Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)

6,168 views
5,659 views

Published on

Ведущий инструктор SkillFactory, ССIE Security Сергей Кучеренко – о том, как эффективно отразить исходящие из интернета атаки с помощью технологий Cisco Web Security Appliance (ex IronPort): http://www.youtube.com/watch?v=R6LdAyPfKUs&hd=1

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
6,168
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
113
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)

  1. 1. Как защитить сеть от web-угроз с помощью Cisco WSA Сергей Кучеренко 29 августа 2013 serg.kucherenko@getccna.ru ведущий:
  2. 2. О чем мы поговорим:  Решения Web безопасности Cisco  Cisco Web Security Appliance и его функционал  Принципы развёртывания  Основные элементы конфигурации  Web безопасность мобильных устройств  Развёртывание Cisco WSA Virtual Appliance  Демонстрация работы решения
  3. 3. Решения Web безопасности Cisco На текущей момент решения по обеспечению Web безопасности представлены в виде:  Выделенных аппаратных и виртуальных устройств Cisco Web Security Appliance  Облачного сервиса Cisco ScanSafe  Аппаратных или программных модулей ASA-CX
  4. 4. Сравнение решений: Web/URL фильтрация Контроль приложений Защита от malware Защита remote users Развертывание Политики и отчеты Лицензии
  5. 5. Что же выбрать? Задачи и необходимости
  6. 6. Cisco Web Security Appliance и его функционал Модельный Ряд –  Аппаратные решения  Виртуальные решения Note: S00V используется только для тестирования
  7. 7. Функционал Cisco Web Security Appliance Proxy Server – WSA Выполняет роль кеширующего прокси сервера для следующих протоколов:  HTTP  HTTPS  FTP WSA как прокси сервер способен работать в двух режимах:  Explicit Proxy – в этом случае на стороне клиента необходима настройка параметров proxy server*  Transparent Proxy – при использовании такого подхода клиент не знает о существовании proxy server. Перенаправление трафика на прокси проходит с использованием сетевого оборудования* Note: В этом режиме не возможна аутентификация FTP * - более детально будет рассмотрено в разделе “Принципы развёртывания”
  8. 8. Аутентификация – Существуют варианты:  Basic Authentication – RFC based метод, в этом случае при подключении пользователя в браузере выводится окно для ввода логина/пароля Преимущество – поддерживается всеми браузерами и большинством программ Недостаток – аутентификация проходит в clear-text  NTLMSSP – Используется когда хранилищем пользователи является MS Active Directory. Пользователям прошедшим доменную аутентификацию на своих ПК не требуется вводить логин/пароль для прокси. Преимущество – прозрачно для пользователя Недостаток – только в среде AD и на ПК
  9. 9.  Transparent User Identification (TUI) – функционал аналогичный Identity Firewall на Cisco ASA в плане определения логина пользователя и его групповой принадлежности 1. Запрос списка пользователей и групп 2. Информация о User Login через WMI 3. Запрос списка User-to-IP mapping4. Вход John в систему 5. John вошел с адреса 10.1.200.3 6. Проверка Политик  Authentication Excempt – пользователи могут быть объединены администратором устройства в группы для которых не требуется аутентификация. Критерии: IP address/User Agent/Proxy Port/URL category/User Agent
  10. 10. Acceptable Use Control – Набор технологий позволяющий контролировать доступ пользователей к Web ресурсам и Web приложениям. К этим технологиям относятся:  URL Filtering – ограничения доступа пользователей/групп к определенным URL категориям (ex: Social Networking/Gambling/…). Для не категоризированных ресурсов используется технология динамической категоризации Dynamic Content Analysis (DCA) Для каждой категории доступен ряд действий:  Block  Monitor (Default)  Warm – выдавать предупреждение пользователю  Time-Based – доступ на основе временных диапазонов  Redirect* – перенаправление пакетов на определенный URL  Allow* – пропустить пакеты без дальнейшего анализа * – только пользовательские URL категории
  11. 11.  Web Application Visibility and Control (AVC)– определение Web приложения по его signature. Разработкой новых signatures занимается Cisco SIO. Web приложения объединяются в Группы в зависимости от их типа: В зависимости от типа Web приложения к нему могут применятся те или инфе ограничения Ex: Для приложения Web mail можно запрещать прикрепление документов  Objects – управление какие MIME типы (Video/Archive/…) разрешены пользователю/группе для загрузки. Кроме того здесь же можно устанавливать ограничения на максимальный размер загрузки.
  12. 12. Malware Protection – Функционал WSA обеспечивающий защиту от зловредного кода. Защита производится с использованием трех технологий:  WBRS (Web Based Reputation Score) – проверка репутации запрашиваемого ресурса. Если ее значение ниже минимально допустимого такой запрос блокируется  Dynamic Vectoring and Streaming – сканирование контента на соответствие сигнатурам одного или двух Anti-Malware Engines (Webroot, Sophos)  Layer 4 Traffic Monitor – мониторинг проходящего в сети трафика (Используя перенаправление SPAN) на предмет обнаружения запросов на адреса известных центров управления Bot сетями
  13. 13. Data Protection – Защита от утери данных в WSA может быть реализована с использованием двух подходов:  Внутренняя защита – этот подход дает возможность блокировать файлы определенного типа/размера/имени которые пользователи/группы пытаются выложить на Web ресурсы  Внешняя DLP система – WSA делает перенаправление транзакций по протоколу ICAP на внешнюю DLP систему Internet www.mypartner.com www.malwarrior.com Allow, Block, Log Users Internet Allow, Block, Log Users Content Verdict DLP Vendor Box
  14. 14. Management and Reporting –  Embedded Reporting – большое количество встроенных отчётов (По пользователям/По сайтам/ По URL Категориям/…)  Centralized Reporting – возможность строить отчеты используя данные сразу с нескольких WSA:  Используя SMA (Security Management Appliance)  С помощь Splunk  Centralized Management – для централизованного управления несколькими WSA используется Security Management Appliance Overview L4TM Reputation Filters
  15. 15. Принципы развёртывания Explicit Proxy Mode – В этом режиме на пользовательском ПК должен быть явно задан адрес прокси сервера. Есть ряд подходов к настройке параметров Прокси:  Ручная настройка – администратор или пользователь должен в ручную указать параметры Proxy Server в настройках браузера  Proxy Auto Configuration – данный подход предполагает что браузер узнает о настройках прокси автоматически. Это возможно сделать несколькими путями:  Настройка прокси через групповые политики Microsoft Active directory
  16. 16.  Авто определение Proxy браузером – в этом случае браузер сам выполняет поиск Proxy Settings (Хранилищем таких настроек выступает PAC file) Информация о местонахождении PAC file может быть получена тремя способами: 1. Manual – в ручную указать в браузере URL по которому находится PAC File 2. DHCP – URL с местонахождением PAC file может быть предан в DHCP опции 252, такой способ не поддерживает mozilla firefox 3. DNS – URL с местонахождением PAC File браузер получает выполнив nslookup имени wpad.dat Note: В Explicit Proxy mode PAC файл используется также для организации отказоустойчивости
  17. 17. Transparent Mode – При работе WSA в Transparent режиме поддерживается следующие варианты перенаправления трафика:  WCCP – Web Cache Communication Protocol является предпочтительным методом перенаправления трафика. При использовании WCCP отказоустойчивость реализуется средствами самого протокола. Поддерживаете на: Cisco ASA/Cisco ISR/Cisco Catalyst  PBR – policy based routing. Может быть использован в случае отсутствия поддержки протокола WCCP  Layer 4 Switching – использования L4 информации для Switching Decision (Перенаправляем трафик идущий на TCP port 80 на интерфейс к которому подключен WSA). Данный метод также имеет встроенную поддержку механизмов отказоустойчивости  Layer 7 Switching – аналогичен предыдущему варианту, за тем исключением что для Switching Decision может быть использована L7 информация
  18. 18. Interfaces – WSA имеет интерфейсы различных типов:  Management – интерфейс может использоваться для Out-Of-Band и для In-Band Management (В этом варианте интерфейс является также Proxy портом)  Proxy – интерфейсы используются для принятия и отправки запросов пользователей  Tap – интерфейсы используемы для работы функционала Layer 4 Traffic Monitor
  19. 19. Варианты развертывания – 1. Single interface 2. Two Interfaces 3. Management PC Интернет Интернет Интернет Наиболее простой вариант. Для всего трафика используется Management Interface Используется в случаи когда внешний интерфейс WSA нужно вынести в DMZ, данная схема может быть настроена через Wizard Наиболее сложная схема, в этом случаи появится отдельная таблица маршрутизации для Management трафика. P2 не настраивается из Wizard
  20. 20. Внимание Вопрос! В каком году компания Cisco купила компанию IronPort? Ответы высылать на email: vopros@skillfactory.ru
  21. 21. Основные элементы конфигурации Для начала работы с устройством важно понимать три основных элемента конфигурации:  Authentication Realm – набор серверов аутентификации. Realm могут создавать двух видов:  Identity – механизм идентификации того кто пытается получить доступ к Web ресурсам для дальнейшего применения политик доступа. В качестве критерия Identity могут использоваться: Note: Проверка Identity идет с верху в низ, Identity требующие аутентификации должны находится в конце списка.  Authentication Realm – Для запросов попавших под эту Identity требуется аутентификация  IP address – адреса хостов и сетей  Proxy Port – порт на proxy на который было принято соединение  User Agent – значение поля User Agent в HTTP сообщении. Поддерживаются несколько стандартных (Windows Update/Adobe Update/IE/…)
  22. 22.  Access Policy – элемент конфигурации привязывающей к Identity правила Acceptable Use Control/Objects/Application Visibility and Control/ Malware Protection В случае если используется Identity требующая аутентификацию доступны варранты:  All authenticated users – все пользователи прошедшие аутентификацию в рамках указанной Identity  Groups and Users – только определенные пользователи и группы Note: Проверка политик проходит с верху в низ. Более специфичные политики необходимо указывать Выше.
  23. 23. Web безопасность мобильных устройств Для мобильных устройств применимы те же подходы к направлению трафика на WSA как и для стандартных ПК:  Explicit Proxy Mode – при использовании WSA в этом режиме настройки Proxy должны быть указаны на устройствах либо в ручную либо использую авто настройку через PAC файлы. С точки зрения наиболее популярах мобильных операционных систем:  iOS – поддерживаются оба варианта. Для каждого Wi-Fi подключения может быть задан Proxy Server или указано получать настройки Proxy автоматически:
  24. 24.  Android – Ситуация боле сложная: A. Можно использовать специальные Proxy приложения доступные на PlayMarket, эти приложения требуют root прав для своей работы, не 100% работоспособны B. Если Root права отсутствуют Proxy может быть настроен в браузерах Opera Mobile и Mozilla. В этом случае настройки proxy распространяются только на браузер C. Настройка Proxy для Wi-Fi (Есть не во всех устройствах) Настройки -> Беспроводные сети -> Настройки WiFi -> [Menu] -> Дополнительно -> Прокси-сервер WiF  Transparent Mode – при таком варианте во всех мобильных операционных системах должна корректор работать аутентификация в браузерах, но некоторые приложения могут не работать Note: Если принципиальна защита пользователя а не его аутентичность для мобильных устройств можно создавать identity не требующие аутентификации
  25. 25. Развёртывание Cisco WSA Virtual Appliance Virtual Appliance поставляется в виде OVF file. Совместимые Hypervisors: VMware ESXi versions 4.x and 5.0 Официально поддерживаемой аппаратной платформой является Cisco UCS На устройства доступен запрос 45 дневной trial license https://tools.cisco.com/SWIFT/LicensingUI/demoPage
  26. 26. 1. Указываем OVF file 2. Выполняем настройку виртуальной машины 3. Завершение настроек Настраиваем интерфейсы. Management пытается по умолчанию получить адрес по DHCP. Если это не удается назначается стандартный IP – 192.168.42.42
  27. 27. Начло работы с устройством – По завершению развертывания для доступа на устройство используются – Login:admin Password:ironport При первом входе на устройство через консоль будет выводится сообщение о том что необходимо запустить System Setup Wizard по адресу: При переходе по этой ссылке происходит переадресация на https:// и порт 8443 (Management Port WSA по умолчанию) Установка файла лицензии – происходит через SSH сессию 1. Copy Paste содержимого XML файла лицензии в CLI 2. Загрузка из файла который уже находится на устройстве (Требуется предварительно положить файлик по FTP в нужную папку)
  28. 28. System Setup Wizard 1. Запуск Wizard 2. Сетевые настройки
  29. 29. 3. Настройки Безопасности
  30. 30. Создание NTLMSSP Realm Для создания NTLMSSP Realm необходимо иметь следующую информацию:  IP address/FQDN хотя бы одного сервера AD  Имя домена  Имя папки в которой WSA создаст объект компьютер (Default - Computers)  Логин/Пароль пользователя с правами достаточными для создания объекта типа компьютер
  31. 31. Топология Демонстрационного Стенда 192.168.32.0/24 .1 .2.3 WSA AD/DNS Test PC 1 Test PC 2 Интернет .5 .8
  32. 32. Полезные ссылки: Cisco IronPort AsyncOS 7.7.5 for Web User Guide http://www.cisco.com/en/US/docs/security/wsa/wsa7.7.5/user_guide/WSA_7.7.5_UserGuide.book.pdf Cisco IronPort AsyncOS 7.7 for Security Management User Guide http://www.cisco.com/en/US/docs/security/security_management/sma/sma7.7/SMA_7.7_User_Guide. pdf Cisco Content Security Virtual Appliance Installation Guide http://www.cisco.com/en/US/docs/security/content_security/virtual_appliances/Cisco_Content_Securi ty_Virtual_Appliance_Install_Guide.pdf
  33. 33. И напоследок: https://www.youtube.com/user/SkillFactoryVideo http://www.slideshare.net/SkillFactory

×