تعريف سريع: أجهزة الأمان التكيفية، أو ASA، هي قطعة من أجهزة الأمن السيبراني التي تبيعها شركة Cisco. ASAs هي أجهزة أمنية متعددة الأغراض. إنها تتميز بجدار الحماية ومكافحة الفيروسات والحماية من التطفل وقدرات VPN.
كيف تقوم ASA بتأمين الشبكة؟
يتمثل السلوك الافتراضي لجهاز Cisco Adaptive Security Appliance (ASA) في منع كل حركة المرور الخارجية من الدخول إلى الشبكة. لا يمكن للجهات الفاعلة المارقة أن تؤدي الأذى إذا لم تدخل من الخارج في المقام الأول. لكن Cisco قامت أيضًا ببناء ASAs لتتمتع بقدرات ذكية وقوية للغاية يمكنها التعرف على حركة المرور المسموح بها للعديد من الأنواع المختلفة.
في عالم الأمن السيبراني، هناك أنواع عديدة من الحماية. توفر حلول الأجهزة والبرامج المختلفة حماية فريدة. يعتبر جهاز Cisco Adaptive Security Appliance، أو ASA، قويًا بشكل خاص لأنه يجمع العديد من الميزات والإمكانات في جهاز أمان شبكة واحد.
لفهم ما يفعله ASA على الشبكة، دعونا نتصور واحدة منها. تخيل شبكة وأعطها منطقة “داخلية” و”منطقة منزوعة السلاح” (DMZ) تضم عدة خوادم تتصل بالإنترنت، ثم ضع ASA بين الشبكة والإنترنت – لحماية الشبكة بأكملها.
نعلم جميعًا أن العالم الخارجي مكان خطير. وهكذا، تقول ASA، افتراضيًا، أن أي حركة مرور تحاول الدخول من الخارج، سواء كانت مستخدمًا أو خادمًا أو نظامًا، سيتم رفضها عند الاتصال بـ ASA. عندما تتمتع الشبكة بـ ASA لحمايتها، يتم إيقاف حركة المرور الخارجية قبل أن تتمكن حتى من الوصول إلى أي جهاز على الشبكة.
الطريقة الوحيدة للحفاظ على شبكة آمنة تمامًا هي عدم السماح مطلقًا بالاتصال بالإنترنت. ولكن يمكنك أن تتخيل لماذا لا يكون ذلك مفيدًا جدًا في العادة. إن استخدام الإنترنت ليس اختياريًا بالنسبة لمعظم الشركات – وهذا يعني أن المستخدمين قادرون على مغادرة الشبكات الداخلية للعالم الخارجي وتلقي الردود. ويعني أيضًا السماح للطلبات الصالحة من الإنترنت بالوصول إلى خوادم الويب.
قد يكون السلوك الافتراضي لـ ASA هو عدم السماح لأي حزم بالمرور إلى المنطقة الداخلية أو المنطقة المجردة من السلاح، ولكنه يحتوي على مجموعة من الأجراس والصفارات التي تجعل التفاعل الآمن والصالح مع الإنترنت ممكنًا.
كيف تستخدم ASAs التفتيش الرسمي؟
عندما يقوم المستخدمون الداخليون بتقديم طلبات إلى الإنترنت، تقوم ASA بحفظ معلومات الجلسة بحيث يمكنها التعرف على حركة المرور والسماح بمرورها عند عودة استجابة صالحة. التفتيش الرسمي هو الآلية التي تسمح لـ ASA بالقيام بذلك.
تخيل مستخدمًا على شبكتنا الداخلية يُدعى بوب. يريد بوب الدخول إلى الإنترنت، لذلك يقدم طلبه.
تنتقل حركة المرور من هذا الطلب إلى الإنترنت. من الواضح أنه إذا أوقف Bob’s ASA كل حركة المرور من العودة إلى الشبكة، فلن يكون ذلك أكثر فائدة من عدم الاتصال بالإنترنت مطلقًا في المقام الأول.
لأنه عندما يتصفح بوب الإنترنت، فهو لا يرسل طلبات دون توقع الرد فحسب. لكي يكون اتصاله بالإنترنت مفيدًا، سيحتاج إلى رد. يتوقع بوب ردًا من خادم خارجي.
تذكر أن العملية الافتراضية لـ ASA هي رفض حركة المرور قبل وصولها إلى الشبكة. لذا، إذا لم يسمح جدار الحماية بالرد على طلب بوب بالعودة، فلا يوجد إنترنت. ولكن عندما يغادر طلب بوب الشبكة، يقوم جدار الحماية بعمل شيء مذهل: في الخلفية، ينظر إلى جلسة بوب ويتذكر الأشياء.
فهو يتذكر عنوان IP المصدر وعنوان IP الوجهة ومعلومات الطبقة الرابعة والمنافذ المعنية. ويضع كل ذلك في جدول جلسة، جدول جلسة ذو حالة. عندما يأتي الرد، يقول جدار الحماية: “انتظر لحظة، هذا الرد مثالي! إنه يتطابق تمامًا مع ما يتوقعه بوب كرد.” ويقوم بإجراء استثناء ديناميكيًا ويتيح لحركة المرور المرتجعة العودة مرة أخرى.
من خلال الفحص الدقيق، يمكن أن يكون لديك آلاف المستخدمين الذين يخرجون جميعًا إلى الإنترنت ديناميكيًا وتسمح لجميع حركة المرور المرتدة بينما تقوم في نفس الوقت بإيقاف أي حركة مرور تبدأ من الخارج من الدخول.
كيف يستفيد ASA من تصفية الحزم؟
تتيح تصفية الحزم للمستخدمين الخارجيين الشرعيين تقديم طلبات واردة إلى خوادم الويب الخاصة بك. تعمل ASA على حماية الشبكات الداخلية من خلال السماح بدخول الحزم الصالحة إلى المنطقة المجردة من السلاح – وهناك فقط.
تخيل مستخدمًا على الإنترنت يُدعى ماري. تريد ماري الدخول والوصول إلى أحد خوادم الويب الخاصة بك. لكن خادم الويب موجود خلف ASA الخاص بك في المنطقة المجردة من السلاح. افتراضيًا، لن يُسمح لحركة المرور هذه بالوصول إلى خادم الويب. ولكن ربما يكون هذا هو متجر شركتك، أو كتالوج مبيعاتك. لا يمكنك حظره من الإنترنت. ولحسن الحظ، هناك تصفية الحزم.
عند تشغيل وظيفة تصفية الحزم، يتم تطبيق قوائم الوصول على واجهة الإنترنت الخاصة بـ ASA. تقوم قائمة الوصول بإرشاد ASA بشأن حركة المرور المسموح بها. عندما يتم تطبيق ذلك، فإنك في الواقع تخبر ASA، “الرجاء السماح بحركة المرور إذا كانت حركة مرور على الويب موجهة إلى عنوان IP محدد مرتبط بأحد خوادم الويب الخاصة بك، ولكن دعها تذهب فقط إلى هذا العنوان، ولا تسمح إلا بذلك تلك الحزم من خلال.”
من خلال إعداد تصفية الحزم على ASA، يمكن لمستخدمي الإنترنت الذين يقدمون طلبات صالحة الوصول إلى خوادم الويب العامة. وفي الوقت نفسه، لا نسمح أبدًا للمستخدمين الخارجيين من الخارج بالدخول إلى منطقتنا الداخلية. وذلك لأن كل ما نعرفه عن منظورات المنطقة يتم الحفاظ عليه عند التعامل مع تصفية الحزم.
هل تتمتع ASAs بإمكانيات ترجمة عنوان الشبكة أو المنفذ؟
يمكن لـ ASA توفير ترجمة عنوان الشبكة أو ترجمة عنوان المنفذ بحيث تظهر جميع الأجهزة الموجودة خلفها وكأنها موجودة على شبكة 10.0.0.0. لكن الطلبات المقدمة إلى الإنترنت تحصل على عناوين توجيه عالمية، ويتم تبديلها عندما تعود إلى الشبكة.
إذا كنت ستنظر إلى عنوان IP الخاص بك الآن على جهاز الكمبيوتر الخاص بك، فجرب “ipconfig” على نظام Windows أو “ifconfig” على Linux أو Mac، فمن المحتمل جدًا أن يكون جهازك على عنوان 10 أو 192.168-شيء ما. وذلك لأن هذه العناوين موجودة في قاعدة عناوين RFC 1918. إنها خاصة وغير مسموح بها على الإنترنت.
يقوم مقدمو الخدمة بحظر تلك العناوين الخاصة. ومع ذلك، فإن أجهزتك تعتقد أن هذا هو المكان الذي يمكن أن تجد فيه نفسها على شبكتك. وذلك بفضل ميزة أخرى توفرها ASAs أيضًا: NAT/PAT.
ترجمة عنوان الشبكة (NAT) وترجمة عنوان المنفذ (PAT) تكذب بشكل أساسي – تكذب بشأن عناوين IP المصدر. سيكون لجدار الحماية نفسه عنوان قابل للتوجيه عالميًا مثل 23.1.2.3، لكن الأجهزة التي تدعم ASA لا تملك عنوانًا. ولكن عندما تمر حركة المرور عبر ASA، فإنها تستخدم NAT أو PAT لترجمة عناوين المصدر إلى العنوان الذي يمتلكه ASA – والكذب بشأن مصدر الطلب.
يقوم NAT وPAT بجعل هذه الحزم تعبر الإنترنت باستخدام عنوان الإرجاع الخاص بـ ASA. وبعد ذلك، بمجرد عودة الرد، تقوم ASA بتبديل الوجهة بالعنوان الداخلي للجهاز الذي قدم الطلب في المقام الأول.
هل يمكنك إنشاء شبكات VPN باستخدام ASA؟
نعم، تقدم أجهزة Cisco Adaptive Security Appliances دعم VPN لـ SSL أو IPsec أو كليهما. تعد أنفاق VPN أسهل بكثير في الإنشاء والصيانة باستخدام ASAs.
لنفترض أن أحد موظفيك، جيمس، يخرج لتناول القهوة ويريد الاتصال بالمقر الرئيسي للشركة. لديه اتصال عالي السرعة عبر DSL أو الكابل، لكنه يريد إرسال معلومات سرية أو حساسة.
لن ترغب في أن ينقل جيمس معلومات سرية بنص عادي عبر الإنترنت. يمكن بسهولة تسريب هذه البيانات ورؤيتها من قبل شخص لا ينبغي له رؤيتها. الحل هو بناء نفق VPN من جهاز جيمس مع وصول VPN عن بعد إلى ASA بحيث تكون مرحلة الرحلة من المقهى إلى ASA محمية إما باستخدام SSL أو IPsec؛ كلاهما يقومان بعمل رائع.
بمجرد إنشاء النفق بين جهازه وASA، سيكون لديه حق الوصول الكامل إلى نفس الموارد الداخلية تمامًا كما لو كان على شبكة المنطقة المحلية.
كيف تبدو ASAs؟
معظم ASAs عبارة عن أجهزة قابلة للتركيب على حامل تشبه المفاتيح. في الواقع، العديد منها لديها مفاتيح فعلية مدمجة فيها مباشرة. يعتبر ASA 5505 أصغر من ASAs الشقيقة، ولكنه لا يزال مزودًا بمحول 8 منافذ مدمج فيه. يدعم اثنان من المنافذ الثمانية الطاقة عبر شبكة إيثرنت، لذلك إذا كان لديك كاميرا أو نقطة وصول تحتاج إلى الطاقة، فيمكن أن يدعمها ASA الخاص بك.
يعد الطراز 5505 قويًا أيضًا لأنه يدعم الواجهات الافتراضية. يمكنك إنشاء واجهات منطقية: واحدة للداخل، وواحدة للخارج، وواحدة للمنطقة المجردة من السلاح، وكل واجهة من هذه الواجهات تتوافق مع شبكة VLAN. لذلك يمكن تعيين المنافذ لشبكات VLAN المختلفة بناءً على الواجهة التي نريد أن ترتبط بها، مما يجعلها قابلة للتخصيص للغاية وسهلة العمل معها.
أيهما أفضل: ASA GUI أم CLI؟
تعد واجهة سطر الأوامر وواجهة المستخدم الرسومية الخاصة بـ ASA طريقتين مختلفتين تمامًا للتعامل مع إدارة الجهاز، لكن اختلافاتهما تسمح أيضًا بكفاءات ونقاط قوة مختلفة. بعض الأشخاص يحبون واجهة المستخدم الرسومية، بينما يفضل البعض الآخر واجهة سطر الأوامر. لكن كلاهما لهما مكانهما.
من منظور واجهة المستخدم الرسومية، هناك بعض الأدوات الرائعة المتوفرة لتوفير الوقت. بالطبع، جميع التفاصيل الفردية للجهاز قابلة للتكوين من أي مكان، ولكن تخيل أنك كنت تتطلع إلى طرح شيء مثل AnyConnect، دعم SSL VPN للوصول عن بعد.
يعد تكوين ذلك يدويًا في CLI أمرًا ممكنًا للغاية. ومع ذلك، إذا كنت تريد إجراء نفس التكوين ولكن بشكل أسرع، فهناك معالج لذلك في واجهة المستخدم الرسومية. ضمن قائمة المعالجات، قم بالتمرير فوق معالجات VPN وانقر فوق AnyConnect VPN Wizard.
يطرح معالج AnyConnect VPN عدة أسئلة. قمت بإدخال الإجابات ويكتب التكوين المطلوب لك. إن الشيء العظيم في العمل في واجهة المستخدم الرسومية هو أنه يمكنك وضع جميع المعلومات فيها، والوصول مباشرة إلى النهاية، ثم بدلاً من الضغط على “موافق”، يمكنك نسخ بيانات التكوين ولصقها في برنامج “المفكرة”، وتحريرها، وتعديلها. قبل إدخاله يدويًا في CLI. تهدف هذه الدورة التدريبية المكثفة في وظائف ASA فقط إلى إثارة شهيتك لجهاز الأمان. تعد إدارة وتكوين جهاز أمان جدار الحماية الشامل من Cisco أداة ضرورية في أي حزام أدوات لمسؤول الشبكة، وهناك الكثير مما يجب معرفته حول تخصيص وتعديل نقاط القوة والقدرات العديدة لـ ASA.
