Cisco PIX

Cisco PIX ( Private Internet e Xchange ) был популярным устройством IP- брандмауэра и трансляции сетевых адресов (NAT) . Это был один из первых продуктов в этом сегменте рынка.

В 2005 году Cisco представила новое решение Cisco Adaptive Security Appliance ( Cisco ASA ), унаследовавшее многие функции PIX, а в 2008 году объявила о прекращении продаж PIX.

Технология PIX продавалась в виде блейд - модуля FireWall Services Module (FWSM) для коммутаторов Cisco Catalyst серии 6500 и маршрутизаторов серии 7600 , но ее поддержка была прекращена 26 сентября 2007 года ^{. [1]}

ПИКС

История

PIX был изначально задуман в начале 1994 года Джоном Мейесом из Редвуд-Сити, Калифорния, а разработан и закодирован Брэнтли Коилом из Афин, Джорджия. Название PIX происходит от цели его создателей создать функциональный эквивалент IP PBX для решения возникшей тогда нехватки зарегистрированных IP-адресов . В то время, когда NAT только исследовался как жизнеспособный подход, они хотели скрыть блок или блоки IP-адресов за одним или несколькими зарегистрированными IP-адресами, примерно так же, как это делают PBX для внутренних телефонных номеров. Когда они начинали, обсуждались RFC 1597 и RFC 1631, но теперь уже известный RFC 1918 еще не был представлен.

Проектирование и тестирование были выполнены в 1994 году Джоном Мейесом, Брэнтли Коилом и Джонсоном Ву из Network Translation, Inc., причем Брэнтли Коил был единственным разработчиком программного обеспечения. Бета-тестирование PIX с серийным номером 000000 было завершено, и первое принятие заказчиком состоялось 21 декабря 1994 года в KLA Instruments в Сан-Хосе, Калифорния. PIX быстро стал одним из ведущих корпоративных межсетевых экранов и был удостоен награды «Горячий продукт года» журнала Data Communications Magazine в январе 1995 года. ^[2]

Незадолго до того, как Cisco приобрела Network Translation в ноябре 1995 года, Мэйес и Коил наняли двух давних партнеров, Ричарда (Чипа) Хоуза и Пита Тенерейльо, а вскоре после приобретения еще двух давних партнеров, Джима Джордана и Тома Боханнона. Вместе они продолжили разработку Finesse OS и оригинальной версии Cisco PIX Firewall, теперь известной как PIX "Classic". В это время PIX делил большую часть своего кода с другим продуктом Cisco, LocalDirector .

28 января 2008 года Cisco объявила о датах окончания продаж и окончания срока службы всех устройств безопасности Cisco PIX Security Appliance, программного обеспечения, аксессуаров и лицензий. Последним днем ​​для покупки платформ и комплектов устройств безопасности Cisco PIX Security Appliance было 28 июля 2008 года. Последним днем ​​для покупки аксессуаров и лицензий было 27 января 2009 года. Cisco прекратила поддержку клиентов устройств безопасности Cisco PIX Security Appliance 29 июля 2013 года. ^{[3] [4]}

В мае 2005 года Cisco представила ASA, которая объединяет функциональность линеек продуктов PIX, VPN 3000 и IPS . Устройства серии ASA работают под управлением кода PIX 7.0 и более поздних версий. До версии PIX OS 7.x PIX и ASA используют одни и те же образы программного обеспечения. Начиная с версии PIX OS 8.x, код операционной системы расходится, при этом ASA использует ядро ​​Linux, а PIX продолжает использовать традиционную комбинацию Finesse/PIX OS. ^[5]

Программное обеспечение

PIX работает на специально написанной фирменной операционной системе, изначально называвшейся Finese ( Fast Internet Service Executive ), но с 2014 года ^[update]программное обеспечение известно просто как PIX OS. Хотя PIX классифицируется как межсетевой экран сетевого уровня с проверкой состояния , технически его точнее было бы назвать межсетевым экраном уровня 4 или транспортным межсетевым экраном, поскольку его доступ не ограничивается маршрутизацией сетевого уровня, а соединениями на основе сокетов (порт и IP-адрес: связь через порт происходит на уровне 4). По умолчанию он разрешает внутренние соединения (исходящий трафик) и разрешает только входящий трафик, который является ответом на допустимый запрос или разрешен списком управления доступом (ACL) или каналом . Администраторы могут настроить PIX для выполнения множества функций, включая трансляцию сетевых адресов (NAT) и трансляцию адресов портов (PAT), а также для работы в качестве конечного устройства виртуальной частной сети (VPN).

PIX стал первым коммерчески доступным продуктом брандмауэра, который ввел фильтрацию протоколов с введением команды "fixup". Возможность PIX "fixup" позволяет брандмауэру применять дополнительные политики безопасности к соединениям, идентифицированным как использующие определенные протоколы. Протоколы, для которых были разработаны особые поведения исправления, включают DNS и SMTP. DNS fixup изначально реализовал очень простую, но эффективную политику безопасности; он допускал только один ответ DNS от DNS-сервера в Интернете (известного как внешний интерфейс) на каждый запрос DNS от клиента на защищенном (известном как внутренний ) интерфейсе. "Inspect" заменил "fixup" в более поздних версиях PIX OS.

Cisco PIX также был одним из первых коммерчески доступных устройств безопасности, включавших в себя функциональность шлюза IPSec VPN.

Администраторы могут управлять PIX через интерфейс командной строки (CLI) или через графический пользовательский интерфейс (GUI). Они могут получить доступ к CLI из последовательной консоли, telnet и SSH . Администрирование GUI началось с версии 4.1 и прошло через несколько воплощений: ^{[6] [7] [8]}

• PIX Firewall Manager (PFM) для PIX OS версий 4.x и 5.x, который работает локально на клиенте Windows NT
• PIX Device Manager (PDM) для PIX OS версии 6.x, работающий по протоколу https и требующий Java
• Adaptive Security Device Manager (ASDM) для PIX OS версии 7 и выше, который может работать локально на клиенте или в режиме ограниченной функциональности по протоколу HTTPS.

Поскольку Cisco приобрела PIX у Network Translation, CLI изначально не соответствовал синтаксису Cisco IOS . Начиная с версии 7.0, конфигурация стала гораздо более похожей на IOS.

Аппаратное обеспечение

PIX 515 со снятой верхней крышкой

Оригинальные NTI PIX и PIX Classic имели корпуса, которые были получены от OEM- поставщика Appro. Все флэш-карты и ранние карты ускорения шифрования, PIX-PL и PIX-PL2, были получены от Productivity Enhancement Products (PEP). ^[9] Более поздние модели имели корпуса от OEM-производителей Cisco.

PIX был создан с использованием материнских плат на базе Intel /совместимых с Intel; PIX 501 использовал процессор Am5x86 , а все остальные автономные модели использовали процессоры от Intel 80486 до Pentium III.

PIX загружается с фирменной дочерней карты флэш-памяти ISA в случае NTI PIX, PIX Classic, 10000, 510, 520 и 535, а также с интегрированной флэш-памяти в случае PIX 501, 506/506e, 515/515e, 525 и WS-SVC-FWM-1-K9. Последнее является кодом части для технологии PIX, реализованной в модуле Fire Wall Services для маршрутизаторов Catalyst 6500 и 7600.

Адаптивное устройство безопасности (ASA)

Adaptive Security Appliance — сетевой брандмауэр , созданный Cisco. Он был представлен в 2005 году для замены линейки Cisco PIX. ^[10] Наряду с функциональностью брандмауэра с отслеживанием состояния, еще одним направлением ASA является функциональность виртуальной частной сети (VPN). Он также включает предотвращение вторжений и передачу голоса по IP. За серией ASA 5500 последовала серия 5500-X. Серия 5500-X больше фокусируется на виртуализации, чем на модулях безопасности аппаратного ускорения.

История

В 2005 году Cisco выпустила модели 5510, 5520 и 5540. ^[11]

Программное обеспечение

ASA продолжает использовать кодовую базу PIX, но когда программное обеспечение ASA OS перешло с основной версии 7.X на 8.X, оно перешло с платформы операционной системы Finesse/Pix OS на платформу операционной системы Linux . Оно также интегрирует функции системы предотвращения вторжений Cisco IPS 4200 и концентратора Cisco VPN 3000. ^[12]

Аппаратное обеспечение

ASA продолжает линейку PIX оборудования Intel 80x86.

Уязвимости безопасности

Продукт Cisco PIX VPN был взломан связанной с АНБ ^[13] группой Equation Group где-то до 2016 года. Equation Group разработала инструмент под кодовым названием BENIGNCERTAIN, который раскрывает предварительно предоставленные пароли злоумышленнику ( CVE - 2016-6415 ^[14] ). Позже Equation Group была взломана другой группой под названием The Shadow Brokers , которая опубликовала свой эксплойт публично, среди прочего. ^{[15] [16] [17] [18]} По данным Ars Technica , АНБ, вероятно, использовало эту уязвимость для прослушивания VPN-подключений более десяти лет, ссылаясь на утечки Сноудена . ^[19]

Бренд Cisco ASA также был взломан Equation Group. Уязвимость требует, чтобы злоумышленнику были доступны как SSH , так и SNMP . Кодовое имя, данное этому эксплойту АНБ, было EXTRABACON. Баг и эксплойт ( CVE - 2016-6366 ^[20] ) также были слиты The ShadowBrokers в той же партии эксплойтов и бэкдоров. По данным Ars Technica, эксплойт можно легко заставить работать против более современных версий Cisco ASA, чем те, с которыми может справиться слитый эксплойт. ^[21]

29 января 2018 года Седрик Халбронн из NCC Group раскрыл проблему безопасности в бренде Cisco ASA . Использование ошибки после освобождения в функциональности VPN Secure Sockets Layer (SSL) программного обеспечения Cisco Adaptive Security Appliance (ASA) может позволить неаутентифицированному удаленному злоумышленнику вызвать перезагрузку уязвимой системы или удаленно выполнить код. Ошибка обозначена как CVE - 2018-0101. ^{[22] [23] [24]}

Смотрите также

• Cisco LocalDirector

Ссылки

1. «Модули услуг Cisco — Поддержка — Cisco».
2. «История NTI и брандмауэра PIX Джона Мэйеса» (PDF) .
3. "Конец продажи продуктов Cisco PIX". Cisco. 2008-01-28 . Получено 2008-02-20 .
4. "Устройства безопасности Cisco PIX 500 Series - Уведомление о снятии с производства". Cisco. 2013-07-29 . Получено 2018-11-04 .
5. "Страница лицензий Cisco с открытым исходным кодом" . Получено 21 августа 2007 г.
6. "FAQs for Cisco PFM" . Получено 2007-06-19 .
7. "Документация по Cisco PDM" . Получено 2007-06-19 .
8. "Документация по Cisco ASDM". Архивировано из оригинала 2007-06-16 . Получено 2007-06-19 .
9. «Заметки о производстве PIX».^{[ постоянная мертвая ссылка ]}
10. Джозеф, Мунис; Макинтайр, Гэри; Аль-Фардан, Надхем (29 октября 2015 г.). Центр безопасности операций: создание, эксплуатация и обслуживание вашего SOC . Cisco Press. ISBN 978-0134052014.
11. Фрэнсис, Боб (9 мая 2005 г.). «Безопасность занимает центральное место в Interop». InfoWorld . 27 (19): 16.
12. "Архивная копия" (PDF) . Архивировано из оригинала (PDF) 2016-10-05 . Получено 2016-02-11 .{{cite web}}: CS1 maint: archived copy as title (link)
13. «Утечка АНБ реальна, документы Сноудена подтверждают». 19 августа 2016 г. Получено 19 августа 2016 г.
14. "Национальная запись базы данных уязвимостей для BENIGNCERTAIN". web.nvd.nist.gov .
15. "Исследователь извлекает пароль VPN с помощью инструмента из дампа АНБ". 19 августа 2016 г. Получено 19 августа 2016 г.
16. "Утечка информации об эксплойте Cisco PIX АНБ". www.theregister.co.uk .
17. «Имел ли АНБ возможность извлекать ключи VPN из межсетевых экранов Cisco PIX?». news.softpedia.com . 19 августа 2016 г.
18. «Уязвимости АНБ раскрывают «Mini-Heartbleed» для межсетевых экранов Cisco PIX». www.tomshardware.com . 19 августа 2016 г.
19. «Как АНБ шпионило за зашифрованным интернет-трафиком в течение десятилетия». 19 августа 2016 г. Получено 22 августа 2016 г.
20. "Национальная запись базы данных уязвимостей для EXTRABACON". web.nvd.nist.gov .
21. "Связанный с АНБ эксплойт Cisco представляет большую угрозу, чем считалось ранее". 23 августа 2016 г. Получено 24 августа 2016 г.
22. "Национальная запись базы данных уязвимостей - CVE-2018-0101". web.nvd.nist.gov .
23. «Совет — Уязвимость удаленного выполнения кода и отказа в обслуживании в устройстве адаптивной безопасности Cisco». tools.cisco.com .
24. "CVE-2018-0101 — Уязвимость в функциональности VPN Secure Sockets Layer (SSL) Cisco Adaptive Security A — CVE-Search". cve.circl.lu . 2023-08-15 . Получено 2023-09-05 .