Владимир Илибман - Межсетевые экраны следующего поколения. Определение и методики оценки

718 views

Published on

0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
718
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
0
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

Владимир Илибман - Межсетевые экраны следующего поколения. Определение и методики оценки

  1. 1. Владимир Илибман voilibma@cisco.com© 2010 Cisco and/or its affiliates. All rights reserved.© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1
  2. 2. • Эволюция межсетевых экранов• Что скрывается под термином Next Generation Firewall• Что должен включать в себя NGFW• Как образом функционирует NGFW• Каким образом можно тестировать и сравнивать межсетевые экраны© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 247
  3. 3. Угрозы становится существенно сложнее обнаруживать и отражать Уровень защиты Application Firewall Проверка приложений по стандартным портам Stateful Firewall: С учетом состояния сессии Пакетные фильтры IP-адрес, порты 1990 1995 2000 2005 2007 2010© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
  4. 4. 172.16.4.20 = ноутбук Главбуга 122.155.13.123 = сервер в Тайване Анализ на уровне Внутри HTTP = Протокол TeamViewerконтента и контекста– выглядит не очень Трудно судить только по половине изображения Анализ на уровне Source IP= 172.16.4.20 сети – Destination IP= 122.155.13.123 Port = 80 выглядит хорошо Application = HTTPCisco Security Future © 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 4/66
  5. 5. Межсетевой экран следующего поколения Анализ Интегрированный Информация о Внешний источник приложений IPS пользователе репутации Классический межсетевой экран в режиме L3 или L2 (фильтрация с учетом состояния, NAT, VPN)Статья Defining the Next-Generation Firewall , Gartner, 2009© Cisco, 2010. Все права защищены. 5/124
  6. 6. Идентификация Классификация Контроль© Cisco, 2010. Все права защищены. 6/124
  7. 7. • Идентификация типа Social Networks, Online Media, P2P, Интернет- телефония, WebMail • Идентификация приложения Facebook, Youtube, BitTorrent, Skype, Gmail • Идентификация поведения внутри приложения Upload photo в Facebook, Upload Video в Youtube, Download Attachment в Gmail© Cisco, 2010. Все права защищены. 7/124
  8. 8. 1. На основании TCP, UDP портов2. С помощью эвристического анализа сессий • Пример: идентификация P2P по статистике создаваемых новых сессий, Пример:идентификация голосового трафика по частоте и размеру пакетов3. С помощью технологий Deep Packet Inspection (сигнатур) • Пример: если есть заголовки RTP, то имеем голосовой трафик • Пример: если есть заголовок TOR directory, то имеем протокол TOR4. Путем анализа адресной информации источника- получателя трафика • Пример: Если при проверке будет установлено, что имя узла получателя = www.youtube.com, то приложение можно классифицировать как "youtube"© Cisco, 2010. Все права защищены. 8/124
  9. 9. Что имеем: Что хотим: • Unclassified Application • детализацию • False Positive • точность • False Negative • скорость распознавания • Задержки перед идентифик.© Cisco, 2010. Все права защищены. 9/124
  10. 10. • Идентификация предполагает идентификацию роли пользователя (сотрудник-контрактник-гость, роль сотрудника..) и используется для авторизации прав доступа• Для идентификации NGFW может использовать информацию из корпоративной директории (AD, LDAP, Novell …)• NGFW может идентифицировать пользователя 1. пассивно (например по IP-адресу компьютера пользователя извлекаемого из логов AD) 2. активно (запрашивая пользователя или приложение пользователя о вводе логина, пароля, ключа) 3. с помощью агента на компьютере пользователя© Cisco, 2010. Все права защищены. 10/124
  11. 11. Время© Cisco, 2010. Все права защищены. 11/124
  12. 12. HOW Тип устройства ОС Состояние AV Files Registry© Cisco, 2010. Все права защищены. 12/124
  13. 13. Облако репутаций Интернет- сайтов и ресурсов 19.14.51.34 139.34.13.18 199.32.1.71 219.134.15.3 19.3.1.18 74.134.1.13Опыт пользователей Пользовательское оборудование Корпоративная сеть © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
  14. 14. Системы UTM Web Security Gateway Системы DLP *согласно Gartner© Cisco, 2010. Все права защищены. 14/124
  15. 15. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
  16. 16. Стандартные тесты производительности (RFC 2544) не работают для NGFW и IPS Производительность зависит от структуры трафика и включенных механизмов защиты Как определить список реально распознаваемых приложений Эффективность распознавания угроз© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1647
  17. 17. Transactional Media Rich Enterprise Apps Enterprise Data Center higher Ed SMB Service Provider (5 BP Tests) Mix Avg585-10 5585-20 5585-40 5585-60 4270 Enterprise Apps Enterprise Data Center Service Providers © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1747
  18. 18. • Идентификация приложений • Атаки на уровень приложений • Контроль доступа на уровне приложений • Инспекция SSL/TLS • Блокировка вредоносного контента • Защита от маскировки трафика и атак • Поддержка IPv6 • Качество работы Интернет блек-листов и сервисов репутаций вендоров© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1847
  19. 19. Next-Generation Firewall Testing Next Generation Firewall (NGFW): Test Methodology v4.0 Next-gen firewalls: Off to a good start Firewall Testing Methodology Вы можете создать свою собственную методику тестирования !!© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1947
  20. 20. Спасибо

×