Suche senden
Hochladen
Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной сети. Часть 2.
•
0 gefällt mir
•
1,516 views
Cisco Russia
Folgen
Technologie
Melden
Teilen
Melden
Teilen
1 von 89
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Empfohlen
Как получить максимум от сетевого экрана Cisco ASA?
Как получить максимум от сетевого экрана Cisco ASA?
SkillFactory
Новое поколение ASA 5500x среднего класса
Новое поколение ASA 5500x среднего класса
Cisco Russia
Защита периметра от сетевых угроз с помощью
Защита периметра от сетевых угроз с помощью
Cisco Russia
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Cisco Russia
Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...
Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...
Cisco Russia
Современные межсетевые экраны Cisco ASA и ASASM.
Современные межсетевые экраны Cisco ASA и ASASM.
Cisco Russia
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Cisco Russia
Cisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWER
Cisco Russia
Empfohlen
Как получить максимум от сетевого экрана Cisco ASA?
Как получить максимум от сетевого экрана Cisco ASA?
SkillFactory
Новое поколение ASA 5500x среднего класса
Новое поколение ASA 5500x среднего класса
Cisco Russia
Защита периметра от сетевых угроз с помощью
Защита периметра от сетевых угроз с помощью
Cisco Russia
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Cisco Russia
Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...
Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...
Cisco Russia
Современные межсетевые экраны Cisco ASA и ASASM.
Современные межсетевые экраны Cisco ASA и ASASM.
Cisco Russia
Безопасность ЦОД-часть 1
Безопасность ЦОД-часть 1
Cisco Russia
Cisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWER
Cisco Russia
Как взломать телеком и остаться в живых
Как взломать телеком и остаться в живых
qqlan
McAfee DLP
McAfee DLP
ebuc
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
UISGCON
как сделать правильный выбор на рынке Dlp систем
как сделать правильный выбор на рынке Dlp систем
Expolink
компьютерные сети. архитектура и построение современных сетей
компьютерные сети. архитектура и построение современных сетей
Masha Rudnichenko
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
Cisco Russia
Марат Мавлютов - Современный веб как сложная система
Марат Мавлютов - Современный веб как сложная система
Yandex
Реализация технологии “Операторский NAT” в продуктах Cisco.
Реализация технологии “Операторский NAT” в продуктах Cisco.
Cisco Russia
McAfee MOVE_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
McAfee MOVE_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
VirtSGR
IBM Proventia IPS
IBM Proventia IPS
Петр Королев
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
Yandex
Multimedia
Multimedia
Academy of Computing Technologies STEP (Rivne)
Современные методы защиты от DDoS атак
Современные методы защиты от DDoS атак
SkillFactory
McAfee Data Protection
McAfee Data Protection
Andrei Novikau
как сделать правильный выбор на рынке Dlp систем
как сделать правильный выбор на рынке Dlp систем
Expolink
Беспроводные сети Cisco: контроллер – виртуальный, преимущества – реальные
Беспроводные сети Cisco: контроллер – виртуальный, преимущества – реальные
Cisco Russia
Управление беспроводными сетями Cisco: контроллер - виртуальный, преимущества...
Управление беспроводными сетями Cisco: контроллер - виртуальный, преимущества...
Roman Podoynitsyn
Огонь. Молоты. Таланты
Огонь. Молоты. Таланты
Dmitry Karpov
Karpov
Karpov
Shuklina
Построение ситуационно-мониторингового центра на продуктах Cisco Physical Se...
Построение ситуационно-мониторингового центра на продуктах Cisco Physical Se...
Cisco Russia
Service portfolio 18
Service portfolio 18
Cisco Russia
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
Cisco Russia
Weitere ähnliche Inhalte
Ähnlich wie Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной сети. Часть 2.
Как взломать телеком и остаться в живых
Как взломать телеком и остаться в живых
qqlan
McAfee DLP
McAfee DLP
ebuc
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
UISGCON
как сделать правильный выбор на рынке Dlp систем
как сделать правильный выбор на рынке Dlp систем
Expolink
компьютерные сети. архитектура и построение современных сетей
компьютерные сети. архитектура и построение современных сетей
Masha Rudnichenko
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
Cisco Russia
Марат Мавлютов - Современный веб как сложная система
Марат Мавлютов - Современный веб как сложная система
Yandex
Реализация технологии “Операторский NAT” в продуктах Cisco.
Реализация технологии “Операторский NAT” в продуктах Cisco.
Cisco Russia
McAfee MOVE_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
McAfee MOVE_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
VirtSGR
IBM Proventia IPS
IBM Proventia IPS
Петр Королев
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
Yandex
Multimedia
Multimedia
Academy of Computing Technologies STEP (Rivne)
Современные методы защиты от DDoS атак
Современные методы защиты от DDoS атак
SkillFactory
McAfee Data Protection
McAfee Data Protection
Andrei Novikau
как сделать правильный выбор на рынке Dlp систем
как сделать правильный выбор на рынке Dlp систем
Expolink
Беспроводные сети Cisco: контроллер – виртуальный, преимущества – реальные
Беспроводные сети Cisco: контроллер – виртуальный, преимущества – реальные
Cisco Russia
Управление беспроводными сетями Cisco: контроллер - виртуальный, преимущества...
Управление беспроводными сетями Cisco: контроллер - виртуальный, преимущества...
Roman Podoynitsyn
Огонь. Молоты. Таланты
Огонь. Молоты. Таланты
Dmitry Karpov
Karpov
Karpov
Shuklina
Построение ситуационно-мониторингового центра на продуктах Cisco Physical Se...
Построение ситуационно-мониторингового центра на продуктах Cisco Physical Se...
Cisco Russia
Ähnlich wie Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной сети. Часть 2.
(20)
Как взломать телеком и остаться в живых
Как взломать телеком и остаться в живых
McAfee DLP
McAfee DLP
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и мето...
как сделать правильный выбор на рынке Dlp систем
как сделать правильный выбор на рынке Dlp систем
компьютерные сети. архитектура и построение современных сетей
компьютерные сети. архитектура и построение современных сетей
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
Безопасность беспроводных ЛВС: как взломали вашу сеть и как вы могли этого из...
Марат Мавлютов - Современный веб как сложная система
Марат Мавлютов - Современный веб как сложная система
Реализация технологии “Операторский NAT” в продуктах Cisco.
Реализация технологии “Операторский NAT” в продуктах Cisco.
McAfee MOVE_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
McAfee MOVE_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
IBM Proventia IPS
IBM Proventia IPS
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
Юрий Леонычев «Безопасность мобильных приложений для Android. Теория и практика»
Multimedia
Multimedia
Современные методы защиты от DDoS атак
Современные методы защиты от DDoS атак
McAfee Data Protection
McAfee Data Protection
как сделать правильный выбор на рынке Dlp систем
как сделать правильный выбор на рынке Dlp систем
Беспроводные сети Cisco: контроллер – виртуальный, преимущества – реальные
Беспроводные сети Cisco: контроллер – виртуальный, преимущества – реальные
Управление беспроводными сетями Cisco: контроллер - виртуальный, преимущества...
Управление беспроводными сетями Cisco: контроллер - виртуальный, преимущества...
Огонь. Молоты. Таланты
Огонь. Молоты. Таланты
Karpov
Karpov
Построение ситуационно-мониторингового центра на продуктах Cisco Physical Se...
Построение ситуационно-мониторингового центра на продуктах Cisco Physical Se...
Mehr von Cisco Russia
Service portfolio 18
Service portfolio 18
Cisco Russia
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
Cisco Russia
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
Cisco Russia
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Cisco Russia
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Russia
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
Cisco Russia
Cisco Catalyst 9500
Cisco Catalyst 9500
Cisco Russia
Cisco Catalyst 9400
Cisco Catalyst 9400
Cisco Russia
Cisco Umbrella
Cisco Umbrella
Cisco Russia
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
Cisco Russia
Cisco FirePower
Cisco FirePower
Cisco Russia
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
Cisco Russia
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Cisco Russia
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Cisco Russia
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Cisco Russia
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Cisco Russia
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Cisco Russia
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco Russia
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Cisco Russia
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Cisco Russia
Mehr von Cisco Russia
(20)
Service portfolio 18
Service portfolio 18
История одного взлома. Как решения Cisco могли бы предотвратить его?
История одного взлома. Как решения Cisco могли бы предотвратить его?
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Обзор Сервисных Услуг Cisco в России и странах СНГ.
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Клиентские контракты на техническую поддержку Cisco Smart Net Total Care
Cisco Catalyst 9000 series
Cisco Catalyst 9000 series
Cisco Catalyst 9500
Cisco Catalyst 9500
Cisco Catalyst 9400
Cisco Catalyst 9400
Cisco Umbrella
Cisco Umbrella
Cisco Endpoint Security for MSSPs
Cisco Endpoint Security for MSSPs
Cisco FirePower
Cisco FirePower
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отрасли
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Полугодовой отчет Cisco по информационной безопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Годовой отчет Cisco по кибербезопасности за 2017 год
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Безопасность для цифровой экономики. Развитие продуктов и решений Cisco
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Cisco StealthWatch. Использование телеметрии для решения проблемы зашифрованн...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Обеспечение бесперебойной работы корпоративных приложений в больших гетероген...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Новое поколение серверов Сisco UCS. Гиперконвергентное решении Cisco HyperFle...
Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной сети. Часть 2.
1.
Cisco Expo
2012 Рекомендуемая архитектура по внедрению систем защиты от атак в корпоративной сети Оксана Санникова инженер по работе с партнерами CCIE Security #35825 © 2011 Cisco and/or its affiliates. All rights reserved. 1 1
2.
Принимайте активное участие
в Cisco Expo и получите в подарок Linksys E900. Как получить подарок: • внимательно слушать лекции по технологиям Cisco • посещать демонстрации, включенные в основную программу • пройти тесты на проверку знаний Тесты будут открыты: с 15:00 25 октября по 16:30 26 октября www.ceq.com.ua © 2011 Cisco and/or its affiliates. All rights reserved. 2
3.
•
Знакомство с IPS и IDS • Линейка продуктов Cisco • Место в корпоративной сети • Периметр • Кампус • Филиал • ЦОД • Особенности работы IPS • Детектирование • Нормализация • Движки © 2011 Cisco and/or its affiliates. All rights reserved. 3
4.
• Интеллектуальное обнаружение
Сигнатуры для уязвимостей и эксполитов Обнаружение аномалий в протоколах Репутационные фильры • Точное реагирование Политики на основе управления рисками Глобальная корреляция событий Генерация мета-событий • Гибкое внедрение Пассивный и/или Inline IDS/IPS Виртуальные сенсоры Поддержка физических и логических (VLAN) интерфейсов Software и Hardware bypass © 2011 Cisco and/or its affiliates. All rights reserved. 4
5.
Защита
Adware/Spyware Worm/Virus/Trojan P2P/IM IPv4 и • AIM/ICQ IPv6 • Perfect Keylogger • Storm • AOL Activity • Mega-D • MSN • Hotbar Activity • Blaster • Sametime • Nimda DDOS/DOS • Yahoo • Sasser • ICMP/UDP/TCP • BitTorrent • Code Red Floods • Kazaa • Slammer Secure Voice • eDonkey • Backdoor Trojan Spirit • SIP • Jabber • Backdoor Beast • H323 • Fatso Worm • H225 • Kelvir Worm Reconnaissance Web Server • ICMP host sweeps • Apache • TCP Port Sweeps • Internet Information Server • TCP/UDP Combo (IIS) Sweeps Network, L2/3/4 • UDP Port Sweeps • BGP • DHCP Email • DNS • POP • TCP/UDP • IMAP • IP • SMTP • IP Fragment • Microsoft Exchange © 2011 Cisco and/or its affiliates. All rights reserved. 5
6.
Защита бизнеса любого
масштаба ASA5585-P40S40 ASA5585-P60S60 ASA5585-P10S1 ASA5585-P20S20 ASA 5555-X ASA 5545-X IPS ASA серии ASA 5525-X IPS 5500-X ASA 5515-X IPS ASA 5512-X IPS IPS ASA5540-AIP20 ASA серии ASA5520-AIP10 ASA5540-AIP40 IPS-4510 5500 ASA5510-AIP10 ASA5520-AIP20 IPS-4520 ASA5520-AIP40 ASA5510-AIP20 IPS 4360 IPS 4270 IPS 4345 IPS серий IPS 4260 4500, 4300 и 4200 IPS 4240 Catalyst 6500 IPS 4255 Комплект IDSM2 IDSM2 Catalyst 6500 IPS NME ISR IOS IPS Малый Средний Крупный Масштаб бизнеса © 2011 Cisco and/or its affiliates. All rights reserved. 6
7.
• Cisco IPS
4240, 4255, 4260, 4270: • анонс - 30 октября 2012, • окончание продаж - 30 апреля 2013 • IDSM-2: • анонс – 24 ноября 2012, • окончание продаж – 25 марта 2013 • Модуль AIP для ASA 5500: • анонс – 18 июля 2012, • окончание продаж –16 января 2013 • Модуль IPS NME для маршрутизаторов ISR: • анонс – 22 октября 2012 • окончание продаж – 22 апреля 2013 © 2011 Cisco and/or its affiliates. All rights reserved. 7
8.
IPS следующего поколения
• Высочайшая производительность • Учет контекста сетевого взаимодействия • Удобные средства управления корпоративного класса • Пропускная способность более 1 Гбит/с в решении с форм-фактором 1 RU • Четырехкратное увеличение производительности по сравнению с 4200 в 2 раза дешевле • Аппаратное ускорение регулярный выражений • Карты Hw-Bypass будут доступны в начале 2013 г. © 2011 Cisco and/or its affiliates. All rights reserved. 8
9.
Мультигегабитная производительность
• Учет контекста сетевого взаимодействия • Аппаратная обработка регулярных выражений • ЦОД или ядро корпоративной сети • 1 GigE и 10GigE интерфейсы/SFP слоты • Модуль IPS в шасси 5585-X • 3 Гбит/сек (4510) – цель от 2 до 5 Гбит/сек • 6 Гбит/сек (4520) – от 4 до 11 Гбит/сек • Использование новой методологии тестирования © 2011 Cisco and/or its affiliates. All rights reserved. 9
10.
Одно шасси для всех 2RU 19in шасси для монтажа в стойке: продуктов ASA 5585 2 модуля полной длины 28 кг с двумя модулями и 1 модуль полной длины и 2 двумя источниками питания половинной длины Слот-1 Модули полной длины: ASA SSP для слота 0 IPS SSP опционально в слот 1 IPS-SSP имеет свой консольный порт (как 4260/4270) Слот-0 © 2011 Cisco and/or its affiliates. All rights reserved. 11
11.
5 новых моделей,
отвечающих различным требованиям к пропускной способности ASA 5512-X 1. Пропускная способность на Пропускная уровне нескольких Гбит/с способность межсетевого экрана 1 Для удовлетворения растущих Гбит/с требований к пропускной способности ASA 5515-X Пропускная способность межсетевого экрана 1,2 2. Встроенные средства ускорения Гбит/с сервисов ASA 5525-X (дополнительное оборудование не Пропускная способность требуется) межсетевого экрана Для поддержки меняющихся 2 Гбит/с потребностей бизнеса ASA 5545-X Пропускная способность межсетевого экрана 3. Платформа с поддержкой 3 Гбит/с сервисов нового поколения ASA 5555-X Пропускная Для защиты инвестиций способность межсетевого экрана 4 Гбит/с © 2011 Cisco and/or its affiliates. All rights reserved. 12
12.
(в Mbps)
SKU Транзакционный Медиа ASA 5512-X IPS 165 240 ASA 5515-X IPS 310 480 ASA 5525-X IPS 615 950 ASA5545-X IPS 841 1270 ASA 5555-X IPS 1050 1500 IPS 4345 1800 1940 IPS 4360 2300 2500 ASA 5585-10 IPS 1350 2400 ASA 5585-20 IPS 2100 3700 ASA5585-40 IPS 3500 7000 ASA 5585-60 IPS 6700 10200 IPS 4510 5017 N/A IPS 4520 7341 N/A © 2011 Cisco and/or its affiliates. All rights reserved. 13
13.
Производительность IPS при
обработке HTTP-транзакций 5 Гбит/с Пропускная способность 3 Гбит/с ASA5512-X IPS ASA5515-X IPS 2 Гбит/с ASA5525-X IPS ASA5545-X IPS 1,5 Гбит/с ASA5555-X IPS 1 Гбит/с IPS 4345 IPS 4360 500 Мбит/с ASA5585-S10P10 ASA5585-S20P20 250 Мбит/с ASA5585-S40P40 150 Мбит/с ASA5585-S60P60 Филиал Интернет-периметр Комплекс ЦОД зданий © 2011 Cisco and/or its affiliates. All rights reserved. 14
14.
Сеть
Интерфейс управления управления. Сетевой трафик не проходит через этот интерфейс. (Имеет IP адрес) Сенсор IPS Интернет Компьютер Сенсорный интерфейс получает копию трафика с порта SPAN, от хаба, или VACL Capture. Он не находится на пути прохождения трафика. (Не имеет IP адреса) © 2011 Cisco and/or its affiliates. All rights reserved. 15
15.
Интерфейс
управления. Сетевой Management трафик не проходит Network через этот интерфейс. (Имеет IP адрес) Internet IPS Sensor Host Сенсор находится на пути прохождения трафика и может блокировать трафик при необходимости. Интерфейс не имеет IP адреса. Cisco IPS работает на канальном уровне (Layer 2) по принципу “умный провод”. © 2011 Cisco and/or its affiliates. All rights reserved. 16
16.
IPS
IDS Перегрузка сенсора может Ограниченная защита повлиять на проходящий сетевой трафик Выше риски пропуска атаки Неисправность сенсора напрямую влияет на проходящий трафик Может остановить атаку, Не влияет на сеть, не блокируя пакеты вносит дополнительную задержку Можен нормализовать сетевой трафик для более Допускается более качественного высокий уровень ложных инспектирования срабатываний © 2011 Cisco and/or its affiliates. All rights reserved. 17
17.
• Часто при
тестировании для отладки работы политик IPS не ставят на пути реального трафика. • Можно развернуть IDS в in-line режиме. • Почему: Простая миграция с IDS (для тестирования и настройки) на IPS. © 2011 Cisco and/or its affiliates. All rights reserved. 18
18.
© 2011 Cisco
and/or its affiliates. All rights reserved. 19
19.
•
Варианты применения • Прозрачность, Отчеты ”Большой • Защита серверов в DMZ от плохой Интернета Интернет” • Защита серверов в DMZ от Интранета • Защита Интранета от пользователей VPN Интранет DMZ • Продукты • ASA 5500-X • IPS 4300 • ASA5585 + модуль IPS © 2011 Cisco and/or its affiliates. All rights reserved. 20
20.
Шлюз VPN должен
расшифровывать трафик до инспекции трафика IPS, иначе IPS не увидит атаки на уровне приложений Интернет Интранет © 2011 Cisco and/or its affiliates. All rights reserved. 21
21.
Располагая IPS
до МСЭ, можно получить больше информации об атаках/угрозах из Интернета. IPS будет видеть атаки, которые иначе были бы заблокированы МСЭ. Насколько важна эта информация? Мы получим множественные ненужные сообщения IPS обрабатывает больше состояний, чем МСЭ, и поэтому может оказаться узким местом в случае DDOS атаки. Интернет Интранет © 2011 Cisco and/or its affiliates. All rights reserved. 22
22.
Большинство организаций
располагают IPS после МСЭ. В это случае IPS не загружен атаками, которые и так блокирует МСЭ. Интернет Интранет © 2011 Cisco and/or its affiliates. All rights reserved. 23
23.
Если МСЭ/VPN
шлюз – не ASA Меньше контроля над трафиком SSL ”Плохой Интернет” VPN Нужно учитывать требования к высокой доступности DMZ Интранет © 2011 Cisco and/or its affiliates. All rights reserved. 24
24.
Clientless SSL VPN
Proxy • IPS видит весть входящих трафик, как трафик с IP адреса прокси • Меньше контроля, т.к. индивидуальные сессии пользователей (src,dst) не видны • Некоторые действия (например ”drop attacker”) не рекомендуются attacker 10.1.1.1 Internet Intranet VPN inside ip = 10.1.1.1 © 2011 Cisco and/or its affiliates. All rights reserved. 25
25.
Нужно убедиться
в ”Big Bad Internet” симметричности трафика, проходящего через IPS Есть несколько опций для высокой доступности решения с использованием Software или Hardware Bypass или сетевого дизайна (Spanning Tree…) Intranet © 2011 Cisco and/or its affiliates. All rights reserved. 26
26.
”Плохой
Интернет” Полный набор функций IPS Интеграция с VPN, МСЭ Виртуализация для разделения политик DMZ Высокая отказоустойчивость Интранет © 2011 Cisco and/or its affiliates. All rights reserved. 27
27.
IPSec VPN
site-to-site SSL VPN (AnyConnect) Clientless SSL VPN оригинальный IP адрес сохраняется для IPS Интернет Интранет Трафик VPN © 2011 Cisco and/or its affiliates. All rights reserved. 28
28.
Виртуальные сенсоры
с различными настройками ”Плохой реакции на собития Интернет” VS0 : Internet -> dmz Виртаульные drop if Risk Rating > 90 сенсоры VS1 : VPN traffic DMZ drop if Risk Rating > 80 ip log if Risk Rating > 80 VS2 : Intranet surf Интранет drop if Risk Rating > 70 © 2011 Cisco and/or its affiliates. All rights reserved. 29
29.
Администрируется как
1 ASA + 2 ”Плохой Интернет” IPS ASA поддерживает синхронизацию конфигураций IPS – не поддерживает синхронизацию конфигураций Трафик должен проходить DMZ симметрично через активную ASA Отказоустойчивость без потери трафика Интранет © 2011 Cisco and/or its affiliates. All rights reserved. 30
30.
© 2011 Cisco
and/or its affiliates. All rights reserved. 31
31.
Задача:
Защита сети от беспроводных Si Services клиентов Продукты: IPS 4500 ASA5585 Core Si Si IDSM2 Distribution Si Si Access © 2011 Cisco and/or its affiliates. All rights reserved. 32
32.
WLC
ALARM! WCS Предотврящение угрод на физическом и канальном уровне (layer 1-2) DOS атаки в 802.11 Внутр. Посторонные точки доступа сеть Ad-Hoc сети радиочастотные помехи Аномальный клиентский AP трафик в WLAN WLAN Client © 2011 Cisco and/or its affiliates. All rights reserved. 33
33.
2) Cisco IPS
инициирует 1) Cisco IPS обнаружил блокировку хоста вредоносный клиентский трафик 3) WLC получает shun list с IP WLC адресом IPS заблокированного хоста 4) WLC проверяет, Внутр. соответствует ли сеть заблокированный IP адрес ассоциированному в БЛВС клиенту. Если да 5) WLC отключает – исключает клиента клиента от БЛВС и AP блокирует попытки переподключения X WLAN Client © 2011 Cisco and/or its affiliates. All rights reserved. 34
34.
© 2011 Cisco
and/or its affiliates. All rights reserved. 35
35.
• Задачи
Защита филиала от атак из Интернета (если есть примой доступ в Интернет из филиала) Защита головного офиса от атак из филиала Защита серверов в филиале (соответствие PCI) • Продукты Cisco IOS IPS Маршрутизатор Cisco с IPS модулем (AIM, NME) ASA5500-X Филиал VPN Головной офис © 2011 Cisco and/or its affiliates. All rights reserved. 36
36.
• Маленькие филиалы
Нет локальной поддержки ИТ, нежелание добавлять новые компоненты, требующие обслуживания Выбор - IOS IPS, Маршрутизатор с AIM/NME, ASA с AIP • Очень много филиалов Нужно снизить капитальные затраты Выбор - IOS IPS • Низкая скорость подключения филиала (E1, 10Mbps) Не требуется высокая производительность IPS • Кто управляет маршрутизатором? Маршрутизатор может быть под управлением сервис провайдера © 2011 Cisco and/or its affiliates. All rights reserved. 37
37.
• Не требует
дополнительного оборудования. Низкие операционные и капитальные затраты делают решение привлекательным для компаний, которые сами управляют маршрутизаторами в филиалах • Функционал IOS IPS не такой гибкий, как у аппаратных IPS • С появлением ISR G2 производительность IOS IPS увеличилась больше, чем в 2 раза при той же стоимости устройств © 2011 Cisco and/or its affiliates. All rights reserved. 38
38.
Защита от атак
из филиала Inside Outside Головной офис Филиал Веб- Черви! FE0/0 FE0/1 Интернет трафик кластер Туннель IPSec Cisco 28xx Серверы Интернет приложений Interface FastEthernet0/0 Компьютеры ip ips ips-policy in Компьютеры © 2011 Cisco and/or its affiliates. All rights reserved. 39
39.
© 2011 Cisco
and/or its affiliates. All rights reserved. 40
40.
• Задачи
Защита серверов Мониторинг / Уведомление о тревогах с помощью IPS в режиме IDS Мониторинг трафика виртуальных машин (пока только в режиме IDS) • Продукты Cisco IPS 4500 в режиме IPS или IDS Cisco ASA IPS SSP для ASA 5585 Cisco ASA5500-X Cisco IDSM2 в режиме IPS или IDS © 2011 Cisco and/or its affiliates. All rights reserved. 41
41.
• Разбиваем серменты
на L2-VLANы Host B (без SVI) VLAN20 • Разрешаем 10 и 20 VLANы в транке в торону IPS Fa2/42 • Добавляем правила мапирования VLANов • Тарблицы MAC адресов: Gi1/1 MAC Port MAC Port Fa1/10 HostA Fa1/10 HostB Fa2/42 HostB Gi1/1 HostA Gi1/1 VLAN10 Нет STP loop-ов, т.к. записи в разных VLANах Host A © 2011 Cisco and/or its affiliates. All rights reserved. 42
42.
Модуль Cisco ACE
или Cisco ACE4710 терминирует SSL • Позволяет IPS/IDS инспектировать трафик • Поддерживает балансировку нагрузки на уровне приложений (layer 7) • Разргрузка SSL с серверов • Сохранается IP адрес клиентов • Используется специализированная аппаратная платформа Cisco ACE Cisco IPS HTTPS/SSL HTTP Интернет Сервера © 2011 Cisco and/or its affiliates. All rights reserved. 43
43.
Как сделать
span трафика Гре множеста ВМ с разместить множеста сенсор? серверов ESX? Как мониторить трафик между Что делать с ВМ на одном перемещением сервере ESX? ВМ и VMotion? © 2011 Cisco and/or its affiliates. All rights reserved. 44
44.
Простота управления ВМ
и сетевыми политиками • Подключение ВМ на основе политик Мобильность сетевых настроек и Server 1 Server 2 политик безопансости • Интеграция с Virtual Center для VM #1 VM #2 VM #3 VM #4 VM #5 VM #6 VM #7 VM #8 администраторов серверов Cisco NX-OS для сетевых администраротов VMware 1000V Nexus vSwitch VMware 1000V Nexus vSwitch Nexus 1000V DVS VMW ESX VMW ESX • Прозрачность работы и контроль политик даже с VMotion • Совместимость с платформами коммутации © 2011 Cisco and/or its affiliates. All rights reserved. 45
45.
Профили портов
включают: Server Настройки VLAN, PVLAN VM VM VM VM ACL, Port Security, ACL #1 #2 #3 #4 Redirect Cisco TrustSec (SGT) Nexus 1000V - VEM NetFlow Collection VMW ESX Rate Limiting QoS Marking (COS/DSCP) Remote Port Mirror (ERSPAN) Cisco VSMs Virtual Center © 2011 Cisco and/or its affiliates. All rights reserved. 46
46.
vPC Peers
VSS (физика) VSS (логика) vPC 10GE Cat6500 Cat6500 Sup720-10GE Sup720-10GE MCEC Si Si vPC Peers 802.3ad 802.3ad 802.3ad 802.3ad MCEC Access Switch or Server ToR or Blades Access Switch or Server ToR or Blades © 2011 Cisco and/or its affiliates. All rights reserved. 48
47.
• НЕ РАБОТАЕТ
с устройствами IPS (нет поддержки EtherChannel) • Работает с ASA с версии 8.4.1: Поддержка EtherChannel Версия 8.4.2 на ASA 5585-X © 2011 Cisco and/or its affiliates. All rights reserved. 50
48.
• Соединяет IDS
систему с VSS шасси с помощью технологии SPAN • CAT6K поддерживает: SPAN RSPAN ERSPAN • Nexus 7000 поддерживает: SPAN RSPAN © 2011 Cisco and/or its affiliates. All rights reserved. 51
49.
© 2011 Cisco
and/or its affiliates. All rights reserved. 52
50.
Бессчетное
30,000 3000 сигнарут количество еще известных против не написанных эксплоитов уязвимостей эксплоитов Сигнатуры против экспроитов позволяют определить как известные и протестированные экспроиты, так и еще не написанные эксплоиты (эксплоиты нулевого дня) © 2011 Cisco and/or its affiliates. All rights reserved. 53
51.
Simple Pattern
Matching напр. atomic / проверка содежимого одного пакета Stateful Pattern Matching напр. фрагментированные TCP пакеты Context Stateful Pattern Matching напр. Данные FTP или в канале управления Protocol Decode-Based Analysis напр. несоответствие RFC, длина полей в пакетах определенных типов Anomaly Based Analysis напр. отличие трафика от “нормального” поведения Reputation Based Analysis (Глобальная корреляция) © 2011 Cisco and/or its affiliates. All rights reserved. 54
52.
© 2011 Cisco
and/or its affiliates. All rights reserved. 55
53.
Cisco SIO
Обновления Обновления ГК Защита сигнатур модулей АСУ Управление Модуль Внутренний Модули политиками нормализации модуль анализа на основании трафика корреляции рисков Фильтр репутации Выбор Регистрация Отражение виртуального данных и формирование сенсора (forensics) тревог IN OUT © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 56
54.
Что такое виртуальные
сенсоры? • Несколько экземпляров сенсора в рамках одного устройства IPS • Поддерживаются до 4 виртуальных сенсоров Сенсор (VS0) Атакующие Сеть A Сеть B Сенсор (VS1) Сенсор (VS2) Сеть C © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 57
55.
Cisco SIO
Обновления Обновления ГК Защита сигнатур модулей АСУ Управление Модуль Внутренний Модули политиками нормализации модуль анализа на основании трафика корреляции рисков Фильтр репутации Выбор Регистрация Отражение виртуального данных и формирование сенсора (forensics) тревог IN OUT © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 58
56.
...
58.65.232.0/21 58.83.8.0/22 Фильтр репутации Cisco IPS: 58.83.12.0/22 62.122.32.0/21 • Удаление пакетов, ... поступающих от известных Предварительная источников вредоносного ПО, обработка без анализа сигнатур. • БД фильтров репутации Фильтры постоянно обновляется репутации IPS • Защита от атак известных ботнетов Анализ по сигнатурам • Отражение на основании Ядро Глобальн. принятия контекста (отправителя), а не корреляция решений только контента Обнаружение аномалий • Быстрее, чем традиционный «только сигнатурный» подход © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 59
57.
Cisco SIO
Обновления Обновления ГК Защита сигнатур модулей АСУ Управление Модуль Внутренний Модули политиками нормализации модуль анализа на основании трафика корреляции рисков Фильтр репутации Выбор Регистрация Отражение виртуального данных и формирование сенсора (forensics) тревог IN OUT © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 60
58.
Дополнительная функция анализа, позволяющая: •
Предотвратить передачу аномального трафика через сенсор • Противодействовать маскировке атак (anti-evasion) • “Поддерживать” действия по другим сигнатурам в ходе длительных атак © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 61
59.
Как модуль нормализации
решает эти задачи? • Строгий контроль состояния конечного автомата TCP USER root • Строгий контроль порядковых TCP: HDR USER HDR root номеров • Отслеживание неподтвержденного проанализированного контента IP: HDR HDR US HDR ER HDR HDR ro HDR ot • Проверка контрольных сумм, обнаружение недопустимых флагов • Поддержка модификации TTL • … © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 62
60.
Вплоть до L7-
обфускации GET http://…U/*Con*/NI/*fused*/ON Анализ по сигнатуре GET http://…UNION © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 63
61.
Cisco SIO
Обновления Обновления ГК Защита сигнатур модулей АСУ Управление Модуль Внутренний Модули политиками нормализации модуль анализа на основании трафика корреляции рисков Фильтр репутации Выбор Регистрация Отражение виртуального данных и формирование сенсора (forensics) тревог IN OUT © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 70
62.
Что такое блоки
анализа? Типы блоков сигнатур • Компонент сенсора, • AIC поддерживающий категорию • Atomic сигнатур • Flood • Meta • Каждый модуль характеризуется набором параметров, для • Multi String которых существуют допустимые • Normalizer диапазоны и наборы значений • Service • State • Настраиваемые параметры модулей позволяют • Sweep оптимизировать • Traffic Anomaly сигнатуры/выполнять их тонкую • Trojan настройку или создавать новые • … сигнатуры. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 71
63.
• Сигнатура IPS
описывает отличительные особенности трафика • Сигнатуры связаны с определенным модулем • Постоянно выпускаются новые сигнатуры, также обновляются существующие сигнатуры. • Cisco позволяет заказчикам разрабатывать собственные сигнатуры • Сигнатуры, разработанные Cisco, привязаны к уязвимостям © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 72
64.
Уникальный модуль, созданный
для платформ, поддерживающих аппаратное ускорение обработки Regex Модули String – это модули поиска шаблонов при анализе ICMP-, TCP- и UDP трафика Новые модули “string-xl”: • string-xl-tcp • string-xl-udp • string-xl-icmp © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 73
65.
Большинство модулей поддерживают как
IPv4, так и IPv6 Исключения: • Действие modify-packet для нормализации трафика • Модули, связанные с обработкой ICMP • Модуль AIC • Block host, Block connection, and Rate limiting • Обнаружение аномалий © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 74
66.
Cisco SIO
Обновления Обновления ГК Защита сигнатур модулей АСУ Управление Модуль Внутренний Модули политиками нормализации модуль анализа на основании трафика корреляции рисков Фильтр репутации Выбор Регистрация Отражение виртуального данных и формирование сенсора (forensics) тревог IN OUT © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 75
67.
Нормализация трафика
Сигнатура A 10:17 ИД попытки Сигнатура B 10:19 обхода Сигнатура C 10:19 Мета- сигнатура X Анализ протокола Для принятия решения об атаке требуется полный контроль различных сигнатур, сведений о пользователях, протоколах и т. п. © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 76
68.
Модуль META • Позволяет
определять связанные события, которые произошли в течение «скользящего» интервала времени • Обрабатывает события, а не пакеты • Генерирует событие сигнатуры после того, как выполнены все требования (обнаружены все компоненты) объекта © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 77
69.
Инновации в управлении
угрозами Фильтры репутации Блокируют худших и известных Нормализация и анализ Глобальный Ядро по сигнатурам анализ принятия Повышение RR решений Обнаружение известных для характерных Block, Alert, шаблонов сочетаний Permit, Limit © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 78
70.
Влияние глобальной корреляции
на рейтинг риска • Средства анализа глобальной Reputation Effect on Risk Rating Standard Mode Reputation of Attacker корреляции позволяют Blue Deny Packet Red Deny Attacker корректировать RR событий -1 -2 -3 -4 -5 -6 -7 -8 -9 -10 Initial 80 80 87 92 95 98 99 100 100 100 100 на основании репутации Risk Rating 81 82 81 87 92 96 98 82 88 93 96 98 100 100 100 100 100 100 100 100 100 100 атакующего и исходного 83 84 83 88 93 96 99 84 89 94 97 99 100 100 100 100 100 100 100 100 100 100 значения RR. 85 86 85 90 94 97 99 86 90 94 97 99 100 100 100 100 100 100 100 100 100 100 87 87 91 95 98 100 100 100 100 100 100 88 88 91 95 98 100 100 100 100 100 100 89 89 92 96 98 100 100 100 100 100 100 90 90 92 96 99 100 100 100 100 100 100 91 91 93 97 99 100 100 100 100 100 100 92 92 93 97 99 100 100 100 100 100 100 93 93 94 97 100 100 100 100 100 100 100 94 94 95 98 100 100 100 100 100 100 100 95 95 95 98 100 100 100 100 100 100 100 96 96 96 99 100 100 100 100 100 100 100 97 97 97 99 100 100 100 100 100 100 100 98 98 98 100 100 100 100 100 100 100 100 99 99 99 100 100 100 100 100 100 100 100 100 100 100 100 100 100 100 100 100 100 100 © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 79
71.
Известные риски для
определенных отраслей © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 80
72.
Векторы прямых/косвенных угроз
Modbus Level 5 Руткит Enterprise Network Enterprise Zone Level 4 E-Mail, Intranet, etc. Site Business Planning and Logistics Network Purdue Reference Model, ISA-95 Firewall Terminal Patch Management AV Services Server Web E-Mail ДМЗ CIP Application Web Services Application Mirror Operations Server Firewall ISA-99 FactoryTalk Application FactoryTalk Directory Engineering Workstation Domain Controller Зона Level 3 Server производства Руткит Site Manufacturing Operations and Control Area FactoryTalk Client FactoryTalk Client Supervisory Control Modbus Level 2 Operator Engineering Operator Interface Workstation Interface Cell/Area Basic Control Continuous Zone Level 1 Batch Discrete Drive Process Safety Control Control Control Control Control Level 0 Sensors Drives Actuators Robots Process © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 81
73.
Дилемма обновления компонентов
АСУ ТП Решения Cisco для защиты АСУ ТП обеспечивают безопасность при разумном Новая уязвимость подходе • Снижение рисков Патч готов ? непредвиденных простоев Y N (редко) (обычно) в результате атаки Ставим патч ? Принимаем риск? • Существенное снижение затрат N Y за счет упрощения процедур Убытки/ время/работа Принимаем риск ? пакетной установки патчей Риски нарушения работоспособности © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 82
74.
Решение Cisco Отдельный класс
сигнатур для АСУ ТП • Обновление в рамках обычного еженедельного обновления сигнатур • Отдельная лицензия • Решено большинство типовых проблем промышленных сред (например, MODBUS) © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 83
75.
Ориентация на отрасли Что
уже сделано? Все типы оборудования • SCADA Экстенсивная защита • DCS • PLC • Типовые отраслевые системы • SIS АСУ ТП • EMS Начальная отрасль: нефтегазовая Все основные поставщики • Schneider • Как добыча, так и переработка • Siemens • Поддержка сигнатур и их • Rockwell разработка продолжаются • GE, ABB • Yokogawa Планы • Motorola • Emerson • Энергораспределительные • Invensys системы • Honeywell • Производство • SEL • Добыча полезных ископаемых и список пополняется... © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 84
76.
Cisco SIO
Обновления Обновления ГК Защита сигнатур модулей АСУ Управление Модуль Внутренний Модульные политиками нормализации модуль блоки анализа на основании трафика корреляции рисков Фильтр репутации Выбор Регистрация Отражение виртуального данных и формирование сенсора (forensics) тревог IN OUT © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 85
77.
Рейтинг риска (RR) •
Для каждого события вычисляется RR Серьез- Опасность • Контекст учитывается ность угрозы? (глобальная корреляция) Достов. Насколько низки + сигнатуры ложные • Политика обработки событий срабатывания? основана на категориях рисков Релевант- + ность Опасность для цели? • Фильтрация для известных атаки Ценность Насколько важна триггеров + цели безопасность атаки цели? Оценка Контекст + дополнительных сведений? = Рейтинг риска © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 86
Jetzt herunterladen