+ All Categories
Home > Documents > Fаршрутизаторы Cisco как устройства обеспечения … · Cisco...

Fаршрутизаторы Cisco как устройства обеспечения … · Cisco...

Date post: 22-May-2020
Category:
Upload: others
View: 24 times
Download: 0 times
Share this document with a friend
62
Cisco Expo 2010 Маршрутизаторы Cisco как устройства обеспечения безопасности Cisco Expo 2010 Андрей Гречин Инженер-консультант
Transcript

Cisco Expo 2010

Маршрутизаторы Cisco как устройства обеспечения безопасности

Cisco Expo 2010

Андрей Гречин

Инженер-консультант

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 2 Cisco Public

Содержание

Необходимость встроенных средств безопасности

Используемые методы борьбы с угрозами

Рекомендации по дизайну и проектированию

Варианты внедрения

© 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 3 3

Трансформация: Предприятие без границ

Кто угодно

Где угодно Любое

устройство

Любой ресурс

Anyone

Anywhere

СЕТИ БЕЗ ГРАНИЦ

Архитектура следующего поколения для организации нового рабочего пространства

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 4 Cisco Public

Проблемы и угрозы в современных сетях

Филиал

Центральный офис

Internet

Интернет-угрозы

Атаки на инфраструктуру

Проблемы и угрозы в современных корпоративных сетях

Ботнеты и прочие угрозы

Атаки на беспроводные сети

Атаки на голосовые сервисы

Атаки на филиалы

Филиал

Филиал

Атаки на ЦО

QFP

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 5 Cisco Public

Необходимость интегрированной защиты IOS Security

Филиал

ЦО Internet

Филиал

Network Foundation Protection

Application Firewall

011111101010101011111101010101

IPS FPM

Content Filtering

Voice Security

Wireless Security

Защита доступа в Интернет в филиалах без необходимости покупки доп. оборудования

Защита от червей и вирусов прямо в филиалах, без загрузки каналов паразитным трафиком

Защита самих маршрутизаторов от взлома и DoS-атак

Безопасность в филиалах и ЦО

QFP

•Campus Edge

•DC Edge

•DMZ

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 6 Cisco Public

Содержание

Необходимость встроенных средств безопасности

Используемые методы борьбы с угрозами

Рекомендации по дизайну и проектированию

Варианты внедрения

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 7 Cisco Public

Безопасность для маршрутизатора «все включено»

Только маршрутизатор Cisco

Cisco Configuration Professional

NetFlow IP SLA Role-Based Access

Управление и администрирование

Решения для безопасных сетей

Безопасный голос

Соответствие нормативным актам

Мобильные сервисы

Доступность всюду

TrustSec Content Filtering

802.1x/ Identity Firewall

Network Foundation Protection

Flexible Packet Matching

011111101010101011111101010101

Безопасность каналов

GET VPN DMVPN Easy VPN AnyConnect

Позволяет сделать это всѐ

Интегрированная защита от современных угроз

Intrusion Prevention

Advanced Firewall

Булава

Антивирус Касперского

TBD

UCS Express vWAAS

Новое Новое

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 8 Cisco Public

Интегрированная защита от современных угроз

Защита базовых сетевых сервисов - Network Foundation Protection (NFP)

МСЭ с зональными политиками – Zone based Firewall

Интеллект на уровне приложений - Application Intelligence Control

Система предотвращения вторжений -Intrusion Prevention System

Система контентной фильтрации - Content Filtering Solution

Анализ содержимого пакетов - Flexible Packet Matching (FPM)

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 9 Cisco Public

Маршрутизатор можно логически разделить на три уровня:

1. Data plane:

Большинство пакетов путешествующих через маршрутизатор проходят через него

2. Management plane:

Трафик управления и интерактивных протоколов, таких как Telnet, Secure Shell (SSH) и SNMP

3. Control plane:

Протоколы маршрутизации, проверки доступности, ICMP с IP options, а также пакеты, предназначенные для самого маршрутизатора

Защита базовых сетевых сервисов Network Foundation Protection (NFP)

Data Plane

Передача трафика

Control Plane

Маршрутизация

Management Plane

Управляемость

Cisco NFP

―Разделяй и Властвуй‖:

Методологический подход по

защите всех уровней

Network Foundation Protection

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 10 Cisco Public

Cisco IOS AutoSecure

http://www.cisco.com/go/autosecure

Защита маршрутизатора выполнением одной команды

Дополнительная защита от DoS-атак

Отключение ненужных сервисов, которые могли бы стать объектом атаки

Отключение неиспользуемых

сервисов

Защита от SYN-атак

Anti-Spoofing

Включение полной инспекции МСЭ на внешних интерфейсах

Защита передаваемого трафика

Принудительное включение протоколов безопасного доступа

Расширенные журналы событий безопасности

Безопасный доступ

Network Foundation Protection

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 11 Cisco Public

Cisco IOS Firewall Краткий обзор

Stateful firewall: Полная инспекция на L3 – L7 уровнях модели OSI;

Гибкие прокси-алгоритмы(ALG): поддержка динамических приложений для более полного контроля их использования;

Application inspection and control (AIC): Проверка как канала управления, так и канала данных, для более полного соответствия политике безопасности;

Virtual firewall: контроль доступа между виртуальными контекстами, возможность использования перекрывающихся IP-подсетей

Прозрачный МСЭ: Внедрение в существующей сети без необходимости перенастройки и выделения IP-адресов;

Интуитивно понятный графический интерфейс: Легкая установка и настройка политик с помощью CCP и CSM

Надежность: функции высокой доступности для пользователей и приложений с stateful firewall failover

Интерфейсы: Широчайший выбор WAN и LAN интерфейсов

Неполный список поддерживаемых протоколов:

HTTP, HTTPS, and JAVA;

E-mail: POP, SMTP, ESMTP, IMAP;

P2P и IM (AIM, MSN, и Yahoo!);

FTP, TFTP, и Telnet;

Голос: H.323, SIP, и SCCP;

СУБД: Oracle, SQL, и MYSQL;

Citrix: ICA and CitrixImaClient;

Multimedia: Apple и RealAudio;

IPSec VPN: GDOI и ISAKMP;

Microsoft: MSSQL и NetBIOS;

Tunneling: L2TP и PPTP;

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BRKSEC-2007_c1 11

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 12 Cisco Public

Межсетевой экран на основе зональных политик безопасности Сценарии использования

МСЭ в филиале:

Split Tunnel сценарий – филиал, торговая точка, представительство и т.д.;

Virtual Firewall --виртуализация(VRFs) в филиале;

Прямое Интеренет-соединение – маленький филиал, решение оператора связи как сервис;

Внутренний МСЭ– сегментирование по разным признакам, часто для выполнения требований нормативных актов.

МСЭ в ЦО:

•Защита периметра;

•Защита ЦОД;

•Демилитаризованные

зоны.

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 13 Cisco Public

Межсетевой экран на основе зональных политик безопасности

Позволяет группировать физические и виртуальные интерфейсы в зоны;

Политики безопасности применяются к трафику, пересекающему границы зон;

Просто добавлять интерфейсы и изменять политики.

DMZ

Public Private

Private-Public

Policy

Public-DMZ

Policy

DMZ-Private

Policy

Private-DMZ

Policy

Поддерживаемые функции:

Stateful Inspection

Application Inspection: IM, POP, IMAP, SMTP/ESMTP, HTTP

Content filtering

Per-policy parameter

Transparent firewall

VRF-aware firewall (Virtual Firewall)

User-Based ZBF

Internet

Advanced Firewall

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 14 Cisco Public

Межсетевой экран на основе зональных политик безопасности – настройка

class-map type inspect match-any services

match protocol tcp

!

policy-map type inspect firewall-policy

class type inspect services

inspect

!

zone security private

zone security public

!

zone-pair security private-public source private destination public

service-policy type inspect firewall-policy

!

interface fastethernet 0/0

zone-member security private

!

interface fastethernet 0/1

zone-member security public

Определение сервисов,

инспектируемых политикой

Какие действия будет

предпринимать МСЭ

относительно этих сервисов

Определение зон

Назначение пар зон,

применение политики

Принадлежность интерфейса к

зоне

Advanced Firewall

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 15 Cisco Public

Межсетевой экран на основе зональных политик безопасности – настройка class-map type inspect match-any services

match protocol …

match access-group name aclEXTERNAL

!

router(config-pmap-c)# policy-map type inspect firewall-policy

router(config-pmap-c)# class type inspect services

router(config-pmap-c)#?

Policy-map class configuration commands:

drop Drop the packet

exit Exit from class action configuration mode

inspect Context-based Access Control Engine

no Negate or set default values of a command

pass Pass the packet

police Police

service-policy Deep Packet Inspection Engine

<cr>

Advanced Firewall

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 16 Cisco Public

Cisco IOS Zone-Based Firewall— Настройка политик в GUI (CCP) Advanced

Firewall

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 17 Cisco Public

Пользователи группируются на основании идентификационного признака или IP-адреса;

Политика применяется ко всей группе;

Удобно для разделения пользователей по функциональным обязанностям;

Inspect class-map поддерживаются в UG-ZBF;

Поддерживаемые протоколы аутентификации – TACACS+, RADIUS и Microsoft ActiveDirectory LDAP (с 15.1(1)Т);

User-Group Firewall Advanced Firewall

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 18 Cisco Public

Как это работает?

Отдел продаж

Сервер аутентификации

Гости и контрактники

IP-телефоны

Бухгалтерия и

отдел кадров

Серверы

Internet Firewall или

Authproxy или

NAC

Маршрутизатор перехватывает трафик аутентификации

Если метки нет, делает запись в БД о новой метке

На основании метки делается вывод о принадлежности к группе

На основании заданной политики выполняется действие

Advanced Firewall

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 19 Cisco Public

Как это работает?

Используются существующие методы аутентификации/авторизации:

Authentication Proxy;

Полученный AAA-атрибут используется для ассоциирования IP-адреса с членством в группе;

Zone-Based Firewall использует дополнительный критерий match <user-group>

Advanced Firewall

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 20 Cisco Public

Прозрачный межсетевой экран Transparent Firewall

Работает как незаметный межсетвой экран:

Никакие IP-адреса не ассоциируются с МСЭ (нечего атаковать);

Нет необходимости перенастраивать IP-подсети;

IOS-маршрутизатор бриджует трафик между двумя «половинками» сети.

Пример использования: МСЭ между проводной и беспроводной сетью:

Обе «сети» в одной IP-подсети192.168.1.0/24;

VLAN 10 - защищаемый сегмент;

Пользователи беспроводного сегмента не имеют доступа в проводной сегмент.

Fa 0/0

VLAN 10

Wireless

Transparent

Firewall 192.168.1.2

192.168.1.3

Internet

192.168.1.4

Advanced Firewall

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 21 Cisco Public

Прозрачный межсетевой экран – настройка из консоли

Настройки политики:

zone-pair security zone-policy source wired destination wireless

service-policy type inspect firewall-policy

!

interface VLAN 10

description private interface

bridge-group 1

zone-member security wired

!

interface VLAN2

description public interface

bridge-group 1

zone-member security wireless

Настройка прозрачного режима:

bridge configuration

bridge irb

bridge 1 protocol ieee

bridge 1 route ip

Классификация сервисов:

class-map type inspect match-any protocols

match protocol dns

match protocol https

match protocol icmp

match protocol imap

match protocol pop3

match protocol tcp

match protocol udp

Политика:

policy-map type inspect firewall-policy

class type inspect protocols

Inspect

Зоны:

zone security wired

zone security wireless

Advanced Firewall

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 22 Cisco Public

IOS Firewall с поддержкой IPv6 Текущее состояние

Предоставляется сервис межсетвого экранирования с контролем состояния и определением аномалий для фрагментированных IPv6-пакетов, TCP, UDP, ICMPv6 и FTP-трафика;

Cisco IOS Firewall для IPv6 может сосуществовать с Cisco IOS Firewall для IPv4 и поддерживается на всех dual-stack маршрутизаторах;

Cisco IOS Firewall для IPv6 features:

Анализ фрагментированных пакетов;

Защита от DoS-атак;

Инспектирование туннелированных пакетов;

МСЭ с контролем состояния для пакетов из IPv4-сети, предназначенных для IPv6-сети;

Интерпретация или распознование большинства полей заголовка пакета IPv6;

Поддержка механизма Port-to-application mapping (PAM).

Advanced Firewall

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 23 Cisco Public

Что нового в Cisco IOS ZBFW в 15.1(2)T

Расширение поддержки IPv6: Поддержка Global Parameter Map и Default parameter-map;

Поддержка Unified MIB для IPv6;

Поддержка Intra-zone трафика для IPv6;

Поддержка механизмов отладки для ZBFW IPv6;

Расширенные журналы для ZBFW IPv6;

IPv4 FTP engine теперь поддерживает dual stack control chanel и ускоряется CEF.

Поддержка SCCP v17 Video: Поддержка и обработка SCCP (v17) Видео.

Advanced Firewall

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 24 Cisco Public

Cisco IOS Flexible Packet Matching (FPM) Быстрый ответ на новые угрозы

Нужны способы и механизмы защиты от day-zero атак, пока не стали доступны

сигнатуры для IPS;

Обычные ACL слишком грубы — легитимный трафик может быть заблокирован

ими:

Пример: Защита от червя Slammer c помощью ACL означает блокировку UDP-

порта 1434 — что нарушит нормальную работу Microsoft SQL сервера;

FPM предлагает гибкое и точное Layer 2–7 определение трафика:

UDP-порт 1434 + длина пакета 404B + определѐнные шаблоны в пакете

Slammer

0111111010101010000111000100111110010001000100100010001001

Match Pattern AND OR NOT

Cisco.com/go/fpm http://www.cisco.com/pcgi-bin/tablebuild.pl/fpm

Flexible Packet Matching

011111101010101011111101010101

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 25 Cisco Public

Cisco IOS Flexible Packet Matching Пример настройки – защита от Slammer

Class-map stack ip-udp

Match field ip protocol eq 17 next udp

Class-map access-control slammer

Match field udp dport eq 1434

Match start ip version offset 224 size 4 eq 0x04011010

Match start network-start offset 224 size 4 eq 0x04011010

Policy-map access-control udp-policy

Class slammer

Drop

Policy-map access-control fpm-policy

Class ip-udp

service-policy udp-policy

access-control

класс slammer

определяет

шаблон трафика:

udp dst port

1434,

сдвиг от

начала IP-

заголовка,

смещение 224

байта,

значение

длиной 4 байта

равно

0x04041010

Flexible Packet Matching

011111101010101011111101010101

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 26 Cisco Public

Система предотвращения вторжений Cisco IOS Intrusion Prevention (IPS)

Cisco IOS IPS останавливает атаку на ранней стадии, защищает полосу пропускания, маршрутизатор и сеть от DoS-атак;

Интегрированные функции и невысокая стоимость делают решение эффективным в филиальных сетях;

Поддерживается более 2000+ сигнатур из базы данных Cisco IPS;

Поддерживаются пользовательских сигнатуры и реакции.

Филиал

Филиал

Точка продаж

Штаб-квартира

Применить IPS на

трафике из филиалов,

чтобы защититься от

червей и ботнетов на

PC

Остановить

атаку до того,

как она

использует

весь канал

Распределѐнная защита от вирусов и червей:

http://www.cisco.com/go/iosips

IPS

Internet

Защита

маршрутизатора

и сети от DoS-

атак

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 27 Cisco Public

Защита PC от Интернет-червей

1 Смещение фокуса защиты от червей на границу сети

Защита серверов в филиале

Сценарии применения Cisco IOS IPS

2 3

Использование IPS и МСЭ на маршрутизаторах для защиты серверов в филиале

Нет необходимости в физическом разделении

Включение IPS для трафика от филиала к штаб-квартире чтобы предотвратить распространение червей и атаки от заражѐнных PC

Использование IPS и МСЭ на маршрутизаторах для защиты от червей

5 Прозрачный (layer 2) IPS

4 Соответствие требованиям регуляторов

IPS

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 28 Cisco Public

Cisco IOS Intrusion Prevention System (IPS) Configuration (Command Line Interface (CLI)

Настраиваем Cisco IOS IPS (продолжение)

retired false

interface FastEthernet0

ip ips ips-policy in

Загружаем сигнатуры с TFTP-сервера

copy tftp://192.168.10.4/IOS-S289-CLI.pkg idconf

Loading IOS-S259-CLI.pkg from 192.168.10.4 :!!!

show ip ips signature count

Total Compiled Signatures:

338 -Total active compiled signatures

Загрузка файлов Cisco IOS IPS сигнатур на PC

http://www.cisco.com/pcgi-bin/tablebuild.pl/ios-v5sigup

IOS-Sxxx-CLI.pkg

realm-cisco.pub.key.txt

Задаѐм Cisco IOS IPS Crypto Key

mkdir ipstore (Create directory on flash)

Paste the crypto key from

realm-cisco.pub.key.txt

Настраиваем Cisco IOS IPS

ip ips config location flash:ipstore retries 1

ip ips notify SDEE

ip ips name ips-policy

ip ips signature-category

category all

retired true

category ios_ips basic

IPS

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 29 Cisco Public

Прозрачный Cisco IOS IPS Пример использования: IPS между беспроводным и проводным сегментами

Работает как «незаметный» IPS Никакие IP-адреса не ассоциируются с IPS (нечего атаковать);

Нет необходимости перенастраивать IP-подсети;

IOS-маршрутизатор бриджует трафик между двумя «половинками» сети.

Обе «сети» в одной IP-подсети192.168.1.0/24;

VLAN 1 - защищаемый сегмент;

Контролируется доступ из беспроводного сегмента в проводной сегмент

IPS

Fa 0/0

VLAN 1

Wireless

Прозрачный IPS

192.168.1.2

192.168.1.3

Internet

192.168.1.4

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 30 Cisco Public

Cisco IOS Intrusion Prevention System (IPS) Настройка через консоль(CLI)

Настраиваем Cisco IOS IPS (продолжение)

interface VLAN 1

description private interface

bridge-group 1

ip ips ips-policy out

interface VLAN 2

description private interface

bridge-group 1

ip ips ips-policy in

Загружаем сигнатуры с TFTP-сервера

copy tftp://192.168.10.4/IOS-S289-CLI.pkg idconf

Loading IOS-S259-CLI.pkg from 192.168.10.4 :!!!

show ip ips signature count

Total Compiled Signatures:

338 -Total active compiled signatures

Загрузка Cisco IOS IPS Files сигнатур на PC

http://www.cisco.com/pcgi-bin/tablebuild.pl/ios-v5sigup

IOS-Sxxx-CLI.pkg

realm-cisco.pub.key.txt

Задаѐм Cisco IOS IPS Crypto Key

mkdir ips5 (Create directory on flash)

Paste the crypto key from

realm-cisco.pub.key.txt

Настраиваем Cisco IOS IPS

ip ips config location flash:ips5 retries 1

ip ips notify SDEE

ip ips name ips-policy

ip ips signature-category

category all

retired true

category ios_ips basic

retired false

IPS

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 31 Cisco Public

Решение по защите и фильтрации контента Cisco IOS® Content Filtering

Internet

URL-кэш

Trend Micro

Rating Server

Категории

Internet

Решение по защите web-трафика от интернет-угроз и повышение продуктивности работы сотрудников

Идеально подходит для филиалов и малого бизнеса;

Блокирует вредоносные сайты и принуждает к использованию корпоративной политики безопасности;

Рейтинговая система на базе критериев безопасности и вляиния на продуктивность работы сотрудников;

Политика применяется и обрабатывается локально на маршрутизаторе.

Content Filtering

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 32 Cisco Public

Cisco IOS Content Filtering Сервис по подписке

Internet

Заданная политика Cisco IOS URL Filtering:

Запретить Gaming

Запретить Weapons

Разрешить Entertainment

1

HTTP-запрос

www.poker.net

3

Решение Cisco IOS URL

Filtering на основании

ответа от сервера Trend

Micro:

Policy Deny www.poker.net:

Gaming Denied in Policy

2

Запрос о категории к

серверу Trend Micro:

К какой категории

относится poker.net?

Кэш:

www.poker.net

Gaming

Content Filtering

© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public Presentation_ID 33

Управление и администрирование

CCP NetFlow IP SLA Role Based Access

Управление и администрирование

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 34 Cisco Public

Управление политиками безопасности

• Quickest way to

setup a device

• Configures all

device parameters

• Ships with device

Cisco® Configuration Professional

Самый быстрый способ

настройки для одного

устройства

Мастера настройки для МСЭ,

IPS, VPN, QoS, и

беспроводной сети

В комплекте с каждым

маршрутизатором

CSM и MARS

Решение по анализу и

реагированию на события

Использует встроенный в

инфраструктуру функционал

безопасности для

реагирования

Визуализация

Cisco Security Manager

Решение для управления

маршрутизаторами,

коммутаторами и

специализированными

устройствами

SIEM Партнеры

Решение по сбору и анализа

событий

• EMC EnVision

• NetForensics

• ArcSight

• LogLogic

• Splunk

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 35 Cisco Public

Cisco IOS IPS Configuration(CCP) IPS

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 36 Cisco Public

Настройка Cisco IOS® Content Filtering: Cisco® Configuration Professional

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 37 Cisco Public

Cisco Security Manager Просмотр списка сигнатур Cisco IOS IPS

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 38 Cisco Public

NetFlow Security Event Logging для быстрого журналирования сообщений

На ASR1000 МСЭ может быть настроен для использования NetFlow v9 для экспорта журналов событий безопасности.

Internet

Branch Office

IPsec

Tunnel

HQ ASR1000

DMVPN Hub

LAN

192.168.1.x/24

Advanced Firewall

QFP

NF V9

Cisco NF

Collector

Netflow Security Event Logging выключен по умолчанию

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 39 Cisco Public

Настройка Network Security Event Logging parameter-map type inspect global

log flow-export v9 udp destination 10.20.30.40 4444

log flow-export template timeout-rate 30

log dropped-packets

parameter-map type inspect custom_para_map

audit-trail on

alert on

policy-map type inspect fw-policy

class type inspect fw-class1

inspect custom_para_map

До 40K событий в секунду;

Если используется IOS syslog, ESP отправляет сообщения на RP и RP генерирует

Syslog сообщение;

Syslog всегда ограничен по скорости на ASR 1000 чтобы защитить control-plane;

IOS XE Syslog ограничивается одним событием каждые 30 секунд;

NSEL генерирует события каждую миллисекунду, чтобы защить сам МСЭ от атак.

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 40 Cisco Public

Что ещѐ есть в ящике с инструментами?

IP Service Level Agent (IP SLAs)

NetFlow и NBAR

SNMP V3 и SNMP informs

Syslog Manager и XML-formatted syslog

Tcl-скрипты и Kron (Cron) задания

Role-Based CLI Access

EEM

Данные о реальном состоянии сети (задержки и jitter)

Детальная статистика о приложениях в сети

Надѐжный механизм SNMP informs для доставки сообщений

Гибкость и контроль над журналами на самом маршрутизаторе

Гибкое, контролируемое управление устройством

Ролевой доступ и контроль

Система управления настолько хороша, насколько точны и

всеобъемлющи поступающие в неѐ данные

Средства автоматизации рутинных задач

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 41 Cisco Public

Содержание

Необходимость встроенных средств безопасности

Используемые методы борьбы с угрозами

Рекомендации по дизайну и проектированию

Варианты внедрения

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 42 Cisco Public

Рекомендации по дизайну Cisco IOS Firewall Classic или Zone based Firewall:

Zone based Firewall 12.4(4)T или Classic Firewall

Весь новый функционал создается для ZBFW, тем не менее, нет планов по прекращению поддержки классического режима;

ASR1000 поддерживает только IOS ZBFW и Network Security Event Logging для быстрого журналирования;

ASR1000 поддерживает 4K зоны и 2K пар зон.

Управляемость:

Настройка политик безопасности: Cisco Security Manager, Cisco Configuration Professional или Config Engine и CLI;

Мониторинг событий на МСЭ: Syslog, SNMP, информация от "show" комманд;

Изменение политик безопасности CCP поддерживает IOS ZBFW.

Взаимосвязь функций:

Cisco IOS Firewall тесно взаимодействует с: NAT, VPN, IPS, WCCP/WAAS, auth-proxy, URL Filtering и QoS.

Использование памяти

Одна TCP или UDP сессия занимает примерно 600 байт;

Протоколы, использующие множество каналов занимают значительно больше 600 байт.

Advanced Firewall

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 43 Cisco Public

Рекомендации по дизайну Cisco IOS Firewall

Настройки защиты от Denial of Service (DoS)

До12.4(11)T настройки по умолчанию были слишком жѐсткими

http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_white_paper0900aecd804e5098.shtml

12.4(11)T и IOS XE по умолчанию имеют нелимитированные настройки

Схема IP-адресации

Политики МСЭ гораздо проще и читабельнее для хорошо продуманного адресного пространства.

Производительность устройств

Cisco IOS Firewall Performance Guidelines for ISRs (800-3800) http://www.cisco.com/en/US/partner/products/ps5855/products_white_ paper0900aecd8061536b.shtml

ASR1000 TCP/ICMP/UDP Inspection Performance (Up to 40Gbps) with select ALGs (SIP UDP, active FTP, TFTP, DNS, H.323v2, SCCP, RTSP)

Advanced Firewall

Anti-DoS

Parameters

Default

Value

Max-incomplete

high

Unlimited

Max-incomplete

low

Unlimited

On-minute high Unlimited

One-minute low Unlimited

Tcp max-

incomplete host

Unlimited

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 44 Cisco Public

Производительность ISR G2 Real World Performance: HTTP

Модель Рекомендуемая полоса пропускания

при включенных сервисах

Максимально возможная скорость

(1500 Byte Bidirectional IP)

3945E Sub-rate GE (350Mbps) 8+ Gbps ( Line rate )

3925E Sub-rate GE (250Mbps) 8+ Gbps ( Line rate )

3945 Line-rate FE+ (150Mbps) 8.0 Gbps

3925 Line-rate FE+ (100Mbps) 6.9 Gbps

2951 VDSL2+, Sub-rate FE (75Mbps) 5.1 Gbps

2921 VDSL2+, Sub-rate FE (50Mbps) 3.5 Gbps

2911 VDSL2+, Sub-rate FE (35Mbps) 3.3 Gbps

2901 1T1/E1, EFM (25Mbps) 3.1 Gbps

1941/1941W 1T1/E1, EFM (25Mbps) 2.8 Gbps ( Line rate )

1921 T1/E1, EFM (15Mbps) 2.8 Gbps ( Line rate )

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 46 Cisco Public

Рекомендации по дизайну Поддержка голосовых функций в Cisco IOS Firewall

Протокол ISR G2 ASR1000 Комментарий

H.323 V1 & V2 Да Да Протестировано с

CME 4.0

H.323 V3 & V4 Да Да

H.323 RAS Да Нет

H.323 T.38 Fax Нет Нет

SIP UDP Да Да

CCM 4.2 поддерживается

RFC 2543, RFC 3261 не поддерживаются

SIP TCP Да Нет

SCCP Да Да Протестировано с CCM 4.2/CME 4.0

Инспектирование локально

сгенерированного SIP/SCCP трафика

Да Нет

Advanced Firewall

Поддержка прокси-алгоритмов в ASR1000 ALG:

http://www.cisco.com/en/US/docs/routers/asr1000/technical_references/asr1000alg_support.pdf

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 47 Cisco Public

Рекомендации по дизайну Cisco IOS Intrusion Prevention System (IPS)

Вопросы производительности

Производительность маршрутизатора не улучшается от добавления дополнительных сигнатур;

Использование памяти

Компилирование сигнатур – процессорно-интенсивная операция. Максимальное количество сигнатур зависит от количества памяти;

Фрагментация пакетов

Cisco IOS IPS использует механизм VFR (Virtual Fragmentation Reassembly) для обнаружения атак с использованием фрагментации пакетов.

IOS IPS

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 48 Cisco Public

Cisco IOS IPS Release 12.4(9)T

Cisco IOS IPS Release 12.4(11)T

Cisco IPS 42xx sensors, IDSM2, SSM-AIP, NM-CIDS modules

Формат сигнатур 4.x 5.x/6.0 5.x/6.0

Обновление и настройка сигнатур

SDF IDCONF IDCONF

Поддерживаемые сигнатуры Набор из более чем 1700 сигнатур (ограничен ОЗУ на маршрутизаторе)

1900+ активно по умолчанию

Рекомендованные наборы сигнатур

Basic или Advanced SDF

IOS-Basic или IOS-Advanced

Все сигнатуры только генерируют предупреждения

Day-Zero Anomaly Detection Нет Available in 6.0 release

Прозрачный (L2) IPS Есть Есть

Rate Limiting Нет Есть

IPv6 Detection Нет Есть

Meta Signatures Нет Есть

Voice, Sweep & Flood Engines Нет Есть

(H.225 для голоса)

Методы журналирования Syslog & SDEE SDEE

Рекомендации по дизайну Сравнение Cisco IOS IPS и Cisco IPS-сенсоров

IOS IPS

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 49 Cisco Public

Содержание

Необходимость встроенных средств безопасности

Используемые методы борьбы с угрозами

Рекомендации по дизайну и проектированию

Варианты внедрения

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 50 Cisco Public

Примеры решаемых задач

1. Небольшой сетевой магазин: требования PCI-DSS по защите данных на кредитных картах;

2. Защита серверов в филиале;

3. Виртуальные МСЭ и IPS;

4. Безопасная беспроводная сеть;

5. Защита унифицированных коммуникаций.

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 51 Cisco Public

Защищаем филиал Небольшой сетевой магазин

PCI-DSS требует отделить сегменты PoS-терминалов, беспроводные и проводные сегменты;

С помощью Cisco IOS ZBFW созданы зоны PoS, LAN и Wireless;

Дизайн сертифицирован в CyberTrust.

Штаб-квартира

Private WAN Филиал

Cisco® ISR G2

Зона

―LAN‖

Зона ―PoS‖

Зона

―Wireless‖

QFP

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 52 Cisco Public

Защищаем филиал Настраиваем политики доступа к серверам

Cisco IOS® ZBFW и IPS политики в DMZ защищают локальные серверы приложений и серверы в штаб-квартире

Интернет

Штаб-

квартира

IPsec

туннель

Беспроводной сегмент

192.168.2.x/24

ISR G2

Серверы

в DMZ

Серверы

192.168.3.14-16/24

Сотрудники

192.168.1.x/24

Advanced Firewall

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 53 Cisco Public

Виртуальные МСЭ и IPS

Cisco IOS Firewall, NAT, и сервис URL-фильтрации знают о существовании virtual route forwarding (VRF), что даѐт возможность использовать перекрывающиеся адресные пространства

Internet

Фото-киоск ЦО

IPsec

Tunnel

Интернет

192.168.2.x/24

ISR G2

Фото-киоск

192.168.1.x/24

Кассы

192.168.2.x/24

Штаб-квартира

Поддерживаются

перекрывающиеся

IP-подсети

Раздельные IPSec-

туннели для Фото-

киоска и кассового

сегмента VRF A

VRF B

VRF C

IPsec

Tunnel

Advanced Firewall

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 54 Cisco Public

Безопасный беспроводной доступ Сегментация беспроводной сети используя SSID

Маршрутизаторы Cisco 880W серии поддерживают автономный режим, который можно изменить на унифицированный (LWAPP) режим:

Архитектура унифицированных беспроводных сетей Cisco.

Поддержка режима H-REAP для филиалов: Локальная коммутация беспроводных сегментов с централизованным управлением.

IOS ZBFW можно использовать во всех случаях когда требуется применять политики разграничения доступа между беспроводными сетями.

Internet

ISR G2

LAN

POS

Интернет

SSID A

RFID и склад

SSID B

LWAPP-

туннель

Широкополосный

доступ

802.11n

Wireless LAN Controller

AAA

WCS

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 55 Cisco Public

Безопасный беспроводной доступ и 3G WAN как резервный канал

3G как резервный канал, выделенная линия – как основной;

Можно использовать Cisco IOS Easy VPN или DMVPN для защиты данных;

В случае Split Tunneling все технологии могут использоваться для защиты филиала - Cisco IOS ZBFW, IPS и фильтрация контента совместно с выбранной VPN-технологией.

LAN

Internet

SSID A

ISR G2

POS

Corporate

SSID B

IPSec Tunnel

Выделенная линия

Штаб-квартира

AAA

Internet

3G Network

Split Tunnel

Филиал

IPSec Tunnel

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 56 Cisco Public

Защита голосовых сервисов

Большинству небольших компаний удобно использовать Cisco Unified Communications Manager Express с локальным выходом в ТФОП;

Split Tunneling используется очень часто в подобных сценариях, ip-телефонный трафик идѐт по зашифрованному каналу;

Опасность неавторизованного использования голосовых сервисов: Авторизованный (или неавторизованный) пользователь может совершать звонки, что может дорого обойтись компании:

Рекомендации: Использовать ACL и IOS ZBFW для защиты CCME (особенно для VoIP-трафика из Интернет) и использовать функциональность Cisco Trusted IOS Firewall на внутренних интерфейсах для защиты от неавторизованных звонков изнутри.

Интернет

CCME

Wireless

IPSec туннель

Широкополосный

доступ

Штаб-квартира

AAA ISR G2

Cisco Trusted

IOS Firewall

Атаки на

голосовые

сервисы

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 57 Cisco Public

Защита голосовых сервисов Сценарий SP-SIP Trunk

Довольно большое количество компаний используют Cisco Unified Communications Manager Express с SP-SIP trunk;

Split Tunneling используется очень часто в подобных сценариях, ip-телефонный трафик идѐт по зашифрованному каналу;

Опасность неавторизованного использования голосовых сервисов: Авторизованный (или неавторизованный) пользователь может совершать звонки, что может дорого обойтись компании;

Рекомендации: Использовать ACL и IOS ZBFW для защиты CCME (особенно для VoIP-трафика из Интернет) и использовать функциональность Cisco Trusted IOS Firewall на внутренних и SP-SIP trunk интерфейсах для защиты от неавторизованных звонков изнутри и из SIP-облака.

Интернет

CCME

Wireless

IPSec туннель

Широкополосный

доступ

Штаб-квартира

AAA

ISR G2

Cisco Trusted

IOS Firewall

Атаки на

голосовые

сервисы

SP-SIP

trunk

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 58 Cisco Public

Заключение

Защитите для начала сам маршрутизатор – это ваша первая линия обороны;

Даже одна мелкая дырка в защите сбособна привести к большим проблемам для бизнеса;

Необходимо соответствовать государственным и индустриальным стандартам в области ИБ;

Работайте с голосом/видео/данными, проводными и беспроводными сетями безопасно;

Не забывайте про управление и администрирование;

Маршрутизатор как единое устройство безопасности – снижение расходов на сервис и обновление подписок;

«Всѐ включено» в лучших маршрутизаторах от Cisco

Ведь только маршрутизаторы Cisco® делают это всѐ одновременно ;)

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 61 Cisco Public

Справочная информация

Решения и продукты Cisco в области ИБ http://www.cisco.com/go/security (eng) http://www.cisco.com/web/RU/products/vpn.html (рус)

Центр ИБ Security Intelligence Operations http://tools.cisco.com/security/center/home.x

Ежегодный отчет Cisco о угрозах ИБ http://www.cisco.com/en/US/prod/vpndevc/annual_security_report.html

Брошюры по ИБ http://www.cisco.com/web/RU/broch.html

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 62 Cisco Public

Онлайн-ресурсы Cisco по ИБ

Cisco Security Center

http://www.cisco.com/security

PCI Compliance Advisor http://www.pcicomplianceadvisor.com/

Security Business Advisor

http://www.securitybusinessadvisor.com/

Security Solution Designer

http://www.ciscowebtools.com/designer/

Cisco SenderBase

http://www.senderbase.org/

http://www.cisco.com/web/strategy/government/usfed_tio.html?POSITION=vanity+&COUNTRY_SITE=us&CAMPAIGN=Industry+Solns&CREATIVE=go/turniton&REFERRING_SITE=Cisco.com

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 64 Cisco Public

Вопросы и Ответы

© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 65 Cisco Public

Мы хотели бы узнать Ваше мнение

Пожалуйста,

заполните анкету


Recommended