Индустриальный МСЭ и IPS Cisco ASA 5506H-X

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1


Индустриальный МСЭ и IPS Cisco ASA 5506H-X Алексей Лукацкий Бизнес-консультант по безопасности


Решения Cisco для индустриальных сетей

•  Индустриальные коммутаторы IE 3000, IE 2000, IE 3010 и CGS 2500

•  Индустриальные маршрутизаторы ISR 819H, CGR 2000

•  Индустриальные беспроводные решения Cisco 1550 Outdoor AP

•  Индустриальные встраиваемые маршрутизаторы в форм-факторах PC104 и cPCI

•  Индустриальные системы предотвращения вторжений IPS for SCADA и Cisco ASA 5506H-X

•  Индустриальные межсетевые экраны Cisco ASA 5506H-X

•  Индустриальные системы борьбы с вредоносным кодом Cisco ASA 5506H-X

Cat. 6500 Cat. 4500

Cat. 3750

Доступные коммерческие платформы

Доступные индустриальные платформы 1260 and 3560 APs

ASA

IE 3010

IE 3000 1552 AP

CGR 2010

IE 2000

ISR 819

7925G-EX IP Phone


Cell/Area Zone Уровни 0-2

Индустриальная зона

Уровень 3

Буферная зона

(DMZ)

Контроль в реальном времени

Конвергенция

Multicast Traffic

Простота использования

Сегментация Мультсервисные сети Безопасность приложений и управления

Контроль доступа

Защита от угроз

Сеть предприятия Уровни 4-5

Gbps Link for Failover Detection

Firewall & IPS

Firewall & IPS

Application Servers Cisco

Catalyst Switch

Network Services

Cisco Catalyst 6500/4500

Cisco Cat. 3750 StackWise Switch Stack

Patch Management Terminal Services Application Mirror

AV Server

Cell/Area #1 (Redundant Star Topology)

Drive

Controller

HMI Distributed I/O

Controller

Drive Drive

HMI

Distributed I/O

HMI

Cell/Area #2 (Ring Topology)

Cell/Area #3 (Bus/Star Topology)

Controller

Интеграция в сеть предприятия UC Wireless Application Optimization

Web Apps DNS FTP

Internet

Identity Services Engine

Архитектура Ethernet-to-the-Factory (ETTF)


Уровень 5

Уровень 4

Уровень 3

Уровень 2

Уровень 1

Level 0

DMZ

Терминальные сервисы Управление патчами Антивирусный сервер

Зеркало приложений Управление Web Сервер приложений

Корпоративная сеть

Сеть логистики и бизнес-планирования E-Mail, Intranet и т.д.

Клиент

Пакетный контроль

Дискретный контроль

Drive Control

Непрерывный контроль

Контроль защиты

Сенсоры Моторы Исп.устройства Роботы

Сервер приложений Factory Directory ПК инженера Контроллер

домена

Клиент

Operator Interface Engineering Workstation Operator Interface

Web E-Mail

CIP

Area Supervisory Control

Basic Control

Process

Зоны кибербезопасности в индустриальной сети

Активная защита IPS, МСЭ, контроль приложений, безопасность контента, защита от вредоносов и т.д.

Активная защита IPS, МСЭ, защита от вредоносного ПО и т.д.

Гибридная активная/пассивная защита IDS, зонирование, контроль приложений, защита от вредоносного ПО и т.д.


Интегрированная и многоуровневая защита с помощью Cisco ASA with FirePOWER Services

►  Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений

►  Система гранулярного мониторинга и контроля приложений (Cisco® AVC)

►  Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER

►  Фильтрация URL-адресов на основе репутации и классификации

►  Система Advanced Malware Protection с функциями ретроспективной защиты

►  Система управления уязвимостями и SIEM

Cisco ASA

VPN и политики аутентификации

Фильтрация URL-адресов

(по подписке) FireSIGHT Аналитика и автоматизация

Advanced Malware Protection

(по подписке)

Мониторинг и контроль приложений

Межсетевой экран Маршрутизация и коммутация

Кластеризация и высокая доступность

Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI

Встроенное профилирование

сети

Предотвращение вторжений (по подписке)


Потребность в специализированных МСЭ/IPS

Для индустриального применения, АСУ ТП, подстанций и т.п. требуется небольшой, монтируемый DIN-rail-type форм-фактор, способный работать в экстремальной окружающей среде


Пассивная защита в индустриальной сети

Сложности Ответ Cisco

• Пассивное профилирование сети

• Отсутствие задержек между устройствами и системами, требующими реального времени

•  «Белые списки» ожидаемого, предупреждения по аномалиями

•  ICS означают статичность, но часто нет возможности проверить это

•  ICS построены с минимальным объемом системных ресурсов

•  Типичные ИТ-методы идентификации устройств могут привести к выходу из строя индустриальные системы


Новые модели Cisco ASA with FirePOWER Services

Desktop Model Integrated Wireless AP

Выше производительность Для АСУ ТП

100% NGFW - поставляется с AVC

Wi-Fi может управляться локально или через

Cisco WLC

1RU; новая платформа – лучшее сочетание цены и производительности

NGFW для критичных инфраструктур и

объектов

5506-X 5506W-X 5508-X 5516-X

5506H-X

Идеальна для

замены Cisco®

ASA 5505


«Настольная» модель Cisco ASA 5506-X

7.92 x 8.92 x 1.73 in.

Параметр Значение

CPU Многоядерный

RAM 4 Гб

Ускоритель Да

Порты 8x GE портов данных, 1 порт управления с 10/100/1000 BASE-T

Консольный порт RJ-45, Mini USB

USB-порт Type ‘A’ supports 2.0

Память 64-GB mSata

Охлаждение Convection

Питание AC external, No DC


Cisco ASA 5506H-X в защищенном исполнении

*** Конфигурация Cisco® ASA 5506-H идентична Desktop ASA 5506-X, исключая следующие параметры:

9 x 9.2 x 2.5 in.

Параметр Значение

Порты 4 x портов данных

Управление 1 порт, 10/100/1000BASE-T, 100BASE-FX, 1000BASE-X, SFP

Напряжение 5V (*** 5506 is 12V)

Диапазон температур От –20 до 60°C (рабочий) От -40 до 85°C (обычный)

Монтаж Wall-Mount, Horizontal Desk, Rack-Mount и DIN rail-mount


Специальные сертификаты на Cisco ASA 5506H-X

Сертификаты соответствия

9 x 9.2 x 2.5 in.

IP40 per IEC 60529 KN22 IEC 61850-3 IEC 61000-6-5 IEC 61000-5 IEC 611000-4-18 IEEE 1613.1 IEEE C62.412 IEC 1613 IEC 61850-3 IEC 60068-2


Производительность младших Cisco ASA with FirePOWER

Модель 5506-X Контроль приложений (NGFW)

250

Контроль приложений вместе с предотвраще-нием атак (NGFW + IPS)

125

Максимальное число одновременных соединений

50,000

Максимальное число новых соединений в секунду

5,000

Модель 5506-X МСЭ с контролем состояния 750 Мбит/с Пропускная способность в режиме шифрования 100 Мбит/с

IPSec VPN соединений 50 Cisco AnyConnect соединений 50

Контекстов безопасности Н/п

VLAN 30

Отказоустойчивость Active/ Standby


Поддержка индустриальных систем в ASA 5506H-X

•  2 препроцессора для Modbus и DNP3

•  Возможность написания собственных сигнатур

•  Около 200 встроенных сигнатур

CitectSCADA OMRON Kingview IGSS Tecnomatix RealWin Iconics Genesis Siemens IntelliCom Cogent

RSLogix DAQFactory Beckhoff Measuresoft ScadaPro Broadwin Progea Movicon Microsys Sunway Moxa

GE Sielco ScadaTec Sinapsi DATAC WellinTech Tridium Schneider Electric CODESYS


Локальная система управления: ASDM 7.3.x

Новая разработка! Сочетает в себе контроль над политиками доступа и функциями защиты от современных угроз. Улучшенный пользовательский интерфейс позволяет как следить за событиями в общем, так и углубляться в детали


Благодарю за внимание

Technology

Индустриальный МСЭ и IPS Cisco ASA 5506H-X