Обзор Сisco ASA (Firepower/TD) 10-2017

© 2014-2016 Elcore | Elko.by. All rights reserved.

Обзор Сisco ASA c FirePower сервисами

Максим Порицкий

инженер по направлению Сisco, ССIE R&S

[email protected]

23.10.2017

© 2014-2016 Elcore | Elko.by. All rights reserved. 3

Защита в момент времени Непрерывная защита

Сеть Терминал Мобильное устройство

Виртуальная машина

Облако

ИсследованиеВнедрение

политикУкрепление

ОбнаружениеБлокирование

Защита

ЛокализацияИзолирование

Восстановление

Жизненный цикл атаки/угрозы

ДО АТАКИ ВО ВРЕМЯ АТАКИ

ПОСЛЕ АТАКИ

Комплексная система безопасностиКак это в исполнении ASA


Сервисы FirePower

► Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений + NGFW

► Система гранулярного мониторинга и контроля приложений (Cisco AVC)

► Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER

► Фильтрация URL-адресов на основе репутации и классификации

► Система Advanced Malware Protection с функциями ретроспективной защиты

► VPN (s2s IPSEC, remote IPSEC/SSL)Cisco ASA

VPN и политики аутентификации

Фильтрация URL-адресов

(по подписке)FireSIGHTАналитика и

автоматизация

Advanced Malware Protection

(по подписке)

Мониторинг иконтроль

приложений

Межсетевой экранМаршрутизация и

коммутация

Кластеризация и высокая доступность

Интеллектуальная экосистема коллективной информационной безопасности Cisco

Встроенное профилирование

сети

Предотвращение вторжений (по

подписке)

Лицензирование на базе подписки


FireSIGHT Пониманиесети


Сенсоры - ASAПассивное

обнаружение

HostsServices Applications Users Communications

Vulnerabilities

FireSIGHT -система осведомления,

в режиме реального времени,информации об инфраструктуре

Важность контекстаПонимание своей инфраструктуры

▪ The FireSIGHT использует функционал network discovery для мониторинга сетевого трафика и построения карты сети

▪ Управляемые устройства пассивно собирают информацию, распознавая типы узлов, ОC, ПО, открытые порты и т.д. и информируют об этом FireSIGHT Management Center (прежнее название — Defense Center)

▪ User Agents на Microsoft Active Directory пересылают информацию об LDAP аутентификации пользователей

▪ Информация по сбору может быть расширена за счет NetFlow, сканирования и др. методов


Malware

Client applications

Operating systems

Mobile Devices

VOIP phones

Routers & switches

Printers

C & C Servers

Network Servers

Users

File transfers

Web applications

Applicationprotocols

Threats

No other NGFW offers this level of visibility

The more infrastructure you see, the better protection you get

Typical IPS

Typical NGFW

Cisco ASA with FirePOWER Services


NGFWВажность понимания приложений

▪ Недостаточно традиционного Firewall с отслеживанием статуса соединения (statefull inspection)

▪ Атаки осуществляются через разрешенные политики безопасности

▪ Application Visibility and Control (AVC) – технология обнаружения и идентификации приложений (DPI + NBAR2)

▪ NGFW работает на уровне протоколов уровня приложений и функций самих приложений, заглядывая вглубь транзакций и разрешая или блокирую какие-либо функции (например, пересылка файла через Skype или доступ к функции игр в Facebook)

▪ Распознав приложение, в работу подключается NGIPS


Распознавание приложений▪ Анализ сетевого трафика позволяет

распознавать широкий спектр различных приложений, которые затем можно использовать в правилах политики безопасности

▪ например, пересылка файла через Skype


Фильтрация URL

▪ Фильтрация URL-адресов по репутации и категориям обеспечивает комплексное оповещение и контроль над подозрительным веб-трафиком, а также применение политик для сотен миллионов URL-адресов в более чем 80 категориях


Обнаружение вредоносного кода с помощью AMP

Фильтрация по репутации Поведенческое обнаружение

Динамическийанализ

(песочница)

Машинное обучение(атрибуты

файла – 400 шт)

Нечеткиеотпечатки

(похожие элементы файла)

Расширеннаяаналитика(от разных устройств

безопасности)

Точнаясигнатура

Признаки вторжения

(поведение в сети)

Корреляция потоков

▪ Усовершенствованная система защиты от вредоносного ПО обеспечивает высокую

эффективность обнаружения вторжений, низкую стоимость владения и оптимальный уровень

защиты, позволяя быстро выявлять, анализировать и предотвращать распространение

вредоносного ПО и возникающих угроз, которые могут быть пропущены на других уровнях защиты


Портфолио ASA с сервисами FirePower ASA


Cisco Advanced Security Platforms

SMB/Teleworker100-250Mb

Branch Office450Mb-1Gb Internet Edge + Campus

1.2Gb-60GbData Center

ASA 5545-X

Up to 225Gb

ASA 5555-X

ASA 5525-X

ASA 5506-X

Firepower 9300

ASA 5516-X

ASA 5508-X

NGIPSv(600Mbps NGIPS)

Firepower 4100

FTDv

ASA Cluster 2-16x

NGFWv(600Mbps NGIPS)

Firepower 2100

https://www.cisco.com/c/en/us/products/collateral/security/firepower-ngfw/datasheet-c78-736661.html

https://www.cisco.com/c/en/us/products/collateral/security/firepower-ngfw/datasheet-c78-736661.html


New Features

FirePOWER

ASA

New Converged Software Image:Firepower Threat Defense

Contains all Firepower Services plusselect ASA capabilities

Single Manager:Firepower Management Center*

Same subscriptions as FirePOWER Services, enabled by Smart Licensing:

Threat (IPS)

Malware (AMP)

URL Filtering

Converged Software – Firepower Threat Defense

* Also manages Firepower Appliances, Firepower Services (not ASA Software)


Cisco Firepower 2100 Series

Introducing four new high-performance models

Performance and Density Optimization

Unified Management Multiservice

Security

• Integrated inspection engines for FW, NGIPS, Application Visibility and Control (AVC),

URL, Cisco Advanced Malware Protection (AMP)• ASA and other future

third party

• 1-Gbps and 10-Gbps interfaces

• Up to 8.5-Gbps throughput• 1-rack-unit (RU) form factor

• Low latency

• Single management interface with Firepower Threat Defense

• Unified policy with inheritance• Choice of management

deployment options


Cisco Firepower 4100 Series

Introducing four new high-performance models

Performance and Density Optimization

Unified Management Multiservice

Security

• Integrated inspection engines for FW, NGIPS, Application Visibility and Control (AVC),

URL, Cisco Advanced Malware Protection (AMP)

• Radware DefensePro DDoS• ASA and other future

third party

• 10-Gbps and 40-Gbps interfaces

• Up to 75-Gbps throughput• 1-rack-unit (RU) form factor

• Low latency

• Single management interface with Firepower Threat Defense

• Unified policy with inheritance• Choice of management

deployment options


Cisco Firepower 9300 Platform

Benefits• Integration of best-in-class security

• Dynamic service stitching

Features*• Cisco® ASA container

• Cisco Firepower™ Threat Defense containers:

• NGIPS, AMP, URL, AVC• Third-party containers:

• Radware DDoS• Other ecosystem partners

Benefits• Standards and interoperability

• Flexible architecture

Features• Template-driven security

• Secure containerization for customer apps

• RESTful/JSON API• Third-party orchestration and

management

Benefits• Industry-leading performance:

• 600% higher performance• 30% higher port density

Features• Compact, 3RU form factor

• 10-Gbps/40-Gbps I/O; 100-Gbps ready

• Terabit backplane• Low latency, intelligent fast path

• Network Equipment-Building System (NEBS) ready

* Contact Cisco for services availability

Modular Carrier ClassMultiservice

Security

High-speed, scalable security


Meet the SMB appliances


Firepower Device

Manager (FDM)

Enables easy on-box management of

common security and policy tasks

Simplify management with an easy, unified approach

Enables comprehensive security administration

and automation of multiple appliances

Firepower Management Center (FMC)


FMC Platforms

FMC1000 FMC2500 FMC4500

• Up to 50 sensors

managed

• 60 million maximum

events

• 900 GB event storage

• Network map up to 50K

hosts, 50K users


managed


events

• 1.8 TB event storage

• Network map up to

150K hosts, 150K users


managed


events

• 3.2 TB event storage

• Network map up to

600K hosts, 600K users

Virtual (2-10-25)

• Up to 25 sensors managed10 million maximum events250 GB event storageNetwork map up to 50K hosts, 50K users

https://www.cisco.com/c/en/us/products/collateral/security/firesight-management-center/datasheet-c78-736775.html

https://www.cisco.com/c/en/us/products/collateral/security/firesight-management-center/datasheet-c78-736775.html


ЛицензированиеASA


Лицензирование

▪ FirePower-бандлы (K8, K9)

▪ 5 вариантов заказа функций безопасности

▪ Подписка на 1, 3, 5 (включая обновления)

▪ Функция AVC и NGFW включена по умолчанию

✓ Постоянная лиц., поставляется вместе с устройством

✓ Обновления AVC включены в SMARTnet

▪ Security Plus Lic (для ASA5506X) – HA, сессии, VLAN

▪ Security Context Lic (начиная c ASA5508X)

▪ Promo-подписки (-PR)

IPS

URL

URL

IPS

TAMCTACTA

URL

URL

AMP

IPS

TAM

AMP

IPS


• Perpetual base License comes with appliance (Networking, Firewall and AVC)

• Term-based licenses for advanced protection (Threat, Malware, and URL Filtering)

• One (1), three (3) and five (5) year Licensing terms available

• SMARTnet is ordered separately

• Traditional ASA licenses not needed

• Licenses required for both elements of HA pair

Firepower Threat Defense Licensing Structure

Base (NGFW)

Th

reat

(IP

S / S

I / D

NS

)

Ma

lware

(AM

P /

TG

)

UR

L F

ilte

rin

g

Blue = Term-based

Green = Perpetual

© 2014-2016 Elcore | Elko.by. All rights reserved.

Cпасибо за внимание!

Максим Порицкий

инженер по направлению Сisco, ССIE R&S

[email protected]

23.10.2017