Как защитить сеть от web-угроз с помощью Cisco WSA

Сергей Кучеренко29 августа 2013

serg.kucherenko@getccna.ru

ведущий:

О чем мы поговорим:

Решения Web безопасности Cisco

Cisco Web Security Appliance и его функционал

Принципы развёртывания

Основные элементы конфигурации

Web безопасность мобильных устройств

Развёртывание Cisco WSA Virtual Appliance

Демонстрация работы решения

Решения Web безопасности Cisco

На текущей момент решения по обеспечению Web безопасности представлены в виде:

Выделенных аппаратных и виртуальных устройств Cisco Web Security Appliance

Облачного сервиса Cisco ScanSafe

Аппаратных или программных модулей ASA-CX

Сравнение решений:

Web/URL фильтрация

Контроль приложений

Защита от malware

Защита remote users

Развертывание

Политики и отчеты

Лицензии

Что же выбрать?

Задачи и необходимости

Cisco Web Security Appliance и его функционал

Модельный Ряд –

Аппаратные решения

Виртуальные решения

Note: S00V используется только для тестирования

Функционал Cisco Web Security Appliance

Proxy Server – WSA Выполняет роль кеширующего прокси сервера для следующих протоколов:

HTTP HTTPS FTP

WSA как прокси сервер способен работать в двух режимах:

Explicit Proxy – в этом случае на стороне клиента необходима настройка параметров proxy server*

Transparent Proxy – при использовании такого подхода клиент не знает о существовании proxy server. Перенаправление трафика на прокси проходит с

использованием сетевого оборудования* Note: В этом режиме не возможна аутентификация FTP

* - более детально будет рассмотрено в разделе “Принципы развёртывания”

Аутентификация –

Существуют варианты:

Basic Authentication – RFC based метод, в этом случае при подключении пользователя в браузере выводится окно для ввода логина/пароля

Преимущество – поддерживается всеми браузерами и большинством программНедостаток – аутентификация проходит в clear-text

NTLMSSP – Используется когда хранилищем пользователи является MS Active Directory. Пользователям прошедшим доменную аутентификацию на своих ПК не требуется вводить логин/пароль для прокси.

Преимущество – прозрачно для пользователяНедостаток – только в среде AD и на ПК

Transparent User Identification (TUI) – функционал аналогичный Identity Firewall на Cisco ASA в плане определения логина пользователя и его групповой принадлежности

1. Запрос списка пользователей и групп

2. Информация о User Login через WMI

3. Запрос списка User-to-IP mapping 4. Вход John в

систему

5. John вошел с адреса 10.1.200.3

6. Проверка Политик

Authentication Excempt – пользователи могут быть объединены администратором устройства в группы для которых не требуется аутентификация.

Критерии: IP address/User Agent/Proxy Port/URL category/User Agent

Acceptable Use Control –

Набор технологий позволяющий контролировать доступ пользователей к Web ресурсам и Web приложениям. К этим технологиям относятся:

URL Filtering – ограничения доступа пользователей/групп к определенным URL категориям (ex: Social Networking/Gambling/…).

Для не категоризированных ресурсов используется технология динамической категоризации Dynamic Content Analysis (DCA)

Для каждой категории доступен ряд действий: Block Monitor (Default) Warm – выдавать предупреждение пользователю Time-Based – доступ на основе временных диапазонов

Redirect* – перенаправление пакетов на определенный URL Allow* – пропустить пакеты без дальнейшего анализа

* – только пользовательские URL категории

Web Application Visibility and Control (AVC)– определение Web приложения по его signature. Разработкой новых signatures занимается Cisco SIO. Web приложения объединяются в Группы в зависимости от их типа:

В зависимости от типа Web приложения к нему могут применятся те или инфе ограничения Ex: Для приложения Web mail можно запрещать прикрепление документов

Objects – управление какие MIME типы (Video/Archive/…) разрешены пользователю/группе для загрузки. Кроме того здесь же можно устанавливать ограничения на максимальный размер загрузки.

Malware Protection –

Функционал WSA обеспечивающий защиту от зловредного кода. Защита производится с использованием трех технологий:

WBRS (Web Based Reputation Score) – проверка репутации запрашиваемого ресурса. Если ее значение ниже минимально допустимого такой запрос блокируется

Dynamic Vectoring and Streaming – сканирование контента на соответствие сигнатурам одного или двух Anti-Malware Engines (Webroot, Sophos)

Layer 4 Traffic Monitor – мониторинг проходящего в сети трафика (Используя перенаправление SPAN) на предмет обнаружения запросов на адреса известных центров управления Bot сетями

Data Protection –

Защита от утери данных в WSA может быть реализована с использованием двух подходов:

Внутренняя защита – этот подход дает возможность блокировать файлы определенного типа/размера/имени которые пользователи/группы пытаются выложить на Web ресурсы

Внешняя DLP система – WSA делает перенаправление транзакций по протоколу ICAP на внешнюю DLP систему

Internet

www.mypartner.com

www.malwarrior.com

Allow, Block, Log

Users

InternetAllow, Block, Log

UsersContent Verdict

DLP Vendor Box

Management and Reporting –

Embedded Reporting – большое количество встроенных отчётов (По пользователям/По сайтам/ По URL Категориям/…)

Centralized Reporting – возможность строить отчеты используя данные сразу с нескольких WSA: Используя SMA (Security Management Appliance) С помощь Splunk

Centralized Management – для централизованного управления несколькими WSA используется Security Management Appliance

Overview L4TM Reputation Filters

Принципы развёртывания

Explicit Proxy Mode –

В этом режиме на пользовательском ПК должен быть явно задан адрес прокси сервера. Есть ряд подходов к настройке параметров Прокси:

Ручная настройка – администратор или пользователь должен в ручную указать параметры Proxy Server в настройках браузера

Proxy Auto Configuration – данный подход предполагает что браузер узнает о настройках прокси автоматически. Это возможно сделать несколькими путями:

Настройка прокси через групповые политики Microsoft Active directory

Авто определение Proxy браузером – в этом случае браузер сам выполняет поиск Proxy Settings (Хранилищем таких настроек выступает PAC file)

Информация о местонахождении PAC file может быть получена тремя способами:

1. Manual – в ручную указать в браузере URL по которому находится PAC File

2. DHCP – URL с местонахождением PAC file может быть предан в DHCP опции 252, такой способ не поддерживает mozilla firefox

3. DNS – URL с местонахождением PAC File браузер получает выполнив nslookup имени wpad.dat

Note: В Explicit Proxy mode PAC файл используется также для организации отказоустойчивости

Transparent Mode –

При работе WSA в Transparent режиме поддерживается следующие варианты перенаправления трафика:

WCCP – Web Cache Communication Protocol является предпочтительным методом перенаправления трафика. При использовании WCCP отказоустойчивость реализуется средствами самого протокола. Поддерживаете на: Cisco ASA/Cisco ISR/Cisco Catalyst

PBR – policy based routing. Может быть использован в случае отсутствия поддержки протокола WCCP

Layer 4 Switching – использования L4 информации для Switching Decision (Перенаправляем трафик идущий на TCP port 80 на интерфейс к которому подключен WSA). Данный метод также имеет встроенную поддержку механизмов отказоустойчивости

Layer 7 Switching – аналогичен предыдущему варианту, за тем исключением что для Switching Decision может быть использована L7 информация

Interfaces –

WSA имеет интерфейсы различных типов:

Management – интерфейс может использоваться для Out-Of-Band и для In-Band Management (В этом варианте интерфейс является также Proxy портом)

Proxy – интерфейсы используются для принятия и отправки запросов пользователей

Tap – интерфейсы используемы для работы функционала Layer 4 Traffic Monitor

Варианты развертывания –

1. Single interface

2. Two Interfaces

3. Management PC

Интернет

Интернет

Интернет

Наиболее простой вариант. Для всего трафика используется Management Interface

Используется в случаи когда внешний интерфейс WSA нужно вынести в DMZ, данная схема может быть настроена через Wizard

Наиболее сложная схема, в этом случаи появится отдельная таблица маршрутизации для Management трафика. P2 не настраивается из Wizard

Внимание Вопрос!

В каком году компания Cisco купила компанию IronPort?

Ответы высылать на email:vopros@skillfactory.ru

Основные элементы конфигурации

Для начала работы с устройством важно понимать три основных элемента конфигурации:

Authentication Realm – набор серверов аутентификации. Realm могут создавать двух видов:

Identity – механизм идентификации того кто пытается получить доступ к Web ресурсам для дальнейшего применения политик доступа. В качестве критерия Identity могут использоваться:

Note: Проверка Identity идет с верху в низ, Identity требующие аутентификации должны находится в конце списка.

Authentication Realm – Для запросов попавших под эту Identity требуется аутентификация

IP address – адреса хостов и сетей Proxy Port – порт на proxy на который было принято

соединение User Agent – значение поля User Agent в HTTP

сообщении. Поддерживаются несколько стандартных (Windows Update/Adobe Update/IE/…)

Access Policy – элемент конфигурации привязывающей к Identity правила Acceptable Use Control/Objects/Application Visibility and Control/ Malware Protection

В случае если используется Identity требующая аутентификацию доступны варранты:

All authenticated users – все пользователи прошедшие аутентификацию в рамках указанной Identity

Groups and Users – только определенные пользователи и группы

Note: Проверка политик проходит с верху в низ. Более специфичные политики необходимо указывать Выше.

Web безопасность мобильных устройств

Для мобильных устройств применимы те же подходы к направлению трафика на WSA как и для стандартных ПК:

Explicit Proxy Mode – при использовании WSA в этом режиме настройки Proxy должны быть указаны на устройствах либо в ручную либо использую авто настройку через PAC файлы. С точки зрения наиболее популярах мобильных операционных систем:

iOS – поддерживаются оба варианта. Для каждого Wi-Fi подключения может быть задан Proxy Server или указано получать настройки Proxy автоматически:

Android – Ситуация боле сложная:A. Можно использовать специальные Proxy приложения доступные на PlayMarket, эти

приложения требуют root прав для своей работы, не 100% работоспособныB. Если Root права отсутствуют Proxy может быть настроен в браузерах Opera Mobile и

Mozilla. В этом случае настройки proxy распространяются только на браузер

C. Настройка Proxy для Wi-Fi (Есть не во всех устройствах)Настройки -> Беспроводные сети -> Настройки WiFi -> [Menu] -> Дополнительно -> Прокси-сервер WiF

Transparent Mode – при таком варианте во всех мобильных операционных системах должна корректор работать аутентификация в браузерах, но некоторые приложения могут не работать

Note: Если принципиальна защита пользователя а не его аутентичность для мобильных устройств можно создавать identity не требующие аутентификации

Развёртывание Cisco WSA Virtual Appliance

Virtual Appliance поставляется в виде OVF file. Совместимые Hypervisors: VMware ESXi versions 4.x and 5.0 Официально поддерживаемой аппаратной платформой является Cisco UCS

На устройства доступен запрос 45 дневной trial license

https://tools.cisco.com/SWIFT/LicensingUI/demoPage

1. Указываем OVF file

2. Выполняем настройку виртуальной машины

3. Завершение настроек

Настраиваем интерфейсы. Management пытается по умолчанию получить адрес по DHCP. Если это не удается назначается стандартный IP – 192.168.42.42

Начло работы с устройством –

По завершению развертывания для доступа на устройство используются – Login:adminPassword:ironportПри первом входе на устройство через консоль будет выводится сообщение о том что необходимо запустить System Setup Wizard по адресу:

При переходе по этой ссылке происходит переадресация на https:// и порт 8443 (Management Port WSA по умолчанию)

Установка файла лицензии – происходит через SSH сессию 1. Copy Paste содержимого XML файла лицензии в CLI

2. Загрузка из файла который уже находится на устройстве (Требуется предварительно положить файлик по FTP в нужную папку)

System Setup Wizard

1. Запуск Wizard 2. Сетевые настройки

3. Настройки Безопасности

Создание NTLMSSP Realm

Для создания NTLMSSP Realm необходимо иметь следующую информацию: IP address/FQDN хотя бы одного сервера AD Имя домена Имя папки в которой WSA создаст объект компьютер (Default - Computers) Логин/Пароль пользователя с правами достаточными для создания объекта типа компьютер

Топология Демонстрационного Стенда

192.168.32.0/24.1

.2.3

WSA AD/DNS Test PC 1 Test PC 2

Интернет

.5 .8

Полезные ссылки:

Cisco IronPort AsyncOS 7.7.5 for Web User Guide

http://www.cisco.com/en/US/docs/security/wsa/wsa7.7.5/user_guide/WSA_7.7.5_UserGuide.book.pdf

Cisco IronPort AsyncOS 7.7 for Security Management User Guide

http://www.cisco.com/en/US/docs/security/security_management/sma/sma7.7/SMA_7.7_User_Guide.pdf

Cisco Content Security Virtual Appliance Installation Guide

http://www.cisco.com/en/US/docs/security/content_security/virtual_appliances/Cisco_Content_Security_Virtual_Appliance_Install_Guide.pdf

И напоследок:

https://www.youtube.com/user/SkillFactoryVideo

http://www.slideshare.net/SkillFactory