13-tajriba ishi Mavzu: ASA xavfsizlik texnologiyasini sozlash. Ishdan maqsad. ASA xavfsizlik texnologiyasini sozlash ko`nikmalarini hosil qilish. Qisqacha nazariy ma'lumotlar Cisco Systems - Frost & Sulivanning 2018 yildagi hisoboti bo’yicha olib borilgan tadqiqotlar asosida xavfsizlik devorlari bo'yicha jahon bozorida yetakchi hisoblanadi. Kompaniyaning eng mashhur xavfsizlik mahsuloti Cisco ASA hisoblanadi. Cisco ASA tarmoqlararo ekrani(firewall) PIX seriyasining davomchisi bo'lib, ular Cisconing birinchi xavfsizlik devorlari bo'lgan va kompaniyaning tarmoq qurilmalarining ushbu segmentida ustunligini ta'minlagan. Infografikada muhim voqealar xronologiyasi keltirilgan. Muhim voqealardan biri Cisco kompaniyasi, Snort - hujumlarni oldini olish tizimi(IPS) va AMP antivirusini ishlab chiquvchi SourceFire tashkilotini sotib olishi bo'ldi. Kompaniyaning texnologiyalari 5500-X mahsulot qatoriga kiritilgan va FirePower xizmatlari sifatida tanilgan. O'shandan beri qurilmalar himoya mexanizmlari ta’minlash va boshqarish bo’yicha qulayligi oshirilib kelinmoqda. Funksional xususiyatlar Cisco ASA - bu quyidagi texnologiyalarni birlashtirgan ko'p funksiyali xavfsizlik vositasi: • keyingi avlod xavfsizlik devori (NGFW); • dasturlarni donadorlik bilan kuzatish va boshqarish tizimi (Cisco AVC); • VPN tunnellarini qurish tizimi (site-to-site IPsec); • yangi avlod hujumlarni bartaraf etish tizimlari(NGIPS); • retrospektiv himoya xususiyatlariga ega rivojlangan zararli dasturlardan himoya qilish (AMP) • muhimlik darajasi va tasniflash algoritmlari asosida URL-filtrlash; • zaifliklarni boshqarish tizimi va SIEM. Cisco Adaptive Security Appliance (ASA) Moslashuvchan va ko’p-funksiyali xavfsizlik imkoniyatlarini qadrlaydigan korxonalar uchun Cisco o'zining ASA texnologiyasini yaratdi. Ammo bu shunchaki firewall emas, balki ko'p imkoniyatlarga ega vositadir. 13.1-rasm. Cisco Adaptive Security Appliance (ASA) Cisco ASA bu firewall imkoniyatlarini antivirus himoya tizimi, IPS va umuman virtual xususiy tarmoq taqdim etadigan barcha xususiyatlar birlashtiruvchisidir. ASAning asosiy ustunligi bu potensial tahdid tarmoq orqali tarqalish imkoniyatidan oldin tahdidni to'xtatishdir. Oldin keng tarqalgan bir necha soniya ichida barcha qurilmalarda ransomware paydo qiluvchi xavfli elektron pochta fayllariga qarshi kurashda bu eng maqbul tanlov hisoblanadi. Cisco ASA tahdidlarni faol ravishda qidirib topish va ularni to'xtatish orqali buni to'xtatadi. Bu barcha ma'lumotlar va aktivlarini himoya qiladigan kichik, o'rta va katta biznes tarmoqlar uchun qimmatli xavfsizlik vositasidir. Kompyuter tarmog'ida Cisco ASA 5500 - bu Cisco-ning 2005 yil may oyida taqdim etilgan tarmoq xavfsizligi qurilmasi bo'lib, u mashhur uchta Cisco mahsulotlarining jamlanmasi hisoblanadi, ular: Firewall va (NAT) funksiyalarini ta'minlovchi Cisco PIX. Ruxsatsiz kirishlarni oldini olish tizimlari (IPS) sifatida ishlaydigan Cisco IPS 4200 qurilmasi. Cisco VPN 3000 seriyali virtual xususiy tarmoqni (VPN) bilan ta'minlaydigan kontsentrator. Eng so'nggi Cisco ASA 5500 seriyasi Cisco PIX 500 “firewall”ining o'rnini egallaydi va uning imkoniyatlarini oshiradi va yanada faol xavfsizlik choralarini ta'minlaydi. Bu turli xil ma'lumotlar markazlari va tarmoqlarini eng kichigidan eng kattasiga va eng murakkabigacha himoya qilishga qaratilgan keng ko'lamli xavfsizlik moslamalaridir. Dunyo bo'ylab bir milliondan ortiq Cisco ASA qurilmalari tarqatilganligi kiberxavfsizlik sohasida uning yuksak o’rnini isbotlaydi. Ajoyib tarmoq xavfsizligi platformasi va “firewall”i yordamida oxirgi foydalanuvchilar har qanday qurilmadan, istalgan vaqtda va istalgan joyda maxfiy ma'lumotlar, hujjatlar va ma'lumotlarga tezkor, xavfsiz va samarali kirish imkoniyatiga ega bo’lishadi. ASA dasturi xavfsizlikni yanada oshirish uchun qo'shimcha xavfsizlik dasturlari to'plamiga ulanishi mumkin. Cisco ASA dasturiy ta'minoti bir qator funksiyalar va imkoniyatlarga ega. Masalan: IPS, VPN imkoniyatlarini taklif etadi; Yuqori samarali, ko'p saytli va ko'p tugunli klasterlash orqali tashkilotlarga imkoniyatlarni oshirishga va ish faoliyatini yaxshilashga yordam beradi; Yuqori bardoshli dasturlar uchun yuqori imkoniyatlarni taqdim etadi; Jismoniy va virtual qurilmalar o'rtasida hamkorlikni ta'minlaydi; Ham tarmoq, ham ma'lumotlar markazining o'ziga xos ehtiyojlarini qondiradi; Cisco TrustSec xavfsizlik guruhi teglari va identifikatsiyalashga asoslangan xavfsizlik devori texnologiyasi bilan kontekstni xabardor qilishni ta'minlaydi; Har bir kontekst asosida dinamik marshrutni va saytdan saytga VPN o’tishni osonlashtiradi. Cisco ASA dasturiy ta'minoti, shuningdek, “Suite B” kriptografik algoritmlari to'plamini o'z ichiga olgan yangi avlod shifrlash standartlarini qo'llab-quvvatlaydi. Shuningdek, u xalqaro darajadagi veb-tahdidlardan himoya qilish uchun “Cisco Cloud Web Security” yechimi bilan birlashadi. Cisco ASA Modellari Cisco ASA 5510 - masofadan turib ishlashni hisobga oladigan kichik va o'rta biznes korxonalar uchun mukammal model, bu iqtisodiy jihatdan xavfsiz yechim hamdir. Barcha xavfsizlik xizmatlarini onlayn boshqarish platformasi orqali boshqarish mumkin. Cisco 5510-da siz kutgan yuqori samarali firewall va tarmoq xavfsizligi yechimlari mavjud. Xavfsizlik xizmatlari moduli buzilishning oldini olish imkoniyatlarini to'liq boshqarish imkoniyatini beradi va mustahkam antivirus xizmatini bajaradi. Biznes kelajakda kengayishini inobatga olgan holda himoya qilish mexanizmlarini sinflarga ajratadi, shuning uchun Cisco ASA 5510 kompaniyaga kerak bo'lganda funksiyalarni kengaytirishga imkon beradi. Cisco ASA 5525-X - Cisco SecureX freymidan foydalangan holda, ushbu model xavfsizligi yanada murakkab tarmoqqa ega bo'lgan o'rta kompaniyalar uchun juda mos keladi. SecureX texnologiyasi Cisco taqdim etadigan xavfsizlik yechimlarining eng so'nggi versiyasidir. Ishni bajarish tartibi 1. Cisco packet tracer dasturi ishga tushiriladi. 2. Tajriba ishi uchun cisco 2960 kommutatori, 2911 marshruzatori, ASA0 5505 firewalli, server va kompyuterlar tanlanadi. 3. Quyida keltirilgan topologiya quriladi. 4. Qurilgan topologiya testlab ko`riladi. 13.2-rasm. Tadqiq qilinayotgan tarmoq topologiyasi. Qurilgan topologiyada quyidagi buyruqlar teriladi: ASA0 ga quyidagi buyruqlar ketma ketligi kiritiladi. ciscoasa>en ciscoasa#conf t ciscoasa(config)#interface vlan 1 ciscoasa(config-if)#no ip address ciscoasa(config-if)#ip address 192.168.100.1 255.255.255.0 ciscoasa(config-if)#exit ciscoasa(config)#dhcpd address 192.168.100.22-192.168.100.50 inside ciscoasa(config)#dhcpd dns 8.8.8.8 ciscoasa(config)#enable password salom ciscoasa(config)#username elshod password admin ciscoasa(config)#ssh 192.168.100.22 255.255.255.255 inside ciscoasa(config)#ssh timeout 1 ciscoasa(config)#aaa authentication ssh console LOCAL ciscoasa(config)#interface vlan 2 ciscoasa(config-if)# no ip address ciscoasa(config-if)#ip address 195.158.0.2 255.255.255.252 ciscoasa(config-if)#exit ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 195.158.0.1 ciscoasa(config)#object network NET ciscoasa(config-network-object)#subnet 192.168.100.0 255.255.255.0 ciscoasa(config-network-object)#nat (inside,outside) dynamic interface ciscoasa(config-network-object)#ex ciscoasa#conf t ciscoasa(config)#access-list NAT extended permit icmp any any ciscoasa(config)#access-group NAT in interface outside ROUTERga quyida buyruqlar ketma ketligi kiritiladi. continue with configuration dialog? [yes/no]: no Router>enable Router#conf t Router(config)#interface gigabitEthernet 0/0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#hostname IP IP(config)#interface gigabitEthernet 0/0 IP(config-if)#ip address 195.158.0.1 255.255.255.252 IP(config-if)#ex IP(config)#interface gigabitEthernet 0/1 IP(config-if)#no shutdown IP(config-if)#ip address 8.8.8.1 255.255.255.0 Router(config-if)#do wr Router(config-if)#exit 13.3-rasm Server ga IP manzil berish. 13.4-rasm. Hostning ASA firewall orqali avtomatik IP manzil olishi. 13.5-rasm. SSH protokoli yordamida firewallga masofaviy ulanish. 13.1-rasm. Qurilgan topologiyani testlab ko’rish. Topshiriq: Amaliy ish mavzusi bo'yicha hisobot tayyorlash. Hisobotning mazmuni: - ishning raqami va mavzusi; - Cisco PacketTracerda tadqiq qilinayotgan tarmoq topologiyasining tasviri; - tarmoqdagi IP-manzillarni taqsimlash, ulanish diagrammasi (interfeys raqamlari), shu jumladan modelning tavsifi; - foydalanuvchi nomlari va parollari; - tarmoq elementlarini sozlash ro'yxati; - tarmoq elementlariga kirishga urinishlar natijalari. Nazorat savollari: 1. FireWall nima? 2. ASA firewallining qanday imkoniyatlari mavjud? 3. Cisco ASA firewallining qanday turlari mavjud? 4. NGFW nima? 5. Cisco AVC nima? 6. NGIPS nima?