Обзор продуктов в области информационной безопасности

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1

Обзор продуктов в области информационной безопасности Михаил Кадер

[email protected]

mailto:[email protected]


• Межсетевые экраны

• Системы обнаружения и предоствращения вторжений

• Система управления информационной безопасностью предприятия


Межсетевые экраны


Multi-Service

(Firewall/VPN и IPS)

Pe

rfo

rman

ce a

nd

Sca

lab

ility

Data Center Campus Branch Office SOHO Internet Edge

ASA 5585 SSP-60 (40 Gbps, 350K cps)




ASA 5540 (650 Mbps,25K cps)



ASA 5505 (150 Mbps, 4K cps)

ASA 5550 (1.2 Gbps, 36K cps)

ASA 5580-20 (10 Gbps, 90K cps)

ASA 5580-40 (20 Gbps, 150K cps)


Показатель Значение

Производительность шасси 64 Гбит/сек

Производительность модуля 16 Гбит/сек

Одновременных сессий 10M

Новых соединений в секунду 350K

Контекстов безопасности 250

VLANs 1K


ASA 5512-X Пропускная

способность

межсетевого экрана 1

Гбит/с



межсетевого экрана 1,2

Гбит/с




Гбит/с




Гбит/с




Гбит/с

1. Пропускная способность на

уровне нескольких Гбит/с Для удовлетворения растущих

требований к пропускной способности

2. Встроенные средства ускорения

сервисов

(дополнительное оборудование не

требуется) Для поддержки меняющихся

потребностей бизнеса

3. Платформа с поддержкой

сервисов нового поколения Для защиты инвестиций


Cisco® ASA 5585 Cisco ASA 8.4 Cisco ASA 9.0

Надежная платформа

Производительность Кластеризация

64-разрядное

ПО


согласованный коэффициент масштабирования

• Общая пропускная способность = Кол-во x Пропускная способность одного узла x Коэффициент масштабируемости

Пример. Кластер из 4 узлов с Cisco® ASA 5585-S60 с EMIX обеспечивает 64 миллиона подключений и пропускную способность 64 Гбит/с.

• Коэффициент линейного масштабирование независимо от количества

Пример. Если кластер из 4 узлов поддерживает 32 миллиона подключений, кластер из 8 узлов будет поддерживать 64 миллиона подключений для трафика того же профиля.

• Общая кол-во подключений = Кол-во x Кол-во подключений одного узла x Коэффициент масштабируемости

Пример. Кластер из 4 узлов с Cisco ASA 5585-S60 может поддерживать 32 миллиона подключений.


высокая доступность

• Все устройства в кластере являются активными и передают трафик.

• Все устройства в кластере являются либо основными устройствами, либо резервными, используемыми от сеанса к сеансу.

• В случае сбоя узла проведение сеанса переходит на резервные устройства.

• Благодаря протоколу LACP соседние коммутаторы прекращают передачу трафика по неработающему каналу.


• Единая консоль конфигурации и автоматическая синхронизация конфигурации в кластере.

Управление кластером из 8 устройств осуществляет всего один экземпляр Cisco ASDM.

• Обработка удаленных команд выполняется на любом узле.

• Статистические данные использования ресурсов в рамках кластера

Использование ресурсов ЦП и памяти для любого узла.

Использование канала управления кластером.

• Поддержка Cisco® Security Manager


мастер конфигурации


системная панель мониторинга


использование ресурсов

Использование

ресурсов ЦП и

памяти для любого

узла в кластере

Количество

подключений в

секунду для всего

кластера и для

каждого узла


вкладка «Пропускная способность»

Общая пропускная

способность и

пропускная


каждого узла


сведения о распределении нагрузки и использовании канала управления кластером

Использование

канала

управления

кластером

Распределение

нагрузки между

членами кластера


захват пакетов



Лучшая в своем классе безопасность сети

Лучшая в своем классе web-защита на основе

облака


Script

PDF

Flash

Java

.exe

Несколько

сканеров

AV

Web-страница

«Чисты

й»

контент

Известные вредоносные программы заблокированы

Глубокий

анализ

контента

Виртуализован-

ная

эмуляция

скриптов

Структурное

изучение

контента

Да

Новые вредоносные программы

заблокированы

Web-контент

Контроль исходящего

трафика

Script-

сканирова

ние

Сканирование

репутации

PDF-

сканирова

ние

Flash-

сканирова

ние

Java-

сканирова

ние

Exe-

сканирова

ние


прозрачность и контроль web-приложений ЧТО

Классификация и контроль

web-трафика

Более 1000 приложений

Подробная классификация и

контроль поведений

микроприложений и

приложений

Более 75 000 микроприложений Контроль

пропускной

способности



• Web-защита на основе облака с учетом контекста • Поддержка перенаправления контекста в решение Cisco ScanSafe Cloud Web Security • Несколько антивирусных механизмов и сканеров web-содержимого • Cisco ScanSafe Cloud Web Security и Cisco AVC поддерживают более 1000 web-

приложений и 75 000 микроприложений

?

Cisco® ASA

Утвержденные

сайты

Ограниченный

доступ

Центр. офис

Кадровая

служба

CIC



SGT f Пользователь,

группа,

состояние, код

устройства, IP-

адрес,

сертификат……


Cisco ISE


расширение политики Cisco ASA

Правила Cisco TrustSec® можно использовать в сочетании с правилами на основе

пяти кортежей в устройстве Cisco® ASA. Для настройки политик можно

использовать SGT (0008) или имя группы безопасности (sgt_marketing).


Сервер

маркетинга

Каталоги AD

и LDAP

Cisco ASA

SXP

SGT

(003)

Пользователь

= kpahare

SXP

Корпоративные

серверы SGT = 003

Cisco® ISE AAA


• Решение Cisco TrustSec® поддерживается только частью коммутаторов; оно позволяет выполнять поэтапные развертывания.

• SGT может быть функцией одного или нескольких атрибутов. Допускает использование сложных правил политик.

• Политики доступа Cisco® ASA могут быть сочетанием SGT и правил на основе пяти сетевых признаков.


Пользователь = Guest аутентифицируется с гостевого_iPad и ему назначается

SGT = 100/Guest (гость).

На устройстве Cisco ASA: { если SGT = 100; разрешить доступ

только_в_Интернет}

Пользователь = kpahare аутентифицируется с iPad (или некорпоративного_актива)

и ему назначается SGT = 009/BYOD.

На устройстве Cisco ASA: {если SGT=009; разрешить доступ

только_по_протоколу_rdp к финансовым_приложениям }

Пользователь = kpahare аутентифицируется с корпоративного актива и ему

назначается SGT = 007/Quarantine (карантин). Антивирусное ПО было отключено.

После включения антивирусного ПО пользователю kpahare назначается

008/Compliant (соответствует).

На устройстве Cisco® ASA: { если SGT = 008; разрешитьполный_доступ к

финансовым_приложениям }

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30 * Предполагает группы объектов для IP-

адресов.

Источник Назначение Действие

IP Группа или

пользователь AD

Группа

обеспечения

безопасности

IP

Группа

обеспечения


Порт Действие

Любой [email protected] 10.1.1.1

Любой Любой Гость с iPad Гостевые

сервисы http Разрешить

Любой Любой


центра

обработки

вызовов на

виртуальном

рабочем месте

(HVD)

CRM http Разрешить

Любой Любой


кадровой

службы на

виртуальном

рабочем месте

(HVD)

База данных

кадровой

службы

https Разрешить

Любой Любой Любой Любой Любой Любой Запретить



• Адресация интерфейсов

• Списки доступа IPv6

• Статическая маршрутизация по протоколу IPv6

• Обнаружение соседей по протоколу IPv6

• Межсетевой экран в контекстах безопасности по протоколу IPv6

• Прослушиватель MLDv2 в однопользовательском режиме по протоколу IPv6

• Модули проверки приложений с поддержкой IPv6 включают сквозное пропускание по протоколам FTP, HTTP, ICMP, SIP, SMTP и IPsec

• IPv6 в режиме прозрачного межсетевого экрана (уровень 2)

• Поддержка IPv6 в Cisco® Adaptive Security Device Manager (ASDM).

• Туннелирование VPN между площадками по протоколу IPv6, IKEv1 и IKEv2

• Аварийное переключение по протоколу IPv6

• Заголовок расширения IPv6

• Поддержка Cisco ASDM по протоколу IPv6





несколько контекстов

OSPFv2 EIGRP

Кол-во экземпляров,

поддерживаемых

для каждого контекста

2 (процессы) 1 (экземпляр)

Поддержка контекста Пользователь и администратор

Поддержка перекрытия Да (область) Да (активный-резервный)

Поддержка общего

интерфейса Да

Один и тот же интерфейс

CLI в мульти- и

одноконтекстном

режимах

Да


VPN-подключения между площадками в мультиконтекстном режиме

Этап 1 (этот выпуск).

• VPN-подключения между площадками по протоколам IKEv1 и IKEv2: IPv4 и IPv6

• Поддерживаются все режимы аварийного переключения:

«активный/активный» и «активный/резервный»

• Конфигурация аналогична конфигурации в режиме одного контекста

• Ограничения и распределения ресурсов в системном контексте: распределение и распределение при резком увеличении спроса на лицензии


смешанный мультиконтекстный режим


Кластеризация

IPv6

Cisco® Cloud Web Security

Улучшения мультиконтекстных возможностей

Смешанный режим

Cisco TrustSec®

Шифрование нового поколения

Бесклиентские VPN-подключения

Улучшения производительности и масштабируемости

VPN-подключения в Cisco ASA-SM



Понимание контекста

Классический МСЭ ASA

Устройство Интегрированное решение Виртуализация

Широкий спектр платформ


Cisco ASA CX



Устройство Интегрированное решение Виртуализация

Широкий спектр платформ


• Межсетевой экран нового поколения

• Context-Aware Firewall

• Активная/Пассивная аутентификация

• Application Visibility and Control/DPI с анализом контента

• Репутационная фильтрация КОГДА ЧТО ГДЕ/ОТКУДА КАК КТО


• Покрытие широкого спектра сценариев идентификации

* Future

КТО

TRUSTSEC*

Network Identity

Group information

Any tagged traffic User Authentication • Auth-Aware Apps

• Mac, Windows, Linux

• AD/LDAP user credential

AD/LDAP Identity • Non-auth-aware apps

• Any platform

• AD/LDAP credential

IP Surrogate

AD Agent

NTLM

Kerberos


ЧТО

75,000+ MicroApps

MicroApp Engine

Глубокий анализ трафика


Поведение


Контроль действий

пользователя внутри


Покрытие… … классификация всего

трафика

1,000+ приложений


• Ameba

• Yahoo! Mobage

• 2Channel

• Pinterest: блокировка выгрузки

файлов, блокировка

размещения текстов,

блокировка отметки

«Нравится»

• Yandex

Июль

• Winamp Remote

• Gree

• Google Drive: выгрузка, загрузка, общий

доступ, редактирование

• Scribd: выгрузка, загрузка, размещение

• SkyDrive: выгрузка, загрузка,

редактирование

• SmugMug: выгрузка, загрузка, отметка

как «Нравится», общий доступ

• Microsoft Windows Azure

• Salesforce CRM

• Microsoft CRM Dynamics Online

• iscsi-target

• LogMeIn

• Mikogo

• Незашифрованный трафик

Oracle e-Business Suite

• Службы Google

Август

Сентябрь

• eBay

• FileDropper

• Mixi

• AOL Mail: загрузка вложений, выгрузка

вложений, отправка эл. почты

• Photobucket: выгрузка файлов,

загрузка файлов, общий доступ

• Dailymotion: выгрузка файлов,

размещение, использование контента сайта

• Answers.com: размещение

• DocStoc: выгрузка файлов, загрузка

файлов

• Microsoft Lync

• Gbridge

• Tor

• ShowMyPC

• Facetime

• Yahoo-Accounts

• Camo-proxy

• Glide

• Nico Nico Douga

• Twiddla

• Suresome

• Techinline

• Vimeo: выгрузка, загрузка, размещение

текстов

Октябрь

Приложения, выпущенные с момента первых поставок ASA CX клиентам

• ASProxy

• CoralCDN

• Proxono

• Surrogafier

• Symantec Live Update

• Windows Updates

• Zelune

Ноябрь



ЧТО

Маркетинг Юристы Финансы

языков

стран

mn URLs

покрытие

60

200

20

98%


ГДЕ/ОТКУДА

ОФИС

ОТЕЛЬ


• Информация с 100,000,000 оконечных устройств

Устройство Состояние

AV

Registry Files

Версия ОС

Identity Services Engine

КАК


КОГДА ЧТО ГДЕ/ОТКУДА КАК КТО

Знание угроз


www.facebook.com GO

Cisco SIO


ASA

• Ядро или ЦОД

• Multi-tenant

• Active/Active Failover

ASA CX

• Кампус или граница

• Контроль приложений

• Next-gen Firewall


WSA

• Прокси-сервер

• Кеширование

• Сканирование Anti-Malware

• DLP

• Полная Web-безопасность

ASA CX

• Next-gen Firewall

• Inline

• Все порты/протоколы

• Базовая Web-безопасность


ASA SSP

CX SSP


Заказчику нужен

только ASA CX?

Пусть заказывает

один модуль в

шасси 5585-X!

Заказчику нужен

ASA и ASA CX?

Пусть заказывает

два модуля в шасси

5585-X!


• Система управления для ASA CX

• Встроенный в ASA CX для управления одним МСЭ

• Отдельное устройство для поддержки нескольких ASA CX

• RBAC

• Конфигурация, события и репортинг

• Виртуальная машина или устройство UCS


Cisco ASA CX



Понимание угроз



Пр

ои

зв

од

ите

ль

но

сть

, м

ас

шта

би

руем

ос

ть

, а

да

пти

вн

ос

ть

Комплекс

зданий

Интернет-

периметр Филиал

Cisco IPS 4360

Cisco® IPS 4345

Центр обработки

данных

Cisco IPS 4510

Cisco IPS 4520

Новинка

Новинка

Новинка

Новинка


Пр

ои

зв

од

ите

ль

но

сть

, м

ас

шта

би

руем

ос

ть

, а

да

пти

вн

ос

ть

Комплекс

зданий

Интернет-

периметр Филиал SOHO Центр обработки

данных

Cisco ASA 5585-X-S60P60

Cisco ASA 5585-S40P40



Cisco® ASA 5512- X IPS

Cisco ASA 5515-X IPS




Новинка

Новинка

Новинка

Новинка

Новинка


Новый межсетевой экран с поддержкой сервисов и функцией IPS

• Платформа межсетевого экрана нового поколения с поддержкой сервисов

• Устройства ASA среднего уровня с функцией ПО IPS с учетом контекста

• Cisco® ASA 5525-X , ASA 5545-X и ASA 5555-X имеют аппаратное ускорение для IPS.

• 1 интерфейс Gigabit Ethernet

• Доступны платы расширения ввода-вывода


• Специализированная платформа IPS среднего уровня с учетом контекста

• Четырехкратное увеличение производительности Cisco® IPS серии 4200 за половину стоимости

• Обработка с аппаратным ускорением Regex

• Интерфейсы Gigabit Ethernet

• Платы аппаратного обхода будут доступны в октябре


• Специализированные высокоскоростные устройства IPS с учетом контекста

• Обработка с аппаратным ускорением Regex

• Развертывания на уровне ядра ЦОД или предприятия

• Интерфейсы Gigabit Ethernet, интерфейсы 10 Gigabit Ethernet и слот SFP

• Масштабируемость: доступен слот для будущего наращивания мощностей


Cisco® IPS 4345 Cisco IPS 4360 Cisco IPS 4510 Cisco IPS 4520

Основа платформы 1RU 1RU 2 RU (шасси) 2 RU (шасси)

Процессор 4 ядер

4 потока

4 ядер

8 потока

8 ядер

16 потока

12 ядер

24 потока

Память 8 GB 16 ГБ 24 ГБ 48 GB

Базовые порты данных 8 x 1 GE Cu 8 x 1 GE Cu

6 x 1 GE Cu

4 x 10 GE SFP

6 x 1 GE Cu

4 x 10 GE SFP

Ускоритель Regex Одинарный Одинарный Одинарный Двойной

Электропитание Постоянное значение

переменного тока

2 с возможностью

горячей замены






Производительность • Реальный средний показатель: 3 Гбит/с • Реальный диапазон показателей: 1.2-5 Гбит/с • Транзакционная передача по HTTP: 5 Гбит/с

Характеристики платформы: • 2 RU (шасси) • Многоядерный ЦП корпоративного класса (8

ядер, 16 потоков) • 24 ГБ ОЗУ • Резервный источник питания • Аппаратное ускорение Regex • Открытый слот (в верхней части) для

использования в будущем

Места развертывания • Средние и крупные предприятия • ЦОД кампуса • Требуется 3 Гбит/с реальной пропускной

способности IPS • Требуется резервный источник питания • Требуется специализированная система IPS

Порт AUX и

консоль

Интегрированный

ввод-вывод 6 GE Cu

Индикаторы

состояния

Порты


Отсеки для

жесткого диска

(пустые)


ввод-вывод 4 слота 10 GE

SFP 2 порта

USB


Производительность • Реальный средний показатель: 5 Гбит/с • Реальный диапазон показателей: 2.5-7.7 Гбит/с • Транзакционная передача по HTTP: 7,6 Гбит/с

Характеристики платформы: • 2 RU (шасси) • Многоядерный ЦП корпоративного класса (12

ядер, 24 потоков) • 48 ГБ ОЗУ • Резервный источник питания • Аппаратное ускорение Regex (x2) • Открытый слот (в верхней части) для

использования в будущем

Места развертывания • Средние и крупные предприятия • Центр обработки данных • Требуется 5 Гбит/с реальной пропускной

способности IPS • Требуется резервный источник питания • Требуется специализированная система IPS

Порт AUX и

консоль


ввод-вывод

6 GE Cu

Индикаторы

состояния

Порты


Отсеки для

жесткого

диска (пустые)


ввод-вывод 4 слота 10 GE

SFP 2 порта

USB


Специализированная система

Cisco IPS 4500 • Прозрачна и незаметна в сети

• Ввод-вывод на основе IPS

• Нормализация под управлением IPS

• Свободный слот для использования в

будущем

Интегрированное устройство

Cisco ASA 5585-X IPS • Прозрачность как вариант.

• Ввод-вывод принадлежит межсетевому

экрану.

• Нормализацией управляет межсетевой экран.

• Для выбора политики IPS доступны

дополнительные возможности (5 элементов

потока, код пользователя и т. д.).

Основные отличия


• Определение максимальной пропускной способности с помощью сочетания различных протоколов и размеров пакетов.

• Для оценки используются средние показатели пяти тестов.

• Сочетание типов трафика зависит от типа и расположения сети.

• В тестах используются стандартные профили приложений пределов прочности (сочетания трафика).

• Тестирование предоставляет клиентам рекомендации.

• Клиенты могут легко воспроизвести тесты.

• Тесты не имеют отношения к компании Cisco.


0

1

2

3

4

5

6

7

8

Реальный средний показатель Транзакционная передача по HTTP

4510 4520

Максимальная производительность (Гбит/с)


Значение Cisco IPS 4510 Cisco IPS

4520

Реальный средний показатель

(Гбит/с)

Cisco использует пять сторонних

тестов, которые показывают состав

смешанного трафика

развертываний.

3 5

Максимальная

производительность (Гбит/с)

Максимальные уровни пропускной

способности при полной проверке

трафика.

5 10

Количество подключений в

секунду

Беспроблемная обработка

всплесков подключений. 72,000 100,000

Максимальное количество

открытых подключений

Динамично функционирующим

центрам обработки данных

требуется большое количество

подключений.

3,800,000 8,400,000

Среднее время задержки

Задержка может привести к

проблемам транзакций и повлиять

на производительность.

< 150 мс < 150 мс


Прозрачность контекста

IPS

Cisco® SIO

Политика с учетом

контекста

в режиме Inline,

корреляция в

устройстве

в режиме Inline,

оценка рисков для

бизнеса на основе

контекста


Текущие средства контроля:

Порт IP

Протокол

Сети VLAN

Работа с копией трафика и режим inline

Требуются гибкие средства контроля для приведения политики в

соответствие с направлениями угроз, повышения производительности проверки и снижения количества ложноположительных результатов.


ИД обхода нормализации

трафика

Анализ

протокола

ИД атаки требуется полная прозрачность среди нескольких сигнатур, пользователей, протоколов и других компонентов

Мета- сигнатура X

Сигнатура A 10:17 Сигнатура B 10:19 Сигнатура C 10:19


Уникальные параметры контекста формируют точную оценку бизнес-рисков

Риск д

ля

бизн

еса

Обнаружение и применение

рисков объекта атаки и

злоумышленника из Cisco® SIO и

локальные данные

Внутренняя репутация

Глобальная репутация

Контроль признаков

операционной системы

Конечное значение

Контексты атаки Контексты злоумышленника и

объекта атаки

Поток встроенной корреляции Механизм действий

Риск д

ля

бизн

еса

Обнаружение и применение рисков

эксплойтов из Cisco SIO

Серьезность

Точность


Приоритеты бизнеса и безопасности

• Понимание бизнес-рисков

• Точность

• Быстродействие

• Эффективность

• Прозрачность

Инновации в управлении угрозами

Архитектура Cisco с учетом контекста

• Динамическая оценка бизнес-рисков

• Контекстные данные для точного определения риска и соответствующего действия

• Встроенная корреляция, выполняемая немедленно (не после свершения)

• Отправка уведомлений или эскалация (если необходимо)


Все типы оборудования

• SCADA

• DCS

• PLC

• SIS

• EMS

• Все основные

производители

• Schneider

• Siemens

• Rockwell

• GE, ABB

• Yokogawa

• Motorola

• Emerson

• Invensys

• Honeywell

• SEL

• И это не конец…


• Cisco® Security Manager 4.3

• Cisco IPS Device Manager 7.1(4)*

• Cisco IPS Device Manager 7.1(5)

• Cisco IME 7.2.3

* При первых поставках клиенту Cisco IPS

4510 и IPS 4520 поставляются с 7.1(4).


• Поддержка расширенного декодирования HTTP.

• Профили угроз для характерной для развертывания настройки (ЦОД и периметр) с помощью мастера.

• Статистические данные о нагрузке для выполнения анализа.

• Поддержка новых платформ.


• Базовая настройка сигнатур, адаптированная для различных расположений в сети

• Текущая поддержка только на платформах с аппаратным ускорением Regex

• Пошаговый мастер

• Шаблон, предназначенный для ЦОД


sco Security Manager 4.3


Краткий обзор CSM Комплексное управление

политиками для FW, VPN и IPS

на разнотипных устройствах

(ASA, IPS, FWSM, PIX, ISR/ASR)

Управление журналами —

события межсетевого журнала

(Syslogs) и IPS (SDEE)

Мониторинг состояния и

производительности для ASA и

IPS

Отчеты для межсетевых экранов

и устройств IPS

Управление образами для ASA и

IPS

API для доступа к политике

Поддержка сотен устройств в

одном развертывании

На основе Windows:

конструктивные параметры

устройства, также доступен в

виде установки ПО

Cisco Security Manager

Управление политиками

Управление журналами

Отчеты

Работоспо-собность сети

Управление образами

Интерфейс API


Оптимизированные

операции по обеспечению


Реальные результаты

Общее управление

сетью

Представление политик

Представление

устройств

Представление

топологии


Перенос политик на несколько

устройств и переопределения

объектов обеспечивают

согласованное определение политик.

Согласованность

Интуитивный графический интерфейс с представлениями политик и объектов.

Простота

Наследование политик

обеспечивает реализацию

корпоративных политик.

Реализация

политик

ASA ASASM/

FWSM

ISR ASR


Поиск пользователей и групп

пользователей на основе

установки и сопоставления

Active Directory.

Интеграция AD

Политики моделирования на основе пользователей и групп пользователей

Пользователи и группы пользователей

Политики моделирования на

основе FQDN (например,

apps.cisco.com).

Полные

доменные имена


Средства повышения производительности межсетевых экранов

Улучшенная эксплуатационная эффективность

Сопоставление событий с

политиками упрощает процесс

изучения администратором. Изучение

Интегрированное средство

отслеживания пакетов для

глубокой диагностики и

устранения неполадок.

Устранение

неполадок

Число попаданий в список ACL,

запрос правил и отслеживание

сроков действия упрощают базовые

функции политики.

Управление правилами

Средство отслеживания

пакетов


Согласованные сигнатуры и реакции на события в датчике IPS. Согласованность

Технология глобального сопоставления на основе репутаций обеспечивает защиту сети в упреждающем режиме.

Упреждающая защита

Датчики

IPS ASA AIP IDSM IOS IPS

Навигация IPS от уведомлений к

сигнатурам обеспечивает быструю

настройку проблемных сигнатур.

Сокращение помех


Автоматические обновления сигнатур и лицензий

Отчеты об инвентаризационных данных и лицензиях IPS, а также автоматические обновления лицензий упрощают выполнение повседневных задач.

Прозрачность инвентаризационных данных

Автоматические обновления сигнатур и пакетов обеспечивают оперативную защиту IPS.

Оперативная защита

Сервер CSM

IPS

IPS

IPS

IPS

Cisco

Навигация IPS от уведомлений к

сигнатурам обеспечивает быструю

настройку проблемных сигнатур.

Простая диагностика и устранение неполадок


Различные технологии, мастер установки

Простота развертывания в среде

из тысяч устройств, включая

неуправляемые устройства

сторонних поставщиков.

Согласованность в крупномасштабных развертываниях

Возможности производственного

развертывания для поддержки

существующих VPN-

подключений.

Минимальное нарушение производительности

Простой в использовании мастер

установки сетей VPN

обеспечивает точность настроек

на разных устройствах.

Сложные развертывания

Мастер создания

сетей VPN

IPSec GRE DMVPN GETVPN Easy

VPN

IPSec

RA

SSL

VPN


Упрощенный мониторинг, диагностика и устранение неполадок

Детализация привязки события к политике позволяет выполнять анализ основных причин и точную настройку правил.

Навигация от событий к политике

Представления событий ASA, IPS и VPN в режиме реального времени и в хронологической последовательности.

Отслеживание в режиме реального времени и в хронологической последовательности

Гибкие и комплексные критерии

событий исключают

возникновение помех.

Фильтры и настраиваемые представления

ASA IPS VPN


Мониторинг состояния и производительности

Кроме мониторинга ресурсов устройств, можно также контролировать параметры трафика (нагрузка для выполнения анализа, пропущенные пакеты).

Мониторинг IPS

Возможность мониторинга ресурсов устройств ASA, параметров трафика (количество подключений и т. д.), аварийного переключения.

Мониторинг межсетевых экранов

Пользователь может контролировать

состояние туннеля, пользователей

RAVPN и т. д.

Мониторинг сетей VPN

ASA IPS VPN

Пользователь может управлять

уведомлениями на основе важных

данных об устройствах (ЦП, память,

срок действия лицензии, состояние

интерфейса и т. д.).

Управление уведомлениями


Пользователи могут создавать комплекты образов (образ ASA, образы AnyConnect и т. д.) для развертывания.

Комплекты образов

Подход на основе мастеров для проверки, развертывания обновлений для образов, отправки уведомлений об их выпуске (включая аварийное переключение).

Управление образами ASA

Интеграция с CCO, функцией подачи

заявок CSM, развертыванием работ,

утверждениями и т. д. для

обеспечения удобной работы

пользователей.

Простая интеграция

ASA IPS VPN


Данные можно экспортировать в формат PDF/Excel. Отчеты можно запланировать для отправки по электронной почте.

Экспортируемые и планируемые отчеты

Отчеты, созданные на основе данных событий ASA, IPS и VPN.

Системные и настраиваемые отчеты

Данные можно наглядно

представить в форматах схем и

таблиц.

Схемы и таблицы

ASA IPS VPN


• Механизм подачи заявок с интеграцией на основе URL-адресов

• Режим рабочих процессов с процессом утверждения

• Глобальный семантический поиск во всех политиках

• Встроенные функции RBAC (контроля доступа на основе ролей)

• Архивация конфигураций

• Автоматическое резервное копирование и восстановление


Cisco Security Manager 4.3

В CSM 4.3 представлены новые возможности, связанные с

мониторингом состояния и производительности, управления

образами, доступна на основе интерфейсов API, а также целый

ряд усовершенствований в других областях.

Новые возможности Cisco Security Manager 4.3

• Мониторинг состояния и производительности устройств ASA и IPS.

• Управление образами для устройств ASA.

• Доступ на основе API к данным конфигурации политики CSM.

• Представление концепции комплектов политик для назначения нескольких

политики нескольким устройствам.

• Интеграция подачи заявок для отслеживания изменений политик.

• Глобальный поиск устройств, политик и объектов политики во всей базе

данных конфигурации.

• Поиск сведений об использовании объектов.

• Автообнаружение конфликтов для удаления ненужных записей из таблицы

правил.

• Обновления Policy Object Manager для улучшенной навигации.

• Поддержка новых моделей — ASA 5512, 5515, 5525, 5535, 5545 и 5555.

• Поддержка нового оборудования Cisco IPS серии 4300.


Старые страницы CS


• Связывание изменений с заявками

• Поиск на основе ИД или описания заявки

• Просмотр измененных заявок по развертыванию

• Настройка и запуск по URL-адресу внешней системы подачи заявок

• Сведения о последней измененной заявке, отображаемые в POM и правилах межсетевого экрана

• ИД заявки не является обязательным; допускаются повторяющиеся записи

• Возможность указания нескольких ИД заявок, разделенных запятыми

• Ticket Manager отображает журнал всех заявок

• В новой установке эта возможность включена по умолчанию

• После обновления существующие настройки рабочих процессов и другие параметры остаются без изменений

• Для отключения возможности нужно последовательно выбрать Admin Settings (Настройки администрирования) -> Ticket Manager



• Настраиваемые избранные типы объектов в дереве типов объектов

• Отображение 10 последних измененных объектов в дереве

• Просмотр сведений о ссылках на объекты с помощью одного щелчка

• Больший объем информации в таблице

Количество переопределений (если имеются) или переопределяемых объектов

Дата последнего изменения и последняя измененная заявка (или пользователь)

Полное описание

Объект, который был указан в ссылке или нет (при нажатии кнопки «Referenced» (Ссылка на))

• Перетаскивание и размещение объектов

Из POM в представление правил межсетевого экрана и из представления объектов в представление групп

• Копирование, печать, экспорт (CSV)

• Дерево типов объектов с возможностью поиска

• Поддержка быстрой фильтрации



• Семантическая фильтрация (IP / сеть) поддерживается в фильтрах таблиц объектов политик сети и узлов, а также в таблицах правил межсетевых экранов.

• Копирование в виде текста в буфер обмена из большинства компонентов пользовательского интерфейса, таких как дерево, список, таблица, текст.

• Поле быстрой фильтрации, используемое в таблицах «Инвентаризационные данные», «Activity/Ticket Manager», «Policy Objects Manager» и «Сигнатуры IPS».

• Возможность поиска во всех деревьях (иерархических структурах) в Configuration Manager.

• Добавлен параметр «Expand-All / Collapse-All» (Развернуть все / Свернуть все) для всех деревьев и таблиц.

• С экрана входа в клиент CSM удален параметр «Enable / Disable Https connection» (Включить /отключить соединение по протоколу HTTPS).

• Теперь в представлении политики отображаются прямые назначения устройств, наследование и назначения с помощью комплектов политик.

• Экспорт детализированной общей политики.

• Настраиваемая панель инструментов.


• Автоматическая функция — ACD

• Функция, на основе которой выполняются практические действия — AACD

• Встроенные отчеты о конфликтах — при просмотре отчетов можно изменять правила. Таким образом решается проблема использования, связанная с имеющимся средством анализа правил.

• Функция используется только для автоматического обнаружения конфликтов. Она не предоставляет возможности их автоматического устранения.

• Она поддерживается только в интерфейсе с примененными правилами доступа.

• Отчеты о конфликтах формируются на основе источника, назначения, сервисов, пользователей, интерфейсов. Значения других полей (например, для указания диапазона времени и параметров ведения журнала) не учитываются.

• Конфликты внутри объектов не поддерживаются.


Фильтрация трафика на основе идентификационных данных поддерживается с версии CSM 4.2.

Уже поддерживаются такие средства, как «Запрос политики», «Найти и заменить», «Срок действия правила».

CSM 4.3 расширит поддержку средств межсетевой защиты для учета критериев идентификации в правилах межсетевых экранов.

Сочетание правил — принятие во внимание не только сетей, интерфейсов и сервисов, но и пользователей.

Количество попаданий — отображение количества попаданий для записей правила доступа, содержащих пользователей.

Импорт правил — усовершенствованная возможность импорта групп пользователей и правил доступа с помощью групп объектов.

Оптимизация внутреннего списка ACL — улучшенная возможность оптимизации ACL на основе не только сетей, интерфейсов и сервисов, но и пользователей.



• Предоставление возможностей мониторинга для устройств ASA,VPN и IPS

• Предоставление графиков тенденций важных показателей

• Предоставление сводной панели для отображения объединенных сведений о состоянии, уведомлениях и значениях показателей в рамках представления

• Предоставление механизма уведомлений для различных отслеживаемых параметров

• Предоставление набора предопределенного представления мониторинга.

• Предоставление пользователям возможности создания, редактирования, изменения настраиваемого представления мониторинга


• Мониторинг ASA распространяется на следующие типы показателей:

ресурсы устройства — ЦП, память, интерфейсы;

параметры трафика — количество подключений, скорость подключений, количество трансляций, скорость трансляций, отброс пакетов, включая отброс при обнаружении угрозы, пропускная способность.

Параметры аварийного переключения

Уведомления ASA

• Уведомления об аварийном переключении

• Уведомления о состоянии интерфейса

• Уведомления об использовании ресурсов ЦП

• Уведомления об использовании ресурсов памяти


• Мониторинг сетей VPN распространяется на следующие типы параметров:

• Мониторинг активного туннеля между площадками

• Мониторинг пользователей удаленного доступа (RA) — пользователи – web-клиента VPN, IPSec и SSL, клиента Anyconnect.

• Сводные данные о сетях VPN — сводное представление для туннеля между площадками, сеансов удаленного доступа, сведений о лицензиях и сертификатах.


Мониторинг ASA распространяется на следующие типы параметров:

• ресурсы устройства — ЦП, память, интерфейсы;

• параметры трафика — нагрузка для выполнения анализа, пропущенные пакеты, режим обхода;

• приложения IPS — основное приложение, приложение для датчиков, приложение для совместной работы.

• Состояние устройств IPS и связанные параметры

• Уведомления

• Состояние приложения для совместной работы

• Состояние приложения для датчиков

• Режим обхода

• Состояние интерфейса

• Истечение срока действия лицензии

• Использование ресурсов памяти

• Пропущенные пакеты

• Нагрузка для выполнения анализа


Дерево

представлени

я мониторинга

Панель сводных

данных

Сведения о

выбранных

устройствах

Вкладка «Alerts»

(Оповещения)


CSM Image Manager обеспечивает полное управление образами для устройств ASA.

Это средство используется на различных этапах процесса обновления образов для устройств ASA, предоставляя следующие возможности:

загрузка и поддержка репозитория различных типов и версий образов,

оценка образов,

анализ влияния обновления этих образов на устройства (в анализ входит влияние обновления на конфигурацию устройств),

подготовка и планирование обновления и

предоставление надежного способа обновления устройств с использованием встроенных механизмов резервирования и восстановления, что способствует сокращению времени простоев.

• Недостатки предыдущего решения, RME, для управления образами

RME больше не входит в комплект CSM.

Обновление образа с помощью RME рассматривалось как изменение OOB в CSM и требовало повторного обнаружения устройств, что приводило к потере назначенных и общих политик в CSM.

Механизм RME поддерживал только системное ПО. Отсутствует поддержка образов ASDM и других образов SSLVPN.

Отсутствует поддержка обновления аварийного переключения ASA, которое присутствует в большинстве развертываний ASA.


Поддержка репозитория различных типов и версий образов ASA.

Проверка доступности новых образов на сайте Cisco.com.

Загрузка образов с сайта Cisco.com.

Проверка и анализ влияния обновлений образов на устройства.

Совместимость устройств с образами.

Объединение совместимых образов в комплект.

Планирование обновления образа одного или нескольких устройств. Контроль пошагового выполнения операции обновления.

Управление изменениями для операций по обновлению образов.


Полное управление образами для ASA** — поддержка системы ASA, ASDM, CSD, Hostscan, Anyconnect и подключаемого модуля SSLVPN (RDP, Telnet, SSH и т. д.).

Поддержка обновления пары аварийного переключения «Активный/резервный».

Тесная интеграция с Configuration Manager — пользователь получает уведомления о влиянии обновления образа на конфигурацию устройства в CSM и сведения о действиях, которые необходимо выполнить до и после обновления, чтобы обеспечить беспрепятственное управление конфигурациям устройств в CSM.

Надежные обновления — проверки совместимости образов, проверки требований к ОЗУ, проверки объема флэш-памяти, уведомления о влиянии на конфигурации и т. д.

Управление файлами флэш-памяти ASA.

Комплект образов — объединение совместимых образов и их быстрое развертывание.

Элементарные проверки надежности на ранних этапах становления управления образами SSLVPN в Configuration Manager. Вывод сообщений о недостатке места.

Поддержка внешнего диска в ASA — диска 1.


• Выпуски ACS, вышедшие после версии 4.x, больше нельзя использовать в качестве решения RBAC для CSM. NRBAC предоставляет те же функции RBAC, которые присутствовали в ACS для CSM. Эти функции встроены в CSM, поэтому их использовать гораздо проще.

• Одной из ведущих мотиваций перехода на RBAC является возможность разделения обязанностей (Separation Of Duties, SOD).

снижение риска случайного повреждения или мошенничества

ограничение доступа к объектам (устройствам и политикам)

• Что изменилось?

Common Services (CS) имели авторизацию на уровне задач и поставлялись только с пятью стандартными ролями. Они не обеспечивали детализацию RBAC на уровне устройств.

При использовании NRBAC вводится детализация на уровне устройств и поставляется восемь (7 + 1) стандартных ролей. 1 роль не требуется для CSM.

• Сохраняется поддержка ACS 4.x.


Стандартные роли совпадают с ролями ACS 5 ролей являются общими для CS и CSM

1 роль является специальной для CS

2 роли являются специальными для CS

Специальные роли

CSM

Лицо, утверждающее системы


Администратор систем


Специальная роль CS

Суперадминистратор

Общие роли

Утверждающее лицо

Служба поддержки

Администратор сети

Оператор сети

Системный администратор


Задачи приложения назначаются ролям. Задача может относиться к одному конкретному приложению или использоваться для двух или более приложений.

Типы приложений

[AUTOUPDATE] — сервер

автообновления

[CSM] — Cisco Security Manager

[CS] — Common Services

ПРИМЕЧАНИЕ. Изменить

разрешения для стандартных

ролей нельзя.


Группы устройств представляют собой контейнеры для устройств и используются в конфигурации авторизации на уровне устройств.

Устройство может входить в несколько групп устройств.

ПРИМЕЧАНИЕ. Устройство может

быть связано с несколькими

группами устройств [ 1:n ]. Для

конфигурации NRBAC не требуется

связывать с пользователем все

группы устройств. Достаточно только

одной группы устройств.

Вывод. В системе могут находиться

группы устройств, имеющие

связанные устройства, но никогда не

использовавшиеся для авторизации

NRBAC на уровне устройств.


Полная авторизация

Авторизация на уровне задач

Авторизация на уровне устройств


NRBAC предоставляет возможность авторизации внешним серверам идентификации, используемым для аутентификации.

Удаленных пользователей AAA следует создать локально и назначить им роли.

К некоторым серверам аутентификации, которые поддерживаются CS, относятся ACS 5.x как сервер TACACS+, Microsoft AD, локальная аутентификация Windows.

• Создание настраиваемой роли

• Создание новой строки привилегии запрещено.

• Следует использовать с осторожностью.

• ACS 4.x по-прежнему поддерживается «как есть». Требуется повторная регистрация, поскольку в CSM добавлены дополнительные строки привилегий для новых возможностей.


http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia

http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

[email protected]




Documents

Обзор продуктов в области информационной безопасности