Войти
Cisco PIX (Private I nternet e X change) был популярным IP межсетевым экраном и преобразованием сетевых адресов (NAT) устройство. Это был один из первых продуктов в этом сегменте рынка.
В 2005 году Cisco представила новое устройство Cisco Adaptive Security Appliance (Cisco ASA), унаследовавшее многие функции PIX, а в 2008 году объявила о прекращении поддержки PIX. -продажа.
Технология PIX продавалась в виде блейд-модуля , модуля FireWall Services (FWSM), для серии коммутаторов Cisco Catalyst 6500 и Маршрутизатор 7600 серии, но по состоянию на 26 сентября 2007 г. прекращена поддержка.
Первоначально PIX был задуман в начале 1994 года Джоном Мэйсом из Редвуд-Сити, штат Калифорния, и разработан и запрограммирован Брэнтли Койлом из Афин, Джорджия. Название PIX является производным от цели его создателей по созданию функционального эквивалента IP PBX для решения возникающей в то время нехватки зарегистрированных IP-адресов. В то время, когда NAT только рассматривался как жизнеспособный подход, они хотели скрыть блок или блоки IP-адресов за одним или несколькими зарегистрированными IP-адресами, как это делают УАТС для внутренних телефонных номеров. Когда они начинались, RFC 1597 и RFC 1631 обсуждались, но теперь уже знакомый RFC 1918 еще не был представлен.
Дизайн и тестирование были выполнены в 1994 году Джоном Мэйсом, Брэнтли Койлом и Джонсоном Ву из Network Translation, Inc., при этом Брэнтли Коайл был единственным разработчиком программного обеспечения. Бета-тестирование PIX с серийным номером 000000 было завершено, и первая приемка заказчиком состоялась 21 декабря 1994 года в KLA Instruments в Сан-Хосе, Калифорния. PIX быстро стал одним из ведущих корпоративных межсетевых экранов и был удостоен награды журнала Data Communications Magazine «Горячий продукт года» в январе 1995 года.
Незадолго до того, как Cisco приобрела Network Translation в ноябре 1995 года, Мэйс и Коайл наняли на работу два давних сотрудника, Ричард (Чип) Хоус и Пит Тенерейлло, и вскоре после приобретения еще двух давних партнеров, Джима Джордана и Тома Боханнона. Вместе они продолжили разработку Finesse OS и исходной версии межсетевого экрана Cisco PIX Firewall, теперь известной как PIX «Classic». В это время PIX разделяла большую часть своего кода с другим продуктом Cisco, LocalDirector.
. 28 января 2008 г. Cisco объявила об окончании продажи и окончании срока службы даты для всех устройств безопасности Cisco PIX, программного обеспечения, аксессуаров и лицензий. Последний день для покупки платформ и пакетов Cisco PIX Security Appliance был 28 июля 2008 г. Последний день для покупки аксессуаров и лицензий был 27 января 2009 г. Cisco прекратила поддержку клиентов Cisco PIX Security Appliance 29 июля 2013 г.
В мае 2005 года Cisco представила ASA, который сочетает в себе функциональность продуктов серии PIX, VPN 3000 и IPS. Устройства серии ASA работают с кодом PIX 7.0 и новее. Через выпуск ОС PIX 7.x PIX и ASA используют одни и те же образы программного обеспечения. Начиная с PIX OS версии 8.x, код операционной системы расходится: ASA использует ядро Linux, а PIX продолжает использовать традиционную комбинацию ОС Finesse / PIX.
PIX работает под управлением проприетарной операционной системы, изначально называемой Finese (Fast Internet Service Executive), но с 2014 года программное обеспечение известно просто как PIX OS. Хотя он классифицируется как межсетевой экран сетевого уровня с проверкой состояния, технически PIX будет более точно называться межсетевым экраном уровня 4 или транспортного уровня, поскольку его доступ не ограничен сетевым уровнем. маршрутизация, но соединения на основе сокетов (порт и IP-адрес: связь порта происходит на уровне 4). По умолчанию он разрешает внутренние соединения (исходящий трафик) и разрешает только входящий трафик, который является ответом на действительный запрос или разрешен списком управления доступом (ACL) или каналом. Администраторы могут настроить PIX для выполнения множества функций, включая преобразование сетевых адресов (NAT) и преобразование адресов портов (PAT), а также работу в качестве виртуальной частной сети Устройство конечной точки (VPN).
PIX стал первым коммерчески доступным межсетевым экраном, в котором реализована фильтрация по протоколу с введением команды «fixup». Возможность «исправления» PIX позволяет межсетевому экрану применять дополнительные политики безопасности к соединениям, идентифицированным как использующие определенные протоколы. Протоколы, для которых были разработаны конкретные способы исправления, включают DNS и SMTP. Исправление DNS изначально реализовало очень простую, но эффективную политику безопасности; он разрешал только один ответ DNS от DNS-сервера в Интернете (известный как внешний интерфейс) для каждого запроса DNS от клиента на защищенном (известном как внутренний) интерфейсе. «Inspect» заменил «fixup» в более поздних версиях PIX OS.
Cisco PIX также был одним из первых коммерчески доступных устройств безопасности, в которых были реализованы функции шлюза IPSec VPN.
Администраторы могут управлять PIX через интерфейс командной строки (CLI) или через графический интерфейс пользователя (GUI). Они могут получить доступ к интерфейсу командной строки с последовательной консоли, telnet и SSH. Администрирование графического интерфейса пользователя началось с версии 4.1 и претерпело несколько воплощений:
Поскольку Cisco приобрела PIX из Network Translation, интерфейс командной строки изначально не соответствовал синтаксису Cisco IOS. Начиная с версии 7.0, конфигурация стала более похожей на IOS.
PIX 515 со снятой верхней крышкой У оригинальных NTI PIX и PIX Classic корпуса были поставлены OEM-поставщиком Appro. Все флэш-карты и первые карты ускорения шифрования, PIX-PL и PIX-PL2, были получены от продуктов повышения производительности (PEP). У более поздних моделей были корпуса от OEM-производителей Cisco.
PIX был построен с использованием материнских плат на базе Intel / Intel; PIX 501 использовал процессор AMD 5x86, а все другие автономные модели использовали процессоры Intel 80486 - Pentium III.
PIX загружается с проприетарной ISA флэш-памяти дочерней платы в случае NTI PIX, PIX Classic, 10000, 510, 520 и 535, и он загружается со встроенной флэш-памяти в случае PIX 501, 506 / 506e, 515 / 515e, 525 и WS-SVC-FWM-1-K9. Последний является кодом детали для технологии PIX, реализованной в модуле Fire Wall Services для Catalyst 6500 и 7600 Router.
.
Adaptive Security Appliance - это сетевой межсетевой экран производства Cisco. Он был представлен в 2005 году для замены линейки Cisco PIX. Наряду с функциональностью межсетевого экрана с отслеживанием состояния еще одним направлением ASA является функциональность виртуальной частной сети (VPN). Он также поддерживает предотвращение вторжений и передачу голоса по IP. За серией ASA 5500 последовала серия 5500-X. Серия 5500-X больше ориентирована на виртуализацию, чем на модули безопасности с аппаратным ускорением.
В 2005 году Cisco выпустила модели 5510, 5520 и 5540.
ASA продолжает использовать кодовую базу PIX, но когда Программное обеспечение ОС ASA перешло с основной версии 7.X на 8.X, оно перешло с платформы операционной системы Finesse / Pix OS на платформу операционной системы Linux. Он также объединяет функции системы предотвращения вторжений Cisco IPS 4200 и концентратор Cisco VPN 3000.
ASA продолжает линейку PIX оборудования Intel 80x86.
Продукт Cisco PIX VPN был взломан группой NSA, связанной Equation Group где-то до 2016 года.. Equation Group разработала инструмент под кодовым названием BENIGNCERTAIN, который раскрывает заранее общий пароль (и) злоумышленнику (CVE - 2016-6415 ). Позже Equation Group была взломана другой группой под названием The Shadow Brokers, которая, среди прочего, публично опубликовала свой эксплойт. Согласно Ars Technica, АНБ, вероятно, использовало эту уязвимость для прослушивания VPN-соединений более десяти лет, ссылаясь на утечки Сноудена.
Cisco Бренд ASA также был взломан Equation Group. Уязвимость требует, чтобы злоумышленнику были доступны как SSH, так и SNMP. АНБ присвоило этому эксплойту кодовое имя EXTRABACON. Ошибка и эксплойт (CVE -2016-6366 ) также были пропущены ShadowBrokers в том же пакете эксплойтов и бэкдоров. Согласно Ars Technica, эксплойт можно легко заставить работать против более современных версий Cisco ASA, чем может обработать просочившийся эксплойт.
29 января 2018 г. возникла проблема безопасности на Cisco ASA. -бренд был раскрыт Группой NCC. Использование после бесплатной -баги в функции Secure Sockets Layer (SSL) VPN программного обеспечения Cisco Adaptive Security Appliance (ASA) может позволить неаутентифицированному удаленному злоумышленнику вызвать перезагрузку затронутую систему или удаленно выполнить код. Ошибка указана как CVE -2018-0101.
.
