CERCA
RSS Subscription
Sottoscrivi i nostri RSSper essere sempre
aggiornato sugli ultimi
articoli pubblicati nel sito!
Home Page |
Articoli | Articoli Network Security
Novità del nuovo software Cisco ASA Release 8.4
News inserita il 22/02/2011
Conosci quali sono le novità più importanti della nuova release del software Cisco Adaptive Security Algorithm (ASA) versione 8.4? Hai mai sentito parlare di strategia Cisco TrustSec per la parte di sicurezza perimetrale? Ti piacerebbe integrare il software Anyconnect 3 per proteggere la tua rete dall'utilizzo disparato di apparecchi mobili e per loro natura sempre più connessi quali smartphone e tablet?
Verso la fine di Gennaio 2011 Cisco Systems ha messo a disposizione, a 10 mesi dalla precedente, la major release 8.4 del suo software Adaptive Security Algorithm (ASA) per i firewall Cisco ASA serie 5500. Tale nuova versione fornisce nuove funzionalità agli apparati ed estende la strategia Cisco TrustSec per la parte di sicurezza perimetrale integrando il software Anyconnect 3, rilasciato solo pochi giorni prima.
Ma vediamo quali sono le innovazioni operative più interessanti che gli ingegneri di Cisco hanno deciso di inserire in questa nuova release. Vengono volutamente tralasciate quegli update poco significati od oscuri che risultano interessanti solo per gli addetti ai lavori.
Come prima cosa la versione 8.4 è necessaria per abilitare la nuova serie di prodotti ASA 5585-X, in tal modo questi firewall ad altissime prestazioni dedicati esclusivamente al mercato heavy data center e carrier di telecomunicazioni (scordateveli nel mercato italiano enterprise), possono entrare in produzione con un sistema operativo avanzato, non essendo supportati dalla precedente versione ASA 8.3.
Una seconda importante, e dire il vero inattesa, miglioria è quella relativa all’ether-channel in routed mode precedentemente testata e discussa nell'articolo Firewall Cisco ASA e Protocollo LACP.
Parallelamente alla parte di protocollo LACP è stata sviluppata la parte di bridge group pensata per quelle infrastrutture dotate di firewall con multiple context in transparent mode e questo ha portato ad una forte revisione della configurazione delle interfacce. In pratica è adesso possibile costruire un bridge-group (bvi) e associarlo a più interfacce sapendo che il traffico è completamente isolato. In questo modo è possibile ridurre il numero di context da configurare con aumento performance generali e riduzione costi di implementazione e gestione.
Un ulteriore interessante cambiamento è quello relativo alla possibilità di usufruire, da parte degli utenti remoti, del modulo pre-posture Host Scan senza essere costretti all’uso e alla installazione completa del Cisco Security Desktop. Questo si è sempre dimostrato piuttosto invasivo e per questo poco sfruttato se non in condizioni di security molto particolari. Il modulo Host Scan permette di verificare il dispositivo che tenta di accedere alla rete enterpise in VPN Remote Access e in base a parametri come il sistema operativo usato, la presenza di software Antivirus e chiavi di registro vengono selezionate policy in grado di rinforzare o bloccare l’accesso in modalità VPN.
L’innovazione più importante di ASA 8.4 è sicuramente quella legata all’integrazione con il software Anyconnect 3 che può essere finalmente usato nella sua interezza, ovvero con i suoi moduli opzionali, proprio aggiornanto i firewall all’ultima release. Anyconnect è ad oggi disponibile per le maggiori piattaforme di sistema operativo, Windows, Linux, Mac, ma per adesso è stata rilasciata una versione con i moduli aggiuntivi solo per la piattaforme Windows.
Il modulo VPN, base integrante in Anyconnect, fornisce con ASA 8.4 la possibilità di usare IPSec IKEv2, ovvero una piccola rivoluzione nel campo della crittografia applicata all’accesso VPN. In pratica è adesso possibile non solo unificare il client di utilizzo, lo stesso software Anyconnect per i protocolli SSL/TLS e IPSec IKEv2, ma anche immettere caratteristiche di sicurezza pre-posture e controllo come Host-Scan per connessioni IPSec, prima impossibile. Inoltre l’instaurazione della connessione IPSec IKEv2 utilizza fortemente i certificati digitali e non PSK risultando però semplificata nella configurazione e nella gestione, senza attingere alle licenze SSL, notoriamente costose e per questo poco amate dagli amministrato ridi rete senza in lotta con il budget.
Il modulo Network Access Module (NAM) è invece una soluzione che nulla ha a che vedere con le VPN di tipo Remote Access. Una volta installato dinamicamente è infatti in grado di sostituire i software per la gestione delle network wired/wireless all’interno dell’host e viene abilitato in automatico all’accesso dell’utente nel sistema. Molto comodo per eseguire sia un deployment rapido di reti pre-configurate che per una gestione centralizzata ed è in grado di integrarsi in modalità nativa con l‘infrastruttura Cisco TrustSec. In particolare si lega con ACS perché prende il posto del software Cisco Secure Sevices, almeno per la parte di autenticazione 802.1X.
Come tutti i prodotti innovativi, non sono però mancate difficoltà di configurazione e di utilizzo dovute sia alla relativa gioventù della versione che a particolari scelte implementative. In particolare l’impossibilità per il modulo NAM di creare network wifi di tipo WPA o WPA2 personal ci ha lasciato perplessi. Un’altra problematica da risolvere è la scelta di aggiornare i file xml di profilo durante la connessione VPN, ma di poterli usare solo alla ri-connessione successiva, oppure riavviando il computer se si tratta del profilo per il modulo NAM.
Verso la fine di Gennaio 2011 Cisco Systems ha messo a disposizione, a 10 mesi dalla precedente, la major release 8.4 del suo software Adaptive Security Algorithm (ASA) per i firewall Cisco ASA serie 5500. Tale nuova versione fornisce nuove funzionalità agli apparati ed estende la strategia Cisco TrustSec per la parte di sicurezza perimetrale integrando il software Anyconnect 3, rilasciato solo pochi giorni prima.
Quali le innovazioni più importanti?
È importante sottolineare che le novità importanti inserite in questa versione non sono moltissime ma altamente significative. Riteniamo che la cosa più importante sia la volontà di mantenere la via tracciata con la versione 8.3; questa infatti ha provocato una mezza rivoluzione tra i system integrator che trattano tecnologia firewall Cisco per la gestione completamente diversa di molti punti fondamentali (NAT, oggetti, ecc). La scelta di mantenere le impostazioni non può fare che piacere a chi ha speso molto tempo per l’aggiornamento di sistemi alla versione 8.3.Ma vediamo quali sono le innovazioni operative più interessanti che gli ingegneri di Cisco hanno deciso di inserire in questa nuova release. Vengono volutamente tralasciate quegli update poco significati od oscuri che risultano interessanti solo per gli addetti ai lavori.
Come prima cosa la versione 8.4 è necessaria per abilitare la nuova serie di prodotti ASA 5585-X, in tal modo questi firewall ad altissime prestazioni dedicati esclusivamente al mercato heavy data center e carrier di telecomunicazioni (scordateveli nel mercato italiano enterprise), possono entrare in produzione con un sistema operativo avanzato, non essendo supportati dalla precedente versione ASA 8.3.
Una seconda importante, e dire il vero inattesa, miglioria è quella relativa all’ether-channel in routed mode precedentemente testata e discussa nell'articolo Firewall Cisco ASA e Protocollo LACP.
Parallelamente alla parte di protocollo LACP è stata sviluppata la parte di bridge group pensata per quelle infrastrutture dotate di firewall con multiple context in transparent mode e questo ha portato ad una forte revisione della configurazione delle interfacce. In pratica è adesso possibile costruire un bridge-group (bvi) e associarlo a più interfacce sapendo che il traffico è completamente isolato. In questo modo è possibile ridurre il numero di context da configurare con aumento performance generali e riduzione costi di implementazione e gestione.
Un ulteriore interessante cambiamento è quello relativo alla possibilità di usufruire, da parte degli utenti remoti, del modulo pre-posture Host Scan senza essere costretti all’uso e alla installazione completa del Cisco Security Desktop. Questo si è sempre dimostrato piuttosto invasivo e per questo poco sfruttato se non in condizioni di security molto particolari. Il modulo Host Scan permette di verificare il dispositivo che tenta di accedere alla rete enterpise in VPN Remote Access e in base a parametri come il sistema operativo usato, la presenza di software Antivirus e chiavi di registro vengono selezionate policy in grado di rinforzare o bloccare l’accesso in modalità VPN.
Anyconnect 3
L’innovazione più importante di ASA 8.4 è sicuramente quella legata all’integrazione con il software Anyconnect 3 che può essere finalmente usato nella sua interezza, ovvero con i suoi moduli opzionali, proprio aggiornanto i firewall all’ultima release. Anyconnect è ad oggi disponibile per le maggiori piattaforme di sistema operativo, Windows, Linux, Mac, ma per adesso è stata rilasciata una versione con i moduli aggiuntivi solo per la piattaforme Windows.Il modulo VPN, base integrante in Anyconnect, fornisce con ASA 8.4 la possibilità di usare IPSec IKEv2, ovvero una piccola rivoluzione nel campo della crittografia applicata all’accesso VPN. In pratica è adesso possibile non solo unificare il client di utilizzo, lo stesso software Anyconnect per i protocolli SSL/TLS e IPSec IKEv2, ma anche immettere caratteristiche di sicurezza pre-posture e controllo come Host-Scan per connessioni IPSec, prima impossibile. Inoltre l’instaurazione della connessione IPSec IKEv2 utilizza fortemente i certificati digitali e non PSK risultando però semplificata nella configurazione e nella gestione, senza attingere alle licenze SSL, notoriamente costose e per questo poco amate dagli amministrato ridi rete senza in lotta con il budget.
Il modulo Network Access Module (NAM) è invece una soluzione che nulla ha a che vedere con le VPN di tipo Remote Access. Una volta installato dinamicamente è infatti in grado di sostituire i software per la gestione delle network wired/wireless all’interno dell’host e viene abilitato in automatico all’accesso dell’utente nel sistema. Molto comodo per eseguire sia un deployment rapido di reti pre-configurate che per una gestione centralizzata ed è in grado di integrarsi in modalità nativa con l‘infrastruttura Cisco TrustSec. In particolare si lega con ACS perché prende il posto del software Cisco Secure Sevices, almeno per la parte di autenticazione 802.1X.
Come tutti i prodotti innovativi, non sono però mancate difficoltà di configurazione e di utilizzo dovute sia alla relativa gioventù della versione che a particolari scelte implementative. In particolare l’impossibilità per il modulo NAM di creare network wifi di tipo WPA o WPA2 personal ci ha lasciato perplessi. Un’altra problematica da risolvere è la scelta di aggiornare i file xml di profilo durante la connessione VPN, ma di poterli usare solo alla ri-connessione successiva, oppure riavviando il computer se si tratta del profilo per il modulo NAM.
Articoli correlati
- Novità del nuovo software Cisco ASA Release 8.4
- Firewall Cisco ASA e Protocollo LACP
- I Moduli Cisco AnyConnect Secure Mobility Solution
- Cisco AnyConnect Secure Mobility Solution
- Cisco AnyConnect: sviluppo e prospettive
Studi futuri
Per adesso abbiamo valutato solo un parte delle potenzialità di Anyconnect 3 in collaborazione con ASA 8.4. I moduli opzionali aggiuntivi in grado di integrare il servizio on-the-cloud Scansafe, il web content filtering con Ironport WAS e in generale l’integrazione con Cisco TruscSec per autenticazione 802.1X e MacSec per cifratura del link verranno studiati nelle prossime approfonditamente presso nostri laboratori e non appena verranno raggiunti gli obbiettivi prepareremo gli articoli tecnici di illustrazione.ZANON Ing. Alberto
Chiamaci con Skype!
- Corsi e Certificazioni Linux - scopri il nuovo catalogo(13-07-11)
- Corsi di Alta Formazione Finanziati - Consegna domande entro le ore 13:00 del 4 Agosto 2011(04-07-11)
- Iscriviti al canale CNAPONLINE su YouTube(03-07-11)
- CNAPONLINE WebEx Enterprise Site(01-07-11)
- Certificazione Cisco CCENT superata brillantemente(22-06-11)
Segui cnaponline.com nei social:
