Cisco PIX

Идея PIX была предложена в начале 1994 года Джоном Мэйесом (John Mayes) из Редвуд-Сити, Калифорния, а разработчиком и автором исходного кода выступил Брантли Койл (Brantley Coile) из Афин, штат Джорджия. Название PIX происходит от сочетания намерений авторов реализовать функциональный аналог IP-ATС (IP PBX) для решения возникшей тогда проблемы нехватки регистрируемых IP-адресов. В то время NAT только начинал рассматриваться как жизнеспособный подход, и создатели хотели «спрятать» блоки внутренних адресов за одним или несколькими публичными адресами — по аналогии с работой офисных телефонных станций для внутренних абонентов. В момент начала разработки в сообществе обсуждались RFC 1597 и RFC 1631, но привычный ныне RFC 1918 ещё даже не был опубликован.

Проектирование и тестирование прототипа в 1994 году проводили Джон Мэйес, Брантли Койл и Джонсон Ву (Johnson Wu) из компании Network Translation, Inc., при этом Койл стал единственным автором программного обеспечения. Бета-тестирование устройства с серийным номером 000000 успешно завершилось; первая коммерческая эксплуатация началась 21 декабря 1994 года в компании KLA Instruments (Сан-Хосе, Калифорния). PIX быстро стал одним из ведущих корпоративных решений для межсетевого экранирования и был удостоен премии журнала Data Communications Magazine «Горячий продукт года» в январе 1995 года^[2].

Незадолго до приобретения Network Translation компанией Cisco в ноябре 1995 года Мэйес и Койл пригласили в команду давних коллег: Ричарда (Чипа) Хоуса (Richard "Chip" Howes) и Пита Тенерейло (Pete Tenereillo), а после поглощения — ещё двоих: Джима Джордана (Jim Jordan) и Тома Бохэннона (Tom Bohannon). Вместе они продолжили развитие собственной ОС Finesse и оригинальной версии Cisco PIX Firewall, позднее получившей обозначение PIX «Classic». В этот период значительная часть исходного кода PIX использовалась также в другом продукте Cisco — LocalDirector.

28 января 2008 года Cisco объявила о завершении продаж и начале процедуры снятия с поддержки аппаратных платформ, программного обеспечения, аксессуаров и лицензий Cisco PIX. Последний день продаж платформ и комплектов PIX был назначен на 28 июля 2008 года, лицензий и аксессуаров – на 27 января 2009 года. Заключительная дата поддержки клиентов наступила 29 июля 2013 года^[3][4].

В мае 2005 года Cisco представила ASA — устройство, сочетающее компоненты функций PIX, серии VPN 3000 и продуктов IPS. Линейка ASA работала на тех же программных образах, что и PIX — начиная с версии операционной системы PIX OS 7.0. С выходом PIX OS 8.x операционные системы устройств начали расходиться: ASA перешла на ядро Linux, тогда как PIX продолжил использовать традиционное сочетание Finesse/PIX OS^[5].

PIX работает на проприетарной операционной системе собственной разработки, первоначально называвшейся Finesse (Fast Internet Service Executive); позднее этот софт получил наименование PIX OS. Несмотря на то, что обычно PIX обозначали как межсетевой экран сетевого уровня (network-layer firewall) с поддержкой динамической инспекции (stateful inspection), с технической точки зрения правильнее считать его брандмауэром транспортного уровня (уровня 4 OSI), поскольку управление осуществляется не только маршрутами, но и сокетами (IP-адрес + порт, коммуникации уровня 4 OSI). По умолчанию устройство пропускает исходящий трафик из внутренней сети и позволяет входящий только в виде ответов на инициированные соединения либо на основании явно заданных списков контроля доступа (ACL) или так называемых conduit-правил. Администраторы могли настроить PIX не только для NAT- и PAT-трансляции, но и в качестве конечной точки VPN.

Продукт PIX стал первым коммерческим межсетевым экраном с поддержкой протоколозависимой фильтрации — реализованной через команду fixup. Эта возможность позволяла применять специальные меры инспекции к соединениям, основанным на конкретных протоколах (например, DNS и SMTP). Для DNS fixup использовался простой, но эффективный принцип: на каждый DNS-запрос с внутреннего интерфейса (inside) с внешнего (outside) разрешался только один ответ. В более поздних версиях PIX OS технология fixup была вытеснена механизмом inspect.

PIX также был одной из первых платформ межсетевой безопасности с поддержкой IPSec VPN.

Управлять PIX возможно с помощью командной строки (CLI) или графического интерфейса (GUI). CLI доступен через последовательный порт, Telnet и SSH. Графическое администрирование появилось, начиная с версии 4.1, и реализовывалось в трёх продуктах:^[6][7][8]

• PIX Firewall Manager (PFM) для версий PIX OS 4.x и 5.x (работал на локальном устройстве под управлением Windows NT)
• PIX Device Manager (PDM) для PIX OS 6.x (доступен через HTTPS и Java)
• Adaptive Security Device Manager (ASDM) для версий ОС 7.0 и выше (работает локально на клиенте или в ограниченном режиме через HTTPS).

Поскольку Cisco приобрела решение PIX у сторонней компании, синтаксис командной строки изначально отличался от традиционного Cisco IOS. Начиная с версии 7.0, конфигурация стала максимально близкой к IOS.

Оригинальные устройства NTI PIX и PIX Classic изготавливались в корпусах, предоставленных сторонним OEM-поставщиком Appro; карты флеш-памяти и ранние ускорители шифрования (PIX-PL и PIX-PL2) — у компании Productivity Enhancement Products (PEP)^[9]. В последующих моделях использовались корпуса от OEM-партнёров Cisco.

PIX базировался на материнских платах с процессорами Intel или совместимыми: модель PIX 501 оснащалась Am5x86, остальные устройства — Intel 80486 до Pentium III.

Загрузка PIX осуществлялась с проприетарной ISA-карты флеш-памяти (NTI PIX, PIX Classic, 10000, 510, 520, 535) или встроенной флеш-памяти (501, 506/506e, 515/515e, 525, WS-SVC-FWM-1-K9). Последний вариант — исполнение технологии PIX для модулей FireWall Services Module, используемых в Catalyst 6500 и маршрутизаторах 7600.

Cisco Adaptive Security Appliance (ASA) — современный сетевой межсетевой экран (файрвол), представленный Cisco в 2005 году как замена линейки PIX^[10]. В дополнение к технологиям динамического межсетевого экранирования основное внимание в ASA уделяется поддержке VPN, интеграции средств предотвращения вторжений и сервисам для передачи голоса по IP. Серия 5500 уступила место семейству 5500-X, где акцент делается на средства виртуализации, а не на аппаратные ускорители безопасности.

В 2005 году Cisco выпустила ASA-устройства моделей 5510, 5520 и 5540^[11].

ASA использует программную базу PIX, однако при переходе основной версии ОС с 7.X на 8.X платформа сменила Finesse/PIX OS на ядро Linux. В программное обеспечение интегрированы технологии Cisco IPS 4200 и VPN Concentrator 3000^[12].

Серия ASA продолжила использовать аппаратную архитектуру на базе процессоров Intel 80x86.

VPN-продукт Cisco PIX был взломан группировкой Equation Group, связанной с АНБ США (NSA), незадолго до 2016 года^[13]. Equation Group разработала инструмент с кодовым именем BENIGNCERTAIN, позволявший злоумышленнику узнать предустановленные пароли^[14]. Позднее архив эксплойтов, включая средство для PIX, был опубликован группой The Shadow Brokers.^{[15][16][17][18]} По сведениям Ars Technica, АНБ долгое время эксплуатировало эту уязвимость для перехвата VPN-соединений, что подтверждается данными, раскрытыми Эдвардом Сноуденом^[19].

Аналогичная уязвимость была обнаружена и во флагманской линейке Cisco ASA. Для эксплуатации Equation Group использовала эксплойт под кодовым именем EXTRABACON^[20], требовавший доступа к устройству по SSH и SNMP; данный инструмент также был опубликован The Shadow Brokers. По данным Ars Technica, эксплойт может быть доработан для современных реализаций Cisco ASA^[21].

29 января 2018 года стало известно об уязвимости типа use-after-free, обнаруженной Седриком Хальбронном (Cedric Halbronn) из NCC Group в реализации SSL VPN функциональности программного обеспечения Cisco ASA. Данная ошибка позволяла неавторизованным злоумышленникам вызвать перезагрузку устройства либо удалённое выполнение кода; уязвимость зарегистрирована под номером .^[22][23][24]