Cisco ПИКС
Эта статья может чрезмерно полагаться на источники, слишком тесно связанные с предметом , что потенциально препятствует тому, чтобы статья была проверяемой и нейтральной . ( Август 2011 г. ) |
Cisco PIX ( частное изменение Интернета брандмауэром трансляции ) был популярным IP- и устройством сетевых адресов NAT) ( . Это был один из первых продуктов в этом сегменте рынка.
В 2005 году Cisco представила новое устройство Cisco Adaptive Security Appliance ( Cisco ASA ), унаследовавшее многие функции PIX, а в 2008 году объявила о прекращении продаж PIX.
Технология PIX продавалась в виде блейда — модуля FireWall Services Module (FWSM) для серии коммутаторов Cisco Catalyst 6500 и серии маршрутизаторов 7600 , но по состоянию на 26 сентября 2007 года срок ее поддержки истек. [1]
ПИКС
[ редактировать ]История
[ редактировать ]Первоначально PIX был задуман в начале 1994 года Джоном Мэйсом из Редвуд-Сити, штат Калифорния, а разработан и написан Брантли Койлом из Афин, штат Джорджия. Название PIX происходит от цели его создателей создать функциональный эквивалент IP-АТС для решения возникшей в то время проблемы нехватки зарегистрированных IP-адресов . В то время, когда NAT только исследовался как жизнеспособный подход, они хотели скрыть блок или блоки IP-адресов за одним или несколькими зарегистрированными IP-адресами, подобно тому, как это делают УАТС для внутренних телефонных номеров. Когда они начались, обсуждались RFC 1597 и RFC 1631, но знакомый теперь RFC 1918 еще не был представлен.
Проектирование и тестирование были проведены в 1994 году Джоном Мэйесом, Брантли Койлом и Джонсоном Ву из Network Translation, Inc., причем Брантли Койл был единственным разработчиком программного обеспечения. Бета-тестирование PIX с серийным номером 000000 было завершено, и первая приемка заказчиком состоялась 21 декабря 1994 года в KLA Instruments в Сан-Хосе, Калифорния. PIX быстро стал одним из ведущих корпоративных межсетевых экранов и в январе 1995 года был удостоен награды журнала Data Communications Magazine «Горячий продукт года». [2]
Незадолго до того, как Cisco приобрела Network Translation в ноябре 1995 года, Мэйс и Койл наняли двух давних сотрудников, Ричарда (Чипа) Хоуза и Пита Тенерейло, а вскоре после приобретения еще двух давних сотрудников, Джима Джордана и Тома Боханнона. Вместе они продолжили разработку ОС Finesse и исходной версии межсетевого экрана Cisco PIX, теперь известной как PIX «Classic». За это время PIX поделился большей частью своего кода с другим продуктом Cisco — LocalDirector .
28 января 2008 г. компания Cisco объявила даты окончания продаж и срока службы всех устройств безопасности Cisco PIX, программного обеспечения, аксессуаров и лицензий. Последний день приобретения платформ и пакетов Cisco PIX Security Appliance был 28 июля 2008 г. Последний день приобретения аксессуаров и лицензий был 27 января 2009 г. Cisco прекратила поддержку клиентов Cisco PIX Security Appliance 29 июля 2013 г. [3] [4]
В мае 2005 года Cisco представила ASA, сочетающую в себе функциональные возможности линеек продуктов PIX, VPN 3000 и IPS . Устройства серии ASA используют код PIX 7.0 и более поздних версий. Начиная с версии 7.x ОС PIX PIX и ASA используют одни и те же образы программного обеспечения. Начиная с версии 8.x ОС PIX, код операционной системы отличается: ASA использует ядро Linux, а PIX продолжает использовать традиционную комбинацию ОС Finesse/PIX. [5]
Программное обеспечение
[ редактировать ]PIX работает под управлением специально написанной проприетарной операционной системы, первоначально называвшейся Finese ( Fast Internet Service Executive ), но с 2014 г. [update] программное обеспечение известно просто как PIX OS. Несмотря на то, что PIX классифицируется как межсетевой экран сетевого уровня с проверкой состояния , технически PIX точнее было бы называть межсетевым экраном уровня 4 или транспортного уровня, поскольку его доступ не ограничивается маршрутизацией сетевого уровня, а соединениями на основе сокетов (порт и IP-адрес: связь по порту происходит на уровне 4). По умолчанию он разрешает внутренние соединения (исходящий трафик) и разрешает только входящий трафик, который является ответом на действительный запрос или разрешен списком управления доступом (ACL) или каналом . Администраторы могут настроить PIX для выполнения множества функций, включая преобразование сетевых адресов (NAT) и преобразование адресов портов (PAT), а также работу в качестве устройства конечной точки виртуальной частной сети (VPN).
PIX стал первым коммерчески доступным продуктом межсетевого экрана, в котором реализована фильтрация по конкретному протоколу с помощью команды «fixup». Возможность «исправления» PIX позволяет брандмауэру применять дополнительные политики безопасности к соединениям, идентифицированным как использующие определенные протоколы. Протоколы, для которых были разработаны специальные методы исправления, включают DNS и SMTP. Исправление DNS изначально реализовало очень простую, но эффективную политику безопасности; он допускал только один DNS-ответ от DNS-сервера в Интернете (известный как внешний интерфейс) на каждый DNS-запрос от клиента на защищенном (известном как внутренний ) интерфейс. «Проверка» заменила «исправление» в более поздних версиях ОС PIX.
Cisco PIX также был одним из первых коммерчески доступных устройств безопасности, включающих IPSec функции шлюза VPN.
Администраторы могут управлять PIX через интерфейс командной строки (CLI) или через графический интерфейс пользователя (GUI). Они могут получить доступ к CLI через последовательную консоль, telnet и SSH . Администрирование с графическим интерфейсом зародилось в версии 4.1 и претерпело несколько воплощений: [6] [7] [8]
- Диспетчер межсетевого экрана PIX (PFM) для версий ОС PIX 4.x и 5.x, который запускается локально на клиенте Windows NT.
- Диспетчер устройств PIX (PDM) для ОС PIX версии 6.x, который работает через https и требует Java
- Диспетчер устройств адаптивной безопасности (ASDM) для ОС PIX версии 7 и более поздних версий, который может работать локально на клиенте или в режиме ограниченной функциональности через HTTPS.
Поскольку Cisco приобрела PIX от Network Translation, CLI изначально не соответствовал синтаксису Cisco IOS . Начиная с версии 7.0, конфигурация стала более похожа на IOS.
Аппаратное обеспечение
[ редактировать ]
Оригинальные NTI PIX и PIX Classic имели корпуса, полученные от OEM- поставщика Appro. Все флэш-карты и первые карты ускорения шифрования PIX-PL и PIX-PL2 были получены от Productivity Enhancement Products (PEP). [9] Более поздние модели имели корпуса от OEM-производителей Cisco.
PIX был создан с использованием материнских плат на базе Intel /Intel-совместимых; в PIX 501 использовался процессор Am5x86 , а во всех других автономных моделях использовались процессоры от Intel 80486 до Pentium III.
PIX загружается с собственной дочерней ISA флэш-памяти карты в случае NTI PIX, PIX Classic, 10000, 510, 520 и 535 и загружается со встроенной флэш-памяти в случае PIX 501, 506/506e, 515. /515e, 525 и WS-SVC-FWM-1-K9. Последний представляет собой код части технологии PIX, реализованной в модуле служб межсетевого экрана для Catalyst 6500 и маршрутизатора 7600.
Адаптивное устройство безопасности (ASA)
[ редактировать ]Adaptive Security Appliance — это сетевой межсетевой экран, созданный Cisco. Он был представлен в 2005 году для замены линейки Cisco PIX. [10] Наряду с функциональностью брандмауэра с отслеживанием состояния, еще одним направлением ASA является функциональность виртуальной частной сети (VPN). Он также поддерживает предотвращение вторжений и передачу голоса по IP. За серией ASA 5500 последовала серия 5500-X. Серия 5500-X больше ориентирована на виртуализацию, чем на модули безопасности с аппаратным ускорением.
История
[ редактировать ]В 2005 году Cisco выпустила модели 5510, 5520 и 5540. [11]
Программное обеспечение
[ редактировать ]ASA продолжает использовать кодовую базу PIX, но когда программное обеспечение ОС ASA перешло с основной версии 7.X на 8.X, оно перешло с платформы операционной системы Finesse/Pix OS на платформу операционной системы Linux . Он также объединяет функции системы предотвращения вторжений Cisco IPS 4200 и концентратора Cisco VPN 3000. [12]
Аппаратное обеспечение
[ редактировать ]ASA продолжает линию PIX аппаратного обеспечения Intel 80x86.
Уязвимости безопасности
[ редактировать ]Продукт Cisco PIX VPN был взломан АНБ сотрудниками [13] группа Equation Group где-то до 2016 года. Equation Group разработала инструмент под кодовым названием BENIGNCERTAIN, который раскрывает злоумышленнику предварительно предоставленные пароли ( CVE - 2016-6415 [14] ). Позже Equation Group была взломана другой группой под названием The Shadow Brokers опубликовала свой эксплойт . , которая , среди прочего, публично [15] [16] [17] [18] По данным Ars Technica , АНБ, вероятно, использовало эту уязвимость для прослушивания VPN-соединений более десяти лет, ссылаясь на утечки Сноудена . [19]
Бренд Cisco ASA также был взломан Equation Group. Уязвимость требует, чтобы как SSH , так и SNMP злоумышленнику были доступны . Кодовое имя, присвоенное этому эксплойту АНБ, было EXTRABACON. Ошибка и эксплойт ( CVE - 2016-6366 [20] ) также был опубликован The ShadowBrokers в той же партии эксплойтов и бэкдоров. По данным Ars Technica, эксплойт можно легко использовать для работы с более современными версиями Cisco ASA, чем те, с которыми может справиться утекший эксплойт. [21]
29 января 2018 года о проблеме безопасности бренда Cisco ASA сообщил Седрик Халбронн из группы NCC. Использование после free -bug функции VPN Secure Sockets Layer (SSL) программного обеспечения Cisco Adaptive Security Appliance (ASA) может позволить неаутентифицированному удаленному злоумышленнику вызвать перезагрузку затронутой системы или удаленно выполнить код. Ошибка указана как CVE - 2018-0101 . [22] [23] [24]
См. также
[ редактировать ]Ссылки
[ редактировать ]- ^ «Модули сервисов Cisco — Поддержка — Cisco» .
- ^ «История NTI и межсетевого экрана PIX Джона Мэйса» (PDF) .
- ^ «Окончание продаж продуктов Cisco PIX» . Циско. 28 января 2008 г. Проверено 20 февраля 2008 г.
- ^ «Устройства безопасности Cisco PIX серии 500 — уведомление о прекращении использования» . Циско. 29 июля 2013 г. Проверено 4 ноября 2018 г.
- ^ «Страница лицензии Cisco с открытым исходным кодом» . Проверено 21 августа 2007 г.
- ^ «Часто задаваемые вопросы по Cisco PFM» . Проверено 19 июня 2007 г.
- ^ «Документация по Cisco PDM» . Проверено 19 июня 2007 г.
- ^ «Документация по Cisco ASDM» . Архивировано из оригинала 16 июня 2007 г. Проверено 19 июня 2007 г.
- ^ «Заметки о производстве PIX» . [ постоянная мертвая ссылка ]
- ^ Джозеф, Мунис; Макинтайр, Гэри; АльФардан, Надхем (29 октября 2015 г.). Центр управления безопасностью: создание, эксплуатация и обслуживание вашего SOC . Сиско Пресс. ISBN 978-0134052014 .
- ^ Фрэнсис, Боб (9 мая 2005 г.). «Безопасность занимает центральное место в Interop». Инфомир . 27 (19): 16.
- ^ «Архивная копия» (PDF) . Архивировано из оригинала (PDF) 5 октября 2016 г. Проверено 11 февраля 2016 г.
{{cite web}}
: CS1 maint: архивная копия в заголовке ( ссылка ) - ^ «Утечка информации АНБ реальна, подтверждают документы Сноудена» . 19 августа 2016 года . Проверено 19 августа 2016 г.
- ^ «Запись в национальной базе данных уязвимостей для BENIGNCERTAIN» . web.nvd.nist.gov .
- ^ «Исследователь получил пароль VPN с помощью инструмента из дампа АНБ» . 19 августа 2016 года . Проверено 19 августа 2016 г.
- ^ «Утечки эксплойта Cisco PIX АНБ» . www.theregister.co.uk .
- ^ «Имело ли АНБ возможность извлечь ключи VPN из межсетевых экранов Cisco PIX?» . news.softpedia.com . 19 августа 2016 г.
- ^ «Находка уязвимостей АНБ выявила «мини-кровоизлияние» межсетевых экранов Cisco PIX» . www.tomshardware.com . 19 августа 2016 г.
- ^ «Как АНБ десять лет шпионило за зашифрованным интернет-трафиком» . 19 августа 2016 года . Проверено 22 августа 2016 г.
- ^ «Запись национальной базы данных уязвимостей для EXTRABACON» . web.nvd.nist.gov .
- ^ «Эксплойт Cisco, связанный с АНБ, представляет большую угрозу, чем считалось ранее» . 23 августа 2016 года . Проверено 24 августа 2016 г.
- ^ «Запись в национальной базе данных уязвимостей — CVE-2018-0101» . web.nvd.nist.gov .
- ^ «Информация — Уязвимость устройства адаптивной безопасности Cisco, связанная с удаленным выполнением кода и отказом в обслуживании» . инструменты.cisco.com .
- ^ «CVE-2018-0101 — уязвимость в функции VPN Secure Sockets Layer (SSL) Cisco Adaptive Security A — CVE-Search» . cve.circl.lu . 15 августа 2023 г. Проверено 5 сентября 2023 г.
