ASA 5510 + ASA-CSC20-PLUS= licentie

Je cisco reseller/accountmanger vast wel

Wat heb je nu aan hardware / licenties staan?

Is dit een nieuwe ASA met nieuwe CSC module of een bestaande ASA met nieuwe CSC module of een bestaande ASA met bestaande CSC module en wil je de licentie alleen vernieuwen?
En om hoeveel interne users gaat het?

ASA-CSC20-PLUS is een permanente licentie.
User licenties moet je wel per 1 of 2 jaar verlengen.

Er is een bundeltje van een ASA en CSC20 module.
Hier zit standaard korting op ten opzichte van een losse ASA en CSC module:

ASA5510-CSC20-K9 - ASA 5510 Appl w/ CSC20, SW, 500 Usr AV/Spy, 1 YR Subscript

Deze CSC module heeft een licentie voor 500 users.
Een user is een uniek IP adres wat de CSC module ziet in 24 uur.
Je moet upgraden van 500 naar 1000 users:

L-ASACSC20-USR1K= - ASA 5500 Content Security SSM-20 1000 User License

De basis licentie doet content blocking en antivirus.
Wil je ook URL filtering en spam filtering doen, heb je de Plus licentie nodig:

L-ASA-CSC20-PLUS= - ASA 5500 CSC SSM20 Plus Lic. (Spam/URL/Phish, 1Yr Subscript)

Deze licenties zijn een jaar geldig. Na dit jaar moet je verlengen. Voor 1 of 2 jaar verlenging:

L-ASACSC20-1KUP1Y - ASA 5500 CSC-SSM-20 1000-User w/ Plus Lic. Renewal (1-year)
L-ASACSC20-1KUP2Y - ASA 5500 CSC-SSM-20 1000-User w/ Plus Lic. Renewal (2-year)

-1KUP1Y verlengt de basis en plus licentie voor 1000 users.
-1KU1Y verlengt alleen de basis licentie voor 1000 users.
-1KP1Y verlengt alleen de plus licentie voor 1000 users.

L- is een eDelivery. De licentie (PAK code) krijg je via email in plaats van op papier.
Deze kan je registreren op www.cisco.com/go/license op je CCO / Cisco.com account.

Overigens zijn er serieuze performance problemen bij meer dan 750 users. Er wordt steeds meer gedownload en er wordt steeds meer bandbreedte vereist. De hardware van de CSC module trekt dit gewoon niet meer. Hou er rekening mee dat de CSC module gepositioneerd wordt in een MKB omgeving.

In dit geval zou ik naar een standaard ASA kijken i.s.m. een IronPort Websecurity appliance.
Hiermee kan je URL filtering doen en het heeft één of meer AV engines.

Overigens heeft Cisco recent nieuwe ASA's geïntroduceerd. (-X serie) Deze hebben multicore CPU en veel meer memory. Op de IronPort Websecurity appliance is het mogelijk om URL filtering te doen op basis van website reputatie score en bijvoorbeeld filteren binnen web applicaties. (Zo kan je bijvoorbeeld dingen binnen Facebook dicht zetten.) Op termijn gaat dit ook op de -X serie ASA's verschijnen. Maar dit duurt nog wel even. Antivirus gaan de nieuwe ASA's niet doen.

Heb je veel roaming users (thuiswerkers) of heb je veel verschillende locaties dan is Scansafe een optie.
Dit is de "cloud" variant van de Websecurity appliance.

Verwijderd schreef op vrijdag 27 april 2012 @ 12:03:
[...]


Dankje voor alle informatie, wat die 750 users betreft, dit is toch alleen het geval als deze gelijktijdig gebruik maken van de firewall?

Overigens bij de firewall zit ook een "ASA-AC-E-5510 AnyConnect Essentials VPN License - ASA 5510 (250 Users)" licentie. Moet deze ook verlengd worden?

Neen, normaliter zijn Anyconnect licenties niet tijdgebonden. Bij twijfel kun je dit overigens prima in de ASDM in het homescherm onder kopje licenses nakijken.

Verwijderd schreef op vrijdag 27 april 2012 @ 12:03:
Dankje voor alle informatie, wat die 750 users betreft, dit is toch alleen het geval als deze gelijktijdig gebruik maken van de firewall?

De CSC module kijkt naar het aantal unieke IP adressen binnen 24 uur, wat van de ASA van het interne netwerk, over de CSC module gerouteerd wordt. (Naar internet toe... Meestal.) Gelijktijdig is dus gelijktijdige sessies binnen 24 uur.

De CSC module zit via een interne gigabit lijn intern op de ASA gekoppelt.
Je kan een deel van het verkeer wel en een deel niet over de CSC module laten lopen, waardoor de CSC module minder interne IP adressen ziet. ( NAT / Proxy kan ook ) Maar dan heb je geen inzicht welke hosts geïnfecteerd dreigde te worden.

bazkar schreef op vrijdag 27 april 2012 @ 13:05:
Neen, normaliter zijn Anyconnect licenties niet tijdgebonden. Bij twijfel kun je dit overigens prima in de ASDM in het homescherm onder kopje licenses nakijken.

Dat klopt. Anyconnect Essentials is niet tijdgebonden.

Zie:
http://www.cisco.com/en/U...anagement/license_86.html

Spikey cloud, alvast mijn excuses dat ik 'inbreek' in je topic
Zoals ik de replies van Bl@ckbird lees heb je nogal wat ervaring met de CSC module voor de ASA. Zou ik mogen weten wat je ervaringen zijn met deze module?

Bij het bedrijf waar ik werk gebruiken we ook een ASA5510, hier zit op dit moment nog geen addon module in. Ik ben echter wel geinteresseerd in content filtering (+/- 50 concurrent users).

Heeft iemand trouwens ook ervaring met de ASA Botnet Traffic Filter addon (licentie)? Ik heb hiervan al eens een 3maanden trial gehad maar in die tijd had ik geen 'hits', zodoende moeilijk in te schatten of het voor ons een meerwaarde heeft/had.....

[ Voor 4% gewijzigd door mhofstra op 01-05-2012 22:01 ]

Ik heb het ding in m'n demolab hangen zonder dat dit een real-life omgeving is. Uit het veld (van Cisco resellers) hoor ik dat het ding niet goed performed bij grote aantallen users. ( Maar dan moet je meer aan de +500 users denken, ligt ook aan de trafficmix die er overheen gaat. ) De software die er op draait komt van Trendmicro. Als je een support / Smartnet contract hebt op je ASA kan je het grafische tooltje downloaden waarmee je de ASA kan beheren. (De ASDM.) Hier is ook een variant van die je lokaal kan instaleren in demo mode. Zoek even op "ASDM(versie nr)demo.msi" Je kan dan ook de GUI van de CSC bekijken. De ASDM draait dan in demo mode alsof er een ASA aan hangt.

Even Googlelen op het Cisco support forum kwam ik dit tegen:

Also, the sizing of the CSC is not necessarily about the number of users, but rather the number of connections that are inspected. The CSC-10 can handle about 500 simultaneous HTTP connections and the CSC-20 can handle about 1000 simultaneous HTTP connections.

https://supportforums.cisco.com/message/3364238

Het is overigens geen vervanging van desktop antivirus, maar een extra beveiligingschil. De CSC is Trendmicro en dan doe je er verstandig aan om op de desktops een andere AV fabrikant te hebben. (Kaspersky, of iets anders dan Trendmicro.)

Cisco heeft een tijdje terug Scansafe overgenomen en momenteel is er een integratie met ISR routers voor content / web scanning. Dit komt er ook voor de ASA. Nu duurt dit denk ik nog een half jaar en daarna duurt het nog een jaar voordat de CSC module End of Sale gaat, maar weet dat er ontwikkelingen zijn.

Botnet filter kan hosts detecteren die een "phone-home" doen. Met de nieuwste ASA firmware kan je dit ook blokkeren. Ze checken niet op virussen, alleen op de gevolgen er van. Check ook of je de botnet filter feature en logging goed hebt geconfigureerd. Om het echt goed te testen moet je mischien een PC infecteren of inrichten als honeypot. Maar dan moet je goed weten waar je mee bezig bent om infecties te voorkomen. Heeft je antivirus die je nu gebruikt infecties laten zien, die kunnen duiden op de aanwezigheid van malware?

Check even met een Cisco reseller. Je zou ook een mailtje kunnen doen aan licensing@cisco.com en een nieuwe evaluatie licentie aanvragen. (Of je Cisco reseller dit laten doen.) Als je een Smartnet support contract hebt kan je een support case openen bij Cisco TAC om je configuratie na te lopen van je ASA.

Bl@ckbird schreef op dinsdag 01 mei 2012 @ 23:54:
Ik heb het ding in m'n demolab hangen zonder dat dit een real-life omgeving is. Uit het veld (van Cisco resellers) hoor ik dat het ding niet goed performed bij grote aantallen users. ( Maar dan moet je meer aan de +500 users denken, ligt ook aan de trafficmix die er overheen gaat. ) De software die er op draait komt van Trendmicro. Als je een support / Smartnet contract hebt op je ASA kan je het grafische tooltje downloaden waarmee je de ASA kan beheren. (De ASDM.) Hier is ook een variant van die je lokaal kan instaleren in demo mode. Zoek even op "ASDM(versie nr)demo.msi" Je kan dan ook de GUI van de CSC bekijken. De ASDM draait dan in demo mode alsof er een ASA aan hangt.

Ik ben bekend met de ADSM. Zal de demo een starten om de CSC te bekijken.

Cisco heeft een tijdje terug Scansafe overgenomen en momenteel is er een integratie met ISR routers voor content / web scanning. Dit komt er ook voor de ASA. Nu duurt dit denk ik nog een half jaar en daarna duurt het nog een jaar voordat de CSC module End of Sale gaat, maar weet dat er ontwikkelingen zijn.

Bedoel je dat scansafe onderdeel wordt van een standaard ASA of ISR router? Of dat Cisco de trendmicro software van de CSC module vervangt voor Scansafe?

Botnet filter kan hosts detecteren die een "phone-home" doen. Met de nieuwste ASA firmware kan je dit ook blokkeren. Ze checken niet op virussen, alleen op de gevolgen er van. Check ook of je de botnet filter feature en logging goed hebt geconfigureerd. Om het echt goed te testen moet je mischien een PC infecteren of inrichten als honeypot. Maar dan moet je goed weten waar je mee bezig bent om infecties te voorkomen. Heeft je antivirus die je nu gebruikt infecties laten zien, die kunnen duiden op de aanwezigheid van malware?

Huidige desktop antivirus geeft geen malware aan. Mijn opmerking was meer bedoeld als "nog niet malware gehad wat een phone-home deed waarschijnlijk, zodoende geen 'echte' ervaring opgedaan met de botnet filter feature". Jij wel begrijp ik?

Heb je ook ervaring met de AIP module? link

mhofstra schreef op woensdag 02 mei 2012 @ 10:06:
Bedoel je dat scansafe onderdeel wordt van een standaard ASA of ISR router? Of dat Cisco de trendmicro software van de CSC module vervangt voor Scansafe?

Scansafe is de eigen antivirus dienst van Cisco. Content wordt daarbij in de cloud gescant op malware. Dit is al beschikbaar op de ISR routers en vereist een licentie en Security IOS op de router. Zolang de CSC blijft verkopen zal Cisco het niet EoS verklaren, maar de software op de CSC module is third-party, dus het ligt wel in de lijn van verwachting.

Overigens blijft het product daarna nog wel een tijdje supported:
http://www.cisco.com/en/U...s_end-of-life_policy.html

mhofstra schreef op woensdag 02 mei 2012 @ 10:06:
Huidige desktop antivirus geeft geen malware aan. Mijn opmerking was meer bedoeld als "nog niet malware gehad wat een phone-home deed waarschijnlijk, zodoende geen 'echte' ervaring opgedaan met de botnet filter feature". Jij wel begrijp ik?

Heb je ook ervaring met de AIP module? link

Met het botnet filter kan je detecteren of host geïnfecteerd zijn geraakt door malware. En je kan ze dan opnieuw imagen. Daarnaast kan je voorkomen dat een host een phone-home doet waardoor een botmaster de geïnfecteerde host kan gebruiken voor z'n botnet. (Spam versturen, vissen naar creditcard gegevens, DDoS aanvallen en waar je een Botnet nog meer voor kan gebruiken.) Een virusuitbraak houdt het botnet filter niet tegen.

Op de AIP draait IPS software. Deze software heeft dezelfde features als de software op de 4200 / 4300 IPS aplliances en de IPS module voor de ISR routers.

Scansafe / CSC module doet URL filtering en file-based antivirus. IPS beschermt meer tegen wormen en server-side scripting aanvallen. Met een firewall kan je poorten blokkeren. Een IPS kijkt dieper in het verkeer. Voldoet verkeer bijvoorbeeld aan het patroon van MSN verkeer, dan kan je dit blokkeren. (Ondanks dat het niet standaard MSN TCP poorten gebruikt.)

Scansafe / CSC module gebruik je meestal om clients / hosts te beschermen, een IPS module / appliance meestal om servers te beschermen. Een aardige omschrijving van IPS is hier te vinden. Bij een IPS module / appliance dien je altijd een "Smartnet for IPS services" support contract te nemen voor de signature updates. Anders is het gewoon een stuk ijzer.