Седьмой урок из курса Cisco ASA Administrator. На этот раз мы обсудим Security Level. Очень важно понять, как работает эта функция, прежде чем переходить к более сложным темам (особенно access-list-ам). Урок включает как теорию, так и практику. Лабораторная работа выполнялась в EVE NG, но и GNS3 здесь отлично подойдет.
Наконец-то очередной, 6-ой урок. На этот раз мы будем обсуждать, что такое Stateful Packet Inspection, как это работает и самое главное зачем это нужно. Очень важно понимать эту тему, прежде чем переходить к более сложным вещам.
Добро пожаловать на 5-ый урок! Сегодня у нас довольно простая, но в то же время очень важная тема - Начало работы с Cisco ASA (ну или как любят это называть иностранцы - unboxing).
Продолжаем тему подготовки макета. На этот раз мы рассмотрим EVE-NG. На мой взгляд, работать в этом симуляторе немного приятнее и удобнее, но это конечно же дело вкуса. Для начала работ вам понадобится:
Рад приветствовать вас на нашем новом курсе “Cisco ASA Administrator”. Весь курс абсолютно бесплатный. По окончанию будет возможность сдать экзамен и получить сертификат об успешном завершении курса. Ниже будет представлена краткая информация, а в самом конце статьи сам видео урок с более подробным объяснением.
Наконец-то мы добрались до Cisco ASA. Думаю очень многие ждали именно этого урока. И наверняка, многие из тех, кто начали смотреть этот курс уже сами нашли способ добавления Cisco ASA в UNL, так и не дождавшись этого урока.
Для тех же, кто еще НЕ пробовал добавить ASA в UNL, этот урок будет весьма полезен.
В данном уроке мы попробуем следующее:
1)Cisco ASA 8.0.2, 8.4.2, 9.1.15 (Support Multi Context) - так называемые portable образы. Для поиска образов используйте следующие запросы: “ASA842-disk1.vmdk” и “ASA-9.15-disk1.vmdk”
2)Cisco ASAv (ver 9.3.2.200; 9.4.1; 9.5.1) - это полноценная Cisco ASA разработанная для виртуальной инфраструктуры. Можно нагуглить данные образы используя вот такие запросы: “asav952-204.qcow2” или “asav941-200.qcow2”.
Краткий алгоритм добавления образов Cisco ASA:
1)В папке /opt/unetlab/addons/qemu создаем папки согласно файлу /opt/unetlab/html/includes/init.php (пример: asa-8.4, asa-9.1, asav-9.4 или asav-9.5)
2)Закидываем в соответствующие папки образы и переконвертируем их в формат qemu. Пример:
Совсем недавно компания Cisco анонсировала обновление FirePOWER до версии 6.0 (Если кто-то не помнит, то данный продукт появился в продуктовом портфеле после покупки компании SourceFire).
Было объявлено множество нововведений, но самое главное не это.
Как вы знаете на данный момент FirePOWER доступен только отдельно от ASA - в виде программного/хардварного модуля или отдельной железкой, что не совсем удобно и вносит дополнительные сложности при настройке. И уж тем более, данная модель не соответствует понятию UTM устройства, которые становятся чуть ли ни стандартом для обеспечения комплексной безопасности сети (NGFW).
Так вот компания Cisco объявила о скором выпуске единой прошивки, совмещающей функционал Cisco ASA и FirePOWER с названием FirePOWER Treat Defence (FTD). Т.е. мы получаем цельное решение, с единым интерфейсом и командной строкой (кстати, как я понял синтаксис команд изменится). Более того, инженеры Cisco услышали мольбы пользователей и реализуют единую централизованную систему управления с возможностью распространения глобальных политик безопасности сразу на все устройства. Надеюсь это будет так же удобно как у компании CheckPoint. Новые прошивки ожидаются во втором квартале 2016 года.
Думаю теперь стоит ожидать постепенного закрытия проекта Cisco Security Manager (как это уже происходит с Cisco IPS). На счет Cisco ASA переживать не стоит, продукт по прежнему будет развиваться и поддерживаться, параллельно с новым FTD.
На мой взгляд, одна из главных проблем компании Cisco - отсутствие целостности решения. Бесконечное количество продуктов с частично перекрывающимся функционалом вводит в ступор при попытке построения комплексной системы. Надеюсь, что описанные выше шаги в сторону унификации решений дадут свои плоды.
Здравствуйте, коллеги! Добро пожаловать на 13-ый урок курса “Основы GNS3”. Сегодня мы узнаем
1)Каким образом запускать межсетевой экран Cisco ASA
2)И как подключить графический интерфейс управления Cisco ASDM
Так же мне хотелось бы поделиться своими впечатлениями. Если честно, я очень расстроен. Когда то я перешел на GNS3 только из-за возможности эмулировать работу Cisco ASA. Проблемы с эмуляцией были и тогда… Прошло несколько лет, вышла куча новых версий, идет весьма мощная рекламная компания GNS3, сформировалось огромное сообщество… А багов стало еще больше! Столько лет разработки, а стало только хуже. Да и вообще, мне иногда кажется что все последние обновления изменяют только дизайн программы и добавляют рекламу, куда только можно… Ну, это было небольшое отступление.
Сегодня смог посмотреть очередной вебинар компании Cisco, посвященный теме: "Новая функциональность NGIPS на базе устройств Cisco ASA5500X и 5585X – модели, позиционирование, ценовая политика". А если простым языком, то вебинар был посвящен новым устройствам FirePower, которые Cisco получила после покупки компании Sourcefire. Как и ожидалось, теперь данные решения доступны не только в качестве отдельного устройства но и программным модулем, который можно активировать на Cisco ASA серии 5500-X. Для этого достаточно наличия SSD диска и необходимых лицензий. Можно купить бандл "все в одном" либо по отдельности.
Как обещает Cisco, новые устройства в скором времени пройдут сертификацию ФСТЭК.
Относительно недавно стала доступна для скачивания новая версия GNS3 1.0 и я, как большой фанат данного проекта, естественно скачал и установил новую версию. Не буду перечислять все нововведения и замечательные фишки этого продукта.
Однако меня постигло глубокое разочарование, когда я обнаружил отсутствие интеграции qemu, а следовательно невозможность запуска Cisco ASA и Cisco IPS. Сначала я подумал что просто не могу найти данное меню, но немного погуглив, понял что qemu действительно отсутствует.
Так что если вы активно макетируете ASA или IPS, то не спешите обновляться...
Наткнулся на еще одну интересную особенность лицензирования и настройки Cisco ASA. В одном из предыдущих постов я привел примерную спецификацию оборудования и лицензий, необходимых для использования VPN клиента Cisco AnyConnect.
Существует два типа лицензий для Cisco AnyConnect:
Совсем недавно настраивал новую ASA 5512-X. Устройство пришло с прошивкой k8, т.к. иногда проблематично приобрести девайс с прошивкой k9. Проведя первоначальные настройки я активировал 3des-aes (процесс описывался ранее). Затем попытался подключиться по web интерфейсу для того чтобы скачать ASDM. Однако ничего не вышло...
Решил написать небольшую заметку о том, как активировать функцию 3DES-AES на Cisco ASA. У нас имеется межсетевой экран Cisco ASA 5512-X с прошивкой k8 и лицензией base. Отличие k8 и k9 я описывал ранее. По умолчанию функция 3DES-AES отключена. Активируем ее бесплатной лицензией, которую запросим на официальном сайте cisco (для этого надо быть зарегистрированным пользователем).
Выбираем Get New - > IPS, Crypto and Other Licenses
Затем Security Products -> Cisco ASA 3DES/AES License
Как было описано ранее, при возникновении более одного сетевого сегмента (к примеру: сегмент серверов, сегмент пользователей) требуется устройство третьего уровня модели OSI (L3), т.е. маршрутизирующее устройство.
Если в сети находится большое кол-во информационных ресурсов (файловый сервер, корпоративный портал, виртуальная инфраструктура) и требуется высокая скорость маршрутизации внутри сети, то необходимо применять коммутаторы третьего уровня модели OSI. Различие маршрутизатора и коммутатора третьего уровня было описано ранее.
Как только появляется необходимость маршрутизации трафика во внешнюю сеть (Internet) необходимо использовать маршрутизатор или межсетевой экран. Рассмотрим отличия этих устройств. В чем разница? Где использовать межсетевой экран, а где маршрутизатор?
В качестве примера будем рассматривать маршрутизаторы и межсетевые экраны компании Cisco.
В одном из предыдущих постов я показывал, как запустить Cisco ASA 8.4 в GNS3. Однако, ключ активации в приведенной инструкции не раскрывал все возможности Cisco ASA. Я решил написать небольшую статью, о том, как воспользоваться утилитой Cisco ASA keygen, которая позволяет сгенерировать ключ активации с расширенным функционалом. И так, запустим Cisco ASA в GNS3 и наберем команду show ver:
Видим, что большинство функций нам недоступно. Запускаем Cisco ASA keygen
Совсем недавно столкнулся с лицензированием Cisco ASA серии 5500-X (в моем случае это 5512-X - самая младшая модель в семействе). Решил написать небольшой ликбез по лицензированию Cisco ASA для использования Cisco AnyConnect, т. к. у большинства возникают абсолютно одинаковые вопросы.
