Überprüfen von ASA-Konfigurationen
Bisher galt Nipper als Werkzeug der Wahl, um Router-Konfigurationen zu überprüfen. Für die Cisco ASA kommt mit Flint ein neuer Kandidat ins Spiel, der recht zuversichtlich aussieht.
Flint kann als fertige VM heruntergeladen oder aber aus den Sourcen installiert werden. Über ein Web-Interface übergibt man die ASA-Konfiguration, die dann auf Konfigurations-Probleme untersucht wird.
Noch merkt man Flint den frühen Versions-Stand (aktuell 1.0.4) an. Ein paar Bugs sind noch drin, Probleme werden angeprangert, die nicht wirklich Probleme sind und manche Konfigurationszeilen kann Flint überhaupt nicht analysieren. Trotzdem sollte Flint in keiner Werkzeugkiste eines ASA-Admins fehlen. Und auch Benutzer anderer Firewalls sollen Flint später benutzen können. Laut Readme ist die Unterstützung von Cisco IOS, BSD PF und Linux IP-Tables geplant.
Den Hinweis auf Flint habe ich auf darknet.org.uk gefunden.
Cisco ASA Software 8.2
Dem Cisco Security Monthly Newsletter nach ist die neue Version 8.2 jetzt verfügbar. Eben konnte ich sie im Download-Center zwar noch nicht herunterladen, aber jetzt kann es nicht mehr lange dauern.
Aus der Unmenge an Neuigkeiten, wobei vieles auch Voice betrifft, finde ich die folgenden neuen Funktionen am interessantesten:
- Ein Botnet-Filter, der infizierte Clients erkennen soll.
- IPv6 Support für das AIP SSM Modul.
- Eine Security Services Card (SSC) für die 5505. Jetzt kann auch auf der kleinen ASA Intrusion Prevention betrieben werden, auch wenn die Funktionalität dieses Moduls gegenüber der AIP-SSMs oder der 4200er Sensoren eingeschränkt ist. Mal sehen, wie teuer das Modul wird.
- Der AnyConnect-Client ist jetzt in einer “Essentials”- und in einer “Premium”-Version vorhanden.
- Ein Lizenz-Server, um SSL-Lizenzen auf eine größere Anzahl von ASAs aufzuteilen. Wie es aussieht, hilft es aber nicht gegen die Lizenz-Verschwendung beim Active/Standby Failover.
- SNMPv3
- Cisco NetFlow Secure Event Logging
- TCP state bypass
Cisco ASA 8.0 Layer7 Inspections
Die Layer7-Protokoll-Inspizierungen lassen sich auf der ASA per ASDM recht komfortabel konfigurieren. Manchmal kommt man aber an der Kommandozeile nicht vorbei. Um die Verwendung der Komponenten innerhalb der L7-Policy etwas besser zu verstehen, habe ich ein Diagramm angefertigt, das die Verbindungen der Komponenten untereinander darstellt.
Download: 
ASA v8.0(4)
Für die Cisco ASA gibt es die neue Software-Version 8.0(4). Ein Neuerung, die Anfang April schon in die Version 7.24 Einzug gehalten hat, finde ich besonders wichtig: Die ASA 5505 unterstützt jetzt auch das native VLAN auf einem 802.1q-Trunk, was bisher nicht ging (ok, im Interims-Release 8.0.3(6) war es auch schon drin). Jetzt kann man endlich auf einen Autonomous Access-Point mit mehreren VLans zugreifen, dessen Management-BVI im native VLan ist.
Die restlichen Neuerungen sind aber auch nicht schlecht:
Cisco ASA 5500 Series Release Notes Version 8.0(4)
ASA 5580 Hardware und Software
Die letzte Zeit habe ich versucht, mehr über die neue ASA 5580 zu erfahren. Leider sind die öffentlich zugänglichen Informationen noch recht spärlich. Eine sehr gute Übersicht gibt es im Video Data Sheet.
Was hört und sieht man dort:
- Die ASA 5580-20 kann einfach auf die ASA 5580-40 aufgerüstet werden
- Keine Festplatten, aber Slots für zukünftige Erweiterungen
- Das Gerät kommt mit einer Solid-State-Disk
- Die zwei USB-Slots sind — wie schon bei der PIX — auch für zukünftige Erweiterungen
- Netflow v9-Support
Weiterhin ist zu finden, daß die ASA 5580 ein Multi-Core, Multiprozessor-Gerät ist. Das lässt vermuten, daß das Upgrade von der 5580-20 auf die 5580-40 mit einem Prozessor- und Speicher-Upgrade gemacht werden kann. Die Software wurde so erweitert, daß sie jetzt multithreadingfähig ist. Vermutlich war das auch ein Grund für den Schwenk von dem alten Betriebssystem Finesse auf Linux, was ab der ASA v8 zum Einsatz kommt.
PIX-Leichenfledderei
Die PIX ist noch nicht einmal beerdigt, da fangen die ersten schon an, um das Erbe zu kämpfen. Z.B. Astaro möchte nicht, daß die PIX-Kunden zur ASA wechseln sondern bieten 20% auf die Astaro UTM-Appliances beim PIX-Trade-In. Dieses Trade-In ist anscheinend aber (noch) nicht in Deutschland verfügbar.
EOS/EOL für die Cisco PIX angekündigt
Die Spatzen haben es schon länger von den Dächern gepfiffen. Jetzt hat Cisco den längst überfälligen Schritt getan und die EOS/EOL Daten der PIX angekündigt:
|
Für neue Geräte gibt es IMO schon länger keinen Grund mehr für die PIX. Aber die alten Geräte wegzuwerfen ist natürlich auch nicht nötig, der Support läuft ja noch bis 2013. Wie es mit neuen Features weitergeht ist natürlich fraglich, vor allem seit mit der Version 8 keine gemeinsame Code-Basis mit der ASA mehr besteht.
Cisco IPS 4215 EOL/EOS angekündigt
Das Arbeiten mit dem IPS-Sensor 4215 hat mit der aktuellen Software 6.0 wirklich schon keinen Spaß mehr gemacht. Die Büchse ist einfach zu lahm. Jetzt hat Cisco das EOL/EOS dieses Sensors angekündigt. Interessant ist der angegebene Migrationspfad:
Product Migration Options
Customers are encouraged to migrate to the Cisco ASA 5510 Adaptive Security Appliance Intrusion Prevention Services (IPS) solution with Advanced Inspection and Prevention Security Services Module AIP-SSM-10.
Nachtrag: Warum ich das interessant finde? Die ASA ist eine Firewall. Und wenn man z.B. “nur” IDS will, um z.B. ein paar Netze zu monitoren bringt einem diese Migration genau nichts. Das IPS-Modul kann zwar promiscous benutzt werden, aber die ASA sitzt immer inline.
