Upload
skillfactory
View
5.750
Download
18
Embed Size (px)
DESCRIPTION
Эксперт школы SkillFactory, специалист в области информационной безопасности Сергей Кучеренко – о том, как использовать новую версию ПО Cisco ASA для решения актуальных задач и уверенно ориентироваться в функциях всей линейки Cisco ASA.
Citation preview
Новая Cisco ASA: тотальный контроль над пользователем
Сергей Кучеренко 15 июля 2013
ведущий:
О чем мы поговорим:
§ Обзор функционала межсетевого экрана Cisco ASA
§ Продуктовая линейка и позиционирование устройств
§ История версий программного обеспечения
§ Варианты управления устройством
§ ASA-‐CX – новый уровень обеспечения безопасности
§ Защищаем виртуальные среды с помощью ASA 1000v
§ Подбор ASA и лицензии под нужную задачу
Функции Firewall: 1. Сегментация сети – разделение сети на зоны доверия и контроль прохождения трафика между зонами. Сегментация происходит за счет назначения каждому интерфейсу уровня безопасности (Security Level) Security Level – число в диапазоне от 0 до 100 (100 – самый безопасный, 0 – самый опасный) Правила Security Levels: § Traffic from higher to lower Security Level – permihed by default § Traffic from lower to higher Security Levels – denied by default для прохождения трафика
нужно явное разрешение в ACL § Idenncal Security Levels -‐ denied by default
Internet
WEB Server
DMZ Zone
Inside Zone
Outside Zone
permit tcp any WEB_SRV eq 80
100
50
0
Обзор функционала межсетевого экрана Cisco ASA
2. Statefull Firewall (межсетевой экран, хранящий информацию о сессиях) – если трафик разрешен по правилам Security Levels, ASA создает запись об этой сессии в таблице сессий. Получив пакет, ASA проверяет, является ли он частью ранее созданной сессии, и если да, то такой пакет пропускается.
Protocol Source IP Source Port Dest. IP Dest. Port Timeout
UDP 192.168.1.10 1024 1.1.1.10 53 20s
TCP 192.168.1.10 1025 1.1.1.1 80 3600s
Internet
WEB Server vk.com 1.1.1.1
DNS Server 1.1.1.10
192.168.1.10
S_IP:192.168.1.10
D_IP:1.1.1.10
D_Por:53
S_Por:1024
Data: DNS Req
S_IP:1.1.10
D_IP:192.168.1.10
D_Por:1024
S_Por:53
Data: DNS Resp
S_IP:192.168.1.10
D_IP:1.1.1.1
D_Por:80
S_Por:1025
Data: hhp req
S_IP:1.1.1
D_Por:1025
S_Por:80
Data: hhp Resp
D_IP:192.168.1.10
2. Applica\on Inspec\on – инспекция протоколов на 7 уровне модели OSI Контроль большого количества приложений на соответствие их поведения описанным политикам (есть встроенные политики, также есть возможность тонкой настройки). Кроме того, для приложений, использующих динамические подключения (ex: SIP), ASA использует Applicanon Inspecnon для создания дополнительных сессий.
Internet
SIP Client permit tcp any PBX_SRV eq 5060
To TCP/5060 Хочу позвонить на номер 111 мой IP:5.1.1.1 и номер 112
From TCP/5060 Ок! Connect to IP:10.1.1.10 port UDP 16543
Voice DATA To UDP/16543
Voice DATA From UDP/16543
IP PBX
ASA Change 10.1.1.10 to 6.1.1.10
5.1.1.1 6.1.1.10
Dynamically Open port UDP16543
4. NAT – трансляция сетевых адресов в пакетах при прохождении межсетевого экрана Виды NAT:
§ Object NAT – простой в настройке вид NAT, делаем трансляцию только source IP Sta%c NAT, Dynamic NAT, Sta%c PAT, Dynamic PAT § Twice NAT – более сложный, но более гибкий вид NAT, есть возможность транслировать
как Source (Sta%c NAT/PAT, Dynamic NAT/PAT), так и Desnnanon (для Des%na%on только Sta%c)
§ Iden\ty NAT – трансляция адреса в себя же Sta%c NAT, используется при настройке VPN
5. Firewall Modes – устройство может работать в двух режимах:
Routed mode – ASA работает как L3-‐устройство, выступая шлюзом по умолчанию для ПК, подключенных в сети ее интерфейсов, и может обмениваться маршрутной информацией с другими L3-‐устройствами с использованием протоколов динамической маршрутизации. Применение: Периметр сети/Сегментация кампуса
Transparent mode – ASA работает как L2-‐устройство. Устанавливается в разрыве сети на пути следования трафика – такой вариант не требует редизайна адресного пространства. Применение: Сегментация кампуса/ЦОД
6. Virtualiza\on – в рамках одного физического устройства есть возможность создать несколько виртуальных. Эти виртуальные устройства будут независимые (единственное, в чем они едины – это количество аппаратных ресурсов физического устройства). Виртуальная ASA = Context
7. High Availability – возможность организовать отказоустойчивую группу из межсетевых экранов, когда при выходе из строя одного из устройств трафик продолжает идти через другое. Методы High Availability:
§ Failover A. Ac%ve/Standby – одно устройство обрабатывает все запросы (Acnve), второе устройство
хранит информацию о текущих подключениях и ожидает (Standby) выхода из строя первого.
B. Ac%ve/Ac%ve – используется принцип виртуализации. Два устройства разделяются на контексты (ex: 1, 2). При этом первое устройство будет Acnve для первого контекста (1-‐A), а второе будет активным для второго контекста (2-‐A), в случае отказа первого устройства весь трафик будет обрабатываться вторым.
.2 .2
.2 .1
.1 .1
§ Clustering – реализация High Availability, при которой все устройства занимаются обработкой пользовательского трафика. Устройства делятся на следующие роли: ü Master – одно устройство на кластер, все настройки выполняются через него ü Slave – все остальные устройства в кластере
С точки зрения обработки пакетов ASA в кластере делятся на следующие роли:
SYN-‐ACK
2. Запрос владельца
3. Инф
ормац
ия о
влад
ельц
е
4. SYN-‐ACK
ü Connec%on Owner (Владелец) – та ASA, через которую началась установка соединения ü Director (Директор) – ASA, отвечающая за хранение информации о сессии на случай
выходя из строя владельца, кроме того решает проблемы, связанные с асимметричным трафиком
ü Forwarder – все другие ASA в кластере
Перенаправление трафика: ü Ether Channel load balancing ü Equal Cost Mulnpath Rounng* ü Route-‐Map* * – Rounng mode only
8. Iden\ty Firewall – возможность создавать списки контроля доступа, используя вместо source ip address логин пользователя в MS AD или группу, в которой находится пользователь. Кроме того, вместо desnnanon IP можно использовать FQDN. Немного истории: Первоначально для IP to User/Group Mapping использовался Cisco Acnve Directory Agent – ПО, устанавливаемое на контроллер домена либо на любой сервер, входящий в домен. На смену ему пришел Context Directory Agent – виртуальный appliance под Linux.
1. Запрос списка пользователей и групп
2. Информация о User Login через WMI
3. Запрос списка User-‐to-‐IP mapping 4. Вход John в
систему
5. John вошел с адреса 10.1.200.3
6. Проверка ACL
VPN Concentrator: ASA имеет поддержку различных видов VPN-‐технологий 1. Site-‐to-‐Site VPN – объединение сетей двух разнесенных офисов через Интернет. Site-‐to-‐Site VPN на ASA основан на crypto-‐map
2. Remote Access VPN – предоставление доступа к корпоративным ресурсам удаленным сотрудникам и мобильным пользователям. Разделяется на несколько видов: § Client VPN – требует установку на устройство пользователя специализированного ПО (VPN
Client). На сегодняшний день есть два типа клиентов, отличные по функционалу.
ü Cisco Easy VPN Client – использует в качестве транспорта набор стандартов IPsec, для согласования параметров ikev1. При установке на клиенте создается виртуальный сетевой адаптер, на который после успешной аутентификации и получения конфигурации с ASA будет назначен IP-‐адрес из корпоративной сети.
Использование клиента не требует лицензий. Клиент больше не поддерживается и не обновляется.
Host B
195.5.110.1/24
192.168.110.0/24
195.5.111.10/24
192.168.151.10/24 Route to: 0.0.0.0/0
Username/Password/Cernficate
Configuranon (IP/DNS/WINS)
SRC_IP: 192.168.151.10
DST_IP: 192.168.110.10
Original IP Packet
SRC_IP: 195.5.111.10
DST_IP: 195.5.110.1
IPsec Header
Проверить включен ли Firewall
Расширенная конфигурация (Proxy Server Auto Update)
Internet
Proxy Server
ü Сisco AnyConnect Secure Mobility Client – использует в качестве транспорта SSL либо IPsec ikev2. Клиент существует под все популярные стационарные (образ клиента должен быть загружен в Flash ASA) и мобильные (загрузка из соответствующего market) OS
В сравнении с традиционным Easy VPN Client имеет ряд преимуществ: § Возможность установки клиента на мобильные устройства § Оценка состояния рабочей станции (Host Scan) § Start Before Login – запуск VPN требуется для входа в систему § Always ON VPN – автоматически запускать клиента при входе в систему § Перенаправление hhp/hhps/�p трафика на Cisco Web Security Appliance § Сам клиент имеет модульную структуру, которая дает целый ряд дополнительных
возможностей, не имеющих прямого отношения к VPN: a) Менеджер проводных и беспроводных подключений b) Клиент Cisco ScanSafe
Internet
195.5.110.1/24
192.168.110.0/24
195.5.111.10/24
192.168.151.10/24 Route to: 0.0.0.0/0
Аутентификация на WEB-‐портале Client Download
SRC_IP: 192.168.151.10
DST_IP: 192.168.110.10
Original IP Packet
SRC_IP: 195.5.111.10
DST_IP: 195.5.110.1
SSL Header
Сбор информации о состоянии системы
OS Version/Annvirus type/Firewall type ...
Username/Password
Se�ngs
SRC_IP: 192.168.151.10
DST_IP: 192.168.110.10
SRC_IP: 192.168.151.10
DST_IP: Facebook
Client less VPN – никакого специализированного ПО пользователю не требуется, достаточно наличия браузера с поддержкой SSL. На ASA создается SSL VPN-‐портал, на котором в самом простом случае может осуществляется публикация hhp/hhps/cifs ресурсов. При использовании browser plugin (java applet) добавляются: § RDP § Telnet/SSH § VNC
Internet 195.5.110.1/24
Аутентификация на WEB-‐портале
Аутентификация на WEB-‐портале
IT user
Finance user
IPS: В основе IPS (Intrusion Prevennon System) от Cisco лежат три основных подхода: 1. Сканирование трафика на соответствие известным сигнатурам атак 2. Информирование администратора о сетевых аномалиях 3. Проверка репутации IP-‐адресов сети Интернет на их возможную зловредность В ASA функции IPS реализуются в виде: § Специальных аппаратных модулей (старая линейка ASA 55xx, а также ASA5585-‐X) § Программных модулей (новая линейка ASA 55xx-‐X) Функционал открывается лицензией. Сканировать можно как весь проходящий через устройство трафик, так и трафик с/для определенных IP-‐адресов.
Internet
WEB Server
Client-‐Server traffic
Проверка репутации
Проверка сигнатурами
Проверка на аномалии
Cisco Inelegance Operanons
Signature update Reputanon update
История версий программного обеспечения
8.3
Историческая эволюция
§ Изменен принцип работы NAT/ACL § FQDN support in ACL § Global ACL
8.4,8.5
§ IKEv2 § Etherchannel § Idennty Firewall
8.6,8.7
§ New family 5500-‐X § ASA 1000V § So�ware IPS
9.0,9.1
§ Trust Sec Support § So�ware ASA CX § ScanSafe Support § Mixed Mode
Подробную информацию о новых функциях можно найти по ключевой фразе Cisco ASA New Features by Release, введенной в Google
WHY?!?!
Варианты управления устройством
CLI: § Классический способ управления § IOS like интерфейс с небольшими отличиями § Не все функции устройства могут быть настроены из CLI ASDM: § Графический интерфейс на Java § В ASDM launcher можно добавить несколько устройств и
быстро переключаться между ними § Не все функции устройства могут быть настроены из ASDM Cisco Security Manager: § Централизованное управление большим количеством
устройств § Управление на основе политик § Интегрированный менеджер событий
ASA-‐CX – новый уровень обеспечения безопасности
ASA CX – межсетевой экран нового поколения, задачей которого является обеспечение пользовательского доступа на основе КОНТЕКСТА Контекст: § Кто инициатор соединения (User login/User Group) § Чем соединение инициировано (Device type/User Agent) § Откуда инициировано соединение (Office/Out of office) § Какое приложение используется (HTTP/Torrent/Skype) § Какое микро-‐приложение используется (Facebook Games/Photos Upload)
ASA CX – как это выглядит? 1. Аппаратный модуль в ASA5585X (CX SSP), установка только в slot 1. На текущий момент доступна установка в SSP-‐10 и SSP-‐20. CX для SSP-‐40, SSP-‐60 в Roadmap 2. Программный модуль в ASA5500-‐X (приобретается в составе bundle либо как дополнительная лицензия). Кроме того, для ASA5500-‐X требуется установить 120GB SSD для хранения логов 3. Лицензии: § AVC (Applicanon Visibility and Control) – распознавание и мониторинг приложений § WSE (Web Security Essennal) – URL-‐категории и WEB-‐репутация Лицензии продаются в виде: AVC only or WSE only or AVC+WSE Нет ограничения по количеству пользователей, чем производительней устройство, тем дороже лицензии. Подписка приобретается на 1/3/5 лет.
ASA CX – какая производительность? Измерение производительности проводилось для EMIX (Enterprise Mix) профайла трафика.
ASA CX – как туда попадает трафик? Перенаправления, как и для IPS-‐модуля, происходит с помощью Service Policy. Может быть перенаправлен как весь трафик, проходящий через устройство, так и выбранный администратором. Ключевое слово auth-‐proxy должно быть использовано в случае Acnve Authenncanon* * будет рассмотрено далее
ASA CX – как модуль обрабатывает трафик? Есть отличия в обработке HTTP и не HTTP трафика: § Не HTTP трафик –
§ HTTP-‐трафик –
ASA CX-‐Module ASA Фильтрация по L3/L4 header Пассивная аутентификация
Опознание приложения
Политика на основе: Source: User/Group/Device/Address… Service: Applicanon/Service group… Des\na\on: Address/URL Ac\on: Deny/Permit
ASA CX-‐Module ASA Фильтрация по L3/L4 header Пассивная аутентификация
Опознание приложения Трафик классифицирован как HTTP
Проверка URL-‐категории и репутации
Активная аутентификация, кроме того, в политиках с действием Allow есть возможность делать фильтрацию по типам файлов и микроприложениям
ASA CX – как проходит аутентификация пользователей? ASA CX предлагает два способа аутентификации пользователей: § Ac\ve Authen\ca\on – применяется только к HTTP-‐трафику, для проведения аутентификации
используется: ü Kerberos/NTLM – в случае, если пользователь уже вошел в систему, для него прозрачна,
если пользователь не вошел в систему – происходит переключение на следующий метод ü Basic – применяется для LDAP-‐каталогов. Пользователь видит в браузере приглашение на
ввод логина и пароля
§ Passive Authen\ca\on – применяется для любого типа трафика, возможна только в домене MS Acnve Directory. Для получения соответствия Username-‐to-‐IP используется Cisco Context Directory Agent. Список групп и пользователей ASA, как и в случае с Idennty Firewall, получает с сервера MS AD. При настройке политики с пассивной аутентификацией в качестве резерва может быть указана активная аутентификация.
ASA CX – как управляется? Управление функционалом CX происходит с помощью Prime Security Manager (PRSM): § Графический интерфейс на HTML-‐5 § CLI только для инициализации и восстановления системы Управление ASA CX с помощью PRSM может осуществляться двумя способами: § Local – на каждом модуле PRSM доступен локально § Centralized – PRSM установлен на выделенном физическом или виртуальном сервере и
выполняет настройку и сбор информации с нескольких ASA-‐CX. Кроме того, при использовании этой модели появляется возможность предоставлять Role Based Access Control для администраторов.
Варианты Centralized PRSM: Cisco UCS Virtual Machine
ASA CX – как настраивается? ASA CX имеет три основных типа политик, с которыми необходимо работать администратору (последовательность обработки политик различного вида проводится устройством, как указано ниже): 1. Iden\ty Policy – описывают, требуется ли аутентификация для приведенного в политике сочетания Source/Service/Desnnanon, если требуется, то указывается тип аутентификации (Acnve/Passive). Проверка Idennty-‐политик происходит сверху вниз Последнее правило в списке –
2. Decryp\on Policy – описывает, требуется ли дешифрование трафика для приведенного в политике сочетания Source/Service/Desnnanon. В случае действия Decrypt CX работает по принципу Man-‐in-‐the-‐Middle. Для того, чтобы эта схема заработала, сертификат ASA CX должен быть помещен в Root Trusted на стороне клиента. Политики проверяются сверху вниз Последнее правило в списке –
1. Согласование алгоритмов
1.а. Согласование алгоритмов
2. Аутентификация сертификата сервера
3. CX генерирует прокси сертификат сервера для клиента 4. Клиент
аутентифицирует сертификат сервера
5. Генерация ключей 5.а. Генерация ключей
3. Access Policy – задает действие Deny/Permit для приведенного в политике сочетания Source/Service/Desnnanon. Где: Source – User/User Group/Device/User Agent/Network Service – Applica%on/Port Des%na%on – Network/URL/FQDN Кроме стандартных действий Permit/Deny для каждой политики доступно включение захвата пакетов и лога событий. Для HTTP-‐трафика и политик с действием Allow также доступно: § File filtering – типы файлов, которые необходимо блокировать § Web reputa%on – проверка сайтов на их потенциальную зловредность с помощью WBRS (Web Based Reputanon Score)
Защищаем виртуальные среды с помощью ASA 1000v
В современном ЦОД безопасность должна быть обеспечена как для трафика, входящего и покидающего ЦОД, так и для трафика, циркулирующего между виртуальными машинами. § North-‐south traffic – трафик, входящий в ЦОД и покидающий его. Для защиты используются
аппаратные решения ASA/IPS § East-‐west traffic – трафик, циркулирующий между виртуальными машинами и tenants внутри
ЦОД. Защита обеспечивается с помощью:
ü Virtual Security Gateway (VSG) – решение, способное обеспечить контроль трафика в рамках одного VLAN
ü ASA 1000v – виртуальная ASA, основной задачей которой является наложение политик доступа на трафик, циркулирующий между сетевыми сегментами
ASA 1000v – как это выглядит? Поставляется как OVA file, в процессе его развертывания пользователю нужно пройти несложный wizard Важная информация: § Обязательно наличие Nexus 1000v (только в его port-‐group могут включаться интерфейсы ASA) § Режим работ только Routed § Только два интерфейса для трафика данных (Inside/Outside) § Динамическая маршрутизация не поддерживается § Remote Access VPN не поддерживается В остальном устройство работает аналогично обычной ASA Устройство приобретается в виде лицензии, определяющим моментом является количество CPU сервера, на котором будет происходить deployment. Количество устройств, которые можно развернуть, при этом не ограничено.
ASA 1000v – какая производительность? ASA 1000v – как управляется? Есть два варианта управления устройством, вариант управления выбирается в процессе deployment, не подлежит изменению после развертывания
1. ASDM/CLI 2. VNMC
ASA 1000v – как разворачивается? 1. Создание необходимых VLAN и Port-‐Profile на Nexus 1000v 2. Начало Deployment ASA, добавление интерфейсов в VLAN
3. Выбор варианта работы устройства (Standalone/Primary/Secondary)
4. Настройка параметров Management Interface/Failover/Выбор режима работы
В случае выбора варианта VNMC необходимо по окончании процесса Deployment подключиться к консоли устройства и добавить pre-‐shared key для связи с VNMC После этого ASA регистрируется на VNMC и все дальнейшие настройки выполняются через интерфейс VNMC При выборе варианта ASDM – ASA настраивается традиционным способом, через ASDM или CLI
Подбор ASA и лицензии под нужную задачу
§ Размещение устройства в сети (Интернет/ЦОД/Кампус/Удаленный офис)
§ Примерная схема внедрения устройства (Режим работы/Метод отказоустойчивости)
§ Определить, какие дополнительные функции необходимы (Виртуализация/IPS/Content
Security)
§ Определение количественных показателей:
ü Сколько физических интерфейсов необходимо (кроме того, их скорости и типы) ü Какая производительность потребуется (ширина интернет-‐канала/стандартные уровни
нагрузки в сети)
ü Примерное количество соединений в секунду, которые будут устанавливаться (не всегда
необходимо)
ü Сколько VPN-‐подключений потребуется и какого типа ü и т. д.
Выбор устройства: ТТХ младших моделей (5505/5510/5512-‐X) – hhp://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/data_sheet_c78-‐701253.html
ТТХ средних моделей (5520/5525-‐X/5540/5545-‐X/5550/5555-‐X) – hhp://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/data_sheet_c78-‐701808.html
ТТХ старших моделей (5585-‐Х) hhp://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/product_data_sheet0900aecd802930c5.html
Выбор лицензии: На младших моделях ASA (5505/5510/5512-‐X) присутствует деление на лицензии Base и Security +, и уникальная для ASA5505 лицензия на количество подключенных ПК Base:
§ Ограничение по количеству VLAN и Trunks (5505/5512-‐X) § Ограничение по количеству VPN-‐подключений (5505) § Ограничение по количеству соединений § Ограничение по скорости интерфейсов (5510)
Security + § Устройство работает в полную меру своих аппаратных возможностей
Количество ПК (5505): § 10/50/Unlimited
Кроме того, для всех устройств могут приобретаться лицензии на § Контексты (кроме 5505) § Количество VPN-‐клиентов § Функционал Unified Communicanons § IPS/Content Security § и другие функции
Подробнее: hhp://www.cisco.com/en/US/docs/security/asa/asa91/license/license_management/license.html
License Notes:
§ Подключение клиентов Easy VPN не лицензируется § AnyConnect VPN подключения бывают двух типов
§ Существуют временные лицензии практически на все функции § При использовании High Availability лицензии приобретаются только на Acnve-‐устройство
Полезные ссылки: BRKSEC-‐2699 – Deploying Next Generanon Firewalling with ASA-‐CX (2013 London) hhps://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=6050&backBtn=true Cisco PRSM Configuranon Guide hhp://www.cisco.com/en/US/docs/security/asacx/9.0/user/guide/b_User_Guide_for_ASA_CX_and_PRSM_9_0.html ASA 1000v lab video hhp://www.labminutes.com/video/sec/ASA%201000V Nexus 1000v lab video hhp://www.labminutes.com/video/rs/Nexus%201000V
И напоследок Не пропустите ни одного интересного события! hhp://skillfactory.nmepad.ru/subscribe Подписывайтесь на наш канал YouTube с записями вебинаров: hhp://www.youtube.com/subscripnon_center?add_user=skillfactoryvideo Презентации c вебинаров SkillFactory на SlideShare: hhp://www.slideshare.net/SkillFactory