En redes de computadoras , los dispositivos de seguridad adaptable Cisco ASA de la serie 5500 , o simplemente Cisco ASA , es la línea de dispositivos de seguridad de red de Cisco presentada en mayo de 2005, [1] que sucedió a tres líneas existentes de productos populares de Cisco:
- Cisco PIX , que proporcionaba funciones de traducción de direcciones de red (NAT) y cortafuegos, finalizó la venta el 28 de julio de 2008. [2]
- Cisco IPS 4200 Series, que funcionaba como sistemas de prevención de intrusiones (IPS).
- Concentradores Cisco VPN de la serie 3000, que proporcionaban redes privadas virtuales (VPN).
Cisco ASA es un dispositivo de gestión de amenazas unificado que combina varias funciones de seguridad de red en una sola caja. [3]
Recepción y crítica
Cisco ASA se ha convertido en una de las soluciones de firewall / VPN más utilizadas para pequeñas y medianas empresas. [4] Las primeras revisiones indicaron que faltaban las herramientas GUI de Cisco para administrar el dispositivo. [5]
Se identificó una falla de seguridad cuando los usuarios personalizaron la opción Clientless SSL VPN de sus ASA, pero se rectificó en 2015. [6] Otra falla en una función de WebVPN se corrigió en 2018. [7]
En 2017, The Shadow Brokers reveló la existencia de dos exploits de escalada de privilegios contra ASA llamados EPICBANANA [8] y EXTRABACON. [9] [10] JETPLOW hizo persistente un implante de inserción de código llamado BANANAGLEE. [11]
Características
El 5506W-X tiene un punto WiFi incluido.
Arquitectura
El software ASA está basado en Linux. Ejecuta un único programa de formato ejecutable y enlazable llamado lina. Esto programa los procesos internamente en lugar de utilizar las instalaciones de Linux. [12] En la secuencia de arranque se inicia un cargador de arranque llamado ROMMON (monitor ROM), carga un kernel de Linux, que luego carga lina_monitor, que luego carga lina. El ROMMON también tiene una línea de comando que se puede usar para cargar o seleccionar otras imágenes y configuraciones de software. Los nombres de los archivos de firmware incluyen un indicador de versión, -smp significa que es para un multiprocesador simétrico (y arquitectura de 64 bits), y diferentes partes también indican si 3DES o AES son compatibles o no. [12]
El software ASA tiene una interfaz similar al software Cisco IOS en los routers. Hay una interfaz de línea de comandos (CLI) que se puede utilizar para consultar, operar o configurar el dispositivo. En el modo de configuración se ingresan las declaraciones de configuración. La configuración está inicialmente en la memoria como una configuración en ejecución, pero normalmente se guardaría en la memoria flash. [12]
versiones de software [12] | |||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
lanzamiento importante | 7.0 | 7.1 | 7.2 | 8.0 | 8.1 | 8.2 | 8.3 | 8.4 | 8.5 | 8,6 | 8.7 | 9.0 | 9.1 | 9.2 | 9.3 | 9.4 | 9.5 | 9,6 | 9,7 | 9,8 | 9,9 |
liberado [13] | 31 de mayo de 2005 | 6 de febrero de 2006 | 31 de mayo de 2006 | 18 junio 2007 | 1 de marzo de 2008 | 6 de mayo de 2009 | 8 de marzo de 2010 | 31 de enero de 2011 | 8 de julio de 2011 | 28 de febrero de 2012 | 16 de octubre de 2012 | 29 de octubre de 2012 | 3 de diciembre de 2012 | 24 abr 2014 | 24 julio 2014 | 30 de marzo de 2015 | 12 de agosto de 2015 | 21 de marzo de 2016 | 4 abr 2017 | 15 de mayo de 2017 | 4 de diciembre de 2017 |
fin de la vida | × | × | × | × | × | × | × | × | × | × | × | × | × | × | |||||||
para 5505-5550 | Y | Y | Y | Y | Y | Y | Y | Y | Y | ||||||||||||
para 5512-5585-X | Y | Y | Y | Y | Y | Y | Y | Y | Y | Y | Y | Y |
Opciones
Los modelos 5512-X, 5515-X, 5525-X, 5545-X y 5555-X pueden tener una tarjeta de interfaz adicional agregada. [14]
El 5585-X tiene opciones para SSP. SSP significa procesador de servicios de seguridad. [15] Estos varían en potencia de procesamiento por un factor de 10, desde SSP-10 SSP-20, SSP-40 y SSP-60. El ASA 5585-X tiene una ranura para un módulo de E / S. Esta ranura se puede subdividir en dos módulos de medio ancho. [dieciséis]
En los modelos de gama baja, algunas funciones son limitadas y la eliminación de códigos ocurre con la instalación de una licencia Security Plus. Esto permite más VLAN o pares VPN , y también alta disponibilidad. [14] Cisco AnyConnect es una función adicional con licencia que opera túneles IPSec o SSL a clientes en PC, iPhones o iPads. [17]
Modelos
El 5505 presentado en 2010 era una unidad de escritorio diseñada para pequeñas empresas o sucursales. Incluía funciones para reducir la necesidad de otros equipos, como un conmutador incorporado y puertos de alimentación a través de Ethernet . [18] El 5585-X es una unidad de mayor potencia para centros de datos presentada en 2010. [19] Se ejecuta en modo de 32 bits en un chip Atom de arquitectura Intel. [12]
Modelo | 5505 [20] | 5510 | 5520 [20] | 5540 [20] | 5550 [20] | 5580-20 [20] | 5580-40 [20] | 5585-X SSP10 [20] | 5585-X SSP20 [20] | 5585-X SSP40 [20] | 5585-X SSP60 [20] |
---|---|---|---|---|---|---|---|---|---|---|---|
Rendimiento de texto sin cifrar , Mbit / s | 150 | 300 | 450 | 650 | 1200 | 5,000 | 10,000 | 3000 | 7.000 | 12 000 | 20.000 |
Rendimiento AES / Triple DES , Mbit / s | 100 | 170 | 225 | 325 | 425 | 1.000 | 1.000 | 1.000 | 2.000 | 3000 | 5,000 |
Max conexiones simultáneas | 10,000 (25,000 con licencia Sec Plus) | 50.000 (130.000 con licencia Sec Plus) | 280.000 | 400.000 | 650.000 | 1,000,000 | 2,000,000 | 1,000,000 | 2,000,000 | 4.000.000 | 10,000,000 |
Sesiones VPN de acceso remoto y de sitio a sitio máximas | 10 (25 con licencia Sec Plus) | 250 | 750 | 5,000 | 5,000 | 10,000 | 10,000 | 5,000 | 10,000 | 10,000 | 10,000 |
Número máximo de sesiones de usuario de VPN SSL | 25 | 250 | 750 | 2500 | 5,000 | 10,000 | 10,000 | 5,000 | 10,000 | 10,000 | 10,000 |
Modelo | 5505 | 5510 | 5520 | 5540 | 5550 | 5580-20 | 5580-40 | 5585-X SSP10 | 5585-X SSP20 | 5585-X SSP40 | 5585-X SSP60 |
Cisco determinó que la mayoría de los dispositivos de gama baja tenían muy poca capacidad para incluir las funciones necesarias, como antivirus o sandboxing, por lo que introdujo una nueva línea llamada firewall de próxima generación. Estos se ejecutan en modo de 64 bits. [12]
Modelos a partir de 2018. [14]
Modelo | 5506-X | 5506W-X | 5506H-X | 5508-X | 5512-X | 5515-X | 5516-X | 5525-X | 5545-X | 5555-X | 5585-X |
---|---|---|---|---|---|---|---|---|---|---|---|
Rendimiento Gb / s | 0,25 | 0,25 | 0,25 | 0,45 | 0,3 | 0,5 | 0,85 | 1.1 | 1,5 | 1,75 | 4-40 |
Puertos GB | 8 | 8 | 4 | 8 | 6 | 6 | 8 | 8 | 8 | 8 | 6-8 |
Puertos de diez GB | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 2-4 |
Factor de forma | escritorio | escritorio | escritorio | 1 RU | 1 RU | 1 RU | 1 RU | 1RU | 1RU | 1RU | 2RU |
Referencias
- ^ Comunicado de prensa de Cisco Archivado el 4 de diciembre de 2012en lacita de Wayback Machine : "Las Vegas (Interop) 3 de mayo de 2005 - Cisco Systems, Inc., anunció hoy la disponibilidad del dispositivo de seguridad adaptable Cisco ASA 5500 Series"
- ^ Davis, David (19 de febrero de 2008). "Conversión de lo antiguo a lo nuevo con la herramienta de migración PIX a ASA" . TechRepublic .
- ^ Davis, David (30 de junio de 2005). "Conozca el nuevo dispositivo de seguridad de Cisco: ASA 5500" . TechRepublic . Consultado el 21 de marzo de 2018 .
- ^ "¿Qué es Cisco ASA? Descripción general de Cisco ASA" . Consultado el 28 de diciembre de 2012 .
- ^ "Cisco acelera el firewall / VPN, falla en la facilidad de uso" . Consultado el 28 de diciembre de 2012 .
- ^ Saarinen, Juha (20 de febrero de 2015). "Firewalls Cisco ASA sin parches dirigidos por piratas informáticos" . iTnews . Consultado el 20 de marzo de 2018 .
- ^ Saarinen, Juha (30 de enero de 2018). "La función Cisco ASA VPN permite la ejecución remota de código" . iTnews .
- ^ "NVD - CVE-2016-6367" . nvd.nist.gov . Consultado el 13 de julio de 2020 .
- ^ "NVD - CVE-2016-6366" . nvd.nist.gov . Consultado el 13 de julio de 2020 .
- ^ "Los exploits de Shadow Brokers EPICBANANA y EXTRABACON" . Blogs de Cisco . 2016-08-17 . Consultado el 13 de julio de 2020 .
- ^ "Catálogo de operaciones de firewall de Equation Group" . musalbas.com .
- ^ a b c d e f "Introducción a Cisco ASA" . www.nccgroup.trust .
- ^ "Nuevas funciones de Cisco ASA por versión" . Cisco .
- ^ a b c "Hoja de datos de Cisco ASA con servicios FirePOWER" . Cisco . 9 de febrero de 2018 . Consultado el 20 de marzo de 2018 .
- ^ Moraes, Alexandre MSP (2011). Cortafuegos de Cisco . Prensa de Cisco. ISBN 9781587141119.
- ^ "Hoja de datos de firewall con estado Cisco ASA 5585-X" . Cisco . 7 de junio de 2017.
- ^ Carroll, Brandon (5 de enero de 2011). "Cisco AnyConnect vs IPsec VPN: consideraciones de licencia" . TechRepublic .
- ^ "Cisco amplía la seguridad" . Computación en red . 9 de julio de 2006.
- ^ "Dispositivo ASA de alto rendimiento de Cisco, nueva versión de Anyconnect" . Computación en red . 5 de octubre de 2010.
- ^ a b c d e f g h yo j "Página de comparación de modelos de Cisco ASA" . Consultado el 15 de mayo de 2008 .
enlaces externos
- Dispositivos de seguridad adaptable Cisco ASA de la serie 5500
- Podcast de seguridad de Cisco TAC: información de resolución de problemas de ASA