3,000 | 5,000 |
| Max. Počet současných připojení | 10 000 (25 000 s licencí Sec Plus) | 50 000 (130 000 s licencí Sec Plus) | 280,000 | 400,000 | 650,000 | 1,000,000 | 2,000,000 | 1,000,000 | 2,000,000 | 4,000,000 | 10,000,000 |
| Maximální počet relací VPN typu site-to-site a vzdálený přístup | 10 (25 s licencí Sec Plus) | 250 | 750 | 5,000 | 5,000 | 10,000 | 10,000 | 5,000 | 10,000 | 10,000 | 10,000 |
| Maximální počet relací uživatelů SSL VPN | 25 | 250 | 750 | 2,500 | 5,000 | 10,000 | 10,000 | 5,000 | 10,000 | 10,000 | 10,000 |
| Modelka | 5505 | 5510 | 5520 | 5540 | 5550 | 5580-20 | 5580-40 | 5585-X SSP10 | 5585-X SSP20 | 5585-X SSP40 | 5585-X SSP60 |
Společnost Cisco zjistila, že většina zařízení nižší třídy měla příliš malou kapacitu, aby zahrnovala potřebné funkce, jako je antivirový program nebo izolovaný prostor, a proto zavedla novou linku nazvanou firewall nové generace. Ty běží v 64bitovém režimu.[12]
Modely od roku 2018.[14]
| Modelka | 5506-X | 5506W-X | 5506H-X | 5508-X | 5512-X | 5515-X | 5516-X | 5525-X | 5545-X | 5555-X | 5585-X |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Propustnost Gb / s | 0.25 | 0.25 | 0.25 | 0.45 | 0.3 | 0.5 | 0.85 | 1.1 | 1.5 | 1.75 | 4-40 |
| GB porty | 8 | 8 | 4 | 8 | 6 | 6 | 8 | 8 | 8 | 8 | 6-8 |
| Deset GB portů | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 2-4 |
| Provedení | plocha počítače | plocha počítače | plocha počítače | 1 RU | 1 RU | 1 RU | 1 RU | 1RU | 1RU | 1RU | 2RU |
Reference
- ^ Tisková zpráva společnosti Cisco Archivováno 04.12.2012 na Wayback Machine citát: „Las Vegas (Interop) 3. května 2005 - Cisco Systems, Inc., dnes oznámila dostupnost adaptivních bezpečnostních zařízení řady Cisco ASA 5500“
- ^ Davis, David (19. února 2008). „Převod ze starého na nový pomocí nástroje PIX na nástroj ASA Migration Tool“. TechRepublic.
- ^ Davis, David (30. června 2005). „Poznejte nové bezpečnostní zařízení společnosti Cisco: ASA 5500“. TechRepublic. Citováno 21. března 2018.
- ^ „Co je to Cisco ASA? Přehled Cisco ASA“. Citováno 28. prosince 2012.
- ^ „Cisco zasáhne firewall / VPN, chybí snadné použití“. Citováno 28. prosince 2012.
- ^ Saarinen, Juha (20. února 2015). „Neopravené brány firewall Cisco ASA cílené hackery“. iTnews. Citováno 20. března 2018.
- ^ Saarinen, Juha (30. ledna 2018). „Funkce Cisco ASA VPN umožňuje vzdálené spuštění kódu“. iTnews.
- ^ „NVD - CVE-2016-6367“. nvd.nist.gov. Citováno 2020-07-13.
- ^ „NVD - CVE-2016-6366“. nvd.nist.gov. Citováno 2020-07-13.
- ^ „Shadow Brokers EPICBANANA a EXTRABACON Exploits“. Blogy společnosti Cisco. 2016-08-17. Citováno 2020-07-13.
- ^ „Katalog operací brány firewall skupiny Equation“. musalbas.com.
- ^ A b C d E F „Úvod do společnosti Cisco ASA“. www.nccgroup.trust.
- ^ „Nové funkce Cisco ASA podle vydání“. Cisco.
- ^ A b C „Cisco ASA s datovým listem služeb FirePOWER Services“. Cisco. 9. února 2018. Citováno 20. března 2018.
- ^ Moraes, Alexandre M. S. P. (2011). Brány firewall společnosti Cisco. Cisco Press. ISBN 9781587141119.
- ^ „Datový list stavové brány firewall Cisco ASA 5585-X“. Cisco. 7. června 2017.
- ^ Carroll, Brandon (5. ledna 2011). „Cisco AnyConnect vs. IPsec VPN: licenční aspekty“. TechRepublic.
- ^ „Cisco rozšiřuje zabezpečení“. Síťové výpočty. 9. července 2006.
- ^ „Vysoce výkonné zařízení ASA od společnosti Cisco, nová verze služby Anyconnect“. Síťové výpočty. 5. října 2010.
- ^ A b C d E F G h i j „Stránka Porovnání modelů Cisco ASA“. Citováno 2008-05-15.