As a Firepower Mi Bo 28012015
-
Upload
jason-bell -
Category
Documents
-
view
218 -
download
0
Transcript of As a Firepower Mi Bo 28012015
-
8/17/2019 As a Firepower Mi Bo 28012015
1/68
Cisco - Sourcefire otkrivanje prijetnjNGIPS – NGFW
Sigurnost nove generacijeEnes Ajanovi ćCCIE Security 32640,[email protected]
Jan 2015
-
8/17/2019 As a Firepower Mi Bo 28012015
2/68
Napad na MUP SBK – 2011
-
8/17/2019 As a Firepower Mi Bo 28012015
3/68
Napad na Federalnu upavu policije 2012vrijeme grupe anonymous
-
8/17/2019 As a Firepower Mi Bo 28012015
4/68
Ponovni napad na FEDERALNU UPRAVU PO2014
-
8/17/2019 As a Firepower Mi Bo 28012015
5/68
Napad na stranicu MUP TK,Hakeri znaju za „staru“ rupu – 5 januar 201
-
8/17/2019 As a Firepower Mi Bo 28012015
6/68
Napad na MUP HR pro šle sedmice – otkrivpočinitelj i predat na procesuiranje
-
8/17/2019 As a Firepower Mi Bo 28012015
7/68
1. Sigurnosni model nove generacije
2. NGIPS/NGFW funkcionalnosti
3. Pregled produkata & primjena
4. Dcloud Demo
Agenda
-
8/17/2019 As a Firepower Mi Bo 28012015
8/68
Portofilo prijetnji zahtjeva više od kontrole aplikac
Vješto izbjegavaju detekciju
Danas je to zajednica kojaprikriva vješto napade itehnike a ne kao nekada virusili scan ili primjena exploita
60%Podataka je
ukrano u
satima
10of kompanija sMaliciozen h
54%Upada u sistem
ostaje ne otkriveno
mjesecima
-
8/17/2019 As a Firepower Mi Bo 28012015
9/68
Izazovi pred tradicionalnim sigurnosnim modelom
Tradicionalni firewallnema mogu ćnost da bilježi razne vrste događaja osim ACL nema mogućnost da korelira to što bilježi kako bi detektovao mogući upad u sistem upitna je „korisnička vidljivost“ i primjena „korisnički“ definisanih pravila
Tradicionalni IPSskup sigurnosnih politika koji je definisao „proizvođaj“ i koje su inicijalno postavljene vrlo često su pravila jednom postavljena i nikada ažurirana
nema inteligenciju da vidi šta brani – administrator mora poznavati sve sisteme, ranjivosti, patche-ve kako bi konfigodređene IPS signature.
IPS JE ČESTO ZABORAVLJENA KUTIJA KOJA ISPUNJAVA REVIZIJSKE STANDARDE I OBAVEZE
1. Šta je sa Malware -om2. Da li određena downloadovana datoteka i aplikacija koja kopira povjerljive datoteke van Vaše mreže po po
dozvolili na Vašem firewallu kako bi „korisnici“ „surfali“
-
8/17/2019 As a Firepower Mi Bo 28012015
10/68
Manualan IStati čan
Spor, manualan bezbrzog odziva
NedovoljnaVidljivost
Ne može da detektujetzv. Multivektor
napade
Model silosa
Povečavakompleksnost i
smanjuje efikasnost
Defense-in- Depth’Sigurnosni model (nije) dovoljan
-
8/17/2019 As a Firepower Mi Bo 28012015
11/68
Ko je (bio) Sourcefire?
• Snort® Osnovan 1998, osnivatelj Martin Roesch,
• - danas Vice president Cisco Security tima I Principal architect.
• Sourcefire osnovao 20012007 zajedno sa NMAP timom razvijaju alat za skeniranjei prepoznavanje ranjivosti
2009 – pokre će AEGIS program– Awareness, Education, Guidance, anIntelligence Sharing - Inovacije – 52+ patenta•Pionir u IPS, sigurnost vođena sadržajem , napredna detekcijamalware
7 Oktobar, 2013 - Cisco je završio akviziciju Sourcefire-a
http://www.sourcefire.com/security-technologies/snorthttp://www.sourcefire.com/security-technologies/snorthttp://www.sourcefire.com/security-technologies/snorthttp://www.sourcefire.com/security-technologies/snorthttp://www.sourcefire.com/security-technologies/snort
-
8/17/2019 As a Firepower Mi Bo 28012015
12/68
Sigurnosni model nove generacije
12
PRIJEDetektuj napad
BlokirajOdbrana
U TOKU POSLIJEKontroliraj
PrimjeniOsiguraj
Detektuj opsegnapada
AnalizirajSaniraj
Koji tipovi uređaja, aplikacije, korisnici, OS su u mreži?
KONTINUIRANI CIKLUS NAPADA
Mreža Endpoint Mobile Virtual Cloud
Tačka u vremenu Kontinuirano
Prije napada: Potrebno je poznavati mrežu da bi je osigurali uređaji / OS / servisi / aplikacije / korisnici (FireSight)
IP kontorla pristupa, primjena politika, upravljanje aplikacijamafizička kontrola pristupa
Uopšte kontrola pristupa smanjuje „površinu“ napada ali i daljpostoje „dozvoljeni“ pristupi koji predstavljaju „rupe“ kojenapadači mogu iskoristiti
NAPADAČI NE ODUSTAJU. Naći će bilo koji propust u vašoj odkako bi ostvarili svoj cilj
-
8/17/2019 As a Firepower Mi Bo 28012015
13/68
Sigurnosni model nove generacije
13
KONTINUIRANI CIKLUS NAPADA
Mreža Endpoint Mobile Virtualni Cloud
Point in time Continuous
U TOKU NAPADA:Potrebno je imati najefikasniji mehanizam za detekciju napadaMetode detekcije moraju biti multimenzionalne i neku vrstu „pameti“ Kada se detektuje napad, NIPGS treba da ih dinamički blokira
PRIJEKontroliraj
PrimjeniOsiguraj
Detektuj napadBlokirajOdbrani
U TOKU POSLIJEDetektuj opseg
napadaAnaliziraj
Saniraj
-
8/17/2019 As a Firepower Mi Bo 28012015
14/68
Sigurnosni model nove generacijeKONTINUIRANI CIKLUS NAPADA
Mreža Endpoint Mobile Virtualni Cloud
Point in time Continuous
POSLIJE NAPADA:Potrebno je imati najefikasniji mehanizam za detekciju onoga što se desilo Metode detekcije moraju biti multimenzionalne i neku vrstu „pameti“ Korelacija od pocetka upada, mehanizama korištenih za upad, host putanja, file putanja
PRIJEKontroliraj
PrimjeniOsiguraj
Detektuj napadBlokirajOdbrani
U TOKU POSLIJEDetektuj opseg
napadaAnaliziraj
Saniraj
-
8/17/2019 As a Firepower Mi Bo 28012015
15/68
-
8/17/2019 As a Firepower Mi Bo 28012015
16/68
CiscoNGIPS / NG Firewallfunkcionalnosti
-
8/17/2019 As a Firepower Mi Bo 28012015
17/68
PasivnoOtkrivanje
Prvo, morate znati šta imate u svom IT okruženju Ne možete braniti nešto što ne znate
Hosts
Servisi
Aplikacije
Korisnici
Komunikacije
Ranjivosti
Sve vrijemrealnom vreme
-
8/17/2019 As a Firepower Mi Bo 28012015
18/68
Otkriv anje mreže & Prepoznavanje Konekci
Otkrivanjehostova
Identificira OS,protokole i servisena svakom hostu
Raport napotencijalne ranjivosti
prezentirane zasvakog hosta na
osnovu prikupljenihinformacija
Identifikacija Aplikacija
FireSIGHT možeidentificirati do 1900
jedinstvenih aplikacijakoristećiOpenAppID
Uključuje iidentifikaciju aplikacija
koje koriste webservise kao Facebook
ili LinkedIn
Aplikacije se koristekao kriteriji za kontrolu
pristupa
Otkrivanje kor
Monitori za USER IDkoji prate korisničke
servise
Integrisan sa MS Ada bi prepoznao
USER ID
Cisco FireSIGHTKljučne komponente?
-
8/17/2019 As a Firepower Mi Bo 28012015
19/68
Otkrivanje se bilježi uobliku događaja
• Svaki put kada se otkrijekonekcija u mreži zabilježi sekonekcijiski događaj
• Host događaj se bilježi svakiput kada se detektuje neštonovo na hostu
Informacije o svimhostovima se pohranjujuu host profile.
Cisco FireSIGHT TehnologijaFireSIGHT Otkrivanje
-
8/17/2019 As a Firepower Mi Bo 28012015
20/68
Znajući sve o dijelovima koji grade jedan sistemFiregeneriše izvještaj o ranjivostima za taj sistem Ovo omogučava Cisco Firesight- u da intrusion dogaobavj esti prati i generiše mnogo preciznije i tačnije
Šta je za Vas važnije?
• Code red napad na Linux u vašem okruženju ili
• Code red napad na ranjivu verziju Windows- a u vašem okruženju
Cisco FireSIGHT TehnologijaFireSIGHT Otkrivanje
-
8/17/2019 As a Firepower Mi Bo 28012015
21/68
Procjena stvarnog napada
Korelira sve intrusion doga đaje kako bi napravio procjenu o stvarnom napadu
Impact Flag Akcijaadministratora
1 Djelovati odmah,nađena ranjivost
2 Istraži. Potencijalnaranjivost
3Dobro je znati, nema
ranjivosti
4 Dobro je znati,nepoznata meta
0Dobro je znati,napadnut host koji nijena mreži
-
8/17/2019 As a Firepower Mi Bo 28012015
22/68
Firesight Management Center - FMCSigurnosni doga đaji sa nivoima uticaja na si
-
8/17/2019 As a Firepower Mi Bo 28012015
23/68
U realnom vremenu pruža informacije „Šta je u mreži“
• Na osnovu ovoga … • Daje informaciju koja ranjivost postoji u sistemu• Daje mogućnost finog podešavanja sigurnosne politike prema ranjivo
Može da detektuje promjene u mreži i da automatski obavjpromjenama
• Moguće je podesiti dinamičko obavještavanje(email, syslog, SNMP...)• Moguće je podesiti automatske akcije za „saniranje“ za određeni događ
sistemu• „Saniranje“ predstavljaju skripte koje je moguće pokrenuti sa „defen
koje će izvršiti odgovarajuće akcije
FireSIGHTZašto je bitan FIRESIGHT?
-
8/17/2019 As a Firepower Mi Bo 28012015
24/68
Indikacije kompromitivanja hosta - Indications ofCompromise (IoCs)
IPS Events
Malware BackdoorsExploit Kits
Web App napadi
CnC Konekcije
Admin Privilege Eskalacija
SI Events
Konekcije na poznateCnC IPs
Malwa
MalwaOffice/PDF/Java
Izvršen
-
8/17/2019 As a Firepower Mi Bo 28012015
25/68
Primjer indikacije kompromitovanjadio host profila
Security Intdoga
C&C detekc
Kontekstualnidogađaj nivo uticaja
FireAMP En
Malware
f
-
8/17/2019 As a Firepower Mi Bo 28012015
26/68
Firesight Management Center – Informacije o prijetn
Fi SIGHT
-
8/17/2019 As a Firepower Mi Bo 28012015
27/68
FireSIGHTSvrha FIRESIGHT informacija?
Fine-tuning IPS politika
• Selekcija pravila i konfiguracija• Zaštita hostova koji koriste servise na ne standardnim portovimna portu 1080 jedan servis i drugi na portu 8080 istovremeno)
Primjena organizacijiske sigurnosne politike• Primjer - blokiranja i prijavljivanja korištenja zabranjenih aplik
Praćenje „neprimjerenog“ i neobičnog ponašanja u• Obavještavanje prilikom pojavljivanja „novih“ hostova u zabr
dijelu mreže i detektovanje velike količine saobraćaja tamo gdtrebalo biti
-
8/17/2019 As a Firepower Mi Bo 28012015
28/68
KATEGORIJE PRIMJER
FirePOWER APPLIANCE
KLASIPS
Prijetnje Attacks, Anomalies ✔ ✔
Korisnici AD, LDAP, POP3 ✔
Web Aplikacije Facebook Chat, Ebay ✔
Aplikacijiski protokoli HTTP, SMTP, SSH ✔
Prenost datoteka PDF, Office, EXE, JAR ✔
Malware Conficker, Flame ✔
Klijentske aplikacije Firefox, IE6, BitTorrent ✔
Mrežni serveri Apache 2.3.1, IIS4 ✔
Operativni sistemi Windows, Linux ✔
Ruteri i svičevi Cisco, Nortel, Wireless ✔ Mobilni uređaji iPhone, Android, Jail ✔
Printeri HP, Xerox, Canon ✔
VoIP telefoni Avaya, Polycom ✔
Virtualne platforme VMware, Xen, RHEV ✔
Svjesnost o
kontekstuSuperiornost Informacija
FireSIGHT Management Center
Fi i h lj j M l d k j i bl ki j
-
8/17/2019 As a Firepower Mi Bo 28012015
29/68
Firesight upravljanje Malwareom - detektuj i blokirajDropper primjer
-
8/17/2019 As a Firepower Mi Bo 28012015
30/68
1) „Hvatanjedatoteke“
Malware Detekcija: Ekstrakcija datoteke & SandboxIzvršavanje
Malw are Obavijest !
2) Pohranjivanjedatoteke
4) Raport o izvršavanju u Cisco Firesight
Network Traffic
Collect ive Secur i tyInte ll igence Sand box
3) Po
Anti Malware Proces – Network putanja praćen
-
8/17/2019 As a Firepower Mi Bo 28012015
31/68
Anti Malware Proces – Network putanja- praćenzaražene datoteke
l Z š i k kl
-
8/17/2019 As a Firepower Mi Bo 28012015
32/68
Mreža
Endpoint
Anti-Malware Zaštita & kontinuirani ciklus na
Retrospekcija datotekePutanja datoteSvjesnost o kontekstu
Kontrola automatizacijePutanja iretrospektivnopraćenje datoteka Putanja uređaja Analiza datoteka
Indikacije oprobijanju kontrola
In-line Threat Detekcija
i Prevencija
Blokiranje izvršavanjadatoteka
PRIJEKontrolirajPrimjeniOsiguraj
Detektuj napadBlokirajOdbrani
U TOKU POSLIJEDetektuj opsegnapada
AnalizirajSaniraj
-
8/17/2019 As a Firepower Mi Bo 28012015
33/68
Zašto je Cisco FirepowerNGIPS jedinst
-
8/17/2019 As a Firepower Mi Bo 28012015
34/68
Zašto je Cisco Firepower NGIPS jedinst
• Vidljivost podataka• Brzina• Tačnost
• Fleksibilnost• Vrijednost
-
8/17/2019 As a Firepower Mi Bo 28012015
35/68
Pregled produkata & Primjena
P l d Ci i ih d k k ji b i j
-
8/17/2019 As a Firepower Mi Bo 28012015
36/68
Cisco FireSIGHT Management Center - Management
Cisco FirePOWER 7000 Series Appliances - NGIPS
Cisco FirePOWER 8000 Series Appliances – NGIPS
Cisco AMP for Firepower - napredna malware protekcija za mrežu
Cisco AMP for Endpoints -napredna malware protekcija za uređaje
Cisco AMP Private Cloud Virtual Appliances -malware cloud u vlastitoj mre ži
Cisco SSL Appliance -napredna SSL inspekcija
CISCO ASA sa firepower servisima
Pregled Cisco sigurnosnih produkata koji se baziraju naSourcefire rješenjima
Fi i h f k i l i
http://www.cisco.com/c/en/us/products/security/defense-center/index.htmlhttp://www.cisco.com/c/en/us/products/security/firepower-7000-series-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/firepower-8000-series-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/amp-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/fireamp-endpoints/index.htmlhttp://www.cisco.com/c/en/us/products/security/fireamp-private-cloud-virtual-appliance/index.htmlhttp://www.cisco.com/c/en/us/products/security/ssl-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/ssl-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/ssl-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/fireamp-private-cloud-virtual-appliance/index.htmlhttp://www.cisco.com/c/en/us/products/security/fireamp-private-cloud-virtual-appliance/index.htmlhttp://www.cisco.com/c/en/us/products/security/fireamp-endpoints/index.htmlhttp://www.cisco.com/c/en/us/products/security/fireamp-endpoints/index.htmlhttp://www.cisco.com/c/en/us/products/security/amp-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/firepower-8000-series-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/firepower-8000-series-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/firepower-8000-series-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/firepower-8000-series-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/firepower-7000-series-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/firepower-7000-series-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/firepower-7000-series-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/firepower-7000-series-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/firepower-7000-series-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/defense-center/index.htmlhttp://www.cisco.com/c/en/us/products/security/defense-center/index.htmlhttp://www.cisco.com/c/en/us/products/security/defense-center/index.htmlhttp://www.cisco.com/c/en/us/products/security/defense-center/index.htmlhttp://www.cisco.com/c/en/us/products/security/defense-center/index.html
-
8/17/2019 As a Firepower Mi Bo 28012015
37/68
Upravljanje uredjajima , licence, politike,
Dogadjaji I kontekstualne informacije prikazane I tabelama I graficim
Pra ćenje ispravnosti uređaja i praćenje performansiEksterna notifikacija i obavještavanje Korelacija i funkcionalnosti za saniranje i blokiranje prijetnji u realnovremenu.
Izvještavanje Integracija sa raznim firewallima routerima, sistemima za upravljanjelogovima
Upravljanje informacijama i događajima(SIEM)
Firesight management funkcionalnosti
FIRESIGHT t t l d d l
-
8/17/2019 As a Firepower Mi Bo 28012015
38/68
FIRESIGHT management centar – pregled modela
Model FireSIGHT 750 FireSIGHT 1500 FireSIGHT 3500 FireSIGHT Virtual Appliance
Maksimalni brojuređaja kojimaupravlja
10 35 150 25
Maksimalni brojIPS događaja 20 million 30 million 150 million -
Disk prostor zapohranudogađaja
100 GB 125 GB 400 GB -
Maksimalnomapiranje mreže (hostovi
/korisnici)
2000/2000 50,000/50,000 300,000/300,000
FirePOWER Platforma
-
8/17/2019 As a Firepower Mi Bo 28012015
39/68
LCD DisplajRelativno jednostavna konfiguracija
Device StackingPovećavanje performansiI kapaciteta stekovanjem
PovezivanjePrema zahtjevima
Hardverska Ak Za besprijekornu prop
ManagementMinimal oticaj na operabilnost SSDSolid State Drive
Konfigurabilni NetModModulBypass ili
Fail Closed Za IDS, IPS ili Firewall
St ki t h l ijMrež
ni linkovi
-
8/17/2019 As a Firepower Mi Bo 28012015
40/68
Steking tehnologijaStackingKablovi
● Do 2 8150● Do 4 8250 and 8350 šasije
mogu biti stekovaneNumber of chassis IPS Throughput
1 10Gbps
2 20Gbps
3 30Gbps
4 40Gbps
Primarna Sasija
Cisco AMP za FirePower
-
8/17/2019 As a Firepower Mi Bo 28012015
41/68
Prepoznaje aplikacije i datoteke koje prolaze kroz mrežu
Omogučava kontrolu „kretanja“ datoteka u mreži kreiranjeaplikacija-datotekaDetektuje, blokira i analizira datoteke i njihovo „ponašanjeopcionalno ih šalje na CSI radi detaljne analize (KONTINUIRkoristi slanje 256SHA HASH-a
U „inline“ postavci može da detektuje i blokira klijentski bexploite
Prati ponašanje datoteke i danima u nazad i korelira diskretincidente kako bi dobio informaciju o napadu.
File trajektorija/putanja – info o istoriji ponašanja malware-a
Cisco AMP za FirePower
Konfiguracija File politike
-
8/17/2019 As a Firepower Mi Bo 28012015
42/68
g j p
Cisco AMP – kao standalone ure đaj
-
8/17/2019 As a Firepower Mi Bo 28012015
43/68
Box AMP7150 AMP8150
AMP throughput * 500 Mbps 2 Gbps
New connections (per second) * 42,500 45,000Max concurrent connections 2,500,000 3,000,000
Max monitoring interfaces 12 12 (3 x 4-port RJ45 netmods)
Fixed monitoring interfaces 4 x 10/100/1000 (RJ45) 0
Modular interfaces 8 SFP Yes (requires netmods)
Network module expansion slots 0 0
Programmable fail-open interfaces 4 x 10/100/1000 (RJ45) Yes (requires netmods)
Management interfaces 1 x 10/100/1000 (RJ45) 1 x 10/100/1000 (RJ45)
Cisco AMP kao standalone ure đaj - firepower
-
8/17/2019 As a Firepower Mi Bo 28012015
44/68
Datoteke :
• Microsoft Office dokumenti (docand xls)
• PDF• Arhiv dokumenti (jar)
• Multimedia datoteke (swf)• Izvršne datoteke (msexe i
jar.pack)
Aplikacije :
● HTTP● SMTP● IMAP● POP3● FTP● NetBIOS-ssn (SMB)
Cisco AMP
CiscoAMP za endpointe – konektori
-
8/17/2019 As a Firepower Mi Bo 28012015
45/68
Brani endpointe klijente protiv sofisticiranih Malware napada o trenutka
infekcije preko širenja do faze saniranja štete Detekcija i blokiranje malware-a, potvrda infekcije, analiza ponasanjamalware – modifikacija i sirenje kroz samostalnu modifikaciju datoteka
Izvještaj o učinjenoj šteti , i mjere za smanjenje rizika od infekcije
Identifikacija uzroka upada na mrežnom i sistemskom nivou Koristi CSI za analizu – prednost u analizi miliona datoteka dnevno sa rakonektora
Management je u cloudu – kad je offline nema konekciju na cloud koBitDefender AV engine za zaštitu
CiscoAMP za endpointe konektori
Cisco AMP za End point-e cload bazirani management
-
8/17/2019 As a Firepower Mi Bo 28012015
46/68
Kontekst i sadržaj – dodatna vidljivostCisco AMP za End point e cload bazirani management
Cisco AMP za End point-e
-
8/17/2019 As a Firepower Mi Bo 28012015
47/68
Kretanje i modifikacija malware-a po endpointu/uredjaju. Device trajecto
Cisco AMP analiza datoteka – izvještaj
-
8/17/2019 As a Firepower Mi Bo 28012015
48/68
Cisco AMP analiza datoteka izvještaj
Cisco AMP analiza datoteka
-
8/17/2019 As a Firepower Mi Bo 28012015
49/68
Cisco AMP za End point-e
-
8/17/2019 As a Firepower Mi Bo 28012015
50/68
Cisco AMP za End point e
Operativni sistemi
● Microsoft Windows XP with Service Pack 3 or later
● Microsoft Windows Vista with Service Pack 2 or later
● Microsoft Windows 7
● Microsoft Windows 8 and 8.1
● Microsoft Windows Server 2003
● Microsoft Windows Server 2008
● Microsoft Windows Server 2012
● Mac OS X 10.7 and later
Operativni sistemi za mobilne uređa
● Android version 2.1 ili novija
Virtualizacijiski OS ●
vSphere ESX 5 or later, dual core pr16 GB RAM, 75 GB free disk space
Firepower 5.3 or later
Cisco AMP Private Cloud Virtual Appliancekl k l d k l d
-
8/17/2019 As a Firepower Mi Bo 28012015
51/68
za klijente koji „ne smiju“ slati datoteke u Cloud – alternativa za cloud – konektori se kserver.
AMP Private cloudne podržava analizu datoteka !
AMP Private cloudpodržava: • Putanju za datoteke i uređ• Glavni uzrok prijetnje• Indikaciju o kompromitovanju • Jednostavne i napredne detekci• Retrospektivno obavještav
Cisco SSL Appliance
-
8/17/2019 As a Firepower Mi Bo 28012015
52/68
Poseban appliance zbog velikih zahtjeva za resurse
Dekripcija SSL-a , ne samo na 443 portu,
Implementacija u inbound i outbound smjeru saobraćaja Posebni portovi za slanje saobraćaja na IPS/IDS Mogućnost implementacije u „fail-open“ modu Do 3.5 Gbps propusnost sa do 300,000 istovremenih SSL tokova
pp
Pasivna IDS implementacija sa SSL dekripcijom
-
8/17/2019 As a Firepower Mi Bo 28012015
53/68
p j p j
Cisco IPS Appliance
Cisco SSL Appliance
Inline IPS implementacija sa SSL dekripcijom
-
8/17/2019 As a Firepower Mi Bo 28012015
54/68
p j p j
Cisco IPS Appliance
Cisco SSL Appliance
Cisco uređaji propusnost
-
8/17/2019 As a Firepower Mi Bo 28012015
55/68
8270/ 8360*826082508140
8120/ (8150 >
71207115
70307020 7010
20 Gbps
10 Gbps
6 Gbps
4 Gbps2 Gbps
1 Gbps
750Mbps
250 Mbps
100 Mbps50 Mbps
IPS propusnost
8130
40 Gbps
30 Gbps
829060Gbps 8390*
45 Gbps 8370*
15Gbps 8350*
1.25Gbps 7125
7110/ (7150 > 500 MbpsSvim uređajima upravlja FireSightManagement konzola – posebni uređaji iliVM - za 2, 10 ili 25 uređaja
SSL2000
SSL1500
SSL8200
Svim uređajima upravljaFireSight Managementkonzola – posebni uređaji ili VM - za 2, 10 ili 25uređaja
AMP optimizirani uređaji 8150 – 2 Gbps AMP7150 – 500 Mbps AMP
Model #
Cisco ASA sa FirePOWER Services
-
8/17/2019 As a Firepower Mi Bo 28012015
56/68
SecuritySubscription
Services
• IPS, URL, Advanced M(AMP) Subscription S
• Opcije 1 i 3 godine
Support• SmartNET• Software Application
plus Upgrades
Management
• FireSIGHT Managem(HW Appliance or Vir
• Cisco Security Managor ASDM
Bazni Hardware
• Nova ASA 5585-X Bundle saFirePOWER Services Modulom
• Nova ASA 5500-X koja na SSD disku izvr šava
FirePOWER Services Software• FirePOWER Services Spare Moduli/Blade
for ASA 5585-X Series
• FirePOWER Services Software• Hardware uključuje Application Visibility
and Control (AVC)
ASA sa Firepower servisima – najbolji zaje
-
8/17/2019 As a Firepower Mi Bo 28012015
57/68
p j j j
• ASA sa Firepower servisima predstavlja LIDERA na podru čju SIG
Cisco ASA – Među najboljim statefull firewallima na tržištu
NAT, VPN, Site to Site, Remote access, SSL ....
SOURCEFIRE – URL filtering, AVC – aplikacijiska vidljivost i kontrola, NGIPS, AMP
ASA omogu ćava ulazni i izlazni procesiranje paketa za Sourcefire moduleUlazni – ACLs, IP defragmentacija, TCP normalizacija, TCP interceptIzlazni – ACLs, NAT, ruting
Cisco ASA portfolio sa Firepower servisima
-
8/17/2019 As a Firepower Mi Bo 28012015
58/68
P e r f o r m a n s e
i s k a l a b i l n o s t
1 RU Platforme
Branch Office/Internet Edge
200Mbps - 2 Gbps: Firewall
100 – 725 Mbs: Next Gen IPS
30-160 Mbps: NGIPS, AVC, AMP
2 RU Platforme
Internet Edge/Campus
2 – 20 Gbps:
1.2 – 6 Gbps: Ne
650Mbps – 2.4 Gbps:N
ASA 5512-X ASA 5515-X
ASA 5525-X ASA 5545-X
ASA 5555-X
ASA 5585-SSP10
ASA 5585x-SSP20
ASA 5
Sourcefire HA Arhitektura i komunikacija
-
8/17/2019 As a Firepower Mi Bo 28012015
59/68
Cisco FireSigth 3500 Cisco FireSight 3500
Cisco Firepower 8250
ASA / Sourcefire Svcs ASA / Sourcefire Svcs
FIRESIGHT Visoka dostupnost
ASA klaster
Senzori u Stack konfiguraciji
Management Mre ža
Cisco Firepower 8250
Monitorirane mreže
Internet / Drugiresursi
HA Interface
Monitoring sobraćaj
Stacking kabl
Managementsaobraćaj
-
8/17/2019 As a Firepower Mi Bo 28012015
60/68
• Moguća na svim ASA platformama
• Dijeljene podataka u trenutnom stanju za potrebe visokedostupnosti
• L2 Transparent ili L3 Routed opcije podržane
• Failover Link
• ASA omogućava validan normaliziran tok saobraćajaprema FirePOWER modulu
• Dijeljene podataka u trenutnom stanju za potrebe visokedostupnosti nije podžana na FirePOWER Servisnim Modulima
Visoka dostupnost koristeći ASA mehanizme za HA
-
8/17/2019 As a Firepower Mi Bo 28012015
61/68
• ASAmože biti konfigurisana u multikontekst modu gdjesaobraćaj prolazi kroz odvojene „virtualne“ firewalle prekoodvojenih interfejsa
• Ovi interfejsi se prijavljuju FirePOWERu i mogu biti dodjeljenirazličitim sigurnosnim zonama koje se koriste u različitimsigurnosnim politikama.
• U ovom jednostavnom primjeru može se napravitisigurnosna politika za saobraćaj koji ide iz Context A vanjskoginterfejsa prema Context A unutrašnjem interfejsu i različitapolitika za saobraćaj u Contextu B
• NAPOMENA:NE POSTOJI MENADŽMENT SEGMENTACIJAUNUTAR FIREPOWER KAO KOD ASA CONTEXTIMPLEMENTACIJE
Context A
Outsid
Insi
-
8/17/2019 As a Firepower Mi Bo 28012015
62/68
AdminContext
-
8/17/2019 As a Firepower Mi Bo 28012015
63/68
• do 8 ASA5585-X IPS
• L2 Transparent ili L3 Routed implementacija
• Podrška za vPC, VSS i LACP
• Cluster Control Protocol/Link
• Dijeljene podataka u trenutnom stanju za potrebe visokedostupnosti
• Svaka ASA ima primarnog i sekundarnog vlasnika sesije
• ASA omogućava simetriju saobraćaja za FirePOWER modul
DC IPS sa ASA5585-X klasterom
FirePOWER Services Monitor-Only Mod
-
8/17/2019 As a Firepower Mi Bo 28012015
64/68
Monitor Mode omogućava FirePower Servisu daanalizira saobraćaj bez potrebe postavke na „putpodataka“. ASA se konektuje na SPAN port naswitchu ili routeru i kopije svih ulaznih i izlaznihpaketa koje prolaze se šalju na Firepower Servisena ASI. Kopirani saobraćaj zaobilazi ASA modul iodlazi na Firepower Servise koji primjenjujupolitike kako bi definisali koji bi saobraćaj trebaobiti blokiran. Nakon analize saobraćaja, paketi seodbacuju.
Monitor MODE se može koristiti kao IDS ili kaopolazna tačka pri implementaciji IPS.
SPAN
FP ASA odbrana protiv prijetnji u životnom ciklusu
-
8/17/2019 As a Firepower Mi Bo 28012015
65/68
Firewall/VPN NGIPS
Sigurnosna Inteligencija
Web Sigurnost
Napredna MalwareProtekcija
Kontinuirani ciklus napada
Vidljivost i Automatizacija
Granularna kontrola aplikacija
Moderna kontrola prijetnji
Retrospektivna Sigurnost
Odgovor na incidente
PRIJEDetektuj napad
BlokirajOdbrana
U TOKU POSLIJEKontrolirajPrimjeniOsiguraj
Detektuj opsegnapada
AnalizirajSaniraj
S db i g
Cisco sistem za odbranu od prijetnji PRIJE
-
8/17/2019 As a Firepower Mi Bo 28012015
66/68
Kolektivna SigurnosnaInteligencija (CSI)
Kontekst, Mre ža i End-Point vidljivost
KlasičniStateful FirewallGen1 IPS
Vidljivost aplikacijaWeb —URL
AV and osnovna zaštita
NGIPS
UpravljanjeRanjivostima
*Klijent Anti-Malware (AMP
Korelacija SIEMdogađaja
Sistem za kontorluincidenata
Network Anti-Malware Control
(AMP)
Indikacije o upaduna osnovuponašanja
Identitet Korisnika
NGFW
Open APP-ID SNORT Open IPSHost Putanja Retrospektivna analiza
NG Sandbox za pametni Malware Auto-Saniranje / D inamičke Po
Adaptive Security
Sandboxing
Retrospektivna detekcijaMalware File Putanja
Praćenje prijetnji
Forenzika i Log Management
Dinamičke kontrole upaURL and IP Reputacija
1
2
Pitanja ?
-
8/17/2019 As a Firepower Mi Bo 28012015
67/68
-
8/17/2019 As a Firepower Mi Bo 28012015
68/68
Thank YOU!