Your SlideShare is downloading. ×
0
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Как защитить сеть от web-угроз с помощью Cisco WSA (ex IronPort)

4,588

Published on

Ведущий инструктор SkillFactory, ССIE Security Сергей Кучеренко – о том, как эффективно отразить исходящие из интернета атаки с помощью технологий Cisco Web Security Appliance (ex IronPort): …

Ведущий инструктор SkillFactory, ССIE Security Сергей Кучеренко – о том, как эффективно отразить исходящие из интернета атаки с помощью технологий Cisco Web Security Appliance (ex IronPort): http://www.youtube.com/watch?v=R6LdAyPfKUs&hd=1

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
4,588
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
97
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Как защитить сеть от web-угроз с помощью Cisco WSA Сергей Кучеренко 29 августа 2013 serg.kucherenko@getccna.ru ведущий:
  • 2. О чем мы поговорим:  Решения Web безопасности Cisco  Cisco Web Security Appliance и его функционал  Принципы развёртывания  Основные элементы конфигурации  Web безопасность мобильных устройств  Развёртывание Cisco WSA Virtual Appliance  Демонстрация работы решения
  • 3. Решения Web безопасности Cisco На текущей момент решения по обеспечению Web безопасности представлены в виде:  Выделенных аппаратных и виртуальных устройств Cisco Web Security Appliance  Облачного сервиса Cisco ScanSafe  Аппаратных или программных модулей ASA-CX
  • 4. Сравнение решений: Web/URL фильтрация Контроль приложений Защита от malware Защита remote users Развертывание Политики и отчеты Лицензии
  • 5. Что же выбрать? Задачи и необходимости
  • 6. Cisco Web Security Appliance и его функционал Модельный Ряд –  Аппаратные решения  Виртуальные решения Note: S00V используется только для тестирования
  • 7. Функционал Cisco Web Security Appliance Proxy Server – WSA Выполняет роль кеширующего прокси сервера для следующих протоколов:  HTTP  HTTPS  FTP WSA как прокси сервер способен работать в двух режимах:  Explicit Proxy – в этом случае на стороне клиента необходима настройка параметров proxy server*  Transparent Proxy – при использовании такого подхода клиент не знает о существовании proxy server. Перенаправление трафика на прокси проходит с использованием сетевого оборудования* Note: В этом режиме не возможна аутентификация FTP * - более детально будет рассмотрено в разделе “Принципы развёртывания”
  • 8. Аутентификация – Существуют варианты:  Basic Authentication – RFC based метод, в этом случае при подключении пользователя в браузере выводится окно для ввода логина/пароля Преимущество – поддерживается всеми браузерами и большинством программ Недостаток – аутентификация проходит в clear-text  NTLMSSP – Используется когда хранилищем пользователи является MS Active Directory. Пользователям прошедшим доменную аутентификацию на своих ПК не требуется вводить логин/пароль для прокси. Преимущество – прозрачно для пользователя Недостаток – только в среде AD и на ПК
  • 9.  Transparent User Identification (TUI) – функционал аналогичный Identity Firewall на Cisco ASA в плане определения логина пользователя и его групповой принадлежности 1. Запрос списка пользователей и групп 2. Информация о User Login через WMI 3. Запрос списка User-to-IP mapping4. Вход John в систему 5. John вошел с адреса 10.1.200.3 6. Проверка Политик  Authentication Excempt – пользователи могут быть объединены администратором устройства в группы для которых не требуется аутентификация. Критерии: IP address/User Agent/Proxy Port/URL category/User Agent
  • 10. Acceptable Use Control – Набор технологий позволяющий контролировать доступ пользователей к Web ресурсам и Web приложениям. К этим технологиям относятся:  URL Filtering – ограничения доступа пользователей/групп к определенным URL категориям (ex: Social Networking/Gambling/…). Для не категоризированных ресурсов используется технология динамической категоризации Dynamic Content Analysis (DCA) Для каждой категории доступен ряд действий:  Block  Monitor (Default)  Warm – выдавать предупреждение пользователю  Time-Based – доступ на основе временных диапазонов  Redirect* – перенаправление пакетов на определенный URL  Allow* – пропустить пакеты без дальнейшего анализа * – только пользовательские URL категории
  • 11.  Web Application Visibility and Control (AVC)– определение Web приложения по его signature. Разработкой новых signatures занимается Cisco SIO. Web приложения объединяются в Группы в зависимости от их типа: В зависимости от типа Web приложения к нему могут применятся те или инфе ограничения Ex: Для приложения Web mail можно запрещать прикрепление документов  Objects – управление какие MIME типы (Video/Archive/…) разрешены пользователю/группе для загрузки. Кроме того здесь же можно устанавливать ограничения на максимальный размер загрузки.
  • 12. Malware Protection – Функционал WSA обеспечивающий защиту от зловредного кода. Защита производится с использованием трех технологий:  WBRS (Web Based Reputation Score) – проверка репутации запрашиваемого ресурса. Если ее значение ниже минимально допустимого такой запрос блокируется  Dynamic Vectoring and Streaming – сканирование контента на соответствие сигнатурам одного или двух Anti-Malware Engines (Webroot, Sophos)  Layer 4 Traffic Monitor – мониторинг проходящего в сети трафика (Используя перенаправление SPAN) на предмет обнаружения запросов на адреса известных центров управления Bot сетями
  • 13. Data Protection – Защита от утери данных в WSA может быть реализована с использованием двух подходов:  Внутренняя защита – этот подход дает возможность блокировать файлы определенного типа/размера/имени которые пользователи/группы пытаются выложить на Web ресурсы  Внешняя DLP система – WSA делает перенаправление транзакций по протоколу ICAP на внешнюю DLP систему Internet www.mypartner.com www.malwarrior.com Allow, Block, Log Users Internet Allow, Block, Log Users Content Verdict DLP Vendor Box
  • 14. Management and Reporting –  Embedded Reporting – большое количество встроенных отчётов (По пользователям/По сайтам/ По URL Категориям/…)  Centralized Reporting – возможность строить отчеты используя данные сразу с нескольких WSA:  Используя SMA (Security Management Appliance)  С помощь Splunk  Centralized Management – для централизованного управления несколькими WSA используется Security Management Appliance Overview L4TM Reputation Filters
  • 15. Принципы развёртывания Explicit Proxy Mode – В этом режиме на пользовательском ПК должен быть явно задан адрес прокси сервера. Есть ряд подходов к настройке параметров Прокси:  Ручная настройка – администратор или пользователь должен в ручную указать параметры Proxy Server в настройках браузера  Proxy Auto Configuration – данный подход предполагает что браузер узнает о настройках прокси автоматически. Это возможно сделать несколькими путями:  Настройка прокси через групповые политики Microsoft Active directory
  • 16.  Авто определение Proxy браузером – в этом случае браузер сам выполняет поиск Proxy Settings (Хранилищем таких настроек выступает PAC file) Информация о местонахождении PAC file может быть получена тремя способами: 1. Manual – в ручную указать в браузере URL по которому находится PAC File 2. DHCP – URL с местонахождением PAC file может быть предан в DHCP опции 252, такой способ не поддерживает mozilla firefox 3. DNS – URL с местонахождением PAC File браузер получает выполнив nslookup имени wpad.dat Note: В Explicit Proxy mode PAC файл используется также для организации отказоустойчивости
  • 17. Transparent Mode – При работе WSA в Transparent режиме поддерживается следующие варианты перенаправления трафика:  WCCP – Web Cache Communication Protocol является предпочтительным методом перенаправления трафика. При использовании WCCP отказоустойчивость реализуется средствами самого протокола. Поддерживаете на: Cisco ASA/Cisco ISR/Cisco Catalyst  PBR – policy based routing. Может быть использован в случае отсутствия поддержки протокола WCCP  Layer 4 Switching – использования L4 информации для Switching Decision (Перенаправляем трафик идущий на TCP port 80 на интерфейс к которому подключен WSA). Данный метод также имеет встроенную поддержку механизмов отказоустойчивости  Layer 7 Switching – аналогичен предыдущему варианту, за тем исключением что для Switching Decision может быть использована L7 информация
  • 18. Interfaces – WSA имеет интерфейсы различных типов:  Management – интерфейс может использоваться для Out-Of-Band и для In-Band Management (В этом варианте интерфейс является также Proxy портом)  Proxy – интерфейсы используются для принятия и отправки запросов пользователей  Tap – интерфейсы используемы для работы функционала Layer 4 Traffic Monitor
  • 19. Варианты развертывания – 1. Single interface 2. Two Interfaces 3. Management PC Интернет Интернет Интернет Наиболее простой вариант. Для всего трафика используется Management Interface Используется в случаи когда внешний интерфейс WSA нужно вынести в DMZ, данная схема может быть настроена через Wizard Наиболее сложная схема, в этом случаи появится отдельная таблица маршрутизации для Management трафика. P2 не настраивается из Wizard
  • 20. Внимание Вопрос! В каком году компания Cisco купила компанию IronPort? Ответы высылать на email: vopros@skillfactory.ru
  • 21. Основные элементы конфигурации Для начала работы с устройством важно понимать три основных элемента конфигурации:  Authentication Realm – набор серверов аутентификации. Realm могут создавать двух видов:  Identity – механизм идентификации того кто пытается получить доступ к Web ресурсам для дальнейшего применения политик доступа. В качестве критерия Identity могут использоваться: Note: Проверка Identity идет с верху в низ, Identity требующие аутентификации должны находится в конце списка.  Authentication Realm – Для запросов попавших под эту Identity требуется аутентификация  IP address – адреса хостов и сетей  Proxy Port – порт на proxy на который было принято соединение  User Agent – значение поля User Agent в HTTP сообщении. Поддерживаются несколько стандартных (Windows Update/Adobe Update/IE/…)
  • 22.  Access Policy – элемент конфигурации привязывающей к Identity правила Acceptable Use Control/Objects/Application Visibility and Control/ Malware Protection В случае если используется Identity требующая аутентификацию доступны варранты:  All authenticated users – все пользователи прошедшие аутентификацию в рамках указанной Identity  Groups and Users – только определенные пользователи и группы Note: Проверка политик проходит с верху в низ. Более специфичные политики необходимо указывать Выше.
  • 23. Web безопасность мобильных устройств Для мобильных устройств применимы те же подходы к направлению трафика на WSA как и для стандартных ПК:  Explicit Proxy Mode – при использовании WSA в этом режиме настройки Proxy должны быть указаны на устройствах либо в ручную либо использую авто настройку через PAC файлы. С точки зрения наиболее популярах мобильных операционных систем:  iOS – поддерживаются оба варианта. Для каждого Wi-Fi подключения может быть задан Proxy Server или указано получать настройки Proxy автоматически:
  • 24.  Android – Ситуация боле сложная: A. Можно использовать специальные Proxy приложения доступные на PlayMarket, эти приложения требуют root прав для своей работы, не 100% работоспособны B. Если Root права отсутствуют Proxy может быть настроен в браузерах Opera Mobile и Mozilla. В этом случае настройки proxy распространяются только на браузер C. Настройка Proxy для Wi-Fi (Есть не во всех устройствах) Настройки -> Беспроводные сети -> Настройки WiFi -> [Menu] -> Дополнительно -> Прокси-сервер WiF  Transparent Mode – при таком варианте во всех мобильных операционных системах должна корректор работать аутентификация в браузерах, но некоторые приложения могут не работать Note: Если принципиальна защита пользователя а не его аутентичность для мобильных устройств можно создавать identity не требующие аутентификации
  • 25. Развёртывание Cisco WSA Virtual Appliance Virtual Appliance поставляется в виде OVF file. Совместимые Hypervisors: VMware ESXi versions 4.x and 5.0 Официально поддерживаемой аппаратной платформой является Cisco UCS На устройства доступен запрос 45 дневной trial license https://tools.cisco.com/SWIFT/LicensingUI/demoPage
  • 26. 1. Указываем OVF file 2. Выполняем настройку виртуальной машины 3. Завершение настроек Настраиваем интерфейсы. Management пытается по умолчанию получить адрес по DHCP. Если это не удается назначается стандартный IP – 192.168.42.42
  • 27. Начло работы с устройством – По завершению развертывания для доступа на устройство используются – Login:admin Password:ironport При первом входе на устройство через консоль будет выводится сообщение о том что необходимо запустить System Setup Wizard по адресу: При переходе по этой ссылке происходит переадресация на https:// и порт 8443 (Management Port WSA по умолчанию) Установка файла лицензии – происходит через SSH сессию 1. Copy Paste содержимого XML файла лицензии в CLI 2. Загрузка из файла который уже находится на устройстве (Требуется предварительно положить файлик по FTP в нужную папку)
  • 28. System Setup Wizard 1. Запуск Wizard 2. Сетевые настройки
  • 29. 3. Настройки Безопасности
  • 30. Создание NTLMSSP Realm Для создания NTLMSSP Realm необходимо иметь следующую информацию:  IP address/FQDN хотя бы одного сервера AD  Имя домена  Имя папки в которой WSA создаст объект компьютер (Default - Computers)  Логин/Пароль пользователя с правами достаточными для создания объекта типа компьютер
  • 31. Топология Демонстрационного Стенда 192.168.32.0/24 .1 .2.3 WSA AD/DNS Test PC 1 Test PC 2 Интернет .5 .8
  • 32. Полезные ссылки: Cisco IronPort AsyncOS 7.7.5 for Web User Guide http://www.cisco.com/en/US/docs/security/wsa/wsa7.7.5/user_guide/WSA_7.7.5_UserGuide.book.pdf Cisco IronPort AsyncOS 7.7 for Security Management User Guide http://www.cisco.com/en/US/docs/security/security_management/sma/sma7.7/SMA_7.7_User_Guide. pdf Cisco Content Security Virtual Appliance Installation Guide http://www.cisco.com/en/US/docs/security/content_security/virtual_appliances/Cisco_Content_Securi ty_Virtual_Appliance_Install_Guide.pdf
  • 33. И напоследок: https://www.youtube.com/user/SkillFactoryVideo http://www.slideshare.net/SkillFactory

×