En attendant la version 9.3.2 de l’ASA qui devrait sortir avec son lot de nouveautés voici un petit point sur la version 9.3.1 qui est disponible depuis cet été. Cette version supporte les nouvelles fonction Next Gen Firepower qui seront présentées dans un prochain article
Nouvelles fonctions Firewall :
- L’ASA dispose d’une fonction unique TLS proxy qui permet de déchiffrer à la volée la signalisation de la ToiP Cisco, cette version 9.3.1 ajoute maintenant le déchiffrement et l’inspections des protocoles SIP et SCCP en IPv6 en plus d’IPv4 qui était déjà disponible.
- On en profite pour ajouter le support de SCCP v21 et donc l’interopérabilité avec le CUCM version 8.6
- Un mode transactionnel « Commit » est mis en place pour les Access-list et le NAT . Lorsque ce mode est activé l’update des règles n’est appliqué que lorsque la compilation est terminée sans affecter les performances de la table de filtrage.
Remote Access VPN :
- Ajoute du support de XenDesktop 7 avec le portail WebVPN.
- Amélioration des attributs “Custom” d’Anyconnect.
Les attributs “Custom” correspondent à des fonctions complémentaires qui permettent de configurer certaines fonctions du client d’Anyconnect :
Par exemple proposer à un utilisateur de repousser le moment d’un upgrade anyconnect.
Le format des attributs a été amélioré pour permettre des valeurs multiples et plus longue, il faut maintenant spécifier le type, le nom et la valeur de l’attribut.
Il est possible d’ajouter ces « custom » attributs dans une DAP ou un group policy.
ACIDEX (Anyconnect Identity Extensions), ce sont des attributs récupérés par Anyconnect et renvoyé à l’ASA comme par exemple l’adresse MAC ou l’EMEI pour les mobiles. Cette version apporte le support d’ACIDEX pour les Windows, MAC et Linux et communique le type d’OS et leur @MAC. Ces éléments peuvent par exemple être utilisés dans les Dynamic Access Policies de l’ASA (DAP)
TrustSec / AAA :
- TrustSec SGT Assignment pour le VPN : Cette fonction attendue depuis longtemps permet l’application d’un TAG (SGT) aux clients VPN connectés à l’ASA, cet assignement peut soit être effectué statiquement dans un group policy ou dynamiquement renvoyé comme attribut radius par ISE.
Ce tag pourra être retransmit à travers le réseau vers un autre équipement filtrant afin de limiter les accès des utilisateurs VPN.
- Ajoute du support du Tagging niveau 2 dans la trame Ethernet pour les interfaces Gigabits des ASA 5500-X et 5585-X. Cela permet l’interconnexion en mode TrustSec natif avec tous les switches Cisco qui supportent ce mode.
- Suppression de mode AAA « windows NTP domain authentication ». L’ASA ne supporte plus NTLM pour les utilisateurs VPN, la connexion LDAP native reste la plus utilisé pour l’interconnexion avec les Annuaires.
Optimisations :
Les paquets dans l’ASA sont automatiquement traités par un mécanisme de répartition de charge entre les différents processeurs, la version 9.3.1 permet de désactiver le mode auto de ce load-balancing.
Dans certains cas spécifique de trafic asymétriques il peut être utile d’interagir sur le system d’où l’introduction des commandes :
asp load-balance per-packet auto, show asp load-balance per-packet , show asp load-balance per-packet history , and clear asp load-balance history
Management :
- La MIB CISCO-REMOTE-ACCESS-MONITOR-MIB est maintenant supportée avec l’ ASA SM.
- Support du module Health avec des ASA en mode clustering.
Mode FW transparent :
En mode transparent l’ASA permettait de supporter 8 groupes de 4 interfaces, avec la 9.3.1 le nombre de groupes (Bridge-Group) passe de 8 à 250. Ce nombre est valable pour un ASA en mono-contextes mais également pour chaque contexte en mode multi-contextes. Pour rappel les asa supportent suivant les modèles jusqu’à 250 contextes.
Routage :
- Ajout du support de BGP pour les ASA en mode cluster.
- BGP supporte maintenant le mode NSF (Non-Stop Forwarding)
- Ajout du support des « Advertised maps » pour BGP
Pour rappel l’ASA supporte BGBv4, le support d’IPv6 pour BGP est prévu dans la 9.3.2 qui devrait être disponible avant fin Novembre.
- Le support de NSF a également été ajouté pour OSPFv2 et OSPFv3.
La release 9.3.1 est disponible pour l’ensemble de la gamme ASA-X, l’ASA-SM ainsi que pour la version virtuelle ASAv, vous trouverez plus d’informations sur le sujet dans la release notes :