La version 9.0 du code asa est disponible au téléchargement sur cisco.com. Cette release est considérée comme majeur et apporte un bon nombre de nouvelles fonctions :
Clustering
Spécialement étudié pour les architectures Datacenter le clustering permet de combiner jusqu’à 8 ASA 5585 dans un unique cluster pour obtenir jusqu’à 128 Gbps de trafic réel (300 Gbps max) avec plus de 50 millions de connexions simultanées.
Les firewalls mis en cluster peuvent intégrer des modules IPS ce qui permet d’obtenir des débits IPS jusqu’à 60 Gbps.
Vous trouverez ci-dessous un tableau qui reprend les performances Firewall du mode cluster :
En plus des performances, le cluster dispose de fonctions de management centralisé avec une gestion automatique des différents cas de pannes.
Intégration des Security Group Tag
Il est maintenant possible d’intégrer l’ASA dans les architectures TrustSec et de filtrer sur des SGT.
L’asa peut récupérer automatiquement la liste des SGT via ISE et la table SGT-IP via le protocole SXP.
Un utilisateur qui s’authentifie sur un réseau 802.1x filaire ou wireless peut ainsi disposer de règles de filtrage personnalisées basée sur les tags.
La table de filtrage de l’ASA intègre ainsi en source et/ou destination la possibilité d’ajouter les noms des SGT comme critère de filtrage :
Multi-Context Enhancement :
Toujours dans un but d’améliorer les fonctions dans le cadre de la sécurité du Datacenter certaines fonctions sont maintenant disponibles en mode multi-context.
Il est par exemple maintenant possible de mixer dans un même Firewall mes contextes routés et les contextes transparents, ce qui peut s’avérer très utile dans le cadre d’un DC lorsque certaines applications nécessitent une adjacence de niveau 2
De plus il est maintenant possible d’activer le routage dynamique dans les contextes avec 2 process OSPF par contextes et 1 instance EIGRP
Toujours dans le cadre d’une architecture multi-contextes il est maintenant possible de terminer des tunnels VPN sites à Sites dans les contextes.
Pour assurer la gestion des ressources par contextes, il est possible d’intégrer dans la gestion des classes de ressources des limites sur la partie VPN et le routage.
IPv6
La version 9.0 du code ASA complète de façon significative les fonctions IPv6 du firewall de la partie VPN. Pour la partie Firewall l’ASA intègre maintenant les fonctions :
– Stateful Nat64 et NAT 66
– DHCPv6 et DNS64
– Unfified ACL v4 et v6
– IPv6 VPN Ikev2 avec IPv6 en adresse interne et externe ou un mixte v4,V6
Fonctions NAT64, DNS64 de l’ASA 9.0
Next Gen Crypto
En plus du support étendu d’ipV6 et du multi-context pour le site à site VPN, la version 9.0 de l’ASA supporte maintenant les nouvelles générations de crypto tel que défini par le set Suite-B :
- AES-GCM/GMAC support (128-, 192-, and 256-bit keys)
– IKEv2 payload encryption and authentication
– ESP packet encryption and authentication
- SHA-2 (Phase 3a) support (256-, 384-, and 512-bit hashes)
– ESP packet authentication
- ECDH support (groups 19, 20, and 21)
– IKEv2 key exchange
– IKEv2 PFS
- ECDSA support (256-, 384-, and 521-bit elliptic curves)
– IKEv2 user authentication
– PKI certificate enrollment
– PKI certificate generation and verification
La mise en place de ces nouvelles crypto est conditionné par l’utilisation des Hardware de dernière génération à savoir les 5500-x ou 5585-X, ainsi qu’une license anyconnect premium.
Nouveau Portail WebVPN
Une refonte complète de la partie SSL-VPN en mode portail à eté effectué dans cette release, avec comme nouveautés :
– Nouveau portail WebVPN
– Intégration SSO avec template et création automatique de profils SSO
– Browser de fichier Java
– Proxy supporté pour les plugins java
– Intégration XenAPP et XenDesktop avec SSO
– SSO pour XenDesktop 5.0
– Mobile receiver pour les infrastructure Xen
Cisco Cloud Web Security
Intégration d’un connecteur Cloud Web Security pour la redirection automatique du trafic Web vers les SAS Scansafe. Il devient ainsi possible d’utiliser en toute sécurité des ASA des sites remote comme point de sortie internet tout en profitant pour les flus http/HTTPS des fonctions de filtrage d’URL, Filtrage applicatifs et des fonctions de protections anti-malware.
Ce connecteur complète les connecteurs existant dans les routeurs ISR-G2 et dans le client VPN anyconnect. Ainsi l’ensemble des équipements de sécurité Cisco peuvent profiter de la puissance de la base de réputation Sensorbase et de SIO.