Cisco ASA

✍️ Vláďa Smitka
📅 31. 07. 2013

ASA je zkratka pro Adaptive Security Appliance. Jedná se o zařízení, které poskytuje doplňkovou ochranu počítačové sítě - kombinuje v sobě firewall, základní gateway funkce (DHCP,...), anti-X (virus, spyware, phising...), IPS a VPN koncentrátor. Cisco ASA vychází z řady firewallů PIX je k dispozici v několika modelech lišících se výkonem a použitím. Původní řada ASA 5500 je nyní postupně nahrazována novými modely 5500-X. Z předchozí řady zůstává pouze nejnižší model ASA 5505, který je určen pro malé vzdálené pobočky.

cisco asa

Základní funkčností Cisco ASA je stavový firewall, který je možné doplnit o inspekci různých aplikačních protokolů na L7. Cisco ASA může fungovat ve 2 základních módech - transparentním a routovaném. V transparetním módu funguje pouze na L2 a filtruje provoz, který jí prochází - okolní zařízení neví o její existenci. V tomto módu má ASA pouze managovací IP adresu a nelze tedy využít funkcí, které jsou na IP adresu vázané - např. VPN koncentrátor. Výhodou tohoto módu je možnost nasazení beze změny konfigurace okolní sítě. V routovaném módu má ASA svou IP adresu v síti, na kterou je nasměrován provoz ostatních strojů. Lze využít další funkce, které ASA poskytuje - VPN, dynamické routování, NAT (od verze 8.0.2 je podporován i v transparetním módu).

Velmi časté je využití Cisco ASA pro VPN - ať už pro vzdálený přístup pracovníků do firemní sítě, tak pro Site-to-Site VPN pro propojení poboček. Jsou nabízeny tři hlavní formy VPN - ipsec (použití s Cisco EasyVPN klientem, nebo pro nastavení L2TP), AnyConnect a VPN pro přístup přes webové rozhraní. K tunelování obecně je vhodné zmínit, že ASA nepodporuje GRE tunely (používané např. i v PPTP VPN).

S určitými omezeními je možné Cisco ASA v routovaném módu využít i jako internetovou bránu. Je třeba si však uvědomit, že ASA zpracovává packety jiným způsobem než klasický router (má přednost NATovací tabulka před routovací, hlídá stav TCP spojení - může být problém s přístupem do dalších vnitřních subnetů,...). Díky tomu nemusí být vhodná pro toto využití ve složitějších sítích. Konfigurace pro toto použití je tak často složitější, než se na první pohled může zdát. Další omezení, které může způsobit problémy je, že DHCP server v Cisco ASA nepodporuje statickou rezervaci IP adres k MAC adresám (je však podporován DHCP relay a lze tak pro přiřazování IP adres využít jiné zařízení). V případě použití klasického routeru jako brány je možné Cisco ASA zapojit před router i za něj. Zapojení před router je v oficiálních materiálech méně časté, protože je často počítáno s tím, že WAN bude na jiném rozhraní než na ethernetu (ADSL,...). V našich podmínkách je však téměř vždy předávací rozhraní ethernetové a je tak možné použít Cisco ASA v tomto zapojení a ulehčit tak routeru např. zajišťování překladu adres.

Konfigurace zařízení je možná přes příkazovou řádku - syntaxe příkazů je často velmi podobná konfiguraci Cisco IOS, nebo přes grafické javové rozhraní ASDM. Vzhledem k možnosti konfigurace velmi rozsáhlých acceslistů je pohodlnější konfigurace přes grafické rozhraní. Vyšší modely poskytují funkci Security Context, kdy v rámci jednoho fyzického zařízení můžete nakonfigurovat několik nezávislých firewallů.

ASDM

Nepříjemností (převážně u nižších modelů) může být složitá licenční politika. U nižších modelů (5505, 5510, 5512-X) jsou k dispozici dvě různé základní licence - Base a Security Plus. Rozdíl v těchto licencích může obnášet počet podporovaných VLAN (3/20 u 5505) a trunkových portů , omezení rychlosti portů (gigabitové uplinky u 5510 fungují jen na 100mbit), podporu vysoké dostupnosti, počet souběžných spojení a další vlastnosti. Vyšší řady mají pouze Base licenci. Dále může být licencí omezen počet VPN tunelů, počet komunikujících uživatelů, funkce anti-X, IPS,... Před výběrem vhodného typu je nutné detailně prostudovat licenční omezení. Reálně může dojít k tomu, že díky licencím můžete získat s minimálním cenovým rozdílem vyšší model, který má funkce již v základu (např. při potřebě zapojení s IPS pro vysokou dostupnost je vhodnější zvolit model 5515-X [cca 100 000,-] namísto 5512-X s licencí pro vysokou dostupnost [cca 80 000,- + 15 000,-  sec. plus licence]).

Nejčastěji na různá omezení budete narážet u nejlevnějšího modelu 5505, který je určený pro připojení malých vzdálených poboček k centrále. V základní výbavě s Base licencí [cca 7000,-] je zde omezen počet uživatelů na 10, tento limit je počítán jako počet IP adres, které komunikují z LAN do WAN (při překročení bude v logu hláška 450001 Deny traffic for ..., licensed host limit of 10 exceeded). Omezení počtu uživatelů se projevuje i v omezení počtu přidělených adres DHCP serverem na 32. Dále je omezen počet VLAN na pouhé 3, jejich funkce je navíc pevně daná: WAN, LAN, DMZ (DMZ nemůže komunikovat s LAN) a není zde podpora trunků. Omezení VLAN lze odstranit licencí Security Plus a pro zvýšení počtu uživatelů jsou licence dostupné také (na 50 uživatelů/128 DHCP adres, na neomezeně uživatelů/256 DHCP adres). Dále lze zakoupit licence na zvýšení počtu VPN tunelů a pro funkci Botnet Traffic Filter. Vyšší modely ASA 5500 lze rozšířit hardwarovým CSC-SSM modulem pro podporu antiviru, antispyware, antispam a dalších bezpečnostních funkcí. Pro modely ASA 5500-X nejsou tyto moduly k dispozici a jsou nahrazení komplexnějšími balíčky CX AVC a CX Web Security Essentials.Pro VPN jsou 2 základní licenční modely - AnyConnect Essentials a AnyConnect Premium. Aktivní můžete mít pouze jeden z nich. AnyConnect Essentials (L-ASA-AC-E-55xx) rozšiřuje počet možných VPN spojení na maximum co daný HW umožňuje (při aplikaci budou deaktivovány testovací premium funkce - např. 2 SSL VPN sessiony). AnyConnect Premium (L-ASA-SSL-10, dříve známý pod názvy SSL VPN nebo AnyConnect Premium SSL VPN Edition) umožňuje používat některé funkcionality navíc: SSL VPN (přístup do VPN přes webové rozhraní - potřeba zakoupit licence pro potřebný počet uživatelů), Advanced Endpoint Assessment (kontrola připojovaného klienta - zda aktuální antivir, zapnutý firewall,... - nutno aktivovat speciální licencí ASA-ADV-END-SEC), Shared Premium License (možnost sdílení licencí mezi více boxy v HA zapojení Active/Passive  - nutno aktivovat speciální licencí- active: L-ASA-VPNS-500, passive: L-ASA-VPNP-550XX), AnyConncet for Cisco VPN Phone (L-ASA-AC-PH-55xx, možnost přímého přípojení Cisco IP telefonů s nativní podporou VPN). Pro oba licenční modely je možné dokoupit licenci AnyConnect for Mobile (L-ASA-AC-M-55XX=) a využívat tak VPN z mobilních zařízení s iOS a Android 4 (případně rootnutých telefonů s nižší verze Android).

Zařízení Cisco ASA jsou velmi spolehlivá a při dobrém návrhu sítě jsou schopny zajistit funkčnost i bezpečnost na velmi vysoké úrovni. Vhodnou kombinací pro běžné firemní sítě je použití ASA 5512-X (případně 5515-X pro větší rychlosti a vysokou dostupnost) na centrální pobočce a ASA 5505 s vhodnými licencemi na vzdálené pobočky. Jako alternativu pro méně náročná zapojení lze využít zařízení řady Cisco ISA 500. Z řad jiných výrobců je velmi konkurenčním produktem Juniper SRX, který v sobě kombinuje plnohodnotný router a bezpečnostní appliance.

Štítky: ,

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


Lynt services s.r.o

Již 12 let vytváříme efektivnější kampaně, zrychlujeme weby a řešíme jejich bezpečnost. Kombinujeme marketing, vývoj a automatizaci.
poptávka služeb