ASA با IPS چگونه کار ميکند؟
ASA يا Cisco ASA 5500 Series Adaptive Security Appliances نسل جديد Cisco PIX است که قابليت های جديدی به آن اضافه کرده اند و علاوه بر فايروال خصوصيات VPN، IPS، Antivirus، Anti-Spam، Anti-Spyware و … را داراست.
فرق Firewall با IPS يا Intrusion Prevention System دراين است که
فايروال هيچ چيزی را از خود عبور نمي دهد مگر اينکه داخل Rule ها عنوان شده باشد.
IPS تقريبا همان IDS است Intrusion Detection System و بسته ها را با يکسری Signature از پيش تنظيم شده مقايسه ميکند تا يک حمله را شناسايي کند با اين تفاوت که IDS خصوصيت دفاعی ندارد و تنها اخطار ميدهد در حاليکه IPS از شبکه دفاع کرده و بسته های مشکوک را بر اساس ضريب شکاکی اش بيرون ميريزد.
داخل ASA يک ماژول برای توسعه قرار دارد که قابليت اضافه شدن برای سه کارت را دارد:
ماژول 4GE که چهار پورت Gig به ASA اضافه ميکند يا ماژول فيبر که قابليت Fiber Interface به ASA ميدهد.
ماژول IPS که برای Intrusion Prevention است و جديدترين پکت های Attack را شناسايي و از بين ميبرد.
ماژول CSC که داخل بسته های HTTP و SMTP و FTP را برای شناسايي ويروس و Spyware و Spam ميگردد و کار آنتی ويروس را برای ما انجام ميدهد.
اگر IPS را بهمراه ASA سفارش دهيم به آن AIP-SSM ميگويند:
Advanced Inspection and Prevention Security Services Module (AIP-SSM) (IPS) module
ترافيک داخل ASA را بسادگی ميتوان از فيلتر های IPS رد کرد تا جلوی حملاتی که توسط IPS تشخيص داده ميشود را گرفت.
به دو صورت IPS کار ميکند:
Inline وقتی که تمام بسته ها را از IPS عبور دهيم که عملکرد آن به سايز و حجم ترافيک بستگی دارد.
Promiscuous وقتی که تنها يک Copy از بسته را به IPS ميفرستيم و اگر موردی داشت از بسته های بعدی جلوگيری ميکند. اين نوع تنظيم خود مزايا و معايبی دارد، کارايي و Performance دستگاه ASA را پايين نمي آورد اما توانايي جلوگيری از بسته اول را ندارد. بعضی حمله ها تک Packet هستند يعنی نبايد يک بسته نيز به داخل بيايد و همان بسته اولی از Attack نيز خطرناک است.
سوال اين است که چگونه ترافيک داخل ASA را از IPS عبور دهيم. برای اين کار بايد از Modular Policy Framework استفاده کنيم و داخل يک class-map ترافيک مورد نظر را (با کمک Access-list) شناسايي و داخل Policy-map آنرا به IPS بفرستيم:
access-list ips_traffic permit ip any any
!
class-map ips_map
match access-list ips_traffic
!
policy-map IPS_policy
class ips_map
ips inline fail-open
!
service-policy IPS_policy interface dmz
يا ميتوانيم اين policy-map را برای کل ترافيک ورودی/خروجی ASA اجرا کنيم:
service-policy global_policy global
class ips_map
ips inline fail-open
و اما چند نکته:
بصورت Default؛ سيسکو ASA پروتکل ICMP را بصورت Stateful بررسی نميکند. پس اگر ICMP echo فرستاده شود و از داخل به خارج Permit شود؛ برگشت آن ICMP reply از خارج به داخل اجازه ورود نخواهد داشت مگر آنکه از Access-List استفاده کنيم. و البته اين برای TCP صدق نميکند و Connection ی که از داخل به بيرون ايجاد کرده ايم دو طرفه مجاز شناخته ميشود.
در ضمن در حالت Default:
از داخل ASA نميتوانيم بيرون را Ping کنيم و تنها پورت ASA که به سمت داخل است قابل Ping شدن است.
با سلام و تشکر بابت توضیحات کامل
چرا سیسکو محصولات ASA خود را بصورت یک پکیج کامل عرضه نمیکند ؟
بعنوان مثال برای داشتن قابلیت Prevention حتما بایستی AIP-SSM خریداری شود و یا برای قابلیت Anti-Virus و Anti-Phishing و … CSC-SSM خریداری شود ؟ منظور این است که ASA بتنهایی و بدون این ماژولها ، چه کار خاص و بیشتر از یک روتر 3845 با ماژولهای CIDS , CIPS انجام میدهد ؟ آیا ASA نباید حداقل قابلیت IDS/IPS را بصورت Built-in در تجهیزات خود قرار دهد ؟
P/N های بسیار از این تجهیز وجود دارد ولی برای خریداری مثل من ، باعث سردرگمی میشود که کدام نوع را خریدازی کنم که از لحاظ کارایی و میزان قابلیتها بهتر باشد .
ممنون که وقت میگذارید و پاسخ میدهید
سئوال دیگری هم داشتم در مورد مدلهای CS-Mars
قصد خرید این دستگاه را داریم و مطالعه ی مختصری در مورد آن کرده ایم ولی در ایران شخصی که اهل فن این دستگاه باشد پیدا نکرده ایم .
خواستم در صورت امکان راهنمایی کنید که کدام مدل را شما پیشنهاد میکنید برای خرید ؟ با توجه به فرمایش شما که مدلهای آنها فرق زیادی از لحاظ قابلیتها ندارد ، تنها پارامتر مورد توجه در مورد فضای هارددیسک و قدرت پروسسینگ لاگ ها است ؟
در صورت امکان راهنمایی کنید که چه مدلی را خریداری کنیم که تمامی قابلیتهای ذکر شده را داشته باشد
با تشکر فراوان از زحمات شما دوست عزیز
ASA بدون IPS یک Firewall بسیار قوی همراه با Application Inspection است که قابلیت VPN های SSL و IPsec را داراست.
سیسکو بصورت Bundle محصول ASA را با IPS ارائه میکند و سفارش آن به سادگی Partnumber زیر است:
ASA5520-AIP10-K8 ASA 5520 w/ AIP-SSM-10, 4GE+1FE USD 12,495.00
انتخاب مارس به تعداد Event per Second در شبکه شما برمیگردد و سایز و تعداد دستگاههایی که Log میفرستند:
Partnumber: CS-MARS-25R-K9 به قیمت 7500 دلار سبکترین MARS موجود است
با سلام
من یک دستگاه ASA5520-AIP10-K8 ASA 5520 w/ AIP-SSM-10, 4GE+1FE USD 12,495.00 گرفتم. آیا برای فعال شدن امکان IPS غیر از دستورات کار دیگری لازمه انجام بدم یه خیر !؟
برای Update شدن Signature های آن چطور !؟
آیا عمل Update بصورت اتوماتیک انجام می شود !؟
با تشکر
شروین
خیر تنها کافی است آنرا تنظیم و Signature ها را فعال کنید. در ضمن برای Update به License نیاز دارید.
چطوری میشه ASA یا IPS رو Simulate کرد برای امتحان و آشنایی با نحوه کار کرد آن ؟
میخواهم با Dynamips کار کنم ، به چه چیزی نیاز دارم تا ASA و IPS داشته باشم ؟
روی Dynamips باید از PEMU که نسخه ای از ٍQEMU است استفاده کنید.
اما روی GNS3 بسیار ساده است کافی است روی IOS مربوط به PIX را همراه Activation Key به GNS3 دهید تا PIX/ASA را به شما تحویل دهد… توسط QEMU میتوان IPS و JUNOS را نیز شبیه سازی کرد.
http://7200emu.hacki.at