Cisco ASA

Cisco ASA 5500 Adaptive Security Appliances (Прилади адаптивної безпеки), або просто Cisco ASA, пристрої компанії Cisco з лінійки мережевої безпеки, які були представлені в травні 2005 року^[1], надалі успішно замінили собою три наявних лінійки популярних продуктів Cisco:

• Cisco PIX^[en], брандмауер і трансляція мережевих адрес (NAT), продажі завершились 28 липня 2008 року.^[2]
• Cisco IPS 4200 Series, який працював як система для запобігання вторгнень у системи (IPS).
• Концентратори Cisco VPN 3000 серії, які забезпечували роботу віртуальної приватної мережі (VPN).

Так само як і PIX, ASA базуються на процесорах x86. Починаючи з версії 7.0 PIX і ASA використовують однакові образи операційної системи (але функціональність залежить від того, на якому пристрої вона запущена).

Управляти пристроєм можна через telnet, SSH, вебінтерфейс або за допомогою програми ASDM.

Функціональність залежить від типу ліцензії, яка визначається введеним серійним номером.

ASA — це уніфікований пристрій керування загрозами, який об'єднує декілька функцій безпеки мережі в одній коробці.^[3]

Вихід на ринок і критика

Cisco ASA став одним з найбільш широко використовуваних брандмауерів/VPN-рішень для малого і середнього бізнесу.^[4] Перші огляди показали, що інструментів Cisco GUI (Graphical user interface) для управління пристроєм не вистачало, але в цілому пристрій був винятковим.^[5]

Дефект безпеки в мережі Clientless Secure Sockets Layer Virtual Private Networking був виправлений в 2015 році.^[6] Діра в безпеці в WebVPN була усунута в 2018 році.^[7]

У 2017 році The Shadow Brokers^[en] виявили існування двох експлойтів з підсиленням привілеїв проти ASA під назвою EPICBANANA та EXTRABACON, а також імплантат із введенням коду під назвою BANANAGLEE, який стійкий до JETPLOW.^[8]

Особливості

Пристрій серії 5506W-X має WiFi точку доступу.

Архітектура

Програмне забезпечення Cisco ASA базується на Linux. На ньому запускається одна виконувана програма під назвою lina. З початку запускається так званий ROMMON, який розпочинає завантаження ядра Linux, який в  свою чергу завантажує lina_monitor, який потім завантажує lina. ROMMON також має командний рядок, який може використовуватися для завантаження, або вибору іншого образу програмного забезпечення чи конфігурації. Імена файлів прошивки містить індикатор версії, -smp (англ. symmetrical multiprocessor), що означає — для симетричних багатопроцесорних (як і для 64-бітної архітектури), і інші частини, які вказують чи підтримуються алгоритми 3DES або AES.^[9]

Програмне забезпечення ASA має аналогічний інтерфейс з програмним забезпеченням Cisco IOS на маршрутизаторах. Існує інтерфейс командного рядка (CLI), який може використовуватися для операції запиту або для налаштування пристрою. У режимі config виконуються налаштування. Конфігурація спочатку зберігається у пам'яті як бібліотечна конфігурація, але потім переноситься у флеш-пам'ять.^[9]

			Версії програмного забезпечення[9]
Основний реліз	7.0	7.1	7.2	8.0	8.1	8.2	8.3	8.4	8.5	8.6	8.7	9.0	9.1	9.2	9.3	9.4	9.5	9.6	9.7	9.8	9.9
Дата виходу[10]	31 Травня 2005	6 Лютого 2006	31 Травня 2006	18 Червня 2007	1 Березня 2008	6 Травня 2009	8 Березня 2010	31 Січня 2011	8 Липня 2011	28 Лютого 2012	16 Жовтня 2012	29 Жовтня 2012	3 Грудня 2012	24 Квітня 2014	24 Липня 2014	30 Березня 2015	12 Серпня 2015	21 Березня 2016	4 Квітня 2017	15 Травня 2017	4 Грудня 2017
Кінець підтримки	×	×	×	×	×	×	×	×	×	×	×	×			×		×
Для 5505-5550			Y	Y	Y	Y	Y	Y				Y	Y	Y
Для 5512-5585-X										Y	Y	Y	Y	Y	Y	Y	Y	Y	Y	Y	Y

Варіанти

У 5512-х, 5515-х, 5525-х, 5545-X і 5555-x може мати додаткову карту інтерфейсу.^[11]

На 5585-x має варіанти для SSP. SSP виступає за безпеку служби процесора.^[12] Вони розрізняються по обчислювальній потужності в 10 разів, від SSP-10 SSP-20, SSP-40 та SSP-60. В ASA 5585-x має слот для модуля вводу-виводу. Цей слот можна розділити на дві половини ширини модулів.^[13]

На нижній межі моделі, деякі функції будуть обмежені, обмеження можна зняти за допомогою установки ліцензії Security Plus. Це дозволяє використовувати більше віртуальних локальних мереж, або VPN-пірів, з більш високою доступністю.^[11] Cisco AnyConnect — це додаткові ліцензовані функції, які оперують протоколами IPSec або SSL тунелями для клієнтів на ПК, iPhone або iPad.^[14]

Моделі

5505, представлений в 2010 році, був настільним пристроєм, призначеним для малих підприємств або філій. Він включав функції, що дозволяють зменшити потребу в іншому обладнанні, таких як вбудований комутатор та порти живлення через Ethernet.^[15] 5585-x-це більш потужний агрегат для обробки даних, випущений в 2010 році.^[16] Він працює в 32-бітному режимі на базі архітектури Intel Atom.^[9]

Модель	5505[17]	5510	5520[17]	5540[17]	5550[17]	5580-20[17]	5580-40[17]	5585-X SSP10[17]	5585-X SSP20[17]	5585-X SSP40[17]	5585-X SSP60[17]
Чиста Пропускна спроможність, Mbit/s	150	300	450	650	1,200	5,000	10,000	3,000	7,000	12,000	20,000
AES/Triple DES пропускна спроможність, Mbit/s	100	170	225	325	425	1,000	1,000	1,000	2,000	3,000	5,000
Максимальна кількість одночасних з'єднань	10,000 (25,000 з ліцензією Sec Plus)	50,000 (130,000 з ліцензією Sec Plus)	280,000	400,000	650,000	1,000,000	2,000,000	1,000,000	2,000,000	4,000,000	10,000,000
Максимальна кількість сеансів VPN для сайту та віддаленого доступу	10 (25 з ліцензією Sec Plus)	250	750	5,000	5,000	10,000	10,000	5,000	10,000	10,000	10,000
Максимальна кількість SSL VPN сесій	25	250	750	2,500	5,000	10,000	10,000	5,000	10,000	10,000	10,000
Модель	5505	5510	5520	5540	5550	5580-20	5580-40	5585-X SSP10	5585-X SSP20	5585-X SSP40	5585-X SSP60

Компанія Cisco визначила, що більшість низькотехнологічних пристроїв мають занадто мало можливостей для включення необхідних функцій, таких як антивірус або пісочниця, і таким чином представила нову лінію, що називається брандмауером нового покоління. Вони працюють у 64-бітовому режимі.^[9]

Моделі 2018 року.^[11]

Модель	5506-х	5506W-Х	5506H-Х	5508	5512-х	5515-х	5516-х	5525-х	5545-х	5555-х	5585-х
Пропускна здатність	0.25	0.25	0.25	0.45	0.3	0.5	0.85	1.1	1.5	1.75	4-40
1ГБ порти	8	8	4	8	6	6	8	8	8	8	6-8
10ГБ порти (потребують окремої ліцензії)	0	0	0	0	0	0	0	0	0	0	2-4
Форм-фактор	desktop	desktop	desktop	desktop	1 RU[en]	1 RU	1 RU	1 RU	1 RU	1 RU	2 RU

Апаратне забезпечення

Модель	5505	5510	5520	5540	5550	5580-20	5580-40	5585-X-SSP20	5585-X-SSP60
Рік випуску	2006	2005	2005	2005	2006	2008	2008	2010	2010
Процесор	AMD Geode LX	Intel Celeron	Intel Pentium 4 Celeron	Intel Pentium 4	Intel Pentium 4	AMD Opteron (2 процесора, 4 ядра)	AMD Opteron (4 процесора, 8 ядер)	Intel (16 cores)	Intel (24 cores)
Тактова частота	500 MHz	1.6 GHz	2.0 GHz	2.0 GHz	3.0 GHz	2.6 GHz	2.6 GHz		2.4 GHz
Чипсет	Geode CS5536		Intel 875P Canterwood
Об'єм ОЗП по замовчуванню	256 MB	256 MB	512 MB	1 GB	4 GB	8 GB	12 GB	12GB	24GB
Пристрій зберігання	ATA CompactFlash	ATA CompactFlash	ATA CompactFlash	ATA CompactFlash	ATA CompactFlash	ATA CompactFlash	ATA CompactFlash	ATA CompactFlash	ATA CompactFlash
Об'єм пристрою зберігання	64 MB	64 MB	64 MB	64 MB	64 MB	1 GB	1 GB	2GB	2GB
Мінімальна версія ОС, що підтримується	7.2.1	7.0.1	7.0.1	7.0.1	7.1.1	8.1.1	8.1.1
Максимальна кількість віртуальних інтерфейсів	3 або 20 з ліцензією Sec Plus	50 або 100 з ліцензією Sec Plus	150	200	250	250	250
Чипсет мережевих інтерфейсів	Marvell 88E6095
Карти розширення	AIP-SSC	CSC-SSM, AIP-SSM, 4GE-SSM	CSC-SSM, AIP-SSM, 4GE-SSM	CSC-SSM, AIP-SSM, 4GE-SSM	Не підтримує	6 інтерфейсних карт	6 інтерфейсних карт	IPS-SSP SSP-20	IPS-SSP SSP-60
Кількість з'єднать SSL VPN	2 за замовчуванням, максимум 50	2 за замовчуванням, максимум 250	2 за замовчуванням, максимум 750	2 за замовчуванням, максимум 2500	2 за замовчуванням, максимум 5000	2 за замовчуванням, максимум 10000	2 за замовчуванням, максимум 10000	2 за замовчуванням, максимум 10000	2 за замовчуванням, максимум 10000
Підтримка резервування	Stateless Active/Standby (з ліцензією Sec Plus)	Active/Standby, Active/Active (з ліцензією Sec Plus)	Active/Standby, Active/Active	Active/Standby, Active/Active	Active/Standby, Active/Active	Active/Standby, Active/Active	Active/Standby, Active/Active	Active/Standby, Active/Active	Active/Standby, Active/Active
Модель	5505	5510	5520	5540	5550	5580-20	5580-40	5585-X-SSP20	5585-X-SSP60