Настройка cisco ASA 5510 + security module ASA-SSM-CSC-10 + NAT

[wireshark]

Спасибо.

[paralon]

А расскажите-ка поподробнее зачем в принципе нужен модуль ASA-SSM-CSC-10 и как он применялся при решении описанной задачи

[demon_odinok]

В данном примере модуль проверяет весь www и почтовый трафик антивирусом. Trend micro
А вообще из возможностей
Virus Scan Engine
Spyware/Grayware pattern
PhishTrap pattern
Anti-spam rules and engine
Anti-spam rules
Anti-spam engine
IntelliTrap Pattern
IntelliTrap Exception Pattern
и тд
Так же имеется в нем набор политик (порно, реклама, Education и тд) которые можно запрещать или разрешать «массово».
Возможностей много, для этого надо наверное отдельный пост с описанием модуля сделать.
Конечно же для торрентов он бессилен, но основной поток вирусов из почты и www он ловит, а это не заменимая помощь на каком-нибудь большом предприятии

[paralon]

И весь входящий трафик будет перемалываться этим модулем? Этож в application уровень надо лезть каждого пакета. Как он по производительности?

[JDima]

но основной поток вирусов из почты и www он ловит, а это не заменимая помощь на каком-нибудь большом предприятии

CSC-SSM — неплохое all-in-one решение, но вот только на самом деле как раз для маленьких предприятий :) На больших наружу выпускают через решения Check Point, Blue Coat, MS FF TMG и так далее, а роль антиспама всегда отделена от роли прокси.

Прозрачная фильтрация веб- и почтового трафика — абсолютная необходимость в компании любого размера. И, как правило, блокирование URL по категориям «malicious», «phishing» и тому подобным отсеивает куда больше зловредов, чем любой антивирус.

[demon_odinok]

Так и есть, задействован 7 уровень, там стоит прокси и на него заворачивается трафик потом делает свое дело антивирус. Проц. стоит celeron, по моему 2,5 Ггц или 1,5. Оперативки 1 гиг. В общем тянет 250 пользователей, при этом проц загружен наполовину. Временами загрузка поднимается до 90 процентов, но это очень редко

[JDima]

у asa 5510 нет своего telnet клиента и это весьма печально.

Ну почему же? Это вполне секьюрно — тот, кто умудрился похакать асу, не сможет прямо с нее прыгать во внутреннюю сеть :)

asa5510(config)# nat-control

А вот тут не понял. Зачем? NAT-control велит транслировать все проходящие через асу коннекты, но у вас есть глобал только для outside.
Ну и в последних версиях ASA OS NAT-control вообще удалили, нету его больше.
(в принципе, там и синтаксис NAT радикально поменяли, написанное вами справедливо лишь для <=8.2)

[demon_odinok]

Да, забыл написать что этот пример для версии
Cisco Adaptive Security Appliance Software Version 7.2(4)
Device Manager Version 5.2(4)

[JDima]

«7.2(4)» — как все печально… С тех пор много чего вкусного добавили.

[demon_odinok]

Согласен что печально, но такое еще стоит.

[demon_odinok]

На самом деле я поражен что эта тема за пол дня вышла в топ у гугл по запросам asa 5510, вытеснив всяких рекламщиков. Возьму себе на вооружение. А то обычно трудно найти мануалы для конфигурации чего-то не популярного

[Roy]

это ASA то непопулярная?

[foxmuldercp]

Ну в мелких конторах железки такого класса в СНГ ставят очень мало — сама железка не дешевая — в Украине в районе 40 тысяч гривен (~156k рублей) и это еще в зависимости от версии/прошивки/функционала, так еще и приходящий админ за час настройки захочет немаленьких денег а постоянного смысла держать нет.

Я такие железки видел только в конторах в несколько сотен человек, где стоимость такой циски отдыхает рядом со стоимостью, например операторской БС.

[Levitator]

ASA 5510 стоит сейчас порядка 65 килорублей, но для небольших контор существует ASA 5505, которая стоит вообще от 10 килорублей. Конфигурятся они одинаково, прошивки одинаковые. Железки весьма популярные и документации более чем хватает.