140
1 1 © 2010 Cisco Systems, Inc. All rights reserved. Cisco Public Cisco_SAFE Архитектура Cisco SAFE Назим Латыпаев, [email protected]

Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

  • Upload
    others

  • View
    26

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

1

1

© 2010 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Архитектура Cisco SAFE

Назим Латыпаев,

[email protected]

Page 2: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

2© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

План презентации

1. Введение

2. Обзор Cisco SAFE

3. Основы сетевой защиты

4. Интеллектуальные средства совместного обнаружения и отражения угроз

5. Развертывание систем предотвращения вторжений (Intrusion Prevention Systems – IPS)

6. Управление

7. Архитектура сети комплекса зданий

8. Архитектура периметра Интернет корпоративной сети

9. Выводы

Page 3: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

3© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Хакеры, спамеры, вырусы

Защита интернет-периметра следующего поколенияРеалии бизнеса XXI века

Требуются точные и эффективные средства борьбы с угрозами

Всем пользователям требуется безопасная среда работы

Сотрудники, заказчики и партнеры работают в опасном мире

Необходимо обеспечить контроль, управление и оперативное отражение угроз

Page 4: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

4© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Постоянно изменяющаяся ситуация в сфере информационной безопасности

1. Основные черты 2008 годаПовышение сложности и эффективности действий

злоумышленниковЧеловеческий фактор – атаки инсайдеров, социальный

инжиниринг, утечка данных в результате беззаботностиТехнологии для совместной работы – мобильные устройства,

виртуализация, «облачные» вычисления, web 2.0

2. Ожидания в 2009 годуБолее частые и нацеленные

атаки меньшего масштабаАтаки с одновременным использованием

нюансов реализации нескольких протоколовКража репутацииМобильность, технологии для удаленной работы и

новые средства в качестве факторов риска

Источник: годовой отчет Cisco по информационной безопасности, 2008 г.

Page 5: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

5© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Cisco SAFE Архитектура защищенной сети

1. Целостный, проактивный, многоуровневый подход к противодействию существующим и новым угрозам безопасности

2. Выделены рекомендации по проектированию и рекомендации по созданию защищенных корпоративных сетей

3. На основе типового дизайна, рекомендуемого Cisco

4. Использует и интегрирует услуги Cisco в сфере ИБ для поддержки жизненного цикла архитектуры

5. Надежная основа для решений следующего поколения

SAFE

Решенияв сфере

ИБ

Сервисы

Справоч-ник

Рук-ва попроекти-рованию

сетей

http://www.cisco.com/go/safe

Page 6: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

6© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Cisco SAFEСтруктурная схема для корпоративных сетей

1. Представлена в ноябре 2000 года

2. Многоуровневая защита

3. Модульная архитектура

4. Рекомендуемый дизайн

5. Независимость от поставщика/продуктов

6. Позволяет повысить уровень защищенности

Page 7: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

7© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Cisco SAFE 2009Особенности новой архитектуры

1. Рекомендации по проектированию и рекомендации по использованию решений Cisco и их функций

2. Создана на основе модульных типовых дизайнов, рекомендуемых Cisco

3. Особое внимание уделено сетевым интеллектуальным механизмам и их совместной работе в рамках различных платформ

4. Инфраструктура маршрутизации и коммутации используется в качестве средства безопасности

5. Услуги Cisco в сфере ИБ используются для поддержки жизненного цикла архитектуры

Page 8: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

8© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

План презентации

1. Введение

2. Обзор Cisco SAFE

3. Основы сетевой защиты

4. Интеллектуальные средства совместного обнаружения и отражения угроз

5. Развертывание систем предотвращения вторжений (Intrusion Prevention Systems – IPS)

6. Управление

7. Архитектура сети комплекса зданий

8. Архитектура периметра Интернет корпоративной сети

9. Выводы

Page 9: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

9© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Среда управления ИБ, созданная Cisco Интеграция сервисов

1. Введение единой терминологии и таксономии

2. Обеспечение согласованности решений и сервисов

3. Особое внимание вопросам эксплуатации сетей, созданных в соответствии с архитектурой

4. Помогает идентифицировать векторы угроз и выбрать технические средства защиты

Цели безопасности

Контроль

Управле-

ние

Действия

Описание действий,

обеспечивающих контроль и

управление

Идентификация

Мониторинг

Корреляция

Защита

Изоляция

Выполнение

Обнаружение, мониторинг, сбор, обнаружение и классификация пользователей, трафика, приложений и протоколов

Защита, повышение надежности, ограничение доступа и изоляция устройств, пользователей, трафика, приложений и протоколов

Page 10: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

10© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Услуги Cisco в сфере ИБ в течение жизненного цикла

Стратегия и

оценка

Развертывание

и миграция

Удаленное

управление

Интеллек-

туальные

механизмы

Оптимизация

в сфере ИБ

Планиро-вание

Проекти-рование

Внедре-ние

Эксплуа-тация

Оптими-зация

Page 11: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

11© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Аксиомы SAFE

1. Сетевые устройства – это цели

2. Сервисы – это цели

3. Оконечные устройства – это цели

4. Сети – это цели

5. Приложения – это цели

Page 12: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

12© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Принципы, на которых основана архитектура

1. Многоуровневая защита

2. Модульность и гибкость

3. Доступность и отказоустойчивость сервисов

4. Соответствие нормативным требованиям

5. Реализация с возможностью аудита

6. Стремление к эффективной эксплуатации

7. Интеллектуальные механизмы безопасности и их совместная работа

Page 13: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

13© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Page 14: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

14© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Фрагмент дизайна – Интернет-периметрУровень БлокАгрегация

функций

Отказоустойчивость и резервирование

Разделениефункций

Лучшие в отрасли

Модуль

Page 15: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

15© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

План презентации

1. Введение

2. Обзор Cisco SAFE

3. Основы сетевой защиты

4. Интеллектуальные средства совместного обнаружения и отражения угроз

5. Развертывание систем предотвращения вторжений (Intrusion Prevention Systems – IPS)

6. Управление

7. Архитектура сети комплекса зданий

8. Архитектура периметра Интернет корпоративной сети

9. Выводы

Page 16: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

16© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Основы сетевой защиты (NFP)

1. Сетевая инфраструктура представляет собой основу сети и ДОЛЖНА быть защищена соответствующим образом

Если устройства уязвимы, сеть и сервисы также уязвимы, и дополнительные уровни безопасности не важны

2. Рекомендации по защите сетевых устройстви сервисов

Защищенный доступ

Защищенная маршрутизация

Отказоустойчивость и работоспособность

Сетевая телеметрия

Обеспечение выполнения сетевых политик

Безопасность коммутации

Page 17: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

17© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Инфраструктура под угрозойДействия для защиты сети…

Уязвимости программной реализации SIP и UDP

Уведомления об уязвимостях IOS

Инфр. ACL, IP Source Guard

Unicast Reverse Path Forwarding (uRPF)

Способы решения

Уязвимость отказа в обслуживании SSH Средства контроля доступа SSH

Политики уровня управления, инфр. ACL

Отказ в обслуживании DLSw Политики уровня управления

Списки ACL

Уязвимости при обработке SSL-пакетов Политики уровня управления

Списки ACL

Проблема доставки UDP для маршрутизаторов

с поддержкой стека IPv4/IPv6

Списки ACL

ACL приема, инфр. ACL, uRPF

Несколько уязвимостей FTP-сервера, входящего в состав IOS

Политики уровня управления

Инфр. ACL, ACL приема (rACL)

Page 18: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

18© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Защищенная инфраструктура маршрутизацииАнализ угроз

Атаки могут быть направлены на маршрутизатор, на

сеансы его взаимодействия с соседями, а также на

маршрутную информацию.

Page 19: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

19© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Защищенная инфраструктура маршрутизацииСредства и рекомендации

1. Ограниченный обмен маршрутной информацией:Аутентификация соседей

Определение соседей

По умолчанию интерфейс пассивен

Проверка безопасности TTL BGP

Списки iACL

Списки rACL

Политики уровня управления

Защита уровня управления

2. Фильтрация маршрутовКарты Route Map

Список префиксов

Списки распространения

Фильтрация по префиксу соседа

Фильтрация по максимальному префиксу

Поддержка маршрутизации EIGRP для оконечного маршрутизатора

Фильтрация трансляции маршрутной информации

3. Журналирование

От каких угроз можно так защититься?

Как именно? Как работают средства защиты?

Page 20: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

20© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Защищенная инфраструктура маршрутизацииФильтрация маршрутной информации на периметре WAN

Фильтрация префикса соседей на периметре WAN

Фильтры на оконечных маршрутизаторах филиалов

Журналирование соседей

! Incoming route filter applied at the WAN edge and that only allows the

branch subnet.

router eigrp <process>

network <network>

distribute-list 39 in <interface-type/number>

!

access-list 39 permit <remote-subnet> <inverse-mask>

router eigrp <process>

network <network>

eigrp stub connected

!Logging neighbor changes in EIGRP

router eigrp <process>

eigrp log-neighbor-changes

Page 21: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

21© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

План презентации

1. Введение

2. Обзор Cisco SAFE

3. Основы сетевой защиты

4. Интеллектуальные средства совместного обнаружения и отражения угроз

5. Развертывание систем предотвращения вторжений (Intrusion Prevention Systems – IPS)

6. Управление

7. Архитектура сети комплекса зданий

8. Архитектура периметра Интернет корпоративной сети

9. Выводы

Page 22: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

22© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Мониторинг, анализ, корреляция

Информация из журналов и сведения о событиях, генерируемые маршрутизаторами, коммутаторами, межсетевыми экранами, системами предотвращения вторжений и средствами защиты хостов собираются и анализируются решением CS-MARS.

ИнтернетSiSi SiSi

Комплекс

зданий

Ядро Периметр

Интернет

CS-MARS CS-ACSCSA-

MC

SD

EE

SyslogSNMP

Page 23: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

23© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Соображения при развертыванииCS-MARS

1. Глобальная или локальная установка

2. Выбор платформы CS-MARS

3. Синхронизация времени

4. Протоколы доступа и предоставления отчетов

5. Выбор устройств мониторинга и противодействия атакам

Page 24: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

24© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Вариант установки CS-MARS

1. Одно автономное устройство

2. Несколько автономных устройств

3. Иерархия устройств

Штаб-квартира

в СШАФилиал

Филиал

Глобальный

контроллер

Локальный

контроллер

Европа

Локальный

контроллер

Page 25: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

25© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Выбор платформы CS-MARS

1. Количество объектов, поддерживаемых CS-MARS

Сколько всего объектов?

Какова пропускная способность каналов между объектами?

Сколько контролируемых устройств на удаленных объектах?

Какие устройства контролируются?

2. Ожидаемые показатели событий/с (EPS)

Ожидаемое значение EPS и EPS NetFlow (макс. показатели)

3. Требования к высокой доступности

4. Требуемая емкость сетевой системы хранения

Page 26: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

26© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Синхронизация времени

1. Используйте NTP для синхронизации даты и времени на всех устройствах в сети.

2. Без синхронизации времени решение CS-MARS может оказаться неспособно правильно выполнить анализ телеметрических данных.

3. При развертывании одного централизованного устройства CS-MARS рекомендуется настроить все устройства, предоставляющие отчетные данные и обеспечивающие защиту сети, на работу в одном часовом поясе.

4. При использовании иерархической структуры каждый локальный контроллер может находиться в своем часовом поясе. Глобальный контроллер может учитывать разницу времени в разных часовых поясах.

Page 27: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

27© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Устройства под управлением Cisco IOS. Доступ и формирование отчетов

1. Доступ к устройству

SSH, SNMP и Telnet (не рекомендуется).

2. Отчеты устройства

SNMP RO: ЦПУ, использование памяти (SNMPv1).

Syslog: сетевые операции, например, принятые и отклоненные запросы на установление соединения.

NetFlow: CS-MARS может использовать данные NetFlow версий 1, 5, 7 и 9 для профилирования использования сети, обнаружения статистически значимых аномалий и корреляции аномалий с событиями, зарегистрированными другими системами.

SDEE: CS-MARS использует SDEE для сбора информации о событиях безопасности, журналах, и настройках устройств IOS, на которых функционирует Cisco IOS IPS.

Page 28: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

28© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

CS-MARS и Cisco IOS NetFlow

1. Данные IOS NetFlow используются для:

Формирования отчетов «N» (рейтинговых отчетов)

Обнаружения аномальной частоты попыток установления соединения (соединений в секунду)

2. После настройки NetFlow решение CS-MARS вычисляет профиль трафика на основании данных о количестве соединений в секунду. При вычислении определяется среднее значение и стандартное отклонение.

3. Потоки определяются по IP-адресу отправителя или получателя и по порту получателя

IP-адрес отправителя и порт получателя > черви

IP-адрес и порт получателя > DDoS

4. При обнаружении аномалии записи NetFlow автоматически сохраняются

Page 29: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

29© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

CS-MARS и Cisco IOS NetFlowРекомендации

1. Включите сбор и экспорт данных NetFlow на устройствах, выполняющим агрегацию трафика, такие как коммутаторы уровня распределения комплекса зданий, маршрутизаторы уровня ядра ЦОД, маршрутизаторы на периметре сети.

2. Убедитесь, что в команде ip flow-export source <интерфейс> указан интерфейс с IP-адресом, с которого отправляются отчеты.

3. Используйте обобщенные выборки NetFlow. Статистические выборки трафика существенно снижают нагрузку на ресурсы маршрутизатора.

ip flow-export version 5

ip flow-export source GigabitEthernet1/3

ip flow-export destination x.x.x.x 2055

flow-sampler-map csmars-sample

mode random one-out-of 100

interface gig4/1

flow-sampler csmars-sample

ip flow ingress

Page 30: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

30© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Проверка работы Cisco IOS NetFlow

1. В процессе обнаружения факт приема записей NetFlow можно подтвердить с помощью tcpdump.

3.

4. Данные NetFlow недоступны для запросов до тех пор, пока они не будут сохранены в базе данных (вручную или в результате обнаружения аномалии)

[pnadmin]$ tcpdump port 2055

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

07:42:08.836748 IP sfx13asa5580-1.cisco.com.260 > pnmars.2055: UDP, length 332

07:42:08.887558 IP sfx13asa5580-1.cisco.com.260 > pnmars.2055: UDP, length 176

07:42:21.946359 IP dca-core1.cisco.com.65532 > pnmars.2055: UDP, length 72

07:42:22.825689 IP sfx13asa5580-1.cisco.com.260 > pnmars.2055: UDP, length 176

Page 31: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

31© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Cisco IPS. Средства доступа и формирования отчетов

1. Доступ и передача отчетов

Протокол Security Device Event Exchange (SDEE)

2. Данные о событиях Cisco IPS

Уведомления о событиях: в уведомлениях содержится ИД сигнатуры, версия, описание, уровень серьезности, а также сведения о портах и IP-адресах отправителей и получателей пакетов, вызвавших появление события.

Данные основного пакета*: Сведения о данных первого пакета, вызвавшего срабатывание сигнатуры. Доступны для сигнатур, настроенных с действием produce-verbose-alert.

Журнал IP (данные пакетов)*: журнал IP-пакетов (по умолчанию 30 секунд сеанса). Доступно для сигнатур, настроенных с действиями produce-verbose-alert и log-pair-packets.

* Функции «Журнал IP» и «Данные основного пакета» создают существенную нагрузку на систему.

Page 32: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

32© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

CS-MARS и Cisco IPSРекомендации

1. Ограничить административный доступ к сенсорам только для указанных IP-адресов. Добавить CS-MARS в список доверенных хостов.

2. Определить локальную учетную запись администратора, которая будет использоваться только для доступа CS-MARS (достаточно доступа для просмотра).

3. Определить все контролируемые сети в конфигурации CS-MARS.

4. Включить динамическое обновление сигнатур IPS. CS-MARS динамически загружает последние определения сигнатур. Это необходимо, чтобы обеспечить адекватную интерпретацию и обработку событий.

Page 33: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

33© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Проверка взаимодействия CS-MARS и Cisco IPS

1. Первый шаг – подтверждение возможности взаимодействия CS-MARS и сенсора. Для этого запустите тест подключения из графического интерфейса CS-MARS.

2. Второй шаг – вызвать срабатывание сигнатуры на сенсоре Cisco IPS.http://x.x.x.x/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\

Page 34: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

34© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Cisco ASA. Средства доступа и формирования отчетов

1. Доступ к устройству

SSH или Telnet (не рекомендуется)

2. Передача отчетов

SNMP для чтения: мониторинг использования ресурсов (SNMPv1).

Syslog/сообщения SNMP trap: сведения об установлении, разрыве и отклонении соединений, а также о трансляции NAT.

Журналирование событий безопасности NetFlow (NSEL): поддерживается на ASA5580 с ПО версии 8.1.x, обеспечивает более эффективное получение той же информации, что и syslog, позволяя снизить нагрузку на ЦПУ Cisco ASA и ЦПУ CS-MARS.

Page 35: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

35© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

CS-MARS и Cisco ASAРекомендации

1. Используйте SSH (а не Telnet) для доступа к устройству.

2. Определите административную учетную запись AAA и локальную учетную запись, которые будут использоваться только для доступа CS-MARS.

3. Настройте доступ по SNMP только для чтения для мониторинга системных ресурсов.

4. Включите поддержку syslog. Как правило, достаточно уровня «Informational» (информационный). Если необходимо, используйте ограничение скорости передачи.

Page 36: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

36© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Cisco ASA 8.2

1. Включите NSEL для получения информации о соединениях (создание, разрыв, отклонение) и трансляции NAT. Используйте статистические выборки NetFlow для снижения нагрузки на ASA и CS-MARS.

2. Настройте команду logging flow-export-syslogs disable,чтобы предотвратить передачу повторяющихся сообщений на устройство CS-MARS.

flow-export destination management x.x.x.x 2055

flow-export template timeout-rate 1

logging flow-export-syslogs disable

logging trap informational

! Enable secure logging

logging host management x.x.x.x TCP/1500 secure

logging enable

no logging console

logging buffered debugging

snmp-server host management x.x.x.x poll community <strong-community>

snmp-server community <strong-community>

Page 37: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

37© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Проверка взаимодействия CS-MARS и Cisco ASA

1. Первый шаг – подтверждение возможности взаимодействия CS-MARS и Cisco ASA. Для этого запустите обнаружение устройств из графического интерфейса CS-MARS.

2. Чтобы убедиться, что CS-MARS получает информацию о событиях от Cisco ASA, создайте пакеты или попытайтесь установить соединение, которое будет заблокировано межсетевым экраном. При этом должно появиться событие ―Denied TCP/UDP request to Firewall‖, подобное следующему:

Page 38: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

38© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Критерии выбора устройств

1. Не надо включать все повсюду.

2. Возможность выборочного включения протоколов доступа и мониторинга, когда это требуется.

3. Думайте об информации, которую можно получить от устройства, и о способе ее обработки.

Область

сети

Устройство и

функция

Методы

Комплекс зданий

ASA SSH, NetFlow, syslog (без дублирования, уровень

«informational»), SMNP RO

IPS SDEE

Коммутаторы уровня

распределения

SSH, выборки NetFlow, syslog (уровень «critical»), SMNP RO

Коммутаторы уровня

доступа

SSH, syslog (уровень «informational»), SMNP RO

Интернет-периметр

ASA SSH, NetFlow, syslog (без дублирования, уровень

«informational»), SMNP RO

IPS SDEE

Пограничные

маршрутизаторы

SSH, выборки NetFlow, syslog (уровень «informational»), SMNP

RO

Внутренние

маршрутизаторы

SSH, syslog (уровень «critical»), SMNP RO

Page 39: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

39© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Пример: разведка

Интернет

198.133.219.0/24

Web-

сервер 10.244.20.0/24

64.104.10.138

Page 40: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

40© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Пример: шторм TCP-запросов на общедоступный сервис

Интернет

Получатель TCP/80

IE-7200-3

Web-

сервер

198.133.219.128

Page 41: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

41© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Пример: атака на web-сервер

Интернет

64.104.10.138NAT 10.244.10.110 <>198.133.219.59Web –сервер

10.244.10.110

Page 42: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

42© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Управление и противодействие угрозам

1. Защита оконечных устройств (CSA)

2. Сетевые МСЭ (ASA, FWSM, IOS)

3. Сетевые IPS (устройства и модули, IOS)

4. Контроль доступа к сети (NAC appliance и 802.1x)

5. CS-MARS

6. Защита Web-трафика/электронной почты (IronPort)

7. Маршрутизаторы и коммутаторы(SRTBH, EEM, PISA DPI, …)

Page 43: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

43© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

CSA+IPS = расширенный контроль оконечных устройств

1. Возможность использования сведения об оконечном устройства, полученных Cisco Security Agent, для воздействия на работу IPS

2. Уменьшение количества ложных срабатываний

3. Расширенные средства отражения атак

4. Динамическое помещение хостов в карантин

Cisco IPS

Центр

управления

Cisco Security

Agent MC

Cisco

Security

Agent

Оценка состояния

хоста и события

карантина (SDEE)

Оценка

состояния

хоста Подписка

SDEE

Информация

о событиях

Page 44: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

44© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Рекомендации по использованию CSA+IPS

1. Определите для Cisco Security Agent MC учетную запись с административными полномочиями, которая будет использоваться сенсорами IPS для подписки SDEE (только просмотр и мониторинг).

2. Включите сбор исторических данных о хосте в Cisco Security Agent

3. Добавьте Cisco Security Agent MC в список доверенных хостов на каждом сенсоре IPS.

4. Настройте интерфейс внешнего продукта на каждом сенсоре Cisco IPS.

5. В целях резервирования на каждом сенсоре можно настроить два центра управления Cisco Security Agent MC.

Page 45: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

45© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Интерфейс внешнего продукта на сенсоре Cisco IPS

CSA-MC

Учетная запись

админист-ратора

Вкл/выкл интерфейс внешнего продукта

Настройка приема списков событий Watch-list

Фильтрация данных о состоянии

хостовSession=TCP

Packet=UDP, ICMP, и т. п.

Page 46: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

46© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Использование информации об оконечном устройстве

1. Информация о типе ОС, предоставляемая CSA, позволяет расширить возможности IPS при анализе атак на оконечное устройство и снизить количество ложных срабатываний

2. Информация о типе ОС позволяет Cisco IPS принять решение об уязвимости цели для данной атаки

3. Значение рейтинга риска инцидента динамически изменяется в соответствии с вероятностью инцидента

Рейтинг риска (RR) — это значение в интервале от 0 до 100, которое позволяет пользователю оценить риск, связанный с инцидентом.

Рейтинг риска вычисляется в соответствии с формулой, в которой учитывается рейтинг релевантности. Значение рейтинга релевантности определяется на основании информации о типе ОС.

Page 47: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

47© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Информация об оконечном устройстве

Высокий RR >= 90Средний 90>RR>=70Низкий RR<70

Deny attacker inlineDeny connection inlineDeny packet inlineRequest Block HostRequest Block ConnectionRequest Rate LimitLog…

Переопределение действия для события

Page 48: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

48© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

План презентации

1. Введение

2. Обзор Cisco SAFE

3. Основы сетевой защиты

4. Интеллектуальные средства совместного обнаружения и отражения угроз

5. Развертывание систем предотвращения вторжений (Intrusion Prevention Systems – IPS)

6. Управление

7. Архитектура сети комплекса зданий

8. Архитектура периметра Интернет корпоративной сети

9. Выводы

Page 49: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

49© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Системы предотвращения вторженийСоображения по развертыванию

1. IDS или IPS

2. Масштабируемость и доступность

Балансировка нагрузки на IPS, резервирование

3. Максимальный уровень обнаружения угроз

Обеспечить симметричность трафика для контроля

Page 50: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

50© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

IPS или IDS

Сенсоры в пути передачи трафика

Требуется проектирование и настройка для снижения воздействия на задержки, конвергентность и доступность

Требуются дополнительные VLAN и изменения в инфраструктуре комплекса зданий

Автоматическое обнаружение и предотвращение вторжений (оперативно)

Сенсоры не в пути передачи

Анализируется копия трафика –сбор TAP, SPAN, RSPAN, VACL (пассивный мониторинг)

При обнаружении аномалии сообщение передается в систему управления, которая принимает решение о контрмерах

Обнаружение вторжений и устранение вручную (менее оперативно)

SiSi SiSi

Режим IPS Режим IDS

Режим IPS

(транзит)

Режим IDS

(Promiscuous)

ДоступРаспределение

Ядро

Page 51: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

51© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Масштабируемость и доступностьСоображения по развертыванию

1. Устройства или сервисные модули

2. Балансировка нагрузки/объединение IPS

Балансировка нагрузки EtherChannel (ECLB)

Application Control Engine (ACE)

SiSi

SiSiЯдро

Распределение

Доступ

Объединение ECLB

или

Балансировка нагрузки

на ACE

SiSi

Page 52: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

52© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Максимальный охват системой контроляСоображения по развертыванию

1. Обеспечение симметрии трафика на сенсорах

Копирование трафика с помощью IPS – SPAN, сбор VACL, порты дублирования

Управление маршрутизацией –метрики затрат, маршрутизация на основе политики

Интеграция на коммутаторе IPS –консолидация трафика на одном коммутаторе

Интеллектуальная балансировка нагрузки– модуль Cisco ACE или ECLB

SiSiSiSi

Page 53: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

53© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Ядро

Интернет

IPS на периметре сети

1. МСЭ в отказоустойчивой конфигурации «активный/резервный» с контролем состояния сеансов

2. Выбор IPS в соответствии с STP

3. Требуется настройка STP

4. Пропускная способность соответствует одной IPS и одному МСЭSiSi

Распределение

Корп. сеть

Доступ/ДМЗ

Оператор

связи

SiSi

SiSi

SiSiSiSi

SiSi

Page 54: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

54© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

IPS на периметре WAN

1. Управление маршрутизацией обеспечивает симметрию трафика на коммутаторах

2. ECLB для интеллектуальной балансировки нагрузки на устройства IPS

ASR-1 ASR-2

Фил. 1 Фил. 2

Cost100

Cost1

Ядро

WAN

Распределение

Периметр

частной

WAN

ЧастнаяWANSP1

Частная WANSP2

DMVPN DMVPN

SiSi SiSi

Cost100

Cost1

VRF на коммутаторах

направляет трафика

L3 в VLAN IPS

Пары VLAN на IPS

возвращают трафик

на коммутатор

ECLB

Page 55: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

55© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

План презентации

1. Введение

2. Обзор Cisco SAFE

3. Основы сетевой защиты

4. Интеллектуальные средства совместного обнаружения и отражения угроз

5. Развертывание систем предотвращения вторжений (Intrusion Prevention Systems – IPS)

6. Управление

7. Архитектура сети комплекса зданий

8. Архитектура периметра Интернет корпоративной сети

9. Выводы

Page 56: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

56© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Сеть управления

Доступ к устройствам и их настройка

Сбор событий для мониторинга, анализа и корреляции

Аутентификация, авторизация и учет для устройств и пользователей

Синхронизация времени

Настройка и хранение образов

Средства контроля доступа к сети

Обеспечивает защищенное управление всеми

устройствами и хостами корпоративной сети и

предоставляет серверы, сервисы и способы

подключения для решения следующих задач.

Page 57: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

57© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Модуль управленияВыделенная сеть (OOB) и общие каналы связи (IB)

1. Выделенная сеть

Отдельное адресное пространство

Отдельная физическая сеть (или выделенная с помощью VRF и VLAN отдельная логическая сеть)

Выделенные физические интерфейсы (или VLAN)

2. Общие каналы связи

МСЭ между подсетью управления и подсетью управляемых устройств

Использование SSH и HTTPS вместо Telnet и HTTP

Используется для устройств на удаленных объектах или устройств, у которых нет выделенного интерфейса управления

Page 58: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

58© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Модуль управленияВыделенная сеть (OOB) и общие каналы связи (IB)

CS-

MARSCSM Хост

админ.

CS-ACSВыделенная

сетьNAC

Mgr

ЯдроРаспреде-

ление WAN

Периметр

WAN

WAN

Сервер

NTP

SiSi

Устройств

а

комплекса

зданий

Устройства

ЦОД

Сервер

консольного

доступа

Сервер

консольного

доступа

Филиал

Управление

по общим

каналам

МСЭ

Консольные

подключения

Консольные

подключения

VPN

администрирования

SiSi

SiSi

SiSi

SiSi

SiSi

Page 59: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

59© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Модуль управленияСоображения по развертыванию

1. Обеспечьте защищенный удаленный доступ к сети управления (VPN)

2. Синхронизируйте время (NTP)

3. Используйте сетевые и хостовые IPS для защиты серверов в подсети управления

4. Обеспечьте контроль доступа к сети управления (МСЭ, списки ACL)

5. Не допускайте попадания трафика данных с управляемых устройств в сеть управления (списки ACL)

Page 60: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

60© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

МСЭ — фильтрация пакетов с контролем состояния сеанса

Подсеть

управления

Подсети

управляемых

устройств

Все

управля-

емые

устройства

SSH, HTTPS, ping, traceroute, SFTP

Echo-Reply, SFTP, ICMP-unreachable, ttl-exceeded

RADIUSУдаленный

доступ для

администри-

рования

CSM

Сервер

контроля

доступа

Межсетевой экран

HTTPS, SSH

TACACS+

NAC Server

NAC Profiler

Firewall

Системное

администри-

рование

CS - MARS

NAC

Manager

ESP, ISAKMP

SSH, HTTPS, TCP(1099, 8995, 8996)

SNMPTRAP, NetFlow (UDP 2055) Secure syslog

SNMP RO, SDEE (SSL), SSH

HTTPS(443)

Page 61: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

61© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Списки ACL для сети управленияРеализуйте контроль доступа и заблокируйте транзит трафика

1. Реализуйте списки ACL для входящего и исходящеготрафика

Разрешите доступ в сеть управления с IP-адреса, назначенного интерфейсу управления

Разрешите доступ из сети управления на этот адрес интерфейса управления

Разрешите только те протоколы, которые могут использоваться для управления этими устройствами (SSH, NTP, FTP, SNMP, TACACS+, …)

Пример ACL для входящего трафикаaccess-list 130 permit tcp host 10.5.3.50 eq tacacs host 10.2.1.10 established

access-list 130 permit tcp host 10.5.3.50 host 10.2.1.10 eq tacacs

access-list 130 permit udp host 10.5.3.250 host 10.2.1.10 eq ntp

access-list 130 permit tcp host 10.5.3.0 0.0.0.255 host 10.2.1.10 eq 22

access-list 130 permit udp host 10.5.3.6 host 10.2.1.10 eq snmp

access-list 130 deny ip any any log

Пример ACL для исходящего трафикаaccess-list 140 permit ip host 10.2.1.10 10.5.3.0 0.0.0.255

Команды для интерфейса управленияip address 10.2.1.10 255.255.255.0

ip access-group 130 in

ip access-group 140 out

Page 62: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

62© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Визуальные среды администрированияИнтеллектуальное средство управления ASDM снижает нагрузку и совокупную стоимость владения

1. Визуальное управление

Интуитивно понятный удобный интерфейс

Настройка SSL VPN с помощью мастеров

Визуальный редактор политик для создания политик контроля доступа и оценки состояния, включая CSD

Подробная справка

2. Простота контроля доступа

Настройка полномочий пользователей и групп

Простота управления, безопасный доступ из любой точки сети в любой момент времени

Для администраторов

Page 63: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

63© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Визуальные среды администрирования ASDM — настраиваемые фреймы

Для администраторов

Page 64: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

64© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Визуальные среды администрирования ASDM — мастера настройки SSL и IPSec VPN

1. Отдельные мастера для настройки SSL и IPSec VPN

Для администраторов

Page 65: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

65© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Управление эксплуатациейи управление политикой

Функциональные возможности

1. Унификация политик и согласованное управления МСЭ, IPS и сервисами VPN

2. Встроенные функции, связывающие нарушения безопасности с правилами политик

3. Учет топологии для быстрой изоляции и отражения вторжений

Преимущества

1. Упрощение процесса защиты за счет централизованной настройки политик и мониторинга угроз в режиме реального времени

2. Повышение эффективности взаимодействия между специалистами по ИБ и сетевыми специалистами

3. Встроенные средства управления изменениями и анализа инцидентов упрощают проведение аудитов

Cisco® Security Manager

Cisco Security MARS

Page 66: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

66© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Cisco Security Mars

Интеграция CS-Manager и CS-MARS

Интеграция управления безопасностью и мониторинга

Быстроеобнаружениеи отражение атак

Учет топологии

Корреляцияданных

Cisco Security Manager

Упрощение управления политиками

Сквознаянастройка

Для всей сети или устройства

НастройкаУправление

МониторингАнализЗащита

Самозащищающаяся сеть

Page 67: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

67© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Взаимосвязи CSM и CS-MARS

1. Поддержка совместной работы CS-MARS и CSM

Взаимосвязи событий CS-MARS с политиками CSM (МСЭ и IPS)

Взаимосвязи политик CSM с событиями CS-MARS (МСЭ и IPS)

2. Возможность быстрого согласования политик CS-MARS и CS-Manager

3. Устранение неполадок и обнаружение инцидентов ИБ, связанных с политиками межсетевого экрана и IPS

4. Связывание событий CS-MARS с сигнатурами IPS или политиками МСЭ CSM, вызвавшими генерацию события

5. Запрос событий CS-MARS, с которыми связана сигнатура IPS или политики МСЭ CSM

Page 68: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

68© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Политика CSM для события CS-MARS Взаимосвязи IPS

1. Оперативный контроль эффективности работы IPS

2. Моментальная проверка эффективности обновленных политик

Page 69: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

69© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Событие CS-MARS для политики CSM Взаимосвязи IPS

1. Быстрая корректировка политик сигнатур для устранения проблем в сети—например, в случае ложных срабатываний, создающих информационный шум или приводящих к блокировке легитимного трафика.

Page 70: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

70© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

План презентации

1. Введение

2. Обзор Cisco SAFE

3. Основы сетевой защиты

4. Интеллектуальные средства совместного обнаружения и отражения угроз

5. Развертывание систем предотвращения вторжений (Intrusion Prevention Systems – IPS)

6. Управление

7. Архитектура сети комплекса зданий

8. Архитектура периметра Интернет корпоративной сети

9. Выводы

Page 71: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

71© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Основные угрозы для сети комплекса зданий

1. Нарушение доступности сервисов. Ботнеты, вредоносное ПО, вирусы, DoS-атаки (переполнение буфера и атаки на оконечные устройства), атаки уровня 2 и DDoS-атаки на сервисы и инфраструктуру.

2. Несанкционированный доступ. Вторжения, неавторизованные пользователи, повышение привилегий, подмена IP-адреса отправителя.

3. Раскрытие и модификация данных. Прослушивание сетевого трафика, атаки типа «посредник» (MITM).

4. Нарушение политик использования сети. Файлообменные сети, системы обмена мгновенными сообщениями, доступ к запрещенному контенту.

5. Утечка данных. С серверов и пользовательских компьютеров, перехват передаваемых данных.

6. Кража идентификационных данных и мошенничество. На серверах и пользовательских компьютерах, атаки типа «фишинг» и спам.

Page 72: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

72© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Схема сети комплекса зданийМногоуровневая архитектура

Доступ

Ядро

Распределение

SiSi SiSi

SiSiSiSi

Page 73: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

73© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

CSA

Управление

• CS-MARS

• NAC Profiler

• IPS

• Хостовая IPS (CSA)

• NetFlow, syslog

• SNMP

• AAA, ACS

• Мониторинг ресурсов

• Журналирование событий

маршрутизации

SiSi SiSi

SiSiSiSi

AAA Журналирование

событий маршрутизации,

мониторинг ресурсов

NetFlow

SNMP, syslog

УправлениеCS-MARS ACS

NAC Profiler

Схема сети комплекса зданий Управление

IPS

Page 74: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

74© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

CSA

SiSi SiSi

SiSiSiSi

IPS

NAC,

IBNS

AAA, SSH

Защита

маршрутизации

Управление

Контроль

• Хостовая IPS (CSA)

• CISF

• NAC, IBNS

• IPS (транзит, promiscuous)

• Инфраструктурные ACL

(iACL)

• CoPP, ограничение скорости

• AAA, SSH

• Защита STP

• Защита

маршрутизации

• Доступность,

отказоустойчивость

• VLAN BCP

• uRPF

CoPP

CISF,

VLAN BCP

Доступность,

отказоустойчивость

iACL, uRFP,

защита STP

Схема сети комплекса зданий Контроль

Page 75: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

75© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

00:0e:00:aa:aa:aa

00:0e:00:bb:bb:bb

00:0e:00:aa:aa:cc

00:0e:00:bb:bb:dd

etc132 000

произв.

MAC-

адресов

Коммутаторработает как концентратор

Сервер

эл.

почты

― Ващ пароль:

‗joecisco‘ !‖

DHCP-сервер

―Вот IP-

адрес!‖

X―DHCP

Request‖

DHCP DoS

Атакующий = 10.1.1.25 Жертва = 10.1.1.50

Шлюз = 10.1.1.1MAC=A SiSi

―Мой адрес 10.1.1.50 !‖

Атаки «шторм MAC» Атаки на DHCP

Атаки типа «посредник» Атаки подмены IP-адреса

Защита уровня доступаТиповые угрозы безопасности для уровня доступа

Page 76: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

76© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Средства защиты ограничивают количество MAC-адресов на порт, затем порт блокируется и посылает SNMP Trap

Действия = Protect, Restrict, Shut Down

00:0e:00:aa:aa:aa

00:0e:00:bb:bb:bb

132 000

произв.

MAC-адресов

Проблема:

Решение:

Хакеры могут заполнить таблицы коммутатора произвольными MAC-адресами.

VLAN превратится в ―общую шину‖

Размер таблицы коммутатора ограничен.

Разрешены

только 3 MAC-

адреса с порта:

отключить

порт

switchport port-security

switchport port-security maximum 3

switchport port-security violation shutdown

switchport port-security aging time 2

switchport port-security aging type inactivity

Защита на уровне портовЗащита от «шторма» MAC-адресов

Page 77: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

77© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Защита на уровне портов в среде IP-телефонии

1. Телефоны могут использовать2 или 3 адреса в зависимостиот оборудования и ПО коммутатора

Если коммутаторы выделяют трафик CDP,нужны 3 адреса, иначе 2

Некоторым устройствам (3550) всегда нужны3 адреса

Разрешены

только 2 или 3

MAC-адреса с

порта:

ограничить

По умолчанию порт отключается, для VoIP можно ограничить работу порта

В соответствии с политикой безопасности даже в среде VoIPможет потребоваться отключение порта

Ограничение на количество MAC-адресов позволяет защитить коммутатор, а не контролировать доступ

Для разрешения обмена по CDP в течение минуты можно задать время устаревания, равное 2, и включить устаревание

Page 78: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

78© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Защита на уровне портов и контроль DHCP Исчерпание DHCP-пула

Злоумышленник пытается исчерпать весь пул IP-адресов, доступный для выделения по DHCP

Для запроса нового адреса используется новый MAC-адрес

Ограничение количества MAC-адресов на порт позволяет ограничить количество выделяемых IP-адресов для этого порта

Клиент

Злоумышленник

DHCP-сервер

* Примечание. Эта функция по умолчанию включена на некоторых коммутаторах.

Ознакомьтесь с документацией

Что, если атакующий проводит атаку с тем же MAC-адресом интерфейса, но меняет MAC-адрес клиента в запросе?

При включении контроля DHCP коммутаторы анализируют поле CHADDR в DHCP-заголовке*

Если MAC-адрес отправителя не соответствует MAC-адресу в таблице контроля DHCP, запрос удаляется

Защита на уровне портов Контроль DHCP

Page 79: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

79© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

СТОП!

Клиент

DHCP-сервер

Ложныйсервер

Доверенный

Недовер.

Недовер.

Включен контроль DHCP

ЛОЖНЫЙ DHCP

Ответы:

offer, ack, nak

OK DHCP:

Ответы:

offer, ack, nak

DHCP

REQ

По умолчанию все порты в VLAN являются недоверенными

Контроль DHCP – недоверенный клиентКоманды для интерфейсаno ip dhcp snooping trust (Default)

ip dhcp snooping limit rate 15 (pps)

Глобальные командыip dhcp snooping vlan 100,110,120

no ip dhcp snooping information option

ip dhcp snooping

Доверенный сервер или каналдля контроля DHCP

Команды для интерфейсаip dhcp snooping trust

Защита DHCPЗащита от ложного DHCP-сервера

Page 80: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

80© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

СТОП!

Клиент

DHCP-сервер

Ложный сервер

Доверенный

Недовер.

Недовер.

Включен контроль DHCP

ЛОЖНЫЙ DHCP

Ответы:

offer, ack, nak

OK DHCP

Ответы:

offer, ack, nak

DHCP

REQ

Таблица создается путем контроля DHCP-ответов клиентам

Записи остаются в таблице до истечения срока аренды DHCP

Таблица контроля DHCP

sh ip dhcp snooping bindingMacAddress IpAddress Lease(sec) Type VLAN Interface

----------------- ------------ ---------- ------------- ---- -------------------

00:22:64:88:63:6E 10.240.100.2 62960 dhcp-snooping 100 GigabitEthernet2/21

Защита DHCPЗащита от ложного DHCP-сервера

Page 81: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

81© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

10.240.200.1MAC A

10.240.200.3MAC C

10.240.200.2MAC B

SiSiARP-ответ

10.240.200.3=MAC_B

ARP-ответ

10.240.200.1=MAC_B

Глобальные команды

ip dhcp snooping vlan 200,210,220

no ip dhcp snooping information option

ip dhcp snooping

ip arp inspection vlan 200,210,220

ip arp inspection log-buffer entries 1024

ip arp inspection log-buffer logs 1024 interval 10

Команды для интерфейсов

no ip arp inspection trust (default)

ip arp inspection limit rate 15 (pps)

Динамический контроль ARP Защита от ложного ARP-ответа

1. Защита от переполнения ARP-кэша (ettercap, dsnif, arpspoof)

2. Использует таблицу контроля DHCP

3. Контроль соответствия MAC и IP адресов информации DHCP

4. Ограничение частоты ARP-запросов от клиентских портов; предотвращение сканирования портов

5. Удаление поддельных ARP-пакетов; предотвращение переполнения ARP-кэша/атак MiTM

Page 82: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

82© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Шлюз10.240.200.1

00-22-90-E0-B5-FF

Жертва10.240.200.3

00-1A-4B-65-86-84

Атакующий10.240.200.2

00-1A-4B-65-C6-11

SiSi

ARP-ответ

10.240.200.3 = 00-1A-4B-65-C6-11

ARP-ответ

10.240.200.1 = 00-1A-4B-65-C6-11

Динамический контроль ARP Уведомление в CS-MARS

Page 83: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

83© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Шлюз10.240.200.1

Жертва10.240.200.3

Атакующий10.240.200.2

SiSiМой IP-адрес10.240.200.3 !

Глобальные командыip dhcp snooping vlan 200,210,220

no ip dhcp snooping information option

ip dhcp snooping

Команды для интерфейсаip verify source vlan dhcp-snooping

Технология IP Source GuardЗащита от подмены IP-адреса отправителя

1. Технология IP source guard защищает от подмены IP-адресов отправителя

2. Использует таблицу контроля DHCP

3. Контроль соответствия IP-адреса и порта

4. Динамическое программирование списков ACL для порта, чтобы удалить трафик, отправленный с IP-адреса, который отличается от IP-адреса, выделенного по DHCP

Page 84: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

84© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Резюме по защите инфраструктурыВстроенные средства безопасности Catalyst

1. Защита на уровне порта позволяет защититься от «шторма» MAC,доступа к порту и злонамеренного расширению сети

2. Контроль DHCP позволяет защититься от атак «ложный DHCP-сервер» и «переполнение DHCP-пула»

3. Динамический контроль ARP использует таблицу контроля DHCP для предотвращения атак с использованием ARP и атак MiTM

4. IP Source Guard использует таблицу контроля DHCP для предотвращения подмены IP-адреса отправителя

Защитана уровне

порта

00:0e:00:aa:aa:aa

00:0e:00:bb:bb:bb

00:0e:00:aa:aa:cc

00:0e:00:bb:bb:dd

etc132,000

Bogus

MACs

Switch acts like a hub

DHCP Server

―Use this IP

Address !‖

X―DHCP

Request‖

DHCP DoS

Email

Server

― Your email passwd is

‗joecisco‘ !‖

Атакующий= 10.1.1.25 Жертва = 10.1.1.50

Шлюз = 10.1.1.1MAC=A SiSi

―Мой IP-адрес10.1.1.50 !‖

Page 85: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

85© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Отражение угроз

Подмена IP-адресаотправ.

БотнетыDoS/

DDoS

Атаки

L2НСД

Шпион-ское ПО,

ВПО, реклама

Нару-шение

политик

Конт-роль

Управ-ление

CSA

Фильтр. на пер.

IPS

NAC

IBNS

CISF

AAA

uRPF

NetFlow

Page 86: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

86© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

План презентации

1. Введение

2. Обзор Cisco SAFE

3. Основы сетевой защиты

4. Интеллектуальные средства совместного обнаружения и отражения угроз

5. Развертывание систем предотвращения вторжений (Intrusion Prevention Systems – IPS)

6. Управление

7. Архитектура сети комплекса зданий

8. Архитектура периметра Интернет корпоративной сети

9. Выводы

Page 87: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

87© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Периметр Интернет сегодняПользователи, сотрудники и бизнес меняются

1. Рост количества удаленных сотрудников, подключающихся к корпоративной сети через интернет-периметр

2. Внедрение средств совместной работы, например, WebEx

3. Филиалы используют Интернет как альтернативу выделенной линии связи

4. Тенденция миграции филиалов только на интернет-подключения

5. Развертывание приложений электронной коммерции и требования по их защите

6. Рост спроса на защиту web-трафика и электронной почты

Page 88: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

88© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Защита сети

Защита инфраструктуры

Защита контента

Защита приложений

Управление безопасностью

Самозащищающаяся сеть Cisco

Набор решений Cisco для защиты периметра

1. Cisco ACS, CS-MARS управляют безопасностью.

2. ASA, IPS, IronPort обеспечивает защиту приложений.

3. Решения IronPort защищают контент.

4. ASA, IPS в канале передачи данных защищают сеть.

5. Защита инфраструктуры реализуется на маршрутизаторах, коммутаторах и МСЭ

Компоненты системы

защиты

Page 89: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

89© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Распределение

Периметр Интернет

Корп. доступ/ДМЗ

Периметр

Подключение офисов

VPN удаленного доступа

SiSi SiSi

SiSiSiSi

Ядро

Шлюз

защиты

эл. почты

Шлюз

защиты web

E-mailHTTP-

сервисыDNS

ISP A

ISP B

Интернет

ISP B

ISP A

Удаленный

клиент

Филиалыс сервисами

передачи голоса

Резервный

интернет-канал

Page 90: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

90© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Топология периметра

IE-VPN

Маршрутизатор

с МСЭ

Основной контроллер

Сегмент сервисов сетевых приложений (ДМЗ)

WAN 1

ОС Интернет -1

WAN 2

ОС Интернет -2

Филиалыс сервисами

передачи голоса

DNS

NTP/SyslogУправление

по выделенной

сетиСетевое

управление

IPS

Пограничные

маршрутизаторы

с PFR

Удаленный

клиент

ASA

ASA

WSA

ESA

Интернет-периметр

WAN

Интернет

AAA

Интернет

Ядро

ЦОД

Комплекс

зданий

IPS

IE удаленного доступа

МСЭ

FTP Основной

HTTP

Периметр глобальной

сети

IPS

Page 91: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

91© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

ДМЗ – сегмент приложений сетевых сервисов

Корпоративныйинтернет-доступ

Удаленный работник с доступом через МСЭ

Резервный канал подключения филиала

• Общедоступные сервисы

• FTP, DNS, NTP и т. п.

• Интернет-доступ для пользователей комплекса зданий и филиала

• Web-сайты, электронная почта, другие типовые интернет-сервисы, защита web-трафика и электронной почты

• Средства совместной работы, например, WebEx

• Доступ к ресурсам корпоративной сети для удаленного работника

• Интернет-доступ через МСЭ штаб-квартиры

• Базовые сервисы IP-телефонии

• Интернет как резервный канал подключения

• Доступ к ресурсам корпоративной сети

• Web-сайты, электронная почта, другие типовые интернет-сервисы

Интернет-периметр корпоративной сетиАнализ сервисов

Page 92: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

92© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Обзор интернет-периметра корпоративной сети

1. Маршрутизация периметра - два ISP

Маршрут по умолчанию

BGP

2. Защита периметра

Инфраструктурные ACL

Политики уровня управления

Контроль TTL

ACL для управления

3. Управление

Возможность подключения

Включение мониторинга

Интернет

SP1 SP 2

Page 93: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

93© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Защита пограничныхмаршрутизаторов

Configs

interface GigabitEthernet0/3

ip address 64.104.20.3 255.255.255.0

ip access-group 113 in

interface GigabitEthernet0/1

ip address 198.133.219.2 255.255.255.0

access-list 113 deny tcp any 198.133.219.0 0.0.0.255 fragments

access-list 113 deny icmp any 198.133.219.0 0.0.0.255 fragments

access-list 113 deny ip host 0.0.0.0 any

access-list 113 deny ip 127.0.0.0 0.255.255.255 any

access-list 113 deny ip 192.0.0.0 0.0.0.255 any

access-list 113 deny ip 224.0.0.0 31.255.255.255 any

access-list 113 deny ip 10.0.0.0 0.255.255.255 any

access-list 113 deny ip 192.168.0.0 0.0.255.255 any

access-list 113 permit tcp host 64.104.20.4 host 64.104.20.3 eq bgp

access-list 113 permit tcp host 64.104.20.4 eq bgp host 64.104.20.3

access-list 113 deny ip 198.133.219.0 0.0.0.255 any

access-list 113 permit ip any any

access-list 113 deny udp any 198.133.219.0 0.0.0.255 fragments

router bgp 30000

bgp log-neighbor-changes

……

neighbor 64.104.10.114 ttl-security hops 2

Настройка инфраструктурных ACL

Вторжение

ИнтернетG0/3

64.104.20.3192.168.219.2

G0/1

Настройка контроля TTL

Page 94: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

94© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Защита пограничныхмаршрутизаторов

Configs

interface Ethernet1/7

ip address 10.242.51.73 255.255.255.0

ip access-group 133 in

ip access-group 134 out

access-list 133 permit icmp 10.242.0.0 0.0.255.255 host 10.242.51.73 ttl-exceeded

access-list 133 permit icmp 10.242.0.0 0.0.255.255 host 10.242.51.73 port-unreachable

access-list 133 permit icmp 10.242.0.0 0.0.255.255 host 10.242.51.73 echo-reply

access-list 133 permit icmp 10.242.0.0 0.0.255.255 host 10.242.51.73 echo

access-list 133 permit tcp 10.242.0.0 0.0.255.255 eq tacacs host 10.242.51.73 established

access-list 133 permit tcp 10.242.0.0 0.0.255.255 host 10.242.51.73 eq tacacs

access-list 133 permit udp 10.242.0.0 0.0.255.255 host 10.242.51.73 eq ntp

access-list 133 permit tcp 10.242.0.0 0.0.255.255 host 10.242.51.73 eq 22 (SSH)

access-list 133 permit tcp 10.242.0.0 0.0.255.255 eq ftp host 10.242.51.73 gt 1023 established

access-list 133 permit tcp 10.242.0.0 0.0.255.255 eq ftp-data host 10.242.51.73 gt 1023

access-list 133 permit udp host 10.242.51.99 host 10.242.51.73 eq snmp

access-list 133 deny ip any any log

access-list 134 permit ip host 10.242.51.73 10.242.0.0 0.0.255.255

access-list 134 deny ip any any log

ACL управления

G1/7 10.242.51.73

ИнтернетМаршрутизатор

Сеть

управления

МСЭ

Вторжение

Page 95: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

95© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Защита пограничныхмаршрутизаторов

Configsinterface GigabitEthernet0/1

ip address 198.133.219.2 255.255.255.0

ip flow ingress

load-interval 60

flow-sampler csmars-sample

interface GigabitEthernet0/2

description link to SP1 IE-7200-6

ip address 64.104.10.113 255.255.255.252

flow-sampler csmars-sample

ip flow-cache timeout active 1

ip flow-export source Ethernet1/7

ip flow-export version 5

ip flow-export destination 10.242.51.99 2055

Включение мониторинга угроз

Вторжение

ИнтернетG0/2

64.104.10.113192.168.219.2

G0/1

МСЭ

G1/7 10.242.51.73

Сеть

управления

Page 96: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

96© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

ДМЗ

Интернет

SP1

МСЭ

ЦОД, корпоративная сеть

SP2

Соображения по развертыванию МСЭдля защиты сети

• Соображения по развертыванию МСЭ

Правила МСЭ обеспечивают защиту сети.

Интеграция устройств защиты электронной почты и web-трафика с МСЭ.

Настройка и развертывания системы защиты инфраструктуры.

Развертывание и проектирование защищенной ДМЗ для общедоступных сервисов.

Включение функций мониторинга и управления.

Page 97: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

97© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Корп. сеть

Интернет

Дизайн системы МСЭ

ДМЗ

Page 98: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

98© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Корп. сеть

Интернет

Дизайн системы МСЭ

Корпоративный

пользователь

Устройство

защиты

электронной

почты

Сервер

эл. почты

Трафик

электронной

почты

Web-трафик

Устройство

защиты Web-трафика

Page 99: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

99© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Корп. сеть

Интернет

Дизайн системы МСЭ

Корпоративный

пользователь

Устройство

защиты

электронной

почты

Сервер

эл. почты

Трафик

электронной

почты

Web-трафик

Устройство

защиты Web-трафика

Удаленный

пользователь

Внешний

пользователь

Page 100: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

100© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Корп. сеть

Интернет

Дизайн системы МСЭ

Корпоративный

пользователь

Устройство

защиты

электронной

почты

Сервер

эл. почты

Трафик

электронной

почты

Web-трафик

Устройство

защиты Web-трафика

Периметр

Wan

Пользователь

филиала

Page 101: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

101© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Соображения по обеспечению безопасности с помощью МСЭ

same-security-traffic permit inter-interface

same-security-traffic permit intra-interface

object-group network NETWORK_APPLICATION_HOSTS

network-object 198.133.219.55 255.255.255.255

network-object 198.133.219.59 255.255.255.255

object-group protocol NETWORK_APPLICATION_PROTOCOL

protocol-object tcp

protocol-object udp

object-group service services2 tcp

port-object eq www

port-object eq https

port-object eq smtp

access-list OUTSIDE_IN extended permit tcp any object-group NETWORK_APPLICATION_HOSTS eq domain

access-list OUTSIDE_IN extended permit tcp any object-group NETWORK_APPLICATION_HOSTS object-group services2

access-group OUTSIDE_IN in interface externalservices

access-list WEB_ACCESS extended permit tcp host 10.245.255.250 any eq www

access-list WEB_ACCESS extended deny tcp any any eq www

access-list WEB_ACCESS extended permit ip any any

access-group WEB_ACCESS in interface corporate

Правила МСЭ (ограничение типов

трафика)

Правила МСЭ (устройство защиты

web-трафика)

198.133.219.20

Интернет

МСЭ

ДМЗ

Email

Корп.

Page 102: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

102© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Соображения по обеспечению безопасности с помощью МСЭ

logging enable

logging buffered debugging

logging trap debugging

logging asdm informational

logging host management 172.26.191.99

flow-export destination management 172.26.191.99 2055

flow-export template timeout-rate 1

flow-export enable

aaa-server ACS-Admin protocol tacacs+

aaa-server ACS-Admin (management) host 172.26.191.94 key cisco

aaa authentication telnet console ACS-Admin LOCAL

aaa authentication serial console ACS-Admin LOCAL

aaa authentication http console ACS-Admin LOCAL

aaa authentication ssh console ACS-Admin LOCAL

aaa authentication enable console ACS-Admin LOCAL

aaa authorization command LOCAL

aaa authorization exec authentication-server

http server enable

http 172.26.191.0 255.255.255.0 management

http 172.26.0.0 255.255.0.0 management

http 192.168.1.0 255.255.255.0 management

snmp-server host management 172.26.191.99 poll community csmars

no snmp-server location

no snmp-server contact

snmp-server community csmars

snmp-server enable traps snmp authentication linkup linkdown coldstart

Включение мониторинга и

журналирования

Включение управления

198.133.219.20

Интернет

FW

ДМЗ

Email

Корп.

Управление

Page 103: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

103© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Обзор средств организации VPN

• Механизм защищенного взаимодействия по IP-сети

• Аутентификация (подлинность/оценка абонента)

• Целостность (отсутствие модификаций)

• Конфиденциальность (защита от прочтения)

• Компоненты VPN удаленного доступа (RA)

• Клиент (мобильный или фиксированный)

• Устройство терминирования (много устройств)

IPsec и SSL

Устройство терминирования

VPN и обеспечениябезопасности

VPN-клиентили браузер

VPN-туннель

Page 104: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

104© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Защищенное подключение из любой точки мира Расширение сети в рамках SDN

Интернетобщего

пользования

ASA 5500

SSL VPN без использования клиента

SSL VPN без использования клиента

SSL или IPSec VPNс использованиемклиента

Партнеры/консультанты

Контролируемый доступ к определенным ресурсам и приложениям

Мобильные сотрудники

Простота доступа к ресурсам корпоративной сети

Пользователи роуминга

Надежный доступ к приложениям с неконтролируемых устройств

Поздняя работа / домашний офис

Сотрудникам, которым необходимо поработать дома, и мобильным сотрудникам требуется постоянный сетевой доступ к корпоративным ресурсам и приложениям

SSL или IPSec VPNс использованиемклиента

Page 105: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

105© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

SSL VPN без использования клиента

Настраиваемый логотип

Настраиваемыеспособы доступа

Настраиваемый баннер

Настраиваемые цвета и разделы

Настраиваемые ссылки, сетевые

ресурсы, права доступа Локализация

Расширенныенастройки

Page 106: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

106© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Функциональные возможности SSL VPN без использования клиента

Надстройки клиент-сервер

Ввод адреса ресурса

Page 107: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

107© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Функциональные возможности SSL VPN без использования клиента

• Позволяет администраторам настраивать ссылки для доступа к внутренним ресурсам.

• Простота использования — не нужно запоминать IP-адреса или имена серверов

• В ссылках для доступа к внутренним ресурсам могут использоваться различные протоколы: HTTP, HTTPS, CIFS, FTP, …

• Защищенный доступ к внутренним web-приложениям и файловым серверам с помощью обычного браузера. Превосходно подходит для удаленного доступа без использования клиента из интернет-кафе или для бизнес-партнеров, которым требуется доступ к определенному набору ресурсов

Page 108: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

108© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Соображения по обеспечению безопасности удаленного доступа

crypto ca trustpoint LOCAL-TP

revocation-check crl none

enrollment self

fqdn IE-SSL-1.cisco.com

subject-name CN=198.133.219.40

serial-number

ip-address 198.133.219.40

crl configure

webvpn

enable VPN-termination

group-policy executive internal

group-policy executive attributes

vpn-simultaneous-logins 25

vpn-tunnel-protocol webvpn

default-domain value ourcompany.com

username csmars password SnYzFPfdfjv/zzfi encrypted privilege 15

username admin password e1z89R3cZe9Kt6Ib encrypted

tunnel-group executive-tunnel type remote-access

tunnel-group executive-tunnel general-attributes

default-group-policy executive

tunnel-group executive-tunnel webvpn-attributes

group-alias executive enable

Включение SSL-VPN

Интернет

МСЭ удаленного доступа

Корп.

Управление

198.133.219.40

Page 109: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

109© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Соображения по обеспечению безопасности удаленного доступа

interface GigabitEthernet0/0

nameif VPN-termination

security-level 0

ip address 198.133.219.40 255.255.255.0 standby 198.133.219.41

aaa-server ACS-Admin protocol tacacs+

aaa-server ACS-Admin (management) host 172.26.191.94

key cisco

aaa authentication telnet console ACS-Admin LOCAL

aaa authentication serial console ACS-Admin LOCAL

aaa authentication enable console ACS-Admin LOCAL

aaa authentication ssh console ACS-Admin LOCAL

aaa accounting enable console ACS-Admin

aaa accounting serial console ACS-Admin

aaa accounting telnet console ACS-Admin

aaa accounting command ACS-Admin

aaa authorization exec authentication-server

http server enable

http 172.26.191.95 255.255.255.255 management

http 192.168.1.0 255.255.255.0 management

snmp-server host management 172.26.191.99 poll community csmars

no snmp-server location

no snmp-server contact

snmp-server community csmars

snmp-server enable traps snmp authentication linkup linkdown coldstart

ntp server 172.26.129.252 source management

username csmars password SnYzFPfdfjv/zzfi encrypted privilege 15

username admin password e1z89R3cZe9Kt6Ib encrypted

Включение мониторинга и

управления

Интернет

МСЭ удаленного доступа

Корп.

Управление

198.133.219.40

Page 110: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

110© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Шлюз защиты электронной почты (ESA)Антиспам, антивирус, соответствие нормативным требованиям

Маршрутизатор

на интернет-периметре

ИнтернетВнутренний

коммутатор

Местоположение ESA

Корпоративная

сетьМежсетевой

экран

Устройство

защиты

электронной

почты

Сервер

эл. почты

Корп.

пользователь

Page 111: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

111© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Защита контента электронной почты с помощью решения Ironport

Антиспам

Антивирус

Выполнение политик

Маршрутизация почты

До IronPort

Устройство защиты электронной почты IronPort

Интернет

МСЭ

MTA

Среда групповойработы

Пользователи

После

создания

IronPort

Интернет

Пользователи

Среда групповойработы

МСЭ

Page 112: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

112© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Сеть IronPort SenderBaseГлобальный охват обеспечивает точность

1. Совместный анализ трафика электронной почты и web-трафика существенно повышает показатели обнаружения

2. В 80% спам-сообщений содержатся URL-адреса

3. Электронная почта – основной механизм распространения вредоносного web-ПО

4. ВПО – основной механизм распространения «спам-ботов»

1. Более 30 млрд запросов в день

2. Более 150 параметров трафика эл. почты и web-трафика

3. 25% мирового трафика

4. Сетевая платформа Cisco

Устройства

защиты

электронной

почты IronPort

Устройства

защиты

web-трафика

IronPort

IronPort SenderBase

Сочетание анализа трафика

электронной почты и web-трафика

Page 113: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

113© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Сеть IronPort SenderBase

Глобальная

статистика

Более 100 000

организаций,

трафик эл. почты и

web-трафик

Данные

о сообщении

Размер сообщения,

размер вложений, типы

вложений, URL-адреса,

имена хостов

Спам-сенсорыSpamCop, операторы

связи, помощь заказчиков

Черные и

белые

списки

IP-адресов

SpamCop, SpamHaus

(SBL), NJABL, Bonded

Sender

Списки

взломанных

хостов

Загруженные файлы,

URL-перехода,

эвристика

Данные о

web-сайте

SORBS, OPM,

DSBL

Другие данные

Компании из списка

Fortune 1000, длина

информации о цепочке

передачи, расположение

web-сайта, срок его

регистрации, срок его

фактической работы

Отчеты

о соблюдении

требований

Отчеты о спаме,

фишинге, вирусах

URL-адреса в спам-

сообщениях, URL-

адреса в сообщениях

фишинга, сайты со

шпионским ПО

Черные и белые

списки доменов

Page 114: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

114© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Архитектура IronPort Защита входящих, контроль исходящих

Защита от

спама

Защита от

вирусов

ПЛАТФОРМА ДЛЯ ЗАЩИТЫ ЭЛЕКТРОННОЙ

ПОЧТЫ IRONPORT ASYNCOS™

Предотвращение

утечки данных

Защищенный

обмен

сообщениями

ЗАЩИТА

ВХОДЯЩИХ

КОНТРОЛЬ

ИСХОДЯЩИХ

Page 115: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

115© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Соображения по развертыванию устройства защиты электронной почты Ironport

1. Разместите его во внутренней сети.

2. Разработайте правила межсетевого экрана, допускающие входящий/исходящий трафик SMTP, исходящий трафик HTTP по адресу downloads.ironport.com (фильтры вирусных эпидемий, правила антиспама и обновления AsyncOS), исходящий трафик HTTPS для обмена данными Senderbase и загрузки обновлений McAfee, а также исходящие DNS-запросы

3. Используйте внешние DNS-серверы

4. Используйте отдельные модули анализа для входящих и исходящих сообщений

5. Используйте аутентификацию, если это возможно

6. Спроектируйте политики, основываясь на потребностях групп или отдельных сотрудников

ИТ — все типы файлов, карантин исполняемых файлов

Продавцы — пометка и доставка спама, удаление исполняемых файлов

Юристы — архивирование всей электронной почты

Page 116: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

116© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Устройство защиты электронной почты

Настройка сетевых интерфейсов

Настройка сетевых интерфейсов

Page 117: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

117© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Устройство защиты электронной почты

Настройка политик

Page 118: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

118© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Сведения о вирусной эпидемии

Page 119: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

119© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Статистика по входящей почте и заблокированным сообщениям

Page 120: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

120© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Шлюз защиты трафика web (WSA)Консолидированный web-шлюз

IronPort

L4 Traffic

Monitor

IronPort

Policy FiltersWeb-прокси

Антишпионское ПО

Антивирус

ПО для борьбыс фишингом

Фильтрация по URL

Управление политиками

Интернет

МСЭ

Пользователи

Интернет

Пользователи

МСЭ

Консолидация

функций Устройство

защиты web-

трафика IronPort

Page 121: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

121© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

IronPort WSAБезопасность и производительность на периметре сети

1. Несколько уровней защиты от ВПО в рамках одного устройства

Превентивная: фильтры web-репутации,

Реактивная: McAfee, Webroot

2. Гибкое управление политиками

Фильтры IronPort для URL-адресов

Web Security Manager

3. Высокая безопасность + высокая производительность

AsyncOS for Web

Ядро антивируса

Page 122: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

122© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

• Черные списки URL

• Белые списки URL

• Категоризация URL

• Данные об HTML-контенте

• Поведение URL

• Глобальная статистика

• Сведения о регистраторе DNS

• Динамические IP-адреса

• Списки взломанных хостов

• Данные web-роботов поиска

• Владельцы сети

• URL-адреса известных угроз

• Статистика (F500, G2000…)

• История web-сайта

Данные SenderBase

Анализ данных/моделированиебезопасности

Рейтинг web-репутации(WBRS)

От -10 до +10

Параметры

ОТРАЖЕНИЕ УГРОЗ В РЕЖИМЕ РЕАЛЬНОГО ВРЕМЕНИ

Фильтры web-репутации IronPort Все дело в имеющейся информации

Работа с известными

и НЕизвестными сайтами

Page 123: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

123© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Шлюз защиты web-трафика (WSA)

Пограничный

маршрутизатор

ИнтернетВнутренний

коммутатор

Местоположение WSA

Корпоративная

сетьМСЭ

Устройство

защиты web-

трафика

Page 124: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

124© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Два метода развертывания WSA как прокси-сервера

1. Явный – клиентам необходимо выполнить настройку приложений на работу с прокси-сервером

2. Прозрачный – клиентские приложения не настраиваются на работу с прокси-сервером, для перенаправления трафика на прокси-сервер используется редиректор портов

3. МИФ: при явном развертывании прокси-сервера необходимо вручную настраивать клиентские рабочие станции

В большинстве крупных организаций используется решение MS SMS или подобное, которое позволяет централизованно управлять клиентами

Файл автонастройки прокси-сервера можно распространить по DHCP

Page 125: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

125© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Соображения по развертыванию устройства защиты web-трафика Ironport

1. Выбор метода для подключения браузера

Вручную

явное

Файл PAC L4/WCCP

Отказоустойчи-

вость/резерви-

рование

Балансировка

нагрузки

Единый вход

Хэш «источник-

получатель»

Page 126: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

126© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Соображения по развертыванию устройства защиты web-трафика Ironport

1. Определите критерии политики

IP-адрес (просто)

Аутентификация (сложнее)

Источник/получатель (сложно)

2. Определите метод аутентификации

LDAP (просто)

Active directory (сложнее)

3. Способ формирования отчетов

На устройстве

С помощью дополнительных средств, например, Sawmill

4. Политика

Настраивается с помощью Web Security Manager

Page 127: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

127© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Устройство защиты web-трафика

Screen shots

Настройка сетевых интерфейсов

Настройка категорий URL

Page 128: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

128© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Соображения по развертыванию устройства защиты web-трафика Ironport (продолжение)

1. Определите метод подключения web-браузера

Явный

Файлы Pac

Прозрачный режим при использовании WCCP

2. Определение политик реакции сервера на входящий трафик

На основании типа MIME

На основании размера

3. Устройство Ironport может настраиваться на работу с прокси-сервером оператора связи

4. Разработайте правила межсетевого экрана для перенаправления через устройство Ironport только исходящего web-трафика

5. Политика трафика HTTPS

Транзитная передача трафика на респектабельные сайты (например,www.bankofamerica.com)

Расшифровка и мониторинг на основании рейтинга репутации или категории URL (расшифровывать cayman.com или сайты игровых систем)

Удаление на основании рейтинга репутации или категории URL (удалять трафик на cayman.com или сайты игровых систем)

Page 129: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

129© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Сайты с наибольшим количеством

обращений с высоким уровнем риска

Заблокированные web-сайты

Page 130: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

130© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Активность и статистика по клиентам

Page 131: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

131© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Категории URL и их использование

Page 132: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

132© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Управление периметром ИнтернетСоображения по развертыванию

1. В случае периметра Интернет внешние коммутаторы и пограничные маршрутизаторы располагаются с внешней стороны МСЭ периметра

2. Соединения, используемые для управления этими устройствами, должны проходить через отдельный сегмент, защищенный МСЭ

3. Подключение к внешним коммутаторам или внешним маршрутизаторам через выделенную сеть позволит обойтись без защиты межсетевым экраном

Page 133: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

133© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Управление интернет-периметром

CS-

MARSCSM Хост

админ.

CS-ACSВыделенная

сетьNAC

Mgr

Внешние

коммут.

Погран.

маршр.

Интернет

Сервер

NTP

Коммут.

ядра

Внутр.

коммут.

Сервер

консольного

доступа

Сервер

консольного

доступа

Управление

по общим каналам

МСЭ

Интернет-

периметр

Внешнее

устройство

OOB

МСЭ

перим.

SiSi

SiSi

SiSi

SiSi

SiSi

SiSi

Page 134: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

134© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Интернет

Устройство безопасности

удаленного доступа

CS-MARS CS-ACS

SD

EE

syslog

МСЭВнутреннийкоммутатор

Внешнийкоммутатор

IPS Пограничный

маршрутизатор

CSM

Мониторинг, анализ и корреляция событий на периметре

Page 135: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

135© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Защита современного интернет-периметра

1. К интернет-периметру предъявляются требования по поддержке все большего и большего числа сервисов

2. Интернет-периметр превращается в сложную сетевую структуру

3. Для управления устройствами рекомендуется использовать выделенную сеть

4. Для защиты сети следует использовать средства безопасности IOS, они предоставляются бесплатно

5. Устройства защиты web-трафика и электронной почты (например,Ironport) позволяют обеспечить безопасность контента

6. Удаленный доступ приобретает все большую важность, устройства Cisco ASA являются превосходным решением для терминирования сеансов удаленного доступа

7. Мониторинг и отражение угроз на интернет-периметре имеют критически важное значение

Page 136: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

136© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

План презентации

1. Введение

2. Обзор Cisco SAFE

3. Основы сетевой защиты

4. Интеллектуальные средства совместного обнаружения и отражения угроз

5. Развертывание систем предотвращения вторжений (Intrusion Prevention Systems – IPS)

6. Управление

7. Архитектура сети комплекса зданий

8. Архитектура периметра Интернет корпоративной сети

9. Выводы

Page 137: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

137© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Ключевые выводы о SAFE

1. Многоуровневая сквозная модульная система защиты на основе рекомендованных архитектур

2. Руководства по проектированию и развертыванию с учетом платформы и необходимого функционала

3. Интеллектуальные сетевые механизмы для улучшения контроля и управления

4. Инфраструктура маршрутизации и коммутации как средство обеспечения безопасности

5. Услуги Cisco в области ИБ используются для поддержки жизненного цикла архитектуры

www.cisco.com/go/safe

Page 138: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

138© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Вопросы и Ответы

[email protected]

Page 139: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

139© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE

Мы хотели бы узнать Ваше мнение

Пожалуйста,

заполните анкету

Page 140: Архитектура Cisco SAFE€¦ · Архитектура Cisco SAFE ... информационной безопасности 1. Основные черты 2008

140© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicCisco_SAFE