«Компьютерные бизнес системы»
комплексные IT-услуги по развитию
корпоративной инфраструктуры

  +7 (495) 411-82-82      




Вопросы и ответы

Став нашим клиентом, Вы получаете возможность в любой момент воспользоваться технической консультацией наших экспертов, сертифицированных в области унифицированных коммуникаций, информационной безопасности, беспроводных сетей и пр. В данном разделе мы собрали ответы* на самые распространенные технические вопросы.


В данном разделе мы регулярно размещаем ответы на вопросы наших клиентов в области информационных технологий. Будьте в курсе новых материалов. Подпишитесь на рассылку.




Cisco

HPE




Какие преимущества даёт запуск сервисов FirePOWER на Cisco ASA?

Сервис FirePOWER становится незаменимым инструментом IT-специалиста, сотрудника отдела информационной безопасности и т.д. Данное решение способно надёжно защищать корпоративную сеть от информационных угроз «из вне». FirePOWER устойчиво занимает лидирующие позиции в области систем предотвращения вторжений по результатам отчётов Gartner, LSS Labs и других.

По результатам тестирования NSS Labs в конце 2014 года межсетевой экран Cisco ASA серии 5500 c сервисами FirePOWER занял лидирующие позиции в области межсетевого экрана нового поколения (Next Generation Firewall – NG FW).

Преимущества FirePOWER:

  • Надёжная система предотвращения вторжений нового поколения (NG IPS). Обеспечивает максимальный уровень защиты внутренних ресурсов компании от атак «из вне».
  • Полное видение сети. Технология Network visibility позволяет получать максимально полную информацию об устройствах, участвующих в сетевом взаимодействии. К такой информации относится версия операционной системы устройства, версия программного агента, участвующего в сетевом взаимодействии (браузер, клиент Skype и т.д.), пользователи, работающие на данном устройстве, вероятные уязвимости с точки зрения сетевой безопасности и многие другие параметры. Пример отображения параметров конечного оборудования представлен на рисунке ниже:

  • Распознавание файлов различных типов и проверка файлов на наличии вредоносного кода. Устройство способно распознавать более сотни различных типов файлов (mp3, mp4, bmp, rar, pdf и т.д.). Кроме того, технология Advanced Malware Protection (AMP) позволяет проверять скачиваемые/выгружаемые файлы на наличие вредоносного кода.
  • Ретроспективный анализ. Обеспечивается реакция системы не только до момента атаки или во время атаки, но и после её прохождения. Реакция системы после проведения атаки крайне важна для поддержания необходимого уровня безопасности. Ведь вредоносный код может попасть на конечное оборудование не только через сеть, но и простым подключением зараженного носителя. При таком прохождении атаки FirePOWER безусловно не может заблокировать вредоносный код на конечном оборудовании. Однако, если занесённый вирус проявит себя в сетевом взаимодействии, например, пытаясь распространиться на другие устройства, FirePOWER вычислит вирус, проследит заражённый код и пути его распространения по сети.
  • Межсетевой экран нового поколения. Позволяет настраивать гибкие политики доступа. Возможна настройка фильтрации по Интернет-приложениям, URL и категориям URL, репутации сайтов.
  • Интеграция с Active Directory. Политики доступа могут быть применены к конкретным пользователям или группам пользователей AD вне зависимости от клиентского устройства, с которого осуществляется сетевое взаимодействие.
  • Широчайшие возможности мониторинга, создания гибких отчётов. Пример предлагаемых отчётов представлен на рисунке ниже:

  • Гибкие возможности интеграции в сетевую инфраструктуру. Сервис FirePOWER может быть запущен как программный блейд на межсетевом экране Cisco ASA серии 5500, как виртуальная машина для гипервизора VMWare ESXi или как отдельное физическое устройство. В последнем случае предлагается широчайший спектр моделей устройств, рассчитанных на различные требования по производительности. Сервис FirePOWER может быть запущен как в режиме мониторинга, так и в режиме «inline».

Что такое NPE?

Данная аббревиатура (NPE — No payload encryption) означает, что в программном обеспечении отсутствуют функции любого шифрования, кроме шифрования данных, передаваемых при управлении устройством, а именно протоколом SSH, SSL в рамках HTTPS и SNMPv3. Маршрутизаторы и межсетевые экраны Cisco с программным обеспечением NPE попадают в категорию С2.


Как запустить сервисы FirePOWER на ASA 5500-X?

Начиная с августа 2014 года сервисы SourceFire стали доступны на межсетевых экранах ASA 5500-X в виде виртуального блейда. В сентябре 2014 года согласно отчёту рейтингового агентства NSS Labs межсетевой экран Cisco ASA с сервисами FirePOWER стал лучшим межсетевым экраном нового поколения (NGFW), среди всех протестированных решений (Palo Alto, Check Point, McAfee, Fortinet и др.).

Для того, чтобы запустить сервисы FirePOWER на Cisco ASA 5500-X необходимо выполнение следующих условий:

  1. Наличие SSD-диска на Cisco ASA. Если в наличие уже имеется Cisco ASA, SSD-диск можно заказать отдельным парномером ASA5500X-SSD120=. Если речь идёт о новой закупке, выгоднее приобрести бандл, включающий SSD диск, например, ASA5512-SSD120-K9. Рекомендуется приобретать именно такой бандл, даже если в ближайшем времени нет планов использовать сервисы FirePOWER. Новые модели ASA5506, 5508 и 5516 оснащены SSD-диском по умолчанию.
  2. Версия программного обеспечения ASA начиная с версии 9.2.2.
  3. Наличие SmartNet для соответствующей модели, покрывающего сервисы FirePOWER. Например: CON-SNT-A12FPK9.
  4. Наличие позиции Control License (Protect/Control/AVC). Данная позиция является бесплатной, однако должна быть включена в спецификацию. Пример партномера: ASA5512-CTRL-LIC.
  5. Лицензия-подписка на сервисы FirePOWER. Лицензии-подписки доступны в следующих пяти комбинациях:

    Где IPS – система предотвращения вторжений;
    URL - URL-фильтрация по репутации и категориям сайтов;
    AMP – борьба с вредоносным кодом и угрозами нулевого дня.

    Пример партномера подписки: L-ASA5512-TAMC=

    При использовании резервных устройств на них должны приобретаться те же подписки, что и на основное. Конфигурация также должна быть абсолютно идентична основному устройству.

    Подписки доступны на 1, 3 и 5 лет для новых моделей ASA5506, 5508 и 5516, а также моделей ASA5525 и старше. Для ASA5512 и ASA5515 – подписки только на 1 и 3 года.

  6. Системы управления сервисами FirePOWER. Для полноценного управления сервисами FirePOWER необходимо заказать систему управления FirePOWER Management Center (Defence Center, FireSIGHT). Самый доступный вариант – в виде виртуальной машины. Виртуальная машина может быть скачана бесплатно с сайта cisco.com, однако, для её активации необходимо наличие лицензии:

    • FS-VMW-2-SW-K9 на 2 устройства ASA with FirePOWER services
    • FS-VMW-10-SW-K9 на 10 устройств ASA with FirePOWER services
    • FS-VMW-SW-K9 на 25 устройств FirePOWER или ASA with FirePOWER services

    Для новых моделей ASA5506, 5508 и 5516 заказ системы управления FireSIGHT является опциональным. Для новых моделей настройка сервисов FirePOWER может быть осуществлена посредством ASDM. Отдельный FireSIGHT необходим при некоторых требованиях, в частности, для построении отчётов.

    Для остальных моделей ASA5500-X также появилась возможность управления сервисами FirePOWER через ASDM для версий IOS 9.4(2) и 9.5(2).

    Отличия между управлением сервисами FirePOWER на ASA через ASDM и FirePOWER Management Center (Defence Center, FireSIGHT) рассмотрены здесь.

В настоящий момент существуют бандлы для ASA55XX-FPWR-BUN для соответствующих моделей Cisco ASA. Бандл включает все вышеперечисленные условия.

Для новых моделей ASA5506, 5508 и 5516, а также моделей ASA5525 и старше бандл ASA55XX-FPWR-BUN включает в себя как модели K8, так и модели K9 (на выбор), то есть, содержащие в ПО алгоритмы 3DES/AES.

В настоящий момент существуют UPGRADE-бандлы, включающие всё необходимое для запуска сервисов FirePOWER на существующей Cisco ASA. Например: ASA5515-FP-UPG


Что означает K7, K8 и K9 в парт-номере ASA5500? Почему можно без проблем заказывать только K7 и K8?

На данный момент серии ASA 5500 существует два варианта поставки K8 и K9, а для серии ASA 5500-X три – K7, K8 и K9.

Символ "K7" означает, что на ASA загружено программное обеспечение NPE. Такое оборудование можно ввозить без дополнительных разрешений, так как оно попадает в категорию C2.

Символ "K8" означает, что на ASA загружено программное обеспечение, которое поддерживает алгоритмы шифрования с длиной ключа меньше 56 бит. Это так называемые слабые алгоритмы шифрования. Таким алгоритмом шифрования является алгоритм DES. Это справедливо как для алгоритмов шифрования пользовательского трафика, так и для алгоритмов шифрования трафика управления. Данное оборудование можно ввозить без дополнительных разрешений, так как оно попадает в категорию C2.

Символ "K9" означает, что на ASA загружено программное обеспечение с лицензией 3DES/AES, которое поддерживает стойкие алгоритмы шифрования (больше 56 бит) и для шифрования пользовательского трафика и для шифрования трафика управления. Такое оборудование попадает в категорию C3 и требует получения лицензии Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России.

Изменить K7 на K8 можно только загрузкой нового ПО (это два разных образа ПО). Для выполнения этой операции необходимо иметь действующую расширенную гарантию (Smartnet) или приобрести отдельно возможность разового обновления ПО (ASA-SW-UPGRADE=, ASA 5500 Series One-Time Software Upgrade for Non-SMARTnet).

Изменить K8 на K9 можно загрузив специализированную лицензию, так как K9 – это расширение функционала образа K8. Данную лицензию можно получить бесплатно на сайте компании Cisco.


В чём отличие между использованием ASDM и FirePOWER Management Center (Defence Center, FireSIGHT) для управления сервисами FirePOWER на Cisco ASA?

С выходом версии FirePOWER 6.0.0.0 появилась возможность управления FirePOWER с помощью стандартного графического интерфейса Cisco ASA ASDM на всех моделях Cisco ASA серии 5500-X. До этого сервисы FirePOWER на моделях Cisco ASA 5512, 5515, 5525, 5545 и 5555 можно было настраивать только с помощью выделенной системы управления FirePOWER Management Center (далее FMC, другие названия Defence Center, FireSIGHT).

Однако, на настоящий момент времени (март 2016) ASDM имеет некоторые ограничения при настройке и управлении FirePOWER, по сравнению с FMC. Перечислим наиболее существенным ограничениям ASDM:

  1. Не поддерживается функциональность Network Discovery (автоматическое обнаружение хостов в сети, составление профилей для каждого обнаруженного хоста, включающего ОС хоста, пользователей хоста, открытые порты, индикаторы компрометации, уязвимости и т.д).
  2. Не поддерживается функциональность Next Generation IPS. Так как нет возможности обнаружения хостов в сети и составление профилей хостов (см. пункт 1), поддерживается только классический IPS.
  3. Не поддерживается автоматическое создание политик IPS. Требуемые для защиты сети сигнатуры IPS необходимо включать вручную. В то время как при использовании FMC система автоматически генерирует политики IPS (FireSIGHT Recommendations) на основании информации о сети, профилей хостов, сетевых транзакций, корреляции и т.д.
  4. Не поддерживается автоматизация обработки событий IPS. Не поддерживается автоматическое составление индикаторов компрометаций, корреляция событий, определение релевантности сигнатур атаки в соответствии с контекстом.
  5. Не поддерживается динамический анализ файлов в рамках функциональности Advanced Malware Protection (AMP), т.е. отправка всего файла в облако для расширенного анализа в файловой
  6. Не поддерживается захват файлов.
  7. Система построения отчётов. ASDM ограничен по возможности построения отчётов по сравнению с FMC. Кроме того, нет возможности экспортировать отчёты в разных форматах (HTML, PDF, CSV).

Управление сервисами FirePOWER на Cisco ASA через ASDM идеально подходит при использовании Cisco ASA в небольших офисах для подключения к Сети Интернет, когда основная задача сводится к настройке функциональности межсетевого экрана нового поколения (NGFW). ASDM предоставляет всё необходимое, чтобы настроить ограничения доступа к сайтам по категориям, ограничения по использованию Интернет-приложений (Skype, Torrent, TeamViewer), реализации политик на основании информации из MS Active Directory, ограничения по скачиванию выгрузки файлов. При этом, ASDM предоставляет средства отчётности начального уровня в виде преднастроенных панелей (Dashboards), на которые выводятся виджеты, отображающие необходимую информацию.

Наличие выделенной системы управления FMC требуется в случаях, когда необходимо обеспечить сервисы «продвинутой» безопасность для корпоративной сети. В частности, при необходимости запуска сервисов системы предотвращения вторжений нового поколения (NGIPS) настоятельно рекомендуется использование FMC. Кроме того, FMC необходим, когда существуют требования к созданию настраиваемых отчётов различного уровня сложности. Например, отчёты по посещению Интернет-ресурсов для конкретных пользователей, отчёты по загрузке Интернет-каналов различными Интернет-приложениями и т.д.


Какие варианты организации защищенного VPN соединения в центральном офисе на базе маршрутизатора Cisco существуют?

А. Получение лицензии Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России на ввоз оборудования категории С3. В этом случае приобретается любой маршрутизатор Cisco с функциями шифрования. Выбор маршрутизатора происходит, исходя из требуемой производительности.

Пример конфигурации:

Парт-номер Описание Кол-во
ISR4321-SEC/K9 Cisco ISR 4321 Sec bundle w/SEC license 1

Б. Использование решения от компании C-терра.

Модуль NME-RVPN, также как и модуль МСМ-950 сняты с производства.

Актуальное решение - С-Терра CSCO-STVM. Это программный модуль, в виде виртуальной машины (OVA). Данный модуль устанавливается на маршрутизаторы серии ISR4000.

Данное решение обладает ФСТЭК и ФСБ сертификатами и обеспечивает шифрование по ГОСТу.

Для того, чтобы данный программный модуль можно было установить на маршрутизатор, необходим Cisco SSD-диск для маршрутизатора и RAM+FLASH не менее 8 ГБ.

Производительность решения:

Пример конфигурации на базе ISR4321:

Парт-номер Описание Кол-во
ISR4321/K9 Cisco ISR 4321 (2GE,2NIM,4G FLASH,4G DRAM,IPB 1
MEM-4320-4GU8G 4G to 8G DRAM Upgrade (Fixed 4G + additional 4G) for ISR4320 1
MEM-FLSH-4U8G 4G to 8G eUSB Flash Memory Upgrade for Cisco ISR 4300 1
SSD-MSATA-200G 200 GB, SATA Solid State Disk for Cisco ISR 4300 Series 1
STVM-С1-ST-КС1 до 200 туннелей. Программный комплекс С-Терра Шлюз для маршрутизаторов Cisco 4321, 4331 с ограничением на 1 процессорное ядро 1

В. Использование сторонних (не Cisco) средств для шифрования. При этом подключение к сети Интернет и маршрутизацию трафика осуществляем на оборудовании Cisco. Например, используем полноценное решение от компании С-Терра - С-Терра Шлюз 1000 (прежнее название - CSP VPN Gate):

Парт-номер Описание Кол-во
CISCO2901/K9 Cisco 2901 w/2 GE,4 EHWIC,2 DSP,256MB CF,512MB DRAM,IP Base 1
S29NPEK9-15102T Cisco 2901-2921 IOS UNIVERSAL - NO PAYLOAD ENCRYPTION 1
HWIC-4ESW= Four port 10/100 Ethernet switch interface card 1
G-1000-D-4111-4-ST-KC2 DEPO Sky 1140, 4xLAN 1GB, Redundant PS, Rack mount 1U, СПДС-USB-01 1

В данной спецификации приведён модуль HWIC-4ESW для увеличения количества портов. К нему и будет подключен С-Терра Шлюз 1000.

Также, шлюз безопасности С-Терра доступен в виде виртуальной машины для различных платформ виртуализации (С-Терра Виртуальный шлюз).


Что такое Firepower Threat Defense?

Firepower Threat Defense (FTD) – это новый образ программного обеспечения для Cisco ASA 5500-X и нового модельного ряда устройств Firepower 2100/4100/9300. FTD включает в себя классическое ПО Cisco ASA и ПО сенсора Firepower, а управление и тем и другим происходит через Firepower Management Centre (FMC). Таким образом мы получаем единую консоль для централизованного управления сервисами Firepower и функционалом Cisco ASA. Однако, на настоящий момент (март 2017, FTD версии 6.2), значительным ограничением на классический функционал Cisco ASA является отсутствие возможности по настройки Remote Access VPN, в частности нельзя настроить Anyconnect.

Помимо доступа через FMC, на FTD можно попасть и через CLI по SSH. В CLI отсутствует возможность по настройке устройства, но присутствуют команды для мониторинга и траблшутинга. Большинство стандартных команд из категории show ничем не отличаются от таких же команд для «полноценных» ASAv/ASA. Есть команды capture, packet-tracer, debug, test и т.п.

Ещё одним вариантом управления FTD является «on-board» система FirePOWER Device Manger. Это легковесная система управления, встроенная в образ FTD. Обеспечивает базовые настройки устройства и предлагаем необходимый минимум для запуска устройства в небольшом офисе/филиале.

FTD так же доступен в виде виртуальной машины – vFTD. В этом случае, функции Cisco ASA выполняет ASAv30, сравнимая по производительности с Cisco ASA 5525-X.

Лицензирование FTD, в любых исполнениях, выполняется по новой схеме – Cisco Smart Software Licensing.


FirePOWER Management Center 6.2. Что нового?

FirePOWER Management Center (FMC, предыдущие названия Defence Center, FireSIGHT) – система управления решениями FirePOWER.

Версия FMC 6.2 стала доступна в начале 2017 года.

Среди наиболее заметных нововведений:

  • Поддержка TS Agent. Это агент для терминальных серверов, которые поможет с аутентификацией пользователей. Подробнее можно почитать в нашем блоге на хабре – ссылка.

Другие важные доработки касаются в основном FirePOWER Threat Defence (FTD - что это такое?):

  • Поддержка удобнейших инструментов Cisco ASA – Packet Tracer и Packet Capture. Packet Tracer запускает прохождение виртуального пакета с задаваемыми характеристиками через FTD. Позволяет проверять корректность настроек: будет ли пакет пропущен или отброшен, если отброшен, то каким правилом, какой выходной интерфейс будет выбран, какое правило NAT отработает и т.д.

    Packet Capture позволяет захватывать определяемые шаблоны трафика. Крайне удобно в процессе отладки. Например, можно понять, блокируются ли пакеты нашим устройством, или они даже не доходят до него.
  • Integrated Routing and Bridging (IRB). Теперь можно объединить физические L3 интерфейсы в bridge-группу. То есть, интерфейсы будут делать L2-switching и могут быть помещены в один vlan. Это крайне полезно в первую очередь для ASA5506, у которой 8 физических L3-инетфейсов. Теперь при установке ASA5506 в миниофисе нет необходимости докупать дополнительный коммутатор.
  • Site-to-Site VPN. Поддержка Site-to-Site IPsec была внедрена уже в версии 6.1. Но в той версии VPN можно было настроить только между двумя ASA (с софтом FTD или с обычным софтом). VPN между ASA и маршрутизатором не поддерживался. Авторизация VPN точек поддерживалась только по PSK. В версии 6.2 добавили аутентификацию по сертификатам, вместе с этим стал работать IPsec c маршрутизаторами.
  • URL Lookups. Часто встаёт вопрос, где посмотреть, будет ли знать FirePOWER категорию и репутацию того или иного сайта. Ранее, для этого необходимо было вручную проверять каждый URL через сайт brightcloud (http://www.brightcloud.com/tools/url-ip-lookup.php ). Теперь это можно сделать непосредственно через FMC сразу для нескольких URL:
  • FlexConfig. Позволяет деплоить с помощью FMC некоторые шаблоны CLI-команд ASA. FlexConfig помогает, если на ASA с софтом FTD нужно использовать функциональность, который пока не возможно настроить через FMC. Например:
    • Routing (EIGRP, PBR, and IS-IS);
    • Netflow (NSEL) export;
    • WCCP;
    • И т.д.

Наиболее существенный недостаток версии на данный момент – отсутствие VPN Remote access в любых видах (IPsec remote-access, L2TP over IPsec, Anyconnect, Clientless VPN). Данная функциональность не настраивается даже с помощью FlexConnect. Ожидается в следующих релизах.


Требуется решение для подключения дополнительного офиса с поддержкой стойкой шифрации. Какие возможны варианты?

А. Получение лицензии Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России на ввоз оборудования категории С3. В этом случае приобретается любой маршрутизатор Cisco с функциями шифрования. Выбор маршрутизатора происходит исходя из требуемой производительности, например:

Парт-номер Описание Кол-во
C881-K9* Cisco 880 Series Integrated Services Routers 1

* В качестве альтернативного варианта можно также использовать 891F.

Помимо маршрутизатора Cisco, можно рассмотреть вариант приобретения межсетевого экрана Cisco ASA. Во многих случаях решение Cisco ASA предоставляет весь необходимый функционал для подключения небольшого офиса к сети Интернет и организации защищённого соединения с ЦО.

Парт-номер Описание Кол-во
ASA5506-K9 ASA 5506-X with FirePOWER services, 8GE, AC, 3DES/AES 1

Б. Если организация является банком и хочет подключить удаленный офис, то можно использовать следующее решение:

Парт-номер Описание Кол-во
CISCO867VAE-PCI-K9* Cisco 867VAE Secure router with VDSL2/ADSL2+ over POTS 1

Данное решение не требует лицензии Минпромторга России на ввоз, так как попадает в одно из исключений и обладает нотификацией.

* Поддерживается подключение к Интернет по GigabitEthernet и VDSL/ADSL через телефонную линию. Не поддерживаются протоколы динамической маршрутизации EIGRP, OSPF, функционал DMVPN.

В. Покупка оборудования Cisco и С-терра.

Можно приобрести, например, маршрутизатор Cisco 881 с образом NPE и шлюз С-Терра Шлюз 100.

Другой вариант – ISR4321 + программный модуль С-терра CSCO-STVM (более подробно, см вопрос вариант «Б»).


Какие варианты операционных систем используются на решениях Cisco ASA и Cisco FirePOWER?

Решения Cisco ASA5500-X и новейшие решения Cisco FirePOWER серии 2100/4100/9000 входят в нишу сразу двух класс устройств: межсетевой экран нового поколения (NGFW) и система предотвращения вторжений нового поколения (NGIPS).

Наследственные решения Cisco FirePOWER серии 7000 и 8000 позиционируются в классе NGIPS. Существует несколько вариантов программного обеспечения, которые могут быть запущены на перечисленных платформах:

  • ASA OS – классическая операционная система ASA.
  • FirePOWER Services on ASA – программный модуль FirePOWER для Cisco ASA.
  • FirePOWER NGIPS – классическая операционная система IPS-сенсора FirePOWER.
  • FirePOWER Treat Defence (FTD) – консолидированная операционная система включающая в себя как функциональность ASA, так и модуля FirePOWER для Cisco ASA.

Устройства и соответствующие им варианты программного обеспечения удобно представить в табличном виде:

  Cisco ASA5500-X Cisco ASA5585 Cisco FirePOWER серии 2100/4100/9000 Cisco FirePOWER серии 7000 и 8000
ASA OS + + + -
FirePOWER Services on ASA + + - -
FirePOWER NGIPS - - - +
FirePOWER Treat Defence (FTD) + - + -

Замечание 1: помимо перечисленных решений Cisco для классов NGFW и NGIPS существуют также виртуальные решения для VMWare, KVM и AWS: NGFW Virtual на базе FTDv, NGIPS Virtual Appliance. Кроме того виртуальное решение FTDv может быть запущено на базе UCS E-Series блейд-серверов, которыми могу быть укомплектованы маршрутизаторы ISR G2 и ISR4K. Таким образом, функциональность FirePOWER может быть добавлена в том числе и на маршрутизаторы Cisco.

Замечание 2: Cisco FirePOWER серии 2100/4100/9000 используют операционную систему Cisco Firepower eXtensible Operating System (FXOS) как оркестратор и для низкоуровневого управления шасси. ASA OS или FTD являются гостевыми операционными системами относительно FXOS.


Почему возникли проблемы с поставкой крипто-содержащего оборудования на территорию РФ?

В соответствии с Российским законодательством (Указ 334 от 1995 года, ПП 957 2007) ввоз на территорию РФ крипто-содержащих средств с длиной ключа более 54 бит (алгоритмы шифрации 3DES/AES) разрешен только при получении лицензии Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России на каждую единицу оборудования.


Какие варианты систем управления могут быть использованы для решений Cisco ASA и Cisco FirePOWER?

Существуют следующие варианты управления:

  • ASA CLI – классическая командная строка Cisco ASA.
  • ASDM – графический интерфейс для управления Cisco ASA и частично сервисами FirePOWER, запущенными на Cisco ASA.
  • FMC (FirePOWER Management Center) – бывший Defence Center или FireSIGHT. Отдельно стоящая система управления решениями FirePOWER, включая FirePOWER Threat Defence.
  • FDM (FirePOWER Device Manager) – новейшая легковесная система управления, которая работает «из коробки», то есть по умолчанию встроена в образ FirePOWER Threat Defence.

Некоторые системы управления для некоторых вариантов программного обеспечения предоставляют ограниченные возможности настройки. Например, для ASA с сервисами FirePOWER с помощью ASDM можно настраивать полный функционал ASA, но ограниченный функционал FirePOWER (подробнее).

Устройства и соответствующие им варианты систем управления удобно представить в табличном виде. Обозначения в таблице:

  • ASA + полное управление ASA;
  • ASA ± ограниченное управление ASA;
  • ASA – управление ASA невозможно;
  • FP + полное управление сервисами FirePOWER;
  • FP ± ограниченное управление сервисами FirePOWER;
  • FP – управление сервисами FirePOWER не возможно.
  ASA CLI ASDM FMC FDM
Cisco ASA5500-X + FirePOWER Services ASA +
FP -
ASA +
FP ±
ASA –
FP +
-
Cisco ASA5500-X FTD image - - ASA ±
FP +
ASA ±
FP ±
Cisco ASA5585 + FirePOWER Services ASA +
FP -
ASA +
FP ±
ASA –
FP +
-
Cisco FirePOWER серии 2100 FTD image - - ASA ±
FP +
ASA ±
FP ±
Cisco FirePOWER серии 4100/9000 FTD image - - ASA ±
FP +
-
Cisco FirePOWER серии 7000 и 8000 - - FP + -

Замечание 1: ячейки таблицы, в которых отсутствуют красные поля, описывают единую систему управления. То есть настройка как сервисов ASA, так и сервисов FirePOWER может осуществляться из единой консоли управления. Единые системы управления:

  • ASDM - полная ASA, частичная FirePOWER;
  • FMC - частичная ASA, полная FirePOWER, должен использоваться софт FTD;
  • FDM – частичная ASA, частичная FirePOWER, должен использоваться софт FTD.

Замечание 2: в таблице отсутствуют полностью зелёные ячейки. То есть, любая единая система управления на настоящий момент имеет некоторые ограничения.

Замечание 3: если требуется управлять как ASA, так и сервисами FirePOWER без ограничений, на данный момент необходимо использовать различный варианты управления: CLI или ASDM для ASA и FMC для сервисов FirePOWER.


Как может быть использовано оборудование Cisco совместно с другими производителями при выполнении функций шифрования?

Сам процесс шифрования можно перенести на другие устройства, то есть, маршрутизатор Cisco отправляет трафик на другое устройство, которое его шифрует и возвращает обратно на маршрутизатор. При этом подключение к сети Интернет, маршрутизацию трафика, создание GRE туннеля, поддержку DMVPN (без шифрации данных) осуществляем на оборудовании Cisco.

Существует следующие варианты построения таких решений:

  • Маршрутизаторы Cisco ISR G2 или ISR4K совместно с блейд-серверами Cisco UCS-EN120S-M2, UCS-EN120E, UCS-EN140N-M2, на которых установлен виртуальный шлюз С-терра;
  • Маршрутизаторы Cisco ISR4k совместно с программным модулем С-терра CSCO-STVM (более подробно, см вопрос вариант «Б»);
  • Использование сторонних средств для шифрования, которые никак не интегрируются с оборудование Cisco. Например, С-терра Gate.

Требуется решение по построению VPN сети. При этом не предъявляется особых требований к стойкости алгоритмов шифрации. На каком оборудовании возможно реализовать проект?

В данной ситуации мы можем предложить реализовать данный проект на базе оборудования ASA K8. В этом случае трафик будет шифроваться, но стойкость алгоритма шифрования будет низкой. При этом не будет проблем со ввозом оборудования. Можно также рассмотреть вариант с использованием сторонних средств шифрования, например, С-терра.


Что означает категория C1, C2, С3 и С4?

Компания Cisco в Росcии использует свою внутреннюю классификацию сетевого оборудования. Все оборудование Cisco, доступное для ввоза на территорию РФ, делится на 4 категории:

  • C1 – продукты, не требующие разрешения на ввоз;
  • C2 – продукты, для который имеются зарегистрированные нотификации и разрешенные ко ввозу без лицензии;
  • C3 – продукты, подлежащие импорту с получением лицензии Минпромторга России, выдаваемой  на основании заключения центра по лицензированию, сертификации и защите государственной тайны ФСБ России (ЦЛСЗ);
  • C4 – продукты, не распределенные ни по одной из предыдущих категорий.

В категорию C2 попадают:

  • устройства со слабым шифрованием (длина ключа меньше 56 бит);
  • устройства с сильным шифрованием шифрование, но только для:
    • защиты канала управления устройством;
    • аутентификации;
    • беспроводного оборудования (радиус действия < 400 м);
    • защиты финансовых транзакций в рамках PCI DSS (для установки в банкоматах, POS-терминалах, удалённых офисах).
  • товары, у которых криптографическая функция заблокирована производителем;
  • криптографические средства, являющиеся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной.

Аналогичное распределение по своим категориям есть для беспроводного оборудования.


Что требуется от заказчика для ввоза криптосодержащего оборудования из категории C3?

На ввозимое криптосодержащее оборудование требуется получить разовую лицензию Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России. В лицензии указывается каждое конкретное ввозимое оборудование в необходимом количестве.


Можно ли ввезти крипто-содержащее оборудование на территорию РФ?

Да, это можно сделать. Практика показывает, что при корректном заполнении всех необходимых документов для Центра по лицензированию, сертификации и защите государственной тайны ФСБ России, вероятность получения данного разрешения достаточно высока. Основными данными, которые необходимо указать являются информация о конечном пользователе оборудования, цели использования оборудования и место его установки. Сроки получения разрешения, а также лицензии Минпромторга России могут варьироваться. Но уже сейчас они имеют более точные временные границы. За подробной информацией обращайтесь к менеджерам нашей компании.


Какие решения компании Cisco могут использоваться для защиты персональных данных в рамках ФЗ №152 и СТО БР ИББС?

Компания Cisco предлагает расширенное портфолио сертифицированных средств для защиты персональных данных.

Наиболее распространёнными являются аппаратные межсетевые экраны ASA, маршрутизаторы Cisco ISR первого и второго поколения, коммутаторы Cisco Catalyst. На всё это оборудование были получены сертификаты соответствия требованиям безопасности ФСТЭК. Таким образом, оборудование компании Cisco можно использовать в качестве средств межсетевого экранирования, сегментации сети и прочих средств для защиты персональных данных.

В настоящий момент решаются вопросы сертификации новых маршрутизаторов Cisco ISR4K (4300/4400), новой системы предотвращения вторжений IPS на базе оборудования FirePOWER.

В качестве средств криптографической защиты информации может быть использован виртуальный шлюз С-терра, запускаемый на базе модулей блейд-серверов Cisco UCS-EN120S-M2, UCS-EN120E, UCS-EN140N-M2 для маршрутизаторов ISR G2 (1900/2900/3900) и ISR4K (4300/4400). Решение соответствует требованиям к средствам криптографической защиты информации класса КС1.

Кроме того, для маршрутизаторов ISR4K (4300/4400) может быть использован программный модуль С-терра CSCO-STVM. Решение соответствует требованиям к средствам криптографической защиты информации класса КС1. Более подробно, см вопрос вариант «Б».

В случае предъявления высоких требований к производительности устройства шифрования может быть использовано VPN-решение компании «С-Терра» на базе Cisco UCS C-220 M4 (для моделей CSP VPN Gate 3000 и 7000) сертифицированное по классу КС1/КС2/КС3.


Можно ли защитить мобильное устройство под управлением Apple iOS или Android, используя технологии Cisco?

Да, это возможно, используя программное обеспечение Cisco AnyConnect версии 3.0 и выше. Это программный VPN-клиент компании Cisco, использующий протокол SSL для защиты передаваемых данных и имеющий интеграцию с решением по защите Web-трафика Cisco ScanSafe. Большим достоинством данного решения является то, что фильтрация Web-трафика происходит «в облаке», а не на самом устройстве, что существенно экономит его вычислительные ресурсы. Также защита Web-трафика никак не зависит от того установлено или нет VPN-соединение. При этом непосредственно само решение Cisco AnyConnect позволит получить защищённое VPN-соединение до офиса компании.


Можно ли использовать технологию DMVPN совместно с сертифицированными средствами криптозащиты информации (СКЗИ)?

Да, это возможно. В этом случае маршрутизатор, на котором может быть загружено программное обеспечение NPE, выполняет все функции DMVPN, кроме шифрования. Само шифрование может быть выполнено на стороннем СКЗИ, например, на программном модуле С-терра CSCO-STVM (для маршрутизаторов 4300/4400, более подробно, см вопрос вариант «Б»), на устройстве С-Терра Шлюз и пр. При этом никакая дополнительная лицензия на маршрутизатор (SEC, Appx или UC) не требуется.

С технической стороны настройка выглядит следующим образом. На маршрутизаторе настраивается DMVPN без функций шифрования. Т.е. команда «tunnel protection ipsec» на туннельном интерфейсе не вводится. Далее, например, используя обычную статическую маршрутизацию, GRE-трафик протокола DMVPN перенаправляется на внешнее средство СКЗИ, где оно шифруется и отправляется во внешнюю сеть. Так как внешние средства СКЗИ не обладают функционалом динамического построения VPN соединений, как это делает протокол DMVPN, на внешних СКЗИ потребуется прописать все возможные крипто-карты для работы hub-to-spoke и spoke-to-spoke туннелей. Протокол DMVPN позволяет отключить возможность установления spoke-to-spoke туннелей, что существенно снижает объём команд на внешнем СКЗИ.


Можно ли подключить межсетевой экран ASA к двум или более интернет-провайдерам, используя статическую маршрутизацию?

Да, это возможно. МСЭ ASA поддерживают функцию мониторинга статических маршрутов посредством функции IP SLA. Поддержка IP SLA существует в базовом варианте программного обеспечения. Однако стоит заметить, что ASA 5505 без лицензии Security Plus поддерживает три виртуальных сети (VLAN), причем одна из них имеет существенное ограничение на входящий трафик. В связи с этим, для подключения ASA 5505 к двум или более интернет-провайдерам необходимо использовать лицензию Security Plus.


Какая схема лицензирования устройств Cisco ASA серии 5500?

Устройства Cisco ASA являются наиболее распространённым программно-аппаратным решением, обеспечивающим функции межсетевого экранирования. Функционал устройств крайне широк, многие сервисы включаются посредством приобретения и активизации соответствующих лицензий. Схема лицензирования Cisco ASA достаточно сложная и включает в себя множество ньюансов, поэтому рассмотрена в рамках отдельной статьи.


Каковы основные отличия ASA5500-X Next Generation Firewall и Web-шлюза Cisco WSA (Web Security Appliance)?

В первую очередь отличие в области применения. ASA5500-X NGFW - прежде всего межсетевой экран. Данное устройство можно использовать на периметре корпоративной сети, с помощью этого устройства можно организовать подключение к Интернет-провайдерам. Функционал NGFW для ASA обеспечивает межсетевой экран возможностью фильтровать Интернет трафик на уровне приложений. Благодаря этому межсетевой экран ASA5500-X NGFW приближается по функционалу к Web-шлюзу Cisco WSA. Для некоторых (как правило, небольших компаний) функционал и производительность NGFW позволяет обходиться без выделенного Web-шлюза.

Область применения Cisco WSA (Web Security Appliance) – корпоративный высокопроизводительный прокси сервер. Данное устройство не может быть использовано для подключения к Интернет-провайдерам, поэтому, должно использоваться только совместно с межсетевых экраном, в роли которого как раз может выступать ASA5500-X, но без подписок на NGFW (без подписок на сервисы FirePOWER или CX).

С точки зрения функционала выделим следующие основные отличия между WSA и NGWF:

  1. WSA является прокси-сервером и может кэшировать web-страницы, NGFW – не может.
  2. WSA умеет осуществлять антивирусные проверки (реактивная антивирусная защита) посредством IronPort Dynamic Vectoring and Streaming engine (DVS). Данный механизм использует платформы и сигнатуры антивирусов Sophos, McAfee и WebRoot для сканирования трафика на предмет наличия вредоносного кода. NGFW не может осуществлять активные антивирусные проверки.
  3. WSA предоставляет возможность защиты от утечки проприетарной информации. WSA имеет встроенные средства проверки исходящего трафика на наличие корпоративных данных (размер выгружаемого файла, MIME-тип файла, имя файла или шаблон имён файлов). Кроме того, WSA может быть интегрирована с DLP-системами (Data Loss Prevention) сторонних производителей. NGFW не предоставляет таковой возможности.
  4. WSA предоставляет сервис Layer-4 Traffic Monitor (L4TM). Данный сервис позволяет:
    • просматривать TCP/UDP трафик на всех портах;
    • блокировать сессии с известными сайтами, содержащими вредоносный код;
    • блокировать попытки вирусного кода обойти порт 80 (а, следовательно, обойти корпоративный проки-серврер);
    • блокировать попытки заражённых устройств устанавливать сессии управления с внешними компонентами Bot-сетей (блокировка malware phoning home activity);
    L4TM использует для своей работы глобальную базу данных Cisco IronPort update server. NGFW предоставляет сервис NG IPS. Система предотвращения вторжений NG IPS эффективно борется с вирусной активностью типа «червь», а также предотвращает различные виды сетевых атак на ресурсы компании, отслеживая проявления данных атак по существующим сигнатурам.
  5. WSA предлагает более гибкие возможности по фильтрации скачиваемых или выгружаемых файлов (процесс upload/download).

Почему не заработал ASDM на ASA?

Очень часто не удаётся подключиться по ASDM к ASA K8. Причина в том, что ASDM использует протокол SSL для передачи данных. В наиболее распространённых в настоящее время ОС Windows Vista и Windows 7 протокол SSL по умолчанию использует только строгие алгоритмы для шифрования данных - 3DES/AES. В ASA K8 поддержка таких алгоритмов заблокирована. Таким образом, чтобы получить возможность использовать ASDM для конфигурирования ASA необходимо либо заказывать изначально ASA K9, требующую получения разрешения на ввоз, либо открывать функционал 3DES/AES на ASA K8 (фактически, превращая её в К9).

При этом стоит отметить, на ASA даже с включённым шифрованием 3DES/AES во многих версиях программного обеспечения для протокола SSL по умолчанию включён только алгоритм шифрования DES. Необходимо провести настройку, вручную указать использование 3DES/AES для SSL.

Windows XP поддерживает алгоритм DES для SSL.


Можно ли использовать сервис Cisco AnyConnect SSL VPN на ASA K8?

Относительно сервиса Cisco AnyConnect ситуация абсолютно аналогична ситуации с ASDM. Cisco AnyConnect использует протокол SSL для формирования защищённого VPN соединения. ОС Windows Vista и Windows 7 для протокола SSL по умолчанию использует только строгие алгоритмы для шифрования данных 3DES/AES. Поэтому, для сервиса Cisco AnyConnect необходима поддержка 3DES/AES, следовательно, необходима ASA K9.

Для многих версий программного обеспечения ASA для протокола SSL по умолчанию включён только алгоритм шифрования DES. Необходимо провести настройку, вручную указать использование 3DES/AES для SSL.


В чем отличие устройства безопасности Cisco ASA от маршрутизатора Cisco ISR? В каком случае лучше приобрести маршрутизатор, а в каком – межсетевой экран?

Выбор между маршрутизаторами Cisco ISR и устройствами безопасности Cisco ASA в некоторых ситуациях не так прост, как может показаться на первый взгляд. Если требования можно сформулировать так: требуется защитить выход в интернет для пользователей и предоставить удаленный доступ, чтобы сотрудники могли работать из любой точки, тогда можно рекомендовать Cisco ASA. Если же данное устройство должно быть установлено в филиале, тогда маршрутизатор может оказаться более выгодным и гибким решением, поскольку в нем можно совместить большее число сервисов. Если установка планируется в главном офисе компании на границе сети, тогда можно установив в одной сети оба устройства и разделить между ними сервисы: Cisco ASA использовать для МСЭ, фильтрация контента, IPS, VPN для удаленных пользователей, а маршрутизатор – для протоколов динамической маршрутизации (OSPF, EIGRP, BGP), CUBE, site-to-site IPSec, DMVPN и др. Подробнее.


Какие варианты VPN Remote Access предоставляет ASA 5500-X

МСЭ ASA 5500-Х является наиболее продвинутым с точки зрения функционала концентратором пользовательских VPN соединений (VPN Remote Access). Попробуем разобраться, как именно пользователь может удалённо подключиться к корпоративной сети, используя функционал МСЭ Cisco ASA. Подробнее.


Что такое Advanced Malware Protection (AMP)?

С приобретением SourceFire компания Cisco Systems получила доступ к новому функционалу обеспечения информационной безопасности – Advanced Malware Protection (AMP).

AMP – это платформа для борьбы с вредоносным кодом. Защита AMP может быть реализована в трёх точках:

  • на конечном оборудовании – AMP for endpoint (SourceFire FireAMP);
  • на устройствах контентной безопасности Cisco IronPort Email Security Appliance и Cisco IronPort Web Security Appliance – AMP for Content;
  • на сетевом оборудовании – AMP For Networks.

Последний вариант исполнения реализуется путём установки специализированного высокоскоростного шлюза для борьбы с вредоносным кодом. Данный шлюз может являться отдельным устройством или модулем для межсетевых экранов и систем предотвращения вторжений нового поколения. Модельный ряд устройств AMP For Networks представлен на рисунке ниже:

Основная задача AMP – проверка файла, пересылаемого через сетевое устройство и/или записываемого на конечное оборудование, на наличие вредоносного кода. С распространяемого в сети файла снимается хэш SHA-256 и отправляется на Defense Center. Далее FirePOWER Management Center перенаправляет в облако SourceFire VRT (Vulnerability Research Team) для определения его диспозиции (содержит вредоносный код или нет) по имеющейся базе данных сигнатур.

Если диспозиция файла не может быть установлена, файл перенаправляется в облачную песочницу, где осуществляется запуск файла в виртуально среде и анализ его поведения (генерируемый сетевой трафик, создаваемые процессы и т.д.). На основании результатов тестирования определяется уровень опасности данного файла.

Главной особенностью платформы AMP является возможность ретроспективного анализа, то есть обеспечение защиты не только до момента атаки или во время атаки, но и после её прохождения. Вредоносный код может проникнуть за периметр корпоративной сети по многим причинам: не появилась вовремя сигнатура новой угрозы, опасность не была обнаружена при запуске в песочнице, так как применялись техники отложенного запуска, вредоносный код был занесён на конечное устройство с флешки и т.д.). При использовании системы AMP можно отследить все пути распространения файла в сети, и, при появлении сигнатур, указывающих на вредоносность данного файла, заблокировать файл на сетевом уровне. Если используется FireAMP, вредоносный код может отслеживаться и быть заблокирован также и на уровне конечного оборудования.

За основу ответа были взяты материалы Казакова Дмитрия и Алексея Лукацкого - сотрудников компании Cisco.


Каковы особенности новых моделей Cisco ASA 5506-X, 5508-X и 5516-Х?

В апреле 2015 года компания Cisco анонсировала пять новых моделей Cisco ASA: 5506-X, 5506W-X, 5506H-X, 5508-X и 5516-X.

Отличительной особенностью всех указанных моделей является наличие встроенного SSD-диска, который позволяет сразу запускать FirePOWER Services, т.е. весь расширенный функционал – NGFW, NGIPS, URL-фильтрация, AMP и т.д. Сервисы FirePOWER могут быть настроены из встроенной консоли управления ASDM. Однако наличие отдельных Defence Center для новых моделей Cisco ASA требуется для выполнения некоторого функционала, в частности, для построении отчётов. Особенности каждой модели представлены в таблице ниже:

Cisco ASA 5506-X Cisco ASA 5506W-X Cisco ASA 5506H-X Cisco ASA 5508-X Cisco ASA 5516-X
Более производительная замена ASA 5505. Для новой модели 5506-Х, в отличие от 5505, отсутствуют лицензии на количество пользователей. ASA 5506-X с интегрированной точкой доступа Cisco AP702i. ASA 5506-X в защищенном исполнении для индустриальных и промышленных предприятий. Рабочие температуры -20 – 60 С, IP40. Более производительная замена ASA 5512-X. Более производительная замена 5512-X и 5515-Х.

Можно ли считать ASA5506 прямой заменой ASA5505?

Наиболее существенное функциональное отличие ASA5506 от ASA5505 заключается в отсутствии встроенного коммутатора. ASA5506 оснащена восемью маршрутизируемыми (L3) портами 1Гбит/с. Функция PoE также не доступна на ASA5506. Таким образом, для разворачивания минимальной инфраструктуры в офисе Cisco рекомендует использовать ASA5506 в паре с SMB коммутатором. Например, наиболее доступным вариантом может послужить использование неуправляемых гигабитных коммутаторов SG110D-08 и SG110D-05. Из-за отсутствия встроенного коммутатора ASA5506 не сможет послужить прямой заменой ASA5505 для некоторых инсталляций.

UPD 16-02-2017. При использовании программного обеспечения FTD 6.2, а также версии ASA OS 9.7.1 и выше, есть возможность использовать Integrated Routing and Bridging. Более того, для ASA5506 по умолчанию будет предоставляться конфигурация, в которой порт Ge1/1 – внешний интерфейс, а порты Ge1/2 – Ge1/8 объединены в Bridged-группу, то есть эмулируют аппаратный коммутатор. Таким образом, ASA5506 с указанным ПО сможет заменить ASA5505 без покупки дополнительного коммутатора.

ASA5506 построен на базе более производительной платформы. Оснащена более мощным процессором, 4 ГБ RAM и 8 ГБ flash-памяти. Кроме того, ASA 5506 имеет встроенный SSD диск, что позволяет разворачивать на устройстве сервисы FirePOWER без каких-либо дополнительный аппаратных средств. Наиболее значимые отличия можно свести в таблицу:

  ASA 5505 / Security Plus
ASA 5506 / Security Plus


Максимальная пропускная способность МСЭ До 150 Мбит/с До 750 Мбит/с
Встроенные интерфейсы 8 L2 интерфейсов 100 Мбит/с 8 L3 интерфейсов 1 Гбит/с
Поддержка PoE Ethernet 0/6 и 0/7 поддерживают PoE Нет
Сервисы FirePOWER Нет Платформа полностью готова для запуска сервисов FirePOWER

Управление FirePOWER как с помощью ASDM, так и с помощью выделенной централизованной системы FireSIGHT

При запущенных сервисах AVC+NGIPS+AMP производительность устройства составляет 40 Мбит/с
Максимальное количество одновременных сессий 10,000/25,000 20,000/50,000
Максимальное количество VPN-туннелей IPsec IKEv1 10/25 10/50
Максимальное количество подключений AnyConnect или безклиентских подключений 25 2/50
Максимальное количество поддерживаемых VLAN 3 (802.1q не доступен) / 20 (802.1q доступен) 5/30
Высокая доступность* только Stateless Active/Standby Failover Stateless так и Statefull Active/Standby Failover
Питание AC/DC только AC

* Режим Active/Active Failover не поддерживается обеими моделями

Хотелось бы отметить два наиболее важных отличия в схемах лицензирования. Первое – в отличие от ASA5505, новая модель ASA5506 поставляется без ограничений на подключаемых пользователей. Второе отличие связано c Security Plus лицензией. Для ASA5505 без Sec Plus мы имели только 3 Vlan, и, следовательно, 3 маршрутизируемых интерфейса. При этом, третий Vlan и интерфейс был функционально ограничен – трафик третьего интерфейса мог инициировать сессии в сторону только одного соседнего интерфейса. В сторону второго соседнего интерфейса идти не мог. Таким образом, для реализации полноценного DMZ на ASA5505 требовалась Sec Plus лицензия. Новая модель ASA5506 оснащена восемью полноценными маршрутизируемыми интерфейсами и поддерживает до 5 Vlan в базовой лицензии. Таким образом, базовая лицензия позволяет задействовать все восемь физических L3 интерфейсов и сконфигурировать до пяти логических субинтерфейсов. Всего можно настроить и маршрутизировать 13 подключенных непосредственно IP-подсетей.

ASA5506 имеет две особые модификации: ASA 5506W – со встроенной точкой доступа и ASA 5506H – в защищенном исполнении.

На данный момент времени (декабрь 2015) информация о планах завершения продажи/поддержки (End-of-Sale, End-of-life) для модели ASA 5505 не поступала со стороны производителя.


На что заменить Microsoft ISA/TMG сервер?

На настоящий момент времени компания Microsoft завершила выпуск продукта MS ISA/TMG. Многие системные администраторы и инженеры задаются вопросом, какое решение можно использовать в замен снятого с выпуска продукта. Линейка межсетевых экранов ASA5500-X CX NGFW может послужить прекрасной заменой ISA/TMG для небольших компаний. Для крупных компаний, требующих наличия высокопроизводительного прокси-сервера, для замены ISA/TMG подходит решение Web-шлюз Cisco WSA в комбинации с межсетевым экраном серии ASA5500-X на периметре корпоративной сети. Ещё одним вариантом замены MS ISA/TMG может выступать решение Cisco SourceFire.

Для более подробной информации по перечисленным продуктам Cisco читайте вопросы «Каковы основные отличия ASA5500-X Next Generation Firewall и Web-шлюза Cisco WSA (Web Security Appliance)?» и «Как запустить сервисы FirePOWER на ASA 5500-X?».


Что такое Cisco Smart Software Licensing?

Cisco Smart Software Licensing – схема лицензирования продуктов Cisco, предоставляющая возможности по централизованному управлению лицензиями на ПО (приобретение, развертывание, контроль, отслеживание и т.п.) через портал Smart Software Manager. Основное направление этой схемы – это отказ от установки лицензионных файлов непосредственно на устройства. Вместо этого, на устройстве, достаточно будет активировать новую схему лицензирования и зарегистрировать его в Smart Manager, используя уникальный idtoken. Благодаря настроенной регистрации, устройство будет самостоятельно, раз в 30 дней, проверять актуальность активированных на нем лицензий. В случае невыполнения подтверждения актуальности лицензии (например, отсутствует доступ в интернет на устройстве) будет произведен «откат» на лицензии по умолчанию (например, актуально для ASAv), либо будет запущен «льготный» период на 90 дней, по завершению которого лицензии будут отозваны (например, актуально для сервисов Firepower). Доступ в интернет для устройства, с целью проверки лицензий, может быть реализован напрямую или с использованием HTTP прокси.


Может ли ASA 5500-X использоваться как средство антивирусной защиты на периметре корпоративной сети?

Зависит от того, с каким типом вирусов хотим бороться. Если хотим бороться с вирусами типа «червь», то есть предотвращать распространение вирусного кода от инфицированной машины к незаражённым хостам, можно использовать ASA 5500-X с функционалом IPS. Система IPS также направлена на предотвращение других видов атак на корпоративную сеть, в том числе, на предотвращение DDOS атак.

Ранее МСЭ серии ASA5500-X предлагало два варианта IPS: традиционную систему Cisco IPS и Next Generation IPS (NG IPS), доступную в рамках функционала CX.

Начиная с августа 2014 года на межсетевых экранах ASA 5500-X стали доступны сервисы FirePOWER. Сервисы FirePOWER включают NG IPS от компании SourceFIRE, Application Visibility and Control (AVC), URL-фильтрацию и функционал Advanced Malware Protection (AMP). Функционал NG IPS от SourceFIRE является лучшим решением в области систем обнаружения и предотвращения вторжений на рынке ИБ по результатам рейтингового агентства Gartner, независимой лабораторией тестирования NSS Labs и других. Поэтому, на данный момент времени при необходимости запуска IPS на МСЭ Cisco ASA 5500-X, решение FirePOWER является предпочтительным. Более подробную информацию можно найти в вопросе «Как запустить сервисы FirePOWER на ASA 5500-X?».

IPS предполагает предотвращение вирусных атак типа «червь», то есть защищает от вирусов, проявляющих себя в сетевом взаимодействии, не даёт вирусному коду распространятся от зараженного устройства к другим компьютерам по корпоративной сети. Если же мы хотим бороться с проникновением вирусного кода на хосты за МСЭ из глобальной сети, например, в результате посещения вирусных сайтов, атак типа fishing, есть следующие варианты:

  1. Блокировка «подозрительных» URL посредством функционала FirePOWER. В рамках функциональности URL-фильтрации есть возможность блокировать доступ как по категориям сайтов, так и по значениям репутаций сайтов.
  2. Проверка файлов, пересылаемых через МСЭ ASA 5500-X на наличие вирусного кода, посредством функционала FirePOWER AMP. Более подробную информацию данному функционалу можно найти в вопросе «Что такое Advanced Malware Protection (AMP)?»

Для организации максимальной защиты корпоративной сети от внешних угроз средствами МСЭ Cisco ASA 5500-X рекомендуется использовать сервисы FirePOWER в максимальной возможной комплектации, а именно, NG IPS+URL-filtering+AMP.

В качестве альтернативного и более мощного решения для антивирусной защиты и зашиты от спама на периметре корпоративной сети рекомендуется ознакомиться с Web-шлюзом Cisco WSA (Web Security Appliance) и Email-шлюзом Cisco ESA (Email Security Appliance).


Какие подписки на обновления необходимы, если на ASA 5500-Х реализуется какая-либо антивирусная защита?

Для традиционной системы Cisco IPS необходимо обновление базы сигнатур сетевого взаимодействия известных видов атак и вирусов (червей). Для обновления базы сигнатур необходима подписка, получаемая в рамках сервисного контракта SmartNet IPS Svc. Подписка может быть на год, два или три года. Варианты уровней поддержки SmartNet для ASA IPS аналогичны с любыми другими SmartNet.

Для системы ASA CX, реализованной как виртуальный блейд на ASA 5500-X необходима подписка Cisco ASA 5500-X Series CX Subscriptions.

Для открытия функционала NG IPS в рамках функционала CX необходимо наличие подписки на NG IPS. Данную подписку можно заказать либо как дополнение к подпискам CX, либо как отдельный партномер (например, ASA5512-IP3Y=).

Для перенаправление трафика в облачный сервис ScanSafe необходима также соответствующая подписка.

Подробное описание данных подписок приводится в статье Лицензирование Cisco ASA 5500 в разделе Cisco ASA 5500-X Series CX Subscriptions and ScanSafe.

Открытие сервисов FirePOWER на Cisco ASA рассмотрено в рамках отдельного вопроса «Как запустить сервисы FirePOWER на ASA 5500-X?».


Какова новая схема лицензирования Cisco AnyConnect?

В конце 2014 года компания Cisco Systems полностью поменяла схему лицензирования функционала удалённого доступа (remote access). Версии клиента Cisco AnyConnect 4.0 и выше доступны только при наличии новых лицензий. На данный момент времени (2016 год) на все лицензии типа SSL VPN объявлены даты окончания продаж (End-Of-Sale). К таковым лицензиям относятся:

  1. SSL Premium User Licenses
  2. Advanced Endpoint Assessment Licenses
  3. AnyConnect Essentials VPN Licenses
  4. AnyConnect Mobile VPN Licenses
  5. Premium Shared VPN Server Licenses & Premium Shared SSL VPN Participant Licenses
  6. FIPS Compliant VPN Licenses
  7. VPN Phone Licenses

Новая схема лицензирования предусматривает четыре вида лицензий:

  1. Cisco AnyConnect Plus Subscription Licenses
  2. Cisco AnyConnect Plus Perpetual Licenses
  3. Cisco AnyConnect Apex Subscription Licenses
  4. Cisco AnyConnect VPN Only licenses

Новая схема лицензирования удалённого доступа SSL VPN не привязана к устройствам VPN-концентраторам за исключением Cisco AnyConnect VPN Only. В качестве VPN-концентраторов могут выступать межсетевые экраны Cisco ASA, маршрутизаторы Cisco ISR G2 и Cisco ASR. Поддержка SSL VPN на маршрутизаторах сери ISR4K заявлена в будущих релизах операционных систем.

Лицензии вида Cisco AnyConnect VPN Only привязываются к конкретному серийному номеру устройства Cisco ASA.

Необходимо приобретать лицензии Cisco AnyConnect Plus/Apex на пользователей, а не на терминирующее VPN устройство. При приобретении лицензии Cisco AnyConnect Plus/Apex на определённое количество пользователей появляется возможность сгенерировать лицензионные ключи активации функционала удалённого доступа на неограниченное количество VPN-концентраторов.

Cisco AnyConnect Plus Subscription Licenses/Perpetual Licenses

Данный тип лицензий открывает возможность подключения удалённых сотрудников с помощью клиента Cisco AnyConnect. При этом, подключать можно как со стационарных, так и с мобильных устройств. Фактически AnyConnect Plus объединяет в себе функционал AnyConnect Essentials и AnyConnect Mobile.

Лицензия AnyConnect Plus может быть как в виде подписки на 1, 3 или 5 лет (AnyConnect Plus Subscription Licenses), так и в виде постоянной лицензии (AnyConnect Plus Perpetual Licenses). В последнем случае для обеспечения возможности скачивать новые версии клиента AnyConnect и обращаться в службу технической поддержки Cisco TAC требуется наличие сервисного контракта. Лицензии AnyConnect Plus необходимо заказывать на определённое количество пользователей. Под пользователем подразумевается реальный человек, который будет использовать сервис удалённого подключения. Минимальное количество пользователей – 25. Можно указать любое количество пользователей (26, 27, и 101 и т.д.).

Cisco AnyConnect Apex Subscription Licenses

Данный тип лицензий предоставляет все возможности, включённые в AnyConnect PLUS и открывает дополнительные возможности, а именно:

  • подключение с помощью браузера (безклиентский доступ (Clientless Access)) к Cisco ASA;
  • проверка устройств на соответствие политикам безопасности;
  • криптография нового поколения (Suite B).

Данный тип лицензий подходит для замены SSL Premium, Advanced Endpoint Assessment, Premium Shared VPN Server & Premium Shared SSL VPN Participant.

Лицензия AnyConnect Apex может быть только в виде подписки на 1, 3 или 5 лет.

Лицензии AnyConnect Apex, также, как и AnyConnect Plus, необходимо заказывать на определённое количество пользователей.

Cisco AnyConnect VPN Only licenses

Данный тип лицензий открывает функциональность подключения по VPN:

  • подключение по VPN с помощью клиента AnyConnect как для стационарных, так и для мобильных устройств;
  • подключение с помощью браузера (безклиентский доступ (Clientless Access)) к Cisco ASA;
  • проверка устройств на соответствие политикам безопасности, но только при подключении по VPN к Cisco ASA;
  • криптография нового поколения (Suite B).

В отличие от AnyConnect Plus/Apex лицензий AnyConnect VPN-Only не предоставляет функциональность:

  • Network Access Module (NAM) – сапликант 802.1Х;
  • ISE Posture - проверка устройств на соответствие политикам безопасности в комплексе с решением Cisco ISE;
  • Web Security Module – подключение к облаку ScanSafe для инспекции web-трафика.

Лицензии Cisco AnyConnect VPN-Only привязываются к конкретному устройству Cisco ASA по серийному номеру.

Лицензии Cisco AnyConnect VPN-Only в отличие от AnyConnect Plus/Apex приобретаются не на определённое количество пользователей, которые потенциально могут подключаться с помощью AnyConnect, а на количество одновременных сессий. Минимальное количество - 25 одновременных сессий, далее есть варианты 50, 100 и т.д.

Установка лицензионных ключей на сетевое оборудование

Как говорилось ранее, новая схема лицензирования удалённого доступа SSL VPN не привязана к устройствам VPN-концентраторам, кроме лицензий AnyConnect VPN-Only. Однако, для того, чтобы открыть функционал SSL-VPN шлюза на устройстве, в частности, на Cisco ASA, необходимо ввести лицензионный ключ.

При покупке лицензий AnyConnect Plus/Apex пользователю высылается так называемый multi-use Product Activation Key (PAK), т.е. PAK, который можно использовать много раз. С помощью данного PAK и сайта пользователь может сгенерировать лицензионные ключи на неограниченное количество устройств.

При покупке лицензий AnyConnect VPN-Only пользователю высылается Product Activation Key (PAK), который необходимо привязать к серийному номеру Cisco ASA на сайте.

Более подробную информацию по новой схеме лицензирования SSL VPN можно найти на сайте.


Как устройства IronPort обеспечивают высокую доступность?

Cisco WSA

Cisco WSA не объединяются в кластер. Однако, для обеспечения высокой доступности сервисов устройства могут объединяться в отказоустойчивые группы. Для этого используется протокол CARP - Common Address Redundancy Protocol. Данный протокол обеспечивает единый IP-адрес для сервисов, предоставляемых устройствами Cisco WSA, входящими в отказоустойчивую группу. Благодаря этому отказ устройства Cisco WSA в отказоустойчивой группе проходит прозрачно для клиентов.

Для создания отказоустойчивой группы не требуется дополнительного программного, аппаратного обеспечения или приобретение дополнительных лицензий.

В отказоустойчивую группу можно объединять виртуальные и физические устройства Cisco WSA. Конфигурации устройств в отказоустойчивой группе не реплицируются автоматически. Целостность конфигураций необходимо обеспечивать вручную.

Cisco ESA

Cisco ESA могут быть объединены в кластер. Но для Cisco ESA кластер не является средством обеспечения высокой доступности. Устройства Cisco ESA не обладают средствами мониторинга состояний «соседа».

Кластер для Cisco ESA является средством централизованного конфигурирования нескольких устройств. Кластер – это набор устройств Cisco ESA с общей конфигурацией. В пределах кластера устройства разделяются на группы. В кластере всегда существует как минимум одна группа. Каждое устройство может принадлежать только единственной группе. Соответственно, конфигурация устройств может быть разделена и детализирована на трёх уровнях: на уровне кластера, группы и конкретного устройства Cisco ESA.

Для создания кластера не требуется дополнительного программного, аппаратного обеспечения или приобретение дополнительных лицензий.

В кластер можно объединять виртуальные и физические устройства Cisco ESA. При этом нужно не забыть тонкость с настройкой антиспам и антивирус обновлений.

Обеспечение отказоустойчивости для входящих Email может быть достигнуто путём создания нескольких A-записей с разными приоритетами в MX-записи компании, указывающие на разные устройства Cisco ESA.




Если Вы не нашли ответа на вопрос, Вы можете обратиться к специалистам Центра компетенции CBS, заполнив контактную форму. Наиболее интересные вопросы регулярно публикуются в данном разделе.

* - Поля, обязательные для заполнения 


* Информация, содержащаяся в разделе "Вопросы и ответы" на сайте CBS, не является всесторонней и носит ознакомительный характер. Вся информация, содержащаяся в данном разделе, является актуальной на момент публикации и может быть изменена без предварительного уведомления. Хотя во время подготовки к публикации данная информация тщательно проверяется, она всё же может иногда быть неточной и неактуальной во всех отношениях. Никакая гарантия не может быть дана в отношении такой информации, ни прямо, ни косвенно. В случае возникновения претензий относительно неточностей или опущений в опубликованных ответах, компания CBS не несет ответственность за какой-либо прямой или косвенный ущерб или любые другие издержки, возникшие в результате использования содержащейся в данном разделе информации.