1
Безопасность внутренней сети с помощью решений Cisco
Алексей Лукацкий Бизнес-консультант по безопасности, Cisco
2
Архитектура безопасности Cisco
Малый и средний бизнес, филиалы
Кампус Центр обработки данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active Directory
Беспроводная сеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAv ASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Аналитический центр Talos
Удаленные устройства
Доступ
Облачный шлюз
безопасности
Облачный шлюз
безопасности
Матрица ASA, (сеть SDN)
АСУ ТП
CTD
IDS RA
МСЭ Беспроводная
сеть
Коммутатор
Маршрутизатор
Сегментация Мониторинг
3
Источник: 2012 Verizon Data Breach Investigations Report
От компрометации до утечки
От атаки до компрометации
От утечки до обнаружения
От обнаружения до локализации и
устранения
Секунды Минуты Часы Дни Недели Месяцы Годы
10%
8%
0%
0%
75%
38%
0%
1%
12%
14%
2%
9%
2%
25%
13%
32%
0%
8%
29%
38%
1%
8%
54%
17%
1%
0%
2%
4%
Временная шкала событий в % от общего числа взломов
Взломы осуществляются за минуты
Обнаружение и устранение занимает недели и месяцы
Периметр защищен, но инцидентов полно. Почему?
4
Проблемы с традиционной моделью «эшелонированной» безопасности на периметре
Слабая прозрачность
Многовекторные и продвинутые угрозы
остаются незамеченными
Точечные продукты
Высокая сложность, меньшая
эффективность Ручные и статические
механизмы Медленный отклик, ручное управление,
низкая результативность Наличие обходных
каналов Мобильные устройства, Wi-Fi, флешки, ActiveSync, CD/
DVD и т.п.
5
Какие проблемы мы должны решить во внутренней сети?
Единая политика доступа, привязанная к пользователям, а не устройствам
Разграничение доступа на
уровне сетевой инфраструктуры
Мониторинг подозрительной активности на уровне сети
Защита от угроз во внутренней
сети
Мониторинг беспроводного
эфира
Сквозная защита на уровне ЦОД, периметра, удаленного
доступа и BYOD
6
access-list 102 permit udp 126.183.90.85 0.0.0.255 eq 3256 114.53.254.245 255.255.255.255 lt 1780 access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611 access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606
access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005 access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199
access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782 access-list 102 deny ip 193.250.210.122 0.0.1.255 lt 2297 130.113.139.130 0.255.255.255 gt 526 access-list 102 permit ip 178.97.113.59 255.255.255.255 gt 178 111.184.163.103 255.255.255.255 gt 959
access-list 102 deny ip 164.149.136.73 0.0.0.127 gt 1624 163.41.181.145 0.0.0.255 eq 810 access-list 102 permit icmp 207.221.157.104 0.0.0.255 eq 1979 99.78.135.112 0.255.255.255 gt 3231
access-list 102 permit tcp 100.126.4.49 0.255.255.255 lt 1449 28.237.88.171 0.0.0.127 lt 3679 access-list 102 deny icmp 157.219.157.249 255.255.255.255 gt 1354 60.126.167.112 0.0.31.255 gt 1025 access-list 102 deny icmp 76.176.66.41 0.255.255.255 lt 278 169.48.105.37 0.0.1.255 gt 968
access-list 102 permit ip 8.88.141.113 0.0.0.127 lt 2437 105.145.196.67 0.0.1.255 lt 4167 access-list 102 permit udp 60.242.95.62 0.0.31.255 eq 3181 33.191.71.166 255.255.255.255 lt 2422
access-list 102 permit icmp 186.246.40.245 0.255.255.255 eq 3508 191.139.67.54 0.0.1.255 eq 1479 access-list 102 permit ip 209.111.254.187 0.0.1.255 gt 4640 93.99.173.34 255.255.255.255 gt 28 access-list 102 permit ip 184.232.88.41 0.0.31.255 lt 2247 186.33.104.31 255.255.255.255 lt 4481
access-list 102 deny ip 106.79.247.50 0.0.31.255 gt 1441 96.62.207.209 0.0.0.255 gt 631 access-list 102 permit ip 39.136.60.170 0.0.1.255 eq 4647 96.129.185.116 255.255.255.255 lt 3663 access-list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388
access-list 102 permit ip 167.100.52.185 0.0.1.255 lt 4379 254.202.200.26 255.255.255.255 gt 4652 access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851
access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392 access-list 102 permit ip 96.174.38.79 0.255.255.255 eq 1917 1.156.181.180 0.0.31.255 eq 1861 access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794
access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419 161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255 lt 4548 87.112.10.20 0.0.1.255 gt 356
access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327 access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243 255.255.255.255 lt 2286
access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191 access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255 eq 3721
access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716 access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533 access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539
access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310 64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134 255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754
access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt 3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428
access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945
access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993
access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878
access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175
access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384
access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467 access-list 102 permit udp 126.183.90.85 0.0.0.255 eq 3256 114.53.254.245 255.255.255.255 lt 1780
access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611 access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606
access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005 access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199 access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782
access-list 102 deny ip 193.250.210.122 0.0.1.255 lt 2297 130.113.139.130 0.255.255.255 gt 526 access-list 102 permit ip 178.97.113.59 255.255.255.255 gt 178 111.184.163.103 255.255.255.255 gt 959
access-list 102 deny ip 164.149.136.73 0.0.0.127 gt 1624 163.41.181.145 0.0.0.255 eq 810 access-list 102 permit icmp 207.221.157.104 0.0.0.255 eq 1979 99.78.135.112 0.255.255.255 gt 3231 access-list 102 permit tcp 100.126.4.49 0.255.255.255 lt 1449 28.237.88.171 0.0.0.127 lt 3679
access-list 102 deny icmp 157.219.157.249 255.255.255.255 gt 1354 60.126.167.112 0.0.31.255 gt 1025 access-list 102 deny icmp 76.176.66.41 0.255.255.255 lt 278 169.48.105.37 0.0.1.255 gt 968
access-list 102 permit ip 8.88.141.113 0.0.0.127 lt 2437 105.145.196.67 0.0.1.255 lt 4167 access-list 102 permit udp 60.242.95.62 0.0.31.255 eq 3181 33.191.71.166 255.255.255.255 lt 2422
access-list 102 permit icmp 186.246.40.245 0.255.255.255 eq 3508 191.139.67.54 0.0.1.255 eq 1479 access-list 102 permit ip 209.111.254.187 0.0.1.255 gt 4640 93.99.173.34 255.255.255.255 gt 28 access-list 102 permit ip 184.232.88.41 0.0.31.255 lt 2247 186.33.104.31 255.255.255.255 lt 4481
access-list 102 deny ip 106.79.247.50 0.0.31.255 gt 1441 96.62.207.209 0.0.0.255 gt 631 access-list 102 permit ip 39.136.60.170 0.0.1.255 eq 4647 96.129.185.116 255.255.255.255 lt 3663
access-list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388 access-list 102 permit ip 167.100.52.185 0.0.1.255 lt 4379 254.202.200.26 255.255.255.255 gt 4652 access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851
access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392 access-list 102 permit ip 96.174.38.79 0.255.255.255 eq 1917 1.156.181.180 0.0.31.255 eq 1861
access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794 access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419 161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255 lt 4548 87.112.10.20 0.0.1.255 gt 356
access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327 access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243 255.255.255.255 lt
2286 access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191 access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255 eq 3721
access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716 access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533
access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539 access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310 64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134 255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754
access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt 3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165
access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945
access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959
access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878
access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111
access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384
access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467
Software-Defined Segmentation based on business policy Что такое единая политика на уровне сети?
Традиционная политика
Политика TrustSec
Источник
Назначение
Политика поддерживается везде
Коммутатор Роутер VPN & МСЭ
Коммутатор ЦОД
Контроллер Wi-Fi
Упрощение правил МСЭ, ACL и VLAN
Предотвращение скрытых угроз
Снижение затрат на перестройку архитектуры сети
7
Сервисы аутентификации
Сервисы авторизации
Управление жизненным циклом гостевого доступа
Сервисы профилирования
Сервисы оценки состояния
Доступ для групп безопасности
Identity Services Engine
Упрощенное управление политиками
Мне нужно разрешать подключение к сети только определенных пользователей и устройств
Мне нужно, чтобы пользователь и устройства пользовались соответствующими сетевыми сервисами
Мне нужно разрешить гостям доступ в сеть и управлять их настройками
Мне нужно разрешать/блокировать использование iPad в моей сети (BYOD)
Мне нужно, чтобы в моей сети были чистые устройства
Мне необходим масштабируемый способ реализации политики доступа в сети
Реализация единой политики сетевого доступа с помощью Cisco ISE
8
Аутентификация пользователей и устройств
Отличительные особенности идентификации
Режим монитора
Гибкая последовательность аутентификации
Поддержка IP-телефонии
Поддержка сред виртуальных настольных систем
Коммутатор Cisco Catalyst®
Web-аутентификация
Функции аутентификации
IEEE 802.1x Обход аутентификации по MAC-адресам
Web-аутентификация
Сетевое устройство
802.1X
IP-телефоны Авторизо-ванные пользователи
Гости
MAB и профилирование
Планшеты
На всех моделях коммутаторов Catalyst поддерживаются единообразные функции идентификации
9
Защита комплексных и динамичных сетей
ISE Certificate Authority
ü Простое и гибкое внедрение ü Устранение предположений относительно управления сертификатами BYOD
ü Предлагает возможность запрашивать, замораживать и/или отзывать сертификаты
ü Аутентификация и сбор атрибутов в динамично изменяемых сетях
ü Расширенные алгоритмы для управления неопределенностью идентификации
ü Автоматизация управления доступом в сети с несколькими Active Directorie
Множество Active Directory
Поддержка 1M зарегистрированных устройств и 250K АКТИВНЫХ, одновременно подключаемых устройств
10
Идентификация устройств
ТИПИЧНЫЙ СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ Множество устройств в проводной и беспроводной сети
Должно быть предусмотрено управление политиками для каждого типа устройств
Необходима гарантия того, что устройство соответствует цифровым меткам
Классификация устройств вручную и реализация политик
Быстрый рост числа устройств и идентификация для реализации
политик
Проблема
11
Политика для личного iPad
[ограниченный доступ]
Точка доступа Политика для принтера
[поместить в VLAN X]
Автоматическое распознавание и идентификация миллионов устройств
Принтер Личный iPad ISE
CDP LLDP DHCP
MAC-адрес
CDP LLDP DHCP
MAC-адрес
ПРОФИЛИРОВАНИЕ УСТРОЙСТВ Для проводных и беспроводных сетей
ПОЛИТИКА
Точка доступа
СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С СЕНСОРАМИ УСТРОЙСТВ CISCO СБОР ДАННЫХ Коммутатор собирает данные, относящиеся к устройству, и передает отчет в ISE
КЛАССИФИКАЦИЯ ISE производит классификацию устройства, сбор данных о трафике и формирует отчет об использовании устройства
АВТОРИЗАЦИЯ ISE реализует доступ на основе политик для данного пользователя и устройства
Эффективная классификация устройств с использованием
инфраструктуры
Решение
12
13 Снижение числа неизвестных устройств в среднем на 74%
Облегчение корпоративной мобильности Снижение сложности управления BYOD и доступа с устройства
Настраиваемый дизайн и брендирование
Новый опыт пользователей
Всесторонняя защита устройства
Улучшенное распознавание устройств ПК &
мобильные платформы
14
Оценка соответствия узлов требованиям политик ИТ и безопасности и корпоративным стандартам
Временный ограниченный доступ к сети до устранения проблем
Пример политики для сотрудника • Исправления и обновления Microsoft установлены
• Антивирус McAfee установлен, обновлен и работает
• Корпоративный ресурс проходит проверку
• Приложение предприятия выполняется
Проблема: • Наличие сведений о работоспособности
устройства
• Различие уровней контроля над устройствами
• Затраты на устранение проблем
Ценность: • Временный (на web-основе) или постоянный
агент
• Автоматическое устранение проблем
• Реализация дифференцированных политик на основе ролей
Пользователь проводной, беспроводной, виртуальной сети
Не соответствует требованиям
15
Гостевые политики
Управление гостевым доступом
Гости
Web-аутентификация
Беспроводный или проводной доступ
Доступ только к Интернету
Выделение ресурсов: гостевые учетные записи на
спонсорском портале
Уведомление: сведения о гостевой учетной записи в бумажном виде, по электронной почте
или SMS
Управление: права спонсоров,
гостевые учетные записи и политики, гостевой портал
Отчет: по всем аспектам гостевых учетных
записей
Интернет
16
Модернизированный гостевой доступ с ISE 1.3 Простота доступа без снижения уровня безопасности
Брендирование и использование тем
«Спонсорство» для мобильного гостевого доступа
Модернизированный гостевой доступ
Собственные шаблоны за минуты, внедрение за часы (не дни)
Your credentials
username: trex42 password: littlearms
Create Accounts
Print Email SMS
Уведомление по SMS
Поддержка для ПК, Mac и мобильных платформ
17
Масштабируемая реализация
Сети VLAN
Списки управления доступом (ACL)
Метки групп безопасности *
Шифрование MACSec *
Управление доступом на основе политик
Обеспечивает реализацию политик Абсолютный контроль
Удаленный пользователь VPN
Пользователь с беспроводным доступом
Пользователь с проводным доступом
Устройства
* =
СЕТЬ С КОНТРОЛЕМ ИДЕНТИФИКАЦИОННЫХ ДАННЫХ
И УЧЕТОМ КОНТЕКСТА
Виртуальный рабочий стол
Центр обработки данных Интранет Интернет Зоны безопасности
Инновации
Cisco
18
Маркировка трафика данными о контексте Доступ для групп безопасности (SGA)
Медицинские карты пациентов (конфиденциальная информация)
Неограниченный доступ для сотрудников
Интернет
Врач
Финансовая служба
Гость
СНИЖЕНИЕ ЭКСПЛУАТАЦИОННЫХ РАСХОДОВ
Масштабируемая реализация политик независимо от топологии сети МАСШТАБИРУЕМАЯ И
ЕДИНООБРАЗНАЯ РЕАЛИЗАЦИЯ ПОЛИТИК
Решение СЦЕНАРИЙ РАЗВЕРТЫВАНИЯ С ДОСТУПОМ ДЛЯ ГРУПП БЕЗОПАСНОСТИ (SGA)
ПОВЫШЕНИЕ МАНЕВРЕННОСТИ КОМПАНИИ
Инновации Cisco
19
Политики на основе понятного технического языка
Повышение уровня реализации политик во всей сети
Таблица доступа согласно политике на основе ролей
Ресурсы
D1 (10.156.78.100)
Медицинские карты пациентов
D3 (10.156.54.200)
Электронная почта в интранет-сети
D5 (10.156.100.10)
Финансовая служба
D6
D4
D2
Разрешения
Интранет- портал
Почтовый сервер
Серверы финансовой службы
Медицинские карты пациентов
Врач Интернет IMAP Нет доступа Совместный web-доступ к файлам
Финансовая служба Интернет IMAP Интернет Нет доступа
ИТ-админист-ратор
WWW, SQL, SSH
Полный доступ SQL SQL
Матрица политик
Совместный web-доступ к файлам
permit tcp S1 D1 eq https permit tcp S1 D1 eq 8081 deny ip S1 D1 …… …… permit tcp S4 D6 eq https permit tcp S4 D6 eq 8081 deny ip S4 D6
Требует затрат времени Ручные операции Предрасположенность к ошибкам
Простота Гибкость Учет характера деятельности
permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 445 permit tcp dst eq 135 deny ip
ACL-список "Врач - карта пациента"
Врачи
Финансовая служба
ИТ-администраторы
S1 (10.10.24.13)
S2 (10.10.28.12)
S3 (10.10.36.10)
S4 (10.10.135.10)
Отдельные пользователи
20
• Предположим, что в текущей технологии межсетевого экрана мы не указываем конкретный источник (источник = Any (любой))
• 400 пользователей имеют доступ к 30 сетевым ресурсам с 4 разрешениями каждый
Пример снижения TCO
С традиционным ACL-списком на межсетевом экране
Любой (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE
Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана — для группы-источника используются диапазоны адресов подсети
4 VLAN (ист.) * 30 (назнач.) * 4 разрешения = 480 записей ACE
С использованием Cisco ISE
4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE
На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора)
1 группа (ист.) * 30 (назнач.) * 4 разрешения = 120 записей ACE
21
Традиционный ACL-список на интерфейсе VLAN маршрутизатора или межсетевого экрана — для группы-источника используются диапазоны адресов подсети
• Предположим, что в текущей технологии межсетевого экрана мы не указываем конкретный источник (источник = Any (любой))
• 400 пользователей имеют доступ к 300 сетевым ресурсам с 4 разрешениями каждый
Пример снижения TCO (2)
С традиционным ACL-списком на межсетевом экране
Любой (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE
4 VLAN (ист.) * 300 (назнач.) * 4 разрешения = 4800 записей ACE
С использованием Cisco ISE
4 SGT (ист.) * 3 SGT (назнач.) * 4 разрешения = 48 записей ACE
На каждый IP-адрес источника на порте с загружаемым ACL-списком (на порте коммутатора)
1 группа (ист.) * 300 (назнач.) * 4 разрешения = 1200 записей ACE
22
Эксплуатация Эффективное управление
Объединенный мониторинг безопасностью и политиками Состояние контекста и панели мониторинга для проводных и беспроводных сетей
Централизованное планирование задач управления на несколько дней Рабочие потоки настройки инструктивного характера
Сокращение сроков диагностики и устранения неполадок Интеграция с Cisco NCS Prime
© 2011 Cisco and/or its affiliates. All rights reserved. 23
24
Вовлечение конечного пользователя в управление Эффективное управление
Снижение нагрузки на ИТ-персонал Адаптационный период для устройств, саморегистрация, выделение ресурсов запрашивающему клиенту*
Снижение нагрузки на службу технической поддержки Простой, интуитивно понятный интерфейс пользователя
Модель самообслуживания Портал регистрации устройства пользователя*, портал для приглашения гостей
* запланировано на лето 2012 г.
25
Портал самоуправления
26
Как контролируется доступ в сети Cisco?!
Тип устройства Местоположение Пользователь Оценка Время Метод доступа
Прочие атрибуты
27
Что более полезно с точки зрения безопасности? “Адрес скомпрометированного устройства 192.168.100.123” - ИЛИ - “Скомпрометировано устройство iPad Васи Иванова в стр.1”
Cisco ISE собирает контекстуальные “big data” из множества источников в сети. С помощью Cisco pxGrid эта информация «делится» с решениями партнеров.
С контекстуальными данными ISE, решения партнеров могут более аккуратно и быстро идентифицировать, нейтрализовывать и реагировать на сетевые угрозы.
Cisco Platform Exchange Grid (pxGrid) Повышение эффективности решений партнеров через обмен контекстом
28
Экосистема партнеров Cisco ISE
Security Information and Event Management (SIEM) и Threat Defense
Mobile Device Management
Приоритезация событий, анализ пользователей/устройств
• ISE обеспечивает контекст по пользователям и устройствам в SIEM и Threat Defense решения
• Партнеры используют контекст для идентификации пользователей, устройств, статуса, местоположения и привилегий доступа с событиями в SIEM/TD
• Партнеры могут предпринимать действия к пользователям/устройствам через ISE
Обеспечение защищенного доступа и соответствия устройства
• ISE является шлюзом политик для сетевого доступа мобильных устройств
• MDM обеспечивает ISE контекстом соответствия безопасности мобильного устройства
• ISE связывает привилегии доступа с контекстом соответствия
29
Интеграция с MDM Оценка соответствия мобильного устройства
Всесторонний защищенный доступ
Initial Posture Validation
MS Patches
Av and AS Installation
Application and Process Running State
Интеграция с MDM
Проверка корпоративных и личных мобильных устройств
MDM Policy Check Статус регистрации устройства
Статус соответствия устройства
Статус шифрования диска
Статус установки блокировки экрана
Стасус Jailbreak
Производитель
Модель
IMEI
Серийный номер
Версия ОС
Номер телефона
30
Интеграция с MDM
30
Jail Broken PIN Locked
Encryption ISE Registered PIN Locked MDM Registered Jail Broken
31
Быстрое реагирование на угрозы через SIEM / TD
Расширение политик доступа & соответствия с MDM
Устранение уязвимостей оконечных устройств
Политика защиты индустриальных сетей и IoT
Облегченное расследование инцидентов и проблем
SSO защищенный доступ к защищаемым данным на мобильных устройствах
Усиление эффекта Cisco Security через партнерство Распределение контекста с широким спектром решений партнеров
32
Преимущества экосистема партнеров Cisco pxGrid делает решения партнеров более эффективными
Адаптивная аутентификация Ø Ассоциация контекстных данных с приложениями & аутентификацией пользователя Ø Снижение риска кражи данных и проникновений за счет более гибкой аутентификации
Политика доступа для индустриальных сетей Ø Сегментация на основе политик с контекстом и контролем АСУТП сетей Ø Быстрая идентификация, изоляция и нейтрализация посторонних устройств
Захват пакетов и расследование инцидентов Ø Ассоциация контекстных данных пользователей/ролей с сетевыми дампами Ø Рост аккуратности и скорости расследования инцидентов
Новые SIEM / TD партнеры присоединяются к экосистеме партнеров ISE
Приоритезация уязвимостей оконечных устройств Ø Идентификация и приоритезация сетевых уязвимостей оконечных устройств Ø Снижение времени на расследование и уведомление для снижения векторов атак
33
Cisco ISE поддерживает трехзвенную схему и объединяет решения Cisco в единый комплекс
ДО Контроль
Применение Усиление
ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование
Защита
Видимость Сдерживание Устранение
Ландшафт угроз
Видимость и контекст
Контроль сетевого доступа
Передача контекста
Ограничение доступа и локализация нарушителей
• Cisco ASA • Cisco FireSIGHT • S-Terra CSP VPN • Cisco ISR • Cisco Catalyst • Cisco Nexus • Cisco WSA
• Cisco CTD • SIEM • pxGRID
34
Cisco ASA with FirePOWER / Cisco FirePOWER помогают мониторить активность внутри сети
► Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений
► Система гранулярного мониторинга и контроля приложений (Cisco® AVC)
► Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER
► Фильтрация URL-адресов на основе репутации и классификации
► Система Advanced Malware Protection с функциями ретроспективной защиты
Cisco ASA
VPN и политики аутентификации
Фильтрация URL-адресов
(по подписке) FireSIGHT Аналитика и автоматизация
Advanced Malware Protection
(по подписке)
Мониторинг и контроль приложений
Межсетевой экран Маршрутизация и коммутация
Кластеризация и высокая доступность
Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI
Встроенное профилирование
сети
Предотвращение вторжений (по подписке)
FW + NGFW + NGIPS + AMP + URL + SSL VPN + IPSec VPN
35
3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
P2P запрещенное приложение обнаружено
Событие нарушения зафиксировано, пользователь
идентифицирован
Обнаружено нарушение политик безопасности. Хост использует Skype. Пользователь идентифицирован, IT и HR уведомлены.
IT & HR провели с
пользователем работу
Идентификация приложений «на лету»
36
Гибкие политики работы с приложениями
37
Создание «белых списков» / «списков соответствия» • Разрешенные типы и версии ОС
• Разрешенные клиентские приложения
• Разрешенные Web-приложения
• Разрешенные протоколы транспортного и сетевого уровней
• Разрешенные адреса / диапазоны адресов
• И т.д.
38
3D SENSOR
3D SENSOR
3D SENSOR
DEFENSE CENTER
3D SENSOR
Поведение зафиксировано, уведомления отправлены
IT восстановили
активы
Хосты скомпрометированы
Новый хост включился в LAN. ASA with FirePOWER обнаружил хост и ненормальное поведение сервера в ЦОД и уведомил IT.
Новый актив обнаружен
Поведение обнаружено
Обнаружение посторонних / аномалий / несоответствий
39
Встроенная система корреляции событий (без SIEM) • Правила корреляции могут включать любые условия и их комбинации на базе идентифицированных в сети данных
• Приложения • Уязвимости • Протоколы • Пользователи • Операционные системы • Производитель ОС • Адреса • Место в иерархии компании • Статус узла и т.п.
40
Cisco FirePOWER не только мониторит активность, но и обнаруживает угрозы внутри сети
ДО Контроль
Применение Усиление
ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование
Защита
Видимость Сдерживание Устранение
Ландшафт угроз
Видимость и контекст
Firewall
NGFW
Управление уязвимостями
VPN
UTM
NGIPS
Web Security
Исследования ИБ
Advanced Malware Protection
Ретроспективный анализ
IoC / реагирование на инциденты
41
Идентификация и блокирование посторонних беспроводных устройств в Cisco
• Само мобильное устройство не может сказать, что оно «чужое» • Нужен внешний независимый контроль с помощью систем контроля доступа, в т.ч. и беспроводного
• Cisco Wireless Controller / Cisco Wireless Adaptive IPS / Cisco Wireless Location Services помогают контролировать беспроводной эфир
• Все это часть функционала платформы Cisco Mobility Services Engine
42
Cisco AMP Everywhere объединяет…
MAC Май 2014
Выделенные устройства Февраль 2013
NGIPS / NGFW на FirePOWER Октябрь 2012
ПК Январь 2012
Cloud Web Security & Hosted Email Март 2014
SaaS Web & Email Security
Appliances Март 2014
Мобильные устройства Июнь 2012
Cisco ASA с FirePOWER Services Сентябрь 2014
43
Cisco Advanced Malware Protection проводит анализ и пост-фактум
ДО Контроль
Применение Усиление
ВО ВРЕМЯ ПОСЛЕ Обнаружение Блокирование
Защита
Видимость Сдерживание Устранение
Ландшафт угроз
Видимость и контекст
Контроль сетевого доступа
Обнаружение и блокирование вредоносного
кода
Ретроспективный анализ
44
Управление инцидентами с помощью FireSIGHT
Кто
Что
Где
Когда
Как
Сфокусируйтесь сначала на этих пользователях
Эти приложения пострадали
Взлом затронул эти области сети
Такова картина атака с течением времени
Это источник угрозы и путь ее распространения
45
Анализ траектории вредоносного кода • Какие системы были инфицированы?
• Кто был инфицирован?
• Когда это произошло?
• Какой процесс был отправной точкой?
• Почему это произошло?
• Когда это произошло?
• Что еще произошло?
46
Признаки (индикаторы) компрометации
События СОВ
Бэкдоры Подключения к серверам
управления и контроля ботнетов
Наборы эксплойтов Получение
администраторских полномочий
Атаки на веб-приложения
События анализа ИБ
Подключения к известным IP серверов
управления и контроля ботнетов
События, связанные с вредоносным кодом
Обнаружение вредоносного кода
Выполнение вредоносного кода
Компрометация Office/PDF/Java
Обнаружение дроппера
47