Рекомеднуемая архитектура по внедрению межсетевых...
-
Upload
cisco-russia -
Category
Technology
-
view
552 -
download
8
Transcript of Рекомеднуемая архитектура по внедрению межсетевых...
![Page 1: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/1.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 1
Cisco Expo 2012
Рекомендуемая архитектура по внедрению систем защиты от атак в корпоративной сети Оксана Санникова инженер по работе с партнерами CCIE Security #35825
1
![Page 2: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/2.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 2
Принимайте активное участие в Cisco Expo и получите в подарок Linksys E900.
Как получить подарок:
• внимательно слушать лекции по технологиям Cisco
• посещать демонстрации, включенные в основную программу
• пройти тесты на проверку знаний
Тесты будут открыты:
с 15:00 25 октября по 16:30 26 октября
www.ceq.com.ua
![Page 3: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/3.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 3
• Знакомство с IPS и IDS
• Линейка продуктов Cisco
• Место в корпоративной сети
• Периметр
• Кампус
• Филиал
• ЦОД
• Особенности работы IPS
• Детектирование
• Нормализация
• Движки
![Page 4: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/4.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 4
• Интеллектуальное обнаружение
Сигнатуры для уязвимостей и эксполитов
Обнаружение аномалий в протоколах
Репутационные фильры
• Точное реагирование
Политики на основе управления рисками
Глобальная корреляция событий
Генерация мета-событий
• Гибкое внедрение
Пассивный и/или Inline IDS/IPS
Виртуальные сенсоры
Поддержка физических и логических (VLAN) интерфейсов
Software и Hardware bypass
![Page 5: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/5.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 5
• AIM/ICQ
• AOL
• MSN
• Sametime
• Yahoo
• BitTorrent
• Kazaa
• eDonkey
• Jabber
• Storm
• Mega-D
• Blaster
• Nimda
• Sasser
• Code Red
• Slammer
• Backdoor Trojan Spirit
• Backdoor Beast
• Fatso Worm
• Kelvir Worm
Reconnaissance
Worm/Virus/Trojan P2P/IM
• POP
• IMAP
• SMTP
• Microsoft Exchange
• ICMP host sweeps
• TCP Port Sweeps
• TCP/UDP Combo Sweeps
• UDP Port Sweeps
Adware/Spyware
DDOS/DOS
Secure Voice
Web Server
• ICMP/UDP/TCP
Floods
• Perfect Keylogger
Activity
• Hotbar Activity
• SIP
• H323
• H225
• Apache
• Internet Information Server (IIS)
Network, L2/3/4 • BGP
• DHCP
• DNS
• TCP/UDP
• IP
• IP Fragment
Защита
IPv4 и
IPv6
![Page 6: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/6.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 6
Защита бизнеса любого масштаба
IOS IPS
IPS NME
Малый Средний Крупный
Масштаб бизнеса
ISR
Catalyst
6500
IPS серий
4500,
4300 и 4200
ASA серии
5500
ASA серии
5500-X
IDSM2
Catalyst 6500 Комплект IDSM2
IPS 4260
IPS 4270
ASA5510-AIP10
ASA5510-AIP20
ASA5520-AIP10
ASA5520-AIP20
ASA5520-AIP40
ASA5540-AIP20
ASA5540-AIP40
ASA5585-P10S1
ASA5585-P20S20
ASA5585-P40S40
ASA5585-P60S60
ASA 5512-X IPS
ASA 5515-X IPS
ASA 5525-X IPS
ASA 5545-X IPS
ASA 5555-X IPS
IPS 4360
IPS 4345
IPS 4240
IPS 4255
IPS-4510
IPS-4520
![Page 7: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/7.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 7
• Cisco IPS 4240, 4255, 4260, 4270:
• анонс - 30 октября 2012,
• окончание продаж - 30 апреля 2013
• IDSM-2:
• анонс – 24 ноября 2012,
• окончание продаж – 25 марта 2013
• Модуль AIP для ASA 5500:
• анонс – 18 июля 2012,
• окончание продаж –16 января 2013
• Модуль IPS NME для маршрутизаторов ISR:
• анонс – 22 октября 2012
• окончание продаж – 22 апреля 2013
![Page 8: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/8.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 8
IPS следующего поколения
• Высочайшая производительность
• Учет контекста сетевого взаимодействия
• Удобные средства управления корпоративного класса
• Пропускная способность более 1 Гбит/с в решении с форм-фактором 1 RU
• Четырехкратное увеличение производительности по сравнению с 4200 в 2 раза дешевле
• Аппаратное ускорение регулярный выражений
• Карты Hw-Bypass будут доступны в начале 2013 г.
![Page 9: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/9.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 9
Мультигегабитная производительность
• Учет контекста сетевого взаимодействия
• Аппаратная обработка регулярных выражений
• ЦОД или ядро корпоративной сети
• 1 GigE и 10GigE интерфейсы/SFP слоты
• Модуль IPS в шасси 5585-X
• 3 Гбит/сек (4510) – цель от 2 до 5 Гбит/сек
• 6 Гбит/сек (4520) – от 4 до 11 Гбит/сек
• Использование новой методологии тестирования
![Page 10: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/10.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 11
Одно шасси для всех
продуктов ASA 5585
28 кг с двумя модулями и
двумя источниками питания
Модули полной длины:
ASA SSP для слота 0
IPS SSP опционально в слот 1
2RU 19in шасси для монтажа в стойке:
2 модуля полной длины
1 модуль полной длины и 2
половинной длины
Слот-1
Слот-0
IPS-SSP имеет свой консольный порт (как 4260/4270)
![Page 11: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/11.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 12
5 новых моделей, отвечающих различным требованиям к пропускной способности
ASA 5512-X Пропускная
способность
межсетевого экрана 1
Гбит/с
ASA 5515-X Пропускная
способность
межсетевого экрана 1,2
Гбит/с
ASA 5525-X Пропускная
способность
межсетевого экрана
2 Гбит/с
ASA 5545-X Пропускная
способность
межсетевого экрана
3 Гбит/с
ASA 5555-X Пропускная
способность
межсетевого экрана
4 Гбит/с
1. Пропускная способность на
уровне нескольких Гбит/с Для удовлетворения растущих
требований к пропускной способности
2. Встроенные средства ускорения
сервисов
(дополнительное оборудование не
требуется) Для поддержки меняющихся
потребностей бизнеса
3. Платформа с поддержкой
сервисов нового поколения Для защиты инвестиций
![Page 12: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/12.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 13
(в Mbps)
SKU Транзакционный Медиа
ASA 5512-X IPS 165 240
ASA 5515-X IPS 310 480
ASA 5525-X IPS 615 950
ASA5545-X IPS 841 1270
ASA 5555-X IPS 1050 1500
IPS 4345 1800 1940
IPS 4360 2300 2500
ASA 5585-10 IPS 1350 2400
ASA 5585-20 IPS 2100 3700
ASA5585-40 IPS 3500 7000
ASA 5585-60 IPS 6700 10200
IPS 4510 5017 N/A
IPS 4520 7341 N/A
![Page 13: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/13.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 14
Производительность IPS при обработке HTTP-транзакций
ASA5512-X IPS
ASA5515-X IPS
ASA5525-X IPS
ASA5545-X IPS
ASA5555-X IPS
IPS 4345
IPS 4360
ASA5585-S10P10
ASA5585-S20P20
ASA5585-S40P40
ASA5585-S60P60
Пр
оп
ускн
ая с
посо
бн
ость
150 Мбит/с
250 Мбит/с
500 Мбит/с
Филиал
1,5 Гбит/с
1 Гбит/с
Комплекс зданий
Интернет-периметр ЦОД
2 Гбит/с
3 Гбит/с
5 Гбит/с
![Page 14: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/14.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 15
Сенсор IPS
Интернет Компьютер
Сенсорный интерфейс получает копию трафика с порта SPAN, от хаба, или VACL Capture. Он не находится на пути прохождения трафика. (Не имеет IP адреса)
Интерфейс
управления. Сетевой
трафик не проходит
через этот интерфейс.
(Имеет IP адрес)
Сеть
управления
![Page 15: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/15.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 16
IPS Sensor Internet Host
Сенсор находится на пути прохождения трафика и
может блокировать трафик при необходимости.
Интерфейс не имеет IP адреса.
Cisco IPS работает на канальном уровне (Layer 2) по
принципу “умный провод”.
Интерфейс
управления. Сетевой
трафик не проходит
через этот интерфейс.
(Имеет IP адрес)
Management
Network
![Page 16: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/16.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 17
IPS IDS Перегрузка сенсора может повлиять на проходящий сетевой трафик
Неисправность сенсора напрямую влияет на проходящий трафик
Ограниченная защита
Выше риски пропуска атаки
Может остановить атаку, блокируя пакеты
Можен нормализовать сетевой трафик для более качественного инспектирования
Не влияет на сеть, не вносит дополнительную задержку
Допускается более высокий уровень ложных срабатываний
![Page 17: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/17.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 18
• Часто при тестировании для отладки работы политик IPS не ставят на пути реального трафика.
• Можно развернуть IDS в in-line режиме.
• Почему: Простая миграция с IDS (для тестирования и настройки) на IPS.
![Page 18: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/18.jpg)
19 © 2011 Cisco and/or its affiliates. All rights reserved.
![Page 19: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/19.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 20
• Варианты применения
• Прозрачность, Отчеты
• Защита серверов в DMZ от
Интернета
• Защита серверов в DMZ от
Интранета
• Защита Интранета от
пользователей VPN
• Продукты
• ASA 5500-X
• IPS 4300
• ASA5585 + модуль IPS
”Большой
плохой
Интернет”
Интранет DMZ
![Page 20: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/20.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 21
Шлюз VPN должен расшифровывать трафик до
инспекции трафика IPS, иначе IPS не увидит атаки на
уровне приложений
Интранет Интернет
![Page 21: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/21.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 22
Располагая IPS до МСЭ, можно получить больше
информации об атаках/угрозах из Интернета. IPS
будет видеть атаки, которые иначе были бы
заблокированы МСЭ.
Насколько важна эта информация?
Мы получим множественные ненужные сообщения
IPS обрабатывает больше состояний, чем МСЭ, и
поэтому может оказаться узким местом в случае
DDOS атаки.
Интранет Интернет
![Page 22: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/22.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 23
Большинство организаций располагают IPS после
МСЭ.
В это случае IPS не загружен атаками, которые и так
блокирует МСЭ.
Интранет Интернет
![Page 23: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/23.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 24
Если МСЭ/VPN шлюз – не ASA
Меньше контроля над трафиком SSL
VPN
Нужно учитывать требования к
высокой доступности
”Плохой
Интернет”
Интранет
DMZ
![Page 24: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/24.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 25
Clientless SSL VPN Proxy
• IPS видит весть входящих трафик, как трафик с IP
адреса прокси
• Меньше контроля, т.к. индивидуальные сессии
пользователей (src,dst) не видны
• Некоторые действия (например ”drop attacker”) не
рекомендуются
Intranet Internet
attacker
10.1.1.1
VPN inside ip = 10.1.1.1
![Page 25: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/25.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 26
Нужно убедиться в
симметричности трафика,
проходящего через IPS
Есть несколько опций для
высокой доступности
решения с использованием
Software или Hardware
Bypass или сетевого
дизайна (Spanning Tree…)
”Big Bad
Internet”
Intranet
![Page 26: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/26.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 27
Полный набор функций IPS
Интеграция с VPN, МСЭ
Виртуализация для разделения
политик
Высокая отказоустойчивость
”Плохой
Интернет”
Интранет
DMZ
![Page 27: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/27.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 28
IPSec VPN site-to-site
SSL VPN (AnyConnect)
Clientless SSL VPN
оригинальный IP адрес сохраняется для IPS
Интранет Интернет
Трафик VPN
![Page 28: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/28.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 29
Виртуальные сенсоры с
различными настройками
реакции на собития
”Плохой
Интернет”
Интранет
DMZ
Виртаульные
сенсоры VS0 : Internet -> dmz
drop if Risk Rating > 90
VS1 : VPN traffic
drop if Risk Rating > 80
ip log if Risk Rating > 80
VS2 : Intranet surf
drop if Risk Rating > 70
![Page 29: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/29.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 30
Администрируется как 1 ASA + 2
IPS
ASA поддерживает синхронизацию
конфигураций
IPS – не поддерживает синхронизацию
конфигураций
Трафик должен проходить
симметрично через активную ASA
Отказоустойчивость без потери
трафика
”Плохой
Интернет”
Интранет
DMZ
![Page 30: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/30.jpg)
31 © 2011 Cisco and/or its affiliates. All rights reserved.
![Page 31: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/31.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 32
SiSi SiSi
SiSi SiSi
Access
Distribution
Core
Задача: Защита сети от беспроводных
клиентов
Продукты: IPS 4500
ASA5585
IDSM2
Services SiSi
![Page 32: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/32.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 33
Внутр. сеть
WLC
AP
WLAN Client
Аномальный клиентский
трафик в WLAN
Предотврящение угрод на физическом и канальном уровне (layer 1-2)
DOS атаки в 802.11
Посторонные точки доступа
Ad-Hoc сети
радиочастотные помехи
ALARM!
WCS
![Page 33: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/33.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 34
Внутр. сеть
WLC
AP
WLAN Client
IPS
1) Cisco IPS обнаружил
вредоносный
клиентский трафик
2) Cisco IPS
инициирует
блокировку хоста
3) WLC получает
shun list с IP
адресом
заблокированного
хоста
4) WLC проверяет,
соответствует ли
заблокированный IP
адрес
ассоциированному в
БЛВС клиенту. Если да
– исключает клиента
5) WLC отключает
клиента от БЛВС и
блокирует попытки
переподключения
X
![Page 34: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/34.jpg)
35 © 2011 Cisco and/or its affiliates. All rights reserved.
![Page 35: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/35.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 36
• Задачи
Защита филиала от атак из Интернета (если есть примой доступ в Интернет из филиала)
Защита головного офиса от атак из филиала
Защита серверов в филиале (соответствие PCI)
• Продукты
Cisco IOS IPS
Маршрутизатор Cisco с IPS модулем (AIM, NME)
ASA5500-X
VPN Филиал Головной
офис
![Page 36: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/36.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 37
• Маленькие филиалы
Нет локальной поддержки ИТ, нежелание добавлять новые компоненты, требующие обслуживания
Выбор - IOS IPS, Маршрутизатор с AIM/NME, ASA с AIP
• Очень много филиалов
Нужно снизить капитальные затраты
Выбор - IOS IPS
• Низкая скорость подключения филиала (E1, 10Mbps)
Не требуется высокая производительность IPS
• Кто управляет маршрутизатором?
Маршрутизатор может быть под управлением сервис провайдера
![Page 37: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/37.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 38
• Не требует дополнительного оборудования. Низкие операционные и капитальные затраты делают решение привлекательным для компаний, которые сами управляют маршрутизаторами в филиалах
• Функционал IOS IPS не такой гибкий, как у аппаратных IPS
• С появлением ISR G2 производительность IOS IPS увеличилась больше, чем в 2 раза при той же стоимости устройств
![Page 38: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/38.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 39
Головной офис
Серверы приложений
Компьютеры
Веб-кластер
Филиал
Cisco 28xx
Туннель IPSec
Компьютеры
Интернет трафик
Интернет
Interface FastEthernet0/0
ip ips ips-policy in
Черви!
Inside Outside
FE0/0 FE0/1
Защита от атак из филиала
![Page 39: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/39.jpg)
40 © 2011 Cisco and/or its affiliates. All rights reserved.
![Page 40: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/40.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 41
• Задачи
Защита серверов
Мониторинг / Уведомление о тревогах с помощью IPS в режиме IDS
Мониторинг трафика виртуальных машин (пока только в режиме IDS)
• Продукты
Cisco IPS 4500 в режиме IPS или IDS
Cisco ASA IPS SSP для ASA 5585
Cisco ASA5500-X
Cisco IDSM2 в режиме IPS или IDS
![Page 41: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/41.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 42
• Разбиваем серменты на L2-VLANы (без SVI)
• Разрешаем 10 и 20 VLANы в транке в торону IPS
• Добавляем правила мапирования VLANов
• Тарблицы MAC адресов:
Нет STP loop-ов, т.к. записи в разных VLANах
VLAN10
VLAN20
MAC Port
HostA Fa1/10
HostB Gi1/1
Fa1/10
Fa2/42
Gi1/1
MAC Port
HostB Fa2/42
HostA Gi1/1
Host A
Host B
![Page 42: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/42.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 43
• Позволяет IPS/IDS инспектировать трафик
• Поддерживает балансировку нагрузки на уровне приложений (layer 7)
• Разргрузка SSL с серверов
• Сохранается IP адрес клиентов
• Используется специализированная аппаратная платформа
Модуль Cisco ACE или Cisco ACE4710 терминирует SSL
Интернет
Cisco ACE
Сервера
Cisco IPS HTTPS/SSL
HTTP
![Page 43: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/43.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 44
Как сделать
span трафика
множеста ВМ с
множеста
серверов ESX?
Что делать с
перемещением
ВМ и VMotion?
Гре
разместить
сенсор?
Как мониторить
трафик между
ВМ на одном
сервере ESX?
![Page 44: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/44.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 45
Простота управления ВМ и сетевыми политиками
• Подключение ВМ на основе политик
Мобильность сетевых настроек и политик безопансости
• Интеграция с Virtual Center для администраторов серверов
Cisco NX-OS для сетевых администраротов
• Прозрачность работы и контроль политик даже с VMotion
• Совместимость с платформами коммутации
VMW ESX
Server 2
VMW ESX
Server 1
VM #5
VM #8
VM #7
VM #6
VM #4
VM #3
VM #2
VM #1
VMware vSwitch VMware vSwitch Nexus 1000V Nexus 1000V Nexus 1000V DVS
VM #8
VM #7
VM #6
VM #4
VM #3
VM #2
VM #5
VM #1
![Page 45: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/45.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 46
VMW ESX
Server
Nexus 1000V - VEM
VM
#1
VM
#4
VM
#3
VM
#2
Профили портов
включают:
Настройки VLAN, PVLAN
ACL, Port Security, ACL
Redirect
Cisco TrustSec (SGT)
NetFlow Collection
Rate Limiting
QoS Marking (COS/DSCP)
Remote Port Mirror
(ERSPAN)
Virtual Center
Cisco VSMs
![Page 46: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/46.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 48
VSS (физика) VSS (логика)
SiSi SiSi
Server
Server
802.3ad 802.3ad
10GE
802.3ad 802.3ad
Cat6500
Sup720-10GE Cat6500
Sup720-10GE
Access Switch or
ToR or Blades Access Switch or
ToR or Blades
MCEC
vPC Peers
MCEC
vPC Peers
vPC
![Page 47: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/47.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 50
• НЕ РАБОТАЕТ с устройствами IPS (нет поддержки EtherChannel)
• Работает с ASA с версии 8.4.1:
Поддержка EtherChannel
Версия 8.4.2 на ASA 5585-X
![Page 48: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/48.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 51
• Соединяет IDS систему с VSS шасси с помощью технологии SPAN
• CAT6K поддерживает:
SPAN
RSPAN
ERSPAN
• Nexus 7000 поддерживает:
SPAN
RSPAN
![Page 49: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/49.jpg)
52 © 2011 Cisco and/or its affiliates. All rights reserved.
![Page 50: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/50.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 53
Сигнатуры против экспроитов позволяют определить как известные и протестированные экспроиты, так и еще не написанные эксплоиты (эксплоиты нулевого дня)
3000 сигнарут
против
уязвимостей
30,000
известных
эксплоитов
Бессчетное
количество еще
не написанных
эксплоитов
![Page 51: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/51.jpg)
© 2011 Cisco and/or its affiliates. All rights reserved. 54
Simple Pattern Matching напр. atomic / проверка содежимого одного пакета
Stateful Pattern Matching напр. фрагментированные TCP пакеты
Context Stateful Pattern Matching напр. Данные FTP или в канале управления
Protocol Decode-Based Analysis напр. несоответствие RFC, длина полей в пакетах определенных типов
Anomaly Based Analysis напр. отличие трафика от “нормального” поведения
Reputation Based Analysis (Глобальная корреляция)
![Page 52: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/52.jpg)
55 © 2011 Cisco and/or its affiliates. All rights reserved.
![Page 53: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/53.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 56
Модуль
нормализации
трафика
Обновления
сигнатур Обновления
модулей
Cisco SIO
IN
ГК
Модули
анализа
Внутренний
модуль
корреляции
Управление
политиками
на основании
рисков
Регистрация
данных
(forensics)
Отражение
и формирование
тревог
Выбор
виртуального
сенсора
OUT
Защита
АСУ
Фильтр
репутации
![Page 54: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/54.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 57
Что такое виртуальные сенсоры?
• Несколько экземпляров сенсора в рамках одного устройства IPS
• Поддерживаются до 4 виртуальных сенсоров
Сенсор (VS0)
Сенсор (VS1) Сенсор (VS2)
Сеть A
Сеть B Сеть C
Атакующие
![Page 55: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/55.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 58
Модуль
нормализации
трафика
Обновления
сигнатур Обновления
модулей
Cisco SIO
IN
ГК
Модули
анализа
Внутренний
модуль
корреляции
Управление
политиками
на основании
рисков
Регистрация
данных
(forensics)
Отражение
и формирование
тревог
Выбор
виртуального
сенсора
OUT
Защита
АСУ
Фильтр
репутации
![Page 56: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/56.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 59
Фильтр репутации Cisco IPS:
• Удаление пакетов, поступающих от известных источников вредоносного ПО, без анализа сигнатур.
• БД фильтров репутации постоянно обновляется
• Защита от атак известных ботнетов
• Отражение на основании контекста (отправителя), а не только контента
• Быстрее, чем традиционный «только сигнатурный» подход
Фильтры репутации IPS
Анализ по сигнатурам
Обнаружение аномалий
Глобальн. корреляция
Ядро принятия решений
Анализ по сигнатурам
Предварительная обработка
...
58.65.232.0/21
58.83.8.0/22
58.83.12.0/22
62.122.32.0/21
...
![Page 57: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/57.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 60
Модуль
нормализации
трафика
Обновления
сигнатур Обновления
модулей
Cisco SIO
IN
ГК
Модули
анализа
Внутренний
модуль
корреляции
Управление
политиками
на основании
рисков
Регистрация
данных
(forensics)
Отражение
и формирование
тревог
Выбор
виртуального
сенсора
OUT
Защита
АСУ
Фильтр
репутации
![Page 58: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/58.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 61
Дополнительная функция анализа, позволяющая:
• Предотвратить передачу аномального трафика через сенсор
• Противодействовать маскировке атак (anti-evasion)
• “Поддерживать” действия по другим сигнатурам в ходе длительных атак
![Page 59: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/59.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 62
Как модуль нормализации решает эти задачи?
• Строгий контроль состояния конечного автомата TCP
• Строгий контроль порядковых номеров
• Отслеживание неподтвержденного проанализированного контента
• Проверка контрольных сумм, обнаружение недопустимых флагов
• Поддержка модификации TTL
• …
USER root
HDR USER TCP: HDR root
HDR US HDR ER HDR HDR HDR ro HDR ot IP:
![Page 60: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/60.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 63
GET http://…U/*Con*/NI/*fused*/ON
GET http://…UNION
Вплоть до L7-
обфускации
Анализ по сигнатуре
![Page 61: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/61.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 70
Модуль
нормализации
трафика
Обновления
сигнатур Обновления
модулей
Cisco SIO
IN
ГК
Модули
анализа
Внутренний
модуль
корреляции
Управление
политиками
на основании
рисков
Регистрация
данных
(forensics)
Отражение
и формирование
тревог
Выбор
виртуального
сенсора
OUT
Защита
АСУ
Фильтр
репутации
![Page 62: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/62.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 71
Что такое блоки анализа?
• Компонент сенсора, поддерживающий категорию сигнатур
• Каждый модуль характеризуется набором параметров, для которых существуют допустимые диапазоны и наборы значений
• Настраиваемые параметры модулей позволяют оптимизировать сигнатуры/выполнять их тонкую настройку или создавать новые сигнатуры.
Типы блоков сигнатур
• AIC
• Atomic
• Flood
• Meta
• Multi String
• Normalizer
• Service
• State
• Sweep
• Traffic Anomaly
• Trojan
• …
![Page 63: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/63.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 72
• Сигнатура IPS описывает отличительные особенности трафика
• Сигнатуры связаны с определенным модулем
• Постоянно выпускаются новые сигнатуры, также обновляются существующие сигнатуры.
• Cisco позволяет заказчикам разрабатывать собственные сигнатуры
• Сигнатуры, разработанные Cisco, привязаны к уязвимостям
![Page 64: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/64.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 73
Уникальный модуль, созданный для платформ, поддерживающих аппаратное ускорение обработки Regex
Модули String – это модули поиска шаблонов при анализе ICMP-, TCP- и UDP трафика
Новые модули “string-xl”:
• string-xl-tcp
• string-xl-udp
• string-xl-icmp
![Page 65: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/65.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 74
Большинство модулей поддерживают как IPv4, так и IPv6
Исключения:
• Действие modify-packet для нормализации трафика
• Модули, связанные с обработкой ICMP
• Модуль AIC
• Block host, Block connection, and Rate limiting
• Обнаружение аномалий
![Page 66: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/66.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 75
Модуль
нормализации
трафика
Обновления
сигнатур Обновления
модулей
Cisco SIO
IN
ГК
Модули
анализа
Внутренний
модуль
корреляции
Управление
политиками
на основании
рисков
Регистрация
данных
(forensics)
Отражение
и формирование
тревог
Выбор
виртуального
сенсора
OUT
Защита
АСУ
Фильтр
репутации
![Page 67: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/67.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 76
Нормализация трафика ИД попытки
обхода
Анализ
протокола
Для принятия решения об атаке требуется полный контроль различных сигнатур, сведений о пользователях,
протоколах и т. п.
Мета- сигнатура X
Сигнатура A 10:17 Сигнатура B 10:19 Сигнатура C 10:19
![Page 68: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/68.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 77
Модуль META
• Позволяет определять связанные события, которые произошли в течение «скользящего» интервала времени
• Обрабатывает события, а не пакеты
• Генерирует событие сигнатуры после того, как выполнены все требования (обнаружены все компоненты) объекта
![Page 69: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/69.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 78
Инновации в управлении угрозами
Нормализация и анализ
по сигнатурам
Обнаружение известных
шаблонов
Глобальный анализ
Повышение RR для характерных сочетаний
Ядро
принятия
решений
Block, Alert,
Permit, Limit
Фильтры репутации
Блокируют худших и известных
![Page 70: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/70.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 79
• Средства анализа глобальной корреляции позволяют корректировать RR событий на основании репутации атакующего и исходного значения RR.
Влияние глобальной корреляции на рейтинг риска
Reputation Effect on Risk Rating
Standard Mode Reputation of AttackerBlue Deny Packet Red Deny Attacker
-1 -2 -3 -4 -5 -6 -7 -8 -9 -10
Initial 80 80 87 92 95 98 99 100 100 100 100
Risk 81 81 87 92 96 98 100 100 100 100 100
Rating 82 82 88 93 96 98 100 100 100 100 100
83 83 88 93 96 99 100 100 100 100 100
84 84 89 94 97 99 100 100 100 100 100
85 85 90 94 97 99 100 100 100 100 100
86 86 90 94 97 99 100 100 100 100 100
87 87 91 95 98 100 100 100 100 100 100
88 88 91 95 98 100 100 100 100 100 100
89 89 92 96 98 100 100 100 100 100 100
90 90 92 96 99 100 100 100 100 100 100
91 91 93 97 99 100 100 100 100 100 100
92 92 93 97 99 100 100 100 100 100 100
93 93 94 97 100 100 100 100 100 100 100
94 94 95 98 100 100 100 100 100 100 100
95 95 95 98 100 100 100 100 100 100 100
96 96 96 99 100 100 100 100 100 100 100
97 97 97 99 100 100 100 100 100 100 100
98 98 98 100 100 100 100 100 100 100 100
99 99 99 100 100 100 100 100 100 100 100
100 100 100 100 100 100 100 100 100 100 100
![Page 71: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/71.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 80
Известные риски для определенных отраслей
![Page 72: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/72.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 81
Векторы прямых/косвенных угроз
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Terminal Services
Patch Management AV Server
Application Mirror
Web Services Operations
Application Server
Enterprise Network
Site Business Planning and Logistics Network E-Mail, Intranet, etc.
FactoryTalk Application
Server
FactoryTalk Directory
Engineering Workstation
Domain Controller
FactoryTalk Client
Operator Interface
FactoryTalk Client
Engineering Workstation
Operator Interface
Batch Control
Discrete Control
Drive Control
Continuous Process Control
Safety Control
Sensors Drives Actuators Robots
Enterprise Zone
ДМЗ
Зона производства
Cell/Area Zone
Web E-Mail
CIP
Firewall
Firewall
Site Manufacturing Operations and Control
Area Supervisory Control
Basic Control
Process
Purd
ue R
efe
rence M
odel, I
SA
-95
ISA
-99
Modbus
Modbus
Руткит
Руткит
![Page 73: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/73.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 82
Решения Cisco для защиты АСУ ТП обеспечивают безопасность при разумном подходе
• Снижение рисков непредвиденных простоев в результате атаки
• Существенное снижение затрат за счет упрощения процедур пакетной установки патчей
Дилемма обновления компонентов АСУ ТП
Новая уязвимость
Патч готов ?
Y
(редко) N
(обычно)
Принимаем риск? Ставим патч ?
Убытки/ время/работа
Риски нарушения
работоспособности
Принимаем риск ?
Y N
![Page 74: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/74.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 83
Отдельный класс сигнатур для АСУ ТП
• Обновление в рамках обычного еженедельного обновления сигнатур
• Отдельная лицензия
• Решено большинство типовых проблем промышленных сред (например, MODBUS)
Решение Cisco
![Page 75: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/75.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 84
Что уже сделано?
Экстенсивная защита
• Типовые отраслевые системы АСУ ТП
Начальная отрасль: нефтегазовая
• Как добыча, так и переработка
• Поддержка сигнатур и их разработка продолжаются
Планы
• Энергораспределительные системы
• Производство
• Добыча полезных ископаемых
Ориентация на отрасли
Все типы оборудования
• SCADA
• DCS
• PLC
• SIS
• EMS
Все основные поставщики
• Schneider
• Siemens
• Rockwell
• GE, ABB
• Yokogawa
• Motorola
• Emerson
• Invensys
• Honeywell
• SEL
и список пополняется...
![Page 76: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/76.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 85
Модуль
нормализации
трафика
Обновления
сигнатур Обновления
модулей
Cisco SIO
IN
ГК
Модульные
блоки анализа
Внутренний
модуль
корреляции
Управление
политиками
на основании
рисков
Регистрация
данных
(forensics)
Отражение
и формирование
тревог
Выбор
виртуального
сенсора
OUT
Защита
АСУ
Фильтр
репутации
![Page 77: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/77.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 86
• Для каждого события вычисляется RR
• Контекст учитывается (глобальная корреляция)
• Политика обработки событий основана на категориях рисков
• Фильтрация для известных триггеров
Рейтинг риска (RR)
Серьез-ность
Достов. сигнатуры
Релевант-ность атаки Ценность цели атаки
Опасность угрозы?
Насколько низки ложные срабатывания?
Опасность для цели?
Насколько важна безопасность цели?
= Рейтинг риска
+
+
+
Контекст
Оценка дополнительныхсведений?
+
![Page 78: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/78.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 87
Модуль
нормализации
трафика
Обновления
сигнатур Обновления
модулей
Cisco SIO
IN
ГК
Модульные
блоки анализа
Внутренний
модуль
корреляции
Управление
политиками
на основании
рисков
Регистрация
данных
(forensics)
Отражение
и формирование
тревог
Выбор
виртуального
сенсора
OUT
Защита
АСУ
Фильтр
репутации
![Page 79: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/79.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 88
• Средства журналирования IP-трафика обеспечивают регистрацию пакетов, связанных с атакой
• Информация для расследования инцидентам
• Может инициироваться по сигнатуре или вручную
• При запуске журналирования вручную можно регистрировать весь трафик от определенного хоста.
Журналирование
![Page 80: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/80.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 89
Модуль
нормализации
трафика
Обновления
сигнатур Обновления
модулей
Cisco SIO
IN
ГК
Модульные
блоки анализа
Внутренний
модуль
корреляции
Управление
политиками
на основании
рисков
Регистрация
данных
(forensics)
Отражение
атаки
и формирование
тревог
Выбор
виртуального
сенсора
OUT
Защита
АСУ
Фильтр
репутации
![Page 81: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/81.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 90
• К сигнатуре можно применить до 16 различных действий при наступлении события.
• Действия Deny
• Действия Alert
• Действия Logging
• Действия Remote Blocking
• Действия Other
• Дополнительные действия могут выполняться в соответствии с рейтингом риска (Event Action Override)
• События могут также не выполняться в соответствии с различными параметрами (Event Action Override).
Действия при наступлении события
![Page 82: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/82.jpg)
91 © 2011 Cisco and/or its affiliates. All rights reserved.
![Page 83: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/83.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 92
• IPS 7.1.(4)E4 Release
• CSM 4.3
• IPS Device Manager 7.1(4)
• IME 7.2.1
![Page 84: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/84.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 93
• Единое интегрированное приложение
• Унифицированный графический интерфейс для управления политиками и устранения неполадок МСЭ, IPS и VPN-платформ
• Система SDM корпоративного класса
• Управление сотнями решений Cisco для обеспечения ИБ
• IPS серии 4300 поддерживаются с версии CSM 4.3
• Мониторинг работоспособности и производительности (ASA/IPS)
• Управление образами (ASA)
![Page 85: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/85.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 94
• Поддержка сенсоров IPS, модулей IPS и IOS IPS
• Автоматическое обновление ПО и сигнатур сенсоров IPS в соответствии с политикой
• Мастер обновления сигнатур позволяет контролировать (и корректировать) сигнатуры перед их развертыванием
![Page 86: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/86.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 95
Более 20 готовых отчетов
Графика и данные, настройка
Экспорт в PDF / Excel
Генерация по расписанию
Пользовательские отчеты
![Page 87: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/87.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 96
• Мониторинг в реальном времени
• Анализ истории
• Переход от события к политике
• Консолидация журналов
• Фильтры и сортировка
• Уже заданные и пользовательские представления
• Высокая производительность
![Page 88: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/88.jpg)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 97
• Мониторинг устройств в режиме реального времени
• ASA и IPS
• ЦП, память, интерфейсы,…
• Уже заданные и настраиваемые представления
• Уведомления о состоянии по электронной почте
![Page 89: Рекомеднуемая архитектура по внедрению межсетевых экранов и систем защиты от атак в корпоративной](https://reader034.fdocuments.us/reader034/viewer/2022052307/555e326dd8b42a63048b4589/html5/thumbnails/89.jpg)
Спасибо!