1. Cisco ASA 5500 Series Platform License

В данную группу лицензий входят позиции для моделей ASA5505, ASA5510, ASA5512-X и ASA5585-X. Модель cisco asa 5505 является единственной моделью, для которой существуют ограничения на количество пользователей за МСЭ. Под пользователем подразумевается пользовательское устройство, трафик которого пропускается через ASA. Существуют модели ASA5505 с лицензией до 10 пользователей (ASA5505-SW-10), до 50 (ASA5505-SW-50), а также без ограничений на количество пользователей (ASA5505-SW-UL).

Для моделей ASA5505, ASA5510 и ASA5585 существуют лицензии Security Plus, которые расширяют функционал. Для ASA5505 лицензия Security Plus (ASA5505-SEC-PL):

• увеличивает максимальное число VPN сессий с 10 до 50;
• увеличивает максимальное число соединений через МСЭ с 10,000 до 25,000;
• увеличивает число поддерживаемых Vlan с 3 до 20 и включает возможность тегирования пактов (802.1q);
• включает возможность создания отказоустойчивых конфигураций (Stateless Active/Standby Failover).

Для ASA5510 лицензия Security Plus (L-ASA5510-SEC-PL):

• увеличивает максимальное число соединений через МСЭ с 50,000 до 130,000;
• включает возможность использования 2-х портов на скорости 10/100/1000 Мбит/с (остальные порты 10/100 Мбит/с);
• увеличивает число поддерживаемых Vlan с 50 до 100;
• включает возможность использования нескольких контекстов безопасности (Contexts). По умолчанию – 2 контекста, при покупке Security Context Feature Licenses – до 5ти;
• включает возможность Active/Active и Active/Standby Failover;
• включает возможность VPN Clustering и Load Balancing.

Для ASA5512-X лицензия Security Plus (ASA5512-SEC-PL):

• увеличивает максимальное число соединений через МСЭ с 100,000 до 250,000;
• увеличивает число поддерживаемых Vlan с 50 до 100;
• включает возможность использования нескольких контекстов безопасности (Contexts). По умолчанию – 2 контекста, при покупке Security Context Feature Licenses – до 5ти;
• включает возможность Active/Active и Active/Standby Failover;
• включает возможность VPN Clustering и Load Balancing.

Для ASA5585-X лицензия Security Plus (ASA5585-SEC-PL) включает возможность использования 10GB SFP+ слотов.

2. Cisco ASA 5500 Series Botnet Traffic Filter Licenses

Данная лицензия активирует сервис Botnet Traffic Filter, ориентированный на выявление бот сетей и предотвращение связанных с ними атак. Данный функционал позволяет выявлять среди внутренних ПК, те компьютеры, которые стали частью бот сети. Принцип работы сервиса опирается на инспекцию сессий с целью сравнения адресов и доменных имён с текущей динамической базой данных, хранящей информацию об известных бот сетях. В случае если внутренний ПК обращается к известной бот сети, ASA оповещает об этом системного администратора, а также блокирует такое подключение. Лицензия существует для каждой модели ASA. Например, для ASA 5510 требуется ASA5510-BOT-1YR. Лицензия с ограничением времени (time-based) на 1 год.

Для активации функций данной лицензии необходимо наличие на ASA лицензии, разрешающей использование стойких криптографических алгоритмов 3DES/AES.

3. Cisco ASA 5550 Series Unified Communications Licenses

Данная лицензия предоставляет возможность использования следующего функционала:

• Phone proxy;
• TLS proxy;
• Presence federation proxy.

Функция Phone proxy позволяет терминировать на ASA SRTP/TLS сессии. Данная технология предоставляет возможность IP-телефонам создавать SRTP/TLS-туннели между пользовательским телефонным аппаратом в удалённой локации и межсетевым экраном ASA, установленном в офисе компании. Технология Phone Proxy позволяет устанавливать безопасные соединения непосредственно между IP-телефоном и ASA, тем самым снимая нагрузку, связанную с шифрованием, с самой IP АТС. Также данный функционал позволяет использовать защищённые соединения между телефоном и ASA в случае, если IP АТС не поддерживает функций шифрования вообще.

Функция Phone Proxy работает совместно с IP АТС Cisco UCM. Cisco UCM может быть настроен в режиме mixed mode или nonsecure mode. Вне зависимости от режима CUCM, удалённые телефоны, поддерживающие шифрования, могут быть установлены в режим шифрования (encrypted mode). Сессии TLS (сигнализация) и SRTP (передача медиа-данных) при этом терминируются на ASA. МСЭ выполняет инспекцию сигнальных протоколов SCCP или SIP, выполняет функцию NAT для пакетов. Если CUCM работает в nonsecure mode, ASA выполняет следующие функции: конвертирует TLS в TCP, конвертирует SRTP в RTP.

Если CUCM работает в mixed mode, и телефоны внутренней инфраструктуры настроены как аутентифицируемые, ASA не конвертирует TLS в TCP, но конвертирует SRTP в RTP. Если CUCM работает в mixed mode, и телефоны внутренней инфраструктуры настроены на шифрование генерируемого трафика, TLS соединения остаются TLS, SRTP соединения остаются SRTP. TLS proxy. При использовании шифрования end-to-end, когда создаются безопасные соединения непосредственно между CUCM и IP-phone, МСЭ не может проследить медиа- и сигнальный трафик, что приводит к частичному невыполнению функций безопасности брандмауэром. Функция TLS proxy позволяет настроить МСЭ таким образом, чтобы осуществлялся перехват и дешифрация сигнального трафика с целью его инспекции. После осуществления инспекции сигнальный трафик снова шифруется и отправляется на CUCM.

Presence federation proxy. Осуществляет функции TLS proxy для сессий между Сisco Unified Presence servers и Cisco/Microsoft Presence servers. Данные сервера предназначены для сбора и предоставления информации о текущих статусах пользователей («доступен», «нет на месте» и т.д.). Использование ASA в качестве Secure Presence Federation Proxy позволяет осуществлять инспекцию трафика между соответствующими Presence-серверами и применять правила политики безопасности для SIP-сессий между ними.

Лицензии не зависят от модели ASA и различаются по количеству одновременных сессий (от 24 до 10000). Следует учитывать, что для каждой модели ASA существует ограничение по возможным одновременным TLS-сессиям. Примерами лицензий являются: ASA-UC-24, ASA-UC-50, ASA-UC-100 и т. д. Intercompany Media Engine. Существуют также лицензии типа IME (Intercompany Media Engine), являющиеся опцией для UC лицензий и позволяющие организовывать безопасную связь между компаниями или филиалами организации, использующими Cisco UCM. Реализация данной технологии подразумевает использование трёх основных компонентом – CUCM, CU-IME сервер и МСЭ ASA. Данная технология позволяет динамически открывать доступ на МСЭ для совершения звонков между двумя IP АТС через публичную сеть Интернет в случае, если предварительно данный звонок осуществлялся через ТфОП (PSTN).

Для реализации технологии IME, ASA должна выполнять две функции:

• Проверка ticket;
• Fallback to PSTN.

Проверка ticket. Технология IME использует механизм «tickets and passwords» для защиты от несанкционированных звонков. Чтобы разрешить звонки через Интернет от незнакомой компании, сначала должен быть успешно осуществлён и зарегистрирован на IME Server звонок от этой же компании, но через PSTN. При успешной регистрации IME Server создаёт описание компании – ticket, - разрешающее осуществлять звонки уже через Интернет. Ticket формируется на IME Server и передаётся на ASA. Исходя из информации в ticket ASA разрешает, либо запрещает те или иные звонки через Интернет. IME Server и ASA разделяют общий password для того, чтобы ASA получала tickets только от доверенного IME Server.

Fallback to PSTN. Технология IME осуществляет переключение звонков из Интернет обратно на PSTN в зависимости от качества обслуживания. Для реализации данной функции МСЭ ASA должен осуществлять мониторинг RTP трафика и отправлять информацию о QoS на IME Server для принятия решения о переводе звонка на PSTN.

Лицензии IME существуют для каждой модели ASA и бывают типа K8 и К9. Для лицензий типа K8 нет ограничений на правила ввоза, но количество одновременных TLS-сессий ограничивается 1000. Примерами лицензий являются: ASA5505-ME-K8, ASA5505-ME-K9, ASA5510-ME-K8, ASA5510-ME-K9 и т. д.

4. Cisco ASA 5500 IPS SSP License

IPS – Intrusion Prevention System – система предотвращения вторжений. Для моделей предыдущих моделей ASA 5505 – 5550 для получения функционала необходимо было установить соответствующий аппаратный модуль (AIP SSC-5, AIP SSM-10, AIP SSM-20, AIP SSM-40). Для новой линейки моделей ASA5500-X сервис IPS реализован программными средствами, не требует установки дополнительного аппаратного модуля.

Для того чтобы получить функционал IPS на линейке МСЭ ASA 5500-X можно приобрести соответствующий бандл (ASA5512-IPS-K8, ASA5512-IPS-K9, ASA5525-IPS-K8, ASA5525-IPS-K9 и т.д.) или установить соответствующую лицензию на ASA:

• L-ASA5512-IPS-SSP
• L-ASA5515-IPS-SSP
• L-ASA5525-IPS-SSP
• L-ASA5545-IPS-SSP
• L-ASA5555-IPS-SSP

Для работы системы IPS необходима подписка на обновления сигнатур устройств. Обновление сигнатур системы IPS осуществляется за счёт приобретения подписки на сервисную поддержку SmartNet.

Для линейки МСЭ ASA 5500-X с функционалом CX (Next Generation Firewall) может быть включена функция Next Generation IPS (NG IPS). Для этого должна быть приобретена дополнительная подписка, например ASA5512-IP3Y= (подписка на NG IPS на 3 года для ASA5512). Кроме того, подписка на NG IPS входит в бандлы подписок CX. Примеры партномеров:

ASA5512-AWI3Y - ASA 5512-X with Cisco AVC, WSE, and IPS, 3-year;

ASA5515-AWI3Y - ASA 5515-X AVC, WSE, and IPS, 3-year.

5. Cisco ASA 5500-X Series CX Subscriptions and ScanSafe

Для МСЭ ASA серии 5500-X, то есть нового поколения, функционал глубокой инспекции трафика на уровне приложений, а также функционал обеспечения Web-безопасности реализован частично посредством облачной технологии Scan Safe – защита от вирусов и шпионского ПО (SpyWare), частично посредством ASA CX – фильтрация и блокировка URL, репутационная фильтрация, распознание приложений. ASA CX является виртуальным блейдом в межсетевых экранах ASA серии 5500-Х.

На ASA Серии 5500, то есть ASA предыдущего поколения, функционал контентной безопасности – Content Security – реализуется путём перенаправления трафика на модули CSC-SSM-10 или CSC-SSM-20. Лицензирование данного функционала описано в пункте 6 «Cisco ASA 5500 Series Content Security Feature Licenses».

ASA CX

Для активации функционала ASA CX на ASA серии 5500-Х необходимо выполнение следующих условий:

• Наличие карты памяти ASA5500X-SSD120= (флэш память);
• Наличие подписки CX.

Подписка СХ дифференцируется по моделям ASA, может быть трёх видов:

Application Visibility and Control (AVC) – распознание приложений (чтобы блокировать Bittorrent, Facebook, Skype). Например ASA5515-AP1Y.

Web Security Essentials – фильтрация и блокировка URL, репутационная фильтрация (по данным облачной базы SenderBase). Например ASA5515-WS1Y.

AVC and Web Security Essentials – оба функционала вместе. Например ASA5515-AW1Y.

Подписка может быть на год, три года и пять лет.

Есть возможность приобрести бандл с установленным SSD для CX и предустановленной выбранной лицензией (подпиской), например ASA5515-SSD120-K9. Есть возможность «превратить» обычную ASA серии 5500-Х в ASA CX, путём замены имеющегося SSD на ASA5500X-SSD120= и установки соответствующей подписки.

Для реализации функционала CX не обязательна активация 3DES/AES. То есть, подходят ASA K8. Функционал CX не совместим с функционалом IPS.

К функционалу CX может быть добавлен функционал Next Generation IPS (NG IPS). Для этого должна быть приобретена дополнительная подписка, например ASA5512-IP3Y= (подписка на NG IPS на 3 года для ASA5512). Кроме того, подписка на NG IPS входит в бандлы подписок CX. Примеры партномеров:

ASA5512-AWI3Y - ASA 5512-X with Cisco AVC, WSE, and IPS, 3-year;

ASA5515-AWI3Y - ASA 5515-X AVC, WSE, and IPS, 3-year.

ScanSafe

Для реализации защиты внутренней инфраструктуры корпораций от вирусов, шпионского ПО (SpyWare) для ASA5500-X необходимо настроить перенаправление трафика, подлежащего детальной инспекции в облако ScanSafe. Для активации данного функционала не требуется установки дополнительной лицензии на ASA. Единственным условием для ASA является активация 3DES/AES.

Необходима лицензия на стороне Cloud Web Security – лицензия ScanSafe. Лицензия даёт возможность получить от ScanSafe ключи аутентификации, которые необходимо будет активировать на ASA для регистрации в облаке ScanSafe.

Лицензии ScanSafe бывают трёх видов по функционалу:

• управление Web;
• безопасность Web;
• комбинированный функционал.

Каждый вид лицензии дифференцируется по количеству пользователей и по сроку действия. Возможны лицензии на год, три года и пять лет.

На данный момент, ScanSafe не включён в GPL.

6. Cisco ASA 5500 Series Content Security Feature Licenses

Функционал Content Security для МСЭ ASA серии 5500, то есть ASA прошлого поколения, реализуется путём установки модуля CSC-SSM-10 или CSC-SSM-20. Сервисные модули обеспечивают функции детальной инспекции проходящего через МСЭ трафика для защиты внутренней инфраструктуры корпораций от вирусов, шпионского ПО (SpyWare), а также, для реализации функций фильтрации и блокировки URL в соответствие с политиками безопасности компании, функций антиспама, антифишинга и фильтрации контента.

Для ASA серии 5500 с установленным модулем CSC-SSM-10 или CSC-SSM-20 необходимы лицензии Contex Security. Данные лицензии бывают трёх типов:

Базовые лицензии (Base licenses) – поставляются вместе с сервисным модулем CSC или с бандлом, включающим данный модуль (например, бандлы ASA5510-CSC10-K9, ASA5510-CSC20-K9 и т.д.). Обеспечивают функции антивирусной защиты и защиты от шпионского ПО (SpyWare). Модуль CSC-SSM-10 включает базовую лицензию для 50ти пользователей, модуль CSC-SSM-20 – для 500 пользователей.

Опциональные лицензии (Plus licenses) – данные лицензии (L-ASA-CSC10-PLUS и L-ASA-CSC20-PLUS) добавляют функционал фильтрации и блокировки URL, фильтрации контента, антиспама и антифишинга.

Пользовательские лицензии (User licenses) – расширяют функционал базовой лицензии или опциональной лицензии на определённое количество пользователей. Следует отметить, если уже установлена базовая или опциональная лицензия на 50 пользователей, пользовательская лицензия на 250 пользователей (например, L-ASACSC10-USR250) НЕ суммируется с предыдущей базовой. На выходе получаем функционал именно на 250 пользователей.

Cisco рекомендует для наиболее эффективной работы сервисного модуля CSC-SSM наличие двух сервисов: сервис обновления ПО (Software update service) и Cisco SMARTnet®. При покупке описанных лицензий сервис обновления ПО (Software update service) включён в стоимость лицензии и работает в течение одного года с момента активации лицензии. Сервис SMARTnet не включён в стоимость лицензии и может быть приобретён дополнительно. Следует отметить, что для работы модуля CSC-SSM наличие SmartNet (в отличие от Software update service) не является необходимым условием.

Для продления работоспособности лицензии существуют варианты обновлений на 1 и на 2 года для любых комбинаций базовых, опциональных и пользовательских лицензий.

7. Cisco ASA 5500 Series Security Context Feature Licenses

Устройство ASA может быть разделено по функционалу на несколько виртуальных устройств, называемых контекстами безопасности (Contexts). Каждый контекст представляется независимым МСЭ, реализующим собственные сервисы политики безопасности.

ASA 5505 и ASA5512-X не поддерживают контексты безопасности. Для остальных моделей в базовой комплектации (Base License или Security Plus License для ASA5510 и ASA5515-X) предусмотрено 2 контекста безопасности. При необходимости можно купить лицензию, увеличивающую количество возможных контекстов. Примерами лицензий являются: ASA5500-SC-5, ASA5500-SC-10, ASA5500-SC-20 и т. д. При этом следует обратить внимание на максимально возможное количество контекстов для конкретной модели:

• ASA 5510, ASA 5515-X – 5 контекстов;
• ASA 5520, ASA 5525-X – 20 контекстов;
• ASA 5540, ASA 5545-X – 50 контекстов;
• ASA 5550, ASA 5555-X – 100 контекстов;
• ASA 5550, ASA 5555-X, ASA 5585-X SSP-10 – 100 контекстов;
• ASA 5580, ASA 5585-X SSP-20/-40/-60 – 250 контекстов;

8. Cisco ASA 5500 Series GTP Feature License

Если через МСЭ необходимо пропускать GPRS-трафик, необходимо настроить соответствующую инспекцию. Для того чтобы команды настройки GTP были доступны, необходимо наличие лицензии ASA5500-GTP (одинаковая для всех моделей).

9. Cisco ASA 5500 Series VPN Licenses

МСЭ поддерживает следующие VPN:

• SSL VPN;
• Clientless SSL VPN;
• IPSec remote access VPN using IKEv1/IKEv2;
• IPsec site-to-site VPN using IKEv1/IKEv2.

Следующие три типа VPN включены в базовую лицензию (Base License или Security Plus License) для соответствующих моделей:

IPSec remote access VPN using IKEv1

IPsec site-to-site VPN using IKEv1/IKEv2

Для IPSec remote access VPN using IKEv2 необходимо наличие лицензии либо AnyConnect Premium, либо AnyConnect Essentials.

Количество IPSec сессий для каждой модели можно уточнить в configuration guide, в разделе Licensing Requirements for Remote Access IPsec VPNs.

9.1. Cisco ASA 5500 Series SSL VPN Licenses

В данную группу лицензий входят SSL Premium User Licenses и Advanced Endpoint Assessment Licenses.

SSL Premium User Licenses

SSL VPN может быть двух типов: Essential и Premium. Лицензии типа Essential сравнительно недорогие и необходимы для организации удалённых подключений с помощью клиента AnyConnect VPN Client. Данные лицензии активизируют возможность организации VPN каналов для удалённых подключений, при этом число конкурентных VPN соединений ограничивается только возможностями конкретной модели ASA (например, 250 сессий для ASA5510).

Основное преимущество использования SSL AnyConnect VPN, по сравнению с IPSec remote-access в том, что соответствующее клиентское программное обеспечение Cisco AnyConnect VPN Client может быть скачано и автоматически установлено непосредственно с VPN-концентратора (VPN-gateway), в качестве которого как раз может выступать МСЭ ASA. Также для работы SSL AnyConnect VPN используются протокол TCP порт 443.

Лицензии типа Premium стоят значительно дороже. Основное отличие от Essential – лицензии данного типа позволяют устанавливать clientless SSL VPN, то есть VPN туннели для удалённого подключения без использования специального программного обеспечения – клиента. Туннель в данном случае устанавливается просто с помощью браузера. При этом доступ к ресурсам сети по такому туннелю ограничен. Доступ может быть настроен к web-ресурсам, file-sharingи web-based email).

Clientless VPN может быть расширен режимом Thin-Client (тонкий клиент), называемый также TCP Port Forwarding (проброс портов TCP). Данный режим позволяет использовать приложения, требующие клиент-серверные соединения к известным портам. В режиме Thin-Client загружается и устанавливается небольшой Java-аплет на пользовательский компьютер, который выполняет функции TCP-proxy. Приложения, поддерживающиеся в режиме Thin Client, в основном e-mail-based (SMTP, POP3, and Internet Map Access Protocol version 4 [IMAP4]). Кроме того, при установке соответствующих plug-ins для браузера активизируется возможность использования таких TCP-приложений, как Citrix Client (rca), Terminal Servers (rdp), Terminal Servers Vista (rdp2), ssh, telnet, VNC Client. Многие plug-ins могут быть загружены на удалённое устройство непосредственно с МСЭ ASA. Альтернативой использования plug-ins является технология SSL VPN Smart Tunnels, являющаяся дополнительной настраиваемой опцией для режима Thin-Client. Данная технология показывает более высокую производительность по сравнению с использованием plug-ins и не требует наличия прав администратора.

Лицензии Premium не дифференцируются по моделям ASA и различаются только по количеству пользователей: L-ASA-SSL-10, L-ASA-SSL-25, L-ASA-SSL-50 и т. д.

Некоторые дополнительные функции и надстроечные лицензии доступны к использованию только при установленной лицензии Premium. К ним относятся:

• AnyConnect for Cisco VPN Phone;
• AnyConnect Premium Shared;
• Cisco Secure Desktop;
• Advanced Endpoint Assessment.

AnyConnect for Cisco VPN Phone описываются в пункте 9.6, AnyConnect Premium Shared – 9.4.

Cisco Secure Desktop – технология, осуществляющая определённые проверки компьютеров, с которых производятся попытки установки удалённого подключения по SSL VPN. ASA загружает специальное сканирующее ПО HostScan на удалённый хост с целью сбора такой информации об устройстве, как:

• используемая ОС;
• наличие или отсутствие определённых файлов;
• для ОС Windows – наличие или отсутствие определённых ключей в системном реестре;
• наличие определённых цифровых сертификатов;
• проверка принадлежности IP-адреса хоста к определённому диапазону.

На основании проведённых проверок принимается решение, разрешать ли сканируемому хосту удалённое подключение.