Сеть как сенсор и как регулятор

Михаил Кадер, инженер
mkader@cisco.com
security-request@cisco.com
Сеть как сенсор
и как регулятор

Содержание
2
Введение Оценка
ситуации
Кратко о технологиях
TrustSec и NetFlow
Сегментирование
сети
Внедрение
политики
Оценка
и классификация
ресурсов
Моделирование
политик
Резюме
Внедрение Мониторинг
Проектирование
и создание
политики
Адаптивное
управление
сетью

Из чего состоит жизненный цикл атаки
3
Исследования
Расширение
поверхности атаки Выполнение
Кража
Нарушение
Подготовка
Первичная
компрометация
Первичная
разведка
Проникновение
(C&C)

Использование сети
Определение и управление политиками, поведением и контроль угроз
4
Сеть как регулятор

Цикл OODA (Observation-Orientation-Decision-Action)
Наблюдение-ориентация-принятие решения-действие)
5
Наблюдение
Ориентация
Принятие
решения
Действие
•  Изучение обстоятельств
•  Четкое руководство
•  Внешняя информация
•  Анализ взаимодействия со
средой
•  Культурные традиции
•  Генетический фонд
•  Анализ и синтез
•  Новая информация
•  Предыдущий опыт
Взаимодействие со средой

Сегментация: контроль угроз
6
Оценка и классификация ресурсов
Понимание поведения
и моделирование политик
Внедрение политик
Мониторинг политик
Адаптивное управление сетью

Сегментация: контроль угроз
7
Сотрудники
Разработка
Производство
Сегментация:
•  Определение релевантных и критически
важных для бизнеса зон
Микросегментация:
•  Определение политики сегментации по зонам
•  Пример: политика взаимодействия между
пользователями

Интеллектуальная сегментация
8
Идентификация
Классификация/восстановление
Политика
Данные транзакций
Lancope
StealthWatch
Cisco
ISE
Аналитика
и политика
Сенсоры и регуляторы сети
Пользователи, ресурсы
и устройства
Карантин/
захват
Реклассификация/
восстановление
Маршрутизаторы NGFW
Коммутаторы
NetFlow
&
TrustSec
Политика:
•  Определение и классификация
ресурсов
•  Создание политик
•  Внедрение политик
•  Адаптивное управление сетью
Аналитика:
•  Идентификация ресурсов и действий
•  Моделирование политик
•  Мониторинг политик и действий
•  Интеллектуальная реклассификация

9
Анализ сигналов (анализ трафика):
•  Получение информации из шаблонов
коммуникаций

NetFlow
10
10.2.2.2
порт 1024
10.1.1.1
порт 80
eth0/1
eth0/2
Время начала Интерфейс IP-адрес
источника
Порт-
источник
IP-адрес
назначения
Порт
Протокол Пакетов
отправлено
Байтов
SGT DGT Флаги TCP
10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010 SYN,ACK,PSH
10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 1010 100 SYN,ACK,FIN
источника
Порт-
источник
IP-адрес
Порт
Байтов
SGT DGT Флаги TCP
10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010 SYN,ACK,PSH

NetFlow = мониторинг
11
Маршрутизатор номер мониторинг потока кеш CYBER-MONITOR
…
IPV4 SOURCE ADDRESS: 192.168.100.100
IPV4 DESTINATION ADDRESS: 192.168.20.6
TRNS SOURCE PORT: 47321
TRNS DESTINATION PORT: 443
INTERFACE INPUT: Gi0/0/0
FLOW CTS SOURCE GROUP TAG: 100
FLOW CTS DESTINATION GROUP TAG: 1010
IP TOS: 0x00
IP PROTOCOL: 6
ipv4 next hop address: 192.168.20.6
tcp flags: 0x1A
interface output: Gi0/1.20
counter bytes: 1482
counter packets: 23
timestamp first: 12:33:53.358
timestamp last: 12:33:53.370
ip dscp: 0x00
ip ttl min: 127
ip ttl max: 127
application name: nbar secure-http
…
Только одна запись NetFlow Record содержит массу ценной информации

Компоненты для мониторинга безопасности
по технологии NetFlow
12
Сеть Cisco
UDP Director
•  Средство копирования
UDP-пакетов
•  Переадресация в разные
системы сбора данных
NetFlow Сенсор потока StealthWatch
FlowSensor (VE)
•  Создание данных NetFlow
•  Дополнительные контекстные поля
(например, приложения, URL,
SRT, RTT)
Средство сбора данных потоков
StealthWatch FlowCollector
•  Сбор и анализ
•  До 2000 источников
•  Непрерывно до 240 000 потоков/с
Консоль управления StealthWatch
•  Управление и отчетность
•  До 25 устойств сбора данных
•  До 6 млн потоков/с на систему
Лучшие практические
методики: централизованный
сбор данных

Сбор данных NetFlow: «сшивание» потока
13
10.2.2.2
порт 1024
10.1.1.1
порт 80
eth0/1
eth0/2
Время начала IP-адрес
клиента
Порт
клиента
IP-адрес
сервера
Порт
сервера
Протокол Байты
клиента
Пакеты
клиента
Байты сервера Пакеты сервера SGT клиента SGT сервера Интерфейсы
10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 100 1010 eth0/1
eth0/2
Записи однонаправленного
потока
Двунаправленный:
•  Запись потока в режиме диалога
•  Обеспечивает простую визуализацию и анализ
источника
Порт-
источник
IP-адрес
Порт
Байтов
SGT DGT
10:20:12.221 eth0/1 10.2.2.2 1024 10.1.1.1 80 TCP 5 1025 100 1010
10:20:12.871 eth0/2 10.1.1.1 80 10.2.2.2 1024 TCP 17 28712 1010 100

Сбор данных NetFlow: дедупликация
14
Время начала IP-адрес
клиента
Порт
клиента
IP-адрес
сервера
Порт
сервера
Протокол Байты
клиента
Пакеты
клиента
Байты
сервера
Пакеты
сервера
Приложение SGT
клиента
SGT сервера Экспортер, интерфейс, направление,
действие
10:20:12.221 10.2.2.2 1024 10.1.1.1 80 TCP 1025 5 28712 17 HTTP 100 1010 Sw1, eth0, in
Sw1, eth1, out
Sw2, eth0, in
Sw2, eth1, out
ASA, eth1, in
ASA, eth0, out, Permitted
ASA eth0, in, Permitted
ASA, eth1, out
Sw3, eth1, in
Sw3, eth0, out
Sw1, eth1, in
Sw1, eth0, out
10.2.2.2
порт 1024 10.1.1.1
порт 80
Sw1
Sw2
Sw3
ASA

Плюс учет контекста и ситуационная
осведомленность
15
NAT
События
Известные сервера команд
и управления (C&C)
Идентификатор
пользователя
Приложение
Приложение
и URL-адрес
URL-адрес и имя

Запись потока в режиме диалога
16
Кто
КтоЧто
Когда
Как
Где
•  Сбор данных с высокой возможностью
масштабирования (корпоративного класса)
•  Сильное сжатие => длительное хранение
•  Сохранение данных в течение
нескольких месяцев
Больше контекста

Запись потока в режиме диалога: экспортеры
17
Путь, по которому идет поток в сети

Анализ трафика:
18
Определение дополнительных IOC
•  Политика и сегментация
•  Установление аномального поведения в сети (NBAD)
Лучшее понимание / реагирование на IOC:
•  Регистрация коммуникаций между хостами
Обнаружение
•  Определение важных для бизнеса приложений и сервисов в сети

Сеть как регулятор
19

Традиционная сегментация
Голос Данные PCI ПодрядчикКарантин
Уровень доступа
Уровень агрегации
VLAN Адресация DHCP-охват
Резервирование Маршрутизация Статический ACL
Простая сегментация с 2 сетями VLANБольше политик с использованием большего числа VLAN
Дизайн необходимо реплицировать на этажи,
здания, офисы и другие объекты. Затраты
могут быть чрезвычайно высокими
ACL

Стандартные способы уменьшения охвата
и связанные с этим проблемы
Виртуальная локальная сеть (VLAN)
•  Изолированный широковещательный
домен (безопасность не обеспечена)
•  Необходимы дополнительные средства
обеспечения безопасности (списки IP ACL,
когда трафик уходит из сети VLAN)
•  Отсутствие управления в сети VLAN
•  Число политик = числу сетей VLAN
•  Большие затраты на обслуживание:
изменение политики, изменение сети
приводит к изменению VLAN,
изменению ACL
Список контроля доступа
IP-адресов (ACL)
•  Обычный инструмент управления
(коммутаторы и маршрутизаторы)
•  Политика на основе адресов в сравнении
с политикой на основе контекста
•  Подверженность человеческим ошибкам
(неправильная конфигурация)
•  Большие затраты на обслуживание:
новое местоположение означает
использование нового ACL

access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848
access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878
access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216
access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111
access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175
access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462
access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384
access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878
access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467
Гибкое и масштабируемое применение политик
Коммутатор Маршрутизатор Межсетевой
экран ЦОД
Коммутатор ЦОД
Автоматизация управления системой
безопасности
Повышение эффективности
Упрощенное управление доступом
Технология Cisco
TrustSec®
Сегментация на основе бизнес-политик
Политика
сегментации

Сегментация сети с помощью TrustSec
•  Сегментация на основе RBAC, независимо от топологии
на основе адресов
•  Роль на основе AD, атрибутов LDAP, типа устройства,
местоположения, времени, способов доступа и т. д.
•  Использование технологии тегирования для
представления логической группы, траффик отправляется
вместе с тегом
•  Внедрение политики на основе тегов для коммутаторов,
маршрутизаторов и МСЭ
•  Централизованно определяемая политика сегментации,
которая может быть применена в любом месте сети
Сегментация TrustSec обеспечивает следующие
возможности:
Маршрутизаторы
Межсетевой экран
Коммутатор ЦОД
ПО гипервизора
Имя пользователя: johnd
Группа: управляющие
магазинами
Местонахождение: офис
магазина
Время: рабочие часы
SGT: менеджер
Применение
политики
Ресурс

Управление доступом пользователя к ЦОД
с помощью TrustSec
Голос Сотрудник Поставщики Гость Не соответст-
вует требованиям
Тег сотрудника
Тег поставщика
Тег посетителя
Несоответствующий тег
МСЭ ЦОД
Голос
Здание 3
WLAN — Данные — VLAN
Ядро комплекса зданий
ЦОД
Основное здание
Данные — VLAN
Сотрудник Не соответст-
вует требованиям
Политика (тег группы безопасности
(SGT)) применяется
к пользователям, устройствам
и серверам независимо
от тополологии
или местоположения.
TrustSec упрощает управление
ACL-списками для входящего
и исходящего трафика VLAN Уровень доступа

Производственные
серверы
Производственные
серверы
База данных HR
Защищенные ресурсы
РАЗРЕШИТЬ ЗАПРЕТИТЬ
Хранение
РАЗРЕШИТЬЗАПРЕТИТЬ
Сервера разработки
Источник ЗАПРЕТИТЬ ЗАПРЕТИТЬ РАЗРЕШИТЬРАЗРЕШИТЬ
ЗАПРЕТИТЬ РАЗРЕШИТЬ РАЗРЕШИТЬЗАПРЕТИТЬ
РАЗРЕШИТЬ РАЗРЕШИТЬ РАЗРЕШИТЬРАЗРЕШИТЬ
Серверы
разработки
Хранение
Cisco ISE
Сервера разработки
Межсетевой
экран ЦОД
Коммутатор
ЦОД
политики
Распространение тегов SGT
Классификация
Сегментация
без сетей VLAN
Сегментация ЦОД
25

Сегментация комплекса зданий с помощью TrustSec
26
Голос Сотрудник Гость Карантин
Тег сотрудника
Тег поставщика
Тег посетителя
Тег карантина
МСЭ ЦОД
Голос
Здание 3
Данные — VLAN (200)
Ядро комплекса зданий
ЦОД
Основное здание
Данные — VLAN (100)
Сотрудник Карантин
Уровень доступа
Сотрудник
§  Применение
политик основано
на тегах группы
безопасности;
можно управлять
коммуникациями
в той же сети VLAN

Функции классификации TrustSec
27
VLAN-SGT
IP-SGT
Профиль
порта
Порт-SGT
Префикс IPv4
Обучение
Префикс IPv6
Обучение
IPv6 Префикс-SGT
IPv4 Подсеть-SGT
802.1X
MAB
Веб-
аутентификация
Профилиро-
вание
SGT
SGT
SGT
Пул адресов-SGT
VLAN-SGT
ЦОД/
виртуализация
Пользователь/устройство/
местоположение
Уровень доступа Cisco
ISE
NX-OS/
оркестрация/
Гипервизоры
IOS/маршрутизация
Комплекс зданий
и VPN-доступ
Оборудование не Cisco
и устаревшее
оборудование
Управление доступом бизнес-партнеров и поставщиков

Транспортный механизм SGT
WLC МСЭ
Доступ к комплексу
зданий
Без поддержки
SGT Ядро Ядро ЦОД
Магистральная сеть
предприятия
Доступ в ЦОД
TOR
IP-адрес SGT SRC
10.1.100.98 50 Локальный
Таблица привязки SXP IP-SGT
SXP
SGT=50
ASIC ASIC
Дополнительно зашифровано
Отметка тегами SGT в сети
SGT=50
ASIC
L2 Ethernet-кадр
SRC: 10.1.100.98
IP-адрес SGT
10.1.100.98 50
SXP
10.1.100.98
Отметка тегами в сети (уровень данных):
Если устройство поддерживает SGT в своей
микросхеме ASIC
SXP (уровень управления):
Обмен между устройствами, не имеющими
аппаратного обеспечения с поддержкой SGT
28

SXP: Протокол обмена SGT
•  Протокол уровня управления, который
передает данные оконечных устройств
IP-SGT в точку применения политики
•  IP-трафик передается как обычно — SXP
находится вне потока данных
•  В качестве транспортного уровня
используется протокол TCP
•  Ускорение применения тегов SGT
•  Поддержка одного и нескольких сегментов
SXP (агрегация)
•  Две роли: спикер (инициатор) и слушатель
(приемник)
•  Защита от зацикливания с версии 4
SW
SW RT
SW
SXP
(Агрегация)SXP
SXP
Спикер Слушатель
29

Теги групп безопасности в сети
Метаданные CTS
CMD ETYPE ICV CRC
Версия ДлинаCMD EtherType Тип опции SGT Значение SGT Другие опции CMD
DMAC SMAC Заголовок 802.1AE 802.1Q PAYLOAD
16 бит (64000 SGT)
Поле, зашифрованное MACsec (дополнительно)
ETHTYPE:0x88E5
•  и L2 802.1AE + TrustSec
•  Кадр всегда помечается тегом на входном порте устройства с поддержкой SGT
•  Процесс тегирования предшествует другим сервисам уровня L2, например QoS
•  Отсутствует влияние на IP MTU/фрагментацию
•  Влияние на MTU кадра L2: ~ 40 байтов (~1600 байтов с 1552 байтами MTU)
•  MACsec — опция для соответствующего оборудования
Поле кадра EthernetЗаголовок 802.1AE CMD ICV
(ETHTYPE:0x8909)
Тег группы
ETHTYPE:0x88E5
30

Сквозная маркировка SGT
Cat3750X Cat6500 Nexus 2248
WLC5508 ASA5585
Nexus 2248
Cat6500 Nexus 7000 Nexus 5500
Аутентификация конечного
Классифицируется как сотрудник (5)
Поиск FIB
MAC-адрес назначения/порт SGT 20
DST: 10.1.100.52
SGT: 20
ISE
SRC: 10.1.10.220
5
SRC:10.1.10.220
DST: 10.1.100.52
SGT: 5 DST: 10.1.200.100
SGT: 30
CRM
ESXi
SRCDST CRM (20) ESXi (30)
Сотрудник (5) SGACL-A Запретить
BYOD (7) Запретить Запретить
Классификация точек назначения
CRM: SGT 20
ESXi: SGT 30
Теги L2 SGT
31

Сегментация политик SGACL
•  Инициализируются новые пользователи/устройства/
серверы, например, роли «производственный сервер»
и «сервер разработки»
•  Коммутатор TrustSec запрашивает политики для ресурсов,
которые он защищает
•  Политики загружаются и применяются динамически
•  Результат: программно-определяемая сегментация
•  Управление всеми средствами контроля осуществляется
централизованно
•  Политики безопасности отключены от топологии сети
•  Никакой специальной конфигурации коммутатора не
требуется
•  Единое место для проверки политик по всей сети
•  Реализация через два механизма
•  Добавление тега назначения SGT в FIB, получение тега
источника SGT из кадра/FIB
•  В TCAM заносится только информация о протоколе/
порте
Prod_Servers Dev_Servers
Dev_Server
(SGT=10)
Prod_Server
(SGT=7)
SGT=3
SGT=4
SGT=5
политики
SGACL
Сегментация определяется в ISE
запрашивает
политики для
ресурсов, которые
он защищает
получают только
те политики,
которые им нужны

Открытость — драфт информационного
стандарта SXP
33
•  Информационный стандарт ‘Source-Group Tag eXchange Protocol’ IETF
https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/
•  Еще лучшее согласование с другими форматами, передающими метаданные, такими как Network
Services Header (NSH)
•  Позволяет сопоставлять теги SGT с классом источника и классом назначения (если доступно)
•  https://tools.ietf.org/html/draft-guichard-sfc-nsh-dc-allocation-01

Соответствие требованиям PCI
34
http://www.cisco.com/en/US/solutions/collateral/ns170/ns896/ns1051/
trustsec_pci_validation.pdf

35
Введение
Оценка ситуации
TrustSec и NetFlow
сети
Оценка
ресурсов

Сегментация начинается с мониторинга
36
Вы не сможете защитить то, что не видите
Кто находится в сети
и что они намерены делать?

Профилирование ISE: обнаружение
пользователей и устройств
37
CDP/LLDP
RADIUS
NetFlow
HTTP
NMAP
Интегрированное профилирование: мониторинг
в масштабе
Активное сканирование: большая точность
Веб-канал данных об устройствах:
идентификация в масштабе
Сетевая инфраструктура обеспечивает локальную
функцию распознавания
Cisco® ISE дополняет информацию пассивной сети
данными об активных оконечных устройствах
Производители и партнеры постоянно предоставляют
обновления для новых устройств
Сенсор устройств Cisco
Сенсор устройств
(функция сети)
Активное
сканирование
оконечных
устройств
Вeб-канал данных
об устройствах*
Cisco ISE
Сокращение числа неизвестных устройств
в сети в среднем на 74%

Поиск сервисов и приложений
38
Поиск ресурсов на основе транзакционных данных:
•  Пример. Протокол (HTTP-сервера, FTP-сервер и т. д.)
серверов

Поиск ресурсов
39
Поиск хостов, взаимодействующих друг с другом по сети
•  Оценка на основе транзакционных данных

Группы хостов: с применением ситуации
40
Виртуальный контейнер
множества
IP-адресов/диапазонов
с аналогичными атрибутами
Лабораторные
серверы
Лучшие практические
методики: внесение всех
известных IP-адресов в одну
или несколько групп хостов

Классификация ресурсов с группами хостов
41
•  Определяется пользователем
•  Модель и процесс/приложение

42
Перечень всех хостов,
взаимодействующих
с HTTP-серверами

43
Полный перечень всех хостов,
взаимодействующих с HTTP-
серверами: кто, что, где, когда и как?

Классификация приложений
44
Классификация важных
для бизнеса приложений

Моделирование важных для бизнеса процессов
45
Карта зон PCI
Общий профиль системы
Взаимодействие между системами

46
Введение
TrustSec и NetFlow
сети
Оценка
ресурсов
Проектирование и
создание политики

С чего начать проект TrustSec
•  Сначала следует определить желаемые цели
•  например, обеспечение управляемого доступа к производственным системам,
серверам PCI и т. д.
•  Помните — большинство примеров внедрения вы сможете использовать на собственной практике
•  Снизив операционные затраты, можно получить максимальный возврат инвестиций (сначала оцените операционные
затраты)
•  Определите группы ресурсов, которые затрагивает соответствующая политика
•  например, производственные серверы и пользователи, разработчики и серверы разработки
•  Выберите механизмы для классификации систем (присвоение тегов SGT ресурсам)
•  В зависимости от целей политики выберите, где необходимо применять эту политику, например:
•  сегментация ЦОД на производственные и непроизводственные зоны
•  контроль доступа пользователей в ЦОД
•  Выберите способы передачи тегов SGT в устройства применения политик
47

Исходные предпосылки для группы безопасности
•  В отличие от традиционной сегментации/управления доступом...
•  TrustSec облегчает динамическое добавление присвоенных групп позднее
•  Конфигурация не влияет на инфраструктуру
•  Контролировать группы очень легко, при этом они будут удовлетворять всем
требованиям политики
•  Нет необходимости усложнять группы безопасности, например, добавлять
расширенные группы AD
•  Подумайте — всем ли ролям необходимо присваивать теги?
•  Помните, что членство в группах может изменяться
48

Устройство 3
Приложение 1
Унифицирован-
ные
коммуникации
HVAC Тарификация
Гостевые
устройства
Пользователь1П
риложение2
Интернет
Гости Партнер
риложение1
риложение1
риложение3
риложение4
Не
соответствует
АдминистраторАудит
Внешняя среда
Устройства
Пользователи
Устройство2
Приложение1
ные
Безопасность
HVACAD-сервер
Сетевые
сервисы
Доступ BYOD
Приложения/сервисы
Прослеживание взаимосвязей в группе
безопасности: все группы
49

Возможности классификации
50
VLAN-SGT
IP-SGT
Порт
Профиль
Порт-SGT
Префикс
Обучение
(L3IF-SGT)Подсеть-SGT
802.1X
MAB
Веб-
аутенти-
фикация
Профилиро-
вание
VLAN-SGT
ISE
NX-OS/
UCS Dir/
Гипервизоры
IOS/
маршрутизацияRA-VPN
§  Присвоение тегов
SGT пользователям/
устройствам
–  Проводная сеть
–  Беспроводная сеть
–  Удаленный доступ VPN
§  Присвоение
серверу ЦОД
§  Подключения для бизнес-партнеров и третьих сторон
SGT
SGT
SGT
SGT
SGT

Определение объектов, которым необходимо
присваивать теги SGT
51
Доступ в ЦОД
WLC МСЭ
SRC: 10.1.100.98
Доступ
к комплексу зданий
Распределение Ядро Ядро ЦОД EOR
Конечный пользователь,
оконечное устройство
классифицируются с помощью
тегов SGT
SVI-интерфейс
сопоставляется с SGT
Физический сервер
VLAN сопоставляется
с SGT
Устройство BYOD
классифицируется
с помощью SGT
Виртуальная машина

Внедрение классификации
•  Для облегчения процедуры классификации можно использовать несколько вариантов
миграции
•  Если нет авторизации по пользователям
•  Сопоставление VLAN, подсети, интерфейса уровня L3 — это уже простая, первоначальная
классификация
•  Авторизация по пользователю и SXP затем могут «переписать» статическую классификацию
•  Большинству систем изначально может быть присвоен статус «Тег SGT неизвестен»
•  Сфокусируйте внимание на явной классификации, что необходимо для выполнения политики
•  Чем проще классификация, тем быстрее ее внедрить
(за несколько дней, а не недель)
52

ные
HVAC Тарификация
Гостевые
риложение2
Интернет
Гости Партнер
риложение1
риложение1
риложение3
риложение4
Не
соответствует
АдминистраторАудит
Внешняя
среда
ные
Безопасность
HVACAD-сервер
Сетевые
сервисы
Доступ BYOD
Приложения/
сервисы
Прослеживание взаимосвязей в группе
безопасности: все группы
53

Администратор
Тарификация
риложение1
риложение2
Приложение1 Приложение2
AD-сервер
Сетевые
сервисы
Приложения/
сервисы
Группа безопасности: сопоставление
одного приложения
54

Пример матрицы политики SGT
✓ ❏ ❏ ✗ ❏ ❏ ❏ ❏ ✗ ✗ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ✗ ❏ ✗ ✗
❏ ✓ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏ ❏
❏ ❏ ✓ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ✗ ✗ ✗ ✓
✗ ❏ ✗ ✓ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗
❏ ❏ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✓ ✓ ✗ ✓ ✗ ✗ ✗ ❏ ✗ ✗ ✗
❏ ❏ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ❏ ✗ ✓ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗
❏ ❏ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗
❏ ❏ ❏ ✗ ✗ ✗ ✗ ✓ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗
✗ ❏ ✗ ❏ ✗ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏
✗ ❏ ✗ ✗ ✗ ✗ ❏ ❏ ✗ ✓ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ✗ ✗ ✗ ✗
✗ ❏ ✓ ✗ ✓ ❏ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗
✗ ❏ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗
✗ ❏ ✗ ✗ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗
❏ ❏ ❏ ✗ ✓ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ❏ ✗ ✗ ❏
❏ ❏ ❏ ✗ ✗ ✓ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ❏ ✗ ✗ ❏
❏ ❏ ❏ ✗ ✗ ✗ ✓ ✗ ✗ ❏ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ❏ ✗ ✗ ❏
✗ ❏ ✗ ✓ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗
✗ ❏ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ❏ ✗ ✗ ✗
❏ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗
✗ ❏ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ✗ ❏ ✗
✗ ❏ ✓ ✗ ✗ ✗ ✗ ✗ ❏ ✗ ✗ ✗ ✗ ❏ ❏ ❏ ✗ ✗ ✗ ✗ ❏
Partner'VDI'Control'Domain
Internet'DMZ
Destination'Group
Data$Center$Control$Domain
AD'Servers
Network'Services
Unified'Communications
HVAC
App1
App2
App3
Security'Applications
HVAC
BYOD'Access
Security'Applications
PartnerVDI'Control'
Domain
Internet'DMZ
App1
App3
Unified'
Communications
Corporate$Control$Domain
Security
Quarantine'
Device1App1
Device2App1
Device1App2
User1App1
User1App2
User1App3
Unified'Communications
App2Device2App1
Device1App2
HVAC
Device1App1
User1App1
User1App2
User1App3
HVAC
Corporate$Site$Control$Domain
AD'Servers
Network'Services
Unified'
Communications
Source'Group
Data$Center$Control$Domain
BYOD'Access
Quarantine
Security

Стандартный подход к внедрению
56
Catalyst® коммутаторы/WLC
(3K/4K/6K)
Пользователи,
оконечные
Monitor mode
SRC DST Сервер PCI (2000)
Произв. сервер
(1000)
Сервер разработки
(1010)
Сотрудники (100) Разрешить все Разрешить все Разрешить все
PCI пользователь
(105)
Разрешить все Разрешить все Разрешить все
Неизвестно = 0 Разрешить все Разрешить все Разрешить все
authentication port-control auto
authentication open
dot1x pae authenticator
Сервер PCI
Производственный сервер
AUTH=OK
SGT= PCI пользователь (105)
N7K
1.  Пользователи подключаются к сети, monitor mode
разрешает трафик независимо от аутентификации
2.  Аутентификация может выполняться пассивно, что приводит к присвоению SGT
3.  Прошедший классификацию трафик идет через сеть, позволяя контролировать и проверять, что:
- ресурсы были правильно классифицированы;
- потоки трафика, которые поступают на ресурсы, соответствуют ожиданиям/прогнозам

Конфигурирование присвоения тегов в сети
57
interface TenGigabitEthernet1/5
cts manual
policy static sgt 2 trusted
C6K2T-CORE-1#sho cts interface brief
Global Dot1x feature is Enabled
Interface GigabitEthernet1/1:
CTS is enabled, mode: MANUAL
IFC state: OPEN
Authentication Status: NOT APPLICABLE
Peer identity: "unknown"
Peer's advertised capabilities: ""
Authorization Status: SUCCEEDED
Peer SGT: 2:device_sgt
Peer SGT assignment: Trusted
SAP Status: NOT APPLICABLE
Propagate SGT: Enabled
Cache Info:
Expiration : N/A
Cache applied to link : NONE
L3 IPM: disabled.
Always “shut” and “no shut” interfaces after any
cts manual or cts dot1x change
Обычно для присвоения тегов в сети
используется конфигурация ‘cts manual’
‘cts dot1x’ зависит от доступности сервера
AAA (аутентификация, авторизация и учет),
если не установлена новая функция
«критической аутентификации»
и соответствующим образом не настроены
таймеры

58
Введение
TrustSec и NetFlow
сети
Оценка
ресурсов
политик
создание
политики

SGT и Flexible NetFlow (FNF)
59
flow record cts-v4
match ipv4 protocol
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match flow direction
match flow cts source group-tag
match flow cts destination group-tag
collect counter bytes
collect counter packets
flow exporter EXP1
destination 10.2.44.15
source GigabitEthernet3/1
flow monitor cts-mon
record cts-v4
exporter EXP1
Interface vlan 10
ip flow monitor cts-mon input
ip flow monitor cts-mon output
Interface vlan 20
Interface vlan 30
Interface vlan 40
cts role-based ip flow mon cts-mon dropped
*Необязательно — потоки будут создаваться только
для отброшенных пакетов ACL-списков на основе
ролей для Cat6K/Sup2T

Пример мониторинга SGT/FNF Flow Cache
60
SJC01#show flow mon cts-mon cache
Cache type: Normal
Cache size: 4096
Current entries: 1438
High Watermark: 1632
Flows added: 33831
Flows aged: 32393
- Active timeout ( 1800 secs) 0
- Inactive timeout ( 15 secs) 32393
- Event aged 0
- Watermark aged 0
- Emergency aged 0
FLOW DIRECTION: Output
IP PROTOCOL: 6
counter bytes: 56
counter packets: 1
FLOW DIRECTION: Output
IP PROTOCOL: 6
counter bytes: 56
counter packets: 1

SGT в полях NetFlow
61
Теги групп безопасности:
•  извлекаются из пакета
Теги групп назначения:
•  извлекаются на основе
IP-адреса места назначения
Тег SGT коммутатора:
•  Только Catalyst 4k: значение
применяется к пакету
на выходе
Таблица SGT
•  Только Catalyst 6k: экспорт в
таблицы данных шаблона NetFlow
с сопоставлением тегов группы
безопасности с именами группы
Запись отброшенных пакетов
SGACL
•  Только Catalyst 6k: создание
записи потока на основе
отброшенных пакетов SGACL

Список устройств SGT-NetFlow
62
Устройство Первая
версия
SGT DGT SGT
с коммутатора
Таблица
SGT
Запись
отброшенных
пакетов SGACL
Catalyst 6500 (Sup3Т) IOS 15.1(1)SY1 Да
(соответствует)
Да
Нет Да Да
(выделенный
монитор)
ISR, ASR, CRS IOS XE 3.13S Да Да Нет Нет Нет
Catalyst 3850, 3650 IOS XE 3.7.1E Да
Да
Нет Нет Нет
Catalyst 4500
(Sup 7-E, 7L-E, 8-E)
IOS XE 3.7.1E Да (сбор) Да
(сбор)
Да Нет Нет
ASA 9.1.3 Нет Нет Нет Нет Запись NSEL
StealthWatch
FlowSensor
6.8 Да Нет Нет Нет Нет

Принимаемые во внимание
факторы: 3850
63
!
flow monitor cts-cyber-monitor-in
exporter StealthWatch-FC
cache timeout active 60
record cts-cyber-3k-in
!
!
flow monitor cts-cyber-monitor-out
exporter StealthWatch-FC
record cts-cyber-3k-out
!
interface GigabitEthernet1/0/1
ip flow monitor cts-cyber-monitor-in input
ip flow monitor cts-cyber-monitor-out output
!
vlan configuration 100
ip flow monitor cts-cyber-monitor-in input
ip flow monitor cts-cyber-monitor-out output
!
Входящий трафик:
•  Источники SGT:
•  извлекается из заголовка пакета
•  Источники DGT:
•  извлекается на основе IP-адреса места назначения
•  необходимо выполнить политику SGACL
•  только магистральная линия (транк)
Исходящий трафик:
•  Источники SGT:
•  заголовок входящего пакета
•  SGT, конфигурируемый портом
•  сопоставление IP и SGT
•  Источники DGT:
•  извлекается на основе IP-адреса места назначения
•  необходимо применение политики SGACL
•  только магистральная линия (транк)

Принимаемые во внимание факторы: 3850
64
!
flow record cts-cyber-3k-in
match datalink mac source address input
match datalink mac destination address input
match ipv4 tos
match ipv4 ttl
match ipv4 protocol
match interface input
collect counter bytes long
collect counter packets long
collect timestamp absolute first
collect timestamp absolute last
!
!
flow record cts-cyber-3k-out
match ipv4 tos
match ipv4 ttl
match ipv4 protocol
collect counter bytes long
collect counter packets long
collect timestamp absolute first
collect timestamp absolute last
!

Принимаемые во внимание факторы:
4500 Sup 7-E, 7L-E, 8-E
65
SGT:
•  заголовок пакета
•  максимум 12 000 разных IP-адресов
источников
DGT:
•  извлекается на основе IP-адреса
места назначения
Тег SGT с коммутатора:
•  тег SGT присваивается пакету с коммутатора
•  Наследование политики
•  SGT в пакете
•  Поиск SGT в исходном IP-адресе
•  Поиск порта SGT
•  SGT в пакете при выходе
!
flow record cts-cyber-4k
match ipv4 tos
match ipv4 protocol
collect flow cts source group-tag
collect flow cts destination group-tag
collect flow cts switch derived-sgt
collect transport tcp flags
collect interface output
collect timestamp sys-uptime first
collect timestamp sys-uptime last
!

факторы: 6500 Sup 2T
66
!
flow record cts-cyber-6k
match ipv4 protocol
!
Таблица данных TrustSec:
•  Экспорт значений сопоставления
SGT-SGN в шаблон NetFlow
Отброс пакетов SGACL:
•  при отбросе пакетов создается
запись потока
•  требуется выделенный режим Flow
Monitor
SGT:
•  поиск IP-SGT
DGT
•  извлекается на основе IP-адреса места
http://www.cisco.com/c/en/us/td/docs/switches/lan/trustsec/configuration/guide/trustsec/appc_cat6k.html

Принимаемые во внимание факторы:
6500 Sup2T
67
!
flow exporter ise
source TenGigabitEthernet2/1
transport udp 9993
option cts-sgt-table timeout 10
!
flow monitor FNF_SGACL_DROP
exporter ise
record cts-record-ipv4
!
cts role-based ip flow monitor FNF_SGACL_DROP dropped
!
flow exporter CYBER_EXPORTER
source TenGigabitEthernet2/1
transport udp 2055
option cts-sgt-table timeout 10
!
flow monitor CYBER_MONITOR
exporter CYBER_EXPORTER
record cts-cyber-6k
!
Конфигурация отброса
пакетов SGACL:
Экспорт и мониторинг:

факторы: ISR, ASR, CRS
68
!
flow record cts-cyber-ipv4
match ipv4 protocol
collect routing next-hop address ipv4
collect ipv4 dscp
collect ipv4 ttl minimum
collect ipv4 ttl maximum
collect application name
!
SGT:
•  поиск IP-SGT
DGT
•  поиск IP-адреса места
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_usr_cts/configuration/xe-3s/sec-usr-cts-xe-3s-book/cts-fnf.pdf

Моделирование политики в StealthWatch
Заданное пользователем
событие инициируется
при соответствующих
условиях трафика
Включить трафик в обоих направлениях:
успешно или неуспешно
SGT DGT
Имя и описание правила

Моделирование политики в StealthWatch
70
Создание правил на основе потока
для всех предложенных элементов
политики
В случае наступления заданного условия поступает
сигнал о нарушении политики. Моделирование
предлагаемого сброса пакетов.

Моделирование политики:
появление предупреждения
71
Панель предупреждений, где отображены все
предупреждения для политики
Подробные данные о предупреждении «Сотрудник —
производственные сервера»

Смоделированная политика:
подробные данные потока
72
Кто
Кто
Что
Когда
Как
Где
DGT
Допустима ли такая
коммуникация?
Настройка
Да
Ответ
Нет
SGT

73
Введение
TrustSec и NetFlow
сети
Внедрение
политики
Оценка
ресурсов
политик
Внедрение
создание
политики

Внедрение политик
74
Внедрение политик на выходе
§  ACL-списки для групп безопасности
Сеть
Catalyst® коммутаторы/WLC
(3K/4K/6K)
Пользователи,
оконечные устройства
Режим монитора
Сервер PCI
Производственный
сервер
N7K
SRC DST Сервер PCI (2000) Произв. сервер (1000)
(1010)
Сотрудники (100) Запретить все Запретить все Разрешить все
PCI пользователь (105) Разрешить все Разрешить все Разрешить все
Неизвестно = 0 Запретить все Запретить все Разрешить все
Политики можно внедрять постепенно на основе группы
безопасности для места назначения
Первоначально используйте политики SGACL с возможностью регистрации информации о запретах
в журнал (если журнал не нужен, его можно удалить позже)
Политика по умолчанию должна быть «разрешено», также во время внедрения необходимо
разрешить трафик со статусом «Тег SGT не известен»

Cat3750X Cat6500
Внедрение политики: ACL-списки для групп
безопасности (SGACL)
75
Nexus 2248
WLC5508
Магистральная
сеть
Nexus 2248
Cat6500 Nexus 7000
Nexus 5500
Fay authenticated
Классифицируется как маркетинг (5) Поиск FIB
MAC-адрес назначения/порт SGT 20
DST: 10.1.100.52
SGT: 20
SRC: 10.1.10.220
5
SRC:10.1.10.220
DST: 10.1.100.52
SGT: 5 DST: 10.1.200.100
SGT: 30
Web_Dir
CRM
SRCDST
Web_Dir
(20)
CRM (30)
Marketing (5) SGACL-A SGACL-B
BYOD (7) Deny Deny
Классификация точек
Web_Dir: SGT 20
CRM: SGT 30

Централизованное управление
политиками SGACL в ISE
76

Применение политик SGACL ISE (в виде дерева)
77

Применение политик SGACL (в виде матрицы)
78
permit tcp dst eq 443
permit tcp des eq 139
deny ip
Portal_ACL

Загрузка политик SGACL
79
•  Готовятся новые серверы, например, роли
«производственный сервер» и «сервер разработки»
•  Коммутатор ЦОД запрашивает политики для ресурсов,
которые он защищает
•  Политики загружаются и применяются динамически
•  Это значит, что:
•  Управление всеми средствами контроля
осуществляется централизованно
•  Политики безопасности не связаны с сетью
•  Никакой специальной конфигурации
коммутатора не требуется
•  Политики внедряются на скорости передачи
•  Единое место для проверки политик
по всей сети
Prod_Servers Dev_Servers
Dev_Server
(SGT=10)
Prod_Server
(SGT=7)
SGT=3
SGT=4
SGT=5
SGACL
политики SGACL
запрашивает
политики для
ресурсов, которые
он защищает Коммутаторы
получают только
те политики,
которые им нужны

Внедрение политик в коммутаторах
•  Настроив политики SGT/SGACL в ISE, можно начать применять их
на сетевых устройствах
•  Устройства должны быть определены в ISE и настроены на связь с ISE
(для краткости в этих слайдах мы это пропускаем)
•  Если коммутаторы используют теги SGT, они будут загружать политики
для устройств, которые они защищают
Switch(config)#cts role-based enforcement
Switch(config)#cts role-based enforcement vlan-list 40
Применение политик SGACL глобально и для сети VLAN
Switch(config)#cts role-based sgt-map 10.1.40.10 sgt 5
Пример: определение сопоставления IP с SGT для серверов на коммутаторе

Применение политик на межсетевых экранах:
ASA SG-FW
81
Также можно продолжать использовать
сетевой объект (хост, диапазон,
сеть (подсеть) или FQDN)
И (ИЛИ) SGT
Коммутаторы сообщают устройству
ASA о членстве в группе безопасности
Определения групп
безопасности с ISE
Запуск сервисов FirePower
с помощью политик SGT

82
Введение
TrustSec и NetFlow
сети
Внедрение
политики
Оценка
ресурсов
политик
и создание политики

Мониторинг выполнения политик
83
•  TrustSec сокращает число операций безопасности,
но действует по-другому
–  Необходимо понимание операций
–  Динамические функции безопасности проверяются по-другому,
но проще и более точно
•  Необходимо контролировать некоторые новые функции
–  Информация SNMP о соединении SXP и запись в системные журналы
–  Возможно учет информации о принадлежности к группе

Мониторинг выполнения политик
84
•  Системные журналы SGACL, события NetFlow и создание журналов
ASA — все полезно

Проверка выполнения политик SGACL
85
Use show cts role-based counter to show traffic drop by SGACL
TS2-6K-DIST#show cts role-based counters
Role-based IPv4 counters
From To SW-Denied HW-Denied SW-Permitted HW_Permitted
* * 0 0 48002 369314
3 5 53499 53471 0 0
4 5 0 0 0 3777
3 6 0 0 0 53350
4 6 3773 3773 0 0
3 7 0 0 0 0
4 7 0 0 0 0
От * к * означает правило по умолчанию
команда «show» отображает статистику выполнения политики RBACL. Для пакетов,
коммутируемых программно и аппаратно, отображаются разные счетчики. Пользователь может
указать SGT источника, используя пункт «from (от)», а SGT места назначения — пункт «to (к)».
В основном политика SGACL исполняется на аппаратном уровне. Счетчик ПО используется,
только если пакет необходимо отправить для программной коммутации (например, TCAM уже
заполнена, или необходима запись в журнал)

Мониторинг политик SGACL
86
•  C6K2T-CORE-1#sho cts role-based permissions
•  IPv4 Role-based permissions from group 8:EMPLOYEE_FULL to group 8:EMPLOYEE_FULL:
•  Malware_Prevention-11
•  C6K2T-CORE-1#sho ip access-list
•  Role-based IP access list Deny IP-00 (downloaded)
•  10 deny ip
•  Role-based IP access list Malware_Prevention-11 (downloaded)
•  10 deny icmp log-input (51 matches)
•  20 deny udp dst range 1 100 log-input
•  30 deny tcp dst range 1 100 log-input
•  40 deny udp dst eq domain log-input
•  *May 24 04:50:06.090: %SEC-6-IPACCESSLOGDP: list Malware_Prevention-11 denied icmp
10.10.18.101 (GigabitEthernet1/1 ) -> 10.10.11.100 (8/0), 119 packets

Мониторинг сегментации в StealthWatch
Заданное пользователем
событие инициируется
при соответствующих
условиях трафика
Инициируется для трафика в обоих
направлениях: успешно или неуспешно
SGT DGT
Имя и описание правила

Мониторинг сегментации с помощью
StealthWatch
88
Панель предупреждений, где отображены
все предупреждения для политики

Мониторинг сегментации с помощью
StealthWatch
89
Карта зон PCI
Определение политики
коммуникаций между
зонами
Мониторинг нарушений

Категории предупреждений
90
Каждая категория имеет
баллы

91
Введение
Оценка
ситуации
TrustSec и NetFlow
сети
Внедрение
политики
Оценка
ресурсов
политик
управление сетью

Адаптивное управление сетью: карантин
•  Расширение возможностей мониторинга и управления оконечными
устройствами
•  Возможность изменения состояния авторизации
•  Через административные действия
•  Без изменения общей политики авторизации
•  Инициируется с узла администратора
•  Поддерживается в проводных и беспроводных средах
•  Управление оконечными устройствами в три действия:
•  Помещение в карантин
•  Удаление из карантина
•  Закрытие портов проводного доступа
•  Управление оконечными устройствами на основе IP- или MAC-адресов
92

Поток трафика в карантине
93
PSN
MnT
PAN
1. Оконечное устройство
подключено
2. StealthWatch выпускает инструкции
по карантину для PAN
3. PAN выпускает инструкции
по карантину для MnT
4. MnT посылает команду
PSN инициировать CoA
отключается через CoA
7. Запрос RADIUS
снова подключается
и проходит аутентификацию
8. Проверка карантина
9. Применяется
профиль
карантина

Карантин из StealthWatch
94

Карантин: онлайн журнал ISE
95
Проверка статуса EPS
Присвоение группы безопасности

Конфигурирование сервисов защиты оконечных
устройств
1.  Активация EPS
2.  Создание профиля авторизации для карантина
3.  Обновление политики авторизации
•  Использование правила авторизации для исключений
•  Условия статуса карантина
•  Профиль авторизации для карантина
4.  Управление оконечными устройствами
•  Ручное помещение в карантин или удаление из карантина
•  На основе IP- или MAC-адреса
96

Политика авторизации исключений
97
Присвоить тег SGT
Suspicous_Investigate
и разрешить доступ
Статус EPS во время сеанса
Рекомендации

Политика на выходе: Suspicous_Investigate
98
Создание политики
для выходного трафика
подозрительной группы

SGACL
99
Создание значимого названия SGACL
для подозрительных хостов:
•  Ограничение приложений и сервисов
•  Блокирование доступа к важным бизнес-процессам
•  Предотвращение доступа к интеллектуальной
собственности

Маршрутизация на основе политики SGT
route-map native_demo permit 10
match security-group source tag Employee
match security-group destination tag Critical_Asset
set interface Tunnel1
!
match security-group source tag Suspicious
match security-group destination tag Critical_Asset
set interface Tunnel2
!
match security-group source tag Guest
set vrf Guest
100
VRF-гость
VRF-NW
Сеть А
Пользователь АПользователь В Пользователь-гость
Подозрительные
действия
ГостьСотрудник
Доступно
Июль, 2015 г.

Перенаправление на сервисы
FirePOWER
101
Создание политики для перенаправления
подозрительного трафика на сервисы FirePOWER

102
Введение
TrustSec и NetFlow
сети
Внедрение
политики
Оценка
ресурсов
политик
Резюме
управление сетью

Основные выводы
103
NetFlow и Lancope StealthWatch обеспечивают
мониторинг и анализ
TrustSec используется для динамической
(микро)сегментации сети
Сеть — это основной ресурс для защиты от угроз и их контроля

Продолжим тут?
•  Демонстрация решений
•  Круглые столы
•  Персональные встречи с инженером
•  Семинары по связанным темам
104

Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blog.cisco.ru/

Сеть как сенсор и как регулятор

Сеть как сенсор и как регулятор

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Сеть как сенсор и как регулятор

Similar to Сеть как сенсор и как регулятор (20)

More from Cisco Russia

More from Cisco Russia (20)

Сеть как сенсор и как регулятор