Эксплуатирую его с первых релизов в разных режимах, разных организациях и конфигурациях — один из самых стабильных и функциональных VPN клиентов. У моих друзей также
Схема сети чисто лабораторная. Изначальные условия и требования выложены по ссылке в начале поста. Данная статья дает возможность в условиях «пожара» быстро развернуть удаленный доступ для тысяч сотрудников. В Cisco множество технологий и возможностей построения Remote-Access VPN и описанная схема не является универсальным решением на все случаи жизни, она является самой масштабируемой тем не менее. Я наше оборудование Cisco как у реальных заказчиков вижу как работает под нагрузкой, так и в специализированных лабораториях тестирую на нагрузке, свои цифры производительности оно показывает. Попробуйте на Микротике с десяток тысяч VPN пользователей активных затерминировать активно работающих.
Повторюсь, эта схема для больших и очень больших развертываний VPN. Для большинства подойдут схемы сильно более простые.
Согласно рекомендуемого дизайна все аплинки от провайдеров приходят на маршрутизаторы периметра, которые терминируют BGP, отлеживают оптимальной входящего и исходящего трафика, балансировку нагрузки на каналы. Соответственно интерфейсы ASA находятся на Outside в поле адресного пространства и автономной системы принадлежащего заказчику.
Масштабирование ограничено лишь суммарной производительностью нод кластера, может держать многие тысячи VPN соединений.
На хабре есть отдельная статья по DNA, где более подробно описывается данная концепция, в данной статье описывается часть относящаяся к разделу ИБ (https://habrahabr.ru/company/cisco/blog/309314/). Данный слоган DNA и DNA Security адаптированы для иностранного рынка и в серии статей мы раскрываем суть этого для русскоязычной аудитории.
FireAMP рассматривается как специализированное средство борьбы с файло-ориентированными угрозами, вирусами и malware, его эффективность более 99% на данном поле, когда у обычных антивирусов по последним исследованиям не более 40%. Тем не менее мы не позиционируем FifeAMP как Антивирусное средство, поскольку он работает только с файл-ориентированными угрозами. Рекомендация на текущий момент это иметь установленный корпоративный антивирус + FireAMP.
Работать они будут нормально вместе, FireAMP систему не нагружает, поскольку локально никакого анализа не проводит сигнатурного.
В настройках FireAMP центральной консоли надо лишь указать исключемую директорию с антивирусом, установленным на системах. Со стороны Антивируса делается такое же исключение в сторону FireAMP.
По моему опыту, я на 4 компьютера поставил в рамках домашней лаборатории только FireAMP, эффективность его работы на мой взгляд выше чем все ранее установленные коммерческие антивирусы. (Это лишь мой опыт в лаборатории, ни коим разом под официальные данные не подвожу)
Весьма закономерный вопрос, я к сожалению все моменты в статье изложить не смог, для этого книга нужна=)
Итак, если с блокировкой файлов на уровне сети все более-менее понятно и они будут заблокированы по совпадению проходящего через аплаенс файла с подозрительным хэшем, то в случае с блокировкой на хосте нужен агент.
Агент представляет собой ~15-ти мегабайтный инсталлятор FireAMP Connector, который не несет в себе никакой базы антивирусной, он также как и сетевой аплаенс собирает хеши файлов, их параметры окружения и отсылает на анализ. Соответственно при поступлении сигнала на блокировку — он помещает файл в карантин.
Причем администратор может и сам задавать в централизованных политиках какие файлы блокировать по хэшу (не только malware), также можно блокировать различные приложения (например Вы видите, что заражение произошло из-за использования Adobe Acrobat версии с уязвимостью и блокируете централизованно только эту версию).
Поддерживаются системы на данный момент Windows, MAC OSX, Android.
Для Windows поддерживаются:
Microsoft Windows XP with Service Pack 3 or later
Microsoft Windows Vista with Service Pack 2 or later
Microsoft Windows 7
Microsoft Windows 8 and 8.1 (requires FireAMP Connector 3.1.4 or later)
Microsoft Windows Server 2003
Microsoft Windows Server 2008
Microsoft Windows Server 2012 (requires FireAMP Connector 3.1.9 or later)
Для MAC: 64-bit Macs running OS X 10.7 to 10.9
Для Android: Android 2.1 or higher running on ARM and Intel Atom
Конечно функционал становится не таким гибким с вешанием на VLAN, но это позволит:
a) Подготовить этапно сеть к миграции системы авторизации на SGT;
б) Сделать систему NAC для внутренних пользователей с проверкой состояния;
в) Сегментировать доступ пользователей по группам AD (к примеру), отследить их состояние (posture) и централизованно отфильтровать на ASA в ЦОД к примеру.
Если оборудование оконечное не Cisco и не поддерживает COA, то о веб аутентификации и гостевом удобном доступе тоже можно забыть…
Со сдуванием настроек ната у меня лично не было случаев, но я и не писал permit tcp, вспоминается демотиватор «процесс перевода кейса из разряда as designed, not a bug в состояние Pending». Это уже привычка вырабатывается писать permit IP, также как и логика работы route-map с acl.
Это да, это уникальная конечно команда. Мне и десятой части тех багов, что они рассматривали не пападется/попадалось. На то TAC у нас так и ценится, экспертиза!
Красота SGT еще в том, что можно не просто по пользователям делать разделение. По пользователям можно было разделять политики еще лет 5 назад когда появился IDFW.
Прелесть в том, что эта метка характеризует состояние (контекст) текущего подключенного пользователя (устройства), например:
— с корпоративного ноута зашел или с домашнего
— Есть антивирус или нет
— активирован DeviceLock или нет
— Зашел через проводную/беспроводную/VPN сеть
— В каком офисе/этаже/стране зашел
— Сколько неудачных попыток аутентификации было
— Зашел с мобильного устройства (копроативного/нет), есть ли он в MDM
— и много много другого.
И метка может характеризовать любую комбинацию текущих условий.
Еще пример, 100 филиалов, в филиале по 1 программисту и надо дать им доступ к 10 сервисам ЦОД, в типичной конфигурации фильтров по IP это было бы ACL на 1000 строк, в случае SGT всего одна строка.
Ну почему же, если у нас более менее общие политики по группам пользователей, тогда например делаем 7 вланов:
1) Группа 1
2) Группа 2
3) Группа 3
4) Группа 4
5) Карантин
6) Voice Vlan
7) Printers
Назначаем по аутентификации динамически VLAN на старом оборудовании. Эти вланы приходят на Cat6k и тегируются инлайн. Дальше на фаерволе уже все рубится по меткам, ну а метки мы соответственно можем назначать какие-хотим на разные состояния, просто надо VLAN добавить и к нему метку. Есть там конечно ограничения и не удобства, но что поделать когда денег менять железо нет, а хочется «красиво».
Про внутреннюю архитектуру я в курсе и ограничения тоже конечно же есть (как и везде), но в production за все время моей работы в интеграторе на довольно длинном списке клиентов мне не довелось увидеть чтобы асашку просадили. Во время атаки DDOS один раз помню было что асашка вылетала и тутже подключалась Failover нода, вся соль была в том, что я только через часа полтора заметил, что у меня файловер скачет время от времени, ни пользователи никто не заметил, вот такой файловер Active/Standby. Один раз помню PIX очень старый был в одном кампусе университетском на 30000 пользователей! Кампус был ну очень завирусован и там только ICMP трафик 5 мегабит генерировалось, вот там пикс на 80% работал… Но этот пикс даже на треть этих пользователей не был рассчитан.
Кстати и в этом случае есть возможность использовать SGT. Например делать динамическую авторизацию с назначением VLAN, на вышестоящем уровне распределения использовать более умное оборудование (например Cat6k-SUP2T) и применять теги на нем уже с привязкой к влану.
ASA по производительности просадить… ну это не так просто. Конечно каждому месту установки и цели должна соответствовать и модель ASA, поставьте 5585, раз мы сравниваем с ASR… Опять же функция кластеризации до 16 устройств дает прирост и в соединениях в секунду и в максимальном количестве соединений.
Ну так специально чтобы оборудование не менять можно использовать протокол SXP, который может передавать маппинги IP <-> SGT на вышестоящие устройства, которые понимают Inline тегирование к примеру. Этот протокол как раз избавляет нас от необходимости менять все оборудование.
Конечно надо понимать, что совсем старое оборудование уже и SXP не умеет.
До 8.3 на мой взгляд было удобнее малость, но, вероятно, мое отношение может быть связано с тем что я учился работать с классической схемой NAT на ASA начиная с версии 7.0 и порядком к ней привык (переучиваться то не всякий любит=) ). С ассиметрией я особых проблем не вижу, как только в логе видишь эту надпись, сразу знаешь где поправить.
Эксплуатирую его с первых релизов в разных режимах, разных организациях и конфигурациях — один из самых стабильных и функциональных VPN клиентов. У моих друзей также
Я сам большой фанат решений с открытым кодом, только вот в большой корпорации такой подход не работает.
Схема сети чисто лабораторная. Изначальные условия и требования выложены по ссылке в начале поста. Данная статья дает возможность в условиях «пожара» быстро развернуть удаленный доступ для тысяч сотрудников. В Cisco множество технологий и возможностей построения Remote-Access VPN и описанная схема не является универсальным решением на все случаи жизни, она является самой масштабируемой тем не менее. Я наше оборудование Cisco как у реальных заказчиков вижу как работает под нагрузкой, так и в специализированных лабораториях тестирую на нагрузке, свои цифры производительности оно показывает. Попробуйте на Микротике с десяток тысяч VPN пользователей активных затерминировать активно работающих.
Повторюсь, эта схема для больших и очень больших развертываний VPN. Для большинства подойдут схемы сильно более простые.
Масштабирование ограничено лишь суммарной производительностью нод кластера, может держать многие тысячи VPN соединений.
Работать они будут нормально вместе, FireAMP систему не нагружает, поскольку локально никакого анализа не проводит сигнатурного.
В настройках FireAMP центральной консоли надо лишь указать исключемую директорию с антивирусом, установленным на системах. Со стороны Антивируса делается такое же исключение в сторону FireAMP.
По моему опыту, я на 4 компьютера поставил в рамках домашней лаборатории только FireAMP, эффективность его работы на мой взгляд выше чем все ранее установленные коммерческие антивирусы. (Это лишь мой опыт в лаборатории, ни коим разом под официальные данные не подвожу)
Итак, если с блокировкой файлов на уровне сети все более-менее понятно и они будут заблокированы по совпадению проходящего через аплаенс файла с подозрительным хэшем, то в случае с блокировкой на хосте нужен агент.
Агент представляет собой ~15-ти мегабайтный инсталлятор FireAMP Connector, который не несет в себе никакой базы антивирусной, он также как и сетевой аплаенс собирает хеши файлов, их параметры окружения и отсылает на анализ. Соответственно при поступлении сигнала на блокировку — он помещает файл в карантин.
Причем администратор может и сам задавать в централизованных политиках какие файлы блокировать по хэшу (не только malware), также можно блокировать различные приложения (например Вы видите, что заражение произошло из-за использования Adobe Acrobat версии с уязвимостью и блокируете централизованно только эту версию).
Поддерживаются системы на данный момент Windows, MAC OSX, Android.
Для Windows поддерживаются:
Microsoft Windows XP with Service Pack 3 or later
Microsoft Windows Vista with Service Pack 2 or later
Microsoft Windows 7
Microsoft Windows 8 and 8.1 (requires FireAMP Connector 3.1.4 or later)
Microsoft Windows Server 2003
Microsoft Windows Server 2008
Microsoft Windows Server 2012 (requires FireAMP Connector 3.1.9 or later)
Для MAC: 64-bit Macs running OS X 10.7 to 10.9
Для Android: Android 2.1 or higher running on ARM and Intel Atom
a) Подготовить этапно сеть к миграции системы авторизации на SGT;
б) Сделать систему NAC для внутренних пользователей с проверкой состояния;
в) Сегментировать доступ пользователей по группам AD (к примеру), отследить их состояние (posture) и централизованно отфильтровать на ASA в ЦОД к примеру.
Если оборудование оконечное не Cisco и не поддерживает COA, то о веб аутентификации и гостевом удобном доступе тоже можно забыть…
Прелесть в том, что эта метка характеризует состояние (контекст) текущего подключенного пользователя (устройства), например:
— с корпоративного ноута зашел или с домашнего
— Есть антивирус или нет
— активирован DeviceLock или нет
— Зашел через проводную/беспроводную/VPN сеть
— В каком офисе/этаже/стране зашел
— Сколько неудачных попыток аутентификации было
— Зашел с мобильного устройства (копроативного/нет), есть ли он в MDM
— и много много другого.
И метка может характеризовать любую комбинацию текущих условий.
Еще пример, 100 филиалов, в филиале по 1 программисту и надо дать им доступ к 10 сервисам ЦОД, в типичной конфигурации фильтров по IP это было бы ACL на 1000 строк, в случае SGT всего одна строка.
1) Группа 1
2) Группа 2
3) Группа 3
4) Группа 4
5) Карантин
6) Voice Vlan
7) Printers
Назначаем по аутентификации динамически VLAN на старом оборудовании. Эти вланы приходят на Cat6k и тегируются инлайн. Дальше на фаерволе уже все рубится по меткам, ну а метки мы соответственно можем назначать какие-хотим на разные состояния, просто надо VLAN добавить и к нему метку. Есть там конечно ограничения и не удобства, но что поделать когда денег менять железо нет, а хочется «красиво».
Конечно надо понимать, что совсем старое оборудование уже и SXP не умеет.