Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Cisco PIX ( P rivate я это интернет е X изменить) был популярным IP брандмауэра и трансляции сетевых адресов (NAT) прибор . Это был один из первых продуктов в этом сегменте рынка.

В 2005 году Cisco представила новое устройство Cisco Adaptive Security Appliance (Cisco ASA), унаследовавшее многие функции PIX, а в 2008 году объявила о прекращении продаж PIX.

Технология PIX продавалась в виде блейд - модуля , FireWall Services Module (FWSM), для серии коммутаторов Cisco Catalyst 6500 и серии 7600 Router , но по состоянию на 26 сентября 2007 г. ее поддержка прекратилась. [1]

PIX [ править ]

История [ править ]

Первоначально PIX был задуман в начале 1994 года Джоном Мэйсом из Редвуд-Сити, штат Калифорния, а также разработан и написан Брантли Койлом из Афин, Джорджия. Название PIX является производным от цели его создателей по созданию функционального эквивалента IP PBX для решения возникающей в то время нехватки зарегистрированных IP-адресов . В то время, когда NAT только рассматривался как жизнеспособный подход, они хотели скрыть блок или блоки IP-адресов за одним или несколькими зарегистрированными IP-адресами, как это делают УАТС для внутренних телефонных номеров. Когда они начали, RFC 1597 и RFC 1631 обсуждались, но уже знакомый RFC 1918 еще не был представлен.

Дизайн и тестирование были выполнены в 1994 году Джоном Мэйсом, Брантли Койлом и Джонсоном Ву из Network Translation, Inc., при этом Брантли Коайл был единственным разработчиком программного обеспечения. Бета-тестирование PIX с серийным номером 000000 было завершено, и первая приемка заказчиком состоялась 21 декабря 1994 года в KLA Instruments в Сан-Хосе, Калифорния. PIX быстро стал одним из ведущих корпоративных межсетевых экранов и был удостоен награды журнала Data Communications Magazine «Горячий продукт года» в январе 1995 года [2].

Незадолго до того, как Cisco приобрела Network Translation в ноябре 1995 года, Мэйс и Койл наняли двух давних партнеров, Ричарда (Чипа) Хоуза и Пита Тенерилло, а вскоре после приобретения еще двух давних партнеров, Джима Джордана и Тома Боханнона. Вместе они продолжили разработку Finesse OS и исходной версии межсетевого экрана Cisco PIX Firewall, теперь известной как PIX «Classic». За это время PIX поделился большей частью своего кода с другим продуктом Cisco, LocalDirector .

28 января 2008 г. Cisco объявила даты окончания продаж и срока службы всех устройств безопасности Cisco PIX, программного обеспечения, аксессуаров и лицензий. Последний день для покупки платформ и пакетов Cisco PIX Security Appliance был 28 июля 2008 г. Последний день для покупки аксессуаров и лицензий был 27 января 2009 г. Cisco прекратила поддержку клиентов Cisco PIX Security Appliance 29 июля 2013 г. [3] [4]

В мае 2005 года Cisco представила ASA, который сочетает в себе функциональность продуктов серии PIX, VPN 3000 и IPS . Устройства серии ASA работают с кодом PIX 7.0 и новее. В версии 7.x ОС PIX PIX и ASA используют одни и те же образы программного обеспечения. Начиная с версии 8.x ОС PIX, код операционной системы расходится: ASA использует ядро ​​Linux, а PIX продолжает использовать традиционную комбинацию ОС Finesse / PIX. [5]

Программное обеспечение [ править ]

PIX запускает специально написанную проприетарную операционную систему, первоначально называвшуюся Finese ( Fast Internet Service Executive ), но с 2014 года программное обеспечение известно просто как PIX OS. Хотя он классифицируется как межсетевой экран сетевого уровня с проверкой состояния , технически PIX более точно будет называться межсетевым экраном уровня 4 или транспортного уровня, поскольку его доступ не ограничивается маршрутизацией сетевого уровня, а только соединениями на основе сокетов (порт и IP-адрес: обмен данными через порт осуществляется на уровне 4). По умолчанию он разрешает внутренние соединения (исходящий трафик) и разрешает только входящий трафик, который является ответом на действительный запрос или разрешен списком управления доступом (ACL) или каналом.. Администраторы могут настроить PIX для выполнения многих функций, включая преобразование сетевых адресов (NAT) и преобразование адресов портов (PAT), а также работу в качестве оконечного устройства виртуальной частной сети (VPN).

PIX стал первым коммерчески доступным межсетевым экраном, в котором реализована фильтрация по протоколу с введением команды «fixup». Возможность «исправления» PIX позволяет межсетевому экрану применять дополнительные политики безопасности к соединениям, идентифицированным как использующие определенные протоколы. Протоколы, для которых были разработаны конкретные способы исправления, включают DNS и SMTP. Исправление DNS изначально реализовало очень простую, но эффективную политику безопасности; он разрешал только один ответ DNS от DNS-сервера в Интернете (известный как внешний интерфейс) на каждый запрос DNS от клиента на защищенном (известном как внутренний ) интерфейсе. «Inspect» заменил «fixup» в более поздних версиях PIX OS.

Cisco PIX также был одним из первых коммерчески доступных устройств безопасности, в которых были реализованы функции шлюза IPSec VPN.

Администраторы могут управлять PIX через интерфейс командной строки (CLI) или через графический интерфейс пользователя (GUI). Они могут получить доступ к CLI из последовательной консоли, telnet и SSH . Администрирование графического интерфейса пользователя началось с версии 4.1 и претерпело несколько воплощений: [6] [7] [8]

  • PIX Firewall Manager (PFM) для PIX OS версий 4.x и 5.x, который запускается локально на клиенте Windows NT
  • PIX Device Manager (PDM) для PIX OS версии 6.x, которая работает через https и требует Java
  • Диспетчер устройств адаптивной безопасности (ASDM) для ОС PIX версии 7 и выше, который может работать локально на клиенте или в режиме ограниченной функциональности по протоколу HTTPS.

Поскольку Cisco приобрела PIX из Network Translation, интерфейс командной строки изначально не соответствовал синтаксису Cisco IOS . Начиная с версии 7.0, конфигурация стала более похожей на IOS.

Оборудование [ править ]

PIX 515 со снятой верхней крышкой

У оригинальных NTI PIX и PIX Classic корпуса были поставлены OEM-поставщиком Appro. Все флэш-карты и первые карты ускорения шифрования, PIX-PL и PIX-PL2, были получены от продуктов повышения производительности (PEP). [9] В более поздних моделях были корпуса от OEM-производителей Cisco.

PIX был построен на базе Intel / Intel-совместимых материнских плат; PIX 501 использовал процессор AMD 5x86, а все другие автономные модели использовали процессоры Intel 80486 - Pentium III.

PIX загружается с проприетарной дочерней карты флэш-памяти ISA в случае NTI PIX, PIX Classic, 10000, 510, 520 и 535, и он загружается со встроенной флэш-памяти в случае PIX 501, 506 / 506e, 515 / 515e, 525 и WS-SVC-FWM-1-K9. Последний является кодом детали для технологии PIX, реализованной в модуле Fire Wall Services для Catalyst 6500 и 7600 Router.


Устройство адаптивной защиты (ASA) [ править ]

Adaptive Security Appliance представляет собой сеть брандмауэра сделаны Cisco. Он был представлен в 2005 году для замены линейки Cisco PIX. [10] Наряду с функциональностью межсетевого экрана с отслеживанием состояния еще одним направлением ASA является функциональность виртуальной частной сети (VPN). Он также поддерживает предотвращение вторжений и передачу голоса по IP. За серией ASA 5500 последовала серия 5500-X. Серия 5500-X больше ориентирована на виртуализацию, чем на модули безопасности с аппаратным ускорением.

История [ править ]

В 2005 году Cisco выпустила модели 5510, 5520 и 5540. [11]

Программное обеспечение [ править ]

ASA продолжает использовать кодовую базу PIX, но, когда программное обеспечение ОС ASA перешло с основной версии 7.X на 8.X, оно перешло с платформы операционной системы Finesse / Pix OS на платформу операционной системы Linux . Он также объединяет функции системы предотвращения вторжений Cisco IPS 4200 и концентратор Cisco VPN 3000. [12]

Оборудование [ править ]

ASA продолжает линейку оборудования Intel 80x86 PIX.

Уязвимости безопасности [ править ]

Продукт Cisco PIX VPN был взломан группой Equation Group, связанной с АНБ [13], где-то до 2016 года. Equation Group разработала инструмент под кодовым названием BENIGNCERTAIN, который раскрывает заранее предоставленные пароли злоумышленникам ( CVE - 2016-6415). [14] ). Позже Equation Group была взломана другой группой под названием The Shadow Brokers , которая , среди прочего, публично опубликовала свой эксплойт . [15] [16] [17] [18] Согласно Ars Technica , АНБ, вероятно, использовало эту уязвимость для прослушивания VPN-соединений более десяти лет, ссылаясь на Сноуден.утечки. [19]

Cisco ASA -Бренд был также взломан Equation группы. Уязвимость требует, чтобы злоумышленнику были доступны как SSH, так и SNMP . АНБ присвоило этому эксплойту кодовое имя EXTRABACON. Ошибка и эксплойт ( CVE - 2016-6366 [20] ) также были пропущены ShadowBrokers в том же пакете эксплойтов и бэкдоров. Согласно Ars Technica, эксплойт можно легко заставить работать против более современных версий Cisco ASA, чем те, с которыми может справиться просочившийся эксплойт. [21]

29 января 2018 г. о проблеме безопасности бренда Cisco ASA сообщил Седрик Халбронн из NCC Group. Использования после -bug в Secure Sockets Layer (SSL) VPN функциональность (ASA) Программное обеспечение Cisco Adaptive Security Appliance может позволить удаленному злоумышленнику вызвать перезагрузку пораженной системы или удаленно выполнить код. Ошибка обозначена как CVE - 2018-0101 . [22] [23] [24]

См. Также [ править ]

  • Cisco LocalDirector


Ссылки [ править ]

  1. ^ http://www.cisco.com/c/en/us/support/interfaces-modules/catalyst-6500-series-firewall-services-module/model.html
  2. ^ "История NTI и брандмауэра PIX Джона Мэйеса" (PDF) .
  3. ^ «Окончание продаж продуктов Cisco PIX» . Cisco. 2008-01-28 . Проверено 20 февраля 2008 .
  4. ^ «Устройства безопасности Cisco PIX серии 500 - Уведомление о выходе из эксплуатации» . Cisco. 2013-07-29 . Проверено 4 ноября 2018 .
  5. ^ «Страница лицензии Cisco с открытым исходным кодом» . Проверено 21 августа 2007 .
  6. ^ «Часто задаваемые вопросы по Cisco PFM» . Проверено 19 июня 2007 .
  7. ^ «Документация по Cisco PDM» . Проверено 19 июня 2007 .
  8. ^ «Документация по Cisco ASDM» . Архивировано из оригинала на 2007-06-16 . Проверено 19 июня 2007 .
  9. ^ «Заметки о производстве PIX» .[ постоянная мертвая ссылка ]
  10. ^ Джозеф, Мунис; Макинтайр, Гэри; Аль-Фардан, Надхем (29 октября 2015 г.). Центр управления безопасностью: построение, эксплуатация и обслуживание вашего SOC . Cisco Press. ISBN 978-0134052014.
  11. Фрэнсис, Боб (9 мая 2005 г.). «Безопасность занимает центральное место в Interop». InfoWorld . 27 (19): 16.
  12. ^ http://www.ingrammicro.de/pdf/6778857.pdf
  13. ^ "Утечка АНБ реальна, документы Сноудена подтверждают" . Проверено 19 августа 2016 .
  14. ^ "Национальная запись базы данных уязвимостей для BENIGNCERTAIN" . web.nvd.nist.gov .
  15. ^ «Исследователь захватывает пароль VPN с помощью инструмента из дампа АНБ» . Проверено 19 августа 2016 .
  16. ^ "Утечки эксплойта Cisco PIX NSA" . www.theregister.co.uk .
  17. ^ «Имело ли АНБ возможность извлекать ключи VPN из межсетевых экранов Cisco PIX?» . news.softpedia.com .
  18. ^ "Уязвимости NSA обнаруживает 'Mini-Heartbleed' для межсетевых экранов Cisco PIX" . www.tomshardware.com .
  19. ^ «Как АНБ отслеживало зашифрованный интернет-трафик в течение десятилетия» . Проверено 22 августа 2016 .
  20. ^ "Национальная запись базы данных уязвимостей для EXTRABACON" . web.nvd.nist.gov .
  21. ^ «Связанный с АНБ эксплойт Cisco представляет большую угрозу, чем считалось ранее» . Проверено 24 августа 2016 .
  22. ^ "Национальная запись базы данных уязвимостей - CVE-2018-0101" . web.nvd.nist.gov .
  23. ^ «Консультации - Удаленное выполнение кода устройства адаптивной безопасности Cisco и уязвимость, связанная с отказом в обслуживании» . tools.cisco.com .
  24. ^ "CVE-2018-0101" .