Архитектура Cisco ASA: Security Level и объектная модель NAT

Так, у нас с вами сегодня 9 октября, шестой день нашего курса Cisco CCNA Security, и мы с вами продолжаем тему про файрволы. Сегодня мы с вами будем говорить про Cisco ASA. Не пугайтесь, ничего сложного в этом нет, и мы разберём самые основы работы с ней. Мы не будем никуда углубляться, я уже говорил, что у Cisco есть отдельный большой жирный курс именно по файрволам, по ASA, и всё находится там, а здесь у нас такой быстрый обзор. И я надеюсь, что если мы с вами будем хорошо идти по времени, если у нас получится сделать что-то в лабе, то наверное ещё и файрвол на IOS разберём, на роутерах. Он тоже интересный и полезный. Давайте немножечко про Cisco ASA. Cisco ASA представляет на данный момент из себя

довольно большую линейку устройств. Эта линейка выросла из устройств PIX. Если кто-то с такой длинной бородой среди нас присутствует, то в стародавние времена он наверно застал эти PIX'ы. Это были предвестники ASA. ASA сейчас уже наверное переживает своё третье основное поколение, сейчас уже третье поколение ASA сформировалось. Эти устройства, в отличие от роутеров, если про аппаратную часть говорить, устройства Cisco ASA хороши тем, что в отличие от роутеров они используют более-менее стандартное железо. И например добавить туда оперативной памяти, либо как было с некоторыми устройствами, поменять процессор, даже центральный, я имею в виду — здесь попроще, чем в роутерах,

потому что в роутерах Cisco использует именно своё железо, которое больше ни с чем не совместимо. Есть конечно исключения типа 28-й линейки, куда можно было ноутбучной памяти ещё вставлять, но в основном это не так. Запоминать содержимое этого слайда не нужно, надо просто уяснить для себя, что линейка на самом деле большая, начиная с самых младших 5506, раньше они были 5505, и до 85-й серии. Эти 55–85-x, сейчас в линейке много устройств на самом деле. 85 — это уже дата-центровое железо, 5506 — это всё младшие железочки, то что посередине — они будут отличаться только по мощности. По функционалу это железо по программной начинке будет примерно плюс-минус одинаковое, всё будет управляться лицензиями.

На прошлом занятии кто-то у нас кинул в чате хорошую ссылку по лицензиям ASA, я эту ссылочку ещё раз кинул в наш чатик для будущих поколений, для записи, чтобы это у нас было. Давайте немножечко разберёмся с основами. Ещё стоит сказать про то, что есть ASA в виртуальном исполнении. Она появилась сравнительно недавно, несколько лет назад. Она от своих железных собратьев по функционалу не отличается практически ничем, так как операционная система у них одна. Она работает как виртуальная машина внутри гипервизора. Наверное важно запомнить, что поддерживает до 10 интерфейсов на каждую ASA и до 200 VLAN, 802.1Q. Откуда эти странные параметры — эти параметры из официального

руководства. Я не знаю, вдруг их спросят на экзамене, поэтому мы их решили тоже в слайд добавить. Про другие параметры здесь ничего не говорится, я говорю про официальное руководство, а эти параметры особо указаны. Кто знает, может быть те, кто пойдёт экзамен сдавать, это увидят. Просто запомните, что такие параметры есть. Про возможности Cisco ASA — в интернете немало копий сломано на тему, что же лучше: ASA или роутер. Я скажу, что несмотря на то, что и ASA, и роутер имеют практически одинаковый функционал, всё-таки ASA — это в первую очередь устройство безопасности, это не роутер. Есть замечательная статья одного из московских тренеров на Хабре, я вам попозже, в перерыве, дам ссылочку про то, что не умеет Cisco ASA. Действительно,

Cisco ASA по сравнению с роутером всё-таки имеет более ограниченные возможности. Мы сейчас не будем углубляться, просто скажем о том, что если вам нужен в первую очередь роутер, если вы хотите устройство, которое будет работать в какой-то уже конкретной инсталляции, в какой-то инфраструктуре уже организованной, то наверное роутер будет лучшим выбором, потому что возможности — Андрей привёл пример GRE, возможности по туннелям у тех же роутеров будут больше, потому что у ASA например нет виртуальных интерфейсов. Это очень прискорбно, и многие вещи на роутерах, которые будут завязаны на виртуальные интерфейсы, туннельные интерфейсы — в ASA будут отсутствовать. Cisco, я думаю, постепенно двигает ситуацию

к улучшению, и в новых версиях операционной системы добавляется всё больше и больше возможностей, но такие прямо архитектурные ограничения всё-таки есть. Что же умеет ASA такого хорошего? Во-первых, фильтрация. Всё-таки в первую очередь ASA — это firewall, и фильтрация здесь будет наверное самая развесистая, она будет анализировать пакеты, протоколы, сообщения протоколов вплоть до уровня приложений. Всё что мы говорили до этого — простая пакетная фильтрация, какие-то access-листы — несомненно ASA умеет, но у неё возможности шире, потому что всё-таки современные firewall'ы, те самые firewall next generation, нового поколения, они больше уже опираются не на работу с пакетами, а работают именно с уровнем приложений, именно там

будет происходить всё самое интересное. ASA умеет маршрутизацию, умеет и статическую маршрутизацию, и динамическую. Мы с вами, я думаю, что-нибудь понастраиваем там, и OSPF, может быть. Всё это ASA умеет. Может быть, она не слишком предназначена для того, чтобы выступать в роли BGP-роутера какого-то мощного транзитного — это не роутер, ещё раз говорю. Богатые возможности NAT — действительно, в Cisco ASA всё, что связано с трансляцией сетевых адресов, проработано досконально, проработано очень хорошо. С некоторых пор, а именно, если я сейчас вам правильно скажу, по-моему с версии 8.3, там немножко поменялась концепция настройки NAT. Мы с вами немножечко поговорим про NAT сегодня, но и

раньше, и сейчас возможности очень серьёзные по NAT'у. Поддержка VPN — да, ASA умеет выступать в роли VPN-сервера, тот же самый AnyConnect, про который мы с вами тоже чуть-чуть поговорим. Поддержка failover — это важная вещь, за которую многие любят ASA. Ну и всяческие сервисные функции типа DHCP и многое другое — такие мелкие полезные штуки, которые есть в роутерах, тоже в ASA есть. Конечно, варианты развёртывания и возможности Cisco ASA — какие ещё есть. ASA может быть развёрнута в двух вариантах. Первое — это режим роутера, когда ASA выступает самостоятельным сетевым устройством, она маршрутизирует, она работает как роутер. Мы будем с ASA в этом случае работать

так же, как с обычным роутером, она будет именно заниматься маршрутизацией. Либо есть ещё так называемый прозрачный режим, transparent mode, когда ASA у нас будет работать без IP-адресов, не нужно будет на интерфейсах никаких IP-адресов, она будет работать просто как прозрачное устройство, которое будет потихонечку фильтровать весь проходящий через неё трафик. Есть такая штука в ASA как security context. Это — да, Андрей, TTL не вычитает, она вообще себя никаким образом не обнаруживает в transparent mode, он этим и интересен. Возможности security context в ASA — есть такая концепция как security context. Это можно сравнить, если мы всё время проводим параллель с роутерами, наверное с Virtual Routing and Forwarding, VRF, на

роутерах, то есть виртуальная ASA внутри устройства. Мы можем разделить устройство на несколько виртуальных устройств со своими пользователями, независимыми интерфейсами, соответственно и политиками, написанными для этих интерфейсов и под этих пользователей. Собственно, самое интересное здесь как раз будет в политиках — то, что мы можем сделать из неё не один firewall, а несколько. Плюс хорошие возможности по отказоустойчивости, тот же самый failover. ASA умеет работать и active-active, и active-standby: когда у нас либо две ASA будут работать в паре, при выходе одной из строя ничего страшного не случится, либо по схеме active-standby, когда одна будет страховать другую, и при выходе из строя ничего страшного в нашем случае не случится, у нас даже все сессии сохранятся. Плюс у

ASA есть возможность кластеризации — это когда несколько устройств могут работать как одно устройство. Самое главное здесь, что у них будет единый management plane. Это можно сравнить например со стекированием у коммутаторов, когда мы несколько коммутаторов стекируем — VSS или просто абстрактный стек возьмём — когда у нас есть несколько коммутаторов, у них единый management plane, единое управление. Штука довольно удобная. Здесь маленькая картинка по отказоустойчивости ASA, которая просто показывает, как у нас могут работать две ASA. Либо active-active, когда у нас трафик будет каким-то образом на них распараллеливаться, так называемый failover link. Здесь у нас есть термины, эти термины лучше запомнить, вдруг на экзамене спросят, хотя вряд ли. Если у нас failover link — failover link это те

линки, которые будут именно каким-то образом распределять трафик на наши устройства. Каким образом будет трафик на них распараллеливаться — вопрос совсем другого порядка, этим может заниматься, например, роутер. Либо secondary passive, когда у нас secondary passive и primary active, когда одна ASA будет страховать другую. Здесь у нас будет уже только одна работать, так называемый stateful failover link — это тот линк, по которому они будут обмениваться информацией о состоянии, потому что ASA в failover-режиме будут всегда обмениваться информацией о состоянии, у них будет и NAT-таблица, и все состояния сессий, потому что это нужно для такого прозрачного переключения

между ними. Но на этом долго заострять внимание не стоит, давайте дальше продолжать. По поводу командного интерфейса ASA — сейчас будем уже прыгать на стенд, уже будем работать с консолью. Что нужно знать: тем, кто работал с командной строкой Cisco, ASA покажется знакомой, там в принципе всё похоже, сейчас сами в этом убедитесь. Надо запомнить, что у неё есть пять режимов командной строки: это ROMMON, потом обычный пользовательский режим, привилегированный режим, плюс конфигурационный — это глобальный конфиг — и какие-то специфические режимы конфигурации, те самые, мы их ещё называем контексты иногда, например interface такой-то, и мы входим в режим, в контекст этого интерфейса, делаем что-то — такой специфический

конфигурационный режим. Стоит наверное сказать, что в ASA немножечко удобнее сделана конфигурация: когда, находясь в каком-то из контекстов, например внутри настройки интерфейса, мы можем выполнять команды из других режимов. Можно даже ping выполнить, который будет работать — не как на роутерах, где мы сначала говорим do, потом какую-то команду из exec-режима. В ASA всё это будет и так работать. Может быть, сначала непривычно, но потом привыкаешь. Нельзя сказать, что все команды будут повторять команды IOS классического, но много похожего будет, хотя запутаться сначала можно. Да, например, Роман сказал, что show interface ip brief — ещё раз, про что повторить? Я имею в виду, когда на роутере например мы находимся

в режиме конфигурирования интерфейса, чтобы сделать ping, нам надо набрать do ping какой-то адрес. В ASA не обязательно писать do, можно просто набрать ping какой-то адрес прямо из режима конфигурирования, всё это будет работать. Но сейчас попробуем. Начальная конфигурация — давайте этот слайд пропустим, и поговорим, мы к нему ещё обязательно вернёмся. Сейчас мы будем конфигурировать ASA, нам надо с ней познакомиться. Давайте я сейчас расскажу одну из самых главных концепций в ASA — конфигурирование интерфейсов. Смотрите, чтобы сконфигурировать интерфейс, чтобы хоть как-то что-то у нас заработало, нам нужно несколько параметров сообщить этому интерфейсу. Во-первых, это IP-адрес. Во-вторых, это имя интерфейса. Имя интерфейса в ASA очень важно. В роутере как такового имени интерфейса нет, есть description, какое-то описание, мы можем что-то написать

на интерфейсе, чтобы не забыть. Это нигде больше не фигурирует, это просто для удобства конфигурации, для удобства нашего понимания, что там написали два года назад, когда настраивали. В ASA есть конкретное имя интерфейса, это имя будет потом фигурировать в каких-то настройках, когда мы будем что-то настраивать, мы будем указывать интерфейс по имени. Это очень важно. Очень часто, я сам очень часто так делаю — забываю про имя интерфейса, когда что-то конфигурирую, ну это редко бывает, я сейчас практически не работаю с этим, но потом ничего не работает и не понимаешь, почему ничего не пингуется. Имя интерфейса нужно. Ethernet 0/0 — это не имя интерфейса, имя интерфейса — какое-то осмысленное, но мы сейчас про это поговорим дальше. Включение интерфейса — то же самое, нужно, как на роутерах, no shutdown, потому что по умолчанию интерфейсы выключены. И уровень безопасности.

Уровень безопасности — это концепция, которой в роутерах нет, не предусмотрено, а в ASA это является такой основополагающей концепцией. Уровень безопасности определяет уровень доверия к этому интерфейсу. У нас есть интерфейсы более доверенные и менее доверенные, интерфейсы, за которыми у нас будут какие-то хорошие сети, и интерфейсы, за которыми плохие сети, можно так назвать. Чем больший уровень мы зададим на интерфейсе, тем больше мы этому интерфейсу доверяем. И прохождение трафика между интерфейсами будет как раз этими уровнями определяться. У нас есть в терминах ASA трафик входящий и трафик исходящий, inbound и outbound. Inbound — это тот трафик, который движется от интерфейса с меньшим уровнем к интерфейсу с большим уровнем, представьте —

из интернета в нашу сеть. Мы сидим внутри локальной сети, а где-то там интернет. Тот трафик, который движется из интернета в нашу локальную сеть, от интерфейса с меньшим уровнем безопасности, как правило это нолик, к интерфейсу с большим уровнем безопасности, как правило наш внутренний интерфейс, у него будет уровень безопасности 100 — такой трафик по умолчанию запрещён. Сразу. Обратный трафик, от интерфейса с большим уровнем к интерфейсу с меньшим уровнем, из нашей локальной сети например в интернет — этот трафик по умолчанию разрешён. Как это запомнить? Я думаю, просто запомнить, как я сказал, либо придумать — нарисуете в голове какую-то концепцию, что, например, в воронку, вот в широкую часть воронки, можно налить

воду, а обратно уже будет не слишком хорошо. Можно так запомнить. Эти уровни — вот как пример, смотрите, эта концепция очень важна. Уровень безопасности, не путайтесь, по умолчанию — сейчас дальше у нас будут уровни безопасности на картинке, на примере, который я вам уже показал словами. У нас есть inside-зона, есть outside-зона, мы можем назначить им уровни безопасности 0 и 100, есть ещё DMZ. Если теперь пробежаться по этому слайду: от большего к меньшему — можно, от меньшего к большему — нельзя. Мы говорили с вами про DMZ довольно развёрнуто, я сказал, что это такое. Из того же DMZ в интернет попасть можно, потому что от уровня

безопасности 50 к уровню 0 по умолчанию трафику идти можно. Наоборот, из интернета в DMZ — нельзя. То же самое, из DMZ попасть в зону inside тоже нельзя — от меньшего к большему никаким образом нельзя. Концепция довольно простая, но в то же время очень эффективная, и можно не настраивать никаких миллион правил, не писать какую-то ерунду, можно просто аккуратно придумать уровни безопасности, как распределить интерфейсы, и уже всё само заработает. Как же тогда в DMZ попадать? DMZ на то и особо охраняемая зона, что туда нужно писать специальные правила, чтобы попасть, нужно специально именно разрешать. Просто так по умолчанию туда тоже никому не нужно лезть. У вас есть какой-то сервис, web-сервер — вы можете опубликовать, как ещё говорят, то есть разрешить конкретный доступ из

интернета только к этому конкретному серверу. Просто так в зону DMZ пускать кого угодно нет смысла. Конфигурация интерфейсов — давайте откроем консоли и будем всё это конфигурировать прямо так, на живую. Просто так смотреть нет смысла.