Защита периметра от сетевых угроз с помощью

Защита периметра от сетевых угроз с помощью межсетевых экранов Cisco ASA и ASA NG

Руслан Иванов

Системный инженер-консультант

[email protected]

13.01.2

014

© 2013 Cisco and/or its affiliates. All rights reserved.

Изменение людей

СТУДЕНТОВ ВУЗОВ И

МОЛОДЫХ СПЕЦИАЛИСТОВ

СЧИТАЮТ ИНТЕРНЕТ ОСНОВНЫМ

ЧЕЛОВЕЧЕСКИМ РЕСУРСОМ

СТУДЕНТОВ

ВУЗОВ

МОЛОДЫХ

СПЕЦИАЛИСТОВ

И

ГОВОРЯТ, ЧТО ОНИ НЕ МОГЛИ БЫ ЖИТЬ

БЕЗ

ИНТЕРНЕТА

Воздух

Вода

Продукты

Защита

Интернет

Отчет по глобальным сетевым технологиям: http://www.cisco.com/en/US/netsol/ns1120/index.html

http://www.cisco.com/en/US/netsol/ns1120/index.html

Изменение приложений

= +

1 из 5 сотрудников использует сервис хранения Dropbox на работе

Справочные сведения: http://gigaom.com/cloud/guess-what-mr-cio-one-in-five-of-your-employees-use-dropbox-for-work-files/

Использование Dropbox по должности

Персонал и

руководитель

Директор и вице-

президент

Руководители

высшего звена

Все отделы Только ИТ-отдел

http://gigaom.com/cloud/guess-what-mr-cio-one-in-five-of-your-employees-use-dropbox-for-work-files/





























Изменение ландшафта угроз

1 022 989 веб-сайтов

скомпрометировано

26 417 304 случая несанкционированного доступа к

данным

Несанкционированный доступ к данным в 2012 г.: http://www.privacyrights.org/data-breach/new

Черный список URL-адресов вредоносных программ, декабрь 2012 г. http://www.stopbadware.org/

http://www.privacyrights.org/data-breach/new



http://www.stopbadware.org/

Адаптация к изменениям

На одно правило межсетевого экрана…

…приходится 999 999 исключений.

(Источник: руководитель службы инф. безопасности

крупного финансового учреждения)

Увеличение требований к обеспечению безопасности

Надежные функции межсетевой защиты с

контролем состояния

Повсеместный доступ с любого устройства

Реализация политик допустимого использования

Повсеместная защита всех компонентов

C97-729687-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8

Продукты безопасности Cisco в современном мире

Network Behavior Analysis

Advanced Malware Protection

Cisco ISE

Next Generation Firewall

Firewall

UTM

VPN

A T T A C K C O N T I N U U M

Управление Применение

Защита

Обнаружение Блокирование

Защита

Масштаб Содержание Избегание

NGIPS

Web Security

Email Security


Обзор

Архитектура

Управление

устройствами

Применение политик


• Использует в качестве основы ASA stateful inspection

firewall;

• Предоставляет следующие продвинутые (NGFW)

сервисы:

Репутационная фильтрация веб трафика для защиты от

вредоносного ПО;

URL-фильтрация доступа к разным категориям сайтов на

основе заданной политики;

Контроль использования приложений Application visibility and

control (AVC)

Защита от угроз (NGFW IPS)


200 Mbps NGFW

60 Mbps NGFW + IPS

100K Connections

10,000 CPS

Защита филиалов Защита доступа в Интернет/границы сети

ASA 5512-X

350 Mbps NGFW

90 Mbps NGFW + IPS

250K Connections

15,000 CPS

ASA 5515-X

650 Mbps NGFW

300 Mbps NGFW + IPS

500K Connections

20,000 CPS

1 Gbps NGFW

450 Mbps NGFW + IPS

750K Connections

30,000 CPS

1.4 Gbps NGFW

600 Mbps NGFW + IPS

1M Connections

50,000 CPS

ASA 5525-X

ASA 5545-X

ASA 5555-X


Защита доступа в Интернет/границы сети

2 Gbps NGFW

1 Gbps NGFW + IPS

500K Connections

40,000 CPS

ASA 5585-SSP10

Защита доступа в Интернет/границы сети

5 Gbps NGFW

1.5 Gbps NGFW + IPS

1 Million Connections

75,000 CPS

ASA 5585-SSP20

9 Gbps NGFW

2.5 Gbps NGFW + IPS

1.8 Million Connections

120,000 CPS

ASA 5585-SSP40 13 Gbps NGFW

4 Gbps NGFW + IPS

4 Million Connections

160,000 CPS

ASA 5585-SSP60

New

with 9.2

New

with 9.2


До NGFW 9.2 NGFW 9.2

• PRSM управляет:

NGFW

Настройками Syslog*

• Политики применяются к группам

устройств

• Политики могут:

Разрешить или запретить

• PRSM управляет:

NGFW

Настройками Syslog*

Конфигурацией NAT*

Правилами МСЭ на ASA*

• Политики могут быть:

Локальными для данного устройства

Разделяемыми

Универсальными

• Политики могут:

Разрешить, выдать предупреждение**, или

запретить

* В режиме управления несколькими устройствами (off-box PRSM). Для одного устройства требуется ASDM или CSM.

** Пользователь может прочитать страницу предупреждения и получить доступ к запрашиваемому ресурсу.


Дополнительно NGFW 9.2 поддерживает:

• Поддержка режима Active/Standby:

PRSM может распознать отказоустойчивую пару и

посчитать её как одно устройство (с точки зрения

лицензирования, настроек и отчетов);

• Защита от интернет-угроз NGFW IPS;

• Новые модули NGFW Cisco® ASA 5585-X SSP 40, 60:

NGFW теперь поддерживается на всех моделях ASA,

кроме 5505.


Улучшения в NGFW 9.2:

• Роли для интерфейсов – наборы интерфейсов,

которые могут быть использованы для создания

политик безопасности;

• Ограничение полосы пропускания;

• Поддержка Safe search.

Примечание: Не все эти функции поддерживаются во всех типах политик.


Требования к

оборудованию Требования к ПО

• Для платформ 5512-X, 5515-X, 5525-X,

5545-X, 5555-X требуется SSD диск.

• Для 5585-X SSP10, 20, 40, 60

для функционала NGFW необходим

отдельный аппаратный модуль.

• ASA должна использовать код не ниже

версии 9.1.3

• NGFW должен использовать 9.2

• Сервер PRSM должен использовать 9.2

Примечание: Сервер PRSM 9.2 может управлять МСЭ ASA под управлением ПО 9.0.1 или выше, если ASA без NGFW-сервиса.


Обзор






ASA

NGFW

Two Hard Drives Raid 1

(Event Data) 8 GB eUSB (System)

10 GE and GE Ports GE Management Ports

SSP 40 and

60 Support

New with

NGFW 9.2


IP Fragmentation

IP Option Inspection

TCP Intercept

TCP Normalization

ACL

NAT

VPN Termination

Routing

Botnet Traffic Filter

TCP Proxy

TLS Proxy

AVC Multiple Policy Decision

Points

HTTP Inspection

URL Category/Reputation

NGFW IPS

NGFW

ASA


• Две РАЗНЫХ сессии, РАЗНЫЕ сертификаты, и РАЗНЫЕ ключи

• ASA NGFW работает в данном примере как CA и выпускает сертификат для Web-сервера

Корпоративная сеть Web-сервер TLS Proxy

4. Client authenticates “server”

certificate

Сертификат генерируется

автоматически для каждого

сервера, но подписан ASA

NGFW

1. Согласование

алгоритмов

3. Создание

спроксированного

сертификата

5. Генерация

ключей

шифрования

6. Зашифрованный

туннель установлен

1. Согласование

алгоритмов

3. Аутентификация

серверного

сертификата

5. Генерация

ключей

шифрования

6. Зашифрованный

туннель установлен


Расшифровывает SSL и TLS трафик через любые порты

• Самоподписанный сертификат может быть загружен на клиента и добавлен в хранилище доверенных сертификатов

Самоподписанные (default) сертификаты или корпоративный PKI

Политики контроля зашифрованного трафика определяют, какой трафик должен подвергнуться инспекции

• ASA NGFW не может определить имя хоста в клиентском запросе, так как оно зашифровано, поэтому использовать его для

выбора политики не получится

• FQDN и/или URL-категория определяются по серверному сертификату

Если требуется инспектирование зашифрованного трафика, ASA NGFW работает как посредник

• Создается новый сертификат, подписанный ASA NGFW или корпоративным CA

• Поля FQDN и сроки действия нового сертификата копируются из оригинального серверного сертификата

• Несовпадения имен и истекшие сертификаты игнорируются и должны обрабатываться клиентом!!!


• Заставить клиентов использовать наилучшие практики работы с сертификатами

• Изменения в политиках доступа для нерасшифрованного HTTPS трафика:

Хост, доменное имя, и web-категория могут быть использованы в URL-объектах для выбора политики;

Фильтрация на основе Web-репутации может быть применена к HTTPS-трафику.

Серверный сертификат используется для определения FQDN.

New with

NGFW 9.2


Поддерживается более 1200 приложений

• По умолчанию, PRSM и ASA NGFW проверяют обновления описаний приложений каждые 5 минут

Использует преимущества Cisco® Security Intelligence Operation (SIO)

Поддерживаемые приложения определяются на любом порту

Поддерживаются три уровня атомарности

• Тип приложения:

Например: Collaboration, Facebook, games, social networking

• Приложение:

Например: BitTorrent, Cisco phones, ftp-agent, ftp-agent, Google Translate, iTunes, LDAP, oracle-sqlnet, RADIUS, WCCP, WebEx®

• Поведение приложения:

Например, можно разрешить приложения типа collaboration, но запретить загрузку файлов из сети компании наружу.


Уязвимость нулевого дня Internet Explorer (IE)

Day 0:

Malicious Site

Detected

Подход конкурентов: бесконечная гонка против хакеров Угрозы и атаки нулевого дня с более чем 40 «припаркованных» доменов

остановлены репутацией и кросс-платформенными алгоритмами

Подход Cisco: остановить атаки на источнике

разоружить атакующих

Security Advisory

Issued

IE Patched

Day 0:

Site Blocked

By Cisco

Day 8:

Site Volume Up

Malware Detected

Day 14:

IPS Sig Published

C&C Server Blocked

Day 18:

A/V “C, “D” & Full “A” Sig

Published

Day 17:

A/V “B” Sig Published

Day 16:

A/V “A” Partial Sig

Published

Traditional Response Cisco Continuous Intelligence

40+ Malicious “Parked”

Domains Blocked


2

6


“В долгорочной перспективе более 60% Java инстялляций никогда

не поддерживаются в «свежем» состоянии. Поскольку такое

количество компьютеров не обновлено, даже старые эксплиты

могут использоваться для компрометации жертв.

…Мы обнаружили, что во время первого месяца после выпуска

патча, уровень адаптации не превышает 10%. Через 2 месяца,

примерно 20% устанавливают патчи и через 3 месяца 30%. Мы

определили, что самый высокий уровень установки патчей был

38% с Java Version 6 Update 26 через три месяца после релиза.”

- Marcus Carey, Rapid7

Source: Krebs on Security “New Java Attack Rolled into Exploit Packs”. March, 2012.

2

7


• Обнаружена – 27 августа 2012 года

• Анализ -- http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html

• Впервые сообщено об аналогичной уязвимости – 10 августа 2012 года Марком Вуглером

• Oracle выпустил update 7 (7u7), который исправляет эту уязвимость

2

8


• Зашифрованный javascript в index.html

• Уязвимость атакует Java 7 (1.7) Update 0 до 6. Не атакует Java 6 и ниже

• Работает на всех браузерах, в том числе и Google Chrome

• Не оказывает видимого влияния на работу браузеров

• При загрузке вредоносного кода, если система не уязвима, атака останавливается. С точки зрения пользователя невозможно сказать, была ли атака успешной, или же нет.

• Если атака успешна, она загружает и выполняет вредоносный двоичный код, который вызывается с другого DNS/IP hello.icon.pk / 223.25.233.244

Как это работает

29


Как отреагировала Cisco?

30


Cisco Security Intelligence Operation (SIO)

Visibility Control

0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101

0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 0111000 111010011 101 1100001 11000 111010011101 Cisco SIO

1.6M GLOBAL SENSORS

75TB DATA RECEIVED PER DAY

150M+ DEPLOYED ENDPOINTS

35% WORLDWIDE EMAIL TRAFFIC

13B WEB REQUESTS

WWW

ESA ASA WSA

AnyConnect Cloud IPS

WWW

Email Web Devices

IPS Endpoints Networks

24x7x365 OPERATIONS

40+ LANGUAGES

600+ ENGINEERS, TECHNICIANS

AND RESEARCHERS

80+ PH.D.S, CCIE, CISSP, MSCE

$100M+ SPENT IN DYNAMIC RESEARCH AND

DEVELOPMENT

3 to 5 MINUTE UPDATES

5,500+ IPS SIGNATURES PRODUCED

8M+ RULES PER DAY

200+ PARAMETERS TRACKED

70+ PUBLICATIONS PRODUCED

Info

rmation

Actio

ns


Профиль репутационной фильтрации по умолчанию

Вредоносные

(от -10 к -6) Не вредоносные (от -5.9 к +10)

-10 +10 -5 +5 0

Выделенные или взломанные сайты, которые устанавливают троянцев, перехватчики клавиатуры и руткиты. Безусловная угроза.

Агрессивное использование рекламы с Множества сайтов, использующие технологии слежения за пользователем. Сайты подозреваются в использовании вредоносных технологий.

Сайты с некоторой историей реакции на инциденты или имеющие репутацию от третьей стороны

Фишинговые сайты, боты и т.д. Почти всегда имеют вредоносный контент.

Сайты с хорошей историей реакции на инциденты. Контент генерируется пользователями или собирается с других сайтов

Сайты с хорошей историей реакции на инциденты. Генерируют большое количество трафика и часто посещаются


Применение корпоративных правил доступа к разным

категориям

Предопределённые или собственные URL-категории

Взаимодействует с функционалом определением

приложений AVC;

По умолчанию, PRSM и NGFW проверяют обновления

каждые 5 минут.

78 предопределённых URL-категорий

20,000,000+ URL категоризировано

Мы говорим на 60+ языках народов мира

Использует Cisco® Security Intelligence Operation (SIO)


New with

NGFW 9.2

Упрощённая

настройка

Богатый набор

политик

Высокая

динамичность

• Политики на основе

применимости риска

• Фокус на угрозы, а не на

сигнатуры

• Политика IPS часть

общей политики доступа

NGFW

• Опирается на знание

приложения

• Работает с репутацией

источника

• Ежедневные и

ежечасные

обновления:

Угроз / сигнатур

Репутации

Аналитических

движков


• Угрозы

• Настройки на основе

анализа риска

• Набор для границы

сети/Интернета

• Автоматическое

обновление всех

компонентов

• Использование App ID и

Web-репутации

• Сигнатуры

• Широкое покрытие

• Настраиваемые и

собственные сигнатуры

• Широкий набор реакций

NGFW IPS ASA IPS

Интегрированный

Эф

фекти

вны

й

Просто

й

Выделенный

Гото

во д

ля Ц

ОД

Ги

бки

й

New with

NGFW 9.2


Требует HTTP-запрос для начала аутентификации

1. ASA NGFW перехватывает HTTP-запрос от клиента к сайту;

2. ASA NGFW перенаправляет клиента на внутренний интерфейс ASA (по умолчанию порт 885);

Перенаправление происходит с помощью команды proxy redirect (HTTP return code 307) – мы подменяем удаленный сайт

3. ASA отправляет клиенту запрос на аутентификацию (HTTP return code 401)

4. После аутентификации, ASA NGFW перенаправляет клиента обратно на запрошенный сайт (HTTP return code 307)

После аутентификации, ASA NGFW использует IP-адрес для сопоставления с пользователем

• Весь трафик и приложения (не только HTTP) теперь будут ассоциированы с данным пользователем

Интеграция с корпоративной инфраструктурой

Поддерживаемые каталоги пользователей:

• Microsoft Active Directory

• OpenLDAP

• IBM Tivoli Directory Server


Устройство должно входить в домен Active Directory

Поддерживается для любого трафика и любых клиентов

Отдельный сервер на Linux, который может быть запущен как

виртуальная машина (VM);

Интуитивный web-GUI и похожая на Cisco IOS® командная строка

Требует Cisco® Context Directory Agent (CDA):

• CDA собирает информацию с Active Directory;

• CDA кэширует информацию;

• ASA NGFW/PRSM запрашивает с CDA информацию о

пользователях;

• ASA NGFW/PRSM запрашивает с Active Directory

информацию о членстве в группе AD.


Обзор






Application Identification Updates

RESTful XML

[REST = Representational State Transfer]

Reliable Binary Logging

HTTPS HTTPS

ASA NGFW PRSM

Cisco® SIO


• Когда первая ASA добавляется в PRSM, другое устройство обнаруживается автоматически;

• В большинстве случаев, PRSM считает пару за одно устройство;

• Настройки отказоустойчивости могут быть изменены в PRSM после добавления устройств:

Изменить или добавить stateful failover link;

Включить или выключить репликацию HTTP.

New with

NGFW 9.2


New with

NGFW 9.2

NGFW поддерживает все режимы ASA (маршрутизируемый,

прозрачный, смешанный)

В каждом контексте нужно явно настроить перенаправление

ASA NGFW работает как единое устройство с ASA и использует

VCID для каждой транзакции

Политики ASA NGFW глобальные и применяются ко всем

контекстам на ASA

Поддерживается активная аутентификация с возможностью

задания порта на ASA

В журналах PRSM отображаются имена контекстов

При ролевой настройке интерфейсов можно использовать

информацию о контексте


Обзор






Политики применяют действия к некоторому подмножеству сетевого трафика

• Доступ (ASA inbound, context-aware, ASA outbound) – определяет, какой трафик применить, а какой отбросить;

• Идентификации – определяет, какой трафик требует явной аутентификации пользователя и каким образом;

• Шифрования – определяет, какой из зашифрованных SSL и TLS трафик требует инспектирования и досмотра;

• NAT – определяет, какой трафик требует сетевой трансляции адресов Network Address Translation (NAT).

Типы политик

• Политики применяются сверху вниз – порядок следования имеет значение!

• Как минимум, каждому типу политик соответствует хотя бы один набор политик;

• Если политика не указана, действует правило по умолчанию.

Набор политик – это упорядоченный список политик определенного типа

• Политики доступа имеют правило по умолчанию разрешить всё;

• Политики шифрования по умолчанию не расшифровывают трафик;

• Политики идентификации по умолчанию не требуют аутентификации.

Политики по умолчанию для набора политик:


Используются при создании политик

• Требуются, чтобы понять, какую политику применить.

Можно использовать как предопределённые объекты, так и созданные

администратором

• Исходящая сеть или сеть назначения;

• Идентификация пользователя;

• Тип устройства, ОС и клиента:

Cisco AnyConnect® Secure Mobility;

Строка UserAgent в HTTP-запросе.

• Запрашиваемый URL;

• Приложение или тип приложения.

Множество типов


Используются при создании политик

• Применяются после срабатывания политики

Профиль фильтрации типов файлов

• Блокирование скачивания указанных MIME-типов;

• Блокировка закачивания определённых MIME-типов.

Профили репутационной Web-фильтрации

• Указывает пороговое значение срабатывания Web-фильтра;

• Значение по умолчанию -6.

Профили противодействия угрозам Next-generation IPS

• Определяет пороговые значения для NGFW IPS;

• Умолчания: Block & Monitor 70, Allow & Monitor 40


New with

NGFW 9.2

Политики для входящего в ASA трафика

• Применяются на входе;

• Имеют вид классического 5-tuple ACL;

• Могут оперировать именем пользователя и FQDN хоста.

Политики на основе знания контекста

• Применяются между исходящим и входящим трафиком;

• Используют сервисы NGFW;

Политики для исходящего от ASA трафика

• Точно такой же функционал, что и на входе.

Существует три типа политик доступа:


• Возможность управлять настройками ASA NAT из PRSM;

• PRSM оперирует политиками NAT (ASA 8.3+);

• Три набора политик:

Twice NAT rules (до object NAT)

Network object NAT

Twice NAT rules (после object NAT)

• Наборы политик NAT нельзя удалить или добавить, правила – можно изменять и добавлять.

New with

NGFW 9.2


New with

NGFW 9.2


Наборы политик бывают:

Универсальные – набор политик используется всеми устройствами;

Разделяемые – используются некоторыми устройствами;

Локальные – набор политик используется только на одном устройстве.

New with

NGFW 9.2


New with

NGFW 9.2

Применяется только для политик, учитывающих

контекст соединения

Ограничивает полосу пропускания для каждой политики

При превышении порога пакеты сбрасывается

Ограничение полосы пропускания – обязательный

атрибут политики

Выделенная полоса пропускания используется всеми

соединениями, которые соответствуют данной политике


New with

NGFW 9.2

Применяется только для политик, учитывающих

контекст соединения

Блокирование поисковых запросов для

поддерживаемых поисковых движков:

• Если Safe Search включен в политике и выключен в

браузере клиента

Поддерживаемые поисковые движки:

• Google

• Yahoo

• Bing

• Ask

• Duckduckgo

• Yandex


New with

NGFW 9.2


Набор интерфейсов может использоваться в политиках

(входящих или исходящих)

Интерфейсам должны быть предварительно заданы

имена (nameif)

Можно использовать маски: например, *ide* совпадёт и

с inside и с outside

Удобно применять для создания политик на основе

направления трафика

• По мере роста количества интерфейсов, политики на основе

IP масштабируются всё хуже и хуже

New with

NGFW 9.2


New with

NGFW 9.2

Функционал NGFW IPS лицензируется отдельно,

является подписным сервисом (1, 3, 5 лет).

Кнопка ВКЛ/ВЫКЛ для NGFW

Блокировка трафика от IP-адресов из черного

списка

Опционально можно разрешить трафик с

высокой репутацией


New with

NGFW 9.2

Три варианта реакции:

• Block and Monitor

• Allow and Monitor

• Don’t Monitor

Оптимизировано для защиты от эксплойтов

Можно делать исключения

Используется в политиках доступа

13.01.201

4

© 2013 Cisco and/or its affiliates. All rights reserved.

Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас.

Спасибо

CiscoRu Cisco CiscoRussia

#CiscoConnectRu

Руслан Иванов Системный инженер-консультант

[email protected]

Technology

Защита периметра от сетевых угроз с помощью