Рекомеднуемая архитектура по внедрению межсетевых...
-
Upload
cisco-russia -
Category
Technology
-
view
883 -
download
5
Transcript of Рекомеднуемая архитектура по внедрению межсетевых...
© 2011 Cisco and/or its affiliates. All rights reserved. 1
Cisco Expo 2012
Рекомендуемая архитектура по внедрению систем защиты от атак в корпоративной сети Оксана Санникова инженер по работе с партнерами CCIE Security #35825
1
© 2011 Cisco and/or its affiliates. All rights reserved. 2
Принимайте активное участие в Cisco Expo и получите в подарок Linksys E900.
Как получить подарок:
• внимательно слушать лекции по технологиям Cisco
• посещать демонстрации, включенные в основную программу
• пройти тесты на проверку знаний
Тесты будут открыты:
с 15:00 25 октября по 16:30 26 октября
www.ceq.com.ua
© 2011 Cisco and/or its affiliates. All rights reserved. 3
• Знакомство с IPS и IDS
• Линейка продуктов Cisco
• Место в корпоративной сети
• Периметр
• Кампус
• Филиал
• ЦОД
• Особенности работы IPS
• Детектирование
• Нормализация
• Движки
© 2011 Cisco and/or its affiliates. All rights reserved. 4
• Интеллектуальное обнаружение
Сигнатуры для уязвимостей и эксполитов
Обнаружение аномалий в протоколах
Репутационные фильры
• Точное реагирование
Политики на основе управления рисками
Глобальная корреляция событий
Генерация мета-событий
• Гибкое внедрение
Пассивный и/или Inline IDS/IPS
Виртуальные сенсоры
Поддержка физических и логических (VLAN) интерфейсов
Software и Hardware bypass
© 2011 Cisco and/or its affiliates. All rights reserved. 5
• AIM/ICQ
• AOL
• MSN
• Sametime
• Yahoo
• BitTorrent
• Kazaa
• eDonkey
• Jabber
• Storm
• Mega-D
• Blaster
• Nimda
• Sasser
• Code Red
• Slammer
• Backdoor Trojan Spirit
• Backdoor Beast
• Fatso Worm
• Kelvir Worm
Reconnaissance
Worm/Virus/Trojan P2P/IM
• POP
• IMAP
• SMTP
• Microsoft Exchange
• ICMP host sweeps
• TCP Port Sweeps
• TCP/UDP Combo Sweeps
• UDP Port Sweeps
Adware/Spyware
DDOS/DOS
Secure Voice
Web Server
• ICMP/UDP/TCP
Floods
• Perfect Keylogger
Activity
• Hotbar Activity
• SIP
• H323
• H225
• Apache
• Internet Information Server (IIS)
Network, L2/3/4 • BGP
• DHCP
• DNS
• TCP/UDP
• IP
• IP Fragment
Защита
IPv4 и
IPv6
© 2011 Cisco and/or its affiliates. All rights reserved. 6
Защита бизнеса любого масштаба
IOS IPS
IPS NME
Малый Средний Крупный
Масштаб бизнеса
ISR
Catalyst
6500
IPS серий
4500,
4300 и 4200
ASA серии
5500
ASA серии
5500-X
IDSM2
Catalyst 6500 Комплект IDSM2
IPS 4260
IPS 4270
ASA5510-AIP10
ASA5510-AIP20
ASA5520-AIP10
ASA5520-AIP20
ASA5520-AIP40
ASA5540-AIP20
ASA5540-AIP40
ASA5585-P10S1
ASA5585-P20S20
ASA5585-P40S40
ASA5585-P60S60
ASA 5512-X IPS
ASA 5515-X IPS
ASA 5525-X IPS
ASA 5545-X IPS
ASA 5555-X IPS
IPS 4360
IPS 4345
IPS 4240
IPS 4255
IPS-4510
IPS-4520
© 2011 Cisco and/or its affiliates. All rights reserved. 7
• Cisco IPS 4240, 4255, 4260, 4270:
• анонс - 30 октября 2012,
• окончание продаж - 30 апреля 2013
• IDSM-2:
• анонс – 24 ноября 2012,
• окончание продаж – 25 марта 2013
• Модуль AIP для ASA 5500:
• анонс – 18 июля 2012,
• окончание продаж –16 января 2013
• Модуль IPS NME для маршрутизаторов ISR:
• анонс – 22 октября 2012
• окончание продаж – 22 апреля 2013
© 2011 Cisco and/or its affiliates. All rights reserved. 8
IPS следующего поколения
• Высочайшая производительность
• Учет контекста сетевого взаимодействия
• Удобные средства управления корпоративного класса
• Пропускная способность более 1 Гбит/с в решении с форм-фактором 1 RU
• Четырехкратное увеличение производительности по сравнению с 4200 в 2 раза дешевле
• Аппаратное ускорение регулярный выражений
• Карты Hw-Bypass будут доступны в начале 2013 г.
© 2011 Cisco and/or its affiliates. All rights reserved. 9
Мультигегабитная производительность
• Учет контекста сетевого взаимодействия
• Аппаратная обработка регулярных выражений
• ЦОД или ядро корпоративной сети
• 1 GigE и 10GigE интерфейсы/SFP слоты
• Модуль IPS в шасси 5585-X
• 3 Гбит/сек (4510) – цель от 2 до 5 Гбит/сек
• 6 Гбит/сек (4520) – от 4 до 11 Гбит/сек
• Использование новой методологии тестирования
© 2011 Cisco and/or its affiliates. All rights reserved. 11
Одно шасси для всех
продуктов ASA 5585
28 кг с двумя модулями и
двумя источниками питания
Модули полной длины:
ASA SSP для слота 0
IPS SSP опционально в слот 1
2RU 19in шасси для монтажа в стойке:
2 модуля полной длины
1 модуль полной длины и 2
половинной длины
Слот-1
Слот-0
IPS-SSP имеет свой консольный порт (как 4260/4270)
© 2011 Cisco and/or its affiliates. All rights reserved. 12
5 новых моделей, отвечающих различным требованиям к пропускной способности
ASA 5512-X Пропускная
способность
межсетевого экрана 1
Гбит/с
ASA 5515-X Пропускная
способность
межсетевого экрана 1,2
Гбит/с
ASA 5525-X Пропускная
способность
межсетевого экрана
2 Гбит/с
ASA 5545-X Пропускная
способность
межсетевого экрана
3 Гбит/с
ASA 5555-X Пропускная
способность
межсетевого экрана
4 Гбит/с
1. Пропускная способность на
уровне нескольких Гбит/с Для удовлетворения растущих
требований к пропускной способности
2. Встроенные средства ускорения
сервисов
(дополнительное оборудование не
требуется) Для поддержки меняющихся
потребностей бизнеса
3. Платформа с поддержкой
сервисов нового поколения Для защиты инвестиций
© 2011 Cisco and/or its affiliates. All rights reserved. 13
(в Mbps)
SKU Транзакционный Медиа
ASA 5512-X IPS 165 240
ASA 5515-X IPS 310 480
ASA 5525-X IPS 615 950
ASA5545-X IPS 841 1270
ASA 5555-X IPS 1050 1500
IPS 4345 1800 1940
IPS 4360 2300 2500
ASA 5585-10 IPS 1350 2400
ASA 5585-20 IPS 2100 3700
ASA5585-40 IPS 3500 7000
ASA 5585-60 IPS 6700 10200
IPS 4510 5017 N/A
IPS 4520 7341 N/A
© 2011 Cisco and/or its affiliates. All rights reserved. 14
Производительность IPS при обработке HTTP-транзакций
ASA5512-X IPS
ASA5515-X IPS
ASA5525-X IPS
ASA5545-X IPS
ASA5555-X IPS
IPS 4345
IPS 4360
ASA5585-S10P10
ASA5585-S20P20
ASA5585-S40P40
ASA5585-S60P60
Пр
оп
ускн
ая с
посо
бн
ость
150 Мбит/с
250 Мбит/с
500 Мбит/с
Филиал
1,5 Гбит/с
1 Гбит/с
Комплекс зданий
Интернет-периметр ЦОД
2 Гбит/с
3 Гбит/с
5 Гбит/с
© 2011 Cisco and/or its affiliates. All rights reserved. 15
Сенсор IPS
Интернет Компьютер
Сенсорный интерфейс получает копию трафика с порта SPAN, от хаба, или VACL Capture. Он не находится на пути прохождения трафика. (Не имеет IP адреса)
Интерфейс
управления. Сетевой
трафик не проходит
через этот интерфейс.
(Имеет IP адрес)
Сеть
управления
© 2011 Cisco and/or its affiliates. All rights reserved. 16
IPS Sensor Internet Host
Сенсор находится на пути прохождения трафика и
может блокировать трафик при необходимости.
Интерфейс не имеет IP адреса.
Cisco IPS работает на канальном уровне (Layer 2) по
принципу “умный провод”.
Интерфейс
управления. Сетевой
трафик не проходит
через этот интерфейс.
(Имеет IP адрес)
Management
Network
© 2011 Cisco and/or its affiliates. All rights reserved. 17
IPS IDS Перегрузка сенсора может повлиять на проходящий сетевой трафик
Неисправность сенсора напрямую влияет на проходящий трафик
Ограниченная защита
Выше риски пропуска атаки
Может остановить атаку, блокируя пакеты
Можен нормализовать сетевой трафик для более качественного инспектирования
Не влияет на сеть, не вносит дополнительную задержку
Допускается более высокий уровень ложных срабатываний
© 2011 Cisco and/or its affiliates. All rights reserved. 18
• Часто при тестировании для отладки работы политик IPS не ставят на пути реального трафика.
• Можно развернуть IDS в in-line режиме.
• Почему: Простая миграция с IDS (для тестирования и настройки) на IPS.
19 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 20
• Варианты применения
• Прозрачность, Отчеты
• Защита серверов в DMZ от
Интернета
• Защита серверов в DMZ от
Интранета
• Защита Интранета от
пользователей VPN
• Продукты
• ASA 5500-X
• IPS 4300
• ASA5585 + модуль IPS
”Большой
плохой
Интернет”
Интранет DMZ
© 2011 Cisco and/or its affiliates. All rights reserved. 21
Шлюз VPN должен расшифровывать трафик до
инспекции трафика IPS, иначе IPS не увидит атаки на
уровне приложений
Интранет Интернет
© 2011 Cisco and/or its affiliates. All rights reserved. 22
Располагая IPS до МСЭ, можно получить больше
информации об атаках/угрозах из Интернета. IPS
будет видеть атаки, которые иначе были бы
заблокированы МСЭ.
Насколько важна эта информация?
Мы получим множественные ненужные сообщения
IPS обрабатывает больше состояний, чем МСЭ, и
поэтому может оказаться узким местом в случае
DDOS атаки.
Интранет Интернет
© 2011 Cisco and/or its affiliates. All rights reserved. 23
Большинство организаций располагают IPS после
МСЭ.
В это случае IPS не загружен атаками, которые и так
блокирует МСЭ.
Интранет Интернет
© 2011 Cisco and/or its affiliates. All rights reserved. 24
Если МСЭ/VPN шлюз – не ASA
Меньше контроля над трафиком SSL
VPN
Нужно учитывать требования к
высокой доступности
”Плохой
Интернет”
Интранет
DMZ
© 2011 Cisco and/or its affiliates. All rights reserved. 25
Clientless SSL VPN Proxy
• IPS видит весть входящих трафик, как трафик с IP
адреса прокси
• Меньше контроля, т.к. индивидуальные сессии
пользователей (src,dst) не видны
• Некоторые действия (например ”drop attacker”) не
рекомендуются
Intranet Internet
attacker
10.1.1.1
VPN inside ip = 10.1.1.1
© 2011 Cisco and/or its affiliates. All rights reserved. 26
Нужно убедиться в
симметричности трафика,
проходящего через IPS
Есть несколько опций для
высокой доступности
решения с использованием
Software или Hardware
Bypass или сетевого
дизайна (Spanning Tree…)
”Big Bad
Internet”
Intranet
© 2011 Cisco and/or its affiliates. All rights reserved. 27
Полный набор функций IPS
Интеграция с VPN, МСЭ
Виртуализация для разделения
политик
Высокая отказоустойчивость
”Плохой
Интернет”
Интранет
DMZ
© 2011 Cisco and/or its affiliates. All rights reserved. 28
IPSec VPN site-to-site
SSL VPN (AnyConnect)
Clientless SSL VPN
оригинальный IP адрес сохраняется для IPS
Интранет Интернет
Трафик VPN
© 2011 Cisco and/or its affiliates. All rights reserved. 29
Виртуальные сенсоры с
различными настройками
реакции на собития
”Плохой
Интернет”
Интранет
DMZ
Виртаульные
сенсоры VS0 : Internet -> dmz
drop if Risk Rating > 90
VS1 : VPN traffic
drop if Risk Rating > 80
ip log if Risk Rating > 80
VS2 : Intranet surf
drop if Risk Rating > 70
© 2011 Cisco and/or its affiliates. All rights reserved. 30
Администрируется как 1 ASA + 2
IPS
ASA поддерживает синхронизацию
конфигураций
IPS – не поддерживает синхронизацию
конфигураций
Трафик должен проходить
симметрично через активную ASA
Отказоустойчивость без потери
трафика
”Плохой
Интернет”
Интранет
DMZ
31 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 32
SiSi SiSi
SiSi SiSi
Access
Distribution
Core
Задача: Защита сети от беспроводных
клиентов
Продукты: IPS 4500
ASA5585
IDSM2
Services SiSi
© 2011 Cisco and/or its affiliates. All rights reserved. 33
Внутр. сеть
WLC
AP
WLAN Client
Аномальный клиентский
трафик в WLAN
Предотврящение угрод на физическом и канальном уровне (layer 1-2)
DOS атаки в 802.11
Посторонные точки доступа
Ad-Hoc сети
радиочастотные помехи
ALARM!
WCS
© 2011 Cisco and/or its affiliates. All rights reserved. 34
Внутр. сеть
WLC
AP
WLAN Client
IPS
1) Cisco IPS обнаружил
вредоносный
клиентский трафик
2) Cisco IPS
инициирует
блокировку хоста
3) WLC получает
shun list с IP
адресом
заблокированного
хоста
4) WLC проверяет,
соответствует ли
заблокированный IP
адрес
ассоциированному в
БЛВС клиенту. Если да
– исключает клиента
5) WLC отключает
клиента от БЛВС и
блокирует попытки
переподключения
X
35 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 36
• Задачи
Защита филиала от атак из Интернета (если есть примой доступ в Интернет из филиала)
Защита головного офиса от атак из филиала
Защита серверов в филиале (соответствие PCI)
• Продукты
Cisco IOS IPS
Маршрутизатор Cisco с IPS модулем (AIM, NME)
ASA5500-X
VPN Филиал Головной
офис
© 2011 Cisco and/or its affiliates. All rights reserved. 37
• Маленькие филиалы
Нет локальной поддержки ИТ, нежелание добавлять новые компоненты, требующие обслуживания
Выбор - IOS IPS, Маршрутизатор с AIM/NME, ASA с AIP
• Очень много филиалов
Нужно снизить капитальные затраты
Выбор - IOS IPS
• Низкая скорость подключения филиала (E1, 10Mbps)
Не требуется высокая производительность IPS
• Кто управляет маршрутизатором?
Маршрутизатор может быть под управлением сервис провайдера
© 2011 Cisco and/or its affiliates. All rights reserved. 38
• Не требует дополнительного оборудования. Низкие операционные и капитальные затраты делают решение привлекательным для компаний, которые сами управляют маршрутизаторами в филиалах
• Функционал IOS IPS не такой гибкий, как у аппаратных IPS
• С появлением ISR G2 производительность IOS IPS увеличилась больше, чем в 2 раза при той же стоимости устройств
© 2011 Cisco and/or its affiliates. All rights reserved. 39
Головной офис
Серверы приложений
Компьютеры
Веб-кластер
Филиал
Cisco 28xx
Туннель IPSec
Компьютеры
Интернет трафик
Интернет
Interface FastEthernet0/0
ip ips ips-policy in
Черви!
Inside Outside
FE0/0 FE0/1
Защита от атак из филиала
40 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 41
• Задачи
Защита серверов
Мониторинг / Уведомление о тревогах с помощью IPS в режиме IDS
Мониторинг трафика виртуальных машин (пока только в режиме IDS)
• Продукты
Cisco IPS 4500 в режиме IPS или IDS
Cisco ASA IPS SSP для ASA 5585
Cisco ASA5500-X
Cisco IDSM2 в режиме IPS или IDS
© 2011 Cisco and/or its affiliates. All rights reserved. 42
• Разбиваем серменты на L2-VLANы (без SVI)
• Разрешаем 10 и 20 VLANы в транке в торону IPS
• Добавляем правила мапирования VLANов
• Тарблицы MAC адресов:
Нет STP loop-ов, т.к. записи в разных VLANах
VLAN10
VLAN20
MAC Port
HostA Fa1/10
HostB Gi1/1
Fa1/10
Fa2/42
Gi1/1
MAC Port
HostB Fa2/42
HostA Gi1/1
Host A
Host B
© 2011 Cisco and/or its affiliates. All rights reserved. 43
• Позволяет IPS/IDS инспектировать трафик
• Поддерживает балансировку нагрузки на уровне приложений (layer 7)
• Разргрузка SSL с серверов
• Сохранается IP адрес клиентов
• Используется специализированная аппаратная платформа
Модуль Cisco ACE или Cisco ACE4710 терминирует SSL
Интернет
Cisco ACE
Сервера
Cisco IPS HTTPS/SSL
HTTP
© 2011 Cisco and/or its affiliates. All rights reserved. 44
Как сделать
span трафика
множеста ВМ с
множеста
серверов ESX?
Что делать с
перемещением
ВМ и VMotion?
Гре
разместить
сенсор?
Как мониторить
трафик между
ВМ на одном
сервере ESX?
© 2011 Cisco and/or its affiliates. All rights reserved. 45
Простота управления ВМ и сетевыми политиками
• Подключение ВМ на основе политик
Мобильность сетевых настроек и политик безопансости
• Интеграция с Virtual Center для администраторов серверов
Cisco NX-OS для сетевых администраротов
• Прозрачность работы и контроль политик даже с VMotion
• Совместимость с платформами коммутации
VMW ESX
Server 2
VMW ESX
Server 1
VM #5
VM #8
VM #7
VM #6
VM #4
VM #3
VM #2
VM #1
VMware vSwitch VMware vSwitch Nexus 1000V Nexus 1000V Nexus 1000V DVS
VM #8
VM #7
VM #6
VM #4
VM #3
VM #2
VM #5
VM #1
© 2011 Cisco and/or its affiliates. All rights reserved. 46
VMW ESX
Server
Nexus 1000V - VEM
VM
#1
VM
#4
VM
#3
VM
#2
Профили портов
включают:
Настройки VLAN, PVLAN
ACL, Port Security, ACL
Redirect
Cisco TrustSec (SGT)
NetFlow Collection
Rate Limiting
QoS Marking (COS/DSCP)
Remote Port Mirror
(ERSPAN)
Virtual Center
Cisco VSMs
© 2011 Cisco and/or its affiliates. All rights reserved. 48
VSS (физика) VSS (логика)
SiSi SiSi
Server
Server
802.3ad 802.3ad
10GE
802.3ad 802.3ad
Cat6500
Sup720-10GE Cat6500
Sup720-10GE
Access Switch or
ToR or Blades Access Switch or
ToR or Blades
MCEC
vPC Peers
MCEC
vPC Peers
vPC
© 2011 Cisco and/or its affiliates. All rights reserved. 50
• НЕ РАБОТАЕТ с устройствами IPS (нет поддержки EtherChannel)
• Работает с ASA с версии 8.4.1:
Поддержка EtherChannel
Версия 8.4.2 на ASA 5585-X
© 2011 Cisco and/or its affiliates. All rights reserved. 51
• Соединяет IDS систему с VSS шасси с помощью технологии SPAN
• CAT6K поддерживает:
SPAN
RSPAN
ERSPAN
• Nexus 7000 поддерживает:
SPAN
RSPAN
52 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 53
Сигнатуры против экспроитов позволяют определить как известные и протестированные экспроиты, так и еще не написанные эксплоиты (эксплоиты нулевого дня)
3000 сигнарут
против
уязвимостей
30,000
известных
эксплоитов
Бессчетное
количество еще
не написанных
эксплоитов
© 2011 Cisco and/or its affiliates. All rights reserved. 54
Simple Pattern Matching напр. atomic / проверка содежимого одного пакета
Stateful Pattern Matching напр. фрагментированные TCP пакеты
Context Stateful Pattern Matching напр. Данные FTP или в канале управления
Protocol Decode-Based Analysis напр. несоответствие RFC, длина полей в пакетах определенных типов
Anomaly Based Analysis напр. отличие трафика от “нормального” поведения
Reputation Based Analysis (Глобальная корреляция)
55 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 56
Модуль
нормализации
трафика
Обновления
сигнатур Обновления
модулей
Cisco SIO
IN
ГК
Модули
анализа
Внутренний
модуль
корреляции
Управление
политиками
на основании
рисков
Регистрация
данных
(forensics)
Отражение
и формирование
тревог
Выбор
виртуального
сенсора
OUT
Защита
АСУ
Фильтр
репутации
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 57
Что такое виртуальные сенсоры?
• Несколько экземпляров сенсора в рамках одного устройства IPS
• Поддерживаются до 4 виртуальных сенсоров
Сенсор (VS0)
Сенсор (VS1) Сенсор (VS2)
Сеть A
Сеть B Сеть C
Атакующие
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 58
Модуль
нормализации
трафика
Обновления
сигнатур Обновления
модулей
Cisco SIO
IN
ГК
Модули
анализа
Внутренний
модуль
корреляции
Управление
политиками
на основании
рисков
Регистрация
данных
(forensics)
Отражение
и формирование
тревог
Выбор
виртуального
сенсора
OUT
Защита
АСУ
Фильтр
репутации
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 59
Фильтр репутации Cisco IPS:
• Удаление пакетов, поступающих от известных источников вредоносного ПО, без анализа сигнатур.
• БД фильтров репутации постоянно обновляется
• Защита от атак известных ботнетов
• Отражение на основании контекста (отправителя), а не только контента
• Быстрее, чем традиционный «только сигнатурный» подход
Фильтры репутации IPS
Анализ по сигнатурам
Обнаружение аномалий
Глобальн. корреляция
Ядро принятия решений
Анализ по сигнатурам
Предварительная обработка
...
58.65.232.0/21
58.83.8.0/22
58.83.12.0/22
62.122.32.0/21
...
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 60
Модуль
нормализации
трафика
Обновления
сигнатур Обновления
модулей
Cisco SIO
IN
ГК
Модули
анализа
Внутренний
модуль
корреляции
Управление
политиками
на основании
рисков
Регистрация
данных
(forensics)
Отражение
и формирование
тревог
Выбор
виртуального
сенсора
OUT
Защита
АСУ
Фильтр
репутации
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 61
Дополнительная функция анализа, позволяющая:
• Предотвратить передачу аномального трафика через сенсор
• Противодействовать маскировке атак (anti-evasion)
• “Поддерживать” действия по другим сигнатурам в ходе длительных атак
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 62
Как модуль нормализации решает эти задачи?
• Строгий контроль состояния конечного автомата TCP
• Строгий контроль порядковых номеров
• Отслеживание неподтвержденного проанализированного контента
• Проверка контрольных сумм, обнаружение недопустимых флагов
• Поддержка модификации TTL
• …
USER root
HDR USER TCP: HDR root
HDR US HDR ER HDR HDR HDR ro HDR ot IP:
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 63
GET http://…U/*Con*/NI/*fused*/ON
GET http://…UNION
Вплоть до L7-
обфускации
Анализ по сигнатуре
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 70
Модуль
нормализации
трафика
Обновления
сигнатур Обновления
модулей
Cisco SIO
IN
ГК
Модули
анализа
Внутренний
модуль
корреляции
Управление
политиками
на основании
рисков
Регистрация
данных
(forensics)
Отражение
и формирование
тревог
Выбор
виртуального
сенсора
OUT
Защита
АСУ
Фильтр
репутации
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 71
Что такое блоки анализа?
• Компонент сенсора, поддерживающий категорию сигнатур
• Каждый модуль характеризуется набором параметров, для которых существуют допустимые диапазоны и наборы значений
• Настраиваемые параметры модулей позволяют оптимизировать сигнатуры/выполнять их тонкую настройку или создавать новые сигнатуры.
Типы блоков сигнатур
• AIC
• Atomic
• Flood
• Meta
• Multi String
• Normalizer
• Service
• State
• Sweep
• Traffic Anomaly
• Trojan
• …
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 72
• Сигнатура IPS описывает отличительные особенности трафика
• Сигнатуры связаны с определенным модулем
• Постоянно выпускаются новые сигнатуры, также обновляются существующие сигнатуры.
• Cisco позволяет заказчикам разрабатывать собственные сигнатуры
• Сигнатуры, разработанные Cisco, привязаны к уязвимостям
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 73
Уникальный модуль, созданный для платформ, поддерживающих аппаратное ускорение обработки Regex
Модули String – это модули поиска шаблонов при анализе ICMP-, TCP- и UDP трафика
Новые модули “string-xl”:
• string-xl-tcp
• string-xl-udp
• string-xl-icmp
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 74
Большинство модулей поддерживают как IPv4, так и IPv6
Исключения:
• Действие modify-packet для нормализации трафика
• Модули, связанные с обработкой ICMP
• Модуль AIC
• Block host, Block connection, and Rate limiting
• Обнаружение аномалий
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 75
Модуль
нормализации
трафика
Обновления
сигнатур Обновления
модулей
Cisco SIO
IN
ГК
Модули
анализа
Внутренний
модуль
корреляции
Управление
политиками
на основании
рисков
Регистрация
данных
(forensics)
Отражение
и формирование
тревог
Выбор
виртуального
сенсора
OUT
Защита
АСУ
Фильтр
репутации
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 76
Нормализация трафика ИД попытки
обхода
Анализ
протокола
Для принятия решения об атаке требуется полный контроль различных сигнатур, сведений о пользователях,
протоколах и т. п.
Мета- сигнатура X
Сигнатура A 10:17 Сигнатура B 10:19 Сигнатура C 10:19
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 77
Модуль META
• Позволяет определять связанные события, которые произошли в течение «скользящего» интервала времени
• Обрабатывает события, а не пакеты
• Генерирует событие сигнатуры после того, как выполнены все требования (обнаружены все компоненты) объекта
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 78
Инновации в управлении угрозами
Нормализация и анализ
по сигнатурам
Обнаружение известных
шаблонов
Глобальный анализ
Повышение RR для характерных сочетаний
Ядро
принятия
решений
Block, Alert,
Permit, Limit
Фильтры репутации
Блокируют худших и известных
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 79
• Средства анализа глобальной корреляции позволяют корректировать RR событий на основании репутации атакующего и исходного значения RR.
Влияние глобальной корреляции на рейтинг риска
Reputation Effect on Risk Rating
Standard Mode Reputation of AttackerBlue Deny Packet Red Deny Attacker
-1 -2 -3 -4 -5 -6 -7 -8 -9 -10
Initial 80 80 87 92 95 98 99 100 100 100 100
Risk 81 81 87 92 96 98 100 100 100 100 100
Rating 82 82 88 93 96 98 100 100 100 100 100
83 83 88 93 96 99 100 100 100 100 100
84 84 89 94 97 99 100 100 100 100 100
85 85 90 94 97 99 100 100 100 100 100
86 86 90 94 97 99 100 100 100 100 100
87 87 91 95 98 100 100 100 100 100 100
88 88 91 95 98 100 100 100 100 100 100
89 89 92 96 98 100 100 100 100 100 100
90 90 92 96 99 100 100 100 100 100 100
91 91 93 97 99 100 100 100 100 100 100
92 92 93 97 99 100 100 100 100 100 100
93 93 94 97 100 100 100 100 100 100 100
94 94 95 98 100 100 100 100 100 100 100
95 95 95 98 100 100 100 100 100 100 100
96 96 96 99 100 100 100 100 100 100 100
97 97 97 99 100 100 100 100 100 100 100
98 98 98 100 100 100 100 100 100 100 100
99 99 99 100 100 100 100 100 100 100 100
100 100 100 100 100 100 100 100 100 100 100
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 80
Известные риски для определенных отраслей
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 81
Векторы прямых/косвенных угроз
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Terminal Services
Patch Management AV Server
Application Mirror
Web Services Operations
Application Server
Enterprise Network
Site Business Planning and Logistics Network E-Mail, Intranet, etc.
FactoryTalk Application
Server
FactoryTalk Directory
Engineering Workstation
Domain Controller
FactoryTalk Client
Operator Interface
FactoryTalk Client
Engineering Workstation
Operator Interface
Batch Control
Discrete Control
Drive Control
Continuous Process Control
Safety Control
Sensors Drives Actuators Robots
Enterprise Zone
ДМЗ
Зона производства
Cell/Area Zone
Web E-Mail
CIP
Firewall
Firewall
Site Manufacturing Operations and Control
Area Supervisory Control
Basic Control
Process
Purd
ue R
efe
rence M
odel, I
SA
-95
ISA
-99
Modbus
Modbus
Руткит
Руткит
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 82
Решения Cisco для защиты АСУ ТП обеспечивают безопасность при разумном подходе
• Снижение рисков непредвиденных простоев в результате атаки
• Существенное снижение затрат за счет упрощения процедур пакетной установки патчей
Дилемма обновления компонентов АСУ ТП
Новая уязвимость
Патч готов ?
Y
(редко) N
(обычно)
Принимаем риск? Ставим патч ?
Убытки/ время/работа
Риски нарушения
работоспособности
Принимаем риск ?
Y N
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 83
Отдельный класс сигнатур для АСУ ТП
• Обновление в рамках обычного еженедельного обновления сигнатур
• Отдельная лицензия
• Решено большинство типовых проблем промышленных сред (например, MODBUS)
Решение Cisco
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 84
Что уже сделано?
Экстенсивная защита
• Типовые отраслевые системы АСУ ТП
Начальная отрасль: нефтегазовая
• Как добыча, так и переработка
• Поддержка сигнатур и их разработка продолжаются
Планы
• Энергораспределительные системы
• Производство
• Добыча полезных ископаемых
Ориентация на отрасли
Все типы оборудования
• SCADA
• DCS
• PLC
• SIS
• EMS
Все основные поставщики
• Schneider
• Siemens
• Rockwell
• GE, ABB
• Yokogawa
• Motorola
• Emerson
• Invensys
• Honeywell
• SEL
и список пополняется...
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 85
Модуль
нормализации
трафика
Обновления
сигнатур Обновления
модулей
Cisco SIO
IN
ГК
Модульные
блоки анализа
Внутренний
модуль
корреляции
Управление
политиками
на основании
рисков
Регистрация
данных
(forensics)
Отражение
и формирование
тревог
Выбор
виртуального
сенсора
OUT
Защита
АСУ
Фильтр
репутации
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 86
• Для каждого события вычисляется RR
• Контекст учитывается (глобальная корреляция)
• Политика обработки событий основана на категориях рисков
• Фильтрация для известных триггеров
Рейтинг риска (RR)
Серьез-ность
Достов. сигнатуры
Релевант-ность атаки Ценность цели атаки
Опасность угрозы?
Насколько низки ложные срабатывания?
Опасность для цели?
Насколько важна безопасность цели?
= Рейтинг риска
+
+
+
Контекст
Оценка дополнительныхсведений?
+
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 87
Модуль
нормализации
трафика
Обновления
сигнатур Обновления
модулей
Cisco SIO
IN
ГК
Модульные
блоки анализа
Внутренний
модуль
корреляции
Управление
политиками
на основании
рисков
Регистрация
данных
(forensics)
Отражение
и формирование
тревог
Выбор
виртуального
сенсора
OUT
Защита
АСУ
Фильтр
репутации
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 88
• Средства журналирования IP-трафика обеспечивают регистрацию пакетов, связанных с атакой
• Информация для расследования инцидентам
• Может инициироваться по сигнатуре или вручную
• При запуске журналирования вручную можно регистрировать весь трафик от определенного хоста.
Журналирование
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 89
Модуль
нормализации
трафика
Обновления
сигнатур Обновления
модулей
Cisco SIO
IN
ГК
Модульные
блоки анализа
Внутренний
модуль
корреляции
Управление
политиками
на основании
рисков
Регистрация
данных
(forensics)
Отражение
атаки
и формирование
тревог
Выбор
виртуального
сенсора
OUT
Защита
АСУ
Фильтр
репутации
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 90
• К сигнатуре можно применить до 16 различных действий при наступлении события.
• Действия Deny
• Действия Alert
• Действия Logging
• Действия Remote Blocking
• Действия Other
• Дополнительные действия могут выполняться в соответствии с рейтингом риска (Event Action Override)
• События могут также не выполняться в соответствии с различными параметрами (Event Action Override).
Действия при наступлении события
91 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 92
• IPS 7.1.(4)E4 Release
• CSM 4.3
• IPS Device Manager 7.1(4)
• IME 7.2.1
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 93
• Единое интегрированное приложение
• Унифицированный графический интерфейс для управления политиками и устранения неполадок МСЭ, IPS и VPN-платформ
• Система SDM корпоративного класса
• Управление сотнями решений Cisco для обеспечения ИБ
• IPS серии 4300 поддерживаются с версии CSM 4.3
• Мониторинг работоспособности и производительности (ASA/IPS)
• Управление образами (ASA)
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 94
• Поддержка сенсоров IPS, модулей IPS и IOS IPS
• Автоматическое обновление ПО и сигнатур сенсоров IPS в соответствии с политикой
• Мастер обновления сигнатур позволяет контролировать (и корректировать) сигнатуры перед их развертыванием
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 95
Более 20 готовых отчетов
Графика и данные, настройка
Экспорт в PDF / Excel
Генерация по расписанию
Пользовательские отчеты
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 96
• Мониторинг в реальном времени
• Анализ истории
• Переход от события к политике
• Консолидация журналов
• Фильтры и сортировка
• Уже заданные и пользовательские представления
• Высокая производительность
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 97
• Мониторинг устройств в режиме реального времени
• ASA и IPS
• ЦП, память, интерфейсы,…
• Уже заданные и настраиваемые представления
• Уведомления о состоянии по электронной почте
Спасибо!