ASA5510 jako firewall

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
stentor
wannabe
wannabe
Posty: 779
Rejestracja: 29 sty 2007, 17:58
Lokalizacja: lubuskie

ASA5510 jako firewall

#1

#1 Post autor: stentor »

witam!
jest ASA5510 z modułem ASA SSM-10.
na moduł wygasła licencja.

jaka funkcjonalność firewall moge uruchomić na ASA5510 - oprócz VPNow, bo to wiem jak.

warto odnawiać licencję?
Nobody's perfect...
...I'm nobody

dorvin
CCIE
CCIE
Posty: 1688
Rejestracja: 21 sty 2008, 13:21
Lokalizacja: Wrocław
Kontakt:

#2

#2 Post autor: dorvin »

W standardzie masz statefull firewall i inspekcje protokołów aplikacyjnych. Filtrowanie urli z websensem.

stentor
wannabe
wannabe
Posty: 779
Rejestracja: 29 sty 2007, 17:58
Lokalizacja: lubuskie

#3

#3 Post autor: stentor »

dorvin pisze:W standardzie masz statefull firewall i inspekcje protokołów aplikacyjnych. Filtrowanie urli z websensem.
czyli w sumie to co na ISRach.

czyli bez licencji nie ma Antivirus, anti-spyware, file blocking?

pytanie: opłaca się wykupować licencję?
Nobody's perfect...
...I'm nobody

dorvin
CCIE
CCIE
Posty: 1688
Rejestracja: 21 sty 2008, 13:21
Lokalizacja: Wrocław
Kontakt:

#4

#4 Post autor: dorvin »

Moim zdaniem z punktu widzenia bezpieczeństwa sieci warto. Masz dodatkowe ficzery do ochrony.

AV, AS itp bez licencji nie pójdzie. Zresztą goła ASA i tak tego nie wspiera.

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

#5

#5 Post autor: drake »

Hej,
nie kosztuje wiele a masz pierwszy stopien filtracji i ochrony, drugi to wewnetrzne serwery AV i mailowe, trzeci to samo oprogramowanie na hostach.
Do ISR nie mozna porownywac bo na ASA jest inna wydajnosc wynikajaca z przeznaczenia tych urzadzen. Jako FW zostawilbym ASA i odnowil licencje.

Pozdruffka!
Never stop exploring :)

https://iverion.de

stentor
wannabe
wannabe
Posty: 779
Rejestracja: 29 sty 2007, 17:58
Lokalizacja: lubuskie

#6

#6 Post autor: stentor »

oki, dzieki.

lezy u mnie na półce inna ASA5505 na bazowej licencji.

chciałbym ją wpiąć do LANu ale jako co? jakie funkcje mogę jej powierzyć? IPS?
nie rutuje, nie robi vpnow, nie robi vlanow (od tego mam ISRa).
Nobody's perfect...
...I'm nobody

dorvin
CCIE
CCIE
Posty: 1688
Rejestracja: 21 sty 2008, 13:21
Lokalizacja: Wrocław
Kontakt:

#7

#7 Post autor: dorvin »

Ciężko dobrze doradzić nie znając pełnej struktury Twojej sieci. Z tego co się domyślam, to raczej do niewielu rzeczy się przyda. Może kiedyś, jak będziesz miał jakiś oddział, to dałoby się tam wykorzystać. W centrali możesz próbować chronić jakieś krytyczne zasoby (np. vlan serwerowy), ale na podstawie moich domysłów wnioskuję, że to rozwiązanie trochę na siłę.

stentor
wannabe
wannabe
Posty: 779
Rejestracja: 29 sty 2007, 17:58
Lokalizacja: lubuskie

#8

#8 Post autor: stentor »

serwery mam w DMZ w innym vlanie.
w sumie to chce wpiąć tą ASA5505 w LAN roboczy i zobaczyc co mogę na niej zrobić i stad moje pytanie: co mogę sensownego na niej skonfigurowac.?

ja to tak myslalem ze ona jakoś będzie jakos monitorować ruch w LANie pod katem virów, malware itd. taki IPS/IDS
Ostatnio zmieniony 26 sty 2010, 12:59 przez stentor, łącznie zmieniany 1 raz.
Nobody's perfect...
...I'm nobody

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

#9

#9 Post autor: drake »

Jesli wymyslasz na sile zeby tylko ja gdzies wstawic to zostaw lepiej na polce albo wyslij mi poczta w prezencie :)
A tak na serio - skoro design twojej sieci nie wymaga zastosowania tego pudelka, to zostaw je lub pobaw sie po prostu i polabuj, a jak kluje w oko managera lub szefa... to podepnij do switcha na dummy-vlan i po sprawie ;)

Pozdruffka!
Never stop exploring :)

https://iverion.de

stentor
wannabe
wannabe
Posty: 779
Rejestracja: 29 sty 2007, 17:58
Lokalizacja: lubuskie

#10

#10 Post autor: stentor »

drake pisze:design twojej sieci nie wymaga zastosowania tego pudelka
no IPS/IDS nie mam - chcialem to zrobic na ISR.
moze cos a la antywir? chcialbym sie właśnie pobawić, zobaczyc co można skonfigurować pod kątem security. nikt mnie nie naciska ani w oczy nie kluje - chce sam dla siebie pobawić się.

w sumie ta ASA robila ostatnio jako HW vpn client.
Nobody's perfect...
...I'm nobody

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

#11

#11 Post autor: drake »

Jesli masz ISR ktory uciagnie funkcjonalnosc IPSa to zrobilbym takze na routerze (np. na 2811 rozbudowanym o RAM i flash) kompilacja sygnatur po restrcie trwa 30 min (w tym czasie CPU jedzie na 100%). Poza tym IPS jest na ISR osobno licencjonowany (do pobierania update-ow sygnatur).
Jesli jednak myslisz "powaznie" o IPS, to oczywiscie osobny dedykowany sensor bylby polecany, mala ASA 5505 ma iles tam (bodajze 30-60) sygnatur i nie stanowi czegos sensownego, wiec z tym tez nie zaszalejesz... dla niej ten wbudowany IPS to w zasadzie Add-on ;) Mozesz ewentualnie zastanowic sie nad wstawieniem duzego pudelka np. 5520 z modulem AIM-IPS, wowczas to juz inna gadka...

Pozdruffka ;)
Never stop exploring :)

https://iverion.de

stentor
wannabe
wannabe
Posty: 779
Rejestracja: 29 sty 2007, 17:58
Lokalizacja: lubuskie

#12

#12 Post autor: stentor »

mam ISR2811.
pamietam jak kiedyś na prezentacji cisco inzynier odpalil IPS i total zwiecha wszystkiego :P
pomogło odłączenie isr'a od prądu :)

czyli reasumując - niewiele zdziałam z moją ASA5505?
Nobody's perfect...
...I'm nobody

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

#13

#13 Post autor: drake »

stentor pisze:mam ISR2811.
pamietam jak kiedyś na prezentacji cisco inzynier odpalil IPS i total zwiecha wszystkiego :P
pomogło odłączenie isr'a od prądu :)
Coz, przy odpowiedniej konfiguracji nie ma prawa sie cos podobnego wydarzyc, no chyba ze ktos odpala IPS zanim zrobi retirement wszystkich sygnatur i odpali potrzebne (albo trafi na jakis konkretny Bug), ale nie wchodzmy w szczegoly. Generalnie 2811 udzwignie funkcjonalnosc IPSa ;)
stentor pisze:czyli reasumując - niewiele zdziałam z moją ASA5505?
pytanie retoryczne? ;)

Pozdruffka!
Never stop exploring :)

https://iverion.de

Awatar użytkownika
tomekp
wannabe
wannabe
Posty: 176
Rejestracja: 24 lut 2009, 17:11
Lokalizacja: Warsaw
Kontakt:

#14

#14 Post autor: tomekp »

IMHO robienie na 2811 IPS-a to jest sztuka dla sztuki :) a te 30minut kompilacji to tak optymistycznie liczone :) Jak testowalem to chyba to trwalo wiecej :) zdazylem wyskoczyc na obiad wypic kawe... itd. he he

Natomiast jak IPS to wywalic z 5510 tego SSM-10 i wpakowa IPS-a. Filtracje AV itp. mozna robic rownie dobrze i sensownie w innym miejscu za inna kase. Na ISR najlepiej zrobic wstepna filtracje tego co idzie na ASA bez jakiegos przeginania. Wtedy to co sie przebija tniesz na ASA i dodatkowo modulik robi IPS-a...

Co do mydelniczki (5505) to juz kwestia struktury sieci :) czyli jakas dodatkowa wydzielona filtracja o ile sie wyrobi w danym miejscu... Kombinowac mozna na rozne sposoby.

Odnosnie porownywania ASA do ISR to troche nie tak :) to ze ISR ma jakies bajery to nie znaczy ze wydajonosciowo jest tez tak ladnie jak na ASA :) Jak sie nie ma kasy to mozna upychac bajery na ISR z tym ze jak to powiedzialem bardziej sztuka dla sztuki aby cos miec na sile.

Choc jak masz no. dalej M$ to mozna i pobawic sie w rozwiazanie tupu ISR<--->ASA<--->M$ ISA ...

A co do wykupienia licencji to hmm sam sobie odpowiedz na to pytanie czy potzebujesz takiej funkcjonalnosci w tym miejscu gdzie jest ASA czy czegos innego, moze lepiej dokupic licencje na VPN SSL itp. ??? Ale to juz sam musisz zdecydowac.

ODPOWIEDZ