Надежная защита для малых, средних и распределенных предприятий

Надежная защита для малых, средних и распределенных предприятий

Михаил Кадер

[email protected]

[email protected]

mailto:[email protected]





Конфиденциальная информация Cisco 2 © Cisco и(или) ее аффилированные лица, 2015 г. Все права защищены.

Программа

Сети малых предприятий под ударом

МСЭ нового поколения Cisco для малого и

среднего бизнеса

Филиалы и дополнительные рынки

Начало поставок, заказ, стоимость, план запуска

Немного техники

Демо


Проблемы обеспечения безопасности в сетях предприятий малого и среднего бизнеса


И крупные, и малые предприятия подвергаются все более разрушительным атакам

• Противник вооружен, мотивирован, обеспечен

финансово, и его мишень — малый и средний

бизнес

• В 2012 г. было скомпрометировано 87%

малых предприятий— на 10% больше, чем в

2011 г.

• Партнеры требуют от малого бизнеса усилить

защиту от угроз

* Исследование PWC по поручению Министерства по делам бизнеса, инноваций и

профессионального образования Великобритании, 2013 г.

** New York Times, март 2014 г. .

Любая организация

обязана защищать

доверенные ей

данные,

интеллектуальную

собственность и

коммерческую

тайну.


Существующие решения не вполне подходят малому бизнесу

Традиционные МСЭ нового поколения и

решения для унифицированного управления

угрозами не предназначены для защиты от

современных угроз.

• Решения для унифицированного

управления угрозами в меньшей степени

ориентированы на защиту от конкретных

угроз.

• Прежние МСЭ нового поколения и

точечные решения затратны и сложны в

управлении.

• Интеграция точечных решений сопряжена

с рисками, а эффективность сомнительна.


МСЭ нового поколения Cisco для малых, средних и распределенных предприятий


Непревзойденная защита от угроз Интегрированная, многоуровневая защита в одном устройстве: настольном или

монтируемом в стойку (1U)

Непревзойденная выгода Превосходное соотношение цена-производительность и низкая

совокупная стоимость владения

Гибкие возможности управления Управление может быть локальным или централизованным (если устройств

несколько)

Решения, ориентированные на защиту от угроз, для малого бизнеса и филиалов ASA в сочетании с функциями FirePOWER


100% МСЭ нового

поколения: поставляется

с функциями FirePOWER

Низкие требования к ресурсам

5506-X

2 квартал 2015

финансового года


финансового года


финансового года 2015 финансовый год

Современные МСЭ нового поколения Cisco для малых, средних и распределенных предприятий

Хит продаж! На замену

ASA 5505:

около 10 тыс.

единиц в месяц


Непревзойденная

защита от угроз

Интегрированная, многоуровневая

защита в одном устройстве: настольном

или монтируемом в стойку (1U).


Фильтрация URL-адресов (по подписке)

Локальное или

централизованное

управление

Усиленная защита от

вредоносного кода

Advanced Malware

Protection (AMP) (по подписке)

Мониторинг и

контроль приложений

(AVC)

Межсетевой экран

Маршрутизация и

коммутация

WWW

VPN

Система предотвращения

вторжений

нового поколения (NGIPS) (по подписке)

Защита FirePOWER Защита от угроз — наше главное преимущество

Функции и лицензии аналогичны более крупным ASA с функциями FirePOWER при использовании FireSIGHT

Упрощенное предложение МСЭ нового поколения с локальным менеджером ASDM 7.3.x


Расширенные возможности VPN Безопасная мобильность с AnyConnect™

Политика допустимого применения

Контроль доступа

Предотвращение утечки данных

Предотвращение угроз Совместный доступ сотрудников к файлам

Доступ разрешен

Выбор Поддержка разнообразных

оконечных устройств

повышает гибкость

Безопасность Широкие и гранулярные

возможности защиты,

интегрированные в сеть

Возможности

пользователя Бесперебойное функционирование

для удобной и эффективной работы


Непревзойденная

выгода Превосходное соотношение

цена-производительность.

Низкая совокупная стоимость

владения.


Максимальные цены на оборудование; предварительные показатели производительности**

Параметры/

Модели

5505 5506-X

Пропускная

способность МСЭ с

функцией контроля

состояния

соединений

150 Мбит/с 500 Мбит/с

NGIPS или AVC

(размеры)

НД 85 Мбит/с

NGIPS+AVC+ AMP НД 40 Мбит/с

ЦЕНЫ

PID

Рекомендуемая цена

ASA5506-K9 $995

ПРОИЗВОДИТЕЛЬНОСТЬ


Отчет Security Value Map по

системам предотвращения

вторжений (IPS)

Отчет Security Value Map: специалисты NSS подтверждают эффективность решений Cisco

Отчет Security Value Map по МСЭ

нового поколения (NGFW)

Отчет Security Value Map по

системам обнаружения

компрометаций


Гибкие возможности

управления Интегрированное локальное

управление.

А если устройств много —

централизованное.


Новая разработка! Сочетает в себе контроль над политиками доступа и функциями защиты от современных угроз. Улучшенный пользовательский интерфейс позволяет как следить за событиями в общем, так и углубляться в детали

Локальная система управления: ASDM 7.3.x


Дает специалистам по безопасности следующие возможности:

Управление группой устройств

Полный мониторинг и контролирование сетевой активности

Эффективное восстановление благодаря локализации заражения и определению первопричины

Централизованное управление

Централизованное

управление:

Как и Elektra,

использует

CSM и FireSIGHT

ДО Изучение

Внедрение политик

Безопасное

конфигурирование

ВО ВРЕМЯ Обнаружение

Блокирование

Защита

ПОСЛЕ Локализация

Изолирование

Восстановление


Дополнительные рынки и движущие силы продаж Обновление 5505 Распределенные предприятия и филиалы Управление производством


Ключевая возможность: обновление существующего парка устройств модели 5505

Категория 5505 5506-X

МСЭ нового

поколения

Функции FirePOWER

Мониторинг и

контроль приложений

Нет Да

AMP, NGIPS, фильтрация URL

Подписки Нет Да

Защита

оборудования Защита от физического вмешательства,

основанная на ACT 2 Нет Да

Упрощенная

процедура приобретения

Неограниченное количество

пользователей (узлов) Нет Да

VPN Улучшенная поддержка мобильности

Нет Да

Дополнительные

возможности

Пропускная способность Более 200% пропускной способности

МСЭ

Встроенная беспроводная точка доступа Нет Да (вариант 5506W-X)

5506-X

Безопаснее

Масштабируемее

Гибче


Распределенное предприятие

• Модель 5505 активно используется в

филиалах компаний

• Распределенные конфигурации с более

чем 2000 устройств

• Под «филиалом» может подразумеваться все

— от домашнего офиса до розничного

подразделения

• Модель 5506W-X с интегрированной

беспроводной точкой доступа

привлекательна для многих таких

конфигураций


Начало поставок, заказ, план запуска, лицензирование и услуги


План запуска линеек МСЭ нового поколения для малого бизнеса

5506

15.01 (AMER, IDEA)

5508/5516

Март (будет уточнено)

5506

7.04

5508/5516

7.04

Запуск для дистрибьюторов Внешний запуск

5506

14.01

5508/5516

11.03

Внутренний запуск Запуск для партнеров

5506-X

15.01; 5.02 (AMER, IDEA)

20.01 (EMEAR, IDEA)

1.02 (APJC, Бали)

20.01 (AMER, CDW)

Запуск для дистрибьюторов Внешний запуск

Упор на 5506-X

14.01

Внутренний запуск

Ограниченный запуск 5506-X

7.04.2015

Возможность заказа / начало поставок

5506-X

12.02 VoE

1.02.2015

18.02.2015


Лицензирование: аналогично ранее выпускавшимся моделям ASA с функциями FirePOWER

СОПВ

URL

URL

СОПВ

TAMC TAC TA

URL

URL

AMP

СОПВ

TAM

AMP

СОПВ

• Security plus • Лицензия VPN • Контекст безопасности

(только 5508-X) — 5 контекстов на 5508-X

Лицензирование ASA Лицензирование МСЭ нового поколения

Подписка на 1 или 3 года, AVC в комплекте, обновления AVC доступны с SmartNet.

ASA 5506 and FirePOWER On-Box Management


Аппаратная платформа

Desktop 5506– 7.92” x 8.92” x 1.73“


Сравнение моделей

Category Model ASA 5505 ASA 5506-X

Hardware CPU 1Cx500MHz 4Core @ 1.7GHz

RAM/Flash 512M/128M 4G/16GB

SSD none 64GB

I/O 8xGE L2SW 8xGE

PoE 2x PoE 0

WiFi no no

Form factor Desktop Desktop

Cooling convection convection

USB Yes USB (Type A) Port

NGFW (FirePOWER)

Services

IPS Yes (SSC) Yes

Application Control no Yes

URL Filtering no Yes

AMP (Advanced Malware

Protection) no Yes

New


1 2 3

5 6

7 8

9

1) Power LED: Green -> power applied OK

2) Status LED: Green blinking -> system is booting up

Green solid -> successful boot

Orange -> error during boot-up

3) Active LED: Green -> unit is Active in failover pair

Orange -> unit is Standby in failover pair

Off -> not part of a failover pair

4) WLAN Module – not lit for 5506

5) GE ports: Left-side LED Green -> link

Right-side LED blinking -> network activity

6) Console Ports: RJ-45 and mini-USB Connector

if mini-USB is connected, RJ-45 becomes disconnected

7) GE Management Port

8) USB port for external storage – shows up as disk1

9) Reset Pin

Задняя панель 5506 4


Варианты внедрения


Inline deployment

• Traffic enters the ASA. • Incoming VPN traffic is decrypted. • Firewall policies are applied. • Traffic is sent to the ASA FirePOWER module. • The ASA FirePOWER module applies its security policy to the traffic, and takes appropriate

actions. FirePOWER sends traffic back to ASA for action. • Outgoing VPN traffic is encrypted. • Traffic exits the ASA.


Passive Deployment

The traffic flow in monitor-only mode is the same as it is for inline mode. The only difference is that the ASA FirePOWER module does not pass traffic back to the ASA. Instead, the module applies the security policy to the traffic and lets you know what it would have done were it operating in inline mode, e.g., traffic might be marked “would have dropped” in events. You can use this information for traffic analysis and to help you decide if inline mode is desirable.


Настройки ASA


An ASA can be configured in Routed or Transport mode.

An ASA 5500 can be configured for multiple context. The ASA 5506 does not support multiple context.

After configuring an ASA, ensure that packets are passing through the ASA (e.g., by using ping).

Configure traffic redirection in your configuration, i.e., configure MPF policy to send traffic to SFR module. You can send all or a subset of traffic to be sent to the SFR module.

ASA configuration


FirePOWER services can be deployed in monitor mode as well as in fail-open or fail-closed.

FirePOWER Services can be configured by

OnBox Manager

OffBox Manager

ASA configuration


• Device Managers

• OnBox -vs- OffBox

• OnBox Manager

• Unified launch

• ASA5506 FireSIGHT’s Configuration Web UI embedded in ASDM


OnBox Manager (New): The OnBox manager is the thick ASDM client with FireSIGHT Management Center (FMC) lite embedded into it. FMC will be used to manage FirePOWER Services on ASA.

FireSIGHT Management Center (FMC) appliance: A dedicated FMC (Defense Center) can be used to manage FirePOWER Services. FMC comes as hardware appliance and virtual appliance. The virtual appliance comes as OVF and can be installed in vSphere 5.1 or 5.5.

Device Managers


OnBox OffBox

• Uses ASDM UI

• Manages single device

• Licenses enabled by default

• Dashboard is static

• Smaller url category database

• Geo country code installed at first boot

• Creates default Allow All policy at first boot

• Limited FireSIGHT features including

1. Device Configuration

2. Device Health Dashboard

3. SI/Malware Detection

4. Eventing and Reporting

5. License Management

6. Updates

• Uses FireSIGHT (Defense Center) UI

• Manages multiple devices

• Have to manually enable licenses

• Ability to add widgets

• Uses full url database

• Geo country not installed at first boot

• No policies automatically created

• Full FireSIGHT features including

1. Health Policy

2. Historic Event Data


Unified Launch

• User downloads ASDM to their client

• Integrates FireSIGHT’s navigation with ASDM’s look and feel, but each page is similar to DC’s page

• Uses an embedded jxbrowser to display FireSIGHT’s screens


Unified Launch

• Single Sign On to both ASDM and ASA5506 FireSIGHT management of FirePOWER Services


Access the OnBox Manager by typing the ASA IP address into a browser. This will download the thick client (ASDM). You can use it for other ASA clients.

By default, the FirePOWER Services module will be visible to the manager. You don’t have to add the module (device) to the manager. In case the device is managed by OffBox FMC, the module will be disabled on OnBox.

Both FirePOWER Services and the ASA can be managed using the same OnBox manager.

OnBox Manager

Device 5506

already added.


Configure FirePOWER Services: OnBox Manager

Access Control Policies

IPS policies

Files Policies

Access

Policies/Rules

To test traffic, leave the default Action as Trust

All Traffic.


Dashboard


Configuration Navigation

• Integrated into ASDM existing navigation


Access Control Policy

• Has quick links to ASA policies as well as FirePOWER policies.


Device


• Event Viewer

• Event Details

• Reporting

• Troubleshooting


Event Viewer

• Event Viewer is a software component of Sensor onbox management application that queries and displays events it collects from sensor. Event Viewer can be used as one of troubleshooting and diagnosis tool by network administrators. It provides activities monitoring function for sensor.

• Events generated by snort are shown to user in real-time. Event viewer supports:

• Connection Events

• Intrusion Events

• File Events

• Malware Events &

• Security Intelligence Events

• RNA events(user events, network discovery events etc) are not supported for onbox.


Event Viewer Views

• Event viewer will save user’s selections like filters added, columns chosen as a view. A view is a collection of user’s settings like columns & filters. Event viewer supports 2 types of views:

• System Views – Views provided by default to all users. These type of views cannot be modified by user.

• User Views - Views created by user. User can update/delete or rename these views.


Event Viewer Column Selector

• User can add/remove columns in event viewer using column selector. User can also filter columns in column selector.


Event Viewer Filters

• User can also add filters. Events which match these filters will be shown to user.


Event Details

• User can also view details of each event and blacklist/whitelist IP addresses from event details section.


On-box Reporting: Pages, Time-range

• Network overview

• Top N charts

• Top N tabular reports from menu

• Drilldown reports

• View more reports from drilldown report components

• Time range selection for dashboard/reporing page:

• Last 30 mins / 1 Hour / 24 hours / 7 days / 30 days

• Historical and real-time data will be presented

• Automatic page refresh every 10 minutes

• Custom time-range

• Only historical data


On-box Reporting: Network overview page


On-box Reporting: Top N reports overview

• Top N reports:

• Policies, Applications, Users, Destinations , URLs, Signatures.

• View by

• All transactions

• Denied transactions

• Allowed transactions

• Data usage

• Up to maximum 5 (ascending to descending)

• View more link to see more Top N data

• Drilldown report from label/bar


On-box Reporting: Tabular reports overview

• View more links from Top N reports

• Menu: Dashboard -> (Users / Destinations /… )

• View by

• Values

• Percentages (against totals)

• Bi-directional sorting on all non-key columns ( Transactions / Allowed transactions/ Denied transactions/ Data usage/ Bytes sent / Bytes received)

• View more entries (10/100/…)

• Embedded graphical representation for transactions column


On-box Dashboard: Tabular views


OnBox Reporting: Drilldown report data

Users Policies URL Application Egress Zone Ingress Zone

Users NA X X X NA NA

Applications X X X NA NA NA

URLs X X NA X

NA

NA

Policies X

NA

X X

NA

NA

Ingress Zones X

X

X X X

NA

Egress Zones X

X

X

X

NA X

Destinations X

X

X

X

NA

NA


On-box Reporting: A sample drilldown report


DEMO

Technology

Надежная защита для малых, средних и распределенных предприятий