Cisco ASA

Línea de dispositivos de seguridad para redes informáticas

En redes informáticas , Cisco ASA 5500 Series Adaptive Security Appliances , o simplemente Cisco ASA , es la línea de dispositivos de seguridad de red de Cisco presentada en mayo de 2005. ^[1] Sucedió a tres líneas existentes de productos Cisco:

• Cisco PIX , que proporcionaba funciones de firewall y traducción de direcciones de red (NAT), finalizó su venta el 28 de julio de 2008. ^[2]
• Serie IPS 4200 de Cisco, que funcionaba como un sistema de prevención de intrusiones (IPS).
• Concentradores Cisco VPN serie 3000, que proporcionaban redes privadas virtuales (VPN).

Cisco ASA es un dispositivo de gestión de amenazas unificado que combina varias funciones de seguridad de red. ^[3]

Recepción y crítica

Cisco ASA se ha convertido en una de las soluciones de firewall/VPN más utilizadas por las pequeñas y medianas empresas . Las primeras revisiones indicaban que las herramientas de la interfaz gráfica de usuario de Cisco para administrar el dispositivo eran deficientes. ^[4]

Se identificó una falla de seguridad cuando los usuarios personalizaron la opción VPN SSL sin cliente de sus ASA, pero se corrigió en 2015. ^[5] Otra falla en una función de WebVPN se corrigió en 2018. ^[6]

En 2017, The Shadow Brokers reveló la existencia de dos exploits de escalada de privilegios contra ASA llamados EPICBANANA ^[7] y EXTRABACON. ^{[8] [9]} Un implante de inserción de código llamado BANANAGLEE, fue hecho persistente por JETPLOW. ^[10]

Características

El 5506W-X tiene un punto WiFi incluido.

Arquitectura

El software ASA se basa en Linux. Ejecuta un único programa ejecutable y enlazable llamado lina. Este programa programa los procesos internamente en lugar de utilizar las funciones de Linux. ^[11] En la secuencia de arranque, se inicia un cargador de arranque llamado ROMMON (monitor ROM), que carga un núcleo Linux, que luego carga el lina_monitor, que luego carga lina. El ROMMON también tiene una línea de comandos que se puede utilizar para cargar o seleccionar otras imágenes y configuraciones de software. Los nombres de los archivos de firmware incluyen un indicador de versión, -smp significa que es para un multiprocesador simétrico (y una arquitectura de 64 bits), y diferentes partes también indican si se admite o no 3DES o AES . ^[11]

El software ASA tiene una interfaz similar al software Cisco IOS de los enrutadores. Hay una interfaz de línea de comandos (CLI) que se puede utilizar para consultar, operar o configurar el dispositivo. En el modo de configuración, se ingresan las instrucciones de configuración. La configuración se encuentra inicialmente en la memoria como una configuración en ejecución, pero normalmente se guardaría en la memoria flash. ^[11]

Opciones

Es posible agregar una tarjeta de interfaz adicional a los modelos 5512-X, 5515-X, 5525-X, 5545-X y 5555-X. ^[13]

El 5585-X tiene opciones para SSP. SSP significa procesador de servicios de seguridad. ^[14] Estos varían en potencia de procesamiento en un factor de 10, desde SSP-10 SSP-20, SSP-40 y SSP-60. El ASA 5585-X tiene una ranura para un módulo de E/S. Esta ranura se puede subdividir en dos módulos de medio ancho. ^[15]

En los modelos de gama baja, algunas funciones son limitadas y la deshabilitación se produce con la instalación de una licencia Security Plus. Esto permite más VLAN o pares VPN y también alta disponibilidad. ^[13] Cisco AnyConnect es una función adicional que se puede licenciar y que opera túneles IPSec o SSL para clientes en PC, iPhones o iPads. ^[16]

Modelos

El 5505, presentado en 2010, era una unidad de escritorio diseñada para pequeñas empresas o sucursales. Incluía características para reducir la necesidad de otros equipos, como un conmutador incorporado y puertos de alimentación a través de Ethernet . ^[17] El 5585-X es una unidad de mayor potencia para centros de datos presentada en 2010. ^[18] Funciona en modo de 32 bits en un chip Atom de arquitectura Intel . ^[11]

Cisco determinó que la mayoría de los dispositivos de gama baja tenían muy poca capacidad para incluir las funciones necesarias, como antivirus o sandboxing, y por eso presentó una nueva línea de firewalls de última generación llamados Firepower . Estos funcionan en modo de 64 bits . ^[11]

Modelos a partir de 2018 ^[13]

Referencias

1. Comunicado de prensa de Cisco Archivado el 4 de diciembre de 2012 en Wayback Machine cita: "Las Vegas (Interop) 3 de mayo de 2005 – Cisco Systems, Inc., anunció hoy la disponibilidad del dispositivo de seguridad adaptativo Cisco ASA 5500 Series Adaptive Security Appliance"
2. Davis, David (19 de febrero de 2008). "Conversión de lo antiguo a lo nuevo con la herramienta de migración de PIX a ASA". TechRepublic .
3. Davis, David (30 de junio de 2005). "Conozca el nuevo dispositivo de seguridad de Cisco: ASA 5500". TechRepublic . Consultado el 21 de marzo de 2018 .
4. "Cisco acierta en cuanto a firewall y VPN, pero no en facilidad de uso". Mayo de 2006. Consultado el 28 de diciembre de 2012 .
5. Saarinen, Juha (20 de febrero de 2015). "Los piratas informáticos atacan los firewalls Cisco ASA sin parches". iTnews . Consultado el 20 de marzo de 2018 .
6. Saarinen, Juha (30 de enero de 2018). "La función Cisco ASA VPN permite la ejecución remota de código". iTnews .
7. "NVD - CVE-2016-6367". nvd.nist.gov . Consultado el 13 de julio de 2020 .
8. "NVD - CVE-2016-6366". nvd.nist.gov . Consultado el 13 de julio de 2020 .
9. "Los exploits EPICBANANA y EXTRABACON de Shadow Brokers". Blogs de Cisco . 17 de agosto de 2016. Consultado el 13 de julio de 2020 .
10. "Catálogo de operaciones de firewall de Equation Group". musalbas.com . Archivado desde el original el 16 de agosto de 2016.
11. "Introducción a Cisco ASA". research.nccgroup.com . 20 de septiembre de 2017.
12. "Nuevas funciones de Cisco ASA por versión". Cisco .
13. "Hoja de datos de servicios Cisco ASA con FirePOWER". Cisco . 9 de febrero de 2018. Archivado desde el original el 3 de abril de 2018 . Consultado el 20 de marzo de 2018 .
14. Moraes, Alexandre MSP (2011). Firewalls de Cisco. Cisco Press. ISBN 9781587141119.
15. "Ficha técnica del firewall con estado Cisco ASA 5585-X". Cisco . 7 de junio de 2017. Archivado desde el original el 3 de abril de 2018 . Consultado el 20 de marzo de 2018 .
16. Carroll, Brandon (5 de enero de 2011). «Cisco AnyConnect vs. IPsec VPN: consideraciones sobre licencias». TechRepublic . Archivado desde el original el 22 de marzo de 2018. Consultado el 21 de marzo de 2018 .
17. "Cisco amplía la seguridad". Computación en red . 9 de julio de 2006.
18. "El dispositivo ASA de alto rendimiento de Cisco, nueva versión de Anyconnect". Computación en red . 5 de octubre de 2010.
19. "Página de comparación de modelos Cisco ASA" . Consultado el 15 de mayo de 2008 .

Enlaces externos

• Dispositivos de seguridad adaptables Cisco ASA serie 5500
• Podcast de seguridad de Cisco TAC: información sobre resolución de problemas de ASA