Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой...

Безопасность периметра: МЭ и IPS Cisco и Sourcefire Сетевой FireAMP

Андрей Москвитин

Специалист по решениям ИБ

[email protected]

NGFW & NGIPS – что это?

3 C97-715266-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены.

“NGIPS в будущем войдёт в NGFW, но сейчас большинство существующих NGFW обладают только базовым функционалом IPS”

Стандартные возможности «предыдущего поколения»

Понимание приложений и их компонентов

Встроенный сетевой IPS

Интеграция с внешними сервисами, пример:

• Каталоги пользователей

• «Репутационные» сервисы

Стандартные возможности «предыдущего поколения»

Понимание приложений

Понимание контекста и контента

Гибкий движок, оперативные обновления сигнатур

Источник:“Defining Next-Generation Network Intrusion Prevention,” Gartner, October 7, 2011. “Defining the Next-Generation Firewall,” Gartner, October 12, 2009

C97-715266-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 4

АЛЬТЕРНАТИВА

ASA 5500-X с

межсетевым экраном

нового поколения

Межсетевой экран ASA +

межсетевой экран и система

предотвращения вторжений


FirePOWER


FirePOWER

Межсетевой экран ASA

5585 с системой

предотвращения

вторжений


55х5 с системой


вторжений

Межсетевой экран


ASA 5500-X

Межсетевой экран ASA + межсетевой экран и

система предотвращения вторжений нового

поколения FirePOWER


межсетевой экран и система

предотвращения вторжений

нового поколения FirePOWER

АЛЬТЕРНАТИВА

ПОТЕНЦИАЛЬНЫЙ КЛИЕНТ


5585 с системой


вторжений

Операции безопасности

Покупатели для центров обработки данных

{Комплексная

безопасность является

основным критерием

при покупке}

Операции безопасности

Покупатели граничных устройств

{Комплексная безопасность является

основным критерием при покупке}

Сетевые операции

Покупатели для центров

обработки данных

{Консолидация устройств

является основным

критерием при покупке}

Сетевые операции

Покупатели граничных устройств

{Консолидация

устройств

является основным

критерием при покупке}

Cisco IPS


Низкий уровень

Средний уровень Высокий уровень

Пропускная способность

ISR

Cisco

Catalyst® 6500

Cisco IPS серии

4500, 4300,

и 4200

Cisco ASA

серии 5500

Cisco® ASA

серии 5500-X

Cisco ASA 5515-X IPS




Cisco IPS 4510

и 4520


Cisco ASA 5585-P10S1 Cisco ASA

5585-P20S20

Cisco ASA 5585-P40S40

Cisco ASA 5585-P60S60

Cisco ASA 5510-AIP10







Cisco IPS 4270

Cisco IPS 4360

Cisco IPS 4345

Cisco IPS 4240 Cisco IPS 4255

Cisco IPS 4260

IDSM2

Комплект Cisco Catalyst® 6500 IDSM2

Cisco IOS® IPS

Cisco IPS NME

Cisco Next-Generation Firewall (ASA-CX)

C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8

• Использует в качестве основы ASA stateful inspection

firewall;

• Предоставляет следующие продвинутые (NGFW)

сервисы:

Репутационная фильтрация веб трафика для защиты от

вредоносного ПО;

URL-фильтрация доступа к разным категориям сайтов на

основе заданной политики;

Контроль использования приложений Application visibility and

control (AVC)

Защита от угроз (NGFW IPS)


200 Mbps NGFW

60 Mbps NGFW + IPS

100K Connections

10,000 CPS

Защита филиалов Защита доступа в Интернет/границы сети

ASA 5512-X

350 Mbps NGFW

90 Mbps NGFW + IPS

250K Connections

15,000 CPS

ASA 5515-X

650 Mbps NGFW

300 Mbps NGFW + IPS

500K Connections

20,000 CPS

1 Gbps NGFW

450 Mbps NGFW + IPS

750K Connections

30,000 CPS

1.4 Gbps NGFW

600 Mbps NGFW + IPS

1M Connections

50,000 CPS

ASA 5525-X

ASA 5545-X

ASA 5555-X


Защита доступа в Интернет/границы сети

2 Gbps NGFW

1 Gbps NGFW + IPS

500K Connections

40,000 CPS

ASA 5585-SSP10

Защита доступа в Интернет/границы сети

5 Gbps NGFW

1.5 Gbps NGFW + IPS

1 Million Connections

75,000 CPS

ASA 5585-SSP20

9 Gbps NGFW

2.5 Gbps NGFW + IPS

1.8 Million Connections

120,000 CPS

ASA 5585-SSP40 13 Gbps NGFW

4 Gbps NGFW + IPS

4 Million Connections

160,000 CPS

ASA 5585-SSP60

New

with 9.2

New

with 9.2


Требования к

оборудованию Требования к ПО

• Для платформ 5512-X, 5515-X, 5525-X,

5545-X, 5555-X требуется SSD диск.

• Для 5585-X SSP10, 20, 40, 60

для функционала NGFW необходим

отдельный аппаратный модуль.

• ASA должна использовать код не ниже

версии 9.1.3

• NGFW должен использовать 9.2

• Сервер PRSM должен использовать 9.2

Примечание: Сервер PRSM 9.2 может управлять МСЭ ASA под управлением ПО 9.0.1 или выше, если ASA без NGFW-сервиса.


IP Fragmentation

IP Option Inspection

TCP Intercept

TCP Normalization

ACL

NAT

VPN Termination

Routing

Botnet Traffic Filter

TCP Proxy

TLS Proxy

AVC Multiple Policy Decision

Points

HTTP Inspection

URL Category/Reputation

NGFW IPS

NGFW

ASA


ASA L3 / L4

NGFW L3 / L4

NGFW – WSE

NGFW –

Broad AVC

NGFW –

Web AVC

IPS

Sourcefire NGFW, NGIPS, network AMP


Sourcefire – эксперты в области ИБ

• Гениальная команда

• Больше 10 лет на рынке

• 6 лет подряд лидирует в квадратах Gartner

• Защищает компании в более чем 180 странах

• Инновации: 41+ патент получен или в разработке

• Open source проекты - Snort, ClamAV, Razorback, OpenAppID

IPS MQ Leader America’s Fastest-Growing Tech Companies 2011

16

Gartner – MQ for Intrusion Prevention, декабрь 2013

Лидер Gartner

Magic Quadrant for

IPS с 2006

17

Sourcefire FireSIGHT видит «все» КАТЕГОРИИ

ПРИМЕРЫ

SOURCEFIRE

СИСТЕМЫ

ПРЕДОТВРАЩЕНИЯ

ВТОРЖЕНИЙ И

МЕЖСЕТВЫЕ

ЭКРАНЫ НОВОГО

ПОКОЛЕНИЯ

СТАНДАРТНА

Я

СИСТЕМА

ПРЕДОТВРА

ЩЕНИЯ

ВТОРЖЕНИЙ

СТАНДАРТН

ЫЙ

МЕЖСЕТЕВ

ОЙ ЭКРАН

НОВОГО

ПОКОЛЕНИ

Я

Угрозы Атаки, аномалии ✔ ✔ ✔

Пользователи AD, LDAP, POP3 ✔ ✗ ✔

Веб-приложения Facebook Chat, Ebay ✔ ✗ ✔

Протоколы приложений HTTP, SMTP, SSH ✔ ✗ ✔

Передача файлов PDF, Office, EXE, JAR ✔ ✗ ✔

Вредоносное ПО Conficker, Flame ✔ ✗ ✗

Серверы C&C Интеллектуальная система безопасности C&C ✔ ✗ ✗

Клиентские приложения Firefox, IE6, BitTorrent ✔ ✗ ✗

Веб-серверы Apache 2.3.1, IIS4 ✔ ✗ ✗

Операционные системы Windows, Linux ✔ ✗ ✗

Маршрутизаторы и коммутаторы Cisco, Nortel, Wireless ✔ ✗ ✗

Мобильные устройства iPhone, Android, Jail ✔ ✗ ✗

Принтеры HP, Xerox, Canon ✔ ✗ ✗

VoIP-телефоны Avaya, Polycom ✔ ✗ ✗

Виртуальные машины VMware, Xen, RHEV ✔ ✗ ✗

18

УСТРОЙСТВА | ВМ

NGFW NGIPS AMP

Sourcefire – решения по обеспечению безопасности

ДО

Вы видите,

вы контролируете

ВО ВРЕМЯ

Интеллектуальное

противодействие

и с учетом контекста

ПОСЛЕ

Ретроспективные

средства безопасности

ЦЕНТР УПРАВЛЕНИЯ

19

FirePOWER™: single-pass, высокопроизводительная, с низкой задержкой аппаратная платформа

• Гибкая интеграция в программное обеспечение

NGIPS,NGFW, AMP

Все вышеперечисленные (просто выбрать соответствующий размер)

• Гибкая интеграция в аппаратное обеспечение

Масштабируемость: 50 Мбит/с ->60 Гбит/с

Стекирование для масштабирования, кластеризация для отказоустойчивости

• Экономичность

Лучшие в своем классе для систем предотвращения вторжения, межсетевых экранов нового поколения от NSS Labs

До 320 ядер RISC

До 60 Гбит/с

(система предотвращения вторжений)

20

Про

изв

од

ите

льно

сть

и м

асш

таб

ир

уе

мо

сть

систе

мы

пр

ед

отв

ра

ще

ния в

торж

ений

Центр

обработки

данных Комплекс

зданий Филиал Малый или

домашний офис

Интернет-

периметр

FirePOWER 7100

500 Мбит/с – 1 Гбит/с

FirePOWER

7120/7125/8120

1 - 2 Гбит/с

FirePOWER

8100/8200

2 - 10 Гбит/с

FirePOWER серии

8200 и 8300

10 – 60 Гбит/с

Платформы и размещение в сети

FirePOWER 7000 Series

50 – 250 Мбит/с

+ Сенсоры и консоль

управления в виде ВМ

21

Объединенная партнерская программа Sourcefire и Cisco

Объединенная ИНФРАСТРУКТУРА API

22

Подход Sourcefire: … непрерывный процесс до, во время и после атаки

Вы не можете

защитить то, что

не видите

Автоматическая

настройка системы

безопасности

…в режиме реального

времени,

в любой момент

времени

Преобразование

данных

в информацию

ВИДЕТЬ АДАПТИ-

РОВАТЬ

УЧИТЬСЯ ДЕЙСТ-

ВОВАТЬ

23

Пассивное

обнаружение

В первую очередь необходимо знать, что у вас есть Невозможно обеспечить защиту того, о чем вы не знаете

Хосты

Сервисы

Приложения

Пользователи

Коммуникации

Уязвимости

Все время

в режиме

реального времени

24

Cisco действует также: добавляет контекст и понимание

C I2 I4 A

ЛОКАЛЬНО Бизнес Контекст

Кто

Что

Как

Откуда

Когда

Внутри ВАШЕЙ сети

ГЛОБАЛЬНО

Ситуационный

анализ угроз

Снаружи ВАШЕЙ сети

Репутация

Взаимо-

действие

APP Приложения

URL Сайты

Реализация безопасности

и глобальным контекстом

25

Контекст – это самое важное

Событие: Попытка получения

доступа

Цель: 96.16.242.135


доступа

Цель: 96.16.242.135 (уязвимо)

ОС хоста: Blackberry

Приложения: электронная почта,

браузер, Twitter

Местоположение Белый дом, США


доступа

Цель: 96.16.242.135 (уязвимо)

ОС хоста: Blackberry

Приложения: электронная почта,

браузер, Twitter

Местоположение Белый дом, США

Идентификатор пользователя: bobama

Ф. И. О. Барак Обама

Департамент: административный

Контекст способен фундаментально изменить

интерпретацию данных события

26

Какие системы были заражены?

Почему это произошло?

Где источник заражения?

За что еще он отвечает?

С кем он еще взаимодействовал?

См

отр

ите

в с

уть

: тра

екто

ри

я у

стр

ой

ств

а

Смотрите широко: траектория сети

Анализ траектории файла и устройства – поиск источника заражения

27

Лицензирование Sourcefire Устройства FirePOWER серии 8000 и 7000 (с v5.x) Только информирование

Асимметричная

многопроцессорная

обработка

Система предотвращения

вторжений нового

поколения

Межсетевой экран нового

поколения

Стандартные

функции

устройства

Настраиваемые интерфейсы типа «открывать при отказе» ✓ ✓ ✓ ✓

Регистрация подключений / потока ✓ ✓ ✓ ✓

Обнаружение сети, пользователя и приложения [4] ✓ ✓ ✓ ✓

Фильтрация трафика / списки контроля доступа (ACL) ✓ ✓ ✓ ✓

Защита

Ведущая система предотвращения вторжений NSS

Расширенная

лицензия

* ✓ ✓

Комплексное предотвращение угроз * ✓ ✓

Интеллектуальная система безопасности (C&C, ботнеты, спам) ✓ ✓ ✓

Блокирование файлов по типу, по протоколу и по направлению ✓ ✓ ✓

Базовое предотвращение потери данных в правилах IPS (SSN, кредитные

карты и пр.) * ✓ ✓

Контроль

[1]

Контроль доступа: применение по приложению


лицензия


лицензия Расширенная лицензия

✓

Контроль доступа: применение по пользователю ✓

Коммутация, маршрутизация и возможности NAT [3] ✓

VPN Сеть VPN «узел-узел» IPSec [2] Расширенная

лицензия


лицензия Расширенная лицензия ✓

Фильтрация

URL-адресов Подписка на фильтрацию URL-адресов [2] Стоимость на год Стоимость на год Стоимость на год Стоимость на год

Защита от

вредоносных

программ

Подписка на блокирование вредоносных программ, непрерывный анализ

файлов, отслеживание траектории движения вредоносных программ в сети Стоимость на год Стоимость на год Стоимость на год Стоимость на год

[1] Требуется лицензия на защиту [2] Требуется лицензия на контроль [3] Требуются устройства на базе FirePOWER [4] Требуется Центр защиты с лицензией FireSIGHT

“*” Примечание. Функции системы предотвращения вторжений доступны в версии AMP, но еще не вышли на рынок


• Настраиваемая инструментальная панель

• Комплексные отчеты и оповещения

• Централизованное управление политиками

• Иерархическое управление

• Обеспечение высокой доступности

• Интеграция с существующими системами безопасности


DC750 DC1500 DC3500

Макс. число управляемых

устройств* 10 35 150

Макс. число событий

системы предотвращения

вторжений 20 млн. 30 млн. 150 млн.

Система хранения

событий 100 Гб 125 Гб 400 Гб

Макс. сетевая карта

(хосты | пользователи) 2 тыс. | 2 тыс. 50 тыс. | 50 тыс. 300 тыс. | 300 тыс.

Макс. кол-во Netflow

(потоков/с) 2000 потоков/с 6000 потоков/с 10000 потоков/с

Возможности

высокой доступности

Дистанционное управление

(LOM)

RAID 1, LOM,

High Availability

pairing (HA)

RAID 5, LOM,

HA, резервный

источник питания пер. тока

* Макс. число устройств зависит от типа сенсора и частоты событий


Просмотр всего трафика приложения...

Поиск приложений с высокой степенью риска... Кто их использует?

Какие использовались операционные системы?

Чем еще занимались эти пользователи?

Как выглядит их трафик за период времени?


Идентифицированная операционная система

и ее версия

Серверные приложения и их версия

Клиентские приложения

Кто на хосте

Версия клиентского приложения

Приложение

Какие еще системы / IP-адреса использует

пользователь? Когда?


Различные категории URL

URLs категорированы по уровню рисков


Что это?

Сигналы тревоги и правила блокирования:

Трафик ботнетов и C&C / Известные злоумышленники / открытые прокси/релеи

Источники вредоносного ПО, фишинга и спама

Возможно создание пользовательских списков

Загрузка списков от Sourcefire или иных источников

Как это может помочь?

Блокировать каналы вредоносных коммуникаций

Непрерывно отслеживать любые несанкционированные и новые изменения


• Визуализация карт, стран и городов для событий и узлов


• IP –адреса должны быть маршрутизируемыми

• Два типа геолокационных данных

Страна – включено по умолчаниюt

Full – Может быть загружено после

Установки:

Почтовый индекс, координаты, TZ, ASN, ISP,

организация, доменное имя и т.д.

Ссылки на карты (Google, Bing и другие)

• Страна сохраняется в запись о событии

Для источника & получателя

Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой...

Technology

Transcript of Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой...