Cisco PIX - Cisco PIX

Cisco PIX ( P rivate I nternet e X zmiany) był popularnym IP firewall i tłumaczenie adresów sieciowych (NAT) urządzenie . Był to jeden z pierwszych produktów w tym segmencie rynku.

W 2005 roku firma Cisco wprowadziła nowsze urządzenie Cisco Adaptive Security Appliance ( Cisco ASA ), które odziedziczyło wiele funkcji PIX, aw 2008 roku ogłosiła koniec sprzedaży PIX.

Technologia PIX został sprzedany w ostrzu The Services Module FireWall (FWSM), dla Cisco Catalyst 6500 Seria przełączników i 7600 series Router , ale osiągnął koniec statusu wsparcia począwszy od 26 września 2007 r.

SZKATUŁKA

Historia

PIX został pierwotnie wymyślony na początku 1994 roku przez Johna Mayesa z Redwood City w Kalifornii, a zaprojektowany i zakodowany przez Brantleya Coile'a z Athens w stanie Georgia. Nazwa PIX wywodzi się z celu jego twórców, jakim było stworzenie funkcjonalnego odpowiednika IP PBX, aby rozwiązać pojawiający się wówczas brak zarejestrowanego adresu IP . W czasie, gdy NAT był dopiero badany jako realne podejście, chcieli ukryć blok lub bloki adresów IP za jednym lub wieloma zarejestrowanymi adresami IP, podobnie jak centrale PBX dla wewnętrznych numerów wewnętrznych. Na początku omawiano RFC 1597 i RFC 1631, ale znajomy już RFC 1918 nie został jeszcze przedłożony.

Projekt i testy zostały przeprowadzone w 1994 roku przez Johna Mayesa, Brantleya Coile i Johnsona Wu z Network Translation, Inc., przy czym Brantley Coile był jedynym twórcą oprogramowania. Zakończono testy beta PIX o numerze seryjnym 000000, a pierwsza akceptacja klienta miała miejsce 21 grudnia 1994 roku w KLA Instruments w San Jose w Kalifornii. PIX szybko stał się jednym z wiodących produktów zapory ogniowej dla przedsiębiorstw i otrzymał w styczniu 1995 r. nagrodę „Gorący produkt roku” magazynu Data Communications.

Krótko przed przejęciem przez Cisco Network Translation w listopadzie 1995 roku, Mayes i Coile zatrudnili dwóch długoletnich współpracowników, Richarda (Chip) Howesa i Pete'a Tenereillo, a wkrótce po przejęciu dwóch kolejnych długoletnich współpracowników, Jima Jordana i Toma Bohannona. Wspólnie kontynuowali prace nad systemem Finesse OS i oryginalną wersją Cisco PIX Firewall, obecnie znaną jako PIX „Classic”. W tym czasie PIX udostępnił większość swojego kodu innemu produktowi Cisco — LocalDirector .

28 stycznia 2008 r. firma Cisco ogłosiła daty zakończenia sprzedaży i wycofania z eksploatacji wszystkich urządzeń zabezpieczających Cisco PIX, oprogramowania, akcesoriów i licencji. Ostatnim dniem zakupu platform i pakietów Cisco PIX Security Appliance był 28 lipca 2008 r. Ostatnim dniem zakupu akcesoriów i licencji był 27 stycznia 2009 r. Cisco zakończył wsparcie dla klientów Cisco PIX Security Appliance 29 lipca 2013 r.

W maju 2005 roku Cisco wprowadziło ASA, która łączy w sobie funkcjonalność z linii produktów PIX, VPN 3000 i IPS . Urządzenia z serii ASA obsługują kod PIX 7.0 i nowsze. W wersji 7.x PIX OS PIX i ASA używają tych samych obrazów oprogramowania. Począwszy od PIX OS w wersji 8.x, kod systemu operacyjnego różni się, przy czym ASA używa jądra Linux, a PIX nadal używa tradycyjnej kombinacji Finesse/PIX OS.

Oprogramowanie

PIX działa na niestandardowym, autorskim systemie operacyjnym, pierwotnie nazwanym Finese ( Fast Internet Service Executive ), ale od 2014 r. oprogramowanie jest znane po prostu jako PIX OS. Choć sklasyfikowany jako zapora sieciowa z inspekcją stanową , technicznie PIX byłby bardziej precyzyjnie nazywany zaporą warstwy 4 lub zaporą warstwy transportu, ponieważ jego dostęp nie jest ograniczony do routingu warstwy sieci, ale połączeń opartych na gniazdach (port i Adres IP: komunikacja przez port odbywa się w warstwie 4). Domyślnie zezwala na połączenia wewnętrzne wychodzące (ruch wychodzący) i zezwala tylko na ruch przychodzący, który jest odpowiedzią na prawidłowe żądanie lub jest dozwolony przez listę kontroli dostępu (ACL) lub przez kanał . Administratorzy mogą skonfigurować PIX do wykonywania wielu funkcji, w tym translacji adresów sieciowych (NAT) i translacji adresów portów (PAT), a także służenia jako urządzenie końcowe wirtualnej sieci prywatnej (VPN).

PIX stał się pierwszym dostępnym na rynku produktem typu firewall, który wprowadził filtrowanie specyficzne dla protokołu za pomocą polecenia „fixup”. Funkcja „naprawiania” PIX umożliwia zaporze stosowanie dodatkowych zasad bezpieczeństwa do połączeń zidentyfikowanych jako korzystające z określonych protokołów. Protokoły, dla których opracowano określone zachowania naprawcze, obejmują DNS i SMTP. Naprawa DNS pierwotnie zaimplementowała bardzo prostą, ale skuteczną politykę bezpieczeństwa; umożliwiał tylko jedną odpowiedź DNS z serwera DNS w Internecie (znanego jako interfejs zewnętrzny ) na każde żądanie DNS od klienta na chronionym (znanym jako wewnętrzny ) interfejsie. „Inspect” zastąpiło „fixup” w późniejszych wersjach PIX OS.

Cisco PIX był również jednym z pierwszych dostępnych na rynku urządzeń zabezpieczających, które zawierały funkcję bramy IPSec VPN.

Administratorzy mogą zarządzać PIX za pomocą interfejsu wiersza poleceń (CLI) lub graficznego interfejsu użytkownika (GUI). Mogą uzyskać dostęp do CLI z konsoli szeregowej, telnetu i SSH . Administracja GUI powstała w wersji 4.1 i przeszła przez kilka wcieleń:

  • PIX Firewall Manager (PFM) dla PIX OS w wersji 4.x i 5.x, który działa lokalnie na kliencie Windows NT
  • PIX Device Manager (PDM) dla PIX OS w wersji 6.x, który działa przez https i wymaga Java
  • Adaptive Security Device Manager (ASDM) dla systemu PIX OS w wersji 7 i nowszych, który może działać lokalnie na kliencie lub w trybie zmniejszonej funkcjonalności za pośrednictwem protokołu HTTPS.

Ponieważ firma Cisco nabyła PIX od Network Translation, interfejs CLI pierwotnie nie był zgodny ze składnią Cisco IOS . Począwszy od wersji 7.0 konfiguracja stała się znacznie bardziej podobna do IOS.

Sprzęt komputerowy

PIX 515 ze zdjętą górną pokrywą

Oryginalne NTI PIX i PIX Classic miały obudowy pochodzące od dostawcy OEM Appro. Wszystkie karty flash i wczesne karty akceleracji szyfrowania, PIX-PL i PIX-PL2, pochodziły z Productivity Enhancement Products (PEP). Późniejsze modele miały obudowy od producentów OEM firmy Cisco.

PIX został skonstruowany przy użyciu płyt głównych z procesorami Intel /kompatybilnymi z Intelem; PIX 501 używał procesora AMD 5x86, a wszystkie inne samodzielne modele wykorzystywały procesory Intel 80486 do Pentium III.

Pix buty off zastrzeżonej ISA pamięci flash Daughtercard w przypadku NTI pix, PIX Classic, 10000, 510, 520, i 535, i to buty off zintegrowanej pamięci flash w przypadku PIX 501, 506 / 506E, 515 /515e, 525 i WS-SVC-FWM-1-K9. Ten ostatni to kod części dla technologii PIX zaimplementowanej w module Fire Wall Services dla routera Catalyst 6500 i 7600.


Adaptacyjne urządzenie zabezpieczające (ASA)

Adaptacyjne Security Appliance jest siecią zapora wykonana przez Cisco. Został wprowadzony w 2005 roku, aby zastąpić linię Cisco PIX. Oprócz funkcjonalności zapory stanowej, kolejnym celem ASA jest funkcjonalność wirtualnej sieci prywatnej (VPN). Posiada również funkcję zapobiegania włamaniom i Voice over IP. Po serii ASA 5500 pojawiła się seria 5500-X. Seria 5500-X skupia się bardziej na wirtualizacji niż na modułach bezpieczeństwa z akceleracją sprzętową.

Historia

W 2005 roku Cisco wypuściło modele 5510, 5520 i 5540.

Oprogramowanie

ASA nadal korzysta z bazy kodu PIX, ale gdy oprogramowanie ASA OS przeszło z głównej wersji 7.X na 8.X, przeszło z platformy systemu operacyjnego Finesse/Pix OS na platformę systemu operacyjnego Linux . Integruje również funkcje systemu zapobiegania włamaniom Cisco IPS 4200 oraz koncentratora Cisco VPN 3000.

Sprzęt komputerowy

ASA kontynuuje linię PIX sprzętu Intel 80x86.

Luki w zabezpieczeniach

Produkt Cisco PIX VPN został zhakowany przez grupę Equation Group powiązaną z NSA gdzieś przed 2016 r. Equation Group opracowało narzędzie o nazwie kodowej BENIGNCERTAIN, które ujawnia atakującemu wstępnie udostępnione hasła ( CVE - 2016-6415 ). Grupa Equation została później zhakowana przez inną grupę o nazwie The Shadow Brokers , która publicznie opublikowała m.in. swój exploit . Według Ars Technica , NSA prawdopodobnie wykorzystywała tę lukę do podsłuchiwania połączeń VPN przez ponad dekadę, powołując się na przecieki Snowdena .

Cisco ASA Brand również hacked równaniem Group. Luka wymaga, aby atakujący miał dostęp zarówno do protokołu SSH, jak i SNMP . Kryptonim nadany temu exploitowi przez NSA to EXTRABACON. Błąd i exploit ( CVE - 2016-6366 ) zostały również ujawnione przez The ShadowBrokers, w tej samej partii exploitów i backdoorów. Według Ars Technica, exploita można łatwo wykorzystać do współpracy z nowszymi wersjami Cisco ASA, niż może obsłużyć wyciekający exploit.

29 stycznia 2018 r. problem bezpieczeństwa w marce Cisco ASA ujawnił Cedric Halbronn z NCC Group. Używania po zwolnieniu -bug w Secure Sockets Layer (SSL) VPN Funkcjonalność (ASA) Oprogramowanie Cisco Security Appliance adaptacyjny może umożliwić uwierzytelnionej osobie atakującej zdalnie powoduje przeładowanie systemu dotkniętego lub zdalne wykonanie kodu. Błąd jest wymieniony jako CVE - 2018-0101 .

Zobacz też


Bibliografia