16-LABORATORIYA ISHI
ASA XAVFSIZLIK TEXNOLOGIYASINI SOZLASH
16.1. Ishdan maqsad
Cisco ASA haqida nazariy ma’lumotga ega bo’lish; CPT dasturida Cisco ASA ga asoslangan tarmoq qurish.
16.2. Nazariy qism
Cisco ASA (Adaptive Security Appliance) - bu Cisco Systems tomonidan ishlab chiqarilgan bir qator qo'shimcha xavfsizlik devorlari hisoblanadi.
U quyidagi qurilma liniyalarining merosxo'ridir:
Cisco PIX xavfsizlik devorlari;
Hujumni aniqlash tizimlari Cisco IPS 4200;
Cisco VPN 3000 VPN kontsentratorlari.
PIX singari, ASAlar x86 protsessorlariga asoslangan.
7.0 versiyasidan boshlab, PIX va ASA bir xil operatsion tizim tasvirlaridan foydalanadi (lekin funksionallik qaysi qurilmada ishlashiga bog'liq).Funktsionallik, kiritilgan seriya raqami bilan belgilanadigan litsenziyaning turiga bog'liq.
CLI Cisco IOS interfeysiga o'xshaydi (lekin takrorlanmaydi). Qurilmani telnet, SSH, veb-interfeys yoki ASDM dasturi yordamida boshqarish mumkin.
Cisco ASA (ishlab chiqarishning adaptiv xavfsizligi). Cisco ASA xavfsizlik moslamasi (PIX xavfsizlik devori o'rnini bosgan) o'z sohalarida etakchi o'rinni egallaydi va shu sababli oddiy foydalanuvchilardan emas, balki ularning katta darajadagi ishonchliligini isbotlaydigan yirik tashkilotlardan iborat maqsadli auditoriya orasida katta talab mavjud. Cisco ASA bir qator o'ziga xos xususiyatlarga ega, bu ularning foydasiga tanlovni oqlaydi: biz ularni quyida muhokama qilamiz. O'z ishida Cisco ASA umumiy operatsion tizimdan foydalanmaydi, balki qurilmaga birlashtirilgan o'z tizimidan foydalanadi. Cisco IOS-ga o'xshash ushbu operatsion tizim boshidanoq yuqori mahsuldorlik va xavfsizlikni hisobga olgan holda ishlab chiqilgan bo'lib, unga erishilgan: qurilma bir vaqtning o'zida 500 minggacha ulanishni tahlil qilishga qodir.
Cisco ASA Adaptiv Security Algorithm ASA dan foydalanadigan dinamik filtrlash xavfsizlik devori. Bu statik filtrlash va proksi-server xavfsizlik devorlariga qaraganda ancha xavfsiz va ishonchli. ASA xavfsizlik devoriga ulangan tarmoq segmentlarini ajratib, trafikni nazorat qiladi. Barcha interfeyslar 0 dan 100 gacha bo'lgan ma'lum bir xavfsizlik darajasini oladi. Ushbu ma'lumotlarga asoslanib, ASA o'z xatti-harakatlarini o'zgartiradi, ba'zi ulanishlarni rad etadi va ruxsat beradi. Kirish ro'yxatlari yordamida trafikni yuqori darajadagi ishonchni past darajaga qadar rad etish mumkin va aksincha. ASA tarmoqdagi seanslar haqidagi barcha ma'lumotlarni saqlaydi, ularni holat jadvaliga o'tkazadi, so'ngra ushbu ma'lumot yordamida xavfsizlik devori orqali o'tadigan barcha trafikni boshqaradi. Qaytgan trafik tahlil qilinadi va agar ma'lumot kutilgan talablarga javob bermasa, ulanish to'xtatiladi. Boshqacha qilib aytganda, xavfsizlik, paketni emas, balki statik paketlarni filtrlashda bo'lgani kabi, ulanishga asoslangan bo'lib, bu o'g'irlash usuli yordamida tarmoqni buzish imkoniyatini deyarli butunlay yo'q qiladi.
Muvofiqlash texnologiyasi -vakolatning kesilishi. Foydalanuvchining autentifikatsiyasi deb ham ataladigan Cut-through proksi autentifikatsiya qilish mexanizmi yuqori darajada shaffof va proksi xavfsizlik devorlariga qaraganda yaxshiroq ishlashni kafolatlaydi. Buning sababi shundaki, Cisco ASA-da foydalanuvchi autentifikatsiyasi birinchi navbatda dastur darajasida ro'y beradi va keyinchalik ushbu ulanishning barcha trafigi faqat ASA algoritmi bilan tekshiriladi - dastur sathini chetlab o'tish, bu protsessorga yukni bir necha marta kamaytiradi. Boshqacha qilib aytganda, kesilgan proksi-server, agar u ilgari o'tib ketgan bo'lsa, yangi paketlarni autentifikatsiyaga tortmaydi.
Cisco ASA ushbu talablarga to'liq javob beradi, chunki ba'zi protokollar va ilovalarga xavfsiz aloqaga kirish imkoni beriladi. Ushbu funktsiya "Dasturiy ta'minotni tekshirish" deb nomlanadi.
Do'stlaringiz bilan baham: |