Weitere ähnliche Inhalte
Ähnlich wie Владимир Илибман - Межсетевые экраны следующего поколения. Определение и методики оценки
Ähnlich wie Владимир Илибман - Межсетевые экраны следующего поколения. Определение и методики оценки (20)
Владимир Илибман - Межсетевые экраны следующего поколения. Определение и методики оценки
- 1. Владимир Илибман
voilibma@cisco.com
© 2010 Cisco and/or its affiliates. All rights reserved.
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1
- 2. • Эволюция межсетевых экранов
• Что скрывается под термином Next Generation Firewall
• Что должен включать в себя NGFW
• Как образом функционирует NGFW
• Каким образом можно тестировать и сравнивать
межсетевые экраны
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 247
- 3. Угрозы становится
существенно сложнее
обнаруживать и отражать
Уровень защиты
Application Firewall
Проверка приложений по
стандартным портам
Stateful Firewall:
С учетом состояния сессии
Пакетные фильтры
IP-адрес, порты
1990 1995 2000 2005 2007 2010
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
- 4. 172.16.4.20 = ноутбук Главбуга
122.155.13.123 = сервер в Тайване
Анализ на уровне Внутри HTTP = Протокол TeamViewer
контента и контекста–
выглядит не очень
Трудно судить только по половине изображения
Анализ на уровне Source IP= 172.16.4.20
сети – Destination IP= 122.155.13.123
Port = 80
выглядит хорошо
Application = HTTP
Cisco Security Future © 2006 Cisco Systems, Inc. All rights reserved.
Cisco Confidential 4/66
- 5. Межсетевой экран следующего поколения
Анализ Интегрированный Информация о Внешний источник
приложений IPS пользователе репутации
Классический межсетевой экран в режиме L3 или L2
(фильтрация с учетом состояния, NAT, VPN)
Статья Defining the Next-Generation Firewall , Gartner, 2009
© Cisco, 2010. Все права защищены. 5/124
- 6. Идентификация Классификация Контроль
© Cisco, 2010. Все права защищены. 6/124
- 7. • Идентификация типа
Social Networks, Online Media, P2P, Интернет-
телефония, WebMail
• Идентификация приложения
Facebook, Youtube, BitTorrent, Skype, Gmail
• Идентификация поведения внутри приложения
Upload photo в Facebook, Upload Video в Youtube,
Download Attachment в Gmail
© Cisco, 2010. Все права защищены. 7/124
- 8. 1. На основании TCP, UDP портов
2. С помощью эвристического анализа сессий
• Пример: идентификация P2P по статистике создаваемых новых сессий,
Пример:идентификация голосового трафика по частоте и размеру
пакетов
3. С помощью технологий Deep Packet Inspection (сигнатур)
• Пример: если есть заголовки RTP, то имеем голосовой трафик
• Пример: если есть заголовок TOR directory, то имеем протокол TOR
4. Путем анализа адресной информации источника-
получателя трафика
• Пример: Если при проверке будет установлено, что имя узла
получателя = www.youtube.com, то приложение можно
классифицировать как "youtube"
© Cisco, 2010. Все права защищены. 8/124
- 9. Что имеем:
Что хотим: • Unclassified Application
• детализацию • False Positive
• точность • False Negative
• скорость распознавания • Задержки перед идентифик.
© Cisco, 2010. Все права защищены. 9/124
- 10. • Идентификация предполагает идентификацию роли
пользователя (сотрудник-контрактник-гость, роль
сотрудника..) и используется для авторизации прав доступа
• Для идентификации NGFW может использовать информацию
из корпоративной директории (AD, LDAP, Novell …)
• NGFW может идентифицировать пользователя
1. пассивно (например по IP-адресу компьютера пользователя
извлекаемого из логов AD)
2. активно (запрашивая пользователя или приложение пользователя о
вводе логина, пароля, ключа)
3. с помощью агента на компьютере пользователя
© Cisco, 2010. Все права защищены. 10/124
- 12. HOW
Тип устройства ОС Состояние
AV
Files
Registry
© Cisco, 2010. Все права защищены. 12/124
- 13. Облако репутаций Интернет-
сайтов и ресурсов
19.14.51.34 139.34.13.18
199.32.1.71 219.134.15.3
19.3.1.18 74.134.1.13
Опыт пользователей
Пользовательское оборудование
Корпоративная сеть
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
- 14. Системы UTM Web Security Gateway Системы DLP
*согласно Gartner
© Cisco, 2010. Все права защищены. 14/124
- 15. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
- 16. Стандартные тесты
производительности (RFC
2544) не работают для
NGFW и IPS
Производительность зависит
от структуры трафика и
включенных механизмов
защиты
Как определить список
реально распознаваемых
приложений
Эффективность
распознавания угроз
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1647
- 17. Transactional
Media Rich
Enterprise Apps
Enterprise Data Center
higher Ed
SMB
Service Provider
(5 BP Tests) Mix Avg
585-10 5585-20 5585-40 5585-60 4270
Enterprise Apps Enterprise Data Center Service Providers
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1747
- 18. • Идентификация приложений
• Атаки на уровень приложений
• Контроль доступа на уровне приложений
• Инспекция SSL/TLS
• Блокировка вредоносного контента
• Защита от маскировки трафика и атак
• Поддержка IPv6
• Качество работы Интернет блек-листов и
сервисов репутаций вендоров
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1847
- 19. Next-Generation Firewall Testing
Next Generation Firewall
(NGFW): Test Methodology v4.0
Next-gen firewalls: Off to a good start
Firewall Testing Methodology
Вы можете создать свою собственную
методику тестирования !!
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1947