Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой...
-
Upload
cisco-russia -
Category
Technology
-
view
609 -
download
0
Transcript of Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой...
Безопасность периметра: МЭ и IPS Cisco и Sourcefire Сетевой FireAMP
Андрей Москвитин
Специалист по решениям ИБ
NGFW & NGIPS – что это?
3 C97-715266-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены.
“NGIPS в будущем войдёт в NGFW, но сейчас большинство существующих NGFW обладают только базовым функционалом IPS”
Стандартные возможности «предыдущего поколения»
Понимание приложений и их компонентов
Встроенный сетевой IPS
Интеграция с внешними сервисами, пример:
• Каталоги пользователей
• «Репутационные» сервисы
Стандартные возможности «предыдущего поколения»
Понимание приложений
Понимание контекста и контента
Гибкий движок, оперативные обновления сигнатур
Источник:“Defining Next-Generation Network Intrusion Prevention,” Gartner, October 7, 2011. “Defining the Next-Generation Firewall,” Gartner, October 12, 2009
C97-715266-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 4
АЛЬТЕРНАТИВА
ASA 5500-X с
межсетевым экраном
нового поколения
Межсетевой экран ASA +
межсетевой экран и система
предотвращения вторжений
нового поколения
FirePOWER
Межсетевой экран ASA +
FirePOWER
Межсетевой экран ASA
5585 с системой
предотвращения
вторжений
Межсетевой экран ASA
55х5 с системой
предотвращения
вторжений
Межсетевой экран
нового поколения
ASA 5500-X
Межсетевой экран ASA + межсетевой экран и
система предотвращения вторжений нового
поколения FirePOWER
Межсетевой экран ASA +
межсетевой экран и система
предотвращения вторжений
нового поколения FirePOWER
АЛЬТЕРНАТИВА
ПОТЕНЦИАЛЬНЫЙ КЛИЕНТ
Межсетевой экран ASA
5585 с системой
предотвращения
вторжений
Операции безопасности
Покупатели для центров обработки данных
{Комплексная
безопасность является
основным критерием
при покупке}
Операции безопасности
Покупатели граничных устройств
{Комплексная безопасность является
основным критерием при покупке}
Сетевые операции
Покупатели для центров
обработки данных
{Консолидация устройств
является основным
критерием при покупке}
Сетевые операции
Покупатели граничных устройств
{Консолидация
устройств
является основным
критерием при покупке}
Cisco IPS
C97-715266-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 6
Низкий уровень
Средний уровень Высокий уровень
Пропускная способность
ISR
Cisco
Catalyst® 6500
Cisco IPS серии
4500, 4300,
и 4200
Cisco ASA
серии 5500
Cisco® ASA
серии 5500-X
Cisco ASA 5515-X IPS
Cisco ASA 5525-X IPS
Cisco ASA 5545-X IPS
Cisco ASA 5555-X IPS
Cisco IPS 4510
и 4520
Cisco ASA 5512-X IPS
Cisco ASA 5585-P10S1 Cisco ASA
5585-P20S20
Cisco ASA 5585-P40S40
Cisco ASA 5585-P60S60
Cisco ASA 5510-AIP10
Cisco ASA 5510-AIP20
Cisco ASA 5520-AIP10
Cisco ASA 5520-AIP20
Cisco ASA 5520-AIP40
Cisco ASA 5540-AIP20
Cisco ASA 5540-AIP40
Cisco IPS 4270
Cisco IPS 4360
Cisco IPS 4345
Cisco IPS 4240 Cisco IPS 4255
Cisco IPS 4260
IDSM2
Комплект Cisco Catalyst® 6500 IDSM2
Cisco IOS® IPS
Cisco IPS NME
Cisco Next-Generation Firewall (ASA-CX)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
• Использует в качестве основы ASA stateful inspection
firewall;
• Предоставляет следующие продвинутые (NGFW)
сервисы:
Репутационная фильтрация веб трафика для защиты от
вредоносного ПО;
URL-фильтрация доступа к разным категориям сайтов на
основе заданной политики;
Контроль использования приложений Application visibility and
control (AVC)
Защита от угроз (NGFW IPS)
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
200 Mbps NGFW
60 Mbps NGFW + IPS
100K Connections
10,000 CPS
Защита филиалов Защита доступа в Интернет/границы сети
ASA 5512-X
350 Mbps NGFW
90 Mbps NGFW + IPS
250K Connections
15,000 CPS
ASA 5515-X
650 Mbps NGFW
300 Mbps NGFW + IPS
500K Connections
20,000 CPS
1 Gbps NGFW
450 Mbps NGFW + IPS
750K Connections
30,000 CPS
1.4 Gbps NGFW
600 Mbps NGFW + IPS
1M Connections
50,000 CPS
ASA 5525-X
ASA 5545-X
ASA 5555-X
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
Защита доступа в Интернет/границы сети
2 Gbps NGFW
1 Gbps NGFW + IPS
500K Connections
40,000 CPS
ASA 5585-SSP10
Защита доступа в Интернет/границы сети
5 Gbps NGFW
1.5 Gbps NGFW + IPS
1 Million Connections
75,000 CPS
ASA 5585-SSP20
9 Gbps NGFW
2.5 Gbps NGFW + IPS
1.8 Million Connections
120,000 CPS
ASA 5585-SSP40 13 Gbps NGFW
4 Gbps NGFW + IPS
4 Million Connections
160,000 CPS
ASA 5585-SSP60
New
with 9.2
New
with 9.2
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
Требования к
оборудованию Требования к ПО
• Для платформ 5512-X, 5515-X, 5525-X,
5545-X, 5555-X требуется SSD диск.
• Для 5585-X SSP10, 20, 40, 60
для функционала NGFW необходим
отдельный аппаратный модуль.
• ASA должна использовать код не ниже
версии 9.1.3
• NGFW должен использовать 9.2
• Сервер PRSM должен использовать 9.2
Примечание: Сервер PRSM 9.2 может управлять МСЭ ASA под управлением ПО 9.0.1 или выше, если ASA без NGFW-сервиса.
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
IP Fragmentation
IP Option Inspection
TCP Intercept
TCP Normalization
ACL
NAT
VPN Termination
Routing
Botnet Traffic Filter
TCP Proxy
TLS Proxy
AVC Multiple Policy Decision
Points
HTTP Inspection
URL Category/Reputation
NGFW IPS
NGFW
ASA
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
ASA L3 / L4
NGFW L3 / L4
NGFW – WSE
NGFW –
Broad AVC
NGFW –
Web AVC
IPS
Sourcefire NGFW, NGIPS, network AMP
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
Sourcefire – эксперты в области ИБ
• Гениальная команда
• Больше 10 лет на рынке
• 6 лет подряд лидирует в квадратах Gartner
• Защищает компании в более чем 180 странах
• Инновации: 41+ патент получен или в разработке
• Open source проекты - Snort, ClamAV, Razorback, OpenAppID
IPS MQ Leader America’s Fastest-Growing Tech Companies 2011
16
Gartner – MQ for Intrusion Prevention, декабрь 2013
Лидер Gartner
Magic Quadrant for
IPS с 2006
17
Sourcefire FireSIGHT видит «все» КАТЕГОРИИ
ПРИМЕРЫ
SOURCEFIRE
СИСТЕМЫ
ПРЕДОТВРАЩЕНИЯ
ВТОРЖЕНИЙ И
МЕЖСЕТВЫЕ
ЭКРАНЫ НОВОГО
ПОКОЛЕНИЯ
СТАНДАРТНА
Я
СИСТЕМА
ПРЕДОТВРА
ЩЕНИЯ
ВТОРЖЕНИЙ
СТАНДАРТН
ЫЙ
МЕЖСЕТЕВ
ОЙ ЭКРАН
НОВОГО
ПОКОЛЕНИ
Я
Угрозы Атаки, аномалии ✔ ✔ ✔
Пользователи AD, LDAP, POP3 ✔ ✗ ✔
Веб-приложения Facebook Chat, Ebay ✔ ✗ ✔
Протоколы приложений HTTP, SMTP, SSH ✔ ✗ ✔
Передача файлов PDF, Office, EXE, JAR ✔ ✗ ✔
Вредоносное ПО Conficker, Flame ✔ ✗ ✗
Серверы C&C Интеллектуальная система безопасности C&C ✔ ✗ ✗
Клиентские приложения Firefox, IE6, BitTorrent ✔ ✗ ✗
Веб-серверы Apache 2.3.1, IIS4 ✔ ✗ ✗
Операционные системы Windows, Linux ✔ ✗ ✗
Маршрутизаторы и коммутаторы Cisco, Nortel, Wireless ✔ ✗ ✗
Мобильные устройства iPhone, Android, Jail ✔ ✗ ✗
Принтеры HP, Xerox, Canon ✔ ✗ ✗
VoIP-телефоны Avaya, Polycom ✔ ✗ ✗
Виртуальные машины VMware, Xen, RHEV ✔ ✗ ✗
18
УСТРОЙСТВА | ВМ
NGFW NGIPS AMP
Sourcefire – решения по обеспечению безопасности
ДО
Вы видите,
вы контролируете
ВО ВРЕМЯ
Интеллектуальное
противодействие
и с учетом контекста
ПОСЛЕ
Ретроспективные
средства безопасности
ЦЕНТР УПРАВЛЕНИЯ
19
FirePOWER™: single-pass, высокопроизводительная, с низкой задержкой аппаратная платформа
• Гибкая интеграция в программное обеспечение
NGIPS,NGFW, AMP
Все вышеперечисленные (просто выбрать соответствующий размер)
• Гибкая интеграция в аппаратное обеспечение
Масштабируемость: 50 Мбит/с ->60 Гбит/с
Стекирование для масштабирования, кластеризация для отказоустойчивости
• Экономичность
Лучшие в своем классе для систем предотвращения вторжения, межсетевых экранов нового поколения от NSS Labs
До 320 ядер RISC
До 60 Гбит/с
(система предотвращения вторжений)
20
Про
изв
од
ите
льно
сть
и м
асш
таб
ир
уе
мо
сть
систе
мы
пр
ед
отв
ра
ще
ния в
торж
ений
Центр
обработки
данных Комплекс
зданий Филиал Малый или
домашний офис
Интернет-
периметр
FirePOWER 7100
500 Мбит/с – 1 Гбит/с
FirePOWER
7120/7125/8120
1 - 2 Гбит/с
FirePOWER
8100/8200
2 - 10 Гбит/с
FirePOWER серии
8200 и 8300
10 – 60 Гбит/с
Платформы и размещение в сети
FirePOWER 7000 Series
50 – 250 Мбит/с
+ Сенсоры и консоль
управления в виде ВМ
21
Объединенная партнерская программа Sourcefire и Cisco
Объединенная ИНФРАСТРУКТУРА API
22
Подход Sourcefire: … непрерывный процесс до, во время и после атаки
Вы не можете
защитить то, что
не видите
Автоматическая
настройка системы
безопасности
…в режиме реального
времени,
в любой момент
времени
Преобразование
данных
в информацию
ВИДЕТЬ АДАПТИ-
РОВАТЬ
УЧИТЬСЯ ДЕЙСТ-
ВОВАТЬ
23
Пассивное
обнаружение
В первую очередь необходимо знать, что у вас есть Невозможно обеспечить защиту того, о чем вы не знаете
Хосты
Сервисы
Приложения
Пользователи
Коммуникации
Уязвимости
Все время
в режиме
реального времени
24
Cisco действует также: добавляет контекст и понимание
C I2 I4 A
ЛОКАЛЬНО Бизнес Контекст
Кто
Что
Как
Откуда
Когда
Внутри ВАШЕЙ сети
ГЛОБАЛЬНО
Ситуационный
анализ угроз
Снаружи ВАШЕЙ сети
Репутация
Взаимо-
действие
APP Приложения
URL Сайты
Реализация безопасности
и глобальным контекстом
25
Контекст – это самое важное
Событие: Попытка получения
доступа
Цель: 96.16.242.135
Событие: Попытка получения
доступа
Цель: 96.16.242.135 (уязвимо)
ОС хоста: Blackberry
Приложения: электронная почта,
браузер, Twitter
Местоположение Белый дом, США
Событие: Попытка получения
доступа
Цель: 96.16.242.135 (уязвимо)
ОС хоста: Blackberry
Приложения: электронная почта,
браузер, Twitter
Местоположение Белый дом, США
Идентификатор пользователя: bobama
Ф. И. О. Барак Обама
Департамент: административный
Контекст способен фундаментально изменить
интерпретацию данных события
26
Какие системы были заражены?
Почему это произошло?
Где источник заражения?
За что еще он отвечает?
С кем он еще взаимодействовал?
См
отр
ите
в с
уть
: тра
екто
ри
я у
стр
ой
ств
а
Смотрите широко: траектория сети
Анализ траектории файла и устройства – поиск источника заражения
27
Лицензирование Sourcefire Устройства FirePOWER серии 8000 и 7000 (с v5.x) Только информирование
Асимметричная
многопроцессорная
обработка
Система предотвращения
вторжений нового
поколения
Межсетевой экран нового
поколения
Стандартные
функции
устройства
Настраиваемые интерфейсы типа «открывать при отказе» ✓ ✓ ✓ ✓
Регистрация подключений / потока ✓ ✓ ✓ ✓
Обнаружение сети, пользователя и приложения [4] ✓ ✓ ✓ ✓
Фильтрация трафика / списки контроля доступа (ACL) ✓ ✓ ✓ ✓
Защита
Ведущая система предотвращения вторжений NSS
Расширенная
лицензия
* ✓ ✓
Комплексное предотвращение угроз * ✓ ✓
Интеллектуальная система безопасности (C&C, ботнеты, спам) ✓ ✓ ✓
Блокирование файлов по типу, по протоколу и по направлению ✓ ✓ ✓
Базовое предотвращение потери данных в правилах IPS (SSN, кредитные
карты и пр.) * ✓ ✓
Контроль
[1]
Контроль доступа: применение по приложению
Расширенная
лицензия
Расширенная
лицензия Расширенная лицензия
✓
Контроль доступа: применение по пользователю ✓
Коммутация, маршрутизация и возможности NAT [3] ✓
VPN Сеть VPN «узел-узел» IPSec [2] Расширенная
лицензия
Расширенная
лицензия Расширенная лицензия ✓
Фильтрация
URL-адресов Подписка на фильтрацию URL-адресов [2] Стоимость на год Стоимость на год Стоимость на год Стоимость на год
Защита от
вредоносных
программ
Подписка на блокирование вредоносных программ, непрерывный анализ
файлов, отслеживание траектории движения вредоносных программ в сети Стоимость на год Стоимость на год Стоимость на год Стоимость на год
[1] Требуется лицензия на защиту [2] Требуется лицензия на контроль [3] Требуются устройства на базе FirePOWER [4] Требуется Центр защиты с лицензией FireSIGHT
“*” Примечание. Функции системы предотвращения вторжений доступны в версии AMP, но еще не вышли на рынок
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28
• Настраиваемая инструментальная панель
• Комплексные отчеты и оповещения
• Централизованное управление политиками
• Иерархическое управление
• Обеспечение высокой доступности
• Интеграция с существующими системами безопасности
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29
DC750 DC1500 DC3500
Макс. число управляемых
устройств* 10 35 150
Макс. число событий
системы предотвращения
вторжений 20 млн. 30 млн. 150 млн.
Система хранения
событий 100 Гб 125 Гб 400 Гб
Макс. сетевая карта
(хосты | пользователи) 2 тыс. | 2 тыс. 50 тыс. | 50 тыс. 300 тыс. | 300 тыс.
Макс. кол-во Netflow
(потоков/с) 2000 потоков/с 6000 потоков/с 10000 потоков/с
Возможности
высокой доступности
Дистанционное управление
(LOM)
RAID 1, LOM,
High Availability
pairing (HA)
RAID 5, LOM,
HA, резервный
источник питания пер. тока
* Макс. число устройств зависит от типа сенсора и частоты событий
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
Просмотр всего трафика приложения...
Поиск приложений с высокой степенью риска... Кто их использует?
Какие использовались операционные системы?
Чем еще занимались эти пользователи?
Как выглядит их трафик за период времени?
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35
Идентифицированная операционная система
и ее версия
Серверные приложения и их версия
Клиентские приложения
Кто на хосте
Версия клиентского приложения
Приложение
Какие еще системы / IP-адреса использует
пользователь? Когда?
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37
Различные категории URL
URLs категорированы по уровню рисков
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 39
C97-715266-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 40
Что это?
Сигналы тревоги и правила блокирования:
Трафик ботнетов и C&C / Известные злоумышленники / открытые прокси/релеи
Источники вредоносного ПО, фишинга и спама
Возможно создание пользовательских списков
Загрузка списков от Sourcefire или иных источников
Как это может помочь?
Блокировать каналы вредоносных коммуникаций
Непрерывно отслеживать любые несанкционированные и новые изменения
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41
• Визуализация карт, стран и городов для событий и узлов
C97-715266-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 42
• IP –адреса должны быть маршрутизируемыми
• Два типа геолокационных данных
Страна – включено по умолчаниюt
Full – Может быть загружено после
Установки:
Почтовый индекс, координаты, TZ, ASN, ISP,
организация, доменное имя и т.д.
Ссылки на карты (Google, Bing и другие)
• Страна сохраняется в запись о событии
Для источника & получателя
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 43
© 2013 Cisco and/or its affiliates. All rights reserved.
Спасибо!
CiscoRu Cisco CiscoRussia