آشنایی با فایروال سیسکو FirePower ASA فایرپاور

آشنایی با فایروال سیسکو FirePower ASA فایرپاور

مقدمه
امنیت شبکه به مجموعه فعالیتهایی که جهت حفظ کارایی و یکپارچگی شبکه و اطلاعات صورت میپذیرد، اطلاق میشود. این فعالیتها شامل به کارگیری تکنولوژی های سخت افزاری و نرم افزاری است، که امنیت شبکه موثر از طریق مدیریت دسترسی به شبکه بدست می آید.انواع راهکارهای امنیتی مورد استفاده درشبکه ها: کنترل دسترسی، آنتی ویروس ها، DLP ، تامین امنیت ایمیل ها، فایروال، IPS ، تامین امنیت دستگاه های سیار، تقسیم بندی شبکه ، VPN، امنیت وب، امنیت سیستم های بی سیم و… است.
معماری سنتی امنیت شبکه های کامپیوتری، شرکت ها را ملزم به استفاده هم زمان از چندین راهکار امنیتی همچون: فایروال ها، VPN، فیلترهای وب سایت و … جهت حفاظت از شبکه می کند؛چنین رویکردی به علت استفاده از تجهیزات شرکت های مختلف تولیدکننده ابزارهای امنیتی موجب افزایش هزینه ها و پیچیدگی شبکه خواهد شد؛ از سوی دیگر استفاده هم زمان از تجهیزات شرکت های متمایز،سطح امنیتی شبکه را پایین می آورد (عدم سازگاری تجهیزات شرکت های مختلف بايكديگر، موجب ایجاد شکاف های امنیتی خواهد شد که معمولاً هکرها از چنین ضعف های امنیتی جهت نفوذ به شبکه بهره می گیرند). در سال های اخیر جهت رفع مشكل فوق الذكر استفاده از UTM ، در شرکت ها و بنگاه های اقتصادی بزرگ رواج پیدا کرده است. UTM ابزاری مشتمل بر مجموعه ای از راهکارهای امنیتیاز طريق یک وسیله الکتریکی جهت حفاظت از شبکه های کامپیوتری طراحی كرده است؛ این راهکار موجب کاهش هزینه ها و مدیریت امنیتی متمرکز و در نهايت تسهیل فرآیند تامین امنیت خواهد شد.
حداقل الزامات UTM با توجه به استاندارد IDC ،وجود فایروال، VPN، آنتی ویروس و سیستم های پیشگیری از نفوذ است. UTM سطح بالاتر، علاوه بر موارد كه در بالا بدان اشاره شده است، قابلیت هایی چون فیلترینگ URL ،Spam Blocking ، SpywareProtection ، به همراه قابلیت­های مدیریت متمرکز و مانیتورینگ و … را دارد.

اصلی­ترین عامل در محبوبیت UTM، قیمت آنها است؛ هزینه یک UTM در حدود یک چهارم قیمت راهکارهای امنیتی ديگري است که به صورت جداگانه استفاده می­شود. یکی دیگر از دلایل پذیرش UTM، قابلیت مدیریت متمرکز است؛ امروزه شرکت­ها و بنگاه­های اقتصادی بزرگ با بهره­ گیری از این قابلیت به کنترل شعب، ادارات و ایستگاه­ های کاری دوردست می­پردازند.

شرکت­های بزرگی که از راهکارهای مجزا (نقطه ای؟) برای حفظ امنيت شبکه­ های کامپیوتری استفاده می­کنند، به علت تحميل هزینه ­های نصب، هزينه ­هاي مدیریت و … ناچار به استقرار سیستم ­هایی با درجات امنیتی و کیفیت پایین­ تر در ایستگاه­های کاری دوردست می­شوند؛ UTM يکی از بهترین راهکارها برای حل چنین مشکلاتی است. شرکت­هایی که از UTM قوی به عنوان فایروال مرکزی استفاده می­کنند و همچنين، UTM با مارک مشابه در ادارات و شعب خود مستقر می­کنند،از مزایای تامین و ارتقا امنیت کل شبکه، مدیریت مرکزی و کاهش هزینه­ های پشتیبانی چون دیتاسنتر و Patch Updating و…برخوردار خواهند شد.

امروزه مدل­های مختلف از UTM با عملکرد بهتر و بازده چند گیگابایتی جهت استفاده در ایستگاه ­های کاری بزرگ با کاربران چند هزار نفری وجود دارد. چنین سیستم ­های قابلیت­ هایی چون، جلوگیری از حملات روزمره، نرم­ افزارهای جاسوسی و نفوذ، فیلترینگ URL، Anti-Spam و آنتی ­ویروس را ادغام کرده­اند.

مشکلات زیست­ محیطی اخیر یکي دیگر از دلایل محبوبیت UTM است. با توجه به این مسئله که UTM ها چندین عملکرد امنیتی را به صورت ادغام شده دارا هستند؛ بنابراین یک UTM جایگزین پنج تا شش ابزار یا سرور امنیتی می شود؛ این قابلیت موجب صرفه ­جویی در فضای دیتاسنترها، ادارات، کاهش قابل ملاحظه مصرف انرژی (مصرف انرژی در رک و سیستم­ های خنک­ کننده) خواهد شد. این ویژگی UTM را در دسته ابزارهای زیست ­دوست قرار می­دهد.

نقطه ضعف UTM­ ها ، SPOF است؛ در شرکت­ها و بنگاه­ های اقتصادی بزرگ غیرفعال شدن هم­زمان تمام سیستم­ های امنیتی منجر به ایجاد مشکلات وخیمی خواهد شد،جهت رفع این مشکل معمولاً شرکت­ها ملزم به استفاده از یک ابزار کمکی، حداقل شامل پنج رویکرد امنیتی UTM مي­شوند.

امروزه شرکت­ها و بنگاه ­های اقتصادی بزرگ UTM را بر فایروال و سایر رویکردهای امنیتی نقطه­ای؟ ترجیح می­دهند. صرفه اقتصادی، مدیریت ساده­تر و زیست­ دوست بودن از مهم­ترین عوامل جذابیت UTM است. در این مقاله به بررسی نسل جدید UTM­ های شرکت سیسکو و قابلیت­های آن پرداخته می­شود.

۱-معرفی CISCO ASA

خانواده ابزارهای امنیتی Cisco ASA جهت حفاظت از شبکه ­های سازمانی و مراکز داده­ای با هر وسعتی طراحي شده اند؛ با استفاده از اين ابزار دسترسی امن کاربران به اطلاعات و منابع شبکه با هر وسیله و از هر مکانی تامين می گردد. Cisco ASA با بیش از ۱۵ سال سابقه در مهندسی امنیت شبکه­ های کامپیوتری و استقرار بیش از یک میلیون ابزار امنیتی در سراسر جهان، یکی از پیشروان در تامین امنیت شبکه ­های کامپیوتری بشمار مي­رود.

ویژگی ها و قابلیت ها

خانواده Cisco ASA ، تامین­ کننده مجموعه­ای از فایروال ­های شرکتی با قابلیت استفاده در ابزارهای مستقل، مجازی و یا شبکه ­های توزیع را فراهم مي­سازد؛همچنين نرم­افزار ASA، مجموعه­ای از راهکارهای امنیتی جهت تامین نیازهای امنیتی بصورت یکپارچه ارایه می­دهد.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای FirePower ASA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

از مزایای استفاده از نرم ­افزار Cisco ASA می­توان به موارد زیر اشاره کرد:

  • ارایه قابلیت­های IPS ، VPN و UC به صورت یکپارچه
  • ارتقا ظرفیت و کارایی شرکت­ها با استفاده از خوشه­ بندی چندگره­ای و چندمحلی و قابلیت­های بالای آن
  • ارایه برنامه­ های کاربردی با دسترسی آسان و قابلیت بازیابی ساده
  • ایجاد هماهنگی میان ابزارهای مجازی و فیزیکی
  • فراهم نمودن نیازهای خاص شبکه ­ها و دیتاسنترها به صورت هم­زمان
  • ایجاد روتینگ پویا و site-to-site VPN

نرم ­افزار Cisco ASA از نسل بعدی الگوریتم ­های رمزگذاری مانند دنباله ­های B پشتیبانی می­کند؛ همچنین با راهکارهای CWS جهت ارائه حفاظت­ های امنیتی در سطح جهانی ادغام شده است.

۳-Cisco ASA 5500 series

۱٫۳ معرفی

این دسته از ASA به صورت هم­زمان حاوی Stateful Firewall و VPN در یک وسیله بوده است، در برخی مدل­ها به همراه ماژول IPS و یا CSC عرضه می­شود. ASA همچنین شامل ویژگی­های پیشرفته چون multiple security contexts مشابه فایروال­ های مجازی،transparent firewall، routed firewall، IPSec VPN ، SSL VPN و بسیاری قابلیت­های دیگر میباشد.

 

۲٫۳ ویژگی های جدید نسخه ۸٫۶

جدول  ۱-۳ لیست ویژگی­های جدید نسخه ۸٫۶ برای ASA نشان می­دهد ، این نسخه از نرم افزار ASA فقط  درسری ۵۵۱۲-X, 5515-X, 5525-X, 5545-X, 5555-X پشتیبانی می­شود.

۴- پیاده­سازی ماژولCisco ASA IPS

۴٫۱ معرفی ماژول IPS

ماژول IPS با توجه به نوع ASA می­تواند به صورت یک ماژول سخت­ افزاری یا نرم­ افزاری باشد. جدول  ۱-۴ و ۲-۴ نشان دهنده IPS SSP در سری­های مختلف ASA است.

 

ماژول IPS، نرم­ افزار پیشرفته با رویکرد پیشگیرانه در مقابل نفوذ ترافیک مخرب، شامل ورم و ویروس­ها دارا است. IPS

ترافیک شبکه ابتدا از فایروال عبور کرده سپس وارد ماژول IPS می­شود، زمانی­که IPSبر روی ASA فعال می­شود، ترافیک شبکه در ASA و IPS به صورت زیر جریان خواهد داشت:(توجه: این مثال در وضعیت inline صحت دارد که ASA فقط کپی ترافیک شبکه را به ماژول IPS ارسال می­کند)

  1. ترافیک شبکه وارد ASA می­شود.
  2. ترافیک VPN ورودی به شبکه رمزگشایی می­شود.
  3. سیاست­گذاری­های(قوانین؟؟) فایروال اعمال می­شود.
  4. ترافیک به ماژول IPS ارسال می­شود.
  5. ماژول IPS سیاست­ گذاری­های امنیتی خود را اعمال و عملکرد مناسب ترافیک ورودی را نشان می­دهد.
  6. ترافیک معتبر به ASA بازگردانده می­شود،ماژول IPS ممکن است با توجه به سیاست­ گذاری­های امنیتی خود بخشی از ترافیک را بلوکه کرده و به ASA بازنگرداند.
  7. ترافیک خروجی از VPN رمزگذاری می­شود.
  8. ترافیک از ASA خارج می­شود.

شکل ۱-۴ ترافیک ماژول IPS را هنگام کار در وضعیت inline نشان می­دهد.

 

 

۴٫۲ اتصال به واسط مدیرتی ASA IPS

واسط مدیریتی IPS علاوه بر فراهم آوردن امکان دسترسی مدیریتی به ماژول IPS، نیاز به دسترسی بهHTTP پراکسی سرور، سرور DNSو اینترنت جهت دانلود global correlation????، به­روزرسانی امضای دیجیتال و درخواست لایسنس دارد. در این بخش به بررسی پیکربندی­ های پیشنهادی شبکه جهت استفاده از این ماژول پرداخته شده است.

 

ماژول فیزیکی سری­های ASA 5510, 5520, 5540, 5580, 5585-X

در این وضعیت ماژول IPS حاوی یک واسط مدیریتی مجزا از ASA است.(در شکل ۲-۴ مشاهده می­کنید)

 

 

در صورت وجود روتر داخلی(شکل ۳)

در این حالت اگر یک روتر داخلی داشته باشیم قادر به روتینگ مابین بخش مدیریتی شبکه، که شامل IPS Management 1/0 و ASA Management 0/0 است، و ASA داخل شبکه خواهیم بود. شايان توجه است، حتما یک مسیر بر روی ASA جهت جستجوی بخش مدیریتی شبکه در روتر داخلی ایجاد شده باشد.

 

در صورت عدم وجود روتر داخلی(شکل ۴-۴)

در صورتی­که فقط یک شبکه داخلی داشته باشیم،امکان وجود یک شبکه جداگانه مدیریتی وجود ندارد. در این وضعیت به جای management 0/0 می توان از واسط داخل ASA استفاده کرد.چون ماژول IPS از ASA مجزا است می توان IPS Management 1/0 مشابه آدرس واسط داخل شبکه قرار داد.

 

ماژول نرم­افزاری سری­های ASA 5512-X 5520 (شكل ۵-۴)

سه سری از مدل­های ASA حاوی ماژول نرم­ افزاری IPS هستند، که واسط مدیریتی IPS رابط Management 0/0 را با ASA به اشتراک می­گذارد.

در صورت وجود روتر داخلی (شکل ۶-۴)

در این حالت قادر به روتینگ مابین واسط Management 0/0، که حاوی آدرس IP بخش مدیریتی ماژول IPS و ASA است، و شبکه داخلی خواهیم بود. حتما توجه کنید یک مسیر بر روی ASA جهت جستجوی بخش مدیریتی شبکه در روتر داخلی ایجاد شده باشد.

 

در صورت عدم وجود روتر داخلی(شکل ۷-۴)

در صورت وجود تنها یک شبکه داخلی، امكان تفکیک آن از بخش مدیریتی شبکه وجود نخواهد داشت؛ در این حالت      می توان به جای استفاده از رابط Management 0/0 از واسط داخلی جهت مدیریت ASA استفاده کرد. اگر نام پیکربندی ASA از رابط Management 0/0 پاک کنید، از طریق آدرس IP آن واسط قادر به پیکربندی IPS خواهیم بود. با توجه به این نکته که ماژول IPS لزوما ابزاری مجزا از ASA است، می­توان آدرس مدیریتی IPS را مشابه آدرس داخل بخش مدیریتی شبکه داخلی قرار داد.

 نکته

Cisco ASA with Fire POWER Services

نسل جدید فایروال­ های (NGFW) شرکت سیسکو با راهکارهای امنیتی پیشرفته جهت مقابله با تهدیدات و بدافزارها طراحی شده ­اند. Cisco ASA with Fire POWER Services، مجموعه ادغام شده­ای از راهکارهای امنیتی جهت حفاظت از شبکه قبلي، در مدت و پس از پایان حمله را ارایه می­دهد. این ابزار حفاظت جامعی و مداومی در مقابل انواع تهدیدات ارایه می­دهند (شکل ۸-۴). قابلیت­های Cisco ASA with Fire POWER Services عبارتند از:

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *