Новая эра корпоративных сетей с Cisco Catalyst 9000 и другие инновации для ма...
Сеть как сенсор и средство контроля
1. Дмитрий Казаков
Системный инженер, CISSP, CCIE Security, CEH
Июнь 2016
Использование сети для обнаружения и защиты от угроз
Сеть как сенсор и
средство контроля
3. Нельзя защитить то чего не видишь
60%
Данных крадется в
первые
ЧАСЫ
85%
Взломов пунктов продаж не
обнаруживаются
НЕДЕЛЯМИ
54%
Взломов остаются не
обнаруженными
МЕСЯЦАМИ
51%увеличение компаний
сообщающих о потере
$10M или более за
последние 3
ГОДА
“Сообщество которое находится в прямой видимости легко избегает обнаружения и атакует быстро”
- “Ежегодный отчет Cisco по безопасности”
4. Расследуя проникновение
Разведка
Жертва нажимает на ссылку в
фишинговом письме
Вредоносное ПО загружается
через backdoor
Поиск административного компьютера
Эскалация привилегий до Админа
Вывод данных с использованием
прав админа
Информация монетизируется после
взлома
5. Модель безопасности ориентированная на угрозы
ДО
Изучить
Применить
Усилить
ПОСЛЕ
Оценить
Расследовать
Исправить
Ж и з н е н н ы й ц и к л а т а к и
Обнаружить
Блокировать
Защитить
ВО ВРЕМЯ
Сеть как средство контроля
Сеть как сенсор
6. Создавая архитектуру безопасной сети
Объединяя Сеть как сенсор / Сеть как средство контроля
Сетевой сенсор
(StealthWatch)
Кампус/ЦОД
Коммутаторы/WLC
Cisco Маршрутизаторы/
Сторонние устройства
Угроза
pxGRID
Сетевые сенсоры Сетевые точки контроля
Обмен контекстом и
политикой
Cisco
Collective
Security
Intelligence
Конфиденциальные
данные
NGIPS
pxGRID
ISE
NGFW
TrustSec
Программно - определяемая
сегментация
7. Интеграция безопасности в сеть
Обнаружить и классифицировать системы
Понять поведение
Применение политики
Активный мониторинг
Динамическая
сегментация
Дизайн и моделирование
политики
8. Безопасность начинается с видимости
Невозможно защитить то чего не видишь
Что находится в сети?
И что оно может делать?
9. Интегрируя безопасность в сеть
Обнаружить и классифицировать
системы
Динамическая
сегментация
Профилирование устройств с ISE
• Аутентификация пользователей и устройств
(User ID, SmartCard, Digital Certificate, etc.)
• Аутентификация по MAC адресу
• Аутентификация через WEB-портал
Профилирование используя NetFlow c StealthWatch
• Сервисы, приложения, хосты
• Поведенческое профилирование
10. ISE предоставляет видимость устройств через
профилирование
Активное
сканирование узловИнтегрированное профилирование:
Видимость в масштабе
Сеть предоставляет функции
локального сенсора
Обновление профилей —
Идентификация в масштабе
Производители и экосистема
предоставляют постоянные
обновления по новым устройствам
Активное сканирование:
Улучшенная точность
Cisco® ISE дополняет пассивно
собранную информацию из сети
активными данными хостов
Cisco
ISE
CDP/LLDP
DHCP
RADIUS
DNS
SNMP
NetFlow
HTTP
NMAP
Подписки
обновления*
Cisco Device Sensor
(Сетевой)
11. Видимость через NetFlow
10.1.8.3
172.168.134.2
Internet
Flow Information Packets
SOURCE ADDRESS 10.1.8.3
DESTINATION
ADDRESS
172.168.134.2
SOURCE PORT 47321
DESTINATION PORT 443
INTERFACE Gi0/0/0
IP TOS 0x00
IP PROTOCOL 6
NEXT HOP 172.168.25.1
TCP FLAGS 0x1A
SOURCE SGT 100
: :
APPLICATION NAME
NBAR SECURE-
HTTP
МаршрутизаторыКоммутаторы
NetFlow предоставляет
• Трассировку любой сессии в Вашей сети
• Возможность сбора записей везде в сети
(коммутатор, роутер или МСЭ)
• Измерять использование сети
• Возможность поиска связей как север-юг,
так и восток-запад
• Облегченная видимость в сравнении с
анализом SPAN
• Индикаторы компрометации (IOC)
• Информация о группах безопасности (SGT)
12. Сеть как сенсор: Cisco StealthWatch
pxGrid
Видимость в реальном времени на
всех сетевых уровнях
• Интеллектуальный анализ во всей сети
• Обнаружение устройств
• Профилирование сети
• Мониторинг политики безопасности
• Обнаружение аномалий
• Средства реагирования на инциденты
Cisco ISE
Действие по блокировке
Информация о контексте
NetFlow
13. Cisco StealthWatch: Обзор системы
NetFlow / NBAR / NSEL
Сетевые
устройства
StealthWatch
FlowCollector
• Сбор и анализ
• До 4,000 источников
• До 240,000 FPS непрерывно
SPAN
StealthWatch
FlowSensor
Генерация
NetFlow
Устройства без поддержки
NetFlow
• Управление и отчетность
• До 25 FlowCollectors
• До 6 миллионов FPS глобально
StealthWatch
Management
Console
14. Масштабирование видимости: Сращивание потоков
10.2.2.2
порт 1024
10.1.1.1
порт 80
eth0/1
eth0/2
Start Time Interface Src IP Src Port Dest IP Dest Port Proto Pkts Sent Bytes Sent
10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025
10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712
Двунаправленные:
• Запись диалоговых потоков
• Позволяет легко визуализировать и анализировать
Однонаправленные записи потоков
Start Time Client IP
Client
Port Server IP
Server
Port Proto
Client
Bytes
Client
Pkts
Server
Bytes
Server
Pkts Interfaces
10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 eth0/1
eth0/2
15. Масштабирование видимости: Дедупликация NetFlow
Роутер A
Роутер B
Роутер C
10.2.2.2
порт 1024
10.1.1.1
порт 80
• Без де-дупликации
• Объем трафика может быть ошибочным
• Появление ложных срабатываний
• Эффективное хранение данных потоков
• Важно для точной отчетности данных хостов
• Не удаляет данные
Роутер A: 10.2.2.2:1024 -> 10.1.1.1:80
Роутер B: 10.2.2.2:1024 -> 10.1.1.1:80
Роутер C: 10.1.1.1:80 -> 10.2.2.2:1024
Дубликаты
16. Диалоговая запись потока
• Высоко масштабируется (корпоративный класс)
• Высокое сжатие => долгосрочное хранение
• Месяцы хранения данных
Когда Кто
Где
Что
Кто
Группа безопасности
Больше контекста
17. NetFlow анализ с StealthWatch позволяет
Обнаруживать
Идентифицировать
дополнительные
IOCs
Лучше понимать /
реагировать на
IOC:
Идентификация
бизнес-критичных
приложений и
сервисов в сети
Политика и
сегментация
Обнаружение
сетевого
аномального
поведения
(NBAD)
Аудит всех
переговоров хост-
хост
18. Интегрируя безопасность в сеть
Понимание
поведения
Сетевая
сегментация
Понимание критических бизнес процессов
• Приложения, сервисы, протоколы, время дня, и тд.
• Профилирование систем
20. Обнаружение сервисов и приложений
Поиск устройств основываясь
на транзакционных данных:
Пример. Протокол (HTTP
Сервера, FTP Сервера, и тд)
Идентифицировать сервера и системы
23. Интеграция безопасности в сеть
Сетевая
сегментация
Дизайн и
моделирование
политик
Классификация объектов в Группы Безопасности
• Поиск в сервере каталогов / соответствие группам
• Профилирование устройств (по типу устройств)
• Другие атрибуты: Время доступа, Местоположение, Метод, и др.
Разработка политики
• Группировка систем по профилирующей информации
• Развертывание в режиме мониторинга
Моделирование политики с StealthWatch
• Пассивное моделирование политики
24. Специалисты по сетевой безопасности должны понимать что
злоумышленник со временем попадет на рабочую станцию
внутри сети. Поэтому предотвращение расширения и
распространения угрозы путем ограничения межхостового
взаимодействия является критичной компонентой стратегии
глубокой защиты
25. access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462
access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384
access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878
access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467
Сеть как средство контроля
Программно-определяемая сегментация TrustSec
Традиционная политика безопасности
Политика безопасности TrustSec
Автоматизация контроля
Упрощенное управление доступом
Увеличение эффективности системы ИБ
Сетевая фабрика
Коммутатор Роутер МСЭ ЦОД Коммутатор
ЦОД
БЛВС
Гибкое и масштабированное применение политик
26. Сетевая сегментация с TrustSec
Пользователь: Петр
Петров
Группа: Менеджер
Склада
Локация: Склад
Время: Рабочее
Группа безопасности: Manager
Применение политик
Вход только
авторизованном
у персоналу
Коммутаторы
Роутеры
МСЭ
Коммутатор ЦОД
Коммутатор
Гипервизора
Ресурс
Сегментация основанная на роли (RBAC)
• Независима от адресно-ориентированной топологии
Роль основанная на контексте
• AD, LDAP атрибуты, тип устройств, местоположение,
время, метод доступа, и тд…
Использование технологии тегирования
• Для описания логических групп (Классификация)
• Для применения политики на коммутаторе, роутере и
МСЭ
Программно задаваемая
• Политика управляется централизованно
• Политика применяется автоматически по-
требованию
• Политика применяется в любом месте сети
динамически
27. Как TrustSec упрощает сегментацию сети
Уровень доступа
Опорная
сеть
Голос
VLAN
Голос
Данные
VLAN
Сотрудник
Уровень агрегации
Поставщик
Гости
VLAN
BYOD
BYOD
VLAN
Карантин
Карантин
VLAN
VLAN
Адресация
DHCP Пул
Надежность
Маршруты
Статический
ACL
VACL
Политика безопасности основанная на Топологии
Высокая стоимость и сложность управления
Голос
VLAN
Голос
Данные
VLAN
Сотрудник Поставщик BYODКарантин
Использование имеющейся топологии
и автоматизация политики
безопасности с уменьшением OpEx
ISE
Нет изменения VLAN
Нет изменения топологии
Централизованная политика
Микро/Макро Сегментация
Тег сотрудника
Тег поставщика
Тег карантина
Уровень доступа
Опорная
сеть
ЦОД МСЭ / Коммутатор
ЦОД Сервера
Политика
TrustSecТрадиционная сегментация
30. TrustSec частые сценарии развертывания
Контроль доступа
пользователей в ЦОД Сегментация ЦОД
Сегментация
кампуса и филиалов
• Основанный на контексте
доступ
• Требования регуляторов PCI,
HIPAA, экспортный контроль
• Интеграция при слиянии и
поглощении
• Зонирование серверов,
микросегментация
• Сегментация разработки от
продуктива
• Требования регуляторов, PCI, HIPAA
• Автоматизация правил МСЭ
• Разделение направлений бизнеса
• PCI, HIPAA и другие требования
регуляторов
• Контроль за распространением
вредоносного кода / карантин
31. Статическая классификацияДинамическая классификация
Типы классификации
Обычная классификация для мобильных устройств Обычная классификация для
серверов, Политики с привязкой к
топологии, и тд.
802.1X
Аутентификация
Web
Аутентификация
MAC Аутентификация
IP Address
VLANs
Subnets
L2 Interface
L3 Interface
Virtual Port Profile
Layer 2 Port Lookup
SGT
32. Зачем аутентификация? – Единство контроля политики
IP адрес: 10.34.245.3
Сетевое устройство:10.34.25.1
MAC адрес:14:7D:C5:BF:34:85
Политика:?
Имя пользователя: Дмитрий
Локация: Офис Москва, строение 1 этаж 3
Тип устройства: Dell Laptop – Windows 7
Политика: AD Group – HR, Wired Access, Trusted Device
Пользователь: Дмитрий
Локация: Public Remote Access VPN
Тип устройства: Dell Device – Windows 7
Политика: AD Group – HR, Public, Limited Access
Пользователь: Дмитрий
Локация : Hospital Office Wi-Fi
Тип устройства : Apple iPad
Политика : AD Group – HR, PCI Restricted
33. Опции распространения
WAN
(GETVPN
DMVPN
IPSEC)
Коммутатор
Роутер Роутер МСЭ Коммутатор
ЦОД
vSwitch СерверПользователь
SGT over Ethernet SGT over EthernetSGT over VPN
КлассификацияSGACLКлассификация
WAN
Коммутатор
Роутер Router Firewall DC Switch vSwitch ServerПользователь
КлассификацияSGFWКлассификация
SXP SXP
Поддержка
гетерогенных
сетей
Сеть с полной
поддержкой
TrustSec
https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/
https://wiki.opendaylight.org/images/6/6c/SXP_Specification_and_Architecture_v00.pdf
SXP/SGToEthernet находятся
в IETF Draft
34. Моделирование и мониторинг политик
Имя правила и
описание
DGTSGT
Срабатывает на трафик в обоих направлениях
Частное событие
генерируется по
трафику
35. Моделирование политики в StealthWatch
Создаем правила основанные на
потоках
При нарушении политики сработает
уведомление.
37. Интеграция безопасности в сеть
Сетевая
сегментация
Применение
политики
Двигаемся к активному применению политик
• Стратегическое развертывание
• ACL основанные на SGT (SGACL)
• Политика МСЭ
39. SGACL масштабируемая сегментация
• Обозначает пользователей / устройства /
сервера и роли, такие как сервера
Продуктивные и Тестовые
• Коммутатор TrustSec запрашивает
политики для устройств только тех, которые
он защищает
• Политики загружаются и применяются
динамически
• Результат: Программно-определяемая
сегментация
• Централизованный контроль
• Политики безопасности отвязаны от топологии
• Отсутствие отдельной настройки коммутаторов
• Одно место для аудита сетевых политик
• Расширяется двумя механизмами
• Настроить метку назначения SGT в FIB, взять метку
источника SGT фрейма/FIB
• Только информация протокола/порта сохраняется в
TCAM
Prod_Servers Dev_Servers
Dev_Server
(SGT=10)
Prod_Server
(SGT=7)
Сегментация назначается в ISE
SGT=3
SGT=4
SGT=5
SGACL
Enforcement
z
Коммутаторы
загружают только
необходимые
политики
Коммутатор
запрашивает политики
для защищаемых им
устройств
40. Политика фильтрации МСЭ основанная на SGT
Обозначения групп
SGT получены ISE
Подключаем сервисы
FirePower по SGT
политике
Также можно использовать
Network Object (Host, Range,
Network (subnet) или FQDN)
И / ИЛИ SGT
41. WEB фильтрация основанная на SGT
(WSA Интеграция)
Кто: Гость
Что: iPad
Где: Офис
Кто: Доктор
Что: Ноутбук
Где: Офис
Кто: Доктор
Что: iPad
Где: Офис
Корпоративная
сеть
Интернет
W ww
Web
Security
Appliance
42. Интеграция безопасности в сеть
Сетевая
сегментация
Активный мониторинг
Мониторинг сетевой активности
• Обнаружить подозрительную и вредоносную активность
• Сетевое и аномальное поведение
• Нарушение политик
• Мониторинг правильной настройки политик
• Мониторинг работы бизнеса
Адаптивный сетевой контроль
• Идентифицировать и блокировать угрозы
• Динамически сегментировать сетевые угрозы
43. Мониторинг сегментации с StealthWatch
PCI карта зоны
Установить политику
взаимодействия зон
Мониторинг нарушений
44. Модель аномального и поведенческого обнаружения
Поведенческие алгоритмы применяются для построения “Событий безопасности”
СОБЫТИЯ
БЕЗОПАСНОСТИ
(94 +)
КАТЕГОРИИ
ТРЕВОГ РЕАГИРОВАНИЕ
Addr_Scan/tcp
Addr_Scan/udp
Bad_Flag_ACK**
Beaconing Host
Bot Command Control Server
Bot Infected Host - Attempted
Bot Infected Host - Successful
Flow_Denied
.
.
ICMP Flood
.
.
Max Flows Initiated
Max Flows Served
.
Suspect Long Flow
Suspect UDP Activity
SYN Flood
.
Concern
Exfiltration
C&C
Recon
Data Hoarding
Exploitation
DDoS Target
Alarm Table
Host Snapshot
Email
Syslog / SIEM
Mitigation
СБОР И АНАЛИЗ
ПОТОКОВ
ПОТОКИ
45. Интегрированная защита от угроз
(Обнаружение и блокирование)
Сотрудник
Сотрудник
Поставщик
Карантин
Общий сервер
Сервер
Сегмент высокого
риска
Интернет
Cisco
StealthWatch
Событие: TCP SYN Scan
IP Источника: 10.4.51.5
Роль: Поставщик
Реакция: Карантин
ISE
Изменение Авторизации
Карантин
Сетевая фабрика
46. VRF-GUEST
Выбор пути основанный на SGT
Корпоративный
WAN
Инспекция Роутер
Роутер/
МСЭ
Сеть A
Policy-based
Routing
основанный
на SGT
SGT-
основанный
выбор VRF
Пользователь B
Подозрительный
Перенаправление трафика от зараженных хостов
• Удержание угрозы, ограничение
распространения
• Направление трафика через централизованный
анализ и функции инспекции
Пример в области безопасности
Направлять разные группы
пользователей на разные сервисы WAN
Другие примеры
Пользователь C
Гость
Пользователь A
Сотрудник
Сегментировать трафик в разные VRF на основании
контекста
Доступно сегодня: Cisco IOS XE Release 3.16S (ASR 1000) и на ASA5500-X (9.5.1)
47. QoS основанный на SGT
Уже доступен на ASR1000 3.17.0s,
ISR4000 15.6(1)T0a
class-map c4
match security-group source tag 7
match security-group destination tag 8
end
policy-map p5
class c4
bandwidth percent 50
set dscp ef
end
interface gigabitEthernet0/0/0.1
service-policy input p5
100Mbps
Gig 0/1
Link Rate
WAN-1 CIR Level
SGT:
Partners
SGT:
Guest
SGT:
Employee
Voice
Video
Best Effort
Office
Предоставляет QoS сервисные уровни на базе usr-group
(User-group задается основываясь на контексте)
51. Сеть как сенсор и средство контроля
подведем итоги
TrustSec предоставляет
программную (микро)
сегментацию
NetFlow и Cisco
StealthWatch
предоставляют
видимость и интеллект
Сеть это ключевое
средство обнаружения
угроз и их контроля