Как стать автором
Обновить

Комментарии 58

Умеет ли современный софт маршрутизаторов statefull FW?
Без этой опции выставлять сети в Интернет с UDP-трафиком весьма опасно.

P.S. Зачем Вы поместили фотографию маршрутизатора в центр текста про ASA ?
Безусловно, МЭ на базе маршрутизатора инспектирует сессии. Причём инспекции есть не только для TCP/UDP, а для более высокоуровневых протоколов, например, HTTP/SIP/пр. Также на маршрутизаторах поддерживается stateful failover для МЭ. Т.е. если у нас два маршрутизатора и один из них откажет, сессии не разорвутся и продолжат обрабатываться МЭ на втором.
А рефлексивные листы доступа для UDP не решают проблему?
НЛО прилетело и опубликовало эту надпись здесь
Такое лицензирование было только для ASA 5505. На современных устройствах ASA 5500-Х (в частности ASA 5506-X) данной схемы больше нет.
В небольшой сети ISR не нужен — он на порядок сложнее ASA в настройке, а DMVPN и прочие UC востребованы скорее в филиалах крупных компаний.
Грубо говоря: для грамотной конфигурации ISR нужен специалист уровня CCNP (свой или на подряде), а настройка через ASDM почти не отличается от домашнего раутера и с ней справится обычный сисадмин читавший СДСМ.
для грамотной конфигурации ISR нужен специалист уровня CCNP

А про какие задачи идет речь? Много-много лет назад я себе домой поставил 1721-й роутер, еще готовясь к CCNA. Помню, был SDM/CCP, где при желании в гуе все настраивается визардами, но я был за консоль.
А аса… Я до сих пор не могу им простить отказ от синтаксиса NAT в <=8.2. Было ужасно, все привыкли, и вдруг стало совсем по-другому и еще ужаснее. Автоматическая миграция формально есть, но никогда не работает, надо руками.
А про какие задачи идет речь?

Сразу оговорюсь, я не настоящий сварщик. Под настройкой имел ввиду IPSec-туннель с NAT для подключения к клиенту/подрядчику, обновления клиента и настройка портала для AnyConnect и т.д.
Кстати, SSL VPN на 1921 работает без аппаратного ускорения и один пользователь может положить железку простым копированием файла по SMB. Пришлось мучаться с FlexVPN, который сам не обновляется и не подтягивает профиль при подключении.
Помню, был SDM/CCP, где при желании в гуе все настраивается визардами, но я был за консоль.

Я не понял логики CCP и тоже всё делаю через консоль, а вот на ASA ей пользовался всего два раза — когда активировал люцензию на шифрование и для TAC.
Клиентский VPN — да, аса лучше, только и она не сахар. Anyconnect по цене/возможностям ни разу не впечатляет.
Напишите про альтернативы.
У меня сложилось впечатление, что классический VPN у них вне конкуренции — им пользуются все ([1], [2], [3]), стоит копейки и работает на куче платформ (в NetworkManager даже сделали свою реализацию). Не хватает только нормального запуска перед логином, но это похоже есть только в DirectAccess.
Про clientless ничего не знаю, его фичи пока не нужны и цена кусается.
F5 весьма шикарен.
Clientless — тестировали какое-то решение, дающее клиенту SSH клиента на Java и логирующее всё происходящее. Вроде там и RDP картинку умело писать. Бесценно для всяких криворуких системных интеграторов, любящих скрывать свои косяки.
Правда, лично я клиентским VPNом как раз не занимаюсь...
Не CyberArk случаем?
Про F5 слышал много хорошего, но вроде это махровый ентерпрайз с ценами от десятков килобаксов.
Не CyberArk. Чей — не помню.
Увы и ах — лучше AnyConnect ничего, похоже, не сделали:(
практика показывает, что попытки использовать ASA как маршрутизатор часто заканчиваются не очень хорошо. Действительно, в неё добавили очень много фич, которые делают её похожей на маршрутизатор — вот вам BGP, вот вам SLA, вот даже EEM. Но дьявол, как обычно, кроется в деталях. ASA как была, так и остаётся очень узкоспециализированным устройством безопасности, в соответствии с чем устроена её логика работы, поэтому многие функции имеют, скажем так, «особенности». Разумеется, их можно учесть, заранее и очень аккуратно разрисовав дизайн, все потоки трафика и надеясь, что к моменту реализации сеть будет именно в том состоянии, в котором вы её нарисовали. Потому что стоит какому-то серверу переехать в другую сеть и можно получить асимметричную маршрутизацию или ещё какую бяку и ой! Ура, костыли! Если роутер, будучи устройством универсальным, может простить предположения этапа дизайна, оказавшиеся неверными, то ASA — скорее всего нет. Вдобавок, заимствованные из маршрутизатора функции заимствованы далеко не полностью. То есть, увидев в описании ASA, что в ней есть EEM, не думайте, что этот тот же EEM, что в маршрутизаторах. Или Netflow, который вроде бы как Netflow, только не каждый neflow коллектор его понимает.
И ещё, хочется развенчать распространённое заблуждение, что ASA проще в настройке, чем IOS-маршрутизатор, ведь у неё есть отличный GUI под названием ASDM. Да, GUI есть, вот только логика работы не так прямолинейна. Тот же NAT, участвующий в маршрутизации.
В качестве заключения: ASA — отличная железка, если вы собираетесь использовать её по назначению. Если вам нужна гибкость, лучше остановиться на роутере.
эт с какой версии софта ASA стала поддерживать PBR?
Поддержка PBR появилась в версии 9.4(1). Смотреть новый функционал относительно версий удобно здесь.
А еще можно дополнить ", а для организации подключения к WAN-каналам – маршрутизаторы",
потому-что совместимых модулей расширения для ISR G2 огромное количество на вкус, цвет и все потребности:
www.cisco.com/c/en/us/products/routers/3900-series-integrated-services-routers-isr/relevant-interfaces-and-modules.html (далеко не все подходят для серии 4400),
а для ASA совсем 3 единицы: www.cisco.com/c/en/us/products/interfaces-modules/security-modules-security-appliances/models-listing.html
Большинство моделей ASA идут с портами GE и дополнительно может быть SFP. У ASA 5585-Х возможны ещё порты SFP+. В принципе для большинства подключений в настоящее время этого вполне достаточно, так как xDSL и пр. встречается существенно реже, чем раньше. Хотя, конечно же, маршрутизаторы дают нам в этом плане большую гибкость.
Модули для ASA по приведённой ссылке уже не продаются: AIP-SSM был заменён на NG IPS Firepower, CSC-SSM — сначала на ASA CX, потом на NG FW Firepower.

У ASA есть очень неплохой WEB-интерфейс – Adaptive Security Device Manager (ASDM).
Это вы его похвалили. Тяжелый и тормозной апплет на java. Жрет память и проц на компьютере, где запущен просто безбожно, даже болтаясь в бэкграунде. Постоянные проблемы с совместимостью версии софта ASA- версии ASDM- java на компьютере админа. Может конечно это все только на винде, но достает. У меня еще постоянно отваливается от 5505, которая лежит за 40 мс.Может я не прав, но есть подозрение что плохо работает при больших пингах (софт и ASDM там многократно меняли, но результат все тот же "temporarily unavailable".
Вы правы, запустить ASDM не всегда просто. Причём эта болезнь присутствует достаточно давно. Но он на ASA есть и практически полнофункциональный. На маршрутизаторе фактически мы имеем только командную строку.
У меня на старой ASA 5520 когда стоял ASDM 6.4.1 тоже была такая же ситуация, тормоза, открывался только джавой 1.6.
Сейчас обновил софт на 8.4.7 после известных событий, и ASDM залил другой, посвежее 7.5.2, так сейчас работая через джаву 1.8 — просто ракета )
Поставил java 1.8 (чует мое сердце сейчас средства разработки полетят). Работает вроде и правда шустрее. Но вот 500 метров ОЗУ и 25% проца от javaw — это как-то перебор :-)
И говоря про ASA неплохо бы рассказать про проблемы с криптографией. K9, я так понимаю, же просто не купишь. А учитывая что софт теперь требует активации через Инет, то как это все это корректно организовывать и проводить через бухгалтерию вопрос. У меня на каждой работе предложение написать письмо в ФСБ с просьбой разрешить купить вызывало истерику у начальство и жесткое требование "делай как хочешь, но мы к этому не будем иметь никакого отношения"
Вопрос ввоза криптографии на территорию РФ и для маршрутизатора, и для ASA одинаков. Если мы хотим ввезти оборудование со стойким шифрованием, мы должны получать на это разрешение ФСБ. Другое дело, момент связанный с "получением" криптографии на месте. И тут, кстати, ASA более удобна. Гипотетически, можно купить устройство с индексом K8 и, зарегистрировавшись на сайте вендора, бесплатно получить лицензию на стойкое шифрование. Правда, вопрос легальности "получения" криптографии на месте не всегда имеет точный ответ.
На маршрутизатор можно "просто залить" нужный ios. На ASA бесплатную лицензию-то получить можно, но (насколько я помню и могу врать) для того же Anyconnect она не подходила (и честно скажу, что я сломался в процессе ее получения). Залить "нормальный" образ на АСА тоже можно, но теперь его надо активировать. А для этого надо покупать соответствующие лицензии и получать на баланс купленную западную криптографию без разрешения. В общем все это не для "простого пользователя".
Бесплатная лицензия включает криптографию, которая в последствии будет использоваться для Anyconnect. Но помимо бесплатной лицензии для Anyconnect нужна ещё и лицензия на Anyconnect. Anyconnect для ASA всегда лицензировался отдельно, а сейчас лицензия на Anyconnect вообще покупается не на конкретную железку, а на количество пользователей.
На маршрутизатор можно «просто залить» нужный ios.

Боюсь, не очень просто, так как требуется, как минимум лицензия на функционал безопасности (SEC), который включает в том числе возможность настройки защищённых VPN соединений. Причём, если изначально куплен был бандл с функциями безопасности с лицензией SEC-NPE (т.е. без разрешения ФСБ), просто заменить IOS и получить шифрование опять же не получится. Нужно будет всё равно покупать лицензию SEC, так как SEC-NPE для полноценного IOS не подойдёт.
Хм… Вот стоит… Каши не просит… Покупалась K8…
sh hardware
Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.1(4)M7, RELEASE SOFTWARE (fc2)
System image file is "flash:c1900-universalk9-mz.SPA.151-4.M7.bin"
Cisco CISCO1921/K9 (revision 1.0) with 491520K/32768K bytes of memory.
Technology Package License Information for Module:'c1900'
Technology Technology-package Technology-package
Current Type Next reboot
ipbase ipbasek9 Permanent ipbasek9
security securityk9 RightToUse securityk9
data datak9 RightToUse datak9
RightToUse — это ваше обещание купить лицензию, вроде триалки (сами зачем-то написали про бухгалтерию).
До её появления был ад и израиль с ФСБ, а сейчас действительно стало проще: меняем IOS, активируем RTU, докупаем и активируем SEC. Вот только в бандле выходило дешевле.

Я правильно понимаю, что покупка sec для router или secplus для ASA внимания регулирующих органов не привлекает и никаких доп.действий не требует? (то что бандл будет дешевле это понятно).
Небольшое уточнение, лицензия Security Plus для ASA на криптографию никакого влияния не оказывает.
Любое пользовательское шифрование, что на ASA, что на ISR (а также у любого другого зарубежного вендора) требует получения разрешения ФСБ на ввоз такого оборудования.

Вот тут я разъяснял процедуру, связанную с ввозом — https://habrahabr.ru/company/cisco/blog/234491/
Так мы как раз обсуждаем схему покупки и ввоза оборудования с ослабленным шифрованием и последующей покупки и установки ПО с усиленным шифрованием. Коллеги выше утверждают что это правильный путь. Если нет, то тогда уж лучше ПО с усиленным шифрованием не покупать вообще, чтобы не светиться :-)
PS
Статью прочитал — про покупку с последующим скачиванием ПО с усиленным шифрованием там вроде ничего нет. Хотя по логике законодателей это вполне тянет на "физическое перемещение ПО через границу по оптоволоконным каналам связи"
Там есть раздел «А если я ввез оборудование без шифрования, а потом обновил его через Интернет и получилось средство шифрования?» Но логика верная :-)
Был не внимателен. Нашел. И сразу вопрос
"Они должны понимать, что у регулирующих и проверяющих органов могут быть вопросы к организации, которая никогда не приобретала криптографические продукты, ввезенные для нее по заключению ЦЛСЗ, но использует их в своей деятельности." Какие вопросы? Даже если мы просто активировали 3DES на ASA k8 (как выше рекомендовали) — они все равно могут возникнуть? Выходит в целом куда не кинь — всюду клин и "за вами все равно придут"?
Вы не можете просто взять и активировать 3DES/AES. Это в серой зоне законодательства. С точки зрения регулятора вы меняете криптографические характеристики оборудования, на что у вас должно быть разрешение. Прямого разрешения на изменение характеристик оборудования нет. Разрешения на скачивание тоже нет. Есть разрешение на ввоз оборудования с определенными характеристиками. Это единственное существующая форма разрешения сегодня. И дабы избежать любых рисков мы рекомендуем именно ее.
И какие последствия согласно законодательству?
"Прямого разрешения на изменение характеристик оборудования нет." А прямой запрет есть?
У меня вообще половина оборудования на usedcisco куплено — в накладных ни слова про IOS. Это будет считаться криминалом?
А вот тут мы вступаем на скользкую дорожку домыслов и допущений, так как правоприменительная практика почти отсутствует. Ни запрета, ни разрешения на уровне законодательства нет. Как я написал, серая зона. Поэтому, если ФСБ спросит, то трактовать она будет по своему. А их трактовку я привел. Если компания лицензиат ФСБ, то у нее могут быть проблемы, так как легальный ввоз используемых СКЗИ — это одно из лицензионных условий. Если у компании нет лицензии ФСБ, то это вообще отдельная тема обсуждения — там и 171-я статья УК может светить и до нелегального «ввоза» дело может и вовсе не дойти. Также возможна инициация расследования по факту незаконного ввоза или контрабанды, в рамках которых может быть изъятие «незаконно ввезенного» оборудования.

Но все это теоретические рассуждения, так как ФСБ не часто проводит проверки законности ввоза и использования СКЗИ. Поэтому до суда дела доходят практически никогда, а поэтому говорить о криминале можно только после решения суда.

Учитывая столь непонятную и местами рискованную позицию, мы и рекомендуем получать разрешение ФСБ на ввоз, тем более, что при правильном заполнении документов, запретов почти не бывает.
Единственная проблема с шифрованием на ASA — это необходимость подключать консоль для ввода ключа 3DES-AES, так как без него ни по SSH, ни через ASDM она подключиться не даст с 9.4 и выше.
Ещё стоит упомянуть о том, что на ASA нет поддержки mpls, в отличии от ISR.
Никто не упомянул про очень интересный момент.
ASA роутит ответный трафик в рамках установленной сессии всегда не по таблице маршрутизации — а через интерфейс откуда пришел запрос. Т.о. аса из коробки позволяет опубликовать в интернет некий сервис (web и т.д.) сразу через N-е число провайдеров. И ответ всегда будет уходить через того провайдера, через которого пришел запрос. Вне зависимости от того, на какого провайдера указывает маршрут по умолчанию.
На маршрутизаторе подобное поведение можно организовать путем суровых костылей и с существенными ограничениями.
При этом фича данная очень востребована.
Т.о. для реализации отказоустойчивости публикуемых сервисов ASA сильно интереснее маршрутизатора. Если на объекте не используется BGP с провайдерами.
А вообще, судя по анонсу новых фаерволов 4100 на новой ОС firepower — морально устаревшую ASA таки собираются похоронить.
Никто не упомянул про очень интересный момент.
ASA роутит ответный трафик в рамках установленной сессии всегда не по таблице маршрутизации — а через интерфейс откуда пришел запрос.

Pave1, в статье об этом написано. Также замечу, что само по себе утверждение не совсем верное. ASA делает маршрутизацию на основе NAT не всегда, только в ряде случаев (когда мы имеем destination NAT). При этом обязательно проверяя наличие маршрута в таблице маршрутизации. Если обратного маршрута нет, возвратные пакеты будут отброшены.
А вообще, судя по анонсу новых фаерволов 4100 на новой ОС firepower — морально устаревшую ASA таки собираются похоронить.

Хорошее замечание. Cisco сейчас выпустила новый код (Firepower Threat Defense — FTD), который совмещает в себе код ASA и Firepower (до этого сервисы Firepower на ASA запускались в виде отдельного образа). Причём, как говорит вендор, FTD можно будет запускать, как на ASA 5500-X, так и на новых платформах — FP 4100/9300. И наоборот — код ASA можно запустить на FP 4100/9300. Аппаратные платформы меняются. Но сам по себе код ASA никуда не девается. Также стоит заметить, что цена FP 4100/9300 достаточна большая. Поэтому для небольших инсталляций они не очень подходят.
Не совсем согласен. Как минимум моя практика это опровергает. Как я понимию, маршрутизация обратного трафика в рамках установленной сессии происходит вообще не на основе таблицы маршрутизации или тем более NAT. А на основе записи сессии stateful firewall, в которой явно указанно с какого интерфейса запрос пришел (сессия была инициирована). А таблица маршрутизации как таковая используется только в момент создания сессии.
А проверка обратного Маршрута происходит только если включена на интерфейсе функия anti-spoofing.
Возможно я в чем то ошибаюсь. Но явного детального описания процесса я не нашел. А практические изыскания говорят именно о таком поведении.
Вы правильно отметили тот факт, что для ASA стоит разделять момент установления соединения и передачу пакетов после того, как соединение уже присутствует. В случае установления сессии на маршрутизацию влияют NAT (Dest IP), PBR и таблица маршрутизации. ASA обязательно запоминает интерфейс, откуда пришли пакеты. Но ответные пакеты через этот интерфейс пойдут только в том случае, если на ASA есть маршрут через этот интерфейс (пусть даже с худшим AD). Также стоит учитывать, что если таблица маршрутизации поменяется (т.е. пакеты должны теперь уходить через другой интерфейс) в момент, когда сессия уже установлена, текущая сессия прервётся. Этого можно избежать, если на интерфейсах будет настроен Traffic Zones.
Вы можете у себя легко всё это проверить. Просто уберите из конфигурации с одного из внешних интересов маршрут по умолчанию и попробуйте подключиться к опубликованным через него ресурсам.
Думаю, данная презентация внесёт больше ясности в вопрос маршрутизации на ASA.
За ссылку на презентацию отдельное спасибо. Про нюанс с неактивным маршрутом и SLA трэкингом не знал.
буквально вчера-сегодня имел опыт настройки ASA с нуля, и могу сказать обратное. ответные tcp-пакеты идут вполне себе в соответствии с таблицей маршрутизации (привет, ассиметричный роутинг), а вместе с ним и все правила фильтрации
У нас ASA сгорела из-за известного брака (https://habrahabr.ru/post/216287/) а гарантия на неё оказывается 3 месяца!
Плюс ещё пара критических уязвимостей обнаружена за прошлый месяц.
CVE–2016–1287
https://habrahabr.ru/company/pt/blog/277575/
В общем мы решили перейти на Mikrotik.
А микротики — это основа надежности что ли? Ихние аппаратные реализации вообще из шлака делают. А уязвимости находят редко не потому что их нет. А потому, что никому не интересно. Т.к. красть у их владельцев особе нечего как правило.
Ну я не слыхал чтобы они массово горели. И гарантия подольше чем 3 месяца. И стоят дешевле.
Разве у Mikrotik есть Security appliance?
Вроде все их проводные железки — или роутеры, или коммутаторы, которые на деле больше роутеры.
С задачей файерволла отлично справляется.
Дык любой Линукс с этой задачей отлично справиться :-) (не холивара ради). Все-таки ASA это больше чем только firewall. Особенно с "обвесами".
RouterOS, которая в микротике, это по сути и есть линукс.
После Juniper SRX, ASA — это убогое поделие.
vrf не умеет (контексты страшны как моя жизнь), виртуальные интерфейсы не умеет. имеет кучу ограничений, по сравнению с которым ограничения кластера из SRX кажутся детским лепетом. Я уж молчу про аболютно уродский failover, когда доступа к резервной ноде нет как класса (у кластера SRX хотя бы отображаются интерфейсы обеих нод).
даже по сравнению с ISR G2 ASA как-то не впечатляет от слова совсем (хотя стои дёшево, согласен).
После Juniper SRX, ASA — это убогое поделие

Данных вендоров сравнивают достаточно давно. И обычно приходят к тому, что у каждого из них есть свои плюсы и минусы. Мне кажется, не стоит быть на столько категоричным. Кому-то нравится командная строка Cisco, кому-то Juniper. Кто-то считает, что ASA работает более стабильно. При этом Juniper более функционален в плане маршрутизации. И так далее. Вряд ли, можно однозначно сказать, что один из них из них намного лучше другого. Более того, многое зависит ещё и от того, какую задачу мы решаем тем или иным устройством.
когда доступа к резервной ноде нет как класса (у кластера SRX хотя бы отображаются интерфейсы обеих нод)

Если у вас есть две ASA, собранные в Failover, вы можете подключить как к основной (active), так и к резервной (standby). Также вы сможет посмотреть статусы интерфейсов на обоих устройствах.
контексты страшны как моя жизнь
аболютно уродский failover

Вы не могли бы более подробно указать, что именно в данном функционале Вам не нравится?
Если у вас есть две ASA, собранные в Failover, вы можете подключить как к основной (active), так и к резервной (standby). Также вы сможет посмотреть статусы интерфейсов на обоих устройствах.

Конфигурация standby-интерфейсов автоматом берется как копия active-интерфейсов. В отличие от Juniper, где reth-группу можно делать, а можно и нет. Статусы устройств снимаются одним snmp-запросом на активную ноду, нет нужды делать failover и переключаться на другую ноду.
Вы не могли бы более подробно указать, что именно в данном функционале Вам не нравится?

Про failover я уже сказал (кстати — ISSU не поддерживается на ASA, емнип?). Контексты настраиваются гораздо менее интуитивно, чем куча видов routing instances на Juniper.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий