ASA 5505

ASA (Adaptive Security Appliances) är en del av cybersäkerhetsmaskinvara som säljs av Cisco. ASA är en multifunktionell säkerhetsenhet som tillhandahåller brandvägg, antivirus, intrångsskydd och VPN-funktioner.

Hur säkrar en ASA ett nätverk?

För att förstå vad en ASA brandvägg skyddar ett nätverk, låt oss tänka på ett nätverk indelat i ett internt område och ett externt område (inside, outside). Nu placerar vi ett ASA maskin precis i mitten av dessa två områdena. Föreställ dig också att det externa området (outside) är Internet och det interna (inside) ett organisations lokalt nätverk. Och vi ska inte glömma ett speciellt område, DMZ som betraktas vara mer åtkomligt ändå skyddat av ASA.

Bild 1: Ett internt nätverk och ett externt nätverk

Ett standardbeteende för en ASA brandvägg är att stoppa all extern trafik. Men ASA har också brandväggsfunktioner som kan identifiera tillåten trafik av ge åtkomst till det interna nätverket.

Vi vet alla att Internet är en farlig plats och så betraktar ASA all trafik från utsidan, oavsett om det är en användare, en server eller ett system.

Hur identifierar ASA olika nätverkstrafik?

När interna användare gör förfrågningar till Internet sparar ASA sessionsinformation i sin databas så att när ett giltigt svar kommer tillbaka kan den trafiken skannas och kontrolleras mot databasen för att känna igen nätverkstrafiken och därmed tillåta åtkomst till insidan. Denna inspektionssätt kallas Stateful inspektion som grundar sig i TCP/IP kommunikationsmodellen.

Vad ASA gör är att använda sig av VLAN 1 (inside) och VLAN 2 (outside). Med åtta Ethernet portar skiljer ASA intern och extern nätverkstrafik. Ethernet port 0 tilldelas till VLAN 2 därmed till anslutning till utsidan. Resterande portar tilldelas till VLAN 1. Dessa två VLAN ingår i två olika pålitlighetsområde som tilldelas olika numeriska identifikationer. VLAN 1 har den högsta pålitlighetsnivå (100) och VLAN 2 den minsta (0).

Bild 2: VLAN 1 inside – VLAN 2 outside

Hur använder en ASA paketfiltrering?

Med paketfiltrering kan legitima externa användares nätverkstrafik tillåtas ta sig genom brandväggen. Detta kan göras med ACL eller Access Control List. När paketfiltreringsfunktionalitet är aktiverat tillämpas åtkomstlistor (ACL) på ett ASAs interface mot utsidan.

Bild 3: Paketfiltrering

Har ASAs andra säkerhetsfunktioner?

Ja, särskilt NAT och VPN.

  • Network Address Translation (NAT) och Port Address Translation (PAT) används för att tillåta nätverkstrafiken från insidan ta sig till utsidan, till Internet.
  • ASA stödjer VPN med stöd för SSL, IPsec eller båda. VPN-tunnlar är mycket lättare att etablera och underhålla med ASA.

Hur ser ASA ut?

De flesta ASA-enheter är rackmonterbara enheter som liknar switchar. Faktum är att många har fysiska omkopplare inbyggda direkt i dem. ASA 5505 är mindre än sina syskon-ASA, men är fortfarande utrustad med en 8-port switch inbyggd i den. Två av de åtta portarna stöder ström via Ethernet, så om du hade en kamera eller åtkomstpunkt som behövde ström kan din ASA tillföra den.

Bild 4: ASA portar in och ut

5505-modellen är dessutom kraftfull eftersom den stöder virtuella interface. Du kan skapa logiska interface: ett för insidan, ett för utsidan, ett för DMZ, och vart och ett av dessa gränssnitt motsvarar ett VLAN. Så att portarna kan tilldelas olika VLAN baserat på vilket interface vi vill att de ska associeras med.

Vilket är bättre: ASA GUI eller CLI?

ASA administreras antingen via CLI eller via MSD som är ett HTTP baserat program. Vissa nätverkstekniker älskar GUI, medan andra föredrar CLI. Men båda har sina fördelar och nackdelar.

Ur GUI-perspektivet finns det några fantastiska tidsbesparande verktyg tillgängliga. Naturligtvis är alla enhetens individuella detaljer konfigurerbara från vilken plats som helst, men tänk dig att du ville rulla ut något som AnyConnect, SSL VPN-stödet för fjärråtkomst.

Att konfigurera det manuellt vid CLI är mycket praktiskt. Men om du måste göra samma konfiguration många gånger och samtidigt snabbt så kan det vara fördelaktigt att använda grafisk gränssnitt istället. Det finns flera guider som underlättar arbetet för AnyConnect och VPN.