Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

AnyConnect, NVM и AMP

331 views

Published on

AnyConnect, NVM и AMP

Published in: Technology
  • Be the first to comment

  • Be the first to like this

AnyConnect, NVM и AMP

  1. 1. Безопасность AnyConnect, NVM и AMP Василий Томилин Инженер-консультант 16 ноября 2016 г.
  2. 2. Недостаток квалифицированных специалистов в сфере безопасности Для многих средств требуется больше ресурсов, чем имеется для выполнения работы 50% компьютеров — мобильные 70% офисов — удаленные Большинство мобильных и удаленных сотрудников не всегда включают VPN, большинство филиалов не обеспечивают обратный транзит трафика, а большая часть новых оконечных устройств только обнаруживают угрозы 70-90% вредоносного ПО уникально для каждой организации Средства на основе сигнатур, реактивный интеллектуальный анализ угроз и отдельное применение политик безопасности не могут опередить атаки Общие проблемы безопасности
  3. 3. 3 подхода к защите мобильных пользователей может требовать дополнительной экспертизы и ресурсов Обнаруживать IOC и аномалии в системной активности 0 1 0 1 1 1 1 0 1 1 1 0 1 1 0 0 1 1 0 0 0 0 1 1 1 0 1 1 1 0 1 0 0 0 0 1 0 0 0 1 1 0 0 0 0 0 1 0 0 1 0 0 0 0 1 0 0 1 0 0 может потребовать от пользователей изменения поведения и может быть сложным во внедрении Изолировать приложения и данные в гипервизоре/ контейнерах 0 1 0 1 1 1 1 0 1 1 1 0 1 1 0 0 1 1 0 0 0 0 1 1 1 0 1 1 1 0 1 0 0 0 0 1 0 0 0 1 1 0 0 0 0 0 1 0 0 1 0 0 0 0 1 0 0 1 0 0 может обеспечить лучшую видимость и блокирование *если* есть возможность блокировать по любому порту, протоколу или приложению Предотвращать соединения в Интернет- активности 0 1 0 1 1 1 1 0 1 1 1 0 1 1 0 0 1 1 0 0 0 0 1 1 1 0 1 1 1 0 1 0 0 0 0 1 0 0 0 1 1 0 0 0 0 0 1 0 0 1 0 0 0 0 1 0 0 1 0 0
  4. 4. Необходимость доступа любых устройств из любой точки мира Больше разных пользователей Работа из большего количества мест Использование большего количества устройств Доступ к большему количеству различных приложений и передача важных данных Местопо- ложение Приложение Устройство С помощью любого приложения, к любым важным данным, для любого пользователя
  5. 5. Решение Cisco AnyConnect Secure Mobility Solution Широкая поддержка платформ • Apple IOS, Android, Blackberry, Windows Phone, Windows 7/8/10, MAC, Linux, ChromeOS • Работа через клиента и через браузер Постоянное подключение • постоянно активное подключение, • выбор оптимального шлюза, • автоматическое восстановление подключения Унифицированная безопасность и модульность • Идентификация пользователей и устройств • Проверка соответствия • Интегрированная веб-безопасность • Интеграция с защитой от вредоносного кода • Поддержка VDI Корпоративный офис Безопасный, Постоянный Доступ ASA Wired Wi-Fi мобильная или Wi-Fi Мобильный сотрудник Домашний офис Филиал
  6. 6. Поддерживаемые платформы Устройства пользователей и инфраструктура Инфраструктура Клиенты Microsoft Windows Mac OS X Linux Настольное устройство Мобильные средства связи Apple iOS iPhone и iPad • HTC • Motorola • Samsung • Версия 4.0 и более поздние • HTC • Lenovo • Motorola • Samsung • Версия 4.0 и более поздние Бесклиентские подключения BlackBerry + Android Смартфоны Планшетные компьютеры Управление ASDM CSMCLI Защищенные соединения Cisco ISR* Cisco® ASA Cisco ASR* Коммутаторы IEEE 802.1x Интернет- безопасность Cisco WSA Cisco ISE Идентификация и политика+ Cisco NAC Cisco AnyConnect для web-защиты на основе облака Windows Phone IPSec, SSL VPN 802.1X MACSec
  7. 7. Cisco AnyConnect для VPN-доступа • Клиент полного туннелирования IPsec/SSL VPN • Постоянное подключение и высочайшее удобство работы пользователей • Управление доступом в сеть • Оценка состояния настольных систем и мобильных устройств • Широкая поддержка платформ ОС настольных систем и мобильных устройств • Детализированный контроль доступа • Предоставление пользователям определенных ресурсов • Защищенное хранилище • Широкая поддержка браузеров и приложений Клиент Cisco AnyConnect Secure Mobility Портал бесклиентских VPN-подключений по протоколу SSL
  8. 8. Клиент AnyConnect -постоянное подключение Автоматическое переподключение между сетями Wi-Fi, 3G и разрывах связи Повторная аутентификация не требуется Таймер максимальной продолжительности сеанса Off Premises
  9. 9. Выбор оптимального шлюза Подключение к наиболее оптимальному головному устройству Время = 225 мс Время = 223 мс Время = 224 мс Время = 110 мс Время = 127 мс Время = 125 мс Время = 73 мс Время = 75 мс Время = 76 мс МоскваВладивосток СПб Пороговое значение времени приостановки (часы) Пороговое значение повышения производительности (%) Параметры профиля: Астана
  10. 10. Поддержка публикации: • Внутренних веб-сайтов • Веб-ориентированных приложений • Файловых ресурсов NT/Active Directory • Почтовых ресурсов POP3S, IMAP4S, and SMTPS. Microsoft Outlook Web Access Exchange Server 2000, 2003, and 2007, 2010. • Поддержка плагинов для RDP, VNC SSH (Java/ActiveX) • Подключение любых TCP-ориентированных приложений c технологией SmartTunnel на совместимых платформах Безклиентский доступ по SSL http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asa-vpn-compatibility.html
  11. 11. AnyConnect – больше чем просто VPN SSL / DTLS VPN IPsec VPN Оценка состояния (HostScan/ISE) Cloud Web Security/ OpenDNS L2 саппликант (Win Only) Коммутаторы и контроллеры WLC ASA WSAISE/ACS Cloud Web Security + AMP Центральные устройства ASR/ CSR ISR Базовый VPN Расширенный VPN Другие сервисы Модуль сетевой видимости AMP Enabler
  12. 12. Обеспечение интернет-безопасности с помощью Cisco WSA Новости Эл. почта Социальные сети Корпоративное ПО как услуга (SaaS) Устройство корпоративного доступа Пользователи вне сети Пользователь проходит аутентификацию Устройство web- защиты Cisco Устройство корпоративного доступа Cisco® ASA Идентификационные данные пользователя WCCP Доверенная сетьНедоверенная сеть
  13. 13. Клиент Cisco AnyConnect™ Secure Mobility Интернет- коммуникации Внутренние коммуникации Обеспечение интернет-безопасности с помощью решения Cisco Cloud Web Security/OpenDNS Umbrella Cisco AnyConnect для web-защиты на основе облака
  14. 14. Cisco AnyConnect Интернет-безопасность для Cisco Cloud Web Security • Облачная служба — постоянно функционирует и всегда защищена • Предоставляет ̶ политики допустимого использования; ̶ защиту от угроз со стороны вредоносного ПО; ̶ возможности управления использованием приложений; ̶ возможность выбора пользователем систем защиты во время поездок (исключаются проблемы с языком). • Может использоваться вместе с устройством обеспечения безопаснсти web-трафика Cisco® или отдельно. Cisco AnyConnect для web-защиты на основе облака
  15. 15. Cisco Network Access Manager – управление проводным и беспроводным подключением • Управление корпоративными подключениями • Проводное (802.3) и беспроводное (802.11) подключение с помощью одной структуры аутентификации • Аутентификация пользователей и устройств уровня 2: –Продвинутый саппликант 802.1X, 802.1X-REV –802.1AE (MACsec: проводное шифрование) –Поддержка нескольких типов EAP –802.11i (сеть с повышенной безопасностью) • Поддержка конфигураций сети для администратора (офис) и пользователя (дом)
  16. 16. Локализация • Cisco AnyConnect™ GUI и инсталлятор поддерживают локализацию на множество языков • Некоторые поддерживаемые языки: ̶ Русский ̶ Japanese ̶ French (Canadian) ̶ German ̶ Chinese ̶ Korean ̶ Spanish (Latin American) ̶ Czech ̶ Polish • Возможно делать кастомизированные локализации под задачи организации
  17. 17. Поддерживает оценку состояния для разных способов доступа Упрощает управление с единым агентом Предотвращает подключение несоответствующих устройств (проверка патчей, ключей реестра, антивирусов….) Оценка состояния и безопасный VPN-доступ с унифицированным агентом и Cisco ISE
  18. 18. Подключает только разрешенные приложения через VPN Избранное туннелирование через VPN VPN Обеспечивает безопасный удаленный доступ для выбранных приложений для определенного пользователя, устройства и роли (per-app VPN) Уменьшает риски неразрешенных приложений, связанные с компрометацией данных Поддерживает большое количество типов устройств и удаленных пользователей (сотрудники, партнеры, контрактники) WWW
  19. 19. Схема лицензирования AnyConnect 4.x Подписки по числу пользователей, 1/3/5 лет, возможность Perpetual для Plus Apex § Все функции Plus § Posture § Clientless § Suite B § NVM Простая двухуровневая структура позволяет заказчикам экономить средства (лицензирование на базе пользователей, не устройств) Схема лицензирования стала существенно проще Лицензирование на уровне организации и возможность развертывания лицензии на любом концентраторе (ASA, ISE, ISR/ASR/CSR, ...) делает всё проще Plus * § PC/Mobile VPN § Mobile per-app VPN § Web security § NAM
  20. 20. AnyConnect VPN Only MOBILE License (per ASA model) ADVANCED ENDPOINT ASSESSMENT License (per ASA) Лицензия СТАРОГО типа (с привязкой к ASA) Always-On, Clientless, Posture Assessment, Suite B PREMIUM License (per user for each ASA) AnyConnect VPN Only Старая модель лицензирования Лимит: число подключений (конкретная ASA) Тип: Perpetual Кванты: 10-10K Лимит: число подключений (конкретная ASA) Тип: Perpetual Кванты: 25-10K Много пользователей, низкая активность PHONE License (per ASA model)
  21. 21. • Лицензирование по числу пользователей • L-AC-APX-LIC= (Apex): 25 пользователей, 1 год: 380 долларов (GPL) • L-AC-PLS-LIC= (Plus): 25 пользователей, 1 год: 158 долларов (GPL) • L-AC-PLS-P-G (Plus, Perpetual): 25 пользователей, 1136 долларов (GPL), включая 33 доллара SASU • Лицензирование по числу соединений на конкретном устройстве • L-AC-VPNO-xxxx=: 25 подключений, 4 994 доллара (GPL), включая 799 долларов SASU Оценка по порядкам (на текущую дату)
  22. 22. Особенности VPN Only o Применяется к конкретной ASA o Учитываются одновременные подключения (НЕ пользователи) o Только сервисы AnyConnect VPN (нет OpenDNS, NVM, ISE Posture, …) o Нет возможности переносить, совместно использовать и т.п. o Не предусмотрен апгрейд до Plus/Apex o Не предусмотрено совместное использование с Plus или Apex o Требуется контракт SASU для доступа к ПО и технической поддержке
  23. 23. Что такое «пользователь»? Авторизованный пользователь – пользователь, который будет использовать AnyConnect (частота не важна). Лицензии Plus и Apex продаются на базе общего числа пользователей, НЕ одновременных подключений. Если у пользователя много устройств, это всё ещё один пользователь. Каждое «необитаемое» устройство (сервер, IoT, …) – это тоже пользователь.
  24. 24. А если мы собираемся использовать несколько ASA? Число лицензий AnyConnect Plus и Apex основано на общем числе авторизованных пользователей сервиса, не важно, обслуживает их 1 устройство или 5000 устройств. В рамках этого разговора мы не рассматриваем вопросы стоимости устройств ;). Лицензия VPN Only привязывается к конкретной ASA и определяет число одновременно активных VPN-подключений. Для каждой ASA требуется своя лицензия VPN Only.
  25. 25. У нас 2 ASA, как регистрировать лицензии Plus/Apex? Подписки Plus и Apex (L-AC-PLS-LIC=) / (L-AC-APX-LIC=) Можете сразу указать серийные номера нескольких ASA при начальной регистрации. Можете воспользоваться функционалом Share (см. http://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility- client/200191-AnyConnect-Licensing-Frequently-Asked-Qu.html#anc57, там есть скриншоты). Plus perpetual Регистрируйте один серийный номер ASA при начальной регистрации. Для каждой регистрации используется количество 1. Последующие регистрации с помощью PAK.
  26. 26. Все лицензии на AnyConnect типа «подписка» включают доступ к обновлениям/исправлениям AnyConnect, а также технической поддержке в течение срока действия подписки. Все лицензии на AnyConnect типа “perpetual” требуют приобретения дополнительного контракта SASU для получения обновлений, исправлений и технической поддержки. Для поддержки оборудования VPN-концентратора требуется отдельный SMARTnet. Я запутался с SASU, есть какое-то общее правило
  27. 27. Модуль сетевой видимости Расширенный контекст об активностях устройства Коллектор и системы отчетов Расширяет сбор данных об устройстве информацией о сетевой активности приложений/пользователей АналитикаАудитНаблюдаемость . . .
  28. 28. NVM – открытость http://developer.cisco.com/site/network-visibility-module/
  29. 29. Новые возможности NVM ParentProcessHash DestinationHostname DNSSuffix L4ByteCountIn L4ByteCountOut VirtualStationName OSName OSVersion SystemManufacturer SystemType OSEdition ModuleNameList ModuleNameHash InterfaceIndex InterfaceIndexType InterfaceIndexName Гибкая политика сбора Новые атрибуты Подавление BCAST/MCAST Управление кэшем Полный список атрибутов
  30. 30. • vzFlow = Netflow(IPFIX) + дополнительные поля • Именно vzFlow реализован в AnyConnect NVM Посмотрим повнимательнее
  31. 31. ИД род. процесса (ID запустившего процесса) Имя родительского процесса (запустившего iexplore.exe) Запись Netflow (Source IP, Destination IP, …) Уникальный Device ID (корреляция записей) Имя устройства (bsmith-WIN7) Локальный DNS (starbucks.com), целевой DNS (-> amceco.box.com) Доменимя пользователя (AMERbsmith) Имя процесса (iexplore.exe) ИД процесса(ID iexplore.exe) * Можно включать/отключать сбор полей данных Контекст в трактовке NVM Приложение – пользователь – устройство – местоположение – цель
  32. 32. Stealthwatch Management Console Инфраструктура, передающая данные о потоках Набор решений Stealthwatch: лицензии для оконечных устройств и облаков Flow Collector Endpoint Concentrator Много клиентов AnyConnect с NVM Серверы в AWS Cloud Concentrator Лицензия Endpoint License и Endpoint Concentrator помогают собирать IPFIX от AnyConnect NVM (AnyConnect Apex!!!). Лицензия Cloud License и Cloud Concentrator помогают собирать IPFIX от серверов, развернутых в AWS.
  33. 33. Модуль сетевой видимости
  34. 34. Модуль сетевой видимости
  35. 35. Модуль сетевой видимости
  36. 36. AMP-активатор расширяет защиту от malware Обеспечивает быстрый и удобный путь включения функционала Advanced Malware Protection (AMP) Обеспечивает защиту конечного устройства до туннелирования трафика в сеть Минимизирует потенциальное влияние путем обеспечения проактивной защиты и быстрого устранения заражения Больше защиты Windows/MAC Mobile Мобильное устройство
  37. 37. Cisco AMP расширяет возможности NGFW и NGIPS Ретроспективная безопасностьТочечное обнаружение Непрерывная и постоянна защита Репутация файла и анализ его поведения
  38. 38. Полная защита среды с помощью Cisco AMP AMP Защита Метод Идеально для Контент Лицензия для ESA и WSA, а также для CES и CWS Пользователей решений Cisco для защиты электронной почты и обеспечения безопасности веб- трафика Сеть Отдельное устройство -или - Включите AMP на устройствах FirePOWER или ISR G2/4k Пользователей NGIPS/NGFW и ISR Хост Установка на стационарные и мобильные устройства, включая виртуальные Windows, Mac, Android, VM Cisco Advanced Malware Protection Вектор угроз Email и Web Сеть Оконечные устройства
  39. 39. Cisco AMP защищает с помощью репутационной фильтрации и поведенческого анализа файлов Фильтрация по репутации Поведенческое обнаружение Динамический анализ Машинное обучение Нечеткие идентифицирующие метки Расширенная аналитика Идентичная сигнатура Признаки компрометации Сопоставление потоков устройств
  40. 40. Cisco AMP обеспечивает ретроспективную защиту ТраекторияПоведенческие признаки вторжения Поиск нарушений Ретроспектива Создание цепочек атак
  41. 41. Пример ретроспективы процессов На примере Cisco AMP for Endpoints
  42. 42. Пример траектории файла
  43. 43. Неизвестный файл находится по IP-адресу: 10.4.10.183. Он был загружен через Firefox Пример траектории файла
  44. 44. В 10:57 неизвестный файл с IP-адреса 10.4.10.183 был передан на IP-адрес 10.5.11.8 Пример траектории файла
  45. 45. Семь часов спустя файл был передан через бизнес- приложение на третье устройство (10.3.4.51) Пример траектории файла
  46. 46. Полчаса спустя с помощью того же приложения файл был скопирован еще раз на четвертое устройство (10.5.60.66) Пример траектории файла
  47. 47. Решение Cisco® Collective Security Intelligence Cloud определило, что этот файл является вредоносным. Для всех устройств было немедленно создано ретроспективное событие Пример траектории файла
  48. 48. Тотчас же устройство с AMP для Endpoints среагировало на ретроспективное событие и немедленно остановило ВПО и поместило в карантин только что определенное вредоносное ПО Пример траектории файла
  49. 49. Через 8 часов после первой атаки вредоносное ПО пыталось повторно проникнуть в систему через исходную входную точку, но было распознано и заблокировано Пример траектории файла
  50. 50. Полная информация о вредоносном коде
  51. 51. Ретроспективный анализ процессов позволяет ответить на следующие вопросы • Как угроза попала на узел? • Что плохого происходит на моем узле? • Как угроза взаимодействует с внешними узлами? • Чего я не знаю на своем узле? • Какова последовательность событий?
  52. 52. • AnyConnect – многофункциональный клиент для обеспечения комплексной безопасности. • Схема лицензирования существенно упростилась и стала более прозрачной. • Комплексные возможности включают не только различные функции предотвращения нарушений безопасности, но и средства мониторинга, а также модуль активации клиента АМР для оконечных устройств. Резюме
  53. 53. CiscoRu Cisco CiscoRussia CiscoRu Спасибо © 2015 Cisco and/or its affiliates. All rights reserved.

×