Защита периметра от сетевых угроз с помощью
межсетевых экранов Cisco ASA и ASA NG
Руслан Иванов
Системный инженер-консульт...
Изменение людей

СТУДЕНТОВ
ВУЗОВ

СТУДЕНТОВ ВУЗОВ И
МОЛОДЫХ СПЕЦИАЛИСТОВ

И
Воздух
Вода
Продукты
Защита
Интернет
СЧИТАЮТ И...
Изменение приложений

+

=
1 из 5 сотрудников использует сервис хранения
Dropbox на работе
Использование Dropbox по должности

Персонал и
руководител...
Изменение ландшафта угроз

1 022 989

веб-сайтов
скомпрометировано

26 417 304 случая несанкционированного доступа к
данны...
Адаптация к изменениям

На одно правило межсетевого экрана…
…приходится 999 999 исключений.

(Источник: руководитель служб...
Увеличение требований к обеспечению
безопасности
Повсеместная защита всех компонентов

Реализация политик допустимого испо...
Продукты безопасности Cisco в современном мире
A T T A C K

C O N T I N U U M

Управление
Применение
Защита

Обнаружение
Б...
Обзор

Архитектура
Управление
устройствами
Применение политик

C97-729687-00 © 2013 Cisco and/or its affiliates. All right...
• Использует в качестве основы ASA stateful inspection
firewall;
• Предоставляет следующие продвинутые (NGFW)
сервисы:
̶ Р...
1.4 Gbps NGFW
600 Mbps NGFW + IPS
1M Connections
50,000 CPS

200 Mbps NGFW
60 Mbps NGFW + IPS
100K Connections
10,000 CPS
...
New
with 9.2
New
with 9.2

ASA 5585-SSP60
ASA 5585-SSP40

ASA 5585-SSP20

ASA 5585-SSP10
2 Gbps NGFW
1 Gbps NGFW + IPS
500...
До NGFW 9.2
• PRSM управляет:
̶ NGFW
̶ Настройками Syslog*

• Политики применяются к группам
устройств
• Политики могут:
̶...
Дополнительно NGFW 9.2 поддерживает:
• Поддержка режима Active/Standby:
PRSM может распознать отказоустойчивую пару и
посч...
Улучшения в NGFW 9.2:
• Роли для интерфейсов – наборы интерфейсов,
которые могут быть использованы для создания
политик бе...
Требования к
оборудованию

Требования к ПО

• Для платформ 5512-X, 5515-X, 5525-X,
5545-X, 5555-X требуется SSD диск.

• A...
Обзор

Архитектура
Управление
устройствами
Применение политик

C97-729687-00 © 2013 Cisco and/or its affiliates. All right...
SSP 40 and
60 Support
New with
NGFW 9.2

Two Hard Drives Raid 1
(Event Data)

10 GE and GE Ports

C97-729687-00 © 2013 Cis...
URL Category/Reputation
HTTP Inspection

AVC
TLS Proxy

Multiple Policy Decision
Points

TCP Proxy

NGFW IPS

TCP Normaliz...
Корпоративная сеть

TLS Proxy

Web-сервер

1. Согласование
алгоритмов

4. Client authenticates “server”
certificate

Серти...
Расшифровывает SSL и TLS трафик через любые порты
Самоподписанные (default) сертификаты или корпоративный PKI
• Самоподпис...
New with
NGFW 9.2

• Заставить клиентов использовать наилучшие практики работы с сертификатами
• Изменения в политиках дос...
Поддерживается более 1200 приложений
Использует преимущества Cisco® Security Intelligence Operation (SIO)
• По умолчанию, ...
Уязвимость нулевого дня Internet Explorer (IE)

Cisco Continuous Intelligence
Day 0:
Site Blocked
Malicious Site
By Cisco
...
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.

Cisco Confidential

26

2
“В долгорочной перспективе более 60% Java инстялляций никогда
не поддерживаются в «свежем» состоянии. Поскольку такое
коли...
• Обнаружена – 27 августа 2012 года
• Анализ -- http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-informat...
Как это работает
• Зашифрованный javascript в index.html
• Уязвимость атакует Java 7 (1.7) Update 0 до 6. Не атакует Java ...
Как отреагировала Cisco?

C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.

Cisco Confidential

30

...
Cisco Security Intelligence Operation (SIO)
24x7x365

600+

OPERATIONS

ENGINEERS, TECHNICIANS
AND RESEARCHERS

$100M+
SPE...
Выделенные или взломанные
сайты, которые устанавливают
троянцев, перехватчики
клавиатуры и руткиты.
Безусловная угроза.

-...
Применение корпоративных правил доступа к разным
категориям
Предопределённые или собственные URL-категории
78 предопределё...
New with
NGFW 9.2

Упрощённая
настройка
• Политики на основе
применимости риска
• Фокус на угрозы, а не на
сигнатуры

Бога...
New with
NGFW 9.2

Интегрированный

Выделенный

• Угрозы

Гибкий

Простой

• Автоматическое
обновление всех
компонентов

•...
Требует HTTP-запрос для начала аутентификации
1. ASA NGFW перехватывает HTTP-запрос от клиента к сайту;
2. ASA NGFW перена...
Устройство должно входить в домен Active Directory
Поддерживается для любого трафика и любых клиентов
Требует Cisco® Conte...
Обзор

Архитектура
Управление
устройствами
Применение политик

C97-729687-00 © 2013 Cisco and/or its affiliates. All right...
Cisco® SIO

ASA NGFW

Application Identification Updates

PRSM

RESTful XML
[REST = Representational State Transfer]

Reli...
New with
NGFW 9.2

• Когда первая ASA добавляется в PRSM, другое устройство обнаруживается автоматически;
• В большинстве ...
New with
NGFW 9.2

NGFW поддерживает все режимы ASA (маршрутизируемый,
прозрачный, смешанный)
В каждом контексте нужно явн...
Обзор

Архитектура
Управление
устройствами
Применение политик

C97-729687-00 © 2013 Cisco and/or its affiliates. All right...
Политики применяют действия к некоторому подмножеству сетевого трафика
Типы политик
•
•
•
•

Доступ (ASA inbound, context-...
Используются при создании политик
• Требуются, чтобы понять, какую политику применить.

Можно использовать как предопредел...
Используются при создании политик
• Применяются после срабатывания политики

Профиль фильтрации типов файлов
• Блокировани...
New with
NGFW 9.2

Существует три типа политик доступа:
Политики для входящего в ASA трафика
• Применяются на входе;
• Име...
New with
NGFW 9.2

• Возможность управлять настройками ASA NAT из PRSM;
• PRSM оперирует политиками NAT (ASA 8.3+);
• Три ...
New with
NGFW 9.2

C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.

Cisco Confidential

48
New with
NGFW 9.2

Наборы политик бывают:
̶ Универсальные – набор политик используется всеми устройствами;
̶ Разделяемые –...
New with
NGFW 9.2

Применяется только для политик, учитывающих
контекст соединения

Ограничивает полосу пропускания для ка...
New with
NGFW 9.2

Применяется только для политик, учитывающих
контекст соединения

Блокирование поисковых запросов для
по...
New with
NGFW 9.2

C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.

Cisco Confidential

52
New with
NGFW 9.2

Набор интерфейсов может использоваться в политиках
(входящих или исходящих)
Интерфейсам должны быть пре...
New with
NGFW 9.2

Функционал NGFW IPS лицензируется отдельно,
является подписным сервисом (1, 3, 5 лет).
Кнопка ВКЛ/ВЫКЛ ...
New with
NGFW 9.2

Оптимизировано для защиты от эксплойтов
Три варианта реакции:
• Block and Monitor
• Allow and Monitor
•...
#CiscoConnectRu

Спасибо
Пожалуйста, заполните анкеты.
Ваше мнение очень важно для нас.
Руслан Иванов
Системный инженер-ко...
Upcoming SlideShare
Loading in...5
×

Защита периметра от сетевых угроз с помощью

500

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
500
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Защита периметра от сетевых угроз с помощью

  1. 1. Защита периметра от сетевых угроз с помощью межсетевых экранов Cisco ASA и ASA NG Руслан Иванов Системный инженер-консультант ruivanov@cisco.com 13.01.2 014 © 2013 Cisco and/or its affiliates. All rights reserved.
  2. 2. Изменение людей СТУДЕНТОВ ВУЗОВ СТУДЕНТОВ ВУЗОВ И МОЛОДЫХ СПЕЦИАЛИСТОВ И Воздух Вода Продукты Защита Интернет СЧИТАЮТ ИНТЕРНЕТ ОСНОВНЫМ ЧЕЛОВЕЧЕСКИМ РЕСУРСОМ МОЛОДЫХ СПЕЦИАЛИСТОВ ГОВОРЯТ, ЧТО ОНИ НЕ МОГЛИ БЫ ЖИТЬ БЕЗ ИНТЕРНЕТА Отчет по глобальным сетевым технологиям: http://www.cisco.com/en/US/netsol/ns1120/index.html
  3. 3. Изменение приложений + =
  4. 4. 1 из 5 сотрудников использует сервис хранения Dropbox на работе Использование Dropbox по должности Персонал и руководитель Все отделы Директор и вицепрезидент Руководители высшего звена Только ИТ-отдел Справочные сведения: http://gigaom.com/cloud/guess-what-mr-cio-one-in-five-of-your-employees-use-dropbox-for-work-files/
  5. 5. Изменение ландшафта угроз 1 022 989 веб-сайтов скомпрометировано 26 417 304 случая несанкционированного доступа к данным Черный список URL-адресов вредоносных программ, декабрь 2012 г. http://www.stopbadware.org/ Несанкционированный доступ к данным в 2012 г.: http://www.privacyrights.org/data-breach/new
  6. 6. Адаптация к изменениям На одно правило межсетевого экрана… …приходится 999 999 исключений. (Источник: руководитель службы инф. безопасности крупного финансового учреждения)
  7. 7. Увеличение требований к обеспечению безопасности Повсеместная защита всех компонентов Реализация политик допустимого использования Надежные функции межсетевой защиты с контролем состояния Повсеместный доступ с любого устройства
  8. 8. Продукты безопасности Cisco в современном мире A T T A C K C O N T I N U U M Управление Применение Защита Обнаружение Блокирование Защита Масштаб Содержание Избегание Firewall NGIPS Advanced Malware Protection Next Generation Firewall Web Security Network Behavior Analysis Cisco ISE Email Security VPN UTM C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
  9. 9. Обзор Архитектура Управление устройствами Применение политик C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
  10. 10. • Использует в качестве основы ASA stateful inspection firewall; • Предоставляет следующие продвинутые (NGFW) сервисы: ̶ Репутационная фильтрация веб трафика для защиты от вредоносного ПО; ̶ URL-фильтрация доступа к разным категориям сайтов на основе заданной политики; ̶ Контроль использования приложений Application visibility and control (AVC) ̶ Защита от угроз (NGFW IPS) C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
  11. 11. 1.4 Gbps NGFW 600 Mbps NGFW + IPS 1M Connections 50,000 CPS 200 Mbps NGFW 60 Mbps NGFW + IPS 100K Connections 10,000 CPS 350 Mbps NGFW 90 Mbps NGFW + IPS 250K Connections 15,000 CPS 650 Mbps NGFW 300 Mbps NGFW + IPS 500K Connections 20,000 CPS 1 Gbps NGFW 450 Mbps NGFW + IPS 750K Connections 30,000 CPS ASA 5555-X ASA 5545-X ASA 5525-X ASA 5515-X ASA 5512-X Защита филиалов C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Защита доступа в Интернет/границы сети Cisco Confidential 11
  12. 12. New with 9.2 New with 9.2 ASA 5585-SSP60 ASA 5585-SSP40 ASA 5585-SSP20 ASA 5585-SSP10 2 Gbps NGFW 1 Gbps NGFW + IPS 500K Connections 40,000 CPS 5 Gbps NGFW 1.5 Gbps NGFW + IPS 1 Million Connections 75,000 CPS Защита доступа в Интернет/границы сети C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. 9 Gbps NGFW 2.5 Gbps NGFW + IPS 1.8 Million Connections 120,000 CPS 13 Gbps NGFW 4 Gbps NGFW + IPS 4 Million Connections 160,000 CPS Защита доступа в Интернет/границы сети Cisco Confidential 12
  13. 13. До NGFW 9.2 • PRSM управляет: ̶ NGFW ̶ Настройками Syslog* • Политики применяются к группам устройств • Политики могут: ̶ Разрешить или запретить NGFW 9.2 • PRSM управляет: ̶ NGFW ̶ Настройками Syslog* ̶ Конфигурацией NAT* ̶ Правилами МСЭ на ASA* • Политики могут быть: ̶ Локальными для данного устройства ̶ Разделяемыми ̶ Универсальными • Политики могут: ̶ Разрешить, выдать предупреждение**, или запретить * В режиме управления несколькими устройствами (off-box PRSM). Для одного устройства требуется ASDM или CSM. ** Пользователь может прочитать страницу предупреждения и получить доступ к запрашиваемому ресурсу. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
  14. 14. Дополнительно NGFW 9.2 поддерживает: • Поддержка режима Active/Standby: PRSM может распознать отказоустойчивую пару и посчитать её как одно устройство (с точки зрения лицензирования, настроек и отчетов); ̶ • Защита от интернет-угроз NGFW IPS; • Новые модули NGFW Cisco® ASA 5585-X SSP 40, 60: ̶ NGFW теперь поддерживается на всех моделях ASA, кроме 5505. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
  15. 15. Улучшения в NGFW 9.2: • Роли для интерфейсов – наборы интерфейсов, которые могут быть использованы для создания политик безопасности; • Ограничение полосы пропускания; • Поддержка Safe search. Примечание: Не все эти функции поддерживаются во всех типах политик. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
  16. 16. Требования к оборудованию Требования к ПО • Для платформ 5512-X, 5515-X, 5525-X, 5545-X, 5555-X требуется SSD диск. • ASA должна использовать код не ниже версии 9.1.3 • Для 5585-X SSP10, 20, 40, 60 для функционала NGFW необходим отдельный аппаратный модуль. • NGFW должен использовать 9.2 • Сервер PRSM должен использовать 9.2 Примечание: Сервер PRSM 9.2 может управлять МСЭ ASA под управлением ПО 9.0.1 или выше, если ASA без NGFW-сервиса. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
  17. 17. Обзор Архитектура Управление устройствами Применение политик C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
  18. 18. SSP 40 and 60 Support New with NGFW 9.2 Two Hard Drives Raid 1 (Event Data) 10 GE and GE Ports C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. 8 GB eUSB (System) NGFW GE Management Ports ASA Cisco Confidential 18
  19. 19. URL Category/Reputation HTTP Inspection AVC TLS Proxy Multiple Policy Decision Points TCP Proxy NGFW IPS TCP Normalization NAT TCP Intercept Routing IP Option Inspection ACL IP Fragmentation VPN Termination NGFW ASA Botnet Traffic Filter C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
  20. 20. Корпоративная сеть TLS Proxy Web-сервер 1. Согласование алгоритмов 4. Client authenticates “server” certificate Сертификат генерируется автоматически для каждого сервера, но подписан ASA NGFW 1. Согласование алгоритмов 3. Создание спроксированного сертификата 3. Аутентификация серверного сертификата 5. Генерация ключей шифрования 5. Генерация ключей шифрования 6. Зашифрованный туннель установлен 6. Зашифрованный туннель установлен • Две РАЗНЫХ сессии, РАЗНЫЕ сертификаты, и РАЗНЫЕ ключи • ASA NGFW работает в данном примере как CA и выпускает сертификат для Web-сервера C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
  21. 21. Расшифровывает SSL и TLS трафик через любые порты Самоподписанные (default) сертификаты или корпоративный PKI • Самоподписанный сертификат может быть загружен на клиента и добавлен в хранилище доверенных сертификатов Политики контроля зашифрованного трафика определяют, какой трафик должен подвергнуться инспекции • ASA NGFW не может определить имя хоста в клиентском запросе, так как оно зашифровано, поэтому использовать его для выбора политики не получится • FQDN и/или URL-категория определяются по серверному сертификату Если требуется инспектирование зашифрованного трафика, ASA NGFW работает как посредник • Создается новый сертификат, подписанный ASA NGFW или корпоративным CA • Поля FQDN и сроки действия нового сертификата копируются из оригинального серверного сертификата • Несовпадения имен и истекшие сертификаты игнорируются и должны обрабатываться клиентом!!! C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
  22. 22. New with NGFW 9.2 • Заставить клиентов использовать наилучшие практики работы с сертификатами • Изменения в политиках доступа для нерасшифрованного HTTPS трафика: ̶ Хост, доменное имя, и web-категория могут быть использованы в URL-объектах для выбора политики; ̶ Фильтрация на основе Web-репутации может быть применена к HTTPS-трафику. ̶ Серверный сертификат используется для определения FQDN. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
  23. 23. Поддерживается более 1200 приложений Использует преимущества Cisco® Security Intelligence Operation (SIO) • По умолчанию, PRSM и ASA NGFW проверяют обновления описаний приложений каждые 5 минут Поддерживаемые приложения определяются на любом порту Поддерживаются три уровня атомарности • Тип приложения: ̶ Например: Collaboration, Facebook, games, social networking • Приложение: ̶ Например: BitTorrent, Cisco phones, ftp-agent, ftp-agent, Google Translate, iTunes, LDAP, oracle-sqlnet, RADIUS, WCCP, WebEx® • Поведение приложения: ̶ Например, можно разрешить приложения типа collaboration, но запретить загрузку файлов из сети компании наружу. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
  24. 24. Уязвимость нулевого дня Internet Explorer (IE) Cisco Continuous Intelligence Day 0: Site Blocked Malicious Site By Cisco Detected Day 8: Site Volume Up Malware Detected Traditional Response Day 14: IPS Sig Published C&C Server Blocked 40+ Malicious “Parked” Domains Blocked Day 16: A/V “A” Partial Sig Published Day 17: A/V “B” Sig Published Security Advisory Issued Day 18: A/V “C, “D” & Full “A” Sig Published IE Patched Угрозы и атаки нулевого дня с более чем 40 «припаркованных» доменов Подход конкурентов: бесконечная гонка против хакеров остановлены репутацией и кросс-платформенными алгоритмами Подход Cisco: остановить атаки на источнике разоружить атакующих C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25
  25. 25. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26 2
  26. 26. “В долгорочной перспективе более 60% Java инстялляций никогда не поддерживаются в «свежем» состоянии. Поскольку такое количество компьютеров не обновлено, даже старые эксплиты могут использоваться для компрометации жертв. …Мы обнаружили, что во время первого месяца после выпуска патча, уровень адаптации не превышает 10%. Через 2 месяца, примерно 20% устанавливают патчи и через 3 месяца 30%. Мы определили, что самый высокий уровень установки патчей был 38% с Java Version 6 Update 26 через три месяца после релиза.” - Marcus Carey, Rapid7 Source: Krebs on Security “New Java Attack Rolled into Exploit Packs”. March, 2012. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27 2
  27. 27. • Обнаружена – 27 августа 2012 года • Анализ -- http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html • Впервые сообщено об аналогичной уязвимости – 10 августа 2012 года Марком Вуглером • Oracle выпустил update 7 (7u7), который исправляет эту уязвимость C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28 2
  28. 28. Как это работает • Зашифрованный javascript в index.html • Уязвимость атакует Java 7 (1.7) Update 0 до 6. Не атакует Java 6 и ниже • Работает на всех браузерах, в том числе и Google Chrome • Не оказывает видимого влияния на работу браузеров • При загрузке вредоносного кода, если система не уязвима, атака останавливается. С точки зрения пользователя невозможно сказать, была ли атака успешной, или же нет. • Если атака успешна, она загружает и выполняет вредоносный двоичный код, который вызывается с другого DNS/IP hello.icon.pk / 223.25.233.244 C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29 29
  29. 29. Как отреагировала Cisco? C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30 30
  30. 30. Cisco Security Intelligence Operation (SIO) 24x7x365 600+ OPERATIONS ENGINEERS, TECHNICIANS AND RESEARCHERS $100M+ SPENT IN DYNAMIC RESEARCH AND DEVELOPMENT 40+ 80+ LANGUAGES PH.D.S, CCIE, CISSP, MSCE 0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 Cisco SIO 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111 101 1100001 11000 111 Email Networks Web Endpoints Visibility Cloud Actions IPS Devices Information WWW IPS AnyConnect WWW ESA ASA WSA Control 1.6M 35% 3 to 5 200+ GLOBAL SENSORS WORLDWIDE EMAIL TRAFFIC MINUTE UPDATES PARAMETERS TRACKED 75TB 13B 5,500+ 70+ DATA RECEIVED PER DAY WEB REQUESTS IPS SIGNATURES PRODUCED PUBLICATIONS PRODUCED 150M+ 8M+ DEPLOYED ENDPOINTS RULES PER DAY C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
  31. 31. Выделенные или взломанные сайты, которые устанавливают троянцев, перехватчики клавиатуры и руткиты. Безусловная угроза. -10 Агрессивное использование рекламы с Множества сайтов, использующие технологии слежения за пользователем. Сайты подозреваются в использовании вредоносных технологий. -5 Фишинговые сайты, боты и т.д. Почти всегда имеют вредоносный контент. Сайты с некоторой историей реакции на инциденты или имеющие репутацию от третьей стороны 0 +5 Сайты с хорошей историей реакции на инциденты. Контент генерируется пользователями или собирается с других сайтов +10 Сайты с хорошей историей реакции на инциденты. Генерируют большое количество трафика и часто посещаются Профиль репутационной фильтрации по умолчанию Вредоносные (от -10 к -6) C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Не вредоносные (от -5.9 к +10) Cisco Confidential 32
  32. 32. Применение корпоративных правил доступа к разным категориям Предопределённые или собственные URL-категории 78 предопределённых URL-категорий 20,000,000+ URL категоризировано Мы говорим на 60+ языках народов мира Использует Cisco® Security Intelligence Operation (SIO) ̶ Взаимодействует с функционалом определением приложений AVC; ̶ По умолчанию, PRSM и NGFW проверяют обновления каждые 5 минут. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33
  33. 33. New with NGFW 9.2 Упрощённая настройка • Политики на основе применимости риска • Фокус на угрозы, а не на сигнатуры Богатый набор политик • Политика IPS часть общей политики доступа NGFW Высокая динамичность • Ежедневные и ежечасные обновления: ̶ Угроз / сигнатур • Работает с репутацией источника C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. • Опирается на знание приложения ̶ Аналитических движков ̶ Репутации Cisco Confidential 34
  34. 34. New with NGFW 9.2 Интегрированный Выделенный • Угрозы Гибкий Простой • Автоматическое обновление всех компонентов • Сигнатуры • Широкое покрытие • Настраиваемые и собственные сигнатуры • Широкий набор реакций Готово для ЦОД • Набор для границы сети/Интернета Эффективный • Настройки на основе анализа риска • Использование App ID и Web-репутации NGFW IPS C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. ASA IPS Cisco Confidential 35
  35. 35. Требует HTTP-запрос для начала аутентификации 1. ASA NGFW перехватывает HTTP-запрос от клиента к сайту; 2. ASA NGFW перенаправляет клиента на внутренний интерфейс ASA (по умолчанию порт 885); Перенаправление происходит с помощью команды proxy redirect (HTTP return code 307) – мы подменяем удаленный сайт ̶ 3. ASA отправляет клиенту запрос на аутентификацию (HTTP return code 401) 4. После аутентификации, ASA NGFW перенаправляет клиента обратно на запрошенный сайт (HTTP return code 307) После аутентификации, ASA NGFW использует IP-адрес для сопоставления с пользователем • Весь трафик и приложения (не только HTTP) теперь будут ассоциированы с данным пользователем Интеграция с корпоративной инфраструктурой Поддерживаемые каталоги пользователей: • • • Microsoft Active Directory OpenLDAP IBM Tivoli Directory Server C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36
  36. 36. Устройство должно входить в домен Active Directory Поддерживается для любого трафика и любых клиентов Требует Cisco® Context Directory Agent (CDA): ̶ Отдельный сервер на Linux, который может быть запущен как виртуальная машина (VM); ̶ Интуитивный web-GUI и похожая на Cisco IOS® командная строка • CDA собирает информацию с Active Directory; • CDA кэширует информацию; • ASA NGFW/PRSM запрашивает с CDA информацию о пользователях; • ASA NGFW/PRSM запрашивает с Active Directory информацию о членстве в группе AD. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37
  37. 37. Обзор Архитектура Управление устройствами Применение политик C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38
  38. 38. Cisco® SIO ASA NGFW Application Identification Updates PRSM RESTful XML [REST = Representational State Transfer] Reliable Binary Logging HTTPS C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. HTTPS Cisco Confidential 39
  39. 39. New with NGFW 9.2 • Когда первая ASA добавляется в PRSM, другое устройство обнаруживается автоматически; • В большинстве случаев, PRSM считает пару за одно устройство; • Настройки отказоустойчивости могут быть изменены в PRSM после добавления устройств: ̶ Изменить или добавить stateful failover link; ̶ Включить или выключить репликацию HTTP. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40
  40. 40. New with NGFW 9.2 NGFW поддерживает все режимы ASA (маршрутизируемый, прозрачный, смешанный) В каждом контексте нужно явно настроить перенаправление ASA NGFW работает как единое устройство с ASA и использует VCID для каждой транзакции Политики ASA NGFW глобальные и применяются ко всем контекстам на ASA Поддерживается активная аутентификация с возможностью задания порта на ASA В журналах PRSM отображаются имена контекстов При ролевой настройке интерфейсов можно использовать информацию о контексте C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41
  41. 41. Обзор Архитектура Управление устройствами Применение политик C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42
  42. 42. Политики применяют действия к некоторому подмножеству сетевого трафика Типы политик • • • • Доступ (ASA inbound, context-aware, ASA outbound) – определяет, какой трафик применить, а какой отбросить; Идентификации – определяет, какой трафик требует явной аутентификации пользователя и каким образом; Шифрования – определяет, какой из зашифрованных SSL и TLS трафик требует инспектирования и досмотра; NAT – определяет, какой трафик требует сетевой трансляции адресов Network Address Translation (NAT). Набор политик – это упорядоченный список политик определенного типа • Политики применяются сверху вниз – порядок следования имеет значение! • Как минимум, каждому типу политик соответствует хотя бы один набор политик; • Если политика не указана, действует правило по умолчанию. Политики по умолчанию для набора политик: • Политики доступа имеют правило по умолчанию разрешить всё; • Политики шифрования по умолчанию не расшифровывают трафик; • Политики идентификации по умолчанию не требуют аутентификации. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43
  43. 43. Используются при создании политик • Требуются, чтобы понять, какую политику применить. Можно использовать как предопределённые объекты, так и созданные администратором Множество типов • Исходящая сеть или сеть назначения; • Идентификация пользователя; • Тип устройства, ОС и клиента: ̶ Cisco AnyConnect® Secure Mobility; ̶ Строка UserAgent в HTTP-запросе. • Запрашиваемый URL; • Приложение или тип приложения. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44
  44. 44. Используются при создании политик • Применяются после срабатывания политики Профиль фильтрации типов файлов • Блокирование скачивания указанных MIME-типов; • Блокировка закачивания определённых MIME-типов. Профили репутационной Web-фильтрации • Указывает пороговое значение срабатывания Web-фильтра; • Значение по умолчанию -6. Профили противодействия угрозам Next-generation IPS • Определяет пороговые значения для NGFW IPS; • Умолчания: Block & Monitor 70, Allow & Monitor 40 C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 45
  45. 45. New with NGFW 9.2 Существует три типа политик доступа: Политики для входящего в ASA трафика • Применяются на входе; • Имеют вид классического 5-tuple ACL; • Могут оперировать именем пользователя и FQDN хоста. Политики на основе знания контекста • Применяются между исходящим и входящим трафиком; • Используют сервисы NGFW; Политики для исходящего от ASA трафика • Точно такой же функционал, что и на входе. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 46
  46. 46. New with NGFW 9.2 • Возможность управлять настройками ASA NAT из PRSM; • PRSM оперирует политиками NAT (ASA 8.3+); • Три набора политик: ̶ Twice NAT rules (до object NAT) ̶ Network object NAT ̶ Twice NAT rules (после object NAT) • Наборы политик NAT нельзя удалить или добавить, правила – можно изменять и добавлять. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 47
  47. 47. New with NGFW 9.2 C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 48
  48. 48. New with NGFW 9.2 Наборы политик бывают: ̶ Универсальные – набор политик используется всеми устройствами; ̶ Разделяемые – используются некоторыми устройствами; ̶ Локальные – набор политик используется только на одном устройстве. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 49
  49. 49. New with NGFW 9.2 Применяется только для политик, учитывающих контекст соединения Ограничивает полосу пропускания для каждой политики При превышении порога пакеты сбрасывается Ограничение полосы пропускания – обязательный атрибут политики Выделенная полоса пропускания используется всеми соединениями, которые соответствуют данной политике C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 50
  50. 50. New with NGFW 9.2 Применяется только для политик, учитывающих контекст соединения Блокирование поисковых запросов для поддерживаемых поисковых движков: • Если Safe Search включен в политике и выключен в браузере клиента Поддерживаемые поисковые движки: • • • • • • Google Yahoo Bing Ask Duckduckgo Yandex C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 51
  51. 51. New with NGFW 9.2 C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 52
  52. 52. New with NGFW 9.2 Набор интерфейсов может использоваться в политиках (входящих или исходящих) Интерфейсам должны быть предварительно заданы имена (nameif) Можно использовать маски: например, *ide* совпадёт и с inside и с outside Удобно применять для создания политик на основе направления трафика • По мере роста количества интерфейсов, политики на основе IP масштабируются всё хуже и хуже C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 53
  53. 53. New with NGFW 9.2 Функционал NGFW IPS лицензируется отдельно, является подписным сервисом (1, 3, 5 лет). Кнопка ВКЛ/ВЫКЛ для NGFW Блокировка трафика от IP-адресов из черного списка Опционально можно разрешить трафик с высокой репутацией C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 54
  54. 54. New with NGFW 9.2 Оптимизировано для защиты от эксплойтов Три варианта реакции: • Block and Monitor • Allow and Monitor • Don’t Monitor Можно делать исключения Используется в политиках доступа C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 55
  55. 55. #CiscoConnectRu Спасибо Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас. Руслан Иванов Системный инженер-консультант ruivanov@cisco.com CiscoRu 13.01.201 4 Cisco © 2013 Cisco and/or its affiliates. All rights reserved. CiscoRussia
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×