Защита периметра от сетевых угроз с помощью

Защита периметра от сетевых угроз с помощью
межсетевых экранов Cisco ASA и ASA NG
Руслан Иванов
Системный инженер-консультант
ruivanov@cisco.com

13.01.2
014

© 2013 Cisco and/or its affiliates. All rights reserved.

Изменение людей

СТУДЕНТОВ
ВУЗОВ

СТУДЕНТОВ ВУЗОВ И
МОЛОДЫХ СПЕЦИАЛИСТОВ

И
Воздух
Вода
Продукты
Защита
Интернет
СЧИТАЮТ ИНТЕРНЕТ ОСНОВНЫМ
ЧЕЛОВЕЧЕСКИМ РЕСУРСОМ

МОЛОДЫХ
СПЕЦИАЛИСТОВ

ГОВОРЯТ, ЧТО ОНИ НЕ МОГЛИ БЫ ЖИТЬ
БЕЗ
ИНТЕРНЕТА

Отчет по глобальным сетевым технологиям: http://www.cisco.com/en/US/netsol/ns1120/index.html

Изменение приложений

+

=

1 из 5 сотрудников использует сервис хранения
Dropbox на работе
Использование Dropbox по должности

Персонал и
руководитель
Все отделы

Директор и вицепрезидент

Руководители
высшего звена

Только ИТ-отдел

Справочные сведения: http://gigaom.com/cloud/guess-what-mr-cio-one-in-five-of-your-employees-use-dropbox-for-work-files/

Изменение ландшафта угроз

1 022 989

веб-сайтов
скомпрометировано

26 417 304 случая несанкционированного доступа к
данным
Черный список URL-адресов вредоносных программ, декабрь 2012 г. http://www.stopbadware.org/
Несанкционированный доступ к данным в 2012 г.: http://www.privacyrights.org/data-breach/new

Адаптация к изменениям

На одно правило межсетевого экрана…
…приходится 999 999 исключений.

(Источник: руководитель службы инф. безопасности
крупного финансового учреждения)

Увеличение требований к обеспечению
безопасности
Повсеместная защита всех компонентов

Реализация политик допустимого использования

Надежные функции межсетевой защиты с
контролем состояния

Повсеместный доступ с любого устройства

Продукты безопасности Cisco в современном мире
A T T A C K

C O N T I N U U M

Управление
Применение
Защита

Обнаружение
Блокирование
Защита

Масштаб
Содержание
Избегание

Firewall

NGIPS

Advanced Malware Protection

Next Generation Firewall

Web Security

Network Behavior Analysis

Cisco ISE

Email Security

VPN

UTM
C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved.

Cisco Confidential

8

Обзор

Архитектура
устройствами
Применение политик


Cisco Confidential

9

• Использует в качестве основы ASA stateful inspection
firewall;
• Предоставляет следующие продвинутые (NGFW)
сервисы:
̶ Репутационная фильтрация веб трафика для защиты от
вредоносного ПО;
̶ URL-фильтрация доступа к разным категориям сайтов на
основе заданной политики;
̶ Контроль использования приложений Application visibility and
control (AVC)
̶ Защита от угроз (NGFW IPS)


Cisco Confidential

10

1.4 Gbps NGFW
600 Mbps NGFW + IPS
1M Connections
50,000 CPS

200 Mbps NGFW
60 Mbps NGFW + IPS
100K Connections
10,000 CPS

350 Mbps NGFW
90 Mbps NGFW + IPS
250K Connections
15,000 CPS

650 Mbps NGFW
300 Mbps NGFW + IPS
500K Connections
20,000 CPS

1 Gbps NGFW
450 Mbps NGFW + IPS
750K Connections
30,000 CPS

ASA 5555-X

ASA 5545-X

ASA 5525-X

ASA 5515-X
ASA 5512-X

Защита филиалов

Защита доступа в Интернет/границы сети
Cisco Confidential

11

New
with 9.2
New
with 9.2

ASA 5585-SSP60
ASA 5585-SSP40

ASA 5585-SSP20

ASA 5585-SSP10
2 Gbps NGFW
1 Gbps NGFW + IPS
500K Connections
40,000 CPS

5 Gbps NGFW
1.5 Gbps NGFW + IPS
1 Million Connections
75,000 CPS


9 Gbps NGFW
2.5 Gbps NGFW + IPS
1.8 Million Connections
120,000 CPS

13 Gbps NGFW
4 Gbps NGFW + IPS
4 Million Connections
160,000 CPS

Cisco Confidential

12

До NGFW 9.2
• PRSM управляет:
̶ NGFW
̶ Настройками Syslog*

• Политики применяются к группам
устройств
• Политики могут:
̶ Разрешить или запретить

NGFW 9.2
• PRSM управляет:
̶ NGFW
̶ Настройками Syslog*
̶ Конфигурацией NAT*
̶ Правилами МСЭ на ASA*

• Политики могут быть:
̶ Локальными для данного устройства
̶ Разделяемыми
̶ Универсальными

• Политики могут:
̶ Разрешить, выдать предупреждение**, или
запретить

* В режиме управления несколькими устройствами (off-box PRSM). Для одного устройства требуется ASDM или CSM.
** Пользователь может прочитать страницу предупреждения и получить доступ к запрашиваемому ресурсу.

Cisco Confidential

13

Дополнительно NGFW 9.2 поддерживает:
• Поддержка режима Active/Standby:
PRSM может распознать отказоустойчивую пару и
посчитать её как одно устройство (с точки зрения
лицензирования, настроек и отчетов);
̶

• Защита от интернет-угроз NGFW IPS;
• Новые модули NGFW Cisco® ASA 5585-X SSP 40, 60:
̶

NGFW теперь поддерживается на всех моделях ASA,
кроме 5505.


Cisco Confidential

14

Улучшения в NGFW 9.2:
• Роли для интерфейсов – наборы интерфейсов,
которые могут быть использованы для создания
политик безопасности;
• Ограничение полосы пропускания;

• Поддержка Safe search.

Примечание: Не все эти функции поддерживаются во всех типах политик.

Cisco Confidential

15

Требования к
оборудованию

Требования к ПО

• Для платформ 5512-X, 5515-X, 5525-X,
5545-X, 5555-X требуется SSD диск.

• ASA должна использовать код не ниже
версии 9.1.3

• Для 5585-X SSP10, 20, 40, 60
для функционала NGFW необходим
отдельный аппаратный модуль.

• NGFW должен использовать 9.2
• Сервер PRSM должен использовать 9.2

Примечание: Сервер PRSM 9.2 может управлять МСЭ ASA под управлением ПО 9.0.1 или выше, если ASA без NGFW-сервиса.

Cisco Confidential

16

Обзор



Cisco Confidential

17

SSP 40 and
60 Support
New with
NGFW 9.2

Two Hard Drives Raid 1
(Event Data)

10 GE and GE Ports


8 GB eUSB (System)

NGFW

GE Management Ports

ASA

Cisco Confidential

18

URL Category/Reputation
HTTP Inspection

AVC
TLS Proxy

Multiple Policy Decision
Points

TCP Proxy

NGFW IPS

TCP Normalization

NAT

TCP Intercept

Routing

IP Option Inspection

ACL

IP Fragmentation

VPN Termination

NGFW

ASA

Botnet Traffic Filter


Cisco Confidential

20

Корпоративная сеть

TLS Proxy

Web-сервер

1. Согласование
алгоритмов

4. Client authenticates “server”
certificate

Сертификат генерируется
автоматически для каждого
сервера, но подписан ASA
NGFW

1. Согласование
алгоритмов

3. Создание
спроксированного
сертификата

3. Аутентификация
серверного
сертификата

5.

Генерация
ключей
шифрования

5.

Генерация
ключей
шифрования

6.

Зашифрованный
туннель установлен

6.

Зашифрованный
туннель установлен

• Две РАЗНЫХ сессии, РАЗНЫЕ сертификаты, и РАЗНЫЕ ключи

• ASA NGFW работает в данном примере как CA и выпускает сертификат для Web-сервера

Cisco Confidential

21

Расшифровывает SSL и TLS трафик через любые порты
Самоподписанные (default) сертификаты или корпоративный PKI
• Самоподписанный сертификат может быть загружен на клиента и добавлен в хранилище доверенных сертификатов

Политики контроля зашифрованного трафика определяют, какой трафик должен подвергнуться инспекции
• ASA NGFW не может определить имя хоста в клиентском запросе, так как оно зашифровано, поэтому использовать его для
выбора политики не получится
• FQDN и/или URL-категория определяются по серверному сертификату

Если требуется инспектирование зашифрованного трафика, ASA NGFW работает как посредник
• Создается новый сертификат, подписанный ASA NGFW или корпоративным CA
• Поля FQDN и сроки действия нового сертификата копируются из оригинального серверного сертификата
• Несовпадения имен и истекшие сертификаты игнорируются и должны обрабатываться клиентом!!!


Cisco Confidential

22

New with
NGFW 9.2

• Заставить клиентов использовать наилучшие практики работы с сертификатами
• Изменения в политиках доступа для нерасшифрованного HTTPS трафика:
̶ Хост, доменное имя, и web-категория могут быть использованы в URL-объектах для выбора политики;
̶ Фильтрация на основе Web-репутации может быть применена к HTTPS-трафику.

̶ Серверный сертификат используется для определения FQDN.


Cisco Confidential

23

Поддерживается более 1200 приложений
Использует преимущества Cisco® Security Intelligence Operation (SIO)
• По умолчанию, PRSM и ASA NGFW проверяют обновления описаний приложений каждые 5 минут

Поддерживаемые приложения определяются на любом порту
Поддерживаются три уровня атомарности
• Тип приложения:
̶ Например: Collaboration, Facebook, games, social networking

• Приложение:
̶ Например: BitTorrent, Cisco phones, ftp-agent, ftp-agent, Google Translate, iTunes, LDAP, oracle-sqlnet, RADIUS, WCCP, WebEx®

• Поведение приложения:
̶ Например, можно разрешить приложения типа collaboration, но запретить загрузку файлов из сети компании наружу.


Cisco Confidential

24

Уязвимость нулевого дня Internet Explorer (IE)

Cisco Continuous Intelligence
Day 0:
Site Blocked
Malicious Site
By Cisco
Detected

Day 8:
Site Volume Up
Malware Detected

Traditional Response
Day 14:
IPS Sig Published
C&C Server Blocked

40+ Malicious “Parked”
Domains Blocked

Day 16:
A/V “A” Partial Sig
Published

Day 17:
A/V “B” Sig Published

Security Advisory
Issued

Day 18:
A/V “C, “D” & Full “A” Sig
Published

IE Patched

Угрозы и атаки нулевого дня с более чем 40 «припаркованных» доменов
Подход конкурентов: бесконечная гонка против хакеров
остановлены репутацией и кросс-платформенными алгоритмами
Подход Cisco: остановить атаки на источнике
разоружить атакующих


Cisco Confidential

25


Cisco Confidential

26

2

“В долгорочной перспективе более 60% Java инстялляций никогда
не поддерживаются в «свежем» состоянии. Поскольку такое
количество компьютеров не обновлено, даже старые эксплиты
могут использоваться для компрометации жертв.
…Мы обнаружили, что во время первого месяца после выпуска
патча, уровень адаптации не превышает 10%. Через 2 месяца,
примерно 20% устанавливают патчи и через 3 месяца 30%. Мы
определили, что самый высокий уровень установки патчей был
38% с Java Version 6 Update 26 через три месяца после релиза.”
- Marcus Carey, Rapid7

Source: Krebs on Security “New Java Attack Rolled into Exploit Packs”. March, 2012.


Cisco Confidential

27

2

• Обнаружена – 27 августа 2012 года
• Анализ -- http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html
• Впервые сообщено об аналогичной уязвимости – 10 августа 2012 года Марком Вуглером
• Oracle выпустил update 7 (7u7), который исправляет эту уязвимость


Cisco Confidential

28

2

Как это работает
• Зашифрованный javascript в index.html
• Уязвимость атакует Java 7 (1.7) Update 0 до 6. Не атакует Java 6 и ниже
• Работает на всех браузерах, в том числе и Google Chrome
• Не оказывает видимого влияния на работу браузеров
• При загрузке вредоносного кода, если система не уязвима, атака останавливается.

С точки зрения пользователя невозможно сказать, была ли атака успешной, или же
нет.
• Если атака успешна, она загружает и выполняет вредоносный двоичный код,

который вызывается с другого DNS/IP hello.icon.pk / 223.25.233.244


Cisco Confidential

29

29

Как отреагировала Cisco?


Cisco Confidential

30

30

Cisco Security Intelligence Operation (SIO)
24x7x365

600+

OPERATIONS

ENGINEERS, TECHNICIANS
AND RESEARCHERS

$100M+
SPENT IN DYNAMIC RESEARCH AND
DEVELOPMENT

40+

80+

LANGUAGES

PH.D.S, CCIE, CISSP, MSCE

0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110
0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110

Cisco SIO

1001 1101 1110011 0110011 101000 0110 00 0111000 111010011
1001 1101 1110011 0110011 101000 0110 00 0111000 111010011

101 1100001 11000 111
101 1100001 11000 111

Email

Networks

Web

Endpoints

Visibility

Cloud

Actions

IPS

Devices

Information

WWW

IPS

AnyConnect
WWW

ESA

ASA

WSA

Control

1.6M

35%

3 to 5

200+

GLOBAL SENSORS

WORLDWIDE EMAIL TRAFFIC

MINUTE UPDATES

PARAMETERS TRACKED

75TB

13B

5,500+

70+

DATA RECEIVED PER DAY

WEB REQUESTS

IPS SIGNATURES PRODUCED

PUBLICATIONS PRODUCED

150M+

8M+

DEPLOYED ENDPOINTS

RULES PER DAY


Cisco Confidential

31

Выделенные или взломанные
сайты, которые устанавливают
троянцев, перехватчики
клавиатуры и руткиты.
Безусловная угроза.

-10

Агрессивное использование рекламы с
Множества сайтов, использующие
технологии слежения за пользователем.
Сайты подозреваются в использовании
вредоносных технологий.

-5

Фишинговые сайты, боты и т.д.
Почти всегда имеют вредоносный
контент.

Сайты с некоторой историей
реакции на инциденты или
имеющие репутацию от третьей
стороны

0

+5

Сайты с хорошей историей реакции
на инциденты. Контент генерируется
пользователями или собирается
с других сайтов

+10

Сайты с хорошей историей
реакции на инциденты.
Генерируют большое
количество трафика и часто
посещаются

Профиль репутационной фильтрации по умолчанию
Вредоносные
(от -10 к -6)

Не вредоносные (от -5.9 к +10)

Cisco Confidential

32

Применение корпоративных правил доступа к разным
категориям
Предопределённые или собственные URL-категории
78 предопределённых URL-категорий
20,000,000+ URL категоризировано
Мы говорим на 60+ языках народов мира
Использует Cisco® Security Intelligence Operation (SIO)
̶ Взаимодействует с функционалом определением
приложений AVC;
̶ По умолчанию, PRSM и NGFW проверяют обновления
каждые 5 минут.

Cisco Confidential

33

New with
NGFW 9.2

Упрощённая
настройка
• Политики на основе
применимости риска
• Фокус на угрозы, а не на
сигнатуры

Богатый набор
политик
• Политика IPS часть
общей политики доступа
NGFW

Высокая
динамичность
• Ежедневные и
ежечасные
обновления:
̶ Угроз / сигнатур

• Работает с репутацией
источника


• Опирается на знание
приложения

̶ Аналитических
движков

̶ Репутации

Cisco Confidential

34

New with
NGFW 9.2

Интегрированный

Выделенный

• Угрозы

Гибкий

Простой

• Автоматическое
обновление всех
компонентов

• Сигнатуры
• Широкое покрытие
• Настраиваемые и
собственные сигнатуры
• Широкий набор реакций

Готово для ЦОД

• Набор для границы
сети/Интернета

Эффективный

• Настройки на основе
анализа риска

• Использование App ID и
Web-репутации

NGFW IPS

ASA IPS

Cisco Confidential

35

Требует HTTP-запрос для начала аутентификации
1. ASA NGFW перехватывает HTTP-запрос от клиента к сайту;
2. ASA NGFW перенаправляет клиента на внутренний интерфейс ASA (по умолчанию порт 885);
Перенаправление происходит с помощью команды proxy redirect (HTTP return code 307) – мы подменяем удаленный сайт
̶

3. ASA отправляет клиенту запрос на аутентификацию (HTTP return code 401)
4. После аутентификации, ASA NGFW перенаправляет клиента обратно на запрошенный сайт (HTTP return code 307)

После аутентификации, ASA NGFW использует IP-адрес для сопоставления с пользователем
•

Весь трафик и приложения (не только HTTP) теперь будут ассоциированы с данным пользователем

Интеграция с корпоративной инфраструктурой
Поддерживаемые каталоги пользователей:
•
•
•

Microsoft Active Directory
OpenLDAP
IBM Tivoli Directory Server


Cisco Confidential

36

Устройство должно входить в домен Active Directory
Поддерживается для любого трафика и любых клиентов
Требует Cisco® Context Directory Agent (CDA):
̶ Отдельный сервер на Linux, который может быть запущен как
виртуальная машина (VM);
̶ Интуитивный web-GUI и похожая на Cisco IOS® командная строка

•

CDA собирает информацию с Active Directory;

•

CDA кэширует информацию;

•

ASA NGFW/PRSM запрашивает с CDA информацию о
пользователях;

•

ASA NGFW/PRSM запрашивает с Active Directory
информацию о членстве в группе AD.


Cisco Confidential

37

Обзор



Cisco Confidential

38

Cisco® SIO

ASA NGFW

Application Identification Updates

PRSM

RESTful XML
[REST = Representational State Transfer]

Reliable Binary Logging

HTTPS


HTTPS

Cisco Confidential

39

New with
NGFW 9.2

• Когда первая ASA добавляется в PRSM, другое устройство обнаруживается автоматически;
• В большинстве случаев, PRSM считает пару за одно устройство;
• Настройки отказоустойчивости могут быть изменены в PRSM после добавления устройств:
̶ Изменить или добавить stateful failover link;
̶ Включить или выключить репликацию HTTP.


Cisco Confidential

40

New with
NGFW 9.2

NGFW поддерживает все режимы ASA (маршрутизируемый,
прозрачный, смешанный)
В каждом контексте нужно явно настроить перенаправление
ASA NGFW работает как единое устройство с ASA и использует
VCID для каждой транзакции
Политики ASA NGFW глобальные и применяются ко всем
контекстам на ASA
Поддерживается активная аутентификация с возможностью
задания порта на ASA
В журналах PRSM отображаются имена контекстов
При ролевой настройке интерфейсов можно использовать
информацию о контексте

Cisco Confidential

41

Обзор



Cisco Confidential

42

Политики применяют действия к некоторому подмножеству сетевого трафика
Типы политик
•
•
•
•

Доступ (ASA inbound, context-aware, ASA outbound) – определяет, какой трафик применить, а какой отбросить;
Идентификации – определяет, какой трафик требует явной аутентификации пользователя и каким образом;
Шифрования – определяет, какой из зашифрованных SSL и TLS трафик требует инспектирования и досмотра;
NAT – определяет, какой трафик требует сетевой трансляции адресов Network Address Translation (NAT).

Набор политик – это упорядоченный список политик определенного типа
• Политики применяются сверху вниз – порядок следования имеет значение!
• Как минимум, каждому типу политик соответствует хотя бы один набор политик;
• Если политика не указана, действует правило по умолчанию.

Политики по умолчанию для набора политик:
• Политики доступа имеют правило по умолчанию разрешить всё;
• Политики шифрования по умолчанию не расшифровывают трафик;
• Политики идентификации по умолчанию не требуют аутентификации.

Cisco Confidential

43

Используются при создании политик
• Требуются, чтобы понять, какую политику применить.

Можно использовать как предопределённые объекты, так и созданные
администратором
Множество типов
• Исходящая сеть или сеть назначения;
• Идентификация пользователя;

• Тип устройства, ОС и клиента:
̶ Cisco AnyConnect® Secure Mobility;
̶ Строка UserAgent в HTTP-запросе.
• Запрашиваемый URL;

• Приложение или тип приложения.


Cisco Confidential

44

Используются при создании политик
• Применяются после срабатывания политики

Профиль фильтрации типов файлов
• Блокирование скачивания указанных MIME-типов;
• Блокировка закачивания определённых MIME-типов.

Профили репутационной Web-фильтрации
• Указывает пороговое значение срабатывания Web-фильтра;
• Значение по умолчанию -6.

Профили противодействия угрозам Next-generation IPS
• Определяет пороговые значения для NGFW IPS;
• Умолчания: Block & Monitor 70, Allow & Monitor 40

Cisco Confidential

45

New with
NGFW 9.2

Существует три типа политик доступа:
Политики для входящего в ASA трафика
• Применяются на входе;
• Имеют вид классического 5-tuple ACL;
• Могут оперировать именем пользователя и FQDN хоста.

Политики на основе знания контекста
• Применяются между исходящим и входящим трафиком;
• Используют сервисы NGFW;

Политики для исходящего от ASA трафика
• Точно такой же функционал, что и на входе.


Cisco Confidential

46

New with
NGFW 9.2

• Возможность управлять настройками ASA NAT из PRSM;
• PRSM оперирует политиками NAT (ASA 8.3+);
• Три набора политик:
̶ Twice NAT rules (до object NAT)
̶ Network object NAT
̶ Twice NAT rules (после object NAT)

• Наборы политик NAT нельзя удалить или добавить, правила – можно изменять и добавлять.

Cisco Confidential

47

New with
NGFW 9.2


Cisco Confidential

48

New with
NGFW 9.2

Наборы политик бывают:
̶ Универсальные – набор политик используется всеми устройствами;
̶ Разделяемые – используются некоторыми устройствами;
̶ Локальные – набор политик используется только на одном устройстве.


Cisco Confidential

49

New with
NGFW 9.2

Применяется только для политик, учитывающих
контекст соединения

Ограничивает полосу пропускания для каждой политики
При превышении порога пакеты сбрасывается
Ограничение полосы пропускания – обязательный
атрибут политики
Выделенная полоса пропускания используется всеми
соединениями, которые соответствуют данной политике


Cisco Confidential

50

New with
NGFW 9.2

Применяется только для политик, учитывающих
контекст соединения

Блокирование поисковых запросов для
поддерживаемых поисковых движков:
• Если Safe Search включен в политике и выключен в
браузере клиента

Поддерживаемые поисковые движки:
•
•
•
•
•
•

Google
Yahoo
Bing
Ask
Duckduckgo
Yandex


Cisco Confidential

51

New with
NGFW 9.2


Cisco Confidential

52

New with
NGFW 9.2

Набор интерфейсов может использоваться в политиках
(входящих или исходящих)
Интерфейсам должны быть предварительно заданы
имена (nameif)
Можно использовать маски: например, *ide* совпадёт и
с inside и с outside
Удобно применять для создания политик на основе
направления трафика
• По мере роста количества интерфейсов, политики на основе
IP масштабируются всё хуже и хуже


Cisco Confidential

53

New with
NGFW 9.2

Функционал NGFW IPS лицензируется отдельно,
является подписным сервисом (1, 3, 5 лет).
Кнопка ВКЛ/ВЫКЛ для NGFW
Блокировка трафика от IP-адресов из черного
списка

Опционально можно разрешить трафик с
высокой репутацией


Cisco Confidential

54

New with
NGFW 9.2

Оптимизировано для защиты от эксплойтов
Три варианта реакции:
• Block and Monitor
• Allow and Monitor
• Don’t Monitor
Можно делать исключения
Используется в политиках доступа


Cisco Confidential

55

#CiscoConnectRu

Спасибо
Пожалуйста, заполните анкеты.
Ваше мнение очень важно для нас.
Руслан Иванов
Системный инженер-консультант
ruivanov@cisco.com

CiscoRu
13.01.201
4

Cisco

© 2013 Cisco and/or its affiliates. All rights reserved.

CiscoRussia

Защита периметра от сетевых угроз с помощью

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Andere mochten auch

Andere mochten auch (10)

Ähnlich wie Защита периметра от сетевых угроз с помощью

Ähnlich wie Защита периметра от сетевых угроз с помощью (20)

Mehr von Cisco Russia

Mehr von Cisco Russia (20)

Защита периметра от сетевых угроз с помощью