Cisco ASA
Cisco ASA (Cisco ASA 5500 Series Adaptive Security Appliances) — серия устройств сетевой безопасности компании Cisco, впервые представленная в мае 2005 года[1]. Эти устройства пришли на смену трём предыдущим линейкам продукции Cisco: устройствам Cisco PIX (межсетевой экран и NAT), устройствам вторжения Cisco IPS 4200 серии и концентратору VPN Cisco 3000.
История
Cisco ASA относится к категории систем комплексного управления угрозами (UTM) и объединяет ряд функций сетевой безопасности[2]. К настоящему времени эта платформа является одной из самых популярных для реализации функций межсетевого экрана и VPN в сегменте малого и среднего бизнеса. В ранних обзорах отмечались недостатки в средствах управления через графический интерфейс[3].
В программном обеспечении ASA была обнаружена уязвимость при пользовательской настройке безклиентских SSL VPN, которая была устранена в 2015 году[4].
В 2017 году группировка The Shadow Brokers раскрыла наличие двух уязвимостей повышения привилегий в ASA: EPICBANANA[5] и EXTRABACON[6][7].
Также был описан имплантат внедрения кода BANANAGLEE, постоянство которому обеспечивал JETPLOW[8].
В 2018 году была устранена уязвимость WebVPN (CVE-2018-0101), позволявшая дистанционно выполнять произвольный код[9].
В 2025 году специалисты по безопасности выявили рост количества сканирований в поисках Cisco ASA, предположив, что злоумышленникам известна новая уязвимость[10]. Через неделю стало известно почти о 50 000 устройств, уязвимых сразу к двум новым эксплойтам с возможностью выполнения кода и доступа к защищённым VPN-сервисам (идентификаторы CVE-2025-20333 и CVE-2025-20362); на момент раскрытия они уже активно эксплуатировались[11]. По заявлению Cisco, на тот момент исправлений от данных уязвимостей не существовало[12]. В связи с этим Агентство по кибербезопасности и безопасности инфраструктуры США рекомендовало федеральным организациям проверить уровень компрометации используемых устройств[13]. Британский Национальный центр кибербезопасности также опубликовал предупреждение для бизнеса и широкого круга пользователей[14].
Архитектура
Программное обеспечение Cisco ASA основано на ядре Linux. Выполняется единственный исполняемый файл в формате ELF под названием lina; внутреннее планирование процессов организовано средствами самой программы, а не стандартного Linux[15]. В последовательности загрузки сначала стартует загрузчик ROMMON (ROM monitor), затем ядро Linux, которое запускает lina_monitor, после чего загружается lina. Интерфейс ROMMON также предоставляет командную строку для выбора и загрузки альтернативных образов или конфигураций. В именах прошивок указывается версия: -smp означает поддержку симметричных многопроцессорных систем (и архитектуры 64 бит), а другие составляющие имени — поддержку 3DES или AES[15].
Интерфейс командной строки ASA напоминает Cisco IOS для маршрутизаторов этой компании. Управлять, настраивать и опрашивать устройство можно через CLI; команды при конфигурировании записываются в режиме config, изначально хранится в оперативной памяти как running-config и при необходимости сохраняется во флэш[15].
Поддержка программных версий 7.0–9.0, 9.3 и 9.5 завершена. Последний релиз программного обеспечения для моделей 5505–5550 выпущен в 2014 году[15]
Модели
Модель 5505, появившаяся в 2010 году, рассчитана на малые предприятия или филиалы и выполнена в настольном корпусе, оснащается встроенным коммутатором и портами Power over Ethernet[16]. Мощная модель 5585-X, представленная также в 2010 году, ориентирована на дата-центры[17], работает в 32-битном режиме на платформе Intel Atom[15].
| Модель | 5505[18]. | 5510 | 5520[18] | 5540[18] | 5550[18] | 5580-20[18] | 5580-40[18] | 5585-X SSP10[18] | 5585-X SSP20[18] | 5585-X SSP40[18] | 5585-X SSP60[18] |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Пропускная способность (без шифрования), Мбит/с | 150 | 300 | 450 | 650 | 1 200 | 5 000 | 10 000 | 3 000 | 7 000 | 12 000 | 20 000 |
| AES/3DES — скорость шифрования, Мбит/с | 100 | 170 | 225 | 325 | 425 | 1 000 | 1 000 | 1 000 | 2 000 | 3 000 | 5 000 |
| Максимум одновременных соединений | 10 000 (25 000 с лицензией Sec Plus) | 50 000 (130 000 с лицензией Sec Plus) | 280 000 | 400 000 | 650 000 | 1 000 000 | 2 000 000 | 1 000 000 | 2 000 000 | 4 000 000 | 10 000 000 |
| Максимум VPN-сессий (site-to-site и удалённого доступа) | 10 (25 с лицензией Sec Plus) | 250 | 750 | 5 000 | 5 000 | 10 000 | 10 000 | 5 000 | 10 000 | 10 000 | 10 000 |
| Максимум SSL VPN-сессий пользователей | 25 | 250 | 750 | 2 500 | 5 000 | 10 000 | 10 000 | 5 000 | 10 000 | 10 000 | 10 000 |
| Модель | 5505 | 5510 | 5520 | 5540 | 5550 | 5580-20 | 5580-40 | 5585-X SSP10 | 5585-X SSP20 | 5585-X SSP40 | 5585-X SSP60 |
Cisco пришла к выводу, что большинство младших моделей имеют недостаточно ресурсов для реализации современных функций (антивирус, изоляция в песочнице и др.) и в 2018 году представила новую линейку NGFW — Firepower, работающую в 64-битном режиме[15].
Устройства 5512-X, 5515-X, 5525-X, 5545-X и 5555-X поддерживают установку дополнительных интерфейсных карт.[19]. В 5585-X также возможно подключение специального процессора служб безопасности[20]. Модель ASA 5585-X поддерживает установку I/O-модуля (разделяемого на два полуразмерных)[21].
| Модель[19] | 5506-X | 5506W-X | 5506H-X | 5508-X | 5512-X | 5515-X | 5516-X | 5525-X | 5545-X | 5555-X | 5585-X |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Пропускная способность, Гбит/с | 0,25 | 0,25 | 0,25 | 0,45 | 0,3 | 0,5 | 0,85 | 1,1 | 1,5 | 1,75 | 4–40 |
| Портов 1 Гбит/с | 8 | 8 | 4 | 8 | 6 | 6 | 8 | 8 | 8 | 8 | 6–8 |
| Портов 10 Гбит/с | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 2–4 |
| Форм-фактор | настольный | настольный | настольный | 1U | 1U | 1U | 1U | 1U | 1U | 1U | 2U |
Примечания
Литература
- Moraes, Alexandre M. S. P. Cisco Firewalls : [англ.]. — Cisco Press, 2011. — ISBN 9781587141119.