13-tajriba ishi
Mavzu: ASA xavfsizlik texnologiyasini sozlash.
Ishdan maqsad. ASA xavfsizlik texnologiyasini sozlash ko`nikmalarini hosil
qilish.
Qisqacha nazariy ma'lumotlar
Cisco Systems - Frost & Sulivanning 2018 yildagi hisoboti bo’yicha olib
borilgan tadqiqotlar asosida xavfsizlik devorlari bo'yicha jahon bozorida yetakchi
hisoblanadi. Kompaniyaning eng mashhur xavfsizlik mahsuloti Cisco ASA
hisoblanadi.
Cisco ASA tarmoqlararo ekrani(firewall) PIX seriyasining davomchisi bo'lib,
ular Cisconing birinchi xavfsizlik devorlari bo'lgan va kompaniyaning tarmoq
qurilmalarining ushbu segmentida ustunligini ta'minlagan. Infografikada muhim
voqealar xronologiyasi keltirilgan.
Muhim voqealardan biri Cisco kompaniyasi, Snort - hujumlarni oldini olish
tizimi(IPS) va AMP antivirusini ishlab chiquvchi SourceFire tashkilotini sotib
olishi bo'ldi. Kompaniyaning texnologiyalari 5500-X mahsulot qatoriga kiritilgan
va FirePower xizmatlari sifatida tanilgan. O'shandan beri qurilmalar himoya
mexanizmlari ta’minlash va boshqarish bo’yicha qulayligi oshirilib kelinmoqda.
Funksional xususiyatlar
Cisco ASA - bu quyidagi texnologiyalarni birlashtirgan ko'p funksiyali
xavfsizlik vositasi:
• keyingi avlod xavfsizlik devori (NGFW);
• dasturlarni donadorlik bilan kuzatish va boshqarish tizimi (Cisco AVC);
• VPN tunnellarini qurish tizimi (site-to-site IPsec);
• yangi avlod hujumlarni bartaraf etish tizimlari(NGIPS);
• retrospektiv himoya xususiyatlariga ega rivojlangan zararli dasturlardan
himoya qilish (AMP)
• muhimlik darajasi va tasniflash algoritmlari asosida URL-filtrlash;
• zaifliklarni boshqarish tizimi va SIEM.
Cisco Adaptive Security Appliance (ASA)
Moslashuvchan va ko’p-funksiyali xavfsizlik imkoniyatlarini qadrlaydigan
korxonalar uchun Cisco o'zining ASA texnologiyasini yaratdi. Ammo bu
shunchaki firewall emas, balki ko'p imkoniyatlarga ega vositadir.
13.1-rasm. Cisco Adaptive Security Appliance (ASA)
Cisco ASA bu firewall imkoniyatlarini antivirus himoya tizimi, IPS va umuman
virtual xususiy tarmoq taqdim etadigan barcha xususiyatlar birlashtiruvchisidir.
ASAning asosiy ustunligi bu potensial tahdid tarmoq orqali tarqalish
imkoniyatidan oldin tahdidni to'xtatishdir. Oldin keng tarqalgan bir necha soniya
ichida barcha qurilmalarda ransomware paydo qiluvchi xavfli elektron pochta
fayllariga qarshi kurashda bu eng maqbul tanlov hisoblanadi. Cisco ASA
tahdidlarni faol ravishda qidirib topish va ularni to'xtatish orqali buni to'xtatadi. Bu
barcha ma'lumotlar va aktivlarini himoya qiladigan kichik, o'rta va katta biznes
tarmoqlar uchun qimmatli xavfsizlik vositasidir.
Kompyuter tarmog'ida Cisco ASA 5500 - bu Cisco-ning 2005 yil may oyida
taqdim etilgan tarmoq xavfsizligi qurilmasi bo'lib, u mashhur uchta Cisco
mahsulotlarining jamlanmasi hisoblanadi, ular:
 Firewall va (NAT) funksiyalarini ta'minlovchi Cisco PIX.
 Ruxsatsiz kirishlarni oldini olish tizimlari (IPS) sifatida ishlaydigan
Cisco IPS 4200 qurilmasi.
 Cisco VPN 3000 seriyali virtual xususiy tarmoqni (VPN) bilan
ta'minlaydigan kontsentrator.
Eng so'nggi Cisco ASA 5500 seriyasi Cisco PIX 500 “firewall”ining o'rnini
egallaydi va uning imkoniyatlarini oshiradi va yanada faol xavfsizlik choralarini
ta'minlaydi. Bu turli xil ma'lumotlar markazlari va tarmoqlarini eng kichigidan eng
kattasiga va eng murakkabigacha himoya qilishga qaratilgan keng ko'lamli
xavfsizlik moslamalaridir.
Dunyo bo'ylab bir milliondan ortiq Cisco ASA qurilmalari tarqatilganligi
kiberxavfsizlik sohasida uning yuksak o’rnini isbotlaydi. Ajoyib tarmoq xavfsizligi
platformasi va “firewall”i yordamida oxirgi foydalanuvchilar har qanday
qurilmadan, istalgan vaqtda va istalgan joyda maxfiy ma'lumotlar, hujjatlar va
ma'lumotlarga tezkor, xavfsiz va samarali kirish imkoniyatiga ega bo’lishadi.
ASA dasturi xavfsizlikni yanada oshirish uchun qo'shimcha xavfsizlik dasturlari
to'plamiga ulanishi mumkin. Cisco ASA dasturiy ta'minoti bir qator funksiyalar va
imkoniyatlarga ega. Masalan:

IPS, VPN imkoniyatlarini taklif etadi;

Yuqori samarali, ko'p saytli va ko'p tugunli klasterlash orqali tashkilotlarga
imkoniyatlarni oshirishga va ish faoliyatini yaxshilashga yordam beradi;

Yuqori bardoshli dasturlar uchun yuqori imkoniyatlarni taqdim etadi;

Jismoniy va virtual qurilmalar o'rtasida hamkorlikni ta'minlaydi;

Ham tarmoq, ham ma'lumotlar markazining o'ziga xos ehtiyojlarini
qondiradi;

Cisco TrustSec xavfsizlik guruhi teglari va identifikatsiyalashga asoslangan
xavfsizlik
devori
texnologiyasi
bilan
kontekstni
xabardor
qilishni
ta'minlaydi;

Har bir kontekst asosida dinamik marshrutni va saytdan saytga VPN o’tishni
osonlashtiradi.
Cisco ASA dasturiy ta'minoti, shuningdek, “Suite B” kriptografik algoritmlari
to'plamini o'z ichiga olgan yangi avlod shifrlash standartlarini qo'llab-quvvatlaydi.
Shuningdek, u xalqaro darajadagi veb-tahdidlardan himoya qilish uchun “Cisco
Cloud Web Security” yechimi bilan birlashadi.
Cisco ASA Modellari
Cisco ASA 5510 - masofadan turib ishlashni hisobga oladigan kichik va o'rta
biznes korxonalar uchun mukammal model, bu iqtisodiy jihatdan xavfsiz yechim
hamdir. Barcha xavfsizlik xizmatlarini onlayn boshqarish platformasi orqali
boshqarish mumkin. Cisco 5510-da siz kutgan yuqori samarali firewall va tarmoq
xavfsizligi yechimlari mavjud. Xavfsizlik xizmatlari moduli buzilishning oldini
olish imkoniyatlarini to'liq boshqarish imkoniyatini beradi va mustahkam antivirus
xizmatini bajaradi. Biznes kelajakda kengayishini inobatga olgan holda himoya
qilish mexanizmlarini sinflarga ajratadi, shuning uchun Cisco ASA 5510
kompaniyaga kerak bo'lganda funksiyalarni kengaytirishga imkon beradi.
Cisco ASA 5525-X - Cisco SecureX freymidan foydalangan holda, ushbu
model xavfsizligi yanada murakkab tarmoqqa ega bo'lgan o'rta kompaniyalar
uchun juda mos keladi. SecureX texnologiyasi Cisco taqdim etadigan xavfsizlik
yechimlarining eng so'nggi versiyasidir.
Ishni bajarish tartibi
1.
Cisco packet tracer dasturi ishga tushiriladi.
2.
Tajriba ishi uchun cisco 2960 kommutatori, 2911 marshruzatori, ASA0 5505
firewalli, server va kompyuterlar tanlanadi.
3.
Quyida keltirilgan topologiya quriladi.
4.
Qurilgan topologiya testlab ko`riladi.
13.2-rasm. Tadqiq qilinayotgan tarmoq topologiyasi.
Qurilgan topologiyada quyidagi buyruqlar teriladi:
ASA0 ga quyidagi buyruqlar ketma ketligi kiritiladi.
ciscoasa>en
ciscoasa#conf t
ciscoasa(config)#interface vlan 1
ciscoasa(config-if)#no ip address
ciscoasa(config-if)#ip address 192.168.100.1 255.255.255.0
ciscoasa(config-if)#exit
ciscoasa(config)#dhcpd address 192.168.100.22-192.168.100.50 inside
ciscoasa(config)#dhcpd dns 8.8.8.8
ciscoasa(config)#enable password salom
ciscoasa(config)#username elshod password admin
ciscoasa(config)#ssh 192.168.100.22 255.255.255.255 inside
ciscoasa(config)#ssh timeout 1
ciscoasa(config)#aaa authentication ssh console LOCAL
ciscoasa(config)#interface vlan 2
ciscoasa(config-if)# no ip address
ciscoasa(config-if)#ip address 195.158.0.2 255.255.255.252
ciscoasa(config-if)#exit
ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 195.158.0.1
ciscoasa(config)#object network NET
ciscoasa(config-network-object)#subnet 192.168.100.0 255.255.255.0
ciscoasa(config-network-object)#nat (inside,outside) dynamic interface
ciscoasa(config-network-object)#ex
ciscoasa#conf t
ciscoasa(config)#access-list NAT extended permit icmp any any
ciscoasa(config)#access-group NAT in interface outside
ROUTERga quyida buyruqlar ketma ketligi kiritiladi.
continue with configuration dialog? [yes/no]: no
Router>enable
Router#conf t
Router(config)#interface gigabitEthernet 0/0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#hostname IP
IP(config)#interface gigabitEthernet 0/0
IP(config-if)#ip address 195.158.0.1 255.255.255.252
IP(config-if)#ex
IP(config)#interface gigabitEthernet 0/1
IP(config-if)#no shutdown
IP(config-if)#ip address 8.8.8.1 255.255.255.0
Router(config-if)#do wr
Router(config-if)#exit
13.3-rasm Server ga IP manzil berish.
13.4-rasm. Hostning ASA firewall orqali avtomatik IP manzil olishi.
13.5-rasm. SSH protokoli yordamida firewallga masofaviy ulanish.
13.1-rasm. Qurilgan topologiyani testlab ko’rish.
Topshiriq:
Amaliy ish mavzusi bo'yicha hisobot tayyorlash. Hisobotning mazmuni:
- ishning raqami va mavzusi;
- Cisco PacketTracerda tadqiq qilinayotgan tarmoq topologiyasining tasviri;
- tarmoqdagi IP-manzillarni taqsimlash, ulanish diagrammasi (interfeys
raqamlari), shu jumladan modelning tavsifi;
- foydalanuvchi nomlari va parollari;
- tarmoq elementlarini sozlash ro'yxati;
- tarmoq elementlariga kirishga urinishlar natijalari.
Nazorat savollari:
1.
FireWall nima?
2.
ASA firewallining qanday imkoniyatlari mavjud?
3.
Cisco ASA firewallining qanday turlari mavjud?
4.
NGFW nima?
5.
Cisco AVC nima?
6.
NGIPS nima?