- Информационная безопасность
- Защита объектов КИИ
- Управление информационной безопасностью
- Управление устройствами Apple
- BYOD и комплексная информационная безопасность мобильных устройств
- Управление инфраструктурой на базе Cisco DNA
- Межсетевые экраны NGFW от Cisco Systems
- Начальный уровень защиты компании
- Защита для малого бизнеса
- Телефония
- WI-FI
- Видеонаблюдение и СКУД
- О компании
Межсетевые экраны NGFW от Cisco Systems
Cisco Next Generation Firewall (NGFW)
Серия межсетевых экранов Cisco NGFW представляет собой программно-аппаратный комплекс — межсетевой экран нового поколения с унифицированным управлением и активной защитой от угроз до атаки, во время нее и после сетевой атаки.
Cisco NGFW занимает лидирующие позиции среди мировых производителей межсетевых экранов. Центр исследования угроз и информационной безопасности Cisco Talos Intelligence Group является одним из крупнейших центров исследования и защиты от угроз безопасности. В помощь команде разработчиков и инженеров используется непревзойденная система сбора и обработки телеметрии, сложные системы для создания точного, быстрого и действенного анализа угроз для клиентов, продуктов и услуг Cisco.
Cisco Talos Intelligence Group защищает оборудование клиентов от известных и возникающих угроз, обнаруживает новые уязвимости в обычном программном обеспечении и блокирует угрозы на свободе, прежде чем они смогут нанести дальнейший вред Интернету в целом. Talos поддерживает официальные наборы правил Snort.org, ClamAV и SpamCop, а также выпускает множество исследований с открытым исходным кодом.ежедневно блокирует более 20 миллиардов угроз. Работа центра позволяет автоматизировать процесс обнаружения и исключения угроз безопасности.
Cisco Next Generation Firewall является лидером в отрасли безопасности и имеет высокие оценки аналитиков. Время для обнаружения успешного нарушения составляет примерно 4.6 часов, когда у других на это уходит примерно 100 дней. При этом автоматизация безопасности позволяет уже за первый год сэкономить большую часть средств.
Модельный ряд Cisco NGFW
| ASA 5500-X c сервисами FirePower- подходит для малого бизнеса, небольших офисов, распределенных предприятий.
· Пропускная способность межсетевого экрана и осмотр угрозы от 256 до1750 мегабайт. · Содержит следующие логические модули: межсетевой экран, AVC, NGIPS, AMP, URL фильтры. |
| Cisco FirePower 2100 Series – это решение преимущественно для небольших центров обработки данных.
· Пропускная способность и стабильная работа с проверкой угроз на скоростях от 2.0 до 8.5 гигабайт. · Содержит те же логические модули, что и ASA 5500-X: AVC, NGIPS, AMP, URL фильтры. |
| Cisco FirePower 4100 Series – продукт, позиционируемый преимущественно для высокопроизводительных корпоративных сетей.
· Пропускная способность и осмотр угрозы от 20 до 60 гигабайт. · Имеет межсетевой экран, AVC, NGIPS, AMP, URL фильтрацию, DDoS (Radware vDP). |
| Cisco FirePower 9300 Security Appliance— подходит для поставщиков услуг, центров обработки данных.
· Пропускную способность 225 гигабайт и проверку угроз до 90 гигабайт. · Имеет межсетевой экран, AVC, NGIPS, AMP, URL фильтры, DDoS (Radware vDP)
|
Управление NGFW
Управление осуществляется с помощью следующих программных продуктов:
| — Cisco FirePower Management Center (FMC) — обеспечивает централизованное управление в Cisco FirePower NGFW (FTD OS), Cisco ASA c FirePower Services, Cisco FirePower NGIPS и Cisco AMP for Networks. Firepower Management Center рекомендован для более чем одного NGFW или NGIPS устройства. Используется в случае, если есть потребность в отслеживании корреляции событий безопасности, расширенной отчетности, автоматизированном реагировании на угрозы. Продукт позволяет создавать многопользовательские иерархические схемы управления, обеспечивает единообразие и наследование политик. |
| — Cisco Security Manager (CSM) — обеспечивает централизованное управление для Cisco ASA 5500 Series appliances и различных приборов от Cisco (ASA OS). |
| — FirePower Device Manager (FDM) программный продукт, приходящий на смену Cisco Adaptive Security Device Manager (ASDM). Данное программное обеспечение работает, как тонкий клиент, и не использует Java. Веб-управление через браузер позволит быстро ввести в действие новый межсетевой экран при помощи ответов на вопросы мастера настройки. Имеет простой и интуитивный интерфейс с единой панелью мониторинга. |
| — Cisco Defense Orchestrator (CDO) — предлагает облачное централизованное управление системы для последовательного управления политикой на ASA устройствах в пределах распределенных предприятий. Cisco Defense Orchestrator позволяет упростить и унифицировать политики для NGFW, Umbrella и Web Security Appliance (WSA). Имеет функционал для создания шаблонов политик и моделирования политик перед их внедрением. Удобен для выявления ошибок в конфигурации. Оперативно реагирует на угрозы. Оркестрация изменений в политиках из единого центра. |
| — Cisco Adaptive Security Device Manager (ASDM) — продукт с длинной историей, на протяжении многих лет обеспечивающий веб-управление для межсетевого экрана ASA. Новый продукт ASDM с сервисами Firepower – это быстрый и удобный способ для перехода на сервисы Firepower с сохранением ASA OS. Автономное решение для настройки политик и правил обеспечения безопасности. |
Операционная система Firepower Threat Defense – это обновленная операционная система для Cisco ASA, включающая в себя как функции Cisco ASA, так и службы FirePOWER. Из функций стоит упомянуть следующие:
- Ориентированный на защиту от угроз модуль Next Generation IPS;
- Мониторинг и контроль приложений (AVC);
- Фильтрация URL;
- Защита от усовершенствованного вредоносного ПО Advanced Malware Protection (AMP);
- МСЭ с контролем состояния сеансов (Stateful Firewall);
- NAT, ACL, VPN, маршрутизация RIP, OSPF, BGP;
- Инспекция протоколов SSL;
- Интеграция со службами ISE (ААА, порталы входа).
Основные возможности NGFW
| Мониторинг и контроль приложений (AVC). База знаний Cisco насчитывает более 4000 приложений и способна видеть и понимать риски, контролировать приложения, контролировать приоритет трафика и поддерживать собственные приложения. |
| Расшифрование и инспектирование SSL. Блокирует зашифрованный трафик, инспектирует или расшифровывает его. Расшифровка на базе URL категорий и проверка расшифрованных пакетов. Ведение журналов для SSL сессий. |
| Контроль веб-трафика и защита от угроз. Классификация более 280М URLs, веб-фильтрация более 80 категорий, управление белыми/черными списками и блокировка подозрительных URL. |
| Предотвращение вторжений (NG IPS) с учетом контекста и приложений. Проводится анализ сетевого трафика, корреляция данных, обнаружение скрытых угроз, реагирование на основные степени риска угрозы. |
| Защита от продвинутого вредоносного ПО. Блокирование известного вредоносного кода, анализ файлов в безопасной среде (облачная «песочница»), обнаружение новых угроз, реагирование на угрозы. |
| Cisco Threat Intelligence Detector (CTID). Собирает данные об угрозах, коррелирует события от сенсоров, подготавливает обширные отчеты об инцидентах, уточняет состояние безопасности. |
| Алгоритм использования знаний об угрозах. Сбор информации об угрозах из внешних источников, автоматическое блокирование угроз с использованием индикаторов компрометации. Используется единая консоль для интеграции с TAXII и CSV источниками. |
Варианты управления межсетевым экраном Cisco NGFW
Существует несколько вариантов управления: централизованное, автономное, облачное.
- — Централизованное. Управление политиками, событиями и устройствами с помощью Firepower Management Center (FMC), а также аналитика, адаптированные рекомендации для политик и автоматизация.
- — Автономное. Простое автономное решение для типовых настроек политик и правил обеспечения безопасности с помощью Firepower Device Manager (FDM) и ASDM with FirePower services.
- — Облачное. Централизованное облачное управление политиками для NGFW, WSA, Umbrella с помощью Cisco Defense Orchestrator (CDO).
Особенности флагманских моделей Firepower 4100 и 9300. Оптимизация и повышение производительности
Разгрузка потока Flow Offload
На FirePower 4100 и 9300 используется программируемый Smart NIC, траффик полностью исключается из процесса проектирования, разработан специально для больших продолжительных потоков. Применяется в доверенном трафике, например, резервное копирование. Поддерживает до 4 млн offloaded stateful соединений.
Access Control: Действие Trust
Трафик исключается только из процесса глубокого инспектирования и процесса discovery. Возможны следующие функции, связанные с трафиком:
- Аутентификация пользователей
- Ограничение полосы пропускания
Intelligent Application Bypass (IAB)
IAB идентифицирует приложения, которым вы доверяете проходить через межсетевой экран без последующего инспектирования в случае повышения преднастроенного порога производительности, потоков (flow) и пакетов.
Варианты Bypass
- Flow Offload. Политика Prefilter, правило с действием Fastpath – трафик полностью исключается из процесса инспектирования
- Trust. Политика Access Control, правило с действием Trust – трафик исключается только из процесса глубокого инспектирования и discovery. Возможны функции: аутентификация пользователей, ограничение полосы пропускания
- IAB. Политика Access Control, функция Intelligent, Application Bypass – идентификация приложения и передача без последующей инспекции в случае повышения преднастроенного порога производительности, потоков (flow) и пакетов
Режим: Turbo Performance
На Firepower 9300 этот режим включается автоматически. Позволяет увеличить производительность FTD OC и ASA OC.
Все х86 CPU ядра временно повышают тактовую частоту:
- Включение, когда 25% Data Plane ядер загружены на 80%
- Отключение, когда нагрузка падает ниже 60%
- Прирост производительности 10-20%
Режимы работы NGFW
| — Routed Mode— традиционный маршрутизируемый режим. Самый распространенный вариант для защиты границы сети. Два или более сетевых интерфейсов разделяют L3 домены – МСЭ, маршрутизаторы или шлюзы по умолчанию. |
| — Transparent Mode— МСЭ функционирует как мост и работает на L2. Прозрачный режим может использоваться на границе сети, чаще в центрах обработки данных, кампусных сетях, там, где нельзя добавить L3 hop и изменить логическую топологию сети. |
| — Режим NGIPS— ЦОД с Pass-through режимом для VLAN и типичный IDS режим там, где требуется анализ SPAN трафика, например, периметр. |
| — Integrated Routing и Bridging (IRB) комбинирует маршрутизируемый и прозрачный режимы работы МСЭ. Используется как «программный коммутатор» в маршрутизируемом режиме, например, для хостов в периметре DMZ. |
Защита от SSL Resign
RFC 7469 Public Key Pinning for HTTP: механизм обеспечения безопасности от MITM, использующий HTTP заголовок для защиты HTTPS сервера и его пользователей.
Пользователь заходит на легитимный веб-сайт, идет проверка сертификатов. Цепочка содержит как минимум один ожидаемый pinned certificate.
Пользователь заходит на вес-сайт злоумышленника. Цепочка сертификатов не содержит ни одного pinned certificate.
Политики на основе репутационных списков IP & URL
IP & URL динамические репутационные списки.
Источники: динамические списки TALOS и сторонние поставщики.
Категории: DGA, Exploit Kit, Suspicious, Malware, Phishing, CnC, открытые прокси и т.д.
Реакция: Allow, Monitor, Block, Interactive Block
Использование тегов IoC. Белые и черные списки.
Security Intelligence: репутационные списки IP & URL
Категория и описание:
- Attacker – активные сканеры и узлы из черного списка известные исходящей злонамеренной активностью
- Malware— сайты, на которых размещаются вредоносные программы (malware) или exploit kits
- Phishing— сайты, на которых размещены phishing страницы
- Spam— Почтовые узлы, рассылающие спам
- Bots— сайты, на которых размещены malware droppers
- CnC— серверы управления botnet-сетями
- Open Proxy- открытые прокси/ прокси анонимайзеры
- Open Relay— открытые почтовые Relay
- Tor Exit Node— точки выхода Tor
- Bogon- сети Bogon и нераспределенные IP-адреса
Контроль DNS
Функции:
- Динамические интеллектуальные репутационные списки.
- Сети взломанных компьютерных систем с публичными записями DNS (fast-flux домены).
- DNS списки: C&C, Spam, Malware, Phishing и т.д.
- Реагирование: блокировка, Sinkhole- ловушка, мониторинг.
- Индикаторы компрометации.
Дополнительные категории для безопасности DNS:
- DGA- алгоритмы, используемые для генерации большого количества доменных имен (для распространения вредоносного ПО), действующих как точки рандеву с их серверами управления
- Exploit Kit- инструменты, предназначенные для выявления уязвимостей программного обеспечения на клиентских компьютерах
- Response- списки IP/URL -адресов, которые, активно участвуют в злонамеренной / подозрительной деятельности
- Suspicious- узлы с подозрительными файлами, характеристики которых схожи с известными вредоносными программами
Сценарии развертывания NGFW Site-to-Site VPN и Remote Access VPN
Site-to-Site VPN: Центральная и удаленные площадки. Поддержка динамических IP адресов для удаленных устройств, резервные каналы.
Удаленный защищенный доступ с FirePower. Безопасный SSL/IPsec AnyConnect доступ к корпоративной сети. Все возможности для защиты мобильных пользователей.
Интуитивный мастер настройки RA VPN Wizard. Инструмент для мониторинга проверки работоспособности (Troubleshooting).
Удаленный защищенный доступ с использованием Cisco AnyConnect VPN
Сценарии использования:
- Split или Full tunnel
- Гибкие профили
- Аутентификация имя/пароль и/или сертификат
FirePower – это надежное решение для защиты корпоративной сети использующее передовые возможности для зашиты от продвинутых угроз.