Upload
cisco-russia
View
377
Download
2
Embed Size (px)
Citation preview
Построение защищенного Интернет-периметра
Руслан Иванов Системный инженер-консультант
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
О чём пойдёт речь? • Из чего состоит Интернет-периметр? • Защита Интернет-пиринга • Размещение МСЭ и сегментация • Next-Generation Firewall • WEB безопасность и контентная фильтрация • Next-Generation IPS • Проверка зашифрованного SSL трафика • Безопасность Email • Защита от вредоносного ПО (Malware) • Идентификация пользователя и его аттрибуты • Анализ сетевого трафика • Локализация инцидентов и устранение угроз • Открытый код и различные утилиты
2
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Программа сессии как модель развития
3
Инфраструктура и протоколы
Сетевой МСЭ
МСЭ нового поколения
IPS нового поколения
Безопасность WEB и контентная фильтрация
Мобильный и удаленный доступ
SSL расшифровка и инспектирование
Безопасность электронной почты
Защита от вредоносного кода
(AMP)
Атрибутика пользователя Анализ сетевого
трафика Реагирование на инциденты
Открытый код и утилиты
На каком этапе развития находится моя организация?
Составные блоки Интернет периметра
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Вспомним прошлое – Smart Business Architecture (SBA)
5
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Полный интернет и WAN периметр ISP-1 ISP-2
DMZ сети
Интернет пиринг
Удаленный доступ (VPN) Периметральный МСЭ
WAN WAN
периметр
WAN Сервисы
Внутренняя сеть
Внутренняя сеть
Внутренняя сеть
Кампус
12
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Ориентированный на угрозы подход • Главная проблема это УГРОЗЫ.
• Какие ценные ресурсы мне нужно защитить? – Интеллектуальная собственность, данные пользователей и заказчиков, – Сетевая и вычислительная инфраструктуры
• Каковы возможные угрозы? – Внутренние и внешние, структурированные и неструктурированные
• Как я обнаруживаю и блокирую возникающие угрозы? – Вот о чем пойдет речь на периметре Интернет
• Каков мой подход к расследованию инцидентов? – Буду ли я ждать, когда проблемы проявятся сами?
7
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Начальный дизайн периметра для этой сессии
8
ISP-1 ISP-2
DMZ сети
Интернет пиринг
Удаленный доступ (VPN) Периметральный МСЭ
Внутренняя сеть
Связи интернет периметра | Пиринг
9
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Интернет периметр – Пиринг
10
ISP-1 ISP-2
DMZ сеть
Интернет пиринг
Удаленный доступ (VPN) Периметральный МСЭ
Внутренняя сеть
Главные вопросы:
1. Моя сеть физически безопасна? – Доступ в оборудованию под контролем
2. Я понимаю свою сеть: – Имею дело со сложной инфраструктурой
3. Мои протоколы в безопасности? – Подсистема управления, контрольная и
подсистема данных
4. Я знаю атакующего: – Цели и мотивы, защита от DDOS
5. Я знаю что делать: – Действия по отражению атак
Мы здесь
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
“Зачем кому либо взламывать мой роутер?”
11
Enterprise Сеть
mbehring
Интернет
FTP
BRKSEC-2345 Critical Infrastructure Protection (2013 London)
tunnel
PBR2: от Сервера к PC à Next hop tunnel
PBR1: от PC к серверу à Next hop tunnel
FTP Сервер
Клиент
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Принципы и процедуры физической безопасности • Обнаружение попыток захвата устройства – НУЖНО обнаружение логина авторизованного админа
– НУЖНО обнаружение bruteforce SSH – НУЖНО обнаружение password recovery – НУЖНО обнаружение замены устройства (UDI) – НУЖНО проверять целостность устройства регулярно • OS, конфигурация, файловая система
• Невозможность обнаружения прослушки (врезки) – НУЖНО защищать все протоколы контрольной подсистемы (BGP, IGP, LDP)
– НУЖНО защищать все протоколы управления (SSH, SNMP) • Только атаки на подсистему данных доступны
• После каждой перезагрузки, link-down событие, и т.д. – Устройство могло быть заменено; – Мог быть сделан Password recovery; – Проверить систему:
• Unique Device Identifier (UDI), OS, конфигурацию, enable пароль
• После неожиданного логина администратора: – Сменить пароль на этого админа; – Проверить систему:
• OS, конфигурацию, enable пароль
• Регулярно (Пример: раз в 24часа) – Проверка системы:
• OS, конфигурацию, enable пароль
12
AAA server
Скрипты
Syslog server
Вы могли пропустить событие!
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Проблемы нарушения целостности ПО сегодня
Boot ROM
ОС
Конфигурация
ЗАГРУЖАЕТ
ИСПОЛЬЗУЕТ
Уникальный идентификатор устройства (UDI)
• Неправильная настройка • Отсутствие безопасности • Саботаж
• Уязвимость протоколов • Уязвимость ОС • Rootkit
• Физические атаки
• Физические атаки
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Проблемы нарушения целостности ПО завтра
14
Boot ROM
ОС с ЭЦП производителя
Конфигурация с контрольной суммой
ПРОВЕРКА НА КОРРЕКТНОСТЬ, ЗАГРУЗКА
Сначала проверяем, потом используем
Безопасный уникальный идентификатор устройства (SUDI) (802.1AR)
Физически безопасно
• SUDI дает глобально уникальную, безопасную идентификацию устройства – Защита от подмены
• Безопасный процесс загрузки – Защита от подмены Boot ROM – Защита от изменения OS
• Безопасные методы программирования – Уменьшает количество уязвимостей
• Процедуры апгрейда
http://standards.ieee.org/findstds/standard/802.1AR-2009.html
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Проверка целостности на Роутерах
15
Используйте команду verify /md5 привилегированного режима EXEC для проверки целостности образа IOS в файловой системе, также можно предоставить контрольный хэш для команды
Router# verify /md5 sup-‐bootdisk: c7600rsp72043-‐advipservicesk9-‐mz.151-‐3.S3 .....<output truncated>.....Done! e383bf779e137367839593efa8f0f725
Router# configure terminal Router(config)# file verify auto Настройте file verify auto Cisco IOS функцию
gdb *, test *, tlcsh *, service internal, attach *, remote *, ipc-‐con *, if-‐con *, execute-‐on *, show region, show memory *, show platform *
Наличие следующих команд обязательно должно привести к расследованию. Символ звездочки * означает любой последующий текст.
IOS поддерживает ЭЦП образов ОС на некоторых платформах. Верификация целостности и аутентичности бинарного файла командой show software authenticity file.
http://www.cisco.com/web/about/security/intelligence/integrity-assurance.html
Router# show software authenticity file c1900-‐universalk9-‐mz.SPA.152-‐4.M2 File Name : c1900-‐universalk9-‐mz.SPA.152-‐4.M2 Image type : Production Signer Information Common Name : CiscoSystems Organization Unit : C1900 Organization Name : CiscoSystems Certificate Serial Number : 509AC949 Hash Algorithm : SHA512 Signature Algorithm : 2048-‐bit RSA Key Version : A
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Проверка целостности на ASA Доступно с 9.3(2) релиза. Отобразить ЭЦП информацию относительно конкретного образа можно командой show software authenticity running в привилегированном режиме EXEC. Вывод показывает: • Имя файла в памяти. • Тип образа. • Информация подписи, включая:
– common name, имя разработчика ПО.
– organization unit, аппаратная платформа развертывания.
– organization name, владелец образа ПО.
• Серийный номер сертификата, который является номером сертификата для ЭЦП.
• Алгоритм хеширования, который показывает тип алгоритма хеширования использованного для верификации ЭЦП.
• Алгоритм подписи, идентифицирует алгоритм использованный для верификации подписи.
• Версия ключа использованного для верификации.
asa5506-‐X# show software authenticity running Image type : Development Signer Information Common Name : abraxas Organization Unit : NCS_Kenton_ASA Organization Name : CiscoSystems Certificate Serial Number : 5448091A Hash Algorithm : SHA2 512 Signature Algorithm : 2048-‐bit RSA Key Version : A Verifier Information Verifier Name : ROMMON Verifier Version : Cisco Systems ROMMON,1.0.16
ASAv# show software authenticity running Image type : Release Signer Information Common Name : abraxas Organization Unit : ASAv Organization Name : CiscoSystems Certificate Serial Number : 5476833D Hash Algorithm : SHA2 512 Signature Algorithm : 2048-‐bit RSA Key Version : A
ROMMON Trust Anchor
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Ваша сеть физически безопасна? • Невозможно гарантировать физическую безопасность сети
• Password recovery, замена устройства, sniffing, wiretaps, man-in-the-middle
• Безопасные подсистемы контроля и управления • Безопасность подсистемы данных (IPsec) • Мониторинг изменения на устройствах (reload) • Проверка UDI (sh license udi) • Проверка корректности конфигурации устройства • Процедуры изоляции взломанных устройств • Процедуры возврата контроля над взломанными устройствами
17
Source: Jan Matejko, „Stańczyk” (1862)
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 18
Лучшие практики по защите IOS • Руководство Cisco по защите IOS Devices
– Обезопасить операционные процедуры • Мониторинг Security Advisories • Использовать AAA, Централизованный сбор логов • Использовать безопасные протоколы
– Подсистема управления (SSH, SNMP, NetFlow) • Отключить неиспользуемые сервисы, Password Security • Обезопасить сессии управления • Thresholding for Memory, CPU, Leaks • Management Plane Protection (MPP)
– Контрольная подсистема (ICMP, BGP, RSVP) • Control Plane Policing (CoPP), Protection (CPPr), HW Rate-Limiters
– Подсистема данных (продуктивный трафик) • Защита от спуфинга с помощью uRPF, IPSG, Port Security, DAI, ACLs • Traffic Access Control
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Я понимаю мою сеть. Пример Cisco. • Офисы более чем в 100+ странах • 15 миллиардов потоков в день • 125,000 оконечных устройств • 150,000+ серверов всех типов • 40,000 роутеров • 1,500 лабораторий • 350 IPS сенсоров / 1.5M сигналов тревоги (alert) • 12 основных точек выхода в Интернет • Один CSIRT аналитик на каждые 7000 сотрудников
19
ОГРОМНАЯ СЛОЖНОСТЬ! „3D COMPLEXITY CUBE”
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Мои протоколы безопасны Перехват BGP префикса
10.200.1.1
AS20
AS10 AS100
AS60
AS50
AS30
AS200 20
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Отсутствие встроенной безопасности в BGP апдейтах (1/3)
До 24th Feb’08 (UTC):
AS36561 (YouTube) анонсирует 208.65.152.0/22.
2008
21
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
24th Feb’08, 18:47 (UTC): AS17557 (Pakistan Telecom) начинает анонс 208.65.153.0/24. PT’s вышестоящий провайдер
AS3491 (PCCW Global) распространяет анонс дальше. Маршрутизаторы по всему миру получают анонс и весь трафик Youtube уходит в Пакистан
Отсутствие встроенной безопасности в BGP апдейтах (2/3)
22
2008
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Отсутствие встроенной безопасности в BGP апдейтах (3/3)
24TH Feb’08, 21:23 (UTC): AS36561 анонсировал 208.65.153.0/24 с 20:07 (UTC). Фиктивный анонс от AS17557 (Pakistan
Telecom) был убран, и RIS пиры теперь имеют маршруты только к AS36561 http://www.ripe.net/news/study-youtube-hijacking.html
23
2008
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 24
BGP Secure InterDomain Routing (SIDR)
• Валидация между Enterprise и Сервис-провайдером важна, BGP полагается на транзитивную модель доверия • BGP спикер делает запрос в Базу Валидированных Префиксов, загружаемую с кеш-сервера • Resource Public Key Infrastructure (RPKI) кеш сервера производят аутентификацию BGP префиксов • BGP спикер удостоверяется что префикс пришел из нужной AS
Периодическое
Routing Registry RIPE, ARIN […]
Service Provider
Prefix ↔ AS Mapping cache
BGP best path selection
Аттестация Префикс
принадлежит AS
Верификация И кеширование
Использовать Влиять на BGP политику
IOS 12.2(1)S IOS XE 3.5 IOS XR 4.2.1
Удаленный репозитарий
Локально кешированная база
обновление
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Utilizing SIDR – Valid, Unknown, Invalid Routes
25
router bgp 64726 bgp always-‐compare-‐med bgp log-‐neighbor-‐changes bgp deterministic-‐med no bgp default ipv4-‐unicast bgp rpki server tcp 217.193.137.117 port 30000 refresh 60 bgp rpki server tcp 2001:918:FFF9:0:250:56FF:FE15:159 port 8282 refresh 60 bgp rpki server tcp 2001:918:FFF9:0:250:56FF:FE15:159 port 30000 refresh 60 bgp rpki server tcp 217.193.137.117 port 8282 refresh 600 neighbor 2001:428:7000:A:0:1:0:1 remote-‐as 64209 neighbor 2001:428:7000:A:0:1:0:1 description "Towards More Secure Future"
ASR#show bgp sum BGP router identifier 66.77.8.142, local AS number 64726 BGP table version is 11688639, main routing table version 11688639 Path RPKI states: 38286 valid, 1574331 not found, 4558 invalid 404300 network entries using 59836400 bytes of memory 1617175 path entries using 103499200 bytes of memory
RFC 6810 The Resource Public Key Infrastructure (RPKI) to Router Protocol. RFC 6811 BGP Prefix Origin Validation
AS 64726
AS 64209
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Я знаю злоумышленника, он меня DDOS-ит сейчас
26
2014
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Внутренняя сеть
Описание распределенного отказа в обслуживании (DDoS)
• Атаки отказа в обслуживании имеют разную природу – Атаки уровня приложений
• Отражаются средствами сетевой и хостовой безопасности • Блокируются NGFW, NGIPS, AMP и другими L7 технологиями ИБ
– Объемные DDoS атаки • Должны обрабатываться на SP Edge или Core • Слишком поздно их блокировать на стороне Enterprise DC/DMZ
• DDoS типы основанные на типе используемого трафика – L3/L4 атаки
• ICMP Flood, TCP SYN, UDP Frag – Distributed Reflection DoS (DrDoS) Amplification attacks
• DNS, NTP, CharGen, SNMP • UDP-Based, Подмена адреса источника, Усиление трафика в 500+ раз
– L7 атаки • HTTP GET/POST, SIP, SSL
27
Мы здесь
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Варианты защиты от DDOS
• В зависимости от сложности используемой технологии – Черная дыра с помощью Remote Triggered BlackHoling (RTBH)
• BGP фиктивный маршрут анонсируется • Маршрут в null0 или маршрут для сетевой аналитики • RFC 3882, RFC 5635 (D/RTBH и S/RTBH) • Весь трафик для жертвы дропается (хороший и плохой) • Ущерб ограничен, однако жертва все равно не доступна • Избирательно с помощью BGP FlowSpec
– Match L3/L4 Source, Destination, Port, Size, QoS Rate-Limit – RFC 5575 Dissemination of Flow Specification Rules – draft-ietf-idr-flow-spec-v6-06, initially draft-raszuk-idr-flow-spec-v6-01
– Отсев с заворачиванием на инфраструктуру очистки • Централизовано, распределенно, смешанные модели развертывания • Распознавание хорошего и плохого трафика • Только плохой трафик к жертве отбрасывается • Избежание ущерба в случае успешной очистки • AntiDDoS системы высоко интеллектуальны для отражения сложных атак
28
очистка
null0
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Удаленно активируемая черная дыра (RTBH) Маршрутизация адреса или префикса в “битоприемник” на окраине сети
– Ограничивает проникновение зловредного трафика в защищенную сеть и расходование ее ресурсов. – Destination blocking временно блокирует весь трафик до точки назначения до момента остановки атаки – Source blocking блокирует весь трафик от атакующего хоста или подсети на периметре
Базовые функции маршрутизации распространяют сигнал блокировки по административным доменам
– Возможность задания произвольного next-hop в BGP, Null0 статический маршрут, и Reverse Path Forwarding (RPF)
– Активирующее устройство вносит правило в iBGP домен маршрутизации, блокирующие маршрутизаторы отсекают трафик согласно правилу
ASA может работать как активатор или блокировщик трафика черной дыры начиная с софта 9.2(1)
Правила блокировки Безопасная сеть
Offending Traffic
29
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
RTBH Trigger on ASA Example
PE
ip verify unicast source reachable-‐via any interface Null0 no ip unreachables router bgp 65001 neighbor 192.168.1.1 remote-‐as 65001 ip route 192.0.2.1 255.255.255.255 Null0
route-‐map RTBH set ip next-‐hop 192.0.2.1 set origin igp set community no-‐export router bgp 65001 neighbor 192.168.100.1 remote-‐as 65001 redistribute static route-‐map RTBH
route Null0 10.1.1.1 255.255.255.255
Create a route map to set the next hop for any matching advertised
routes to the “blackhole” IP address
Redistribute all static routes using the route map for blackholing
10.1.1.1
Any traffic recursively routed to the blackhole IP address will be dropped
“Soft” uRPF ensures that each source IP address has a valid return route
3. Subsequent packets from 10.1.1.1 are dropped at the
Provider Edge router Advertise a static route to the attacker using the route-map
BGP
1. Establish BGP peering between the ASA and perimeter router with
RTBH configuration 2. ASA administrator identifies 10.1.1.1 as a malicious host,
configures a block rule
30
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
DDoS Mitigation – BGP RTBH @Cisco
• OER – Optimized Edge Routing
• Also known as Performance Routing (PfR)
• Immediately install null0 route
• Avoid costly ACL and FW rule change
• Used with iBGP and uRPF
• No additional config involved
• Configure a /32 null0 route:
31
route x.x.x.x 255.255.255.255 null0
iBGP peering
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Борьба с DDoS с помощью фильтрации
32
Заворот Возврат Обнаружение
Collector
Фильтрация
VSM Appliance
– Обнаружение, идентификация аномального поведения в сети и уведомление оператора. Отсылка SNMP interface polling, IPFIX, sFlow, Netflow v5/v9 (FNF) на Коллектор.
– Заворот (offRamp) действие по перенаправлению трафика, направленного жертве на устройство фильтрации. BGP FlowSpec, Policy-Based Routing, Specific Route Injection
– Фильтрация действие, производимое устройством очистки, которое отделяет легитимный трафик от атаки и блокирует атаку. Scrubber Appliance или Router Module (ASR9k VSM)
– Возврат (onRamp) действие по возврату легитимного трафика в сеть и гарантия его доставки в точку назначения
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
DDoS сценарии борьбы
33
Внутренняя сеть
Размещение на периметре SP § Распределенные фильтры § Фильтрация трафика входящего в SP
§ Обслуживание клиентов, ЦОД, SP
ISP
Внутренняя сеть
ISP
Внутренняя сеть
ISP
Централизованное размещение в SP § Локальный и удаленный заворот (GRE) § Централизованная фильтрация HW ресурсами
§ Обслуживание клиентов, ЦОД, SP
Collector Collector
Collector
Scrubber
Scrubbing Center
Размещение на границе Enterprise § В точке пиринга § Обслуживание Enterprise клиента § Чистая труба не достижима
Может быть всегда включена с постоянным перенаправлением
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Партнерство Arbor Networks и Cisco • Peakflow SP (известный как Collector Platform CP)
– Собирает записи потоков – Обнаруживает аномальное поведение сети и поднимает тревогу – Может влиять на маршрутизацию, включая BGP маршруты в сеть – Поддерживает BGP FlowSpec как контроллер – Настраивает и мониторит удаленно TMS
• Peakflow SP Threat Management System (TMS) – Настраивается CP, получает перенаправленный траффик и производит углубленный анализ пакетов
– Отбрасывает пакета атаки и передает легитимные – Предоставляет живое средство мониторинга оператору – Отдельное устройство или модуль в Cisco ASR 9000 VSM
34
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Пиринг интернет периметра – Итоги Понимание защиты критической инфраструктуры
35
• Старый добрые лучшие практики сегодня важны как никогда – Целостность физической инфраструктуры, может ли быть гарантирована? – Целостность софта, атаки на ОС платформы продемонстрированы – Защита подсистем контроля, управления, передачи данных
• DDoS атаки это основная угроза в Интернет масштабе – Развивайте и развертывайте стратегию защиты от DDOS, говорите с ISP
• SP- или Enterprise сторона • Распределенная или централизованная • Черная дыра, отсеивание или фильтрация
– Когда идет атака уже слишком поздно быть неподготовленным
• Будьте добропорядочным членом Интернет сообщества – Не допускайте ошибке в конфигурации стать массивным хищением префикса – Наша сеть источник DDOS атаки!
Enterprises сети могут многому научиться на ошибках провайдеров
Размещение МСЭ и сегментация
36
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Интернет периметр – МСЭ
37
ISP-1 ISP-2
DMZ сети
Интернет пиринг
Удаленный доступ (VPN)
Периметральный МСЭ
Внутренняя сеть
Основные вопросы:
1. Используется ли отказоустойчивость? – Failover, Etherchannel, Routing, VPN HA
2. Моя сеть правильно сегментирована? – Применение логики уровней безопасности
интерфейсов
3. МСЭ проводит фильтрацию с отслеживанием статуса (Statefull inspection):
– Эффективное управление IPv4|v6 ACLs
4. Я понимаю мои NAT|PAT правила: – Сложность конфигурации со временем растет
МЫ ЗДЕСЬ
BRKSEC-2020 Firewall Deployment
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Используется отказоустойчивость МСЭ • Предполагается использование ASA в режиме routed single-context
Active-Standby Failover паре. Failover это наиболее зрелая HA технология на сегодняшний день: – Stateful субсекундный файловер будет использован – Файловер со статусом интерфейсов и IPSEC шифрованием с 9.1(2)
• Отказоустойчивость уровня интерфейса Etherchannel (1G/10G) – Наилучшая отказоустойчивость в стекированных/VSS/vPC топологиях – Подход с “Redundant interfaces” также может быть использован
• ASA OSPF FastHello 9.2.(1), NSF Graceful Restart 9.3(1) – Настройте OSPF dead interval выше чем failover unit polltime, иначе
OSPF связность отвалится раньше переключения на резер
• Важные новшества в ASA 9.3(2) – Interface Zones, включает настоящий мультихоуминг интерфейсов
(напоминает IOS ZBFW) – До 8 интерфейсов на Traffic зону – Equal-Cost Multi-Path (ECMP) routing – Включает до 8-ми статических/динамических маршрутов на зону
38
outside2 outside1
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Применение кластеризации ASA на периметре интернет • Общая стратегия отказоустойчивости ASA следующая: – Привести функциональность кластера к уровню Failover – Применить его как единственный механизм HA со временем
– Нет нужды иметь несколько механизмов отказоустойчивости, кластеризация лучше failover по всем аспектам
• Ответ ДА кластеризации может быть дан если: – Требуется честный Active/Active HA с производительностью, масштабированием и надежностью
– Требуется чисто МСЭ функционал, отсутствуют требования к натированию в больших масштабах
– Избегайте централизованных функций как site-to-site VPN, multicast, многие движки инспектирования
– Понимать некоторые неподдерживаемые функции, такие как удаленный доступ (RA VPN), advanced MPF protocol inspections, WCCP, BTF и UC Security
39
BRKSEC-3032 Advanced ASA Clustering Deep Dive
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
ASA multihoming с интерфейсными зонами безопасности
• Маршрутизация в ASA основывалась на логических интерфейсах (named) до версии 9.3(1) – Каждый IP префикс может быть маршрутизирован в один логический интерфейс; – Equal Cost Multi Path (ECMP) поддерживает до 3-х next hops на один логический интерфейс;
– Ассиметричная маршрутизация требует открытых ACL и TCP State Bypass; – ASR-groups могут помочь в Active/Active failover, но требуют перенаправления.
• Назначайте множественные логические интерфейсы в зону безопасности ASA 9.3(2): – Same-prefix ECMP поддержка до 8 next hops на всех интерфейсах в зоне; – Ответный трафик совпадает с любым соединением из любого интерфейса зоны; – Прозрачный переход на другой исходящий интерфейс в рамках зоны в случае отказа;
– Нет поддержки unequal cost load-balancing с помощью EIGRP variance на сегодняшний день.
inside
outside2 outside1
outside1 outside2 inside 1 inside 2
In Zone
Out Zone
40
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Мой Интернет-периметр сегментирован должным образом • ASA Уровни безопасности интерфейсов (0-100)
– Фундаментальный логический алгоритм – Применен ко всем физическим и субинтерфейсам – Далее будут соответствовать NGFW/NGIPS зонам – Inside доверенный с security-‐level 100 – Outside не доверенный с security-‐level 0 – Баланс между сложностью и изоляцией – Создайте множество DMZ security-‐level <1-99> – Организуйте и изолируйте сервера в группы для ограничения распространения возможной угрозы в случае взлома
• ASA Security-level логика: – От более доверенным к менее доверенным зонам по умолчанию трафик разрешен
– От менее доверенных к более доверенным интерфейсам трафику требуется ACL
– По умолчанию no nat-‐control разрешает движение трафика без соответствующего NAT правила.
41
ISP-1 ISP-2 Internet Peering
RA VPN
Inside Networks
outside dmz37
dmz50
dmz75 inside
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Мой МСЭ выполняет инспекцию протоколов • ASA это специализированный комплекс для обработки больших ACL
– ASA5585-X SSP60 мастабируется до 2M+ ACE – Расширенные и Глобальные унифицированные ACL с объектами используются для правил МСЭ
– ACL используют реальные IP адреса в правилах
• Долговременная стратегия поддержки ACL: – Комментарии в ACL помогают понять назначение их настройки – Объекты и ASDM/CSM GUI может помочь в настройке – Утилита Packet Tracer utility является крайне полезной
• Расширенные ACL выходят за рамки традиционных IP, Портов и ICMP: – Пользователи и Группы (IDFW с CDA и Active Directory) 8.4(2) – DNS FQDN 8.4(2) объекты – TrustSec SGACL с SXP 9.0(1), тегирование в 9.3(1) – Смешивание типов объектов в одной записи ACE - мощная функция
• ASA 9.3(2) представляет функцию ACL Config Session: – Транзакции с подтверждением 9.1(5) – Свободное изменение настроек в рамках сессии транзакции – Перекрестные ссылки позволяют менять использованные объекты
42
object-‐group user asausers user CISCO\gmikolaj user-‐group CISCO\\group.chambers access-‐list IDFW_ACL extended permit ip object-‐group-‐user asausers any any access-‐group IDFW_ACL global
Пользователь и группа с Identity объектной группой IDFW Глобальный ACL
Основанный на FQDN расширенный интерфейсный ACL
object network sarmatia fqdn warsaw.emea.cisco.com object network google fqdn www.google.com object-‐group network search-‐engine-‐group network-‐object google access-‐list FQDN_ACL extended permit tcp object sarmatia object-‐group search-‐engine-‐group eq 443 access-‐group FQDN_ACL in interface dmz44
object-‐group security objgrp-‐sg-‐hr-‐mgrs security-‐group tag 1 object-‐group security objgrp-‐sg-‐hr-‐network security-‐group tag 2 access-‐list HR_ACL permit ip object-‐group-‐security objgrp-‐sg-‐hr-‐mgrs any object-‐group-‐security objgrp-‐sg-‐hr-‐network
Основанный на SGT TrustSec SGACL
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
• МСЭ может стать узким горлом если неправильно подобран по производительности – МСЭ не является заменой anti-DDOS решению.
• Понимайте свои ACL: – Документируйте правила МСЭ – Производите регулярные аудиты правил – Правила с нулевыми совпадениями
• Зачем они здесь? • Тяжелее перейти на новое оборудование, неся за собой сотни ненужных правил • Потенциал создания дыр в будущем из-за боязни удалить правила
– Правила выхода изнутри наружу более лояльные чем требуется • Мертвые порты/протоколы не используемые бизнесом
– Правила, настроенные не в том месте • Пользуйтесь STATELESS правилами на маршрутизаторе периметра • Переходите от грубой фильтрации к тонкой
– Сегментация выполнена неверно • Открытие всех стандартных портов делает контроль неэффективным
– Используйте утилиты управления с умом для поддержания ACL в приемлемом масштабе
43
access-list 102 permit udp 126.183.90.85 0.0.0.255 eq 3256 114.53.254.245 255.255.255.255 lt 1780 access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611 access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt
4765 71.219.207.89 0.255.255.255 eq 606 access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005 access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199
access-list 102 deny udp 130.237.66.56 255.255.255.255 lt 3943 141.68.48.108 0.0.0.255 gt 3782 access-list 102 deny ip 193.250.210.122 0.0.1.255 lt 2297 130.113.139.130 0.255.255.255 gt 526 access-list 102 permit ip 178.97.113.59 255.255.255.255 gt 178 111.184.163.103 255.255.255.255
gt 959 access-list 102 deny ip 164.149.136.73 0.0.0.127 gt 1624 163.41.181.145 0.0.0.255 eq 810 access-list 102 permit icmp 207.221.157.104 0.0.0.255 eq 1979 99.78.135.112 0.255.255.255 gt 3231
access-list 102 permit tcp 100.126.4.49 0.255.255.255 lt 1449 28.237.88.171 0.0.0.127 lt 3679 access-list 102 deny icmp 157.219.157.249 255.255.255.255 gt 1354 60.126.167.112 0.0.31.255 gt 1025
access-list 102 deny icmp 76.176.66.41 0.255.255.255 lt 278 169.48.105.37 0.0.1.255 gt 968 access-list 102 permit ip 8.88.141.113 0.0.0.127 lt 2437 105.145.196.67 0.0.1.255 lt 4167 access-list 102 permit udp 60.242.95.62 0.0.31.255 eq
3181 33.191.71.166 255.255.255.255 lt 2422 access-list 102 permit icmp 186.246.40.245 0.255.255.255 eq 3508 191.139.67.54 0.0.1.255 eq 1479 access-list 102 permit ip 209.111.254.187 0.0.1.255 gt 4640 93.99.173.34 255.255.255.255 gt 28
access-list 102 permit ip 184.232.88.41 0.0.31.255 lt 2247 186.33.104.31 255.255.255.255 lt 4481 access-list 102 deny ip 106.79.247.50 0.0.31.255 gt 1441 96.62.207.209 0.0.0.255 gt 631
access-list 102 permit ip 39.136.60.170 0.0.1.255 eq 4647 96.129.185.116 255.255.255.255 lt 3663 access-list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388 access-list 102 permit ip 167.100.52.185 0.0.1.255 lt
4379 254.202.200.26 255.255.255.255 gt 4652 access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851 access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392
access-list 102 permit ip 96.174.38.79 0.255.255.255 eq 1917 1.156.181.180 0.0.31.255 eq 1861 access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794 access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419
161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255 lt 4548 87.112.10.20 0.0.1.255 gt 356 access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327
access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243 255.255.255.255 lt 2286 access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191
access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255 eq 3721 access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716
access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533 access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539 access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310
64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134 255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754 access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt
3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428
access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511 access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255
lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993
access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848 access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255
lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175
access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462 access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158
255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878 access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467 access-list 102 permit udp 126.183.90.85 0.0.0.255 eq
3256 114.53.254.245 255.255.255.255 lt 1780 access-list 102 deny icmp 203.36.110.37 255.255.255.255 lt 999 229.216.9.232 0.0.0.127 gt 3611 access-list 102 permit tcp 131.249.33.123 0.0.0.127 lt 4765 71.219.207.89 0.255.255.255 eq 606
access-list 102 deny tcp 112.174.162.193 0.255.255.255 gt 368 4.151.192.136 0.0.0.255 gt 4005 access-list 102 permit ip 189.71.213.162 0.0.0.127 gt 2282 74.67.181.47 0.0.0.127 eq 199 access-list 102 deny udp 130.237.66.56 255.255.255.255
lt 3943 141.68.48.108 0.0.0.255 gt 3782 access-list 102 deny ip 193.250.210.122 0.0.1.255 lt 2297 130.113.139.130 0.255.255.255 gt 526 access-list 102 permit ip 178.97.113.59 255.255.255.255 gt 178 111.184.163.103 255.255.255.255
gt 959 access-list 102 deny ip 164.149.136.73 0.0.0.127 gt 1624 163.41.181.145 0.0.0.255 eq 810 access-list 102 permit icmp 207.221.157.104 0.0.0.255 eq 1979 99.78.135.112 0.255.255.255 gt 3231
access-list 102 permit tcp 100.126.4.49 0.255.255.255 lt 1449 28.237.88.171 0.0.0.127 lt 3679 access-list 102 deny icmp 157.219.157.249 255.255.255.255 gt 1354 60.126.167.112 0.0.31.255 gt 1025
access-list 102 deny icmp 76.176.66.41 0.255.255.255 lt 278 169.48.105.37 0.0.1.255 gt 968 access-list 102 permit ip 8.88.141.113 0.0.0.127 lt 2437 105.145.196.67 0.0.1.255 lt 4167 access-list 102 permit udp 60.242.95.62 0.0.31.255 eq
3181 33.191.71.166 255.255.255.255 lt 2422 access-list 102 permit icmp 186.246.40.245 0.255.255.255 eq 3508 191.139.67.54 0.0.1.255 eq 1479 access-list 102 permit ip 209.111.254.187 0.0.1.255 gt 4640 93.99.173.34 255.255.255.255 gt 28
access-list 102 permit ip 184.232.88.41 0.0.31.255 lt 2247 186.33.104.31 255.255.255.255 lt 4481 access-list 102 deny ip 106.79.247.50 0.0.31.255 gt 1441 96.62.207.209 0.0.0.255 gt 631 access-list 102 permit ip 39.136.60.170 0.0.1.255 eq
4647 96.129.185.116 255.255.255.255 lt 3663 access-list 102 permit tcp 30.175.189.93 0.0.31.255 gt 228 48.33.30.91 0.0.0.255 gt 1388 access-list 102 permit ip 167.100.52.185 0.0.1.255 lt 4379 254.202.200.26 255.255.255.255 gt 4652
access-list 102 permit udp 172.16.184.148 0.255.255.255 gt 4163 124.38.159.247 0.0.0.127 lt 3851 access-list 102 deny icmp 206.107.73.252 0.255.255.255 lt 2465 171.213.183.230 0.0.31.255 gt 1392 access-list 102 permit ip 96.174.38.79 0.255.255.255
eq 1917 1.156.181.180 0.0.31.255 eq 1861 access-list 102 deny icmp 236.123.67.53 0.0.31.255 gt 1181 31.115.75.19 0.0.1.255 gt 2794 access-list 102 deny udp 14.45.208.20 0.0.0.255 lt 419 161.24.159.166 0.0.0.255 lt 2748 access-list 102 permit udp 252.40.175.155 0.0.31.255
lt 4548 87.112.10.20 0.0.1.255 gt 356 access-list 102 deny tcp 124.102.192.59 0.0.0.255 eq 2169 153.233.253.100 0.255.255.255 gt 327 access-list 102 permit icmp 68.14.62.179 255.255.255.255 lt 2985 235.228.242.243
255.255.255.255 lt 2286 access-list 102 deny tcp 91.198.213.34 0.0.0.255 eq 1274 206.136.32.135 0.255.255.255 eq 4191 access-list 102 deny udp 76.150.135.234 255.255.255.255 lt 3573 15.233.106.211 255.255.255.255
eq 3721 access-list 102 permit tcp 126.97.113.32 0.0.1.255 eq 4644 2.216.105.40 0.0.31.255 eq 3716 access-list 102 permit icmp 147.31.93.130 0.0.0.255 gt 968 154.44.194.206 255.255.255.255 eq 4533
access-list 102 deny tcp 154.57.128.91 0.0.0.255 lt 1290 106.233.205.111 0.0.31.255 gt 539 access-list 102 deny ip 9.148.176.48 0.0.1.255 eq 1310 64.61.88.73 0.0.1.255 lt 4570 access-list 102 deny ip 124.236.172.134
255.255.255.255 gt 859 56.81.14.184 255.55.255.255 gt 2754 access-list 102 deny icmp 227.161.68.159 0.0.31.255 lt 3228 78.113.205.236 255.55.255.255 lt 486 access-list 102 deny udp 167.160.188.162 0.0.0.255 gt
4230 248.11.187.246 0.255.255.255 eq 2165 access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428 access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511
access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945 access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116 access-list 102 deny udp 242.4.189.142 0.0.1.255 eq
1112 19.94.101.166 0.0.0.127 eq 959 access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993 access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848
access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878 access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216 access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26
207.4.250.132 0.0.1.255 gt 1111 access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175 access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462
access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384 access-list 102 permit icmp 136.237.66.158 255.255.255.255 eq 946 119.186.148.222 0.255.255.255 eq 878
access-list 102 permit ip 129.100.41.114 255.255.255.255 gt 3972 47.135.28.103 0.0.0.255 eq 467
Лучшие практики фильтрации с отслеживанием статуса
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Я понимаю мои NAT | PAT правила
44
• ASA nat-‐control механизм по умолчанию выключен – Фундаментален для понимания натирования
– На текущий момент не используется – При включении потребуется NAT правило для любого соединения
– Пакет не подпадающий под NAT правило будет отброшен
• Обработка правил NAT идет сверху вниз, как и ACLs (Rule ID)
– Manual NAT (Twice NAT) оценивается в первую очередь, в порядке очередности • Source и destination NAT в одной строке • Двусторонняя трансляция • One-to-one, one-to-many, many-to-many и many-to-one
– Automatic NAT (Auto NAT или Object-based) обрабатывается следующим • Одно правило на объект, когда Manual NAT не требуется
– Auto NAT порядок приоритета: • Статические правила идут до динамических • Малые объекты (хосты) в приоритете перед большими (сети) • Меньшие по значению префиксы (начиная с первого IP октета) • Наименьшие имена объектов в алфавитном порядке
– After-Auto Twice NAT Оценивается последним • Избегайте где возможно
object network STATIC_MAPPING range 198.51.100.50 198.51.100.60 object network INSIDE_SERVERS range 192.168.1.35 192.168.1.45 nat (inside,outside) static STATIC_MAPPING
Static Object-based NAT
object network INSIDE_WEB_SERVER host 192.168.1.55 nat (inside,outside) static 198.51.100.75 service tcp 80 8080
Static Object-based PAT
object network INSIDE_NETWORK subnet 192.168.0.0 255.255.0.0 nat (inside,outside) dynamic NAT_POOL interface
Dynamic Object-based PAT
object network myInsideNetwork subnet 10.1.2.0 255.255.255.0 object network DMZnetwork1 subnet 209.165.201.0 255.255.255.224 object network PATaddress1 host 209.165.202.129 nat (inside,dmz) source dynamic myInsideNetwork PATaddress1 destination static DMZnetwork1 DMZnetwork1
Twice (Manual) NAT with Dynamic Source PAT
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
ASA версия 9.3
Более сорока новых функций в новых версиях 9.3(1) и 9.3(2)!
Наиболее важные для Интернет периметра:
• Сессиии конфигурации с транзакционным подтверждением ACL и перекрестными ссылками;
• Интерфейсные Traffic Zones, ассиметричная маршрутизация и резервные маршруты;
• Equal-Cost Multi-Path (ECMP) до 8-ми next-hops среди интерфейсов в одной зоне;
• BGP и OSPF Non-Stop Forwarding (NSF);
• Количество Bridge-Group в прозрачном режиме увеличилось с 8 до 250 на контекст;
• ASA Image Signing and Verification;
• TrustSec L2 поддержка INLINE SGT;
• ASA RESTful API 1.0 для конфигурации и управления.
Новые функции и улучшения
45
Повышение видимости и контроля с NGFW
46
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Интернет периметр – Next-Generation Firewalls
47
ISP-1 ISP-2
DMZ Сети
Интернет пиринг
Удаленный доступ (VPN) Периметральный МСЭ
Внутренняя сеть
МЫ ЗДЕСЬ
BRKSEC-2028 Deploying Next-Generation Firewall with ASA and FirePOWER Services
Основные вопросы:
1. Я контролирую нужный трафик: – NGFW установка в сети и перенаправление потоков
2. Мой NGFW больше чем просто игрушка: – Использование уровня риска приложений и
релевантности
3. Контекст это намного больше чем маркетинг: – Знание пользователя и атрибутов
4. Я уменьшаю область возможной атаки: – Применение NGFW политик доступа
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Я контролирую нужный трафик с NGFW • Перенаправление трафика на NGFW HW/SW модуль достигается ASA MPF Service Policies
• Может заворачиваться по interface, source / destination, protocol ports и ASA пользователям
• В Multi-context Mode, разные ASA FirePOWER политики могут назначаться каждому контексту
• Fail-open и Fail-closed сценарии отказа
• Пассивный режим monitor-only, на модуль посылается копия трафика. Применимо для демо и развертываний в режиме IDS с функциями NGIPS.
• Перенаправление всего трафика на inline NGFW инспектирование
48
policy-‐map global_policy class class-‐default sfr fail-‐open
service-‐policy global_policy global
FirePOWER NGFW Module
ASA Firewall
Conforming traffic Неразрешенный траффик
Inline NGFW Развертывание
Пассивный мониторинг (Demo/PoC/IDS)
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
ASA FirePOWER Services путь пакета FPS
Receive PKT
Ingress Interface
Existing Conn
ACL Permit
Match Xlate
Inspections sec checks
NAT IP Header
Egress Interface
L3 Route
L2 Addr
XMIT PKT
ОТБРОСИТЬ ОТБРОСИТЬ
7 8 9 10 11
НЕТ
ДА
ОТБРОСИТЬ ОТБРОСИТЬ
НЕТ
ДА
ОТБРОСИТЬ
НЕТ НЕТ НЕТ
НЕТ ДА ДА
3 2 1 4 5 6
ДА
FirePOWER NGFW модуль
ASA МСЭ
• ASA модуль обрабатывает все входящие пакеты по ACL, Таблице соединений, Нормализации и NAT до отправки трафика на FirePOWER Services модуль (HW модуль на ASA 5585-X, SW на 5500-X).
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
ASA FirePOWER Функциональное описание
IP Фрагментация
IP инспекция опций
TCP Перехват
TCP Нормализация
ACL
NАТ
VPN шлюз
Маршрутизация
Фильтрация Ботнет Трафика
Защита от вредоносного ПО
Фильтрация файлов по типу Видимость и контроль приложений
NGIPS
URL категории/репутация
Захват файлов
ASA МСЭ
FirePOWER NGFW модуль
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Мой NGFW это больше чем игрушка • Исследование процесса пассивного обнаружения и обследования с помощью
Context Explorer: OS and Traffic by IP and User
51
• Понимание трафика хостов по Risk, Intrusion Events, Business Relevance and Web Application
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
NGFW риски приложений и релевантность • Понимание используемых приложений в FireSIGHT Application Dashboard
52
• Понимание приложений по уровню риска и бизнес релевантности на интернет периметре
Риск приложений – вероятность того что приложение может нарушать Вашу политику безопасности. Измеряется от очень низкого до очень высокого. • Peer-to-peer приложения имеют очень высокий риск.
Бизнес релевантность – вероятность того что приложение используется для бизнес целей, а не отдыха. Измеряется от очень низкого до очень высокого. • Приложения для игр имеют очень низкую релевантность бизнесу
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Знание контекста – много больше чем маркетинг • Видимость активности пользователей
53
• Мы обсудим необходимость контекста глубже чуть дальше в данной сессии
• Изучение статистики по пользователям
• Уникальные пользователи по времени
• Траффик по пользователям
• Разрешенные соединения по пользователям
• Запрещенные соединения по пользователям
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Я уменьшаю площадь атаки с политикой доступа
54
Интерактивно блокировать Специфические протоколы приложений в DMZ финансовых служб
Разрешить приложения низкого риска от пользователей в Интернет
Разрешить протоколы Удаленного управление на DMZ сервисы
Блокировать протоколы приложений VPN/Tunnel, Анонимайзеры от пользовательских групп
Запретить Приложения с высоким риском от пользовательских групп
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 55
Интернет Периметр NGFW – Итоги
• Требуется интегрированный NGFW и быстрый сетевой МСЭ на Интернет периметре с производительностью от 100 Мбит/c до 15 гигабит/c инспекции трафика? – ASA FirePOWER Services с 5500-X, 5585-X сериями - наилучший выбор; – Все ASA функции вплоть до 9.3(2) поддерживаются, надежные функции сетевого МСЭ; – Single и multi-context режим, маршрутизируемый и прозрачный режимы; – Может служить как интегрированное IPSEC/VPN головное устройство в проектах – Все функции версии 5.4 FirePOWER NGFW за исключением расшифровки SSL (запланировано в
6.0)
• Требуется отдельный целевой NGFW с производительностью до 120 гигабит/c инспектируемого трафика? – FirePOWER Appliances установленные сразу после периметрального МСЭ; – Различные варианты форм-факторов и моделей, конфигураций интерфейсов с производительностью от 50 мегабит/с до 120 гигабит/c;
– Все функции версии 5.4 FirePOWER включая расшифровку SSL.
• FireSIGHT Management Center обязательный компонент для обоих случаев.
Выбираем нужную технологию
Поиск иголки в стоге сена с NGIPS защитой от угроз
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 57
Периметральная система защиты от вторжений нового поколения Основные вопросы:
1. Знаю ли я масштаб угрозы? – Процесс обнаружения и изучения хостов
2. Защищен ли я от актуальных угроз? – Тюнинг NGIPS для покрытия угроз
3. Я могу сфокусироваться на важном: – Использование уровней воздействия
4. Когда происходит вторжение я об этом знаю:
– Индикаторы компрометации (IoC)
ISP-1 ISP-2 Интернет Пиринг
Удаленный доступ (VPN) Периметральный МСЭ
Внутренняя сеть
МЫ ЗДЕСЬ
DMZ Networks
BRKSEC-2762 The FirePOWER Platform and Next-Generation Network Security
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Я знаю масштаб моих угроз
NGIPS с FireSIGHT Management Center постоянно строит и обновляет базу знаний хостовых профилей за счет пассивного мониторинга.
База хостовых профилей включает: – IP Address, MAC, Hostname, NetBIOS name – Device (Hops), Host Type, Last Seen – Current User, User History – Operating System Vendor/Product/Version – Client Protocol, Version, Application – Server Vendor, Version, Protocol, Port, Application – Web Applications, Version, Content – White List Violations, Type, Reason, White List – Malware Detections, Time, Threat, File Name, File Type – Mapped Vulnerabilities, Name, Remote, Port
58
ISP-1 ISP-2 Интернет Пиринг
Удаленный доступ
Периметральный МСЭ
Внутренняя сеть
BRKSEC-3034 Advanced Sourcefire Network Security Analytics: Finding the needle in the haystack
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Работа с хостовыми профилями (1/3) Понимание Host OS отчета и Таблицы хостов, применение эластичного поиска.
59
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Работа с хостовыми профилями (2/3) Анализ отдельных машин в Host Profile
60
• Базовая информация о хосте: IP Address, NetBIOS Name, Hops from NGIPS, MAC Address, Host Type, Last Seen, Current User
• Индикаторы компрометации(IoC)
• Обнаруженная ОС (OS) • Обнаруженные серверные приложения на хосте
• Обнаруженные приложения
• Последние 24 часа пользовательской активности
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Работа с хостовыми профилями (3/3) Анализ отдельных машин в Host Profile (продолжение)
61
• Аттрибуты хоста, критичность используется в правилах корреляции
• Обнаруженные протоколы
• Нарушения белого списка. Специальный тип корреляционного события, показывающий нарушения в операционной системе, протоколах приложений, веб приложениях и протоколах разрешенных к запуску в подсети.
• Уязвимости, данная секция перечисляет уязвимости, основываясь на ОС, серверных сервисах и приложениях обнаруженных на хосте. – Если Вы импортируете уязвимости из QualysGuard сканера, хостовые профили включат в себя найденные уязвимости.
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Я защищен от актуальных угроз FireSIGHT даёт рекомендации для настройки политики предотвращения вторжений
• Вы можете выбрать разрешить ли системе изменить сигнатурный набор в соответствии с рекомендациями. Система добавит сигнатурный уровень правил, доступный только для чтения - FireSIGHT Recommendations layer.
Рекомендации - какие сигнатуры NGIPS должны быть включены или выключены в сигнатурном наборе, основываясь на информации из карты сети
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Сфокусируйтесь на главном с флагами воздействия
63
Флаг воздействия
Действия администратора Зачем?
Действуйте мгновенно, уязвимо
Событие соответствует уязвимости обнаруженной на хосте
Расследуйте, Потенциально уязвимо
Релевантный порт открыт или протокол используется, но нет информации об уязвимости
Для информации, На данный момент не уязвимо
Релевантный порт не используется или протокол не используется
Для информации, Неизвестная мишень
Сеть мониторится, но хост неизвестен
Для информации, Неизвестная сеть Сеть не мониторится
1
2
3
4
0
• Для каждого события NGIPS, FireSIGHT добавляет иконку воздействия
• Цвет показывает корреляцию между данными NGIPS, данными обследования сети и информацией об уязвимостях.
• Расследование NGIPS событий вторжений в FireSIGHT Security Analysis Dashboard
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 64
Когда происходит взлом я об этом узнаю Система NGIPS коррелирует различные типы событий для обнаружения вероятно взломанных хостов в сети мониторинга:
– События вторжений – Security Intelligence – События соединений – Файловые события – События обнаружения вредоносного ПО
Хосты с помеченным активным флагом IoC отображаются в колонке IP Address в виде compromised host иконки вместо иконки нормального хоста
Хост может вызвать множественное срабатывание IoC тегов. Вы можете пометить хост как IoC resolved, что удалит тег IoC с хоста.
Секция хостового профиля The Indications of Compromise показывает все IoC теги для хоста.
IoC Taxonomy
https://blogs.rsa.com/understanding-indicators-of-compromise-ioc-part-i/
Indicator of Compromise (IoC) „in computer forensics is an artifact observed on a network or in operating system that with high confidence indicates a computer intrusion”
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 65
Работа с IoC в FireSIGHT – пример CnC (1/2) • Сильно пораженная сеть с многочисленными IoC видимыми в Context Explorer
• Углубимся и исследуем CnC Security Intelligence IoC события
• IoC итоговая таблица в меню Хостов
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 66
Работа с IoC в FireSIGHT – пример CnC (2/2) • Обследуем подозрительный хостовый профиль
• Расследуем первое увиденное соединение CnC
• Далее задействуем AMP Network, хостовую траекторию и аналитику сетевых данных (решение CTD) для поиска событий malware и потоков для указанных хостов/пользователей
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Добиваемся высокого уровня безопасности с NGIPS • NGIPS это устройство с глубоким отслеживанием статуса
– CPU-интенсивная природа IPS может создать отказ в обслуживании при отсутствии должной настройки и позиционировании
– Соответствие производительности – Нужно выбирать соответствующую платформу – Маркетинг против реальной производительности с полным покрытием и защитой от угроз
• Проблемы, связанные с размещением NGIPS: – Размещение снаружи МСЭ приведет к большому количеству “шума” вместо полезных событий – Понимание потоков трафика, Критичные ресурсы идентифицированы и защищены
• Общие для NGIPS трудности эксплуатации: – Немногие организации имеют 24x7 NOC/SOC в режиме активного мониторинга; – Редкие организации подстраивают политики, приводит к большому количеству “шума” и FP; – Редкие организации имеют экспертизу для реакции на инцидент и его расследования, мониторинг иногда лучше отдать в аутсорс;
– Жизнь с “шумом” и реактивное использование IPS, смерти подобно!
67
BRKSEC-3126 Advanced Configuration and Tuning of FirePOWER Services for ASA Modules and FirePOWER Appliances
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
FirePOWER | FireSIGHT ПО версии 5.4
• Инспектирование ранее не испектированного: – Интегрированная расшифровка SSL на FirePOWER Appliances; – Пре-процессор по типам файлов; – поддержка декомпрессии Adobe SWF/Flash PDF;
• Упрощенное и улучшенное обнаружение: – Unicode поддержка в именах файлов; – Геолокация и Security Intelligence в правилах корреляции; – Protected Rule в правилах сигнатур.
• Гибкость платформ и пропускная способность – LACP агрегация каналов; – Поддержка Vmware Tools в FireSIGHT; – 10Gbps виртуальные интерфейсы; – Многочисленные интерфейсы управления.
Новые NGFW и NGIPS функции и улучшения
68
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Next-Generation Intrusion Prevention @Cisco
• 350+ Cisco IPS сенсоров развернуто сегодня (4200 семейство)
• 1.5M alarm в день
• Миграция в процессе, под капотом: – FirePOWER Appliances – Network AMP Everywhere – TALOS Threat Intelligence – Contextual Analysis – Throughput and Capacity – API Integration
69
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 70
Интернет Периметр NGIPS – Итоги
• Требуется интегрированный NGIPS и быстрый сетевой МСЭ на Интернет Периметре с производительностью до 10 гигабит/c инспекции трафика? – ASA FirePOWER Services с 5500-X, 5585-X сериями - наилучший выбор; – Все ASA функции вплоть до 9.3(2) поддерживаются, надежные функции сетевого МСЭ; – Single и multi-context режим, маршрутизируемый и прозрачный режимы; – Может служить как интегрированное IPSEC/VPN устройство в проектах; – Все функции версии 5.4 FirePOWER за исключением расшифровки SSL.
• Требуется отдельный целевой NGIPS с производительностью до 60 гигабит/c инспектируемого трафика? – FirePOWER Appliances, установленные сразу после периметрального МСЭ, и возможность использовать SPAN;
– Различные варианты форм-факторов и моделей, конфигураций интерфейсов с производительностью от 50 мегабит/c до 60 гигабит/c;
– Все функции версии 5.4 FirePOWER, включая расшифровку SSL.
• FireSIGHT Management Center обязательная компонента для обоих случаев.
Выбираем нужную технологию
WEB безопасность и контентная фильтрация
71
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 72
Интернет Периметр Веб безопасность
Основные вопросы:
1. У меня есть Политика доступа в Интернет: – Пользователи знают ее и подписались под ней
2. Все пользователи четко идентифицированы:
– Используем знание контекста
3. Я защищен от угроз: – Множественные уровни защиты
4. Гостям дается на подпись политика пользования:
– WiFi дизайн в DMZ с веб-фильтрацией.
ISP-1 ISP-2
DMZ Networks
Интернет пиринг
Удаленный доступ (VPN)
Периметральный МСЭ
Внутренняя сеть
TALOS
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Опции контентной WEB фильтрации: NGFW
• ASA FirePOWER сервис NGFW – ASA 5500-X (SW) и 5585-X (HW модули) – ASA уже интегрирована на периметре – Трафик должен маршрутизироваться через NGFW
• Альтернатива, ASA работает как VPN агрегатор – Дополнительная функциональность в NGFW развертывании
– URL Фильтрация в политиках доступа • Категоризация и черные/белые списки • URL репутация
– Видимость приложений (NAVL Engine) • Детальная видимость приложений шире чем HTTP/HTTPS
– Геолокационные опции (GeoDB) – Пассивная идентификация пользователей с помощью
SFUA AD коннектора – Расшифровка SSL на ASA недоступно сейчас – Требуется FireSIGHT Management Center
73
ISP-1 ISP-2
DMZ Networks
Internet Peering
RA VPN Edge FW
Inside Networks
МЫ ЗДЕСЬ
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
У меня есть политика доступа в Интернет А пользователи о ней знают?
74
• Контроль приложений по: – Риску – Бизнес релевантности, – Типу – Категории – Тэгу – Пользовательским критериям
• Контроль URL по: – Категории (80+) – Репутация – Ручные URL объекты
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Контентная фильтрация с FirePOWER (1/2) Логируем URL с Высоким Риском для целей ИБ
75
Логировать Приложения с Высоким Риском для целей ИБ
Блокировать Не относящийся к работе контент
Блокировать Заблокированных пользователей
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 76
Контентная фильтрация с FirePOWER (2/2) Блокировать Запрещенные Приложения
Контроль за Провокационными URL категориями
Защитить финансовую группу от Высокого Риска
Заблокировать работу с Социальными Сетями
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 77
Опция контентной WEB фильтрации: Web Proxy ISP-1 ISP-2
DMZ сети
Интернет пиринг
Удаленный доступ VPN
Периметральный МСЭ
Внутренние сети
МЫ ЗДЕСЬ
• Web Security Appliance (WSA) – Специализированная ОС AsyncOS Физический/Виртуальный шлюз;
– Явный или прозрачный прокси, опции отказоустойчивости;
– HTTP, HTTPS, SOCKS, FTP, FTP через HTTP; – Фильтрация URL категорий; – Улучшенный контроль за Web приложениями; – Временные квоты и квоты объема, ограничение полосы стриминговых сервисов (YouTube и т.д.);
– Web репутация (WBRS); – Множество антивирусных движков на платформе (AV); – Улучшенная защита от Malware (AMP); – Интеграция внешнего DLP движка с ICAP; – Пассивная идентификация (TUI) с CDA и ISE; – SSO прозрачная идентификация (NTLM, Kerberos); – Интеграция AnyConnect Secure Mobility; – Расшифровка HTTPS доступна средствами шлюза; – Управление на шлюзе или централизованное через SMA.
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 78
Развертывание явного прокси с WSA Явный означает что клиенту он должен быть указан явно: • Настройки прокси в браузере (IP/port) • PAC файл
– Через AD и GPO; – Скриптом или вручную; – DHCP опция 252; – WPAD сервер.
Задание явного прокси: 1. Клиент обращается к ВЕБ сайту; 2. Браузер соединяется с WSA; 3. DNS разрешение выполняется на WSA
– A или AAAA запись возвращается (IPv4|v6); 4. МСЭ разрешает с WSA только ВЕБ трафик; 5. WSA соединяется к запрашиваемому сайту.
.
ISP-1 ISP-2
DMZ Networks
Internet Peering
RA VPN Edge FW
Inside Networks
WSA
1
DNS
4
2
3
5
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 79
Развертывание прозрачного прокси с WSA WCCPv2 между сетевым устройством и WSA:
– Может быть развернут как L2, так и L3 (GRE); – Направление по ХЭШУ (SW) или маске (HW); – Входящее или исходящее перенаправление; – Балансировка нагрузки и отказоустойчивость, сервис-группы.
Работа прозрачного прокси: 1. Разрешение DNS производится клиентом
– A или AAAA запись возвращается (IPv4|v6); 2. Клиент запрашивает ВЕБ сайт; 3. Браузер пытается с сайтом соединиться; 4. Сетевое устройство пересылает трафик на WSA
используя WCCP, WSA подменяет SYN/ACK в сторону клиента
– Сетевое устройство может быть: Роутер, МСЭ, коммутатор;
5. WSA проксирует запрос; 6. WSA инспектирует контент и возвращает клиенту.
ISP-1 ISP-2
DMZ Сети
Интернет пиринг
Удаленный доступ VPN Периметральный
МСЭ
Внутренние сети
WSA
1 DNS
4
2
3
5
6
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 80
Прозрачный прокси, важные особенности Что надо знать при развертывании ASA с WSA:
– ASA разрешает только redirect in; – Один WSA не может одновременно обслужить inside и DMZ зоны;
– Интерфейсные ACL проверяются до перенаправления трафика по WCCP;
– Можно использовать permit и deny внутри ACL перенаправления;
– Метод перенаправления основан на GRE. В данной секции мы будем использовать коммутатор уровня агрегации cat6k/sup2T как WCCP устройство
– Входящий L2 с маской – рекомендовано ( обработка в железе);
– Входящий L3 GRE с маской – рекомендовано (обработка в железе);
Для большего масштабирования используйте внешние балансировщики с привязкой сессий для фермы vWSA.
ISP-1 ISP-2
DMZ Сети
Интернет пиринг
Удаленный доступ (VPN)
Периметральный МСЭ
Внутренние сети
WSA
1 DNS
4
2
3
5
BRKSEC-3772 Advanced Web Security Deployment with WSA in IPv4 & IPv6 Networks
6
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Высокая безопасность с использованием WSA Web Security Appliance предлагает глубокую многоуровневую защиту • Web Reputation Scoring (WBRS) фундаментальный механизм • Применение Web Usage Controls (WUC)
– URL фильтрация по категориям (URL) и SafeSearch – Рекомендовано иметь Dynamic Content Analysis (DCA) включенным для лучших результатов.
• Используйте Layer 4 Traffic Monitor (L4TM) для видения угроз • Применяйте AUP с детальной видимостью приложений и их контролем (AVC)
– Контроль микроприложений, контроль полосы пропускания временные и квоты по объему • Используйте политики HTTPS раскрытия где возможно • Используйте системы борьбы с Malware основанные на сигнатурах (AV/AM)
– Sophos, McAfee, Webroot. Адаптивный сканер выбирает наилучший движок для сканирования • ИспользуйтеAdvanced Malware Protection (AMP)
– Файловая репутация, Песочница и ретроспективный анализ
81
TECSEC-2909 Web Security Best Practices Techtorial
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Web Security Appliance AsyncOS 8.5
• Advanced Malware Protection (AMP) – Фаза 2 – Возможность отправлять в песочницу PDF и Microsoft Office файлы – В дополнение к EXE файлам, поддерживаемым с Фазы 1.
• Отказоустойчивость с файловерными группами CARP
• Квоты по времени и объему данных – Основанные на количестве переданных данных(в байтах) и/или времени – Применимо к HTTP, HTTPS и FTP траффику – Настраиваемые уведомления пользователей (EUN) при приближении к границе квоты / превышении
– Настраивается в Политиках доступа и Decryption политиках
• Виртуальный SMA (Security Management Appliance) на ESXi 5.0, 5.1, 5.5
• ISE интеграция (Early preview).
Новые функции и улучшения
82
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Облачный прокси обзор: ASA CWS ASA коннектор (9.0 софт):
– Доступен на ASA 5500, 5500-X, 5585-X – Прозрачное развертывание на Интернет периметре – Поддержка Одно/Много контекстного режима ASA – HTTP и HTTPS траффик – Локальные белые списки для траффика
• Полезно для ОС, апдейтов ПО, AV/AS сигнатур – Автоматический файловер на резервный Tower – Не требуется установки выделенного HW или софта – Нет изменений в браузерах клиентов – Прозрачная идентификацию пользователей через CDA и
IDFW – AAA Правила пользовательской идентификации – ASA вставляет в CWS заголовки пользователей и группы • X-‐Scansafe отбрасываются CWS tower
– Расширяется до 7.5K пользователей за ASA
83
ISP-1 ISP-2
DMZ Networks
Internet Peering
RA VPN Edge FW
Inside Networks
http://www.cisco.com/c/dam/en/us/td/docs/security/web_security/scancenter/deployment/guide/cws_dg_asa-asav_101714.pdf
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
WSA внутри сети Cisco • Защита всей сети Cisco включая:
– Хосты и мобильные устройства – Удаленный доступ VPN – Внутренние лаборатории – DMZ Лаборатории – ЦОД
• Режим развертывания: – WCCPv2 перенаправление – Магистральные DMZ шлюзы – Отказоустойчивые пары на шлюз – Обычные веб порты – Репутационный анализ (WBRS)
84
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Malware блокируется за Один День: • 441K – Trojan Horse • 61K - Other Malware • 29K - Encrypted Files (monitored) • 16.4K - Adware Messages • 1K – Trojan Downloaders • 55 - Phishing URLs • 22 - Commercial System Monitors • 5 - Worms • 3 - Dialers
Cisco статистика WEB : • HTTP это 25% трафика + SSL 6% • 12.5 TB в/из за день • 330-360M веб запросов в день • 6-7M (2%) заблокировано
WSA Блокированные запросы: • 6.5M+ Malware sites blocked/day • 93.5% - Web Reputation • 4.5% - URL Category • 2% - Anti-Malware
WSA внутри сети Cisco
85
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 86
Интернет периметр безопасность WEB – Итоги
Зависит от цели, некоторые решения подходят больше:
• Локальное средство специализированное на контроль HTTP/HTTPS – Web Security Appliance специализированный комплекс WEB аналитики и контроля
• Требуется интегрированное средство с более чем только HTTP/HTTPS – ASA FirePOWER или выделенный отдельный FirePOWER appliance позади периметральной ASA для блокирования и контроля всех портов/протоколов
• Удаленная рабочая сила, мобильные пользователи – Cloud Web Security (CWS) для целостной безопасности вне офиса
Подбор нужной технологии
Работа с мобильными пользователями
87
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Мобильные пользователи и ландшафт безопасности
• Выбор технологии VPN – L2L IPSec FlexVPN
• Удаленные офисы IOS Routers • Домашний офис – CVO (Cisco Virtual Office)
– AnyConnect удаленный доступ VPN • Ноутбуки, PCs • Смартфоны, Планшеты, BYOD
– Безклиентный SSL VPN • Браузерный удаленный доступ • Доступ к порталу откуда угодно
• VPN шаблоны защиты трафика – Экономия полосы vs Защита
• Site-to-site (L2L) – Централизованный выход в интернет – Прямой выход в интернет филиалов(DIA)
• Мобильный удаленный доступ (RA) – Полное туннелированние
• Централизовано NGFW и WSA – Сплит-Туннель
• Централизованое NGFW • Облачное CWS
– Без туннеля • Облачное CWS
88
BRKSEC-3033 Advanced AnyConnect Deployment and Troubleshooting with ASA
BRKSEC-3053 Advanced Practical PKI for Remote Access VPN
BRKSEC-2881 VPN Remote Access with IOS & Introduction to FlexVPN
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Заворот VPN трафика на NGFW • ASA с FirePOWER Services служит как Remote-Access VPN
Headend • Многоуровневая зашита трафика:
– FW ACLs, NGFW, Web Security, NGIPS, AMP – Нет SSL инспекции на сегодняшний день
• AnyConnect 4.0 VPN Client – IPSec IKEv2 или SSL VPN (DTLS-based)
• Весь траффик туннелируется в центр, нет сплит-туннеля – Можно повысить целостность опцией Всегда-Работающего туннеля (Always-On)
– Включение до логина (SBL) применяется по необходимости • ISE может служить централизованным движком политик
– Применяйте политики авторизации (VLAN, ACL) – TrustSec SGT Применение для удаленных пользователей
• ASA 9.2 вместе с ISE 1.3
– Интеграция оценки состояния в ASA, поддержка RADIUS CoA
• AnyConnect 4.0 унифицированный NAC (Posture) Агент
89
ISP-1 ISP-2
DMZ Сети
Интернет пиринг
Удаленный доступ (VPN)
Периметральный МСЭ
Внутренние сети
МЫ ЗДЕСЬ
ISE
AD
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Заворот VPN трафика на WSA • ASA c FirePOWER Services служит как VPN шлюз
– Видимость приложений, NGIPS и AMP сервисы – Защита шире чем нежели только WEB на WSA
• WSA предоставляет сервисы WEB безопасности – Все сервисы WEB безопасности, описанные выше – Прозрачный или явный вид размещения – WCCPv2 выполняется на ASA или L3 коммутаторе – Доступно раскрытие HTTPS – Advanced Malware Protection (AMP) встроено
• Известно как модель развертывания AnyConnect Secure Mobility MUS (Mobile User Security) – Предоставляет честный SSO для удаленных пользователей
– ASA передает VPN идентификацию пользователя на WSA
– WSA не требуется производить аутентификацию дополнительно
90
ISP-1 ISP-2
DMZ Сети
Интернет пиринг
Удаленный доступ VPN
Периметральный МСЭ
Внутрненние сети
МЫ ЗДЕСЬ
http://www.cisco.com/c/dam/en/us/td/docs/security/wsa/wsa7-0/user_guide/AnyConnect_Secure_Mobility_SolutionGuide.pdf
AD
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
CWS Облачная WEB безопасность
• ASA с FirePOWER Services служит как VPN шлюз – Видимость приложений, NGIPS и AMP сервисы – Защита больше чем просто только WEB предоставляется CWS (+ приложения +SSL)
– Web траффик к CWS идет в сплит-туннель, не через VPN
• CWS как часть централизованной Web безопасности – Облачный WEB-прокси – Outbreak Intelligence и Сигнатурный анализ – AMP Cognitive Threat Analytics (CTA) – Раскрытие HTTPS поддерживается – Географическая отказоустойчивость
• AnyConnect Web Security модуль предоставляет перенаправление трафика в CWS – Защита с выключенным или включенным VPN – Поддерживается на Windows, MacOSX – AnyConnect Редактор профиля
91
ISP-1 ISP-2
DMZ Сети
Интернет пиринг
Удаленный доступ (VPN)
Периметральный МСЭ
Внутренние сети
CWS
http://www.cisco.com/c/dam/en/us/td/docs/security/web_security/scancenter/deployment/guide/cws_dg_anyconnect_101714.pdf
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Cloud Web Security для удаленных пользователей в Cisco
• Пользователи вне VPN сети – AnyConnect Web Security Module – Cloud Web Security (CWS) – Перенаправление на ближайший CWS Tower
• Эффективность решения – 1% всего исходящего трафика блокируется – Более 80,000 объектов в день
• Обнаруживаемые вторжения ежедневно – Трояны, Шпионское ПО – Недавно зарегистрированные, неизвестные домены
• Видимость – Ретроспективный анализ AMP и отчетность CTA
92
BRKSEC-2909 In search of the Silver Bullet for protection against web-based malware using Cloud Web Security
Сложности с шифрованным трафиком
93
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
SSL и контентная фильтрация на периметре
• Основная цель SSL это достижение конфиденциальности в масштабе Интернета – Первые реализации датируются началом 90-х – Работает поверх TCP/IP, но ниже уровня приложений (уровень сессии) – Устанавливает безопасный туннель для передачи данных других протоколов
• HTTP over SSL = HTTPS • FTP over SSL = FTPS
– SSL прячет данные WEB, которые мы бы хотели контролировать • HTTP сообщения протокола полностью шифрованы • Содержимое передаваемых данных также спрятано
– SSL шифрование данных приложений становится нормой • SSL это порядка 25-30% обычного Enterprise трафика и цифра быстро увеличивается • Salesforce, Office 365, Facebook, Twitter, Gmail
– Атаки все чаще используют HTTPS чтобы быть незамеченными • Например шифрованная загрузка файлов Zeus и дальнейший вывод зашифрованных данных
Описание проблемы
94
HTTPS://
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Отсутствие расшифровки SSL и контентная фильтрация Чего мы можем достичь без расшифровки трафика?
95
Client Hello
Server Hello
Server Certificate / Key Exchange
Server Hello Done
Client Key Exchange Change Cipher Spec
Finished
Change Cipher Spec
Finished
HTTP Request (encrypted)
Индикация имени сервера: Опционально TLS расширение, показывающее HOSTNAME запрашиваемого сервера
Subject и Subject Alternate Names: Поля в сертификате, которые идентифицируют имя сервера (FQDNs)
Клиент Сервер
Невозможно фильтровать HTTP запрос и контент – они зашифрованы
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
SSL-опции при расшифровке: FirePOWER Appliances Отдельно стоящие (7000, 8000) устройства могут нативно идентифицировать и расшифровывать SSL до применения политик NGFW, NGIPS и AMP фильтрации.
• Различные режимы развертывания – Inbound passive (с известными ключами) – Inbound inline (с ключами и без) – Outbound inline (без ключей)
• SSL поддержка для приложений с HTTPS и StartTLS – SMTP, POP, FTP, IMAP, Telnet
• Централизованное применение SSL политик для сертификатов: – Блокировать шифрованный трафик с самоподписанным сертификатом, SSL версия, конкретные алгоритмы шифрования, запрещенные мобильные устройства
96
ISP-1 ISP-2 Internet Peering
RA VPN Edge FW
Inside Networks
WE ARE HERE
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Outbound Inline SSL and Content Filtering Man in the Middle (MitM) Decryption with FirePOWER Standalone Appliance 5.4 Software
Client Hello
Server ( ) Hello
/ Key Exchange
Server ( ) Hello Done
Client Key Exchange/Cipher Spec
Change Cipher Spec
Proxied Client Hello
Server Hello/Certificate/Key Exchange Hello Done
Proxied Client Key Exchange/Cipher Spec
Change Cipher Spec
HTTP Request (encrypted) Filtered HTTP Request (encrypted)
CLIENT SERVER
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Опции расшифровки SSL: WSA
98
SSL расшифровка с помощью Web Security Appliance (WSA). • Поддерживается в прозрачном и явном режимах
– В прозрачном режиме, нет доступа к клиентским заголовкам – В явном URL и порты назначения в заголовках
• Политики расшифровки указывают какой трафик нужно проверять: – Уровень репутации (WBRS), URL категории
• Действие политики – Пропустить, Мониторинг, Расшифровать, Отбросить
• HTTPS опции расшифровки на прокси: – Расшифровать для аутентификации, обнаружение приложений (AVC) – Расшифровать для уведомления пользователя (EUN) и подтверждения
• Обработка неправильных сертификатов (Отброс, Расшифровка, Мониторинг)
• Отзыв сертификата с помощью CRL и OCSP • Расшифровка имеет приоритет перед политикой доступа
ISP-1 ISP-2
DMZ сети
Интернет пиринг
Удаленный доступ
Периметральный VPN
Внутренние сети
WSA
1 DNS
4
2
3
5
6
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Расшифровка SSL: что видит пользователь?
• При выборе решения для расшифровки SSL подумайте о следующем: – Сломанная цепь доверия; – Что увидит пользователь.
• Расшифровывайте только то, что необходимо.
• Используйте имеющуюся инфраструктуру PKI.
• Загружайте сертификаты через GPO/Скрипты.
• Не каждое приложение или устройство имеет изменяемое хранилище сертификатов.
99
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 100
Инспекция шифрованного трафика - Итоги
• Требуется интегрированное устройство NGIPS/NGFW/AMP – FirePOWER физические устройства (7000 и 8000 серий) с 5.4 софтом
• Требуется только расшифровка SSL, специализированное SSL-устройство – Отдельностоящий SSL Appliance
• Фокусируемся на безопасном WEB прокси с расшифровкой HTTPS на борту – Web Security Appliance (WSA)
• Удаленные работники, мобильные пользователи, HTTPS расшифровка в облаке – Cloud Web Security (CWS) для целостной безопасности вне периметра сети
• Понимать влияние расшифровки SSL трафика на производительность устройств – Падение производительности до 90% при 50% расшифровываемого трафика
Выбор технологии
BRKSEC-2525 Network Impacts of HTTPS Transport Encryption
Вы несете ответственность за соблюдением законов о сохранении конфиденциальности информации частного характера!!!
Не попадайтесь на крючок – Защищаем электронную почту
101
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 102
Интернет периметр Защита почты Основные вопросы:
1. Email это пережиток прошлого? – Большая часть сложных атак начинается с почты
2. Я понимаю работу моей почты: – Сервера, которые получают и отсылают почту
3. Я добропорядочный член интернет сообщества: – Использую проверки DNS
4. Я защищен от спама: – Борьба с угрозами, включая сложные атаки применяя
многоуровневую защиту
5. Мои пользователи натренированы отличать подозрительные письма:
– Технология это не замена осведомленности
ISP-1 ISP-2
DMZ Networks
Интернет пиринг
Удаленный доступ VPN
Периметральный МСЭ
Внутренние сети
МЫ ЗДЕСЬ
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
„ Почта это пережиток прошлого” • Злоумышленники похищают учетные данные нормальных пользователей и высылают спам с вредоносным содержимым – Далее посылают спам от аккаунтов с хорошей репутацией
• Спам на сегодняшний день более опасен и его все тяжелее обнаружить – Высоко-направленный, низко-объемные сообщения спама имеют высокую либо отсутствие репутации вовсе Вредоносный спам это первый шаг (фишинговые письма) в смешанном типе атаки
• Объем спам сообщений вырос на 250% с Января по Ноябрь 2014 (100 миллиардов в день)
103
Source: Cisco 2014 Midyear Security Report
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Анатомия APT атаки
104
Enterprise Network
Атакующий
Периметр (Входящий)
Периметр (Исходящий)
Проникновение и установление бэкдора 1
C2 Server
Admin Node
Разведка и обследование 2
Эксплуатация и повышение привелегий
3
Модификация и закрепление на месте (Повторяем 2,3,4)
4
Вывод данных
5
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 105
Опции Email безопасности: ESA Email Security Appliance (ESA)
– Специализрованная ОС AsyncOS Физическое или виртуальное устройство
– Поддерживает SMTP, ESMTP, SMTP через TLS – Отказоустойчивость через DNS, Кластеризация,
Балансировка нагрузки – Репутация почтовых доменов senderbase.org (SBRS) – Множественные Антиспам движки (IPAS, Cloudmark, IMS) – Репутация WEB данных(WBRS), URL фильтрация в
контенте писем – Virus Outbreak Filters (OF) – Множество антивирусных движков на платформе
(Sophos, McAfee) – Advanced Malware Protection (AMP) – Улучшенная валидация доменов: SPF, DKIM, DMARC – Встроенный движок RSA DLP – Интеграция внешнего движка RSA Enterprise Manager
DLP – CRES-based Email Encryption Service (PXE) – Встроенный GUI или централизованное управление SMA
ISP-1 ISP-2
DMZ Networks
Интернет Пиринг
Удаленный доступ VPN
Периметральный МСЭ
Внутренние сети
МЫ ЗДЕСЬ
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 106
Жизненный цикл почты Установленный на площадке ESA :
1. Отправитель отсылает письмо на ящик [email protected]
2. Какой IP адрес у почтового сервера компании CompanyX (MX и A записи DNS)
3. IP адрес для CompanyX почты - a.b.c.d (ESA)
4. Почтовый сервер отсылает почту на ESA (SMTP)
5. После инспекции почта отсылается на внутренний почтовый сервер компании
6. Сотрудник читает чистую почту
ISP-1 ISP-2
DMZ Сети
Интернет пиринг
Удаленный доступ VPN
Периметральный МСЭ
Внутренние сети
DNS
BRKSEC-2131 E-mail Security for Non-E-mail People
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 107
ESA размещение: Прямой двухинтерфейсный метод ISP-1 ISP-2
Интернет пиринг
Удаленный доступ VPN
Периметральный МСЭ
Внутренние сети
ESA Прямое двухинтерфейсное подключение напрямую в Интернет:
– Легко развертывается – ESA уже имеет защищенную базовую настройку изначально
– Отсутствие защиты внутреннего и внешнего интерфейса
– ESA продуктивные интерфейсы напрямую выставлены • В публичную сеть Интернет • Во внутренние сети
– ASA Firewall/NGIPS не используется для защиты ESA – Кошмар для безопасности. НЕ ДЕЛАТЬ СЦЕНАРИЙ.
inside
outside
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 108
ESA Размещение: защищенный один интерфейс ISP-1 ISP-2
Интернет пиринг
Удаленный доступ VPN
Периметральный МСЭ
Внутренние сети
ESA один интерфейс в DMZ : – ASA Firewall/NGIPS используется для защиты
ESA – Упрощенная настройка МСЭ для разрешения трафика почты
– Не нужны отдельные маршруты на ESA, Минимум сетевого траблшутинга
– Единственный интерфейс представляет собой возможную точку отказа или узкое звено
– Предпочтительный и наиболее часто используемый метод инсталляции заказчиками
ESA DMZ
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 109
ESA Размещение: Защищенный двойной интерфейс ISP-1 ISP-2
Интернет пиринг
Удаленный доступ VPN
Периметральный МСЭ
Внутренние сети
ESA соединение двумя линкам в DMZ : – ASA Firewall/NGIPS используется для защиты внутреннего и внешнего интерфейса
– Упрощенное написание правил МСЭ – Статические маршруты требуется на ESA – МСЭ представляет возможную точку отказа или узкое звено ESA
DMZ
inside
outside
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 110
ESA Размещение: Каскадные двойные интерфейсы ISP-1 ISP-2
Интернет пиринг
Удаленный доступ VPN
Периметральный МСЭ
Внутренние сети
ESA Каскадные две DMZ: – КаскадныеFirewall/NGIPS используются для защиты ESA внутренних и внешних интерфейсов
– Упрощенная настройка правил МСЭ пропускания почтового трафика
– Статические маршруты необходимы на ESA – МСЭ представляют единую точку отказа или узкое горло
– Большие по масштабу развертывания доступны с такой топологией
ESA DMZ
inside
outside
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 111
ESA Развертывание: Сеть управления ISP-1 ISP-2
Интернет пиринг
Удаленный доступ VPN
Периметральный МСЭ
Внутренние сети
ESA Отдельная сеть управления: – Соответствует наиболее строгим требованиям подключения
– Требует большего физического устройства с тремя интерфейсами или виртуальное устройство
– Применимо ко всем рекомендуемым сценариям развертывания ESA
– Используйте команду route из CLI для настройки потоков трафика в дополнительные интерфейсы
– SMA Устройство управления (физическое/виртуальное) находится в сети управления
ESA DMZ
inside
outside
SMA
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
ESA Развертывание: Высокая доступность Безопасность почты Высокая Доступность:
– Используйте большие устройства с RAID и резервными блоками питания
– Настройте NIC Teaming – Используйте ESA кластеризацию для синхронизации конфигурации
– Настройте несколько MX DNS записей – Используйте географическую отказоустойчивость
ESA – Разворачивайте несколько ESA
• ESAv и SMAv сильно помогают в этом • Смешивайте виртуальный и физические устройства
– Используйте SMA(v) для централизованных функций
Для еще большего масштабирования, используйте аппаратные или виртуальные балансировщики нагрузки совместно с ESAv
112
ESA кластеризация
ESA с балансировщиками
нагрузки
example.com. 86400 IN MX 10 esa1.example.com. example.com. 86400 IN MX 20 esa2.example.com. example.com. 86400 IN MX 30 esa3.example.com. example.com. 86400 IN MX 40 esa4.example.com.
DNS MX отказоустойчивость
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Настройка высокого уровня безопасности с ESA • Используйте фильтры репутации почты Reputation Filters (SBRS) и Outbreak Filters (OF) • Разрабатывайте Контентные фильтры для мощных логических связок по принятию решений • Испольуйте множество Анти-Спам движков (IPAS, Cloudmark, IMS) • Настройте фильтры URL WEB репутации для борьбы со смешанными атаками
• Для безопасного переписывания писем • Для применения Политики разрешенного использования WEB (AUP) к почтовым потокам
• Применяйте Rate Limiting дял идентификации зараженных хостов • Используйте DLP движок для защиты интеллектуальной собственности, встроенные или внешние функции • Будьте добропорядочным членом интернет сообщества, используйте SPF, DKIM и DMARC • Улучшите параметры целостности в вашем Enterprise с использованием шифрования исходящей почты (PXE
with CRES) – S/MIME как новая опция
• Используйте множественные встроенные движки реального времени для борьбы с Malware Malware Scanning (AV/AM) – Sophos и McAfee
• Используйте Advanced Malware Protection (AMP) – Файловая репутация, Песочница и Ретроспектива
113
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Email Security Appliance AsyncOS 8.5
• Advanced Malware Protection (AMP) Фаза 1 – AMP находится между AV и Контентными фильтрами внутри потока обработки почты
• Web репутация и интеграция WEB категорирования
• Domain-based Message Authentication, Reporting & Conformance (DMARC) поддержка
• Улучшения в эффективности – Стохастический отбор – Уменьшение ложных срабатываний
• Импорт и экспорт для кластеров
• Bulk / Marketing Email – a High Volume Mail Management
Новые функции и улучшения
114
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Email Security Appliance AsyncOS 9.0
• Advanced Malware Protection (AMP) Фаза II – Расширенный список поддержки файлов:
• Windows PE executables • Microsoft Office (new Open XML, old MSOLE2) and PDF • Archive files: ZIP, TGZ, 7z, RAR, TAR and GZIP
– Dynamic File Analysis Quarantine
• RESTful API – Stateless, HTTP/REST and JSON, HTTPS + Basic Auth – System Health and Report Data
• S/MIME Signing/Encryption (RFC 3369, 3370, 3850, and 3851) цифровая подпись, шифрование, верификация, идентификация организации
• Гибкие условия политик: на основании и отправителя, и получателя
• Улучшения эффективности – Anti-Snowshoe campaign
• Расширяемость до 256 виртуальных шлюзов
Новые функции и улучшения
115
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Безопасность почты, это до сих пор важно? @Cisco
• 93% всей входящей почты блокируется ESA как СПАМ, репутационной базой;
• Дополнительные блокировки совершает Cisco AMP (сканирование вложений);
• Все основные типы сложных атак которые проходили на Cisco начинались с почты;
• Все логируется централизованно для дальнейшего расследования инцидентов.
116
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
3.5M Писем блокируется ежедневно
ESA Заблокировано Emails* / mo Emails / day Emails / employee / day %
By reputation 73 M 3.3 M 43 94%
By spam content 4.3 M 0.2 M 3 5%
By invalid receipts 0.4 M 0.02 M 0.25 1%
Доставлено почты Emails / mo Emails / day Emails / employee / day %
Попытки 124 M 5.6 M 73
Blocked 77 M 3.5 M 46 63%
Доставлено 37 M 1.7 M 22 30%
Доставлно, помечено “Маркетинг”
9 M 0.4 M 5 7%
Malware SPAM
ESA в @Cisco
117
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 118
Интернет периметр безопасность почты – Итоги
Одна технология развертывается в различных вариантах:
• Требуется высоко масштабируемое решение внутри сети для безопасности почты – ESA физический или виртуальный размещенный в DMZ, использует богатый набор функций безопасности Входящие, Исходящие и Шифрование
– Опциональный SMA для централизованного управления, отчетности, отслеживания и карантина
• Ищете облачную систему безопасности или гибридный вариант – Cloud Email Security (CES) решение для облачных развертываний почты (Office365) – Гибридные решения для лучших решений из обоих миров – это ESA в сети и CES в облаке
• Дополнительно в случае необходимости шифрации исходящей почты – Cisco Registered Envelope Service (CRES) или S/MIME
Выбор нужной технологии
На удивление EMAIL находится на подъеме как вектор распространения угроз на сегодня
Борьба со сложным Malware с помощью AMP
119
«Вы не можете защититься. Вы не можете предотвратить. Единственное, что вы можете - это обнаружить и отреагировать.»
Bruce Schneier Security Guru
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 121
Advanced Malware Protection Основные вопросы:
1. Я могу бороться со сложными угрозами Malware с моим текущим решением
– Malware нулевого дня и APT на подъеме
2. Я понимаю шаблоны распространения Malware
– Используя FireSIGHT, AMP и сетевую траекторию
3. Я применяю целостный подход – AMP везде в моем окружении
4. Я подтверждаю что 100% обнаружения не существует
– Применяя AMP ретроспективный анализ
ISP-1 ISP-2
DMZ сети
Интернет пиринг
Удаленный доступ VPN
Периметральный МСЭ
Внутренние сети
AMP Облако
BRKSEC-2139 Advanced Malware Protection (AMP)
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
AMP Технология за один слайд • AMP клиент запрашивает TALOS облако о диспозиции файла, посылая размытый отпечаток файла – Стандартный SHA256 hash, проприетарные SPERO и ETHOS алгоритмы с большим числом метаданных
• TALOS облако мгновенно возвращает диспозицию как вердикт – Хороший, Вредоносный или Неизвестный. Хороший может быть отправлен, Вредоносный блокирован
122
BRKSEC-3883 The Malware Menace - From 30,000 Feet to the Microscope
TALOS Cloud
• Если диспозиция неизвестна, Облако может провести динамический анализ всего файла – Песочница выдает детальный отчет о Динамическом Анализе с индикатором File Threat Score (Репутацией) 0-100
• Основываясь на результатах анализа мы можем начать обнаружени и блокирование во всей сети – Блокирование Вредоносного ПО на всех AMP-поддерживающих устройствах (Физических и Виртуальных FirePOWER устройствах, ASA с FirePOWER Services, WSA, ESA, CWS, Выделенные AMP устройства, AMP для оконечных устройств) предотвращая дальнейшее распространение
– Производит Ретроспективный анализ и визуализацию Сетевой и Хостовой траекторий вредоносного файла, давая возможность анализа вредоносного ПО, изучения и расследования инцидента по всей сети включая Интернет Периметр.
upload
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
AMP для сетевых устройств
123
ISP-1 ISP-2
DMZ Сети
Интернет Пиринг
Удаленный доступ (VPN)
Периметральный МСЭ
Внутренние сети
AMP Cloud
• Network AMP соответственно доступен в: – FirePOWER NGFW/NGIPS устройствах (HW/SW) – ASA FirePOWER Services (5500-X, 5585-X) – Выделенных AMP физических устройствах
• FireSIGHT Management Center дает: – AMP Действия в файловой политике:
• Malware Cloud Lookup • Malware блокирование • Обнаружение файла и блокирование • SPERO анализ для MSEXE • Хранение файла на устройстве для дальнейшего анализа
• Отправка на Динамический анализ в песочницу • Выбор направления передачи (Upload/Download) • Выбор протокола приложения передачи файла
– AMP Визуализация сетевой траектории – AMP Custom Detections и Clean Lists
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
AMP для Web Security Appliance
124
ISP-1 ISP-2
DMZ Сети
Интернет Пиринг
Удаленный доступ (VPN)
Периметральный МСЭ
Внутренние сети
AMP Cloud
• AMP для WSA Фаза I и II сегодня: – Сценарий использования WEB Proxy – Улучшение защиты помимо традиционных AM/AV – Работает в WSA обрабатывая почту после AM/AV – Управляется через WSA GUI, не FireSIGHT
• WSA с AMP включает: – Файловую репутацию, Песочницу, ретроспективу – SHA256 и SPERO (WinPE) отпечатки – Детальный Web Tracking и облачные отчеты – AMP-специфичные Логи в accesslogs, amp_log
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
AMP для Email Security Appliance
125
ISP-1 ISP-2
DMZ Сети
Интернет Пиринг
Удаленный доступ (VPN)
Периметральный МСЭ
Внутренние сети
AMP Cloud
• AMP для ESA фаза I и II (9.0): – Secure Email Gateway сценарий – Улучшение защиты помимо традиционных AM/AV – AMP sits between AV and Content Filters – Управляется через ESA GUI, не FireSIGHT
• ESA с AMP дает: – Файловую репутацию, Песочницу, ретроспективу – SHA256 и SPERO (WinPE) отпечатки – Нативный карантин с динамическим анализом
• Не нужны контентные фильтры и Политика карантина – Детальный Email Tracking и Cloud Reports – AMP-специфичные Логи в mail_logs, amp_log
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
FirePOWER | FireSIGHT ПО версии 5.4
• Поддержка для AMP Private Cloud виртуального устройства – AMP Private Cloud на виртуальной машине внутри сети; – Может быть использовано для проверки файловой диспозиции и Агрегации событий с агентов AMP на оконечных узлах.
• Расширенная поддержка IoC со стороны хостовых AMP
• По мере выхода новых IoCs, FireSIGHT их использует – Они появятся в хостовых профилях, IoC корреляции – IoC примеры
• Множественные инфицированные файлы обнаружены хостовым AMP • Взлом калькулятора Microsoft зафиксирован AMP для хостов J
• Поддержка Юникода в именах файлов
Новые AMP функции и улучшения
126
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 127
Advanced Malware Protection – Итоги
• Сетевой AMP доступен в: – Отдельных FirePOWER устройствах – ASA FirePOWER Services – Отдельных выделенных AMP устройствах – Web Security Appliance (WSA) – Email Security Appliance (ESA) – Cloud Web Security (CWS)
• AMP для хостов: – Windows, MAC OS X – Android Мобильные устройства
• AMP ThreatGrid платформа для унифицированного анализа Malware и расследования – Устройство устанавливаемое в сети – Облачный портал
AMP Везде – Всесторонний подход к видимости
Использование знания контекста
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Активная аутентификация с WSA Подход базовой аутентификации:
– Пользователя запросят учетные данные – WSA запросит AD используя LDAP – Немного разный в явном и прозрачном режимах – Работает с HTTPS – Избегайте, никто не любит вводить пароли
Активная аутентификация с WSA: 1. Неаутентифицированный пользователь идет через
WSA 2. WSA перенаправляет его через HTTP Redirect на WSA
IP 3. Браузер соединяется с WSA 4. WSA отсылает HTTP Auth Request (401|407) 5. Пользователь аутентифицируется 6. WSA отсылает HTTP Redirect на изначальный сайт
(307) 7. Аутентифицированный пользователь идет через WSA
ISP-1 ISP-2
DMZ Networks
Интернет пиринг
Удаленный доступ (VPN)
Периметральный МСЭ
Внутренние сети
WSA
4
2
3 5 6
1 7
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Пассивная идентификация с CDA | SFUA
130
ISP-1 ISP-2
DMZ Networks
Интернет пиринг
Удаленный доступ (VPN)
Периметральный МСЭ
Внутренние сети
AD
Есть два отдельных коннектора к AD:
• CDA (Context-Directory Agent) для WSA, CX, ASA – Защищенный Linux VM доставляется как .iso file – WSA и старый ASA-CX использует CDA для TUI с AD – ASA использует CDA для User-Based ACLs с IDFW
• SFUA (Sourcefire User Agent) для FirePOWER – Windows binary, установка на Сервера и рабочие станции – FirePOWER использует SFUA для TUI с AD
Пассивная идентификация с NGFW: 1. AD User Logon событие 2. User Logon Event внутри Security Log (WMI) 3. Связка IP -> AD пользователь (RADIUS) 4. Информация о пользователе и группе (LDAP) 5. Траффик фильтруется NGFW политикой доступа
1
SFUA / CDA
2
3
4
5
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Пассивная идентификация с CDA, ISE и WSA
131
ISP-1 ISP-2
DMZ Networks
Интернет пиринг
Удаленный доступ (VPN)
Периметральный МСЭ
Внутренние сети
AD
Нативная интеграция с ISE и CDA – CDA становится брокером AD и не AD Пользователей – ISE настроен на отсылку логов в CDA
• AAA Audit, Passed Authentications и RADIUS Accounting Logs – CDA настроен на ISE как на Syslog сервер
Пассивная идентификация с ISE и CDA: 1. Пользователь аутентифицируется на ISE и в AD
• 802.1X Проводной/Беспроводной пользователь 2. ISE отсылает Syslog с User-IP мапингом на CDA 3. WSA использует User-IP маппинг с CDA 4. Пользователь запрашивает WEB страницу
• WSA Прозрачная идентификация пользователя (TUI) • Веб запрос проксируется и фильтруется в соответствии с
политикой пользовательской фильтрации на WSA
1
SFUA / CDA
2
3
4
ISE
1
CDA Installation and Configuration: https://www.youtube.com/watch?v=rp_CpeILpNU
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Пассивная идентификация с ISE и pxGrid
132
ISP-1 ISP-2
DMZ Networks
Интернет пиринг
Удаленный доступ (VPN)
Периметральный МСЭ
Inside Networks
Важный шаг в контекстной безопасности
ISE это брокер и источник доверия – pxGrid фреймфорк доступен с версии ISE 1.3 – Экосистемные партнеры по поддержке обмену контекстом (SIEM) – ISE делится контекстом используя pxGRID с устройствами-потребителями
– Потребители получают маппинг IP->пользователь и много больше
Процесс работы – WSA в предварительном релизе, FirePOWER в планах
Пассивная идентификация с ISE и pxGrid: 1. Пользователь аутентифицируется в ISE (802.1X)
• Пользователь может пользоваться проводным, беспроводным или удаленным доступом (VPN)
2. Устройство потребитель получает привязку пользователя 3. Устройство потребитель применяет контекстную политику доступа
• Контентная фильтрация основана на знании пользователя 1
2
3
ISE pxGrid
pxGrid API @Cisco Developer Community Portal (DevNet): https://developer.cisco.com/site/pxgrid/
AD 1
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Аттрибутика пользователя в @Cisco
133
Источник Предоставляемая информация
DHCP Server Назначенный IP, MAC address
VPN Headend
IP назначенный пользователю, WAN address
NAT Gateway
IP трансляция в соответствии с RFC 1918, NAT привязка
ISE IP назначение на пользователя, MAC address
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public 134
Опции идентификации – Итоги
Есть много способов идентификации пользователя: • WSA Активная аутентификация (Basic) • WSA SSO с NTLMSSP иKerberos
• Прозрачная (пассивная) пользовательская идентификация (TUI) – WSA, ASA пассивная идентификация с CDA и AD (WMI), CDA и ISE (syslog) – FirePOWER Пассивная идентификация с SFUA и AD – FireSIGHT пассивное нахождение пользователя в нешифрованных протоколах
• AIM, IMAP, LDAP, Oracle, POP3 и SIP
• CWS Имеет широкий набор механизмов внутри
• ISE 1.3 с pxGrid это стратегическое направление
Подбор необходимой технологии
Пользовательская идентификация это ключ к аттрибутике и фундаментально для кибербезопасности
Анализ сетевой активности
135
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Анализ сети с помощью NetFlow Основные вопросы:
1. Я понимаю мои потоки трафика – Сбор потоков трафика включая Интернет Периметр – Несемплированный NETFLOW с моей инфраструктуры
2. Я могу находить необычные индикаторы поведения анализируя сетевой трафик
– Контекстно-Ориентированный поиск аномалий – Атакующие, Жертвы, Поведение
3. Я могу видеть угрозы изнутри сети – Случайные, Намеренные и бедных жертв
4. Я вырабатываю индикаторы компрометации – С помощью Cyber Threat Defense Solution (CTD) – Интегрируясь с ISE для сбора атрибутов
ISP-1 ISP-2
DMZ Сети
Интернет Пиринг
RA VPN Периметральный МСЭ
Внутренние сети
BRKSEC-2136 Preventing Armageddon: Finding the threat before its too late
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Понимание шаблонов трафика Интернет Периметра
137
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Получим толк от этих знаний
§ Адреса источника и назначения (IPv4/IPv6)
§ Исходящие и порты назначения
§ Протоколы и приложения § DSCP § Входящие интерфейсы § BGP Next-Hop Field § MPLS метки § Информация по мультикасту § L2 информация (802.1q tag,
CoS поля и тд) 138
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
NetFlow – краткое описание • Стандартная технология, с долгой историей (90’е, IOS 11.x)
– NFv5, NFv9, IPFIX, NSEL, FNF (Flexible NetFlow) – Формат данных и протокол для переноса информации о Потоке от Экспортера с коллектору
– Экспортер создает кешированную запись по ключевым полям, экспортирует закончившиеся/истекшие потоки на коллектор
– Настройки привязаны к записи Потока, экспортеру, Монитору Потоков и Интерфейсу устройства
– Эффективный, не требовательный к ресурсам, Бинарный формат, много (20-50 записей на пакет
• Поддерживается большей частью сетевой инфраструктуры, но функционал может различаться сильно – IOS/-XE/-XR Routers, Catalyst и Nexus Switches
– ASA предоставляет поддержку NSEL (NetFlow Security Event Logging)– отслеживание статуса с NAT привязкой
• Если нельзя нативно экспортировать – Сгенерировать через SPAN устройство – Cisco NetFlow Generation Appliance (NGA)
– Lancope FlowSensor Appliance (FS)
• Для сетевой аналитики и обнаружения аномальной активности, несемплированный (1:1) NetFlow – Семплированный NetFlow полезен для аккаунтинга трафика, выставления счетов, понимания типов протоколов и планирования
сети
• NetFlow инструментарий это основна аттрибутики и понимания сети • Новое использование для целей ИБ старой доброй технологии
139 http://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/ios-netflow/prod_white_paper0900aecd80406232.html
SPAN
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Сетевое обнаружение аномалий (NBAD)
• Concern Index отслеживает хосты компрометирующие сеть
140
• File Sharing Index показывает активность пиринговых сессий
• Target Index показывает хосты являющиеся жертвами вредоносной активности
• Репортинг по группам хостов выдает сетевые шаблоны и шаблоны приложений
Отчет приложений
Inbound/Outbound Отчет по трафику
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Остановим внутренние угрозы с CTD
141
• Неавторизованный доступ: попытка нарушения политик, блокирована на МСЭ
• Внутреннее обследование: Concern Index событие , сканирование на порту tcp/445
• Накопление данных: передача больших объемов данных через сеть – Подозрение на накопление данных – хост загружает данные со многих других хостов – Таргетированный вывод данных– Хост выкачивает большой объем данных через множество других хостов
• Утечка данных: идентификация подозрительной передачи данных через Интернет Периметр в течение длительного времени
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Обработка Индикаторов компрометации (IoCs) • Идентификация подозреваемых в заражении Malware хостов в группах клиентских хостов
142
• Визуализация распространения заражения Malware с помощью Worm Tracker – Основные и вторичные заражения – Сканируемые подсети
• Применение контекстно-насыщенной телеметрии от ISE для понимания вовлеченных пользователей
• Узнать все ли хосты затронуло изначальным заражение
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Cyber Threat Defense с помощью NetFlow @Cisco • Сборщики потоков расположены глобально
• 15 миллиардов потоков в день в Cisco • Lancope Stealthwatch • Ad-hoc поиск • Аналитика сети • Анализ и предупреждения
– Попытки вывода данных – Обмен файлами и их раздача – Большие объемы потоков – Соединения с ботнетами
143
„ Пользователь будет всегда выбирать танцующих хрюшек вместо безопасности ”
Bruce Schneier Security Guru
Расследование инцидентов – Обнаружение и блокирование
145
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Топология исходщего обнаружения в @Cisco
• Extensible and modular topology focused on the Internet Edge egress traffic • Compromised hosts will try to establish call-home connections • Security data logging is the key • Fundamental Incident Response Tool
146
Gigamon Interface
Gigamon GigaSmart
Gigamon Map-filter
Gigamon Ingress filter Tool
IDSSF
Adv MW
DLPNAM
pDNS
PCAPNGA
Drop crypto
Pass web
Drop crypto
Drop crypto
Pass DNS
Drop crypto
Pass allPass all
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Common Log Collection Infrastructure @Cisco
Massively Scalable Log Architecture: • Global Search • Regional Storage • Redundant Forwarding • Splunk, Kibana, Apache
Multiple Data Sources: • Intrusion Detection Systems (IDS/IPS) • NetFlow Network Devices • Web Proxy logs (WSA) • Email gateway logs (ESA) • DNS and other logs
147
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Incident Response – Big Data Analytics @Cisco
Data scale per day of operations: • 22TB of network traffic inspected • 1TB of data (average) logged and indexed • 8 Billion web objects proxied • 2.5 Billion DNS requests logged
148
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Passive DNS @Cisco • DNS is a critical Internet Service • CSIRT logs 2.5 Billion DNS queries/day • DNS queries and answers helps to:
– understand what the users machines want to know – discover attacks
• DNS Data Logged unveils trasures: – New domains (less than a week old) – Fast Flux domains (multiple IPs, short TTL) – Esoteric domains (uniqueness, random generation) – DDNS domains – Lookup Failures – Spikes in DNS traffic – C2 Servers hardcoded in malware
• Correlate with NetFlow, Packet Capture and Application Logs
149
NetBIOS suffix
qname/nbname
qtype/nbtype
Src/Dst
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Policy Quarantine with ISE EPS Services
• Utilizing the EPS (Endpoint Protection Services), known as ANC – Adaptive Network Control • One of the most unknown and underused ISE capabilities • ISE servers can globally keep Host MAC address in a restricted zone • Infected Hosts can still have access to remediation tools, while not affecting other systems • Quarantine / Unquarantine can be manual or automated (API-driven)
Dramatically reducing time to contain incidents
150
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Что мы сегодня обсудили
151
Инфраструктура и протоколы
Сетевой МСЭ
МСЭ нового поколения
IPS нового поколения
Безопасность WEB и контентная фильтрация
Мобильный и удаленный доступ
SSL Раскрытие и инспекция
Безопасность электронной почты
Защита от вредоносного кода
(AMP)
Атрибутика пользователя Анализ сетевого
трафика Реагирование на инциденты
Открытый код и утилиты
© 2015 Cisco and/or its affiliates. All rights reserved. BRKSEC-2134 Cisco Public
Целостный подход к жизненному циклу атаки
152
Control Enforce Harden
Detect Block
Defend
Scope Contain
Remediate
IPS Нового поколения
NGIPS
Понимание контекста Аттрибутика
Инфраструктура и протоколы
Сетевой МСЭ
МСЭ нового поколения
Мобильный и удаленный доступ
SSL Раскрытие и инспекция
Безопасность WEB и контентная фильтрация
Безопасность электронной почты
Анализ сетевого трафика
Реагирование на инциденты
Открытый код и утилиты
Защита от вредоносного кода
(AMP)