Upload
maxim-poritsky
View
92
Download
2
Embed Size (px)
Citation preview
© 2014-2016 Elcore | Elko.by. All rights reserved.
Обзор Сisco ASA c FirePower сервисами
Максим Порицкий
инженер по направлению Сisco, ССIE R&S
23.10.2017
© 2014-2016 Elcore | Elko.by. All rights reserved. 3
Защита в момент времени Непрерывная защита
Сеть Терминал Мобильное устройство
Виртуальная машина
Облако
ИсследованиеВнедрение
политикУкрепление
ОбнаружениеБлокирование
Защита
ЛокализацияИзолирование
Восстановление
Жизненный цикл атаки/угрозы
ДО АТАКИ ВО ВРЕМЯ АТАКИ
ПОСЛЕ АТАКИ
Комплексная система безопасностиКак это в исполнении ASA
© 2014-2016 Elcore | Elko.by. All rights reserved. 4
Сервисы FirePower
► Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений + NGFW
► Система гранулярного мониторинга и контроля приложений (Cisco AVC)
► Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER
► Фильтрация URL-адресов на основе репутации и классификации
► Система Advanced Malware Protection с функциями ретроспективной защиты
► VPN (s2s IPSEC, remote IPSEC/SSL)Cisco ASA
VPN и политики аутентификации
Фильтрация URL-адресов
(по подписке)FireSIGHTАналитика и
автоматизация
Advanced Malware Protection
(по подписке)
Мониторинг иконтроль
приложений
Межсетевой экранМаршрутизация и
коммутация
Кластеризация и высокая доступность
Интеллектуальная экосистема коллективной информационной безопасности Cisco
Встроенное профилирование
сети
Предотвращение вторжений (по
подписке)
Лицензирование на базе подписки
© 2014-2016 Elcore | Elko.by. All rights reserved. 5
FireSIGHT Пониманиесети
© 2014-2016 Elcore | Elko.by. All rights reserved. 7
Сенсоры - ASAПассивное
обнаружение
HostsServices Applications Users Communications
Vulnerabilities
FireSIGHT -система осведомления,
в режиме реального времени,информации об инфраструктуре
Важность контекстаПонимание своей инфраструктуры
▪ The FireSIGHT использует функционал network discovery для мониторинга сетевого трафика и построения карты сети
▪ Управляемые устройства пассивно собирают информацию, распознавая типы узлов, ОC, ПО, открытые порты и т.д. и информируют об этом FireSIGHT Management Center (прежнее название — Defense Center)
▪ User Agents на Microsoft Active Directory пересылают информацию об LDAP аутентификации пользователей
▪ Информация по сбору может быть расширена за счет NetFlow, сканирования и др. методов
© 2014-2016 Elcore | Elko.by. All rights reserved. 8
Malware
Client applications
Operating systems
Mobile Devices
VOIP phones
Routers & switches
Printers
C & C Servers
Network Servers
Users
File transfers
Web applications
Applicationprotocols
Threats
No other NGFW offers this level of visibility
The more infrastructure you see, the better protection you get
Typical IPS
Typical NGFW
Cisco ASA with FirePOWER Services
© 2014-2016 Elcore | Elko.by. All rights reserved. 14
NGFWВажность понимания приложений
▪ Недостаточно традиционного Firewall с отслеживанием статуса соединения (statefull inspection)
▪ Атаки осуществляются через разрешенные политики безопасности
▪ Application Visibility and Control (AVC) – технология обнаружения и идентификации приложений (DPI + NBAR2)
▪ NGFW работает на уровне протоколов уровня приложений и функций самих приложений, заглядывая вглубь транзакций и разрешая или блокирую какие-либо функции (например, пересылка файла через Skype или доступ к функции игр в Facebook)
▪ Распознав приложение, в работу подключается NGIPS
© 2014-2016 Elcore | Elko.by. All rights reserved. 15
Распознавание приложений▪ Анализ сетевого трафика позволяет
распознавать широкий спектр различных приложений, которые затем можно использовать в правилах политики безопасности
▪ например, пересылка файла через Skype
© 2014-2016 Elcore | Elko.by. All rights reserved. 17
Фильтрация URL
▪ Фильтрация URL-адресов по репутации и категориям обеспечивает комплексное оповещение и контроль над подозрительным веб-трафиком, а также применение политик для сотен миллионов URL-адресов в более чем 80 категориях
© 2014-2016 Elcore | Elko.by. All rights reserved. 26
Обнаружение вредоносного кода с помощью AMP
Фильтрация по репутации Поведенческое обнаружение
Динамическийанализ
(песочница)
Машинное обучение(атрибуты
файла – 400 шт)
Нечеткиеотпечатки
(похожие элементы файла)
Расширеннаяаналитика(от разных устройств
безопасности)
Точнаясигнатура
Признаки вторжения
(поведение в сети)
Корреляция потоков
▪ Усовершенствованная система защиты от вредоносного ПО обеспечивает высокую
эффективность обнаружения вторжений, низкую стоимость владения и оптимальный уровень
защиты, позволяя быстро выявлять, анализировать и предотвращать распространение
вредоносного ПО и возникающих угроз, которые могут быть пропущены на других уровнях защиты
© 2014-2016 Elcore | Elko.by. All rights reserved. 34
Портфолио ASA с сервисами FirePower ASA
© 2014-2016 Elcore | Elko.by. All rights reserved. 35
Cisco Advanced Security Platforms
SMB/Teleworker100-250Mb
Branch Office450Mb-1Gb Internet Edge + Campus
1.2Gb-60GbData Center
ASA 5545-X
Up to 225Gb
ASA 5555-X
ASA 5525-X
ASA 5506-X
Firepower 9300
ASA 5516-X
ASA 5508-X
NGIPSv(600Mbps NGIPS)
Firepower 4100
FTDv
ASA Cluster 2-16x
NGFWv(600Mbps NGIPS)
Firepower 2100
https://www.cisco.com/c/en/us/products/collateral/security/firepower-ngfw/datasheet-c78-736661.html
© 2014-2016 Elcore | Elko.by. All rights reserved. 36
New Features
FirePOWER
ASA
New Converged Software Image:Firepower Threat Defense
Contains all Firepower Services plusselect ASA capabilities
Single Manager:Firepower Management Center*
Same subscriptions as FirePOWER Services, enabled by Smart Licensing:
Threat (IPS)
Malware (AMP)
URL Filtering
Converged Software – Firepower Threat Defense
* Also manages Firepower Appliances, Firepower Services (not ASA Software)
© 2014-2016 Elcore | Elko.by. All rights reserved. 37
Cisco Firepower 2100 Series
Introducing four new high-performance models
Performance and Density Optimization
Unified Management Multiservice
Security
• Integrated inspection engines for FW, NGIPS, Application Visibility and Control (AVC),
URL, Cisco Advanced Malware Protection (AMP)• ASA and other future
third party
• 1-Gbps and 10-Gbps interfaces
• Up to 8.5-Gbps throughput• 1-rack-unit (RU) form factor
• Low latency
• Single management interface with Firepower Threat Defense
• Unified policy with inheritance• Choice of management
deployment options
© 2014-2016 Elcore | Elko.by. All rights reserved. 38
Cisco Firepower 4100 Series
Introducing four new high-performance models
Performance and Density Optimization
Unified Management Multiservice
Security
• Integrated inspection engines for FW, NGIPS, Application Visibility and Control (AVC),
URL, Cisco Advanced Malware Protection (AMP)
• Radware DefensePro DDoS• ASA and other future
third party
• 10-Gbps and 40-Gbps interfaces
• Up to 75-Gbps throughput• 1-rack-unit (RU) form factor
• Low latency
• Single management interface with Firepower Threat Defense
• Unified policy with inheritance• Choice of management
deployment options
© 2014-2016 Elcore | Elko.by. All rights reserved. 39
Cisco Firepower 9300 Platform
Benefits• Integration of best-in-class security
• Dynamic service stitching
Features*• Cisco® ASA container
• Cisco Firepower™ Threat Defense containers:
• NGIPS, AMP, URL, AVC• Third-party containers:
• Radware DDoS• Other ecosystem partners
Benefits• Standards and interoperability
• Flexible architecture
Features• Template-driven security
• Secure containerization for customer apps
• RESTful/JSON API• Third-party orchestration and
management
Benefits• Industry-leading performance:
• 600% higher performance• 30% higher port density
Features• Compact, 3RU form factor
• 10-Gbps/40-Gbps I/O; 100-Gbps ready
• Terabit backplane• Low latency, intelligent fast path
• Network Equipment-Building System (NEBS) ready
* Contact Cisco for services availability
Modular Carrier ClassMultiservice
Security
High-speed, scalable security
© 2014-2016 Elcore | Elko.by. All rights reserved. 40
Meet the SMB appliances
© 2014-2016 Elcore | Elko.by. All rights reserved. 41
Firepower Device
Manager (FDM)
Enables easy on-box management of
common security and policy tasks
Simplify management with an easy, unified approach
Enables comprehensive security administration
and automation of multiple appliances
Firepower Management Center (FMC)
© 2014-2016 Elcore | Elko.by. All rights reserved. 43
FMC Platforms
FMC1000 FMC2500 FMC4500
• Up to 50 sensors
managed
• 60 million maximum
events
• 900 GB event storage
• Network map up to 50K
hosts, 50K users
• Up to 300 sensors
managed
• 60 million maximum
events
• 1.8 TB event storage
• Network map up to
150K hosts, 150K users
• Up to 750 sensors
managed
• 300 million maximum
events
• 3.2 TB event storage
• Network map up to
600K hosts, 600K users
Virtual (2-10-25)
• Up to 25 sensors managed10 million maximum events250 GB event storageNetwork map up to 50K hosts, 50K users
https://www.cisco.com/c/en/us/products/collateral/security/firesight-management-center/datasheet-c78-736775.html
© 2014-2016 Elcore | Elko.by. All rights reserved. 45
ЛицензированиеASA
© 2014-2016 Elcore | Elko.by. All rights reserved. 46
Лицензирование
▪ FirePower-бандлы (K8, K9)
▪ 5 вариантов заказа функций безопасности
▪ Подписка на 1, 3, 5 (включая обновления)
▪ Функция AVC и NGFW включена по умолчанию
✓ Постоянная лиц., поставляется вместе с устройством
✓ Обновления AVC включены в SMARTnet
▪ Security Plus Lic (для ASA5506X) – HA, сессии, VLAN
▪ Security Context Lic (начиная c ASA5508X)
▪ Promo-подписки (-PR)
IPS
URL
URL
IPS
TAMCTACTA
URL
URL
AMP
IPS
TAM
AMP
IPS
© 2014-2016 Elcore | Elko.by. All rights reserved. 47
• Perpetual base License comes with appliance (Networking, Firewall and AVC)
• Term-based licenses for advanced protection (Threat, Malware, and URL Filtering)
• One (1), three (3) and five (5) year Licensing terms available
• SMARTnet is ordered separately
• Traditional ASA licenses not needed
• Licenses required for both elements of HA pair
Firepower Threat Defense Licensing Structure
Base (NGFW)
Th
reat
(IP
S / S
I / D
NS
)
Ma
lware
(AM
P /
TG
)
UR
L F
ilte
rin
g
Blue = Term-based
Green = Perpetual
© 2014-2016 Elcore | Elko.by. All rights reserved.
Cпасибо за внимание!
Максим Порицкий
инженер по направлению Сisco, ССIE R&S
23.10.2017