Сервисы ASA

• 25.07.2016
• 10929

Автор
Борис Усков, CCNP
Системный инженер

Оглавление:

1. Краткая историческая справка
2. Сервисы безопасности, предоставляемые МСЭ Cisco ASA
3. Прочие сервисы, предоставляемые МСЭ Cisco ASA
4. Функции VPN-концентратора

Читайте также:

• Лицензирование Cisco ASA 5500
• ASA 5500-X с сервисами FirePOWER »

1. Краткая историческая справка

ASA (Adaptive Security Appliance) — программно-аппаратный комплекс от Cisco Systems, относящееся к классу МСЭ (межсетевой экран). ASA исторически является наследником устройств межсетевого экранирования PIX (Private Internet eXchange).

Устройства PIX были разработаны фирмой Network Translation в 1994 году. В это время активно развивались технологии, направленные на решение проблемы нехватки IP-адресов. К этим технологиям относятся такие как CIDR (Classless Inter-Domain Routing), решающая проблему масштабируемости приватной адресации в локальных сетях за счёт предоставления возможности выделения необходимого по размеру пула адресов для локальной сети, и NAT (Network Address Translation). Основной задачей разработки было сокрытие приватных адресов или групп приватных адресом за одним или несколькими реальными. 21 декабря 1994 года была закончена фаза бета-тестирования PIX. Далее в процессе своего развития PIX стал лидирующим программно-аппаратным решением, обеспечивающим функции межсетевого экранирования.

В ноябре 1995 года Cisco Systems приобрела компанию Network Translation, и дальнейшее развитие PIX проходило уже под управлением Cisco. Продолжалась разработка и усовершенствование операционной системы для PIX, получившей название PIX «Classic».

В январе 2008 года Cisco объявила end-of-sale и end-of-life для PIX. Поддержка клиентов, использующих PIX, будет осуществляться до июля 2013 года.

В мае 2005 года Cisco представила устройство ASA, объединившее в себя функции PIX, VPN-концентратор серии 3000 и IPS (Intrusion Detection System (IDS)/Intrusion Prevention System (IPS) — Система обнаружения проникновений/Система предотвращения проникновений). Для ASA была использована операционная система PIX версии 7.х, но, начиная с релиза 8.х PIX OS, операционные системы для ASA и PIX стали приобретать отличия.

В конце 2012 года компания Cisco анонсировала обновление модельного ряда ASA в среднем классе. Новый модельный ряд получил название ASA 5500-X. Компания Cisco представила совершенно новую аппаратную платформу, основанную на 64-битной архитектуре и оптимизированную для работы с многоядерными процессорами. За счёт этого было достигнуто четырёхкратное увеличение производительности устройств по сравнению с моделями предыдущего поколения ASA 5500. Помимо увеличения производительности наиболее существенным отличием является отказ от аппаратных модулей AIP SSM для реализации функций IPS и от аппаратных модулей CSC SSM для реализации функций контентной безопасности. На устройствах новой линейки ASA 5500-X функционал IPS реализован программно, виртуальным блейдом IPS. Функционал обеспечения контентной безопасности реализован частично путём перенаправления трафика в облачный сервис ScanSafe, частично за счёт виртуального блейда ASA CX. Более подробная информация по данным сервисам и функционалу представлена в данной статье в разделах «МСЭ ASA и система предотвращения вторжений IPS» и «Контентная безопасность».

На настоящий момент времени устройства ASA являются наиболее распространённым программно-аппаратным решением, обеспечивающим функции межсетевого экранирования.

Сервисы, предоставляемые устройством ASA, могут быть разделены на две группы: сервисы, реализующие политику безопасности, и прочие сервисы.

2. Сервисы безопасности, предоставляемые МСЭ Cisco ASA

Устройство ASA осуществляет функции межсетевого экрана (МСЭ, firewall, brandmauer). Основной задачей этого класса устройств является защита внутренних локальных корпоративных или частных сетей от несанкционированного доступа пользователей из внешних сетей. Кроме того, МСЭ обеспечивает, при необходимости, ограничения доступа между внутренними сетями. Такая необходимость чаще всего возникает, когда к части ресурсов внутренней сети требуется предоставление определённого ограниченного доступа из внешних сетей, например, FTP, WEB-серверы компаний. В таком случае, ресурсы, доступные из внешних сетей, относят к демилитаризованной зоне (DMZ). При такой организации, атакам подвержены только сервера и устройства в DMZ, в то время как на остальную часть сети угроза не распространяется. Кроме того, МСЭ позволяет осуществлять контроль доступа из внутренних сетей к внешним ресурсам, разрешая/запрещая запросы в соответствии с политиками безопасности организации.

Вышеописанные функции реализуются на ASA путём применения определённых сервисов. Совокупность таких сервисов определяет применяемую на устройстве политику безопасности.

Политика безопасности определяет, какой трафик разрешено пропускать от одного интерфейса устройства к другому. При этом осуществляется инспекция пропускаемого трафика, при необходимости производятся преобразования заголовков пакетов различных уровней модели OSI. По умолчанию, разрешён весь трафик между внутренними сетями (сети с высоким уровнем безопасности), а также, трафик в направлении из внутренних сетей во внешние сети (сети с низким уровнем безопасности). Организация политики безопасности основана на использовании следующих сервисов:

• Правила доступа (access-lists);
• Экранирование на канальном уровне (в пределах одной подсети);
• NAT (Network Address Translation);
• Защита от атак IP-фрагментации;
• Использование AAA (Authentication, Authorization, Accounting) для контроля потока данных;
• Использование фильтрации http, https и ftp трафика;
• Применение инспекции протоколов прикладного уровня модели OSI;
• Перенаправление трафика на модули AIP SSM/CSC SSM для осуществления детальной инспекции;
• Применение политик QoS;
• Применение правил ограничения количества сессий и нормализации TCP-трафика;
• Выявление угроз несанкционированного вторжения.

Рассмотрим сервисы, определяющие политику безопасности, более подробно.

Правила доступа (access-lists). Эти правила описывают, какой трафик разрешён для направления inside-outside и направления outside-inside. Разрешение осуществляется на основании совокупности информации об адресе источника, адресе приёмника, порта источника и порта приёмника.

Экранирование на канальном уровне (в пределах одной подсети). МСЭ ASA может работать в маршрутизирующем режиме (Routed Mode) или в прозрачном режиме (Transparent Mode). Маршрутизирующий режим характеризуется принадлежностью каждого интерфейса устройства к своей подсети. ASA осуществляет перенаправление пакета от одного интерфейса к другому, выполняя при этом необходимые работы по обеспечению политики безопасности.

Прозрачный режим работы устройства ASA обеспечивает функции МСЭ канального уровня модели OSI. При этом экранирование осуществляется в пределах одной подсети, а решение о выборе исходящего интерфейса осуществляется на основании таблицы MAC-адресов.

Прозрачный режим предоставляет следующие три основные возможности:

• Организация привязки определённых MAC-адресов к интерфейсам ASA, запрещающая трафик от неизвестных устройств.
• Организация правил доступа канального уровня. По умолчанию, разрешён IP-трафик с интерфейса высокого уровня безопасности на интерфейс низкого уровня безопасности, а также, ARP-пакеты обоих направлений. Использование правил доступа канального уровня позволяет разрешать/запрещать пакеты в определённых направлениях в соответствии со значением Ethertype, определяющим протокол сетевого уровня, инкапсулированный в фрейм.
• Организация инспекции ARP-пакетов на основании конфигурируемых правил. В правилах описывается соответствие MAC-адреса, IP-адреса и входного интерфейса. При обнаружении несоответствия устройство ASA отбрасывает ARP-пакет. ARP-инспекция позволяет предотвращать man-in-the-middle атаки, направленные на подмену ARP-ответов с целью перехвата пользовательского трафика.

NAT (Network Address Translation). Осуществляется преобразование внутренних адресов во внешние, в соответствии с предусмотренными правилами. Это позволяет:

• Предоставлять доступ во внешние сети (в том числе Интернет-доступ) для устройств внутренней сети, имеющей приватные адреса.
• Скрывать схему адресации внутренних сетей от пользователей внешних сетей.
• Решать проблему пересечений адресных пространств сетей.

Защита от атак IP-фрагментации. IP-фрагментация — процесс разбиения IP-дейтаграммы на несколько IP-дейтаграмм меньшего размера. Необходимость в фрагментации связана с наличием такой характеристики канала как MTU (Maximum Transmission Unit) — максимальный размер пакета данных, который может быть передан по каналу. IP-дейтаграмма инкапсулируется в кадр, являющийся единицей передаваемой информации на канальном уровне модели OSI. Если размер IP-дейтаграммы превышает характеристику MTU для используемого канала данных, её необходимо разбить на несколько дейтаграмм, размер каждой из которых будет меньше MTU.

Для реализации процесса фрагментации в заголовке IP-предусмотрено 3 поля: флаги, идентификация и смещение. В поле флаги указывается, может ли данная дейтаграмма быть подвержена фрагментации или нет, а также, является ли данная дейтаграмма последней в последовательности или нет. Поле идентификация используется для указания принадлежности фрагмента к определённой дейтаграмме. Идентификация необходима, так как на приёмную сторону могут одновременно поступать фрагменты дейтаграмм от различных отправителей. Поле смещение указывает порядковый номер фрагмента. Единица смещения — 8 байт.

Негативным следствием применения механизма фрагментации является предоставление злоумышленнику возможности проводить атаки следующих типов:

• Наложение фрагментов. Проявляется при некорректной совокупности данных о смещении фрагмента и размере фрагмента. Приводит к тому, что один фрагмент частично или полностью переписывает данные второго фрагмента в процессе восстановления исходной IP-дейтаграммы. Такая ситуация может приводить к непредвиденным ошибкам некоторых операционных систем. Атака относится к типу teardrop Denial of service.
• Переполнение буфера фрагментов. Происходит при накоплении чрезмерного количества фрагментов разных дейтаграмм при отсутствии оконечных фрагментов. Такой тип атаки может быть использован для обхождения IDS — Intrusion Detection System (Система обнаружения проникновений), а также, для осуществления атак типа Denial of service.
• Превышение общего размера дейтаграммы. Происходит в том случае, если в процессе сборки общей дейтаграммы из фрагментов результирующий размер превышает 65,535 байт (максимальный разрешённый размер IP-дейтаграммы). Некоторые операционные системы некорректно отрабатывают такую ситуацию. Атака относится к типу Denial of service.
• Переписывание фрагментов. Злоумышленник отправляет в сеть фрагменты, содержащие вредоносные данные, с такими же номерами фрагментов и идентификацией, как и регулярные передаваемые данные. В процессе восстановления дейтаграмм происходит замена регулярных фрагментов на фрагменты, содержащие вредоносную информацию. Такой метод позволяет обходить IDS — Intrusion Detection System (Система обнаружения проникновений).

Устройcтво ASA предотвращает атаки, связанные с IP-фрагментацией. Осуществляется сборка всех сообщений об ошибках протокола ICMP и виртуальная сборка фрагментов, принадлежащих неоконченным дейтаграммам. Фрагменты, не прошедшие необходимую проверку безопасности отбрасываются и логируются.

Использование AAA (Authentication, Authorization, Accounting) для контроля потока данных. Предоставляет возможность предъявлять пользователям требования аутентификации по локальной базе данных или по базе AAA сервера, для организации сессии обмена данными, проходящей через ASA. Аутентификация может быть организована для сессий следующих протоколов по портам:

• 21 для FTP
• 23 для Telnet
• 80 для HTTP
• 443 для HTTPS

Использование фильтрации http, https и ftp трафика. Предусмотрена фильтрация двух типов: фильтрация ActiveX объектов и апплетов Java и фильтрация URL.

ActiveX объекты и апплеты Java содержат исполняемый код, несущий потенциальную опасность для рабочих станций. ActiveX объекты и апплеты Java включены в html-страницы в соответствии с определёнными правилами. При использовании функции фильтрации ActiveX объектов и апплетов Java строки html-кода, отвечающие за интеграцию кода в страницу, оформляются в виде комментариев, что приводит к предотвращению возможности исполнения потенциально опасного программного кода на рабочей станции.

Для URL-фильтрации используются внешние серверы интернет-фильтрации, такие как Websense Enterprise или Secure Computing SmartFilter. Фильтрация URL осуществляется следующим образом: http(ftp)-запросы из внутренней сети направляются параллельно на требуемый http(ftp)-сервер и на сервер интернет-фильтрации. Серверы интернет-фильтрации осуществляют проверку запрашиваемого URL и отсылают на ASA ответ — разрешённый URL или нет. Если URL разрешён сервером интернет-фильтрации, ASA пропускает ответ от http(ftp)-сервера, в противном случае, пакеты отбрасываются.

Применение инспекции протоколов прикладного уровня модели OSI. В процессе установления сессии передачи данных, МСЭ ASA проверяет пакеты по базам данных списков доступа (access lists), осуществляет поиск маршрута для направления пакетов, осуществляет трансляцию адреса в соответствии с предусмотренными правилами и создаёт внутреннее для устройства представления новой сессии для дальнейшей реализации инспекции в ускоренном режиме — fast path (см. пункт «динамическая инспекция трафика»). Однако, режим fast path в своей работе опирается на известные порты и не предусматривает трансляцию адресов внутри пакета.

Многие протоколы в процессе своей работы требуют открытие новых заранее неизвестных портов. Согласование об открытии новых соединений происходит в рамках основной сессии. Кроме того, многие приложения встраивают в пакеты информацию об IP-адресах, соответствующих IP-адресам отправителей, которые при прохождении через МСЭ в большинстве случаев транслируются.

При использовании таких протоколов и приложений необходимо применение инспекции прикладного уровня. При применении такой инспекции МСЭ осуществляет необходимые трансляции IP-адресов, передаваемых в пакетах, а также, разрешает открытие новых сессий по динамически определённым портам.

По умолчанию, инспекция прикладного уровня включена для следующих протоколов:

• dns preset_dns_map
• ftp
• h323 h225
• h323 ras
• ip-options
• rsh
• rtsp
• esmtp
• sqlnet
• skinny
• sunrpc
• xdmcp
• sip
• netbios
• tftp

МСЭ ASA и система предотвращения вторжений IPS. IPS – Intrusion Prevention System – система предотвращения вторжений, разработана и применяется для защиты корпоративных ресурсов от воздействия вредоносного ПО. Система предназначена для борьбы с различными видами атак, в первую очередь, DDOS атаки и предотвращение действия и распространения сетевых «червей» (worms) в сетевой инфраструктуре. Особенностью вирусов типа «червь» является возможность автоматического распространения от заражённого конечного устройства к другим устройствам, подключенным к сетевой инфраструктуре. Система IPS распознаёт активность червей по сигнатурам их сетевых взаимодействий и блокирует их распространение.

Система IPS может быть представлена как отдельное аппаратное устройство, например, Cisco IPS 4200 Series Sensors, либо, интегрировано в существующее сетевое устройство, в том числе и в МСЭ ASA.

Для устройств ASA серии 5500, то есть устройств предыдущего поколения, необходима установка дополнительного аппаратного модуля AIP SSM — Advanced Inspection and Prevention Security Services Module — сервисный модуль безопасности, направленный на предотвращение вторжений. Данный модуль реализует на ASA систему IPS – Intrusion Prevention System. На ASA настраивается перенаправление трафика, подлежащего инспекции, на модуль AIP SSM. При перенаправлении трафика на данный модуль осуществляется детальная проверка пакетов на основании библиотеки сигнатур угроз несанкционированных вторжений. При обнаружении угрозы, устройство способно прервать связанную с ней сессию, блокировать пакеты от источника угрозы, создать логирующую запись об инциденте и отправить соответствующее сообщение администратору.

Устройства ASA серии 5500-Х, то есть устройства нового поколения, не требуют установки дополнительного модуля для получения функционала IPS. Модуль реализован программно как виртуальный блейд. Функционал открывается путём установки дополнительной лицензии или приобретением соответствующего бандла с предустановленной лицензией. Обновление сигнатур системы IPS осуществляется за счёт приобретения подписки на сервисную поддержку SmartNet.

Контентная безопасность подразумевает глубокую инспекцию проходящего через межсетевой экран трафика до уровня приложений. Контентная безопасность в первую очередь является аспектом проверки Web-трафика, то есть протоколов http, https, ftp, ftps. Осуществляется антивирусная проверка передаваемых данных, защита от спама, фильтрация URL.

Для устройств ASA серии 5500, то есть устройств предыдущего поколения, необходима установка дополнительного аппаратного модуля CSC SSM — Content Security and Control Security Services Module — сервисный модуль безопасности. На ASA настраивается перенаправление трафика, подлежащего инспекции, на модуль CSC SSM. При перенаправлении трафика на этот модуль осуществляется сканирование пакетов протоколов FTP, HTTP, POP3, и SMTP.

Устройства ASA серии 5500-Х, то есть устройства нового поколения, не требуют установки дополнительного модуля для реализации функций контентной безопасности. Функционал глубокой инспекции трафика на уровне приложений, а также функционал обеспечения Web-безопасности реализован частично посредством облачной технологии Scan Safe – защита от вирусов и шпионского ПО (SpyWare), частично посредством ASA CX – фильтрация и блокировка URL, репутационная фильтрация, распознание приложений. ASA CX является виртуальным блейдом в межсетевых экранах ASA серии 5500-Х.

Для организации проверки проходящего через межсетевой экран трафика на наличие вирусного кода на ASA настраивается перенаправление инспектируемого трафика в облачный сервис ScanSafe.

Виртуальных блейд ASA CX на МСЭ ASA серии 5500-Х позволяет получить следующий функционал:

• Web Security
• Application Visibility and Control (AVC)

Функционал Web Security позволяет организовать фильтрацию URL. Межсетевой экран способен блокировать запросы пользователей на URL в соответствии с настраиваемыми правилами/исключениями, а также, запросы на URL с низкой репутацией. При этом репутация URL определяется в соответствии с глобальной базой данных облачного сервиса SenderBase. Данный облачный сервис устанавливает низкую репутацию для URL, являющихся источниками и распространителями вредоносного кода.

Функционал AVC (Application Visibility and Control) позволяет классифицировать транзитный через межсетевой экран ASA трафик по типам приложений. ASA с данным функционалом может распознавать трафик Bittorent, Skype и многих других приложений. Благодаря данному функционалу появляется возможность настройки блокировок определённого типа приложений.

Применение политик QoS. Голосовой и видео трафик наиболее чувствителен к латентности и джиттеру сети и требует более высокого уровня обслуживания. МСЭ ASA предоставляет возможность устанавливать более высокий приоритет такому виду трафика.

Применение правил ограничения количества сессий и нормализации TCP-трафика. МСЭ ASA позволяет огранивать количество открытых TCP и UDP сессий, а также, количество TCP сессий, не завершивших процесс тройного рукопожатия. Применение таких правил позволяет предотвращать атаки типа Denial of service.

Нормализация TCP-трафика — опция, позволяющая изменять/пропускать/отбрасывать TCP-пакеты в соответствии с настроенными правилами. Например, можно настроить блокирование TCP SYN- или TCP SYNACK-пакетов, содержащих какие-либо данные. Можно настроить очистку зарезервированных полей TCP-заголовка и т.д.

Выявление угроз несанкционированного вторжения. Предусмотрены базовая детекция угроз и детекция сканирования. Базовая детекция направлена на обнаружение атак, связанных с угрозой Denial of service.

Детекция сканирования направлена на обнаружение устройств, осуществляющих многократные последовательные обращения ко всем IP-адресам внутренних подсетей, или последовательные обращения к определённому хосту (хостам) по различным портам. В первом случае, угроза может быть направлена на получение информации о внутренней адресации сети, во втором — на получение информации об открытых портах устройств, а, следовательно, об активных приложениях. Для устройств, с которыми устанавливаются сессии передачи данных, МСЭ ASA составляет специальную базу данных статистики. Анализ такой статистики позволяет выявлять угрозы сканирования. При обнаружении сканирующего хоста может быть выслано предупреждающее сообщение сетевому администратору, либо сканирующий хост может быть автоматически заблокирован.

Реализация сервисов политики безопасности основывается на применении метода динамической инспекции трафика.

Динамическая инспекция трафика является технологией, применяющейся на ASA, направленной на увеличение пропускной способности устройства. В соответствии с настроенной политикой безопасности, МСЭ принимает решение о том, пропускать пакет или отбрасывать его. Принятие решения осуществляется на основании адаптивного алгоритма безопасности (Adaptive Security Algorithm). Этот алгоритм реализует пакетный фильтр, проверяющий адрес источника, адрес приёмника и порты. Однако такой фильтр не осуществляет проверку на корректность таких данных как номер последовательности и флаги пакета, так как такая подробная инспекция каждого пакета привела бы к значительному снижению пропускной способности устройства.

Вместо этого, устройство ASA рассматривает «состояние» (state) пакета при принятии решения «пропускать/отбрасывать». Состояние пакета определяется его принадлежностью к логическому соединению. Существуют два возможных варианта:

1. Пакет открывает новое логическое соединение. Для принятия решения «пропускать/отбрасывать» пакет пропускается через фильтр управления сессией (session management path). Для определённого типа пакетов предусмотрен, кроме того, фильтр контроля содержания (control plane). При прохождении через фильтр управления сессией осуществляются следующие действия:
   • Проверка разрешения пакета в соответствии с правилами доступа (access-lists).
   • Поиск маршрута для направления пакета.
   • Поиск и осуществление трансляции адреса (NAT) в соответствии с предусмотренными правилами.
   • Установление внутреннего для устройства представления новой сессии, ассоциированной с текущим пакетом (далее пакеты, принадлежащие установленной сессии, буду проходить инспекцию в ускоренном режиме — fast path).

   Фильтр контроля содержания (control plane) применяется для пакетов, которым необходима проверка на 7-ом (прикладном) уровне модели OSI. К таким пакетам относятся дейтаграммы протоколов FTP, H.323, SNMP и т.д. Подобные протоколы устанавливают для своей работы несколько сессий, например, сессию передачи данных, использующую предопределённые известные порты и сессию управления, использующую неизвестные порты.

2. Пакет принадлежит открытой сессии. Для таких пакетов предусмотрена проверка в ускоренном режиме fast path. Нет необходимости поиска разрешающего правила (access-list), маршрута и правила трансляции адресов. Используются правила, ассоциированные с установленной сессией. В рамках fast path осуществляются следующие действия:
   • Проверка контрольной суммы заголовка IP.
   • Поиск принадлежности к сессии.
   • Проверка номера последовательности TCP-сессии.
   • Применение трансляции адреса (NAT), ассоциированной с сессией.
   • Настройка заголовков 3-го и 4-го уровня модели OSI в соответствии с правилами, ассоциированными с сессией.

Для пакетов UDP и пакетов других протоколов, не устанавливающих соединения, также возможно применение режима fast path. Для таких пакетов внутренне представление сессии строится исходя из определённых признаков дейтаграмм (например, для UDP — адреса источника/приёмника, порты). Пакеты, проходящие по алгоритму fast path, при необходимости, также могут быть направлены в фильтр контроля содержания. К таким пакетам относятся пакеты управляющей сессии, существующей параллельно с сессией передачи данных (протоколы FTP, H.323, SNMP и т.д.).

Для некоторых пакетов, принадлежащих к уже установленной сессии, необходимо всё же, прохождение через фильтр управления сессией. К таким пакетам относятся http-данные, требующие контроля содержания.

3. Прочие сервисы, предоставляемые МСЭ Cisco ASA

К наиболее важным и широко распространённым в применении сервисам, предоставляемым МСЭ ASA, относятся следующие позиции:

• Функции разделения устройства на контексты безопасности;
• Сервисы DHCP-сервера и динамического DNS;
• Маршрутизация;
• ASA Failover;
• Функции VPN-концентратора.

Рассмотрим перечисленные сервисы более подробно.

Функции разделения устройства на контексты безопасности. Устройство ASA может быть разделено по функционалу на несколько виртуальных устройств, называемых контекстами безопасности. Каждый контекст представляется независимым МСЭ, реализующим собственные сервисы политики безопасности. Для режима работы во множественных контекстах безопасности существуют ограничения, и некоторые функции могут не поддерживаться (для уточнения необходимо ознакомиться с документацией применяемого релиза операционной системы), однако, имеется возможность независимой реализации практически всех функций, отвечающих за организацию политик безопасности.

Разделение на контексты безопасности может быть необходимо в том случае, если единственное устройство ASA используется для предоставления сервисов безопасности разным независимым организациям, группам клиентов, отделам и т.д. Выбор необходимого контекста безопасности, в рамках которых должно быть обработано прохождение пакета, должен быть осуществлён на основании одного из трёх предусмотренных правил:

• На основании принадлежности входного интерфейса к определённому контексту безопасности. Применяется, если каждый интерфейс принадлежит единственному контексту.
• На основании MAC-адреса отправителя пакета. Если интерфейсы устройства могут принадлежать одновременно различным контекстам, есть возможность дифференцировать принадлежность пакета к определённому контексту, исходя из данных о MAC-адресе источника.
• На основании IP-адреса назначения. Применяется в том случае, когда невозможно организовать разделение по контекстам на основании MAC-адреса источника (например, когда пакеты от одного устройства должны быть обработаны по правилам различных политик безопасности).

Сервисы DHCP-сервера и динамического DNS. DHCP-сервер может быть организован для каждого интерфейса ASA. Это позволяет раздавать конфигурационную информацию клиентам в каждой подключённой обслуживаемой подсети.

Служба динамического DNS (DDNS) используется в паре с DHCP-сервером. Позволяет динамически отслеживать изменения IP-адресации устройств обслуживаемых сетей, для которых необходимо поддерживать соответствие доменного имени и адреса.

Маршрутизация. Для определения исходящего интерфейса для перенаправления пакета устройства ASA выполняет следующие проверки:

1. Если существует динамическая трансляция IP-адреса назначения, выходной интерфейс выбирается в соответствии таблицей динамической трансляции.
2. Если отсутствует запись об адресе назначения в таблице динамической трансляции, выбор исходящего интерфейса осуществляется на основании информации о правилах статической трансляции.
3. Если для адреса назначения отсутствует динамическая трансляция, а также, не предусмотрена статическая трансляция, выбор исходящего интерфейса осуществляется исходя из актуальной таблицы маршрутизации устройства.

Устройство ASA поддерживает статическую маршрутизацию, протоколы динамической маршрутизации — RIP, EIGRP, OSPF — а также, route-maps. Последние используются для редистрибьюции маршрутов между процессами/протоколами динамической маршрутизации, а также, для генерации маршрутов по умолчанию в процессах OSPF.

ASA Failover. Технология ASA Failover направлена на обеспечение отказоустойчивости МСЭ в сети. Для реализации отказоустойчивости необходимо наличие двух одинаковых устройств ASA, соединённых между собой по специальному каналу Failover Link. предусмотрены два режима обеспечения отказоустойчивости: Active/Stanby Failover и Active/Active Failover. В первом случае, одно устройство, входящее в отказоустойчивую пару, активно и пропускает трафик, в то время как второе устройство находится в режиме ожидания (standby) и переходит в режим обработки трафика только при отказе активного устройства. Во втором случае (Active/Active Failover) оба устройства осуществляют обработку сетевого трафика. Режим Active/Active Failover возможен только при условии использования нескольких контекстов безопасности.

Оба режима Failover (Active/Stanby и Active/Active) могут быть организованы как Stateless или Stateful. При использовании режима Stateless в момент возникновения отказа все установленные пользовательские соединения, связанные с вышедшим из строя МСЭ, прерываются. Клиентам необходимо заново устанавливать необходимые соединения через новый активный работоспособный МСЭ. При использовании режима Stateful устройства периодически обмениваются между собой информацией о текущих установленных соединениях, таким образом, при возникновении отказа, новое активное устройство имеет всю необходимую информацию для продолжения обмена данных в рамках ранее установленных сессий. Реорганизация соединений не требуется.

Информация, необходимая для организации отказоустойчивой пары, передаётся по каналу failover link. К ней относится:

Информация о текущем режиме работы устройства (Active или Standby):

• Hello-пакеты;
• Информация о состоянии сетевых интерфейсов;
• MAC-адреса;
• Информация, необходимая для синхронизации конфигурации устройств.

При использовании режима Stateful передаётся также информация о текущих сессиях, поэтому для этого режима предъявляются дополнительные требования к пропускной способности каналаfailover link. В качестве failover link можно использовать выделенный, предназначенный только для этой цели интерфейс, а также интерфейс передающий данные. Использование последнего варианта не рекомендуется. Для организации failover link два устройства ASA должны быть соединены непосредственно, либо, через коммутационную среду.

Устройство, входящее в failover-пару считается отказавшим, если происходит одно из следующих событий:

• Аппаратный сбой или отказ по питанию;
• Программный сбой;
• Превышение установленного порога отказавших интерфейсов;
• Введена специальная команда, для тестовой реализации состояния отказа.

4. Функции VPN-концентратора

IPSec и ISAKMP

Устройство МСЭ ASA поддерживает протоколы IPSec и ISAKMP, используемые при организации безопасных шифруемых каналов передачи данных. Протоколы IPSec/ISAKMP используются для решения двух задач: организация удалённого доступа (Remote Access VPN) и объединение частных/корпоративных сетей (LAN-to-LAN VPN). Первый вариант использования IPSec/ISAKMP (Remote Access VPN) позволяет организовывать защищённый обмен данными удалённого пользователя с ресурсами внутренней корпоративной сети через любую TCP/IP сеть, например, через Интернет. В этом случае для удалённого подключения к корпоративной сети на компьютере удалённого пользователя должен быть установлен VPN Client (например, Cisco VPN Client).

Второй вариант использования IPSec/ISAKMP (LAN-to-LAN VPN) позволяет объединять территориально распределённые локальные сети. В этом случае, на каждой стороне устанавливается устройство ASA. При необходимости передачи данных от ресурсов одной сети к пользователям другой сети организуется зашифрованный туннель поверх открытой TCP/IP сети, например, поверх Интернет.

L2TP

Устройство МСЭ ASA поддерживает протокол туннелирования канального уровня модели OSI — L2TP. Протокол L2TP позволяет инкапсулировать кадры канального уровня и использовать для построения туннелей не только TCP/IP сети, но и сети ATM, X.25 и Frame Relay. L2TP предоставляет возможность создания PPP (Point-to-Point) соединения удалённого с ресурсами частной/корпоративной сети. L2TP не предусматривает функции шифрования трафика, поэтому для создания безопасных зашифрованных туннелей используется в сочетании с IPSec/ISAKMP.

SSL

Устройство МСЭ ASA поддерживает протокол SSL — протокол обмена данными между клиентом и сервером и предоставляет несколько видов сервисов, связанных с использованием SSL для организации VPN-туннеля. Сервисы организации SSL VPN туннелей могут быть разделены на две категории: сервисы, использующие browser удалённого хоста для организации туннелей (Clientless SSL VPN), и средства, требующие для организации туннелей установки дополнительного клиентского ПО на удалённый хост (SSL VPN Client).

Clientless SSL VPN

Областью применения Clientless SSL VPN является организация безопасного доступа по протоколам http, https к Web-серверам внутренней инфраструктуры, организация доступа к файлам в рамках сети Microsoft Windows посредством протокола Common Internet File System (CIFS) и FTP. При использовании технологии Clientless SSL VPN удалённый пользователь получает от ASA для своего browser портальную html-страницу, имеющую поля для ввода необходимых данных о требуемом соединении (таких как URL серверов, протоколы обмена данными, списки файлов, к которым требуется предоставить доступ и т. д.).

Технология Clientless SSL VPN может также быть использована для организации безопасных туннелей передачи данных между TCP-приложениями, использующими статические номера портов. К таким приложениям относятся приложения на основе следующих протоколов:

• POP3, SMTP, IMAP – для web-based email;
• SSH, и Telnet;
• Citrix Client (rca);
• Terminal Servers (rdp);
• Terminal Servers Vista (rdp2);
• VNC Client.

Данный функционал реализуется посредством расширения Clientless VPN режимом Thin-Client (тонкий клиент), называемый также TCP Port Forwarding (проброс портов TCP). Данный режим позволяет использовать приложения, требующие клиент-серверные соединения к известным портам. В режиме Thin-Client загружается и устанавливается небольшой Java-аплет на пользовательский компьютер, который выполняет функции TCP-proxy. Приложения, поддерживающиеся в режиме Thin Client, в основном e-mail-based (SMTP, POP3, and Internet Map Access Protocol version 4 [IMAP4]).

Для активизации возможности использования таких TCP-приложений, как Citrix Client (rca), Terminal Servers (rdp), Terminal Servers Vista (rdp2), ssh, telnet, VNC Client для браузера выполняется установка соответствующих plug-ins. Многие plug-ins могут быть загружены на удалённое устройство непосредственно с МСЭ ASA.

Альтернативой использования plug-ins является технология SSL VPN Smart Tunnels, являющаяся дополнительной настраиваемой опцией для режима Thin-Client. Данная технология показывает более высокую производительность по сравнению с использованием plug-ins и не требует наличия прав администратора.

SSL VPN Client

Сервис Cisco AnyConnect SSL VPN Client (Cisco AnyConnect Secure Mobility) позволяет устанавливать безопасные SSL-туннели между удалённым пользователем и МСЭ для предоставления доступа к ресурсам внутренней сети. Фактически, сервис Cisco AnyConnectSecure Mobility решает ту же задачу, что и Remote Access VPN. Преимущество использования Cisco AnyConnect Secure Mobility заключается в том, что для организации туннеля не требуется наличие специального клиентского ПО (такого как Cisco VPN Client). Запрос на установку защищённого соединения осуществляется посредством browser со стороны клиента, после чего осуществляется автоматическая закачка и установкаAnyConnect Client непосредственно с устройства ASA. На данный момент, компания Cisco Systems считает использование технологии Cisco AnyConnect Secure Mobility более предпочтительным.

В текущем разделе были перечислены и кратко описаны основные наиболее распространённые в использовании сервисы, предоставляемые МСЭ ASA. Однако следует учитывать, что набор предлагаемых сервисов крайне широк и постоянно пополняется в соответствии с растущими потребностями пользователей, организаций. Примерами дополнительных сервисов могут служить следующие позиции:

• Правила межсетевого экранирования на базе имени пользователя и группы (Identity Firewall). Обычно политика безопасности, организуемая на ASA, опирается на правила доступа, основанные на IP-адресах клиентов. Сервис Identity Firewall позволяет разграничивать правила доступа и полномочия клиентов на основании имени пользователя или принадлежности к той или иной группе, что позволяет нивелировать привязку политики безопасности к IP-адресам. Данный сервис опирается на работу ASA в связке со службой Windows Active Directory работающей на Windows Server.
• Защита от бот сетей (Botnet Traffic Filter). Бот сети строятся путём заражения хостов вредоносным ПО. Цель такого ПО — использовать ресурсы конечного оборудования под управлением некоторого удалённого устройства, принадлежащего злоумышленнику, для организации бот нет атак. Чаще всего это атаки типа Denial-of-Service, однако, атаки могут быть направлены и на компрометацию информации. Сервис Botnet Traffic Filter ориентирован на выявление бот сетей и предотвращение связанных с ними атак. Принцип работы сервиса опирается на инспекцию сессий с целью сравнения адресов и доменных имён с текущей динамической базой данных, хранящей информацию об известных бот сетях. Основной задачей сервиса является выявление инфицированных устройств во внутренней обслуживаемой сети, которые уже стали участниками бот сети. При появлении подозрения на инфицирование создаются определённые логирующие сообщения, ведётся база сессий подозреваемых устройств. Исходя из собираемой информации, администратор сетевой безопасности принимает решение о проведении мероприятий по предотвращению бот атаки. Информация о подозреваемых инфицированных устройствах может быть сгенерирована в виде отчёта. Кроме того, имеется возможность настройки автоматического предотвращения трафика от инфицированных устройств.
• Сервис защиты VoIP трафика (Cisco Phone Proxy). Данный сервис позволяет организовывать связь удалённых IP-телефонов с корпоративной телефонной сетью через незащищённую сеть, например Интернет. МСЭ ASA организует шифрацию VoIP трафика, передаваемого через сеть с низким уровнем доверия. При этом для обеспечения безопасных соединений не требуется организация VPN-туннелей. Сервис Cisco Phone Proxy обеспечивается совокупностью выполнения нескольких функций/сервисов МСЭ ASA. Одним из таких сервисов является TLS Proxy, позволяющий терминировать зашифрованные TLS-сигналы удалённых IP-телефонов и организовывать TLS или TCP сессии с CUCM (Cisco Unified Communication Manager) для установления связи. ASA производит дешифрацию сигнального трафика, выполняет необходимую инспекцию с целью предотвращения несанкционированного доступа.
• Сервис сканирования ПК, подключаемых по SSL VPN (AnyConnect Host Scan). Данный сервис позволяет осуществлять сбор информации о конечном удалённом устройстве, запрашивающем SSL-подключение, до момента проведения процедуры аутентификации (до ввода логина/пароля). Происходит определение используемой на удалённом устройстве ОС, антивирусного программного обеспечения, firewall-программ. На основании полученной информации принимается решение о разрешении SSL-подключения.

1. Cisco Next Generation Security Solutions All in one Cisco ASA