Cisco ASA. Next-Generation Firewalls

Cisco Confidential 1 C97-729688-00 © 2013 Cisco and/or its affiliates. All rights reserved.

Андрей Оврашко Системный инженер Cisco

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3

Облака Мобильность Угрозы

Эти тренды требуют качественно нового подхода к ИБ


= +


Надежные функции межсетевой

защиты с контролем состояния

Повсеместный доступ с любого

устройства

Реализация политик допустимого

использования

Повсеместная защита всех компонентов


Постоянное развитие

угроз Рост количества устройств и приложений

означает, кроме всего прочего,

увеличение контактной зоны и

развитие инструментов для атаки!

Ожидаемое повышение

ИТ- производительности Выполнение большего

количества задач с меньшими

затратами

Существенный рост

ориентированных на

пользователя приложений!

Пользователи будут работать

любым удобным им способом

Бурный рост количества

устройств Оборудование, которое мы используем,

никогда не менялось так быстро!

?

?

Группа по ИТ/обеспечению

безопасности


Парадокс для профессионалов безопасности

VS.

Мобильность Threats / APT

Облака Виртуализация

Устройства Collaboration

Приложения BYOD

HTTPS/SSL IPv6

Безопасность


Меняются межсетевые экраны

Обычные правила Firewall, которые основываются на информации уровня L3/L4 уже не удовлетворяют многим сегодняшним архитектурам

Традиционные правила:

А вот бизнес требования:

“Всем пользователям в группе Marketing должен быть разрешен доступ к Twitter и Facebook”

“Я не хочу, чтобы мои работники тратили время в офисе играя в Facebook игры, но блокировать доступ не хочу…”

“Я боюсь, что разработчики отправят секретную информацию через Webmail за пределы компании”

Мне надо контролировать, кто может использовать Instant Messengers.


Полный обзор использования интернет/приложений?

Идентификация?

Что я хочу заблокировать?

А что я могу заблокировать?

Защита от malware?

Правила использования?

Защита от угроз?


Cisco AnyConnect®

150 million endpoints Cisco® Identity Services Engine*

BYOD solution

* Future AV Registry Files

Posture*

OS

Version*

Device

OS


Много

Часто

Трудноуловимы

Malware


Автоматизировано

Высокоэффективно

Производительно

Повышение операционной

эффективности средств ИБ

Cisco®

SIO


Visibility Control

0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101

101000 0110 00 0111000 111010011 101 1100001 0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101

101000 0110 00 0111000 111010011 101 1100001 11000

Cisco® SIO

WWW

Emai

l

Web Devices

IPS Endpoints Networks

More Than 150 Million DEPLOYED ENDPOINTS

75 TB DATA RECEIVED PER DAY

1.6 Million GLOBAL SENSORS

35% WORLDWIDE EMAIL TRAFFIC

13 Billion WEB REQUESTS

Cloud AnyConnect® IPS

ESA WSA ASA WWW

3 to 5 MINUTE UPDATES

More Than 200 PARAMETERS TRACKED

More Than 5500 IPS SIGNATURES

PRODUCED

More Than 8

Million RULES PER DAY

More Than 70 PUBLICATIONS

PRODUCED

Information

Actions

More Than

40 LANGUAGES

More Than

80 PH.D, CCIE, CISSP,

MSCE

More Than

$100 Million SPENT IN DYNAMIC

RESEARCH AND

DEVELOPMENT

24 Hours

Daily OPERATIONS

More Than

600 ENGINEERS,

TECHNICIANS, AND

RESEARCHERS


Но действуя, создает

сетевую активность и

таким образом

обнаруживает себя.

Представьте что в Вашей сети кто-то

делает не то что Вы хотите:

• Не понятно где искать.

• Не понятно что искать.


ASA NGFW – это дополнительный

модуль для ASA

Функциональность:

Application Visibility and Control на

всех портах

URL фильтрация с репутацией

Идентификация в AD, LDAP или CDA

Расшифровка трафика SSL

Управление ASA-CX делается

через Prime Security Manager

Restfull XML


Работа в Inline

Не нужны клиентские

настройки

Надо деактивировать

инспекцию HTTP на

ASA

Прозрачный

режим

Монитор режим

• Проверка IP Header

• Access-list checks, connection matching

• NGFW Module Content Filtering

• NAT

• Инспекция протоколов

• Исходящая обработка и передача

ASA with NGFW module

FW FW NGFW


Трафик перенаправляется через MPF

policy-map global_policy class class-default

cxsc fail-open

Service-policy global_policy global


NGFW SSP

ASA SSP

ASA NGFW на ASA 5585 запускается на отдельном HW модуле

Slot 0 зарезервирован для ASA SSP

Slot 1 зарезервирован для NGFW SSP

И оборудован двумя HDD в RAID 1

Сейчас не может работать одновременно с модулем IPS

(или/или)

IPS функциональность будет добавлена в ASA NGFW в конце CY 2013

ASA 5585


ASA 5585-SSP10 ASA 5585-SSP20

Campus / Data Center

2 Gbps NGFW

2 MM Connections

100,000 CPS

5 Gbps NGFW

4 MM Connections

250,000 CPS

Data Center

ASA 5585-SSP40

Future

ASA 5585-SSP60

ASA 5585

Новинка! 9

Gbps

13

Gbps


ASA NGFW на ASA 5500-X работает как программный

модуль

Для работы требует SSD диск

Требуется место для журналирования

5545 и 5555 могут использовать два SSH в RAID

Ядра и память распределены между процессами ASA и

ASA NGFW

Фиксированное распределение

ASA 5500-X Midrange


ASA 5500-X Midrange

Branch Locations

200 Mbps NGFW

100K Connections

10,000 CPS

ASA 5512-X

350 Mbps NGFW

250K Connections

15,000 CPS

ASA 5515-X

Internet Edge

650 Mbps NGFW

500K Connections

20,000 CPS

ASA 5525-X

1 Gbps NGFW

750K Connections

30,000 CPS

ASA 5545-X

1.4 Gbps NGFW

1 MM Connections

50,000 CPS

ASA 5555-X

60

Mbps

90

Mbps

300

Mbps

450

Mbps

600

Mbps

NG IPS


ASA 5585-SSP10 ASA 5585-SSP20

Campus / Data Center

2 Gbps NGFW

2 MM Connections

100,000 CPS

5 Gbps NGFW

4 MM Connections

250,000 CPS

Data Center

ASA 5585-SSP40

ASA 5585-SSP60

ASA 5585

9

Gbps

13

Gbps

NG IPS

1

Gbps

1,5

Gbps

2250

Mbps

4

Gbps


PRSM: Centralized Management & Reporting

ASA NGFW Components (ASA CX 9.2)

Application

Visibility &

Control

WebAVC

+ NBAR 2

Web

Security

Essentials

URL Filtering

+ Reputation

AVC

(1Y, 3Y, 5Y)

WSE

(1Y, 3Y, 5Y)

AVC + WSE + IPS Bundle

(1Y, 3Y, 5Y)

CX SSP

Identity, Onbox Mgmt & Reporting

ASA SSP

ASA CX Bundle for

ASA 5585-X SSP-10,

20, 40, 60

ASA 5512 - 5555

CX Spare card for

ASA 5585-X SSP-10,

20, 40, 60

Next

Generatio

n

Intrusion

Prevention

System

NG IPS

(1Y, 3Y, 5Y)

PRSM

(5, 10, 25, 50, 100)


IP Fragmentation

IP Option Inspection

TCP Intercept

TCP Normalization

ACL

NAT

VPN Termination

Routing

TCP Proxy

TLS Proxy

AVC Multiple Policy

Decision Points

HTTP Inspection

URL Category/Reputation

ASA NGFW

ASA

SGT Policies IPv6 Policies

NG IPS


IP Fragmentation


TCP Intercept

TCP Normalization

ACL

NAT

VPN Termination

Routing

TCP Proxy

TLS Proxy

AVC Multiple Policy

Decision Points

HTTP Inspection


ASA NGFW

ASA


NG IPS


• Приложений ~1200

• Микро-приложений 150,000+

• Cisco Security Intelligence Operation (SIO) • Utilizes Application Signatures

• Период проверки сигнатур – по умолчанию 5 минут

• Поддерживаемые приложения определяются на всех портах

• Для некоторых приложений – раздельный контроль разного поведения. Разрешить приложение типу, но запретить определённое поведение – «загрузку».


IP Fragmentation


TCP Intercept

TCP Normalization

ACL

NAT

VPN Termination

Routing

TCP Proxy

TLS Proxy

Multiple Policy

Decision Points

HTTP Inspection


ASA NGFW

ASA


NG IPS

AVC


• AUP, предупреждения и обратная связь.

• Предопределенные и свои URL категории.

• 78 предопределенных URL категорий

• 20,000,000+ URL откатегоризировано

• 60+ языков

• Cisco Security Intelligence Operation (SIO)

• Utilizes Application Signatures

• Период проверки сигнатур – по умолчанию 5 минут


Identity Policies

Активные:

Basic Authentication, NTLM, Kerberos, LDAP

Пассивные:

CDA - Agent


Сейчас пассивная аутентификация использует

CDA, в будущем – CDA + ISE


Политики расшифровки

Расшифровка SSL трафика

Решение на основе URL Category, Source, Destination, User Agent,...


• Две разные сессии, ключи и сертификаты

• ASA CX работает как CA, выпуская сертификат для Web Server

Corporate

network

Web server

1. Negotiate

algorithms. 1. Negotiate

algorithms.

2. Authenticate

server certificate. 3. Generate

proxied server

certificate. 4. Client Authenticates

“server” certificate.

5. Generate

encryption keys. 5. Generate

encryption keys.

6. Encrypted data

channel established. 6. Encrypted data

channel established.

ASA CX

Cert is generated

dynamically with

destination name but

signed by ASA CX.


Что это?


Модели и OS

5510

5520

5540

5550

5580

5512-X

5515-X

5525-X

5545-X

5555-X

5585-10

5585-20

5585-40

5585-60

Peregrine


до-Peregrine

• PRSM управление

NGFW функции

Syslog настройки

• Политики на device groups.

• Реакция политик

Allow или Deny

• IPS и NGFW сервисы не могут сосуществовать

Peregrine

• PRSM управление

NGFW функции

Syslog настройки

NAT конфигурация

Firewall ACLs

• Политики:

Local to a device

Shared

Universal

• Реакция политик

Allow, Warn или Deny

• IPS теперь часть NGFW


Поддержка Active/Standby

PRSM может находить HA конфигурации и расценивать HA пары как единое устройство (для лицензирования, настройки политик, отчётности)

NGFS IPS

Поддержка платформ

Добавили SSP 20, 40, 60 для ASA-5585х

NGFW теперь доступен на всей линейке ASA

«Безопасный поиск»

Ограничения пропускной в политиках

Роли интерфейсов в политике


Поддерживаемые функции

Peregrine


Поддержка 5585-X SSP 40 и 60

Дополнительный CLI для troubleshooting

Телеметрия

Отчет о вредоносных транзакциях

Ограничение полосы по политикам

Предупредить End Users

Расширения

Safe Search


Использование на границе сети

80% пограничных сигнатур

Threat Protection Updates

Threat Protection Workflows

Threat Protection Licensing

Threat Protection Objects

Threat Protection Profiles

Свойства


Абсолютно новая система

управления для ASA NGFW

‒ Prime Security Manager (PRSM)

‒ Для одного устройства –

прямо HTTPS интерфейс

‒ Отдельное управление для

нескольких устройство

Управление только через

GUI

‒ CLI только для troubleshooting

и первоначальной настройки


RESTful XML

ASA NGFW PRSM Binary Logging

Примечание: ASA может отправлять Syslog на PRSM


ASA NGFW PRSM

Cisco SIO SIO обновления для

‒ Application Visibility & Control

‒ URL Filtering Categories

‒ Reputation

‒ Trusted Root CAs

Cisco® SIO


Виртуальная машина

Предоставляется в виде файла .ova Open

Virtual Appliance (OVA)

VMware vSphere Hypervisor 4.1 (Update 2)

Загружается с www.cisco.com

UCS бандл

Cервер UCS C220 M3 Server + ESXi 4.1

U2 + VM

Виртуальная машина


• Как идентифицировать пользователей? Identity

• Какой трафик TLS/SSL расшифровать?

Decryption

• Какой трафик разрешить или запретить?

Доступ


• Schema-Driven

• End-to-End

Operations

• Web UI

• Management

Consistency

• Visibility

• UX-Driven


New Features Новая модель политик

Разделение политик

Конфигурация по устройству

Вид репозитария

CLI Preview

HA Dashboard

Свыше 25 устройств


Основные возможности

Device

Selector

ASA Policy

Tab

NGFW

Policy Tab

5- Tuple

Rule base

Policy

Sharing

Install On

Device

Configuration

Tab


API


Stateful inspection + next-generation functionality

Cisco ASA Stateful Inspection Firewall

Threat-Aware Context-Aware

Множество форм-факторов и моделей

• Веб-репутация для защиты от вирусов

• Встроенный IPS – защита от АРТ

• Усилено Cisco®

• Периодические апдейты почти в

реальном времени (минуты)

• Глубокий контроль приложений

• Лучший в сфере удаленного доступа

• Качественная URL фильтрация

• Идентификация пользователей и

устройств


http://www.asacx-cisco.com


Простота внедрения • Не требует внешнего железа и

соединений

• Простота установки

Гибкость и расширяемость • L7 Aware multi-core data plane

• До 400 Mbps с AVC/WSE/IPS

• Не требует сложной настройки

Ниже совокупная стоимость

владения (ТСО) • Меньше устройств

• Единый контракт поддержки

Преимущества:

IOS XE

Routing WAAS NGFW Future

Services


Факты

• Работа на скорости 1 – 2 Gbps

• Более 1Gbps криптопропускной

• Services Plane

Выделенный процессинг для приложений и сервисов

• Четко определенная производительность при включении сервисов

• Модель Pay-as-you-grow наращивания производительности с 1 до 2 Gbps


Platform Specific Data Plane

Linux OS

IOSd Control Plane ISR-WAAS

Future Cisco Embedded

Network Services

Common API (onePK)

AVC

Internal Services

Blade (UCS E-

Series)

External Services

Blade (UCS)

onePK onePK

AppNav


Platform Specific Data Plane

Linux OS

IOSd Control Plane

WAAS

Future L7

Firewall (Control &

IPS)

Future Apps

Common API (onePK)

L7 Firewall

(Data)

Internal Services

Blade (UCS E-

Series)

External Services

Blade (UCS)

onePK onePK

Appnav

Thank you.

Cisco ASA. Next-Generation Firewalls

Technology

Transcript of Cisco ASA. Next-Generation Firewalls