Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP.

1,117 views

Published on

Published in: Technology
  • Be the first to comment

Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP.

  1. 1. Безопасность периметра: МЭ и IPS Cisco и Sourcefire Сетевой FireAMP Андрей Москвитин Специалист по решениям ИБ amoskvit@cisco.com
  2. 2. NGFW & NGIPS – что это?
  3. 3. 3C97-715266-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. “NGIPS в будущем войдёт в NGFW, но сейчас большинство существующих NGFW обладают только базовым функционалом IPS” Стандартные возможности «предыдущего поколения» Понимание приложений и их компонентов Встроенный сетевой IPS Интеграция с внешними сервисами, пример: • Каталоги пользователей • «Репутационные» сервисы Стандартные возможности «предыдущего поколения» Понимание приложений Понимание контекста и контента Гибкий движок, оперативные обновления сигнатур Источник:“Defining Next-Generation Network Intrusion Prevention,” Gartner, October 7, 2011. “Defining the Next-Generation Firewall,” Gartner, October 12, 2009
  4. 4. C97-715266-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 4 АЛЬТЕРНАТИВА ASA 5500-X с межсетевым экраном нового поколения Межсетевой экран ASA + межсетевой экран и система предотвращения вторжений нового поколения FirePOWER Межсетевой экран ASA + FirePOWER Межсетевой экран ASA 5585 с системой предотвращения вторжений Межсетевой экран ASA 55х5 с системой предотвращения вторжений Межсетевой экран нового поколения ASA 5500-X Межсетевой экран ASA + межсетевой экран и система предотвращения вторжений нового поколения FirePOWER Межсетевой экран ASA + межсетевой экран и система предотвращения вторжений нового поколения FirePOWER АЛЬТЕРНАТИВА ПОТЕНЦИАЛЬНЫЙ КЛИЕНТ Межсетевой экран ASA 5585 с системой предотвращения вторжений Операции безопасности Покупатели для центров обработки данных {Комплексная безопасность является основным критерием при покупке} Операции безопасности Покупатели граничных устройств {Комплексная безопасность является основным критерием при покупке} Сетевые операции Покупатели для центров обработки данных {Консолидация устройств является основным критерием при покупке} Сетевые операции Покупатели граничных устройств {Консолидация устройств является основным критерием при покупке}
  5. 5. Cisco IPS
  6. 6. C97-715266-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 6 Низкий уровень Средний уровень Высокий уровень Пропускная способность ISR Cisco Catalyst® 6500 Cisco IPS серии 4500, 4300, и 4200 Cisco ASA серии 5500 Cisco® ASA серии 5500-X Cisco ASA 5515-X IPS Cisco ASA 5525-X IPS Cisco ASA 5545-X IPS Cisco ASA 5555-X IPS Cisco IPS 4510 и 4520 Cisco ASA 5512-X IPS Cisco ASA 5585-P10S1 Cisco ASA 5585-P20S20 Cisco ASA 5585-P40S40 Cisco ASA 5585-P60S60 Cisco ASA 5510-AIP10 Cisco ASA 5510-AIP20 Cisco ASA 5520-AIP10 Cisco ASA 5520-AIP20 Cisco ASA 5520-AIP40 Cisco ASA 5540-AIP20 Cisco ASA 5540-AIP40 Cisco IPS 4270 Cisco IPS 4360 Cisco IPS 4345 Cisco IPS 4240 Cisco IPS 4255 Cisco IPS 4260 IDSM2 Комплект Cisco Catalyst® 6500 IDSM2 Cisco IOS® IPS Cisco IPS NME
  7. 7. Cisco Next-Generation Firewall (ASA-CX)
  8. 8. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8 • Использует в качестве основы ASA stateful inspection firewall; • Предоставляет следующие продвинутые (NGFW) сервисы: ̶ Репутационная фильтрация веб трафика для защиты от вредоносного ПО; ̶ URL-фильтрация доступа к разным категориям сайтов на основе заданной политики; ̶ Контроль использования приложений Application visibility and control (AVC) ̶ Защита от угроз (NGFW IPS)
  9. 9. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9 200 Mbps NGFW 60 Mbps NGFW + IPS 100K Connections 10,000 CPS Защита филиалов Защита доступа в Интернет/границы сети ASA 5512-X 350 Mbps NGFW 90 Mbps NGFW + IPS 250K Connections 15,000 CPS ASA 5515-X 650 Mbps NGFW 300 Mbps NGFW + IPS 500K Connections 20,000 CPS 1 Gbps NGFW 450 Mbps NGFW + IPS 750K Connections 30,000 CPS 1.4 Gbps NGFW 600 Mbps NGFW + IPS 1M Connections 50,000 CPS ASA 5525-X ASA 5545-X ASA 5555-X
  10. 10. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10 Защита доступа в Интернет/границы сети 2 Gbps NGFW 1 Gbps NGFW + IPS 500K Connections 40,000 CPS ASA 5585-SSP10 Защита доступа в Интернет/границы сети 5 Gbps NGFW 1.5 Gbps NGFW + IPS 1 Million Connections 75,000 CPS ASA 5585-SSP20 9 Gbps NGFW 2.5 Gbps NGFW + IPS 1.8 Million Connections 120,000 CPS ASA 5585-SSP40 13 Gbps NGFW 4 Gbps NGFW + IPS 4 Million Connections 160,000 CPS ASA 5585-SSP60 New with 9.2 New with 9.2
  11. 11. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11 Требования к оборудованию Требования к ПО • Для платформ 5512-X, 5515-X, 5525-X, 5545-X, 5555-X требуется SSD диск. • Для 5585-X SSP10, 20, 40, 60 для функционала NGFW необходим отдельный аппаратный модуль. • ASA должна использовать код не ниже версии 9.1.3 • NGFW должен использовать 9.2 • Сервер PRSM должен использовать 9.2 Примечание: Сервер PRSM 9.2 может управлять МСЭ ASA под управлением ПО 9.0.1 или выше, если ASA без NGFW-сервиса.
  12. 12. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12 IP Fragmentation IP Option Inspection TCP Intercept TCP Normalization ACL NAT VPN Termination Routing Botnet Traffic Filter TCP Proxy TLS Proxy AVC Multiple Policy Decision Points HTTP Inspection URL Category/Reputation NGFW IPS NGFW ASA
  13. 13. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13 ASA L3 / L4 NGFW L3 / L4 NGFW – WSE NGFW – Broad AVC NGFW – Web AVC IPS
  14. 14. Sourcefire NGFW, NGIPS, network AMP
  15. 15. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15 Sourcefire – эксперты в области ИБ • Гениальная команда • Больше 10 лет на рынке • 6 лет подряд лидирует в квадратах Gartner • Защищает компании в более чем 180 странах • Инновации: 41+ патент получен или в разработке • Open source проекты - Snort, ClamAV, Razorback, OpenAppID IPS MQ Leader America’s Fastest-Growing Tech Companies 2011
  16. 16. 16 Gartner – MQ for Intrusion Prevention, декабрь 2013 Лидер Gartner Magic Quadrant for IPS с 2006
  17. 17. 17 Sourcefire FireSIGHT видит «все» КАТЕГОРИИ ПРИМЕРЫ SOURCEFIRE СИСТЕМЫ ПРЕДОТВРАЩЕНИЯ ВТОРЖЕНИЙ И МЕЖСЕТВЫЕ ЭКРАНЫ НОВОГО ПОКОЛЕНИЯ СТАНДАРТНА Я СИСТЕМА ПРЕДОТВРА ЩЕНИЯ ВТОРЖЕНИЙ СТАНДАРТН ЫЙ МЕЖСЕТЕВ ОЙ ЭКРАН НОВОГО ПОКОЛЕНИ Я Угрозы Атаки, аномалии ✔ ✔ ✔ Пользователи AD, LDAP, POP3 ✔ ✗ ✔ Веб-приложения Facebook Chat, Ebay ✔ ✗ ✔ Протоколы приложений HTTP, SMTP, SSH ✔ ✗ ✔ Передача файлов PDF, Office, EXE, JAR ✔ ✗ ✔ Вредоносное ПО Conficker, Flame ✔ ✗ ✗ Серверы C&C Интеллектуальная система безопасности C&C ✔ ✗ ✗ Клиентские приложения Firefox, IE6, BitTorrent ✔ ✗ ✗ Веб-серверы Apache 2.3.1, IIS4 ✔ ✗ ✗ Операционные системы Windows, Linux ✔ ✗ ✗ Маршрутизаторы и коммутаторы Cisco, Nortel, Wireless ✔ ✗ ✗ Мобильные устройства iPhone, Android, Jail ✔ ✗ ✗ Принтеры HP, Xerox, Canon ✔ ✗ ✗ VoIP-телефоны Avaya, Polycom ✔ ✗ ✗ Виртуальные машины VMware, Xen, RHEV ✔ ✗ ✗
  18. 18. 18 УСТРОЙСТВА | ВМ NGFW NGIPS AMP Sourcefire – решения по обеспечению безопасности ДО Вы видите, вы контролируете ВО ВРЕМЯ Интеллектуальное противодействие и с учетом контекста ПОСЛЕ Ретроспективные средства безопасности ЦЕНТР УПРАВЛЕНИЯ
  19. 19. 19 FirePOWER™: single-pass, высокопроизводительная, с низкой задержкой аппаратная платформа • Гибкая интеграция в программное обеспечение NGIPS,NGFW, AMP Все вышеперечисленные (просто выбрать соответствующий размер) • Гибкая интеграция в аппаратное обеспечение Масштабируемость: 50 Мбит/с ->60 Гбит/с Стекирование для масштабирования, кластеризация для отказоустойчивости • Экономичность Лучшие в своем классе для систем предотвращения вторжения, межсетевых экранов нового поколения от NSS Labs До 320 ядер RISC До 60 Гбит/с (система предотвращения вторжений)
  20. 20. 20 Производительностьимасштабируемостьсистемыпредотвращениявторжений Центр обработки данных Комплекс зданийФилиал Малый или домашний офис Интернет- периметр FirePOWER 7100 500 Мбит/с – 1 Гбит/с FirePOWER 7120/7125/8120 1 - 2 Гбит/с FirePOWER 8100/8200 2 - 10 Гбит/с FirePOWER серии 8200 и 8300 10 – 60 Гбит/с Платформы и размещение в сети FirePOWER 7000 Series 50 – 250 Мбит/с + Сенсоры и консоль управления в виде ВМ
  21. 21. 21 Объединенная партнерская программа Sourcefire и Cisco Объединенная ИНФРАСТРУКТУРА API
  22. 22. 22 Подход Sourcefire: … непрерывный процесс до, во время и после атаки Вы не можете защитить то, что не видите Автоматическая настройка системы безопасности …в режиме реального времени, в любой момент времени Преобразование данных в информацию ВИДЕТЬ АДАПТИ- РОВАТЬ УЧИТЬСЯ ДЕЙСТ- ВОВАТЬ
  23. 23. 23 Пассивное обнаружение В первую очередь необходимо знать, что у вас есть Невозможно обеспечить защиту того, о чем вы не знаете Хосты Сервисы Приложения Пользователи Коммуникации Уязвимости Все время в режиме реального времени
  24. 24. 24 Cisco действует также: добавляет контекст и понимание C I2 I4 A ЛОКАЛЬНО Бизнес Контекст Кто Что Как Откуда Когда Внутри ВАШЕЙ сети ГЛОБАЛЬНО Ситуационный анализ угроз Снаружи ВАШЕЙ сети Репутация Взаимо- действие APP Приложения URL Сайты Реализация безопасности и глобальным контекстом
  25. 25. 25 Контекст – это самое важное Событие: Попытка получения доступа Цель: 96.16.242.135 Событие: Попытка получения доступа Цель: 96.16.242.135 (уязвимо) ОС хоста: Blackberry Приложения: электронная почта, браузер, Twitter Местоположение Белый дом, США Событие: Попытка получения доступа Цель: 96.16.242.135 (уязвимо) ОС хоста: Blackberry Приложения: электронная почта, браузер, Twitter Местоположение Белый дом, США Идентификатор пользователя: bobama Ф. И. О. Барак Обама Департамент: административный Контекст способен фундаментально изменить интерпретацию данных события
  26. 26. 26  Какие системы были заражены?  Почему это произошло?  Где источник заражения?  За что еще он отвечает?  С кем он еще взаимодействовал? Смотритевсуть:траекторияустройства Смотрите широко: траектория сети Анализ траектории файла и устройства – поиск источника заражения
  27. 27. 27 Лицензирование Sourcefire Устройства FirePOWER серии 8000 и 7000 (с v5.x) Только информирование Асимметричная многопроцессорная обработка Система предотвращения вторжений нового поколения Межсетевой экран нового поколения Стандартные функции устройства Настраиваемые интерфейсы типа «открывать при отказе» ✓ ✓ ✓ ✓ Регистрация подключений / потока ✓ ✓ ✓ ✓ Обнаружение сети, пользователя и приложения [4] ✓ ✓ ✓ ✓ Фильтрация трафика / списки контроля доступа (ACL) ✓ ✓ ✓ ✓ Защита Ведущая система предотвращения вторжений NSS Расширенная лицензия * ✓ ✓ Комплексное предотвращение угроз * ✓ ✓ Интеллектуальная система безопасности (C&C, ботнеты, спам) ✓ ✓ ✓ Блокирование файлов по типу, по протоколу и по направлению ✓ ✓ ✓ Базовое предотвращение потери данных в правилах IPS (SSN, кредитные карты и пр.) * ✓ ✓ Контроль [1] Контроль доступа: применение по приложению Расширенная лицензия Расширенная лицензия Расширенная лицензия ✓ Контроль доступа: применение по пользователю ✓ Коммутация, маршрутизация и возможности NAT [3] ✓ VPN Сеть VPN «узел-узел» IPSec [2] Расширенная лицензия Расширенная лицензия Расширенная лицензия ✓ Фильтрация URL-адресов Подписка на фильтрацию URL-адресов [2] Стоимость на год Стоимость на год Стоимость на год Стоимость на год Защита от вредоносных программ Подписка на блокирование вредоносных программ, непрерывный анализ файлов, отслеживание траектории движения вредоносных программ в сети Стоимость на год Стоимость на год Стоимость на год Стоимость на год [1] Требуется лицензия на защиту [2] Требуется лицензия на контроль [3] Требуются устройства на базе FirePOWER [4] Требуется Центр защиты с лицензией FireSIGHT “*” Примечание. Функции системы предотвращения вторжений доступны в версии AMP, но еще не вышли на рынок
  28. 28. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28 • Настраиваемая инструментальная панель • Комплексные отчеты и оповещения • Централизованное управление политиками • Иерархическое управление • Обеспечение высокой доступности • Интеграция с существующими системами безопасности
  29. 29. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29 DC750 DC1500 DC3500 Макс. число управляемых устройств* 10 35 150 Макс. число событий системы предотвращения вторжений 20 млн. 30 млн. 150 млн. Система хранения событий 100 Гб 125 Гб 400 Гб Макс. сетевая карта (хосты | пользователи) 2 тыс. | 2 тыс. 50 тыс. | 50 тыс. 300 тыс. | 300 тыс. Макс. кол-во Netflow (потоков/с) 2000 потоков/с 6000 потоков/с 10000 потоков/с Возможности высокой доступности Дистанционное управление (LOM) RAID 1, LOM, High Availability pairing (HA) RAID 5, LOM, HA, резервный источник питания пер. тока * Макс. число устройств зависит от типа сенсора и частоты событий
  30. 30. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
  31. 31. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
  32. 32. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
  33. 33. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33
  34. 34. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34 Просмотр всего трафика приложения... Поиск приложений с высокой степенью риска... Кто их использует? Какие использовались операционные системы? Чем еще занимались эти пользователи? Как выглядит их трафик за период времени?
  35. 35. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35 Идентифицированная операционная система и ее версия Серверные приложения и их версия Клиентские приложения Кто на хосте Версия клиентского приложения Приложение Какие еще системы / IP-адреса использует пользователь? Когда?
  36. 36. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36
  37. 37. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37 Различные категории URL URLs категорированы по уровню рисков
  38. 38. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38
  39. 39. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 39
  40. 40. C97-715266-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 40  Что это? Сигналы тревоги и правила блокирования: Трафик ботнетов и C&C / Известные злоумышленники / открытые прокси/релеи Источники вредоносного ПО, фишинга и спама Возможно создание пользовательских списков Загрузка списков от Sourcefire или иных источников  Как это может помочь? Блокировать каналы вредоносных коммуникаций Непрерывно отслеживать любые несанкционированные и новые изменения
  41. 41. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41 • Визуализация карт, стран и городов для событий и узлов
  42. 42. C97-715266-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 42 • IP –адреса должны быть маршрутизируемыми • Два типа геолокационных данных Страна – включено по умолчаниюt Full – Может быть загружено после Установки: Почтовый индекс, координаты, TZ, ASN, ISP, организация, доменное имя и т.д. Ссылки на карты (Google, Bing и другие) • Страна сохраняется в запись о событии Для источника & получателя
  43. 43. C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43
  44. 44. © 2013 Cisco and/or its affiliates. All rights reserved. Спасибо! security-request@cisco.com CiscoRu Cisco CiscoRussia

×