Cisco PIX

Cisco PIX

Cisco PIX(Private Internet eXchange)는 일반적IP 방화벽 및 Network Address Translation(NAT; 네트워크주소 변환) 어플라이언스입니다.그것은 이 시장 세그먼트의 첫 번째 제품 중 하나였습니다.

2005년에 시스코는 많은 PIX 기능을 계승한 새로운 Cisco Adaptive Security Appliance(Cisco ASA)를 도입하여 2008년에 PIX 판매 종료를 발표했습니다.

PIX 테크놀로지는 Cisco Catalyst 6500 스위치시리즈 및 7600 라우터 시리즈용 블레이드 FireWall Services Module(FWSM; FireWall 서비스 모듈)로 판매되었지만 [1]2007년9월 26일 현재 지원 종료 상태가 되었습니다.

PIX

역사

PIX는 1994년 초에 캘리포니아주 레드우드 시티의 John Mayes에 의해 고안되었으며 조지아주 아테네의 Brantley Coile에 의해 설계 및 코딩되었습니다.PIX의 이름은, PIX의 크리에이터가, IP PBX에 상당하는 기능을 작성해, 그 시점에서 발생하고 있는 등록 IP 주소의 부족을 해결하는 것을 목적으로 하고 있기 때문에 붙여졌습니다.NAT 가 실행 가능한 어프로치로 조사되고 있던 시점에서는, PBX 가 내부 전화의 내선 번호에 대해서 실시하는 것과 같이, 1 개 또는 복수의 등록 IP 주소의 블록 또는 블록을 숨기려고 하고 있었습니다.RFC 1597과 RFC 1631이 시작되었을 때 논의되었지만 현재 익숙한 RFC 1918은 아직 제출되지 않았습니다.

설계 및 테스트는 1994년 Network Translation, Inc.의 John Mayes, Brantley Coile 및 Johnson Wu에 의해 수행되었으며, Brantley Coile은 단독 소프트웨어 개발자입니다.PIX 시리얼 번호 000000의 베타 테스트가 완료되어 1994년 12월 21일 캘리포니아 San Jose에 있는 KLA Instruments에서 첫 고객 접수가 이루어졌습니다.PIX는 곧바로 대기업 방화벽 제품의 하나가 되어,[2] 1995년 1월에 Data Communications Magazine 「Hot Product of the Year」상을 수상했습니다.

1995년 11월 Cisco가 Network Translation을 인수하기 직전 Mayes와 Coile은 Richard (Chip) Howes와 Pete Tenerillo라는 두 명의 오랜 파트너 Jim Jordan과 Tom Bohannon을 고용했습니다.이들은 Fineze OS와 현재 PIX Classic으로 알려진 Cisco PIX Firewall의 원래 버전을 함께 개발했습니다.이 기간 동안 PIX는 코드 대부분을 다른 시스코 제품인 Local Director와 공유했습니다.

2008년 1월 28일 시스코는 모든 Cisco PIX 보안 어플라이언스, 소프트웨어, 액세서리 및 라이선스의 판매 종료일과 판매 종료일을 발표했습니다.Cisco PIX 보안 어플라이언스플랫폼 및 번들을 구입한 마지막 날은 2008년7월 28일입니다악세사리 및 라이선스를 구입한 마지막 날은 2009년 1월 27일입니다.시스코에서는 [3][4]2013년7월 29일에 Cisco PIX 보안 어플라이언스 고객에 대한 지원이 종료되었습니다.

2005년 5월에 시스코에서는 PIX, VPN 3000 시리즈 및 IPS 제품 라인의 기능을 조합한ASA를 도입했습니다.ASA 시리즈의 디바이스에서는, PIX 코드 7.0 이후가 가동하고 있습니다.PIX OS 릴리스 7.x 에서는, PIX 와 ASA 는 같은 소프트웨어 이미지를 사용합니다.PIX OS 버전 8.x 이후로는 운영체제코드가 분산되어 ASA는 Linux 커널을 사용하고 PIX는 기존의 Filese/PIX OS [5]조합을 계속 사용합니다.

소프트웨어

PIX 에서는, Finese(Fast Internet Service Executive)라고 하는 커스텀 작성 전용의 operating system이 동작하고 있습니다만, 2014년 시점에서는, 이 소프트웨어는 PIX OS라고 불립니다.PIX 는, 스테이트검사를 실시하는 네트워크 레이어 방화벽으로 분류되지만, 그 액세스가 네트워크 레이어 라우팅에 한정되지 않고 소켓 베이스의 접속(포트 및 IP 주소:포트 통신은 레이어 4 로 행해지기 때문에, 보다 정확하게는 레이어 4 또는 트랜스포트 레이어 방화벽이라고 불립니다.디폴트에서는, 내부 접속(아웃바운드트래픽)을 허가해, 유효한 요구에의 응답 또는 Access Control List(ACL; 액세스컨트롤 리스트) 또는 배선에 의해서 허가된 착신 트래픽만을 허가합니다.관리자는 Network Address Translation(NAT; 네트워크주소 변환)이나 Port Address Translation(PAT; 포트 주소 변환)등의 다양한 기능을 실행하거나 Virtual Private Network(VPN; 가상 프라이빗 네트워크) 엔드 포인트어플라이언스로서 기능하도록 PIX 를 설정할 수 있습니다.

PIX는 "fixup" 명령어를 도입하여 시판되는 최초의 방화벽 제품이 되었습니다.PIX의 「fixup」기능을 사용하면, 방화벽은 특정의 프로토콜을 사용하고 있는 것으로 식별된 접속에 추가의 시큐러티 정책을 적용할 수 있습니다.특정 픽스업 동작이 개발된 프로토콜에는 DNS 및 SMTP가 포함됩니다.DNS 픽스업은 원래 매우 단순하지만 효과적인 보안 정책을 구현했습니다.이 정책은 인터넷상의 DNS 서버(외부 인터페이스라고 불립니다)에서 보호되고 있는(내부라고 불립니다) 인터페이스 상의 클라이언트로부터의 DNS 요구마다 1개의 DNS 응답만 허용합니다.PIX OS의 새로운 버전에서는, 「inspect」는 「fixup」을 대체하고 있습니다.

Cisco PIX는 IPSec VPN 게이트웨이 기능을 탑재한 최초의 시판 보안 어플라이언스이기도 합니다.

관리자는 Command Line Interface(CLI; 명령줄 인터페이스) 또는 Graphical User Interface(GUI; 그래피컬사용자 인터페이스)를 사용하여 PIX를 관리할 수 있습니다.시리얼 콘솔, Telnet SSH에서 CLI에 액세스할 수 있습니다.GUI 관리는 버전 4.1에서 시작되었으며 다음과 같은 몇 [6][7][8]가지 과정을 거쳤습니다.

  • PIX OS 버전 4.x 및 5.x 용 PIX Firewall Manager(PFM; PIX 방화벽 매니저). Windows NT 클라이언트에서 로컬로 동작합니다.
  • PIX OS 버전 6.x 용 PIX Device Manager(PDM; PIX Device Manager)로 https 에서 실행되며 Java가 필요합니다.
  • PIX OS 버전7 이후용 Adaptive Security Device Manager(ASDM). 클라이언트 상에서 로컬로 실행할 수도 있고 HTTPS 상에서 기능 저하 모드로 실행할 수도 있습니다.

시스코는 네트워크 변환에서 PIX를 취득했기 때문에 CLI는 원래 Cisco IOS 구문과 일치하지 않았습니다.버전 7.0 이후 설정은 IOS와 매우 비슷해졌습니다.

하드웨어

PIX 515 (상부 커버 제거 완료)

원래의 NTI PIX 및 PIX Classic에는 OEM 프로바이더Access에서 발신된 케이스가 있습니다.모든 플래시 카드와 초기 암호화 액셀러레이션카드(PIX-PL 및 PIX-PL2)는 Productivity Enhancement Products(PEP;[9] 생산성 향상 제품)에서 조달되었습니다.이후 모델에는 Cisco OEM 제조사의 케이스가 있었습니다.

PIX는 인텔 기반/인텔 호환 메인보드를 사용하여 구축되었으며, PIX 501은 Am5x86 프로세서를 사용하였으며, 기타 모든 스탠드 아론 모델은 Intel 80486 ~ Pentium III 프로세서를 사용하였습니다.

NTI PIX, PIX Classic, 10000, 510, 520 및 535의 경우 PIX는 독자 사양의 ISA 플래시 메모리 도터 카드를 기동하고, PIX 501, 506/506e, 515/515e, 525 및 WS-SVC-F-WM-1의 경우 내장 플래시 메모리를 기동합니다.후자는 Catalyst6500 및 7600 라우터용 Fire Wall Services Module에 실장되어 있는PIX 테크놀로지의 부품 코드입니다.

적응형 보안 어플라이언스(ASA)

적응형 보안 어플라이언스는 시스코가 만든 네트워크 방화벽입니다.Cisco PIX [10]회선을 대체하기 위해 2005년에 도입되었습니다.스테이트풀 방화벽 기능과 함께 ASA의 또 다른 초점은 Virtual Private Network(VPN; 가상개인 네트워크) 기능입니다.또한 침입 방지 및 Voice over IP 기능도 갖추고 있습니다.ASA 5500 시리즈는 5500-X 시리즈에 이은 것입니다.5500-X 시리즈는 하드웨어 액셀러레이션보안 모듈보다 가상화에 중점을 두고 있습니다.

역사

2005년에 시스코는 5510,[11] 5520 및 5540 모델을 출시했습니다.

소프트웨어

ASA는 PIX 코드베이스를 계속 사용하고 있습니다만, ASA OS 소프트웨어가 메이저버전 7.X에서8.X로 이행했을 때 Filese/Pix OS 운영체제시스템 플랫폼에서 Linux 운영시스템 플랫폼으로 이행했습니다.또, Cisco IPS 4200 침입 방지 시스템과 Cisco VPN 3000 콘센트레이터의 [12]기능도 통합하고 있습니다.

하드웨어

ASA는 Intel 80x86 하드웨어의 PIX 계보를 계속합니다.

보안 취약성

Cisco PIX VPN 제품은 2016년 이전 어딘가에서 NSA가[13] 묶은 그룹인 방정식 그룹에 의해 해킹되었습니다.방정식 그룹은 공격자에게 사전 공유 암호를 공개하는 코드명 BENGINCESTRIENT 도구를 개발했습니다(CVE-).2016-6415[14]).이퀄레이션 그룹은 나중에 The Shadow Brokers라고 불리는 다른 그룹에 의해 해킹당했고,[15][16][17][18] 다른 그룹들 중에서도 그 공적을 공개적으로 공표했다.Ars Technica에 따르면 NSA는 스노든[19]유출을 이유로 10년 이상 VPN 접속을 도청하기 위해 이 취약성을 이용했을 가능성이 높다.

Cisco ASA 브랜드도 방정식 그룹에 의해 해킹되었습니다.이 취약성을 사용하려면 공격자가 SSH와 SNMP 모두에 액세스할 수 있어야 합니다.NSA에 의한 이 공격에 부여된 코드명은 EXTRABACON이었습니다.버그와 악용(CVE-2016-6366[20])도 ShadowBrokers에 의해 동일한 부정 이용과 백도어 배치로 유출되었습니다.Ars Technica에 따르면 이 부정 이용은 유출된 부정 이용으로 처리할 [21]수 있는 것보다 더 최신 버전의 Cisco ASA에 쉽게 대응할 수 있습니다.

2018년 1월 29일 NCC 그룹의 Cedric Halbronn에 의해 Cisco ASA 브랜드의 보안 문제가 발견되었습니다.Cisco Adaptive Security Appliance(ASA; 맞춤형 보안 어플라이언스) 소프트웨어의 Secure Sockets Layer(SSL) VPN 기능에서 free-bug 후에 사용하면 인증되지 않은 리모트 공격자가 영향을 받는 시스템을 새로고침하거나 원격으로 코드를 실행할 수 있습니다.이 버그는 CVE-2018-0101[22][23][24]표시되어 있습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ "Cisco Services Modules - Support - Cisco".
  2. ^ "History of NTI and the PIX Firewall by John Mayes" (PDF).
  3. ^ "End of Sale for Cisco PIX Products". Cisco. 2008-01-28. Retrieved 2008-02-20.
  4. ^ "Cisco PIX 500 Series Security Appliances - Retirement Notification". Cisco. 2013-07-29. Retrieved 2018-11-04.
  5. ^ "Cisco open source license page". Retrieved 2007-08-21.
  6. ^ "FAQs for Cisco PFM". Retrieved 2007-06-19.
  7. ^ "Documentation on Cisco PDM". Retrieved 2007-06-19.
  8. ^ "Documentation on Cisco ASDM". Archived from the original on 2007-06-16. Retrieved 2007-06-19.
  9. ^ "Notes on PIX production".[영구 데드링크]
  10. ^ Joseph, Muniz; McIntyre, Gary; AlFardan, Nadhem (29 October 2015). Security Operations Center: Building, Operating, and Maintaining your SOC. Cisco Press. ISBN 978-0134052014.
  11. ^ Francis, Bob (May 9, 2005). "Security Takes Center Stage at Interop". InfoWorld. 27 (19): 16.
  12. ^ "Archived copy" (PDF). Archived from the original (PDF) on 2016-10-05. Retrieved 2016-02-11.{{cite web}}: CS1 maint: 제목으로 아카이브된 복사(링크)
  13. ^ "The NSA leak is real, Snowden Documents confirm". Retrieved 2016-08-19.
  14. ^ "National vulnerability database record for BENIGNCERTAIN". web.nvd.nist.gov.
  15. ^ "Researcher Grabs VPN Password With Tool From NSA Dump". Retrieved 2016-08-19.
  16. ^ "NSA's Cisco PIX exploit leaks". www.theregister.co.uk.
  17. ^ "Did the NSA Have the Ability to Extract VPN Keys from Cisco PIX Firewalls?". news.softpedia.com.
  18. ^ "NSA Vulnerabilities Trove Reveals 'Mini-Heartbleed' For Cisco PIX Firewalls". www.tomshardware.com.
  19. ^ "How the NSA snooped on encrypted Internet traffic for a decade". Retrieved 2016-08-22.
  20. ^ "National vulnerability database record for EXTRABACON". web.nvd.nist.gov.
  21. ^ "NSA-linked Cisco exploit poses bigger threat than previously thought". Retrieved 2016-08-24.
  22. ^ "National vulnerability database record - CVE-2018-0101". web.nvd.nist.gov.
  23. ^ "Advisory - Cisco Adaptive Security Appliance Remote Code Execution and Denial of Service Vulnerability". tools.cisco.com.
  24. ^ "CVE-2018-0101".
Wikimedia Commons에는 Cisco PIX 관련 미디어가 있습니다.