1 / 28

Cisco Self Defending Networks Rozwiązanie bezpieczeństwa - Cisco ASA

Cisco Self Defending Networks Rozwiązanie bezpieczeństwa - Cisco ASA . Sebastian Rutkowski RRC Poland Bezpieczne sieci komputerowe z Cisco. Firewall. IPS. Usługi Usługi kontroli dostępu Inspekcja pakietów Walidacja protokołów Precyzja egzekwowania polityki.

shandi
Download Presentation

Cisco Self Defending Networks Rozwiązanie bezpieczeństwa - Cisco ASA

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Cisco Self Defending NetworksRozwiązanie bezpieczeństwa - Cisco ASA Sebastian Rutkowski RRC Poland Bezpieczne sieci komputerowe z Cisco

  2. Firewall IPS UsługiUsługi kontroli dostępu Inspekcja pakietów Walidacja protokołów Precyzja egzekwowania polityki UsługiSzeroki zakres wykrywanych ataków Precyzyjna inspekcja pakietów Kontrola aplikacji Dynamiczna reakcja na zdarzenie Ataki na dostęp do danychNadużycia w sesjach L4Skanowanie portówBlokowanie wrogich pakietów Ataki w L7DOSZnane ataki Ochrona „wgłąb”..to zwykle wiele źródeł kosztów i problemy w zarządzaniu IPSec/SSL VPN Network AV UsługiSSL VPN IPSec VPN Zarządzanie użytkownikami Zarządzanie grupami Klastrowanie UsługiOchrona antywirusowa Spyware, Adware, Malware- Wykrywanie i kontrola Ochrona przed wrogim kodem Ruch tunelowanyOgraniczona ochrona Zainfekowany ruch Wiele oddzielnych usługxWiele lokalizacji= Koszty alternatywne w bezpieczeństwie

  3. Elastyczne usługi kontroli użytkowników, podsieci • Zaawansowane usługi śledzenia sesji i aplikacji • Wirtualne ściany ogniowe i usługi stateful firewall L2 Cisco PIXASA Feature Set = 7.0 • VPNy S2S ze wsparciem dla routingu OSPF i usług QoS • Obsługa połączeń C2S z klastrowaniem, narzucaniem • polityki i weryfikacją bezpieczeństwa klienta • Zintegrowany dostęp SSL VPN Cisco VPN 3000ASA Feature Set = 4.1 • Architektura usługpozwalająca rozszerzanie wydajnościi funkcjonalności przez karty rozszerzeń • Skuteczne usługiIPS (in-line) z korelacją zdarzeń i • zaawansowanymi usługami oceny zagrożeń Cisco IPS ASA Feature Set = 5.1 • Identyfikacja i blokowanie nowych zagrożeń w ciągu 15 • minut od wykrycia i opracowania uaktualnień • Automatyczne wykrywanie i oczyszczanie hostów Cisco Outbreak Prevention • Wsparcie zarówno dla IPv4 jak i IPv6 • Wsparcie dla 802.1Q iroutingu OSPF • Tryby pracy active/active i active/standby Usługi sieciowe Cisco Adaptive Security ApplianceZbiór funkcjonalności

  4. Cisco ASAModele 5510 / 5520 / 5540 • Kompletne rozwiązanie bezpieczeństwa • Do: • 64,000 – 400,000 jednoczesnych sesji • 200-650Mbit/s ruchu nieszyfrowanego • 100-325Mbit/s ruchu szyfrowanego • 100-450 Mbit/s ruchu poddawanego inspekcji IPS przez moduł SSM • 150-5000 sesji IPsec VPN/WebVPN • 256-1024MB RAMu • Opcja obsługi do 50 wirtualnych kontekstów i 200 VLANów • Opcje A/A i A/S

  5. Cztery porty 10/100/1000 Obudowa 1U Jeden port 10/100 do zarządzania Architektura bezdyskowa Slot rozszerzeń na karty usługowe/akceleratory Pojedynczy zasilacz AC lub DC Port konsoli i AUX Dwa porty USB 2.0 (certyfikaty/system plików) LED: Zasilanie, status, aktywność,VPN, CF CF do przechowywania systemu konfiguracji i logów Cisco ASAPorty, interfejsy i moduły

  6. Cisco ASARóżne modele – różna wydajność

  7. CISCO ASA 5510 / 5520 / 5540 MODUŁY SSM 7 7 7

  8. Cisco ASAModuły SSM-AIP 10 i 20 • Wysokowydajne moduły przeznaczone do świadczenia usług IPS (sonda IPS v5.1): • ponad 1400 sygnatur • anomalie w ruchu • silnik regexp • Rozwiązania oparte o Linuksa • Port 10/100/1000 do diagnostyki/zarządzania • Oparte o flash • Pracują w oparciu o kod IPS 5.1, w trybie in-line lub podsłuchu ruchu • Zarządzalne przez CLI (sesje) lub ADSM

  9. Cisco ASAPo co SSM-AIP? • Dla HTTP: • kod PIX 7.0 obejmuje kontrolę tylko 18 dopuszczonych metod • SSM-AIP umożliwia elastyczne dodawanie nowych • URL w HTTP: • kod PIX 7.0 sprawdza długość (wartość całkowitą) • SSM-AIP wykrywa naruszenia na podstawie nie tylko długości ale też w kontekście tego co się dzieje w sieci • Ruch inny niż dozwolony (tunelowanie): • kod PIX 7.0 pozwala lub nie na tunelowanie ruchu • SSM-AIP pozwala wskazać konkretne protokoły, które będą/nie będą mogły być tunelowane • Logicznie instancje mogą pracować w różnych trybach: in-line i promiscuous

  10. SSM-4GE • 4 interfejsy GE widoczne jako G1/0 – G1/3, konfigurowalne identycznie z zabudowanymi w ASA5500 • Porty RJ45/SFP widoczne są pod tymi samymi oznaczeniami, ale dostępny jest tylko jeden z nich • Wydajność pomiędzy portami G1/x jest porównywalna do wydajności pomiędzy portami zabudowanymi, natomiast pomiędzy G0/x a G1/x - wyższa

  11. Content Security Control (SSM-CSC) Zunifikowana walka z zagrożeniami

  12. Antywirus:Ochrona antywirusowa online na urządzeniu AntySpyware:pełna ochrona przed „robakami”, trojanami, które mogą doprowadzić do przerw w pracy, utraty danych Czysty plik Ochrona antywirusowa i Anty-Spyware Kluczowe cechy ASA 5500 i moduł CSC • Zwiększenie ochrony • Eliminacja zagrożenia przed wejściem do sieci. • Ochrona przed zakłóceniami pracy • Zmniejszenie kosztów „czyszczenia” komputerów • Automatyczne 24x7 uaktualnienia z minimalną pomocą „administratora” Desktop Internet Desktop Desktop Serwer plików i WWW Serwer pocztowy DMZ

  13. Filtrowanie i blokowanie URL:blokowanienieopdowiedniej treści w celu zwiększenie produktywności i zaoszczędzenia zasobów sieci Filtrowanie treści: obsługa lub blokowanie poczty email w oparciu o słowa kluczowe lub frazy Anti-Phishing: ochrona przed utratą tożsamości i ochrona przed utratą poufnych informacji przez blokownie danych pochodzących od znanych „pishing-related sites” HTTP:/ URL & CONTENT FILTERING Zaawansowane filtrowanie treściFiltrowanie URL / Treścii Anti-Phishing Kluczowe cechy ASA 5500 i moduł CSC Desktop • Zwiększa produktywność pracowników • Lepsze wykorzystanie pasma sieci • Zmniejsza szansę wystapienia problemów • Zmniejsza ryzyko identyfikacji i kradzieży lub wycieku informacji. Internet Desktop HTTP:/ Desktop

  14. AntySpam:usuwanie niechcianych emailiprzeddotarciem do serwera pocztowego. Source: Brightmail, May 2004 Zintegrowana ochrona przed spamem Kluczowe cechy • Oszedność zasobów IT • Odciążenie zasobów sieci od przetwarzania niechcianej poczty ASA 5500 and CSC-Module Desktop Internet Desktop Desktop

  15. Security Services Module (CSC-SSM)Podsumowanie • Usługi Anti-X dla portów HTTP, FTP, SMTP i POP3. • Zawiera technologię Trend Micro’s InterScan VirusWall • Jednolite zarządzanie i monitoring przez Cisco ASDM lub zarządzenie przez Trend TMCM • Zintegrowane rozwiązanie dla SMB w „jednym” pudełku.

  16. Cisco ASA 55x0 Anti-X EditionLicencjonowanie • CSC-10 otrzymujemy z licencją dla 50 użytkowników • Możliwy upgradedo 100, 250, i 500 • CSC-20 otrzymujemy z licencją dla 500użytkowników • Możliwy upgradedo 750, i 1000 • CSC-10, 20 otrzymujemy z licencją Basic Anti-X • Anti-virus • Anti-spyware • File Blocking • Upgrade ‘Plus’ dodaje: • URL filtering/blocking • Anti-phishing • Anti-spam • CSC-10,20 zawiera roczną subskrypcją Trend Micro • SMARTnet jest wymagany dla serwisu sprzętu

  17. CISCO ASA ...a funkcjonalność VPN: IPsec i WebVPN 17 17 17

  18. Dostawca Wymaga dostepu do baz danych Zdalne biuro Wymagany stały dostęp Pracownik „czasowy” Wymagany dostęp do wybranych aplikacji Pracownik w domu Wymagany stały dostęp Usługi Cisco VPN w ASA 5500 Scenariusze dostępu: Zarządzany dostęp z dowolnego miejsca Połaczenia Site-to-Site Pełny lub ograniczony dostęp dla partnerów Skalowalność Możliwość implementacji wielu usług Zintegrowany Load Balancing Stateful Failover QoS, VLANs, Routing Public Internet ASA 5500 Converged VPN, Firewall, and Threat Mitigation: Inspekcja/Kontrola sesji VPN Zintegrowana ochrona przed złośliwym działaniem Jedno urządzenieVPN Jednolite zarządzanie użytkownikami Dostarczaw pełni bezpieczny dostęp dla wszystkich użytkowników z różnych lokalizacji

  19. (Web|SSL)VPN • Funkcjonalność umożliwia zestawianie połączeń VPN w oparciu o zwykłą przeglądarkę obsługującą SSL • ASA terminuje połączenie i przekazuje odszyfrowane połączenie do zdefiniowanych lub osiągalnych usług • Wsparcie dla usług CIFS, MAPI, port forwardingu, proxy e-mail, filtrowania treści oraz ograniczania dostępu przez ACLki

  20. Dostęp do zasobów firmy „bez klienta” ASA 5500 • Możliwość uzyskania dostepu do zasobów sieci przez przeglądarkę sieciową. • Transformacja zawartości Web content transformation dostrarcza kompatybilności ze stronami z Java, ActiveX, złoożonymi HTML i JavaScript • Obsługa wielu rodzaju przeglądarek. • Jednolite i efektywne dostarczanie aplikacji dla Citrix • Portal dla użytkowników łatwy do modyfikacji i zarządzania

  21. Dostęp do zasobów firmy SSL VPN Client ASA 5500 • Pełny rozwiąznie IPSec i SSL VPN w jednej platformie • Łatwa administracja– dynamiczne „ściąganie” SSL VPN klienta jest zarządzane centralnie • Szybkie działanie

  22. (Web|SSL)VPNLicencjonowanie – wersja 7.1

  23. CISCO ASA 5500 ...a konkurencja 23 23 23

  24. Przepustowość FW przy włączonychwszystkich sygnaturach 350 325 300 250 4k obiekty 198 200 16k obiekty Megabity na sek. 150 100 42 31 50 16 22 18 10 0 Cisco ASA 5520 CheckPoint VPN-1 FortiGate 1000 NetScreen 208 Ilość połączeń na sek.(wszystkie syg.) 7000 5881 6000 5000 4000 Połączenia na sek. 3000 1358 2000 626 432 1000 0 Cisco ASA 5520 CheckPoint VPN-1 FortiGate 1000 NetScreen 208 Rezultaty testów wydajności wg MiercomSeriaCisco ASA 5500 vs. Juniper, Check Point i Fortinet • Test: Wydajność FW przy włączonej usłudze IPS • Rezultaty: • ASA to 198/325 Mbit/s jednoczesnych usług FW i IPS - Najlepsze wyniki konkurencji – 42 Mbit/s • ASA obsługuje 5881 jednoczesnych połączeń przechodzących przez fwNajlepsze wyniki konkurencji – 1358.

  25. Rezultaty testów wydajności wg MiercomSeriaCisco ASA 5500 vs. Juniper, Check Point i Fortinet c.d. Efektywność Threat Prevention : Wykryte i zatrzymane ataki • Test: Efektywność Systemu Przeciwdziałania Zagrożeniom – wirusy/robale, spyware, itd. • Rezultaty: • ASA wykrywa i zatrzymuje 100% zagrożeń prezentowanych przez Miercom • ASA jako jedyna zatrzymuje zagrożenia typu „Backdoor” • Ogólnie ASA oferuje ponad 2x większą efektywność usługi IPS 100% 80% 60% 40% 20% 0% Wirusy/Robaki Backdoory Peer-2-Peer IM Spyware Ogółem Ataki - różne ASA-5520 NetScreen Check Point Fortinet

  26. MATERIAŁY

  27. Gdzie warto zajrzeć • Cisco SAFE: http://www.cisco.com/go/safe • Cisco Foundation Protection Advantage http://www.cisco.com/go/fdm • Rozwiązania bezpieczeństwa Cisco: http://www.cisco.com/go/security • Cisco ASA: http://www.cisco.com/go/asa • Raport Miercom dotyczący rozwiązań bezpieczeństwa: http://www.miercom.com/dl.html?fid=20050914&type=report • Szkolenia z konfiguracji IPS 5.0+: http://www.cisco.com/web/learning/le31/le29/configuring_ips_4200_series_sensors.html

More Related