Cisco ASA. Next-Generation Firewalls
-
Upload
cisco-russia -
Category
Technology
-
view
1.112 -
download
7
Transcript of Cisco ASA. Next-Generation Firewalls
Cisco Confidential 1 C97-729688-00 © 2013 Cisco and/or its affiliates. All rights reserved.
Андрей Оврашко Системный инженер Cisco
Cisco Confidential © 2013 Cisco and/or its affiliates. All rights reserved. 2
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
Облака Мобильность Угрозы
Эти тренды требуют качественно нового подхода к ИБ
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
= +
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
Надежные функции межсетевой
защиты с контролем состояния
Повсеместный доступ с любого
устройства
Реализация политик допустимого
использования
Повсеместная защита всех компонентов
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
Постоянное развитие
угроз Рост количества устройств и приложений
означает, кроме всего прочего,
увеличение контактной зоны и
развитие инструментов для атаки!
Ожидаемое повышение
ИТ- производительности Выполнение большего
количества задач с меньшими
затратами
Существенный рост
ориентированных на
пользователя приложений!
Пользователи будут работать
любым удобным им способом
Бурный рост количества
устройств Оборудование, которое мы используем,
никогда не менялось так быстро!
?
?
Группа по ИТ/обеспечению
безопасности
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
Парадокс для профессионалов безопасности
VS.
Мобильность Threats / APT
Облака Виртуализация
Устройства Collaboration
Приложения BYOD
HTTPS/SSL IPv6
Безопасность
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
Меняются межсетевые экраны
Обычные правила Firewall, которые основываются на информации уровня L3/L4 уже не удовлетворяют многим сегодняшним архитектурам
Традиционные правила:
А вот бизнес требования:
“Всем пользователям в группе Marketing должен быть разрешен доступ к Twitter и Facebook”
“Я не хочу, чтобы мои работники тратили время в офисе играя в Facebook игры, но блокировать доступ не хочу…”
“Я боюсь, что разработчики отправят секретную информацию через Webmail за пределы компании”
Мне надо контролировать, кто может использовать Instant Messengers.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
Полный обзор использования интернет/приложений?
Идентификация?
Что я хочу заблокировать?
А что я могу заблокировать?
Защита от malware?
Правила использования?
Защита от угроз?
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
Cisco AnyConnect®
150 million endpoints Cisco® Identity Services Engine*
BYOD solution
* Future AV Registry Files
Posture*
OS
Version*
Device
OS
Cisco Confidential © 2013 Cisco and/or its affiliates. All rights reserved. 11
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
Много
Часто
Трудноуловимы
Malware
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
Автоматизировано
Высокоэффективно
Производительно
Повышение операционной
эффективности средств ИБ
Cisco®
SIO
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
Visibility Control
0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
101000 0110 00 0111000 111010011 101 1100001 0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101
101000 0110 00 0111000 111010011 101 1100001 11000
Cisco® SIO
WWW
Emai
l
Web Devices
IPS Endpoints Networks
More Than 150 Million DEPLOYED ENDPOINTS
75 TB DATA RECEIVED PER DAY
1.6 Million GLOBAL SENSORS
35% WORLDWIDE EMAIL TRAFFIC
13 Billion WEB REQUESTS
Cloud AnyConnect® IPS
ESA WSA ASA WWW
3 to 5 MINUTE UPDATES
More Than 200 PARAMETERS TRACKED
More Than 5500 IPS SIGNATURES
PRODUCED
More Than 8
Million RULES PER DAY
More Than 70 PUBLICATIONS
PRODUCED
Information
Actions
More Than
40 LANGUAGES
More Than
80 PH.D, CCIE, CISSP,
MSCE
More Than
$100 Million SPENT IN DYNAMIC
RESEARCH AND
DEVELOPMENT
24 Hours
Daily OPERATIONS
More Than
600 ENGINEERS,
TECHNICIANS, AND
RESEARCHERS
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
Но действуя, создает
сетевую активность и
таким образом
обнаруживает себя.
Представьте что в Вашей сети кто-то
делает не то что Вы хотите:
• Не понятно где искать.
• Не понятно что искать.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
ASA NGFW – это дополнительный
модуль для ASA
Функциональность:
Application Visibility and Control на
всех портах
URL фильтрация с репутацией
Идентификация в AD, LDAP или CDA
Расшифровка трафика SSL
Управление ASA-CX делается
через Prime Security Manager
Restfull XML
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
Работа в Inline
Не нужны клиентские
настройки
Надо деактивировать
инспекцию HTTP на
ASA
Прозрачный
режим
Монитор режим
• Проверка IP Header
• Access-list checks, connection matching
• NGFW Module Content Filtering
• NAT
• Инспекция протоколов
• Исходящая обработка и передача
ASA with NGFW module
FW FW NGFW
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
Трафик перенаправляется через MPF
policy-map global_policy class class-default
cxsc fail-open
Service-policy global_policy global
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19
NGFW SSP
ASA SSP
ASA NGFW на ASA 5585 запускается на отдельном HW модуле
Slot 0 зарезервирован для ASA SSP
Slot 1 зарезервирован для NGFW SSP
И оборудован двумя HDD в RAID 1
Сейчас не может работать одновременно с модулем IPS
(или/или)
IPS функциональность будет добавлена в ASA NGFW в конце CY 2013
ASA 5585
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
ASA 5585-SSP10 ASA 5585-SSP20
Campus / Data Center
2 Gbps NGFW
2 MM Connections
100,000 CPS
5 Gbps NGFW
4 MM Connections
250,000 CPS
Data Center
ASA 5585-SSP40
Future
ASA 5585-SSP60
ASA 5585
Новинка! 9
Gbps
13
Gbps
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
ASA NGFW на ASA 5500-X работает как программный
модуль
Для работы требует SSD диск
Требуется место для журналирования
5545 и 5555 могут использовать два SSH в RAID
Ядра и память распределены между процессами ASA и
ASA NGFW
Фиксированное распределение
ASA 5500-X Midrange
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
ASA 5500-X Midrange
Branch Locations
200 Mbps NGFW
100K Connections
10,000 CPS
ASA 5512-X
350 Mbps NGFW
250K Connections
15,000 CPS
ASA 5515-X
Internet Edge
650 Mbps NGFW
500K Connections
20,000 CPS
ASA 5525-X
1 Gbps NGFW
750K Connections
30,000 CPS
ASA 5545-X
1.4 Gbps NGFW
1 MM Connections
50,000 CPS
ASA 5555-X
60
Mbps
90
Mbps
300
Mbps
450
Mbps
600
Mbps
NG IPS
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
ASA 5585-SSP10 ASA 5585-SSP20
Campus / Data Center
2 Gbps NGFW
2 MM Connections
100,000 CPS
5 Gbps NGFW
4 MM Connections
250,000 CPS
Data Center
ASA 5585-SSP40
ASA 5585-SSP60
ASA 5585
9
Gbps
13
Gbps
NG IPS
1
Gbps
1,5
Gbps
2250
Mbps
4
Gbps
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
PRSM: Centralized Management & Reporting
ASA NGFW Components (ASA CX 9.2)
Application
Visibility &
Control
WebAVC
+ NBAR 2
Web
Security
Essentials
URL Filtering
+ Reputation
AVC
(1Y, 3Y, 5Y)
WSE
(1Y, 3Y, 5Y)
AVC + WSE + IPS Bundle
(1Y, 3Y, 5Y)
CX SSP
Identity, Onbox Mgmt & Reporting
ASA SSP
ASA CX Bundle for
ASA 5585-X SSP-10,
20, 40, 60
ASA 5512 - 5555
CX Spare card for
ASA 5585-X SSP-10,
20, 40, 60
Next
Generatio
n
Intrusion
Prevention
System
NG IPS
(1Y, 3Y, 5Y)
PRSM
(5, 10, 25, 50, 100)
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25
IP Fragmentation
IP Option Inspection
TCP Intercept
TCP Normalization
ACL
NAT
VPN Termination
Routing
TCP Proxy
TLS Proxy
AVC Multiple Policy
Decision Points
HTTP Inspection
URL Category/Reputation
ASA NGFW
ASA
SGT Policies IPv6 Policies
NG IPS
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
IP Fragmentation
IP Option Inspection
TCP Intercept
TCP Normalization
ACL
NAT
VPN Termination
Routing
TCP Proxy
TLS Proxy
AVC Multiple Policy
Decision Points
HTTP Inspection
URL Category/Reputation
ASA NGFW
ASA
SGT Policies IPv6 Policies
NG IPS
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
• Приложений ~1200
• Микро-приложений 150,000+
• Cisco Security Intelligence Operation (SIO) • Utilizes Application Signatures
• Период проверки сигнатур – по умолчанию 5 минут
• Поддерживаемые приложения определяются на всех портах
• Для некоторых приложений – раздельный контроль разного поведения. Разрешить приложение типу, но запретить определённое поведение – «загрузку».
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28
IP Fragmentation
IP Option Inspection
TCP Intercept
TCP Normalization
ACL
NAT
VPN Termination
Routing
TCP Proxy
TLS Proxy
Multiple Policy
Decision Points
HTTP Inspection
URL Category/Reputation
ASA NGFW
ASA
SGT Policies IPv6 Policies
NG IPS
AVC
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29
• AUP, предупреждения и обратная связь.
• Предопределенные и свои URL категории.
• 78 предопределенных URL категорий
• 20,000,000+ URL откатегоризировано
• 60+ языков
• Cisco Security Intelligence Operation (SIO)
• Utilizes Application Signatures
• Период проверки сигнатур – по умолчанию 5 минут
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
Identity Policies
Активные:
Basic Authentication, NTLM, Kerberos, LDAP
Пассивные:
CDA - Agent
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
Сейчас пассивная аутентификация использует
CDA, в будущем – CDA + ISE
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
Политики расшифровки
Расшифровка SSL трафика
Решение на основе URL Category, Source, Destination, User Agent,...
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33
• Две разные сессии, ключи и сертификаты
• ASA CX работает как CA, выпуская сертификат для Web Server
Corporate
network
Web server
1. Negotiate
algorithms. 1. Negotiate
algorithms.
2. Authenticate
server certificate. 3. Generate
proxied server
certificate. 4. Client Authenticates
“server” certificate.
5. Generate
encryption keys. 5. Generate
encryption keys.
6. Encrypted data
channel established. 6. Encrypted data
channel established.
ASA CX
Cert is generated
dynamically with
destination name but
signed by ASA CX.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
Что это?
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35
Модели и OS
5510
5520
5540
5550
5580
5512-X
5515-X
5525-X
5545-X
5555-X
5585-10
5585-20
5585-40
5585-60
Peregrine
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36
до-Peregrine
• PRSM управление
NGFW функции
Syslog настройки
• Политики на device groups.
• Реакция политик
Allow или Deny
• IPS и NGFW сервисы не могут сосуществовать
Peregrine
• PRSM управление
NGFW функции
Syslog настройки
NAT конфигурация
Firewall ACLs
• Политики:
Local to a device
Shared
Universal
• Реакция политик
Allow, Warn или Deny
• IPS теперь часть NGFW
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37
Поддержка Active/Standby
PRSM может находить HA конфигурации и расценивать HA пары как единое устройство (для лицензирования, настройки политик, отчётности)
NGFS IPS
Поддержка платформ
Добавили SSP 20, 40, 60 для ASA-5585х
NGFW теперь доступен на всей линейке ASA
«Безопасный поиск»
Ограничения пропускной в политиках
Роли интерфейсов в политике
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 39
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40
Поддерживаемые функции
Peregrine
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41
Поддержка 5585-X SSP 40 и 60
Дополнительный CLI для troubleshooting
Телеметрия
Отчет о вредоносных транзакциях
Ограничение полосы по политикам
Предупредить End Users
Расширения
Safe Search
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42
Использование на границе сети
80% пограничных сигнатур
Threat Protection Updates
Threat Protection Workflows
Threat Protection Licensing
Threat Protection Objects
Threat Protection Profiles
Свойства
Cisco Confidential © 2013 Cisco and/or its affiliates. All rights reserved. 43
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44
Абсолютно новая система
управления для ASA NGFW
‒ Prime Security Manager (PRSM)
‒ Для одного устройства –
прямо HTTPS интерфейс
‒ Отдельное управление для
нескольких устройство
Управление только через
GUI
‒ CLI только для troubleshooting
и первоначальной настройки
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 45
RESTful XML
ASA NGFW PRSM Binary Logging
Примечание: ASA может отправлять Syslog на PRSM
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 46
ASA NGFW PRSM
Cisco SIO SIO обновления для
‒ Application Visibility & Control
‒ URL Filtering Categories
‒ Reputation
‒ Trusted Root CAs
Cisco® SIO
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 47
Виртуальная машина
Предоставляется в виде файла .ova Open
Virtual Appliance (OVA)
VMware vSphere Hypervisor 4.1 (Update 2)
Загружается с www.cisco.com
UCS бандл
Cервер UCS C220 M3 Server + ESXi 4.1
U2 + VM
Виртуальная машина
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 48
• Как идентифицировать пользователей? Identity
• Какой трафик TLS/SSL расшифровать?
Decryption
• Какой трафик разрешить или запретить?
Доступ
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 49
• Schema-Driven
• End-to-End
Operations
• Web UI
• Management
Consistency
• Visibility
• UX-Driven
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 50
New Features Новая модель политик
Разделение политик
Конфигурация по устройству
Вид репозитария
CLI Preview
HA Dashboard
Свыше 25 устройств
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 51
Основные возможности
Device
Selector
ASA Policy
Tab
NGFW
Policy Tab
5- Tuple
Rule base
Policy
Sharing
Install On
Device
Configuration
Tab
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 52
API
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 53
Stateful inspection + next-generation functionality
Cisco ASA Stateful Inspection Firewall
Threat-Aware Context-Aware
Множество форм-факторов и моделей
• Веб-репутация для защиты от вирусов
• Встроенный IPS – защита от АРТ
• Усилено Cisco®
• Периодические апдейты почти в
реальном времени (минуты)
• Глубокий контроль приложений
• Лучший в сфере удаленного доступа
• Качественная URL фильтрация
• Идентификация пользователей и
устройств
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 54
http://www.asacx-cisco.com
Cisco Confidential © 2013 Cisco and/or its affiliates. All rights reserved. 55
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 56
Простота внедрения • Не требует внешнего железа и
соединений
• Простота установки
Гибкость и расширяемость • L7 Aware multi-core data plane
• До 400 Mbps с AVC/WSE/IPS
• Не требует сложной настройки
Ниже совокупная стоимость
владения (ТСО) • Меньше устройств
• Единый контракт поддержки
Преимущества:
IOS XE
Routing WAAS NGFW Future
Services
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 57
Факты
• Работа на скорости 1 – 2 Gbps
• Более 1Gbps криптопропускной
• Services Plane
Выделенный процессинг для приложений и сервисов
• Четко определенная производительность при включении сервисов
• Модель Pay-as-you-grow наращивания производительности с 1 до 2 Gbps
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 58
Platform Specific Data Plane
Linux OS
IOSd Control Plane ISR-WAAS
Future Cisco Embedded
Network Services
Common API (onePK)
AVC
Internal Services
Blade (UCS E-
Series)
External Services
Blade (UCS)
onePK onePK
AppNav
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 59
Platform Specific Data Plane
Linux OS
IOSd Control Plane
WAAS
Future L7
Firewall (Control &
IPS)
Future Apps
Common API (onePK)
L7 Firewall
(Data)
Internal Services
Blade (UCS E-
Series)
External Services
Blade (UCS)
onePK onePK
Appnav
Thank you.