Защитасетив глубину - cisco...•buffer overflows •activex controls •network...

© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1

Защита сети вглубину

Владимир Илибман

Системный инженер[email protected]


Содержание

� Типичные задачи внутренней защиты сети

� Контроль доступа к сети–Идентификация и аутентификация доступа к сети

–Расширенный контроль доступа (Network Admission Control)

� Внедрение политики безопасности и защита от атак спомощью Cisco Security Agent

� Выполнение регуляторных требований


Безопасностьизнутри“Типичные” задачи


Корпоративная сетьКорпоративная сеть

Мобильные сотрудникиМобильные сотрудники Домашние офисыДомашние офисы

Актуальные задачи

Эффективностьантивирусов

Доступ“везде” и“всегда”

КонтрольдоступаГости

Утечкиинформации

Политикабезопасности

Обеспечение безопасного доступа к корпоративнымресурсам для удаленных пользователей с мобильныхустройств (PDA, телефоны, ноутбуки) через публичный

WiFi, GPRS-EDGE, Dial-up, 3G…

Гостевой вход в вашу сеть для посетителей – доступ кгостевым ресурсам и Интернет, публичный WiFi

Обеспечение контроля доступа – надежнаяаутентификация, авторизация доступа к ресурсам,

интеграция с корпоративным каталогом (ActiveDirectory, LDAP), единый логин (Single-Sign-On)

Традиционные антивирусы и средства поискавредоносного ПО теряют эффективность из-за огромногоколичества подвидов и модификаций вредоносного кода

Локальное хранение конфиденциальных данных, мобильность пользователей, множество

коммуникационных интерфейсов (USB, FireWire, Bluetooth…), неконтролируемое ПО (ICQ, P2P, “трояны”)

Внедрение и выполнение корпоративной политикибезопасности, разделение полномочий Net Ops и Sec Ops, выполнение требований стандартов и внешнего аудита

(SoX, ITIL, VISA PCI, HIPAA)


Корпоративная сетьКорпоративная сеть

Мобильные сотрудникиМобильные сотрудники Домашние офисыДомашние офисы

Механизмы решения

Эффективностьантивирусов

Доступ“везде” и“всегда”

КонтрольдоступаГости

Утечкиинформации

Политикабезопасности

Cisco Security Agent

AnyConnect клиент

Cisco Secure Desktop

Network Admission Control

Identity-Based Network Services

Cisco MARS

Cisco Security Services

Cisco Security Manager


Контроль доступа ксетиИдентификация иаутентификациядоступа к сети


Эволюция контроля доступа

Аутентификация доступак ОС и приложениям

Расширенныйконтроль доступа

Идентификация иаутентификация доступа к

сети

1990s

Сейчас

ГрядетОт пароля к

анализу контекста

Логин, пароль, ключевые носители

NAC

IBNS(Identity-Based

Network Services) –

802.1x


Identity-Based Networking Services

Идентификация и аутентификация доступа к сети

MAC идентификация

IEEE 802.1X

Веб-аутентификация

Сisco Secure ACS

Cisco MARS

Cisco SIMS

CiscoWorks


Модель контроля доступа к портамстандарта 802.1x

Запрос на обслуживание(соединение)

Аутентификация Взаимодействие схранилищем

идентификационнойинформацииКлиент

(supplicant)• ПК/Ноутбук• IP-телефон• КПК•Телефон

Аутентификатор

• Коммутатор• Маршрутизатор• Точка доступа WLAN

Сервераутентификации

• MS IAS• Cisco Secure ACS• Любой сервер RADIUS

Хранилищеидентификационной

информации

• MS Active Directory• LDAP• NDS• ODBC• IBM Identity Manager

802.1XEAP


IEEE 802.1x и EAP

� 802.1x это стандарт IEEE (framework) нацеленный на контрольдоступа к порту коммутатора или беспроводной сетис помощью аутентификации

� EAP –протокол (RFC 2284, 3748) для передачиаутентификационной информации (механизмы не описываются)

� Типы EAPEAP-TLS: использует сертификаты x.509 v3 PKI и механизм TLS дляаутентификации

PEAP: защищенный EAP туннель - туннелирует другие типы EAP взащищенном соединение (TLS)

EAP-FAST: функционирует без наличия сертификатов; туннелирует другиетипы EAP в TLS

802.1x Header

Ethernet Header

RADIUS

IP Header

EAP Payload

UDP

EAP Payload


Выбор протокола EAP

ДаНетНетПоддержка Fast Secure Roaming

НетДаДаСерверный сертификат ?

НетНетДаСертификат клиента ?

НизкаяСредняяВысокаяСложность внедрения

Низкое/СреднееВысокоеВысокое

Влияние напроизводительностьRADIUS сервера

Да(с помощью C-SSC)

Да(с помощью C-SSC)

НетПоддержка одноразовыхпаролей

Cisco Secure Services Client (C-SSC), Linux,

Vista

XP, 2000, CE,Vista, Linux,и другие

XP, 2000, CE, Vista, Linuxи другие

Доступность клиентов дляОС

ДаДаN/APassword Expiration (AD)

ДаДаДаLogin Scripts (Active Directory)

EAP-FASTPEAPEAP-TLS


Клиенты 802.1x

� Windows Vista/Longhorn —поддержка EAP-Host ( модульнаяархитектура)

� Windows XP SP2, Windows 2000SP4, Windows 2003—EAP-MD5, EAP-TLS, PEAP w/EAP-MSCHAPv2, PEAP w/EAP-TLS

� Windows Mobile – Ограничено(EAP-TLS, PEAP)

� Unix/Linux— Open1X, Xsupplicant(EAP-MD5, EAP-TLS, PEAP/MSCHAPv2, PEAP/EAP-GTC)

� IP Phone - Ограничено

� Windows ME/98/NT4—Ограничено

� Apple OS X 10.3— EAP-TLS, EAP-TTLS, LEAP, PEAP, EAP-MD5)

� Принтеры, камеры наблюдения -Ограничено

Windows HP Jet Direct

Solaris

7920

Apple

IP Phones

WLAN APs

Pocket PC

Какие системы поддерживаются?


Функции

� Унифицированный клиент для

проводной и беспроводной сети

� Поддержка индустриальных стандартов

� Целостность конечного узла

� Поддержка Single sign-on

� Поддержка групповых политик

Преимущества

� Минимизация возможности

компрометации сети

инфицированными устройствами (NAC)

� Разнообразная аутентификация

� Упрощенное внедрение по сравнению

со стандартными клиентами 802.1x

� Централизованное внедрение

Cisco Secure Services Client

Клиент 802.1xSSC

• поддержка CCX и NAC• EAP: EAP-FAST, -MD5, -MSCHAP, -TLS, - GTC, PEAP, TTLS, Cisco LEAP• Шифрование: WEP, Dynamic WEP (802.1x), WPA, WPA2, AES, TKIP

Windows SSO: AD аутентификацияNovell SSO: Contextless и context-based логин

• RSA SecurID tokens• One-time password (OTP) tokens• Смарткарты (Axalto, Gemplus, SafeNetiKey, Alladin)• сертификаты X.509

• Централизованное внедрение агентов иконфигураций• Обновление конфигураций с консолиадминистратора


802.1X и IP-телефония: Возможныеограничения

1 Порт прошел аутентификацию

Телефон без поддержки 802.1x



2 PC отключается

X √?3 Порт аутентифицирован

Если пользователь отключится, портостанется аутентифицированным 802.1X

Телефон без поддержки 802.1x



� Нелигитимный пользователь получает доступ к порту спомощью спуфинга MAC адреса, и полностью игнорирует802.1X— ДЫРА БЕЗОПАСНОСТИ

� Чтобы обойти эту проблему, некоторые заказчики включаютпериодическую реаутентификацию конечных устройств

� Несмотря на любые обходные пути приходится исходить изФАКТА, что станция может быть подменена и коммутатор споддержкой 802.1x об этом узнает с опозданием

4 Нелигитимныйпользователь √?

3 Порт аутентифицирован


Решение от Cisco

� Телефон шлет сообщение EAPOL-Logoff от именикомпьютера в случае отключения интерфейса

� Multi-Domain-Auth (многодоменная аутентификация ) вIOS 12.2(35)SE

� Порт коммутатора аутентифицирует PC и IP телефоннезависимо

� Поддержка .1x функциональностиНа Voice-VLAN и на Data-VLAN

� Решение поддерживает статическую и динамическуюконфигурацию IP-телефона (для VoiceVID)

� Телефоны Cisco, которые поддерживают 802.1x 7906/7911/7931/7941/7961/7970/7971 (v. 8.2(1))


Подходы к выбору дизайна 802.1x

Запрос на обслуживание(соединение)

Аутентификация Взаимодействие схранилищем

идентификационнойинформации

802.1XEAP

1. Выбор протоколааутентификации EAP

3. Выбор клиента 802.1x (сапликанта) 5. Выбор серверааутентификации

2. Определениеплатформы итипа end-point,

4. Требования к интеграциис корпоративным каталогоми хранилищем учетных записей


Расширенныйконтроль доступа -Network Admission Control


Традиционная защита сети

Идентичность

ГостевойГостевой входвход

IBNSIBNS

сотрудникисотрудникиЗащитаконечныхустройств

АнтишпионскоеАнтишпионское

ПОПОПерсонПерсон..

брандмауербрандмауерHIPSHIPS

антивирусантивирус

Сетеваябезопасность

IDS/IPSIDS/IPS VPNsVPNs

брандмауерыбрандмауеры

X Защита одиночных устройствнеуспешна:Большинство компаний имеет AV, но эпидемии существуют!Программная защита подвержена манипуляцииЗадержка между вирусами и антивирусными патчамиЧужые компьютеры не соответствуют политике безопасности

X Изолированнаяаутентификацияпроваливается:Проверяется пользователь, ане устройство. Контрольосуществляется на периметре

X Сетевая безопасностьв одиночку терпит фиаско:Брандмауеры не могут блокироватьлегитимные портыVPN не могут блокировать легитимныхпользователейТрудно фильтровать внутреннихпользователейДетектирование постфактум


Что такое Network Admission Control?

Network Admission Control (NAC) – это решение, которое использует сетевую инфраструктуру дляпроверки всех устройств, подключающихся к сети, насоответствие политике безопасности

Защитаконечныхустройств

Сетеваябезопасность

SiSi SiSi

Please enter username:

Идентичность

NACNAC


Как должна работать технология контролядоступа в идеале

� Разрешать подключение к сети только аутентифицированнымпользователям и устройствам

� Поддержка широкого спектра устройств – разные ОС, КПК, телефоны

� Разрешить администраторам устанавливать политикубезопасности – требования к конфигурации устройств

� Проверять конфигурацию устройств (наличие антивирусов исредств защиты, наличие обновлений ОС и антивирусов, состояние антивирусных проверок) на соответствие политикебезопасности до получения доступа к запрошенным ресурсам

� Обнаружение несоответствующих политике узлов

� Карантин для несоответствующих узлов

� «Лечение» несоответствующих устройств


Подход 1: интегрированныйСтруктура NAC (NAC Framework)

� Вся сеть построена на оборудовании одного вендора

� Есть человеческие и временные ресурсы на внедрение

� Не требуется никаких «навесных» решений

� Трудности интеграции с партнерским ПО(антивирусами, системами оценки уязвимостей…)

Коррективы(Партнер)

CiscoTrustAgent

Политикааутентификации

Обнаружение

Cisco Secure ACS(AAA)

Policy

Применение


Подход 2: наложенныйNAC Appliance (раньше - CleanAccess)

� Сеть гетерогенная или производитель неподдерживает NAC

� Надо внедрить быстро

� Нет человеческих ресурсов на настройку иэксплуатацию

� Управление безопасностью и сетью в разных руках

Политикааутентификации

Применение

Обнаружение

Коррективы

CleanAccessAgent


Окноподключения

CiscoNAC Appliance

Internet,E-mail, VPN, etc.

1. Гость открывает Веб-браузер

2. NAC Appliance перенаправляет наокно подключения

3. Гость вводит код доступа

4. NAC Appliance проводитаутентификацию и учет

5. NAC Appliance устанавливаетфильтр и VLAN индивидуальнодля каждого пользователя

Безопасный гостевой доступ: Как этоработает

EnterpriseNetwork

• Коды доступа• RADIUS• LDAP• Active Directory• Kerberos• Local Database

1.

2.3. 5.

4.


Безаутентификации

• Разрешает гостевойдоступ через нажатиекнопки “Гость” иливвода имени/Email

• Необходимо принятьусловия Политикииспользованияресурсов

• Обеспечиваетсяконтроль политикидоступа, полосыпропускания ихарактеристикисессий

• Проводится учет именгостей

• Созданиегостевых и прочихролевых учетныхзаписей локальнона NAC Appliance

• Предоставляетсявозможностьсоздания гостевыхучетных записейадминистраторамлибо секретарям

Созданиеучетных записейна NAC Appliance

Внешнийгостевой портал

Три метода организации гостевого доступа

• Полный жизненныйцикл учетныхзаписей

• Допускаетсяодновременноесоздание/удаление/изменениемножества гостевыхзаписей

• Поддерживаетсявнешняя база/AD для созданиягостевых учетныхзаписейсотрудниками


Решение Cisco GuestNet Manager

� Одноразовый парольгенерируется ипередается NAC Appliance для созданиявременной учетнойзаписи

� Атрибуты временногодоступа могутпечататься иливысылаться по почте

� Журнал по каждомугостю и выделению кодадоступа

� Централизованный портал для регистрации и управленияучетными записями гостей

� Аутентификация сотрудников, которым разрешено“спонсировать” доступ гостей


Внедрение политикибезопасности изащита от атакCisco Security Agent


“Сигнатурный подход” vs “анализ поведения”

� Отсутствие больших эпидемий (в стилеSlammer) в 2006

� Множество маленьких атак и множествовариаций одной и той же атаки

� Рост ботовских сетей (botnet) с уникальнымиуязвимостями

� Изменение образа мышлениякиберпреступников– зарабатывание денегвместо получения известности(аренда botnet....)

Пресекание множества вариантов атак требует системзащиты, анализирующих поведение

Source: www.vejlebib.dk

Пример: http://www.secureworks.com/research/threats/gozi/?threat=gozi


Что делает Host IPS – на примере CSA : Контроль доступа на основе поведения


� идентифицирует ресурсы, к которым получаетсядоступ

� собирает данные об операции

� определяет состояние системы

� обращается к политике безопасности за вердиктом

� выполняет действие (блокировать операцию, разрешить, завершить процесс, запроситьпользователя, внести изменения в политику, записьсообщения в журнал)


Архитектура системы Cisco Security Agent

Manager

Агенты (до 100 000)

Admin. Mgr. Event. Mgr. DB

Единый сервер

Агенты

Windows NT, 2000, XP, 2003, RedHat Linux Enterprise, Solaris

Windows NT, 2000, XP, 2003, RedHat Linux Enterprise, Solaris

Распределенные сервера


Любое приложениеИнтерфейс агента/запросы пользов.

Local Event Manager/Agent Policy Manager

КонтрольAgent Service

Buffer Overflow/Com перехват

Перехватданных

Пользоват.

Ядро

System Call перехватчикKernel Buffer Overflow

Перехватчикреестра

Система

Механизмкорреляцииправил исобытий

Файловыйперехватчик

Перехватчик сетевыхприложений

Disk/RemovableMedia Driver

TCP/IP

Перехватчик сетевоготрафика

Сетевой драйвер (NIC)

Архитектура агента Cisco Security Agent

Мультимедиаконтроль


��Гарантияцелостностифайлов

��Отражениечервей

��Борьба сшпионским ПО

��Хостоваясистемапредотвращенияатак

�РаспределенныйперсональныйМСЭ

Перехватчик

системныхвызовов

Перехватчик

реестра

Файловый

перехватчик

Перехватчиксетевых

приложений

Задача защиты

Роль перехватчиков


Структура политики

Группа

Агент

Политика

Rule

Модули правил

RuleRule

Группа

Политика Политика Политика

Rule


RuleRule

Rule


RuleRule

Rule


RuleRule

Rule


RuleRule

1. Outlook.exe не имеет праваизменять исполняемые файлы

2. Приложения, которыепринимают либо открываютсетевые соединения не имеютправа открывать команднуюоболочку cmd.exe


Возможности CSA : защита от атак

� Выдержка из списка атак, которыеостанавливались CSA с настройками по

умолчанию до выхода официального обновления !

2001—Code Red, Nimda (все 5 разновидностей), Pentagone (Gonner)

2002—Sircam, Debploit, SQL Snake, Bugbear,

2003—SQL Slammer, So Big, Blaster/Welchia, Fizzer

2004—MyDoom, Bagle, Sasser, JPEG browser exploit (MS04-028), RPC-DCOM exploit (MS03-039), Buffer Overflow в сервисе Workstation service (MS03-049)

2005— уязвимость Internet Explorer Command Execution, Zotob

2006—уязвимость Internet Explorer WMF, IE VML уязвимость

2007— Червь Rinbot (7 разновидностей)

2007 — Уязвимость анимированного курсора в Internet Explorer

Смягчает критичность установки security-патчей


Типичный путь атаки: Цель – ресурсы системы

Цель

12

3

45

Probe

Penetrate

Persist

Propagate

Paralyze

•Ping addresses•Scan ports•Guess passwords•Guess mail users

•Mail attachments•Buffer overflows•ActiveX controls•Network installs•Compressed messages•Backdoors •Create new files

•Modify existing files•Weaken registry security settings

• Install new services•Register trap doors

•Mail copy of attack•Web connection

• IRC•FTP• Infect file shares

•Delete files•Modify files•Drill security hole•Crash computer•Denial of service•Steal secrets

зондирование

проник

новени

е

внедрение

распространение

паралич


Пример распространения червяW32.Rinbot.H (февраль 2007 года)

Цель

12

3

45

Probe

Penetrate

Persist

Propagate

Paralyze

•Проверка уязвимыхсервисов и сетевыхресурсов IPC$ со слабымпаролем

•Переполнение буфера• Symantec Antivirus Elevation of Privilege (CVE-2006-2630)• Microsoft Windows Server Service Remote Buffer Overflow (CVE-2006-3439)

• Microsoft SQL Server User Authentication Remote Buffer Overflow Vulnerability (CAN-2002-1123)

•Копирует себя в%System%\mstscc.exe

•Запись в реестрHKEY_LOCAL_MACHINE\...\\Run\"Terminal Services" = %System%\mstscc.exe".

•Создает сервер IRC дляудаленного управления

•Распространение черезсетевые ресурсы IPC$

•Распространение черезпереполнение буфера

• IRC клиент кx.xerro.net

•Отключениепроцессов

•Загрузка файлов•Воровстворегистрационныхданных и файлов


Пример блокирования червяW32.Rinbot.H с помощью CSA

Target

12

3

45

Probe

Penetrate

Persist

Propagate

Paralyze

•Проверка уязвимыхсервисов и сетевыхресурсов IPC$ со слабымпаролем

•Переполнение буфера• Symantec Antivirus Elevation of Privilege (CVE-2006-2630)• Microsoft Windows Server Service Remote Buffer Overflow (CVE-2006-3439)

• Microsoft SQL Server User Authentication Remote Buffer Overflow Vulnerability (CAN-2002-1123)

•Копирует себя в%System%\mstscc.exe

•Запись в реестрHKEY_LOCAL_MACHINE\...\\Run\"Terminal Services" = %System%\mstscc.exe".

•Создает сервер IRC дляудаленного управления

•Распространение черезсетевые ресурсы IPC$

•Распространение черезпереполнение буфера

• IRC клиент кx.xerro.net

•Отключениепроцессов

•Загрузка файлов•Воровстворегистрационныхданных и файлов


Возможности CSA : контроль политики

� Некоторые типа поведения не есть злонамеренные, но могутпротиворечить корпоративной политике использованияресурсов и программ

Приложения P2P

Приложения мгновенного обмена сообщений (IM) с использованием внешнихсерверов

Утечки чувствительных данных

Использование неавторизированных приложений либо версий приложений

� Модуль контроля политики CSA включает

Политику предотвращения воровства данных

Контроль обмена сообщениями

Контроль загрузки медиаконтента (фильмы, музыка)

Контроль сетевого взаимодействия

Также может применяться для выполнениярегуляторных требований


Интеграция CSA в сеть : доверенный QoS

� Каждая организация имеет критичные приложения:Voice over IP

Контроль производства

Финансы

Инвентаризация и CRM

� Другие приложения не столь критичны к задержкамEmail, instant messaging и т.д.

� Третьи приложения имеют ограничения в использованиеЗакачка развлекательного контента, сетевые файлообменники …

� Если компьютер маркирует трафик приложений с помощьюбитов Quality-of-Service (QoS), сеть может приоритезироватьпотоки и работать более эффективно


Пример: HTTPS трафик

Oracle ERP

Browser Class

ICQ, HTTPort

CSA

Destination IP: 192.168.1.0/24

Destination Port: 443

Туннелированиетрафика поверхHTTPS

DSCP: AF31

DSCP: 0

DSCP: 8

Критично

В очередь

Ограничениеполосы либоблокировка


Компоненты Trusted QoS

Обеспечениеприоритезацииклассов трафика

Резервированиеполосы длянаиболее

критичных потоковданных Эта связь делает

Trusted QoS возможным


Устанавливает ипроверяет Differentiated Service (DSCP) наПК/сервере

Предотвращаетнесанкционированнуюустановку DSCP

Сетевоеустройство

Проверяет наличиеCSA

Устанавливаетдоверенную связьмежду сетевымустройством иПК/сервером

Cisco NAC Appliance


Контроль беспроводных соединений

Запрет wireless NIC при включенномпроводном (например, внутри офиса)

Контроль соединения -определенные SSID, шифрование,ad-hoc

Обязательное использованиеFirewall и VPN при работе внеофиса

Приоритезация трафика поприложениям (QoS)

NewNew

in in 55..22!!


Политика CSA зависит от пользователя

� Идентификаторгруппы илипользователя

� Идентификаторопределяется наоснове AD, LDAP, NIS и т.д.

� Использованиелогическогооператора«КРОМЕ»


Политика CSA зависит от состояниякомпьютера

� Реагирование на специфичные условия и ситуации

состояние NAC, уровень безопасности,

текущее местонахождение (IP-адрес, DNS, CSAMC доступен)

� Например, обнаружение инсталляции какого-либоПО автоматически отключает показ большого числазапросов у пользователя

� Если обнаружен червь или троян, то системасамостоятельно блокирует сетевой доступ


Возможности CSA : защита от утечекданных

Создается группа и присваивается политика “Data Leakage”

Время

Защита

Маркировка пакетов через QoS

Отслеживание доступа кконфиденциальным данным с

Ограничения на USB/Bluetooth/сменные нос.

Защита буфера обмена

Контроль местоположения

Блокировкараспространения данных


Возможности CSA : защита удаленныхсотрудников

Создается группа и присваивается политика “Удаленный доступ”

Время

Защита

Контроль беспроводных подключений

Безопасность приложений

Персональный брандмауэр с контролем местопол.

Контроль USB

Контроль использованияприложений


Отличительные особенности

� Возможность прозрачной работы для конечныхпользователей

� Создание замкнутой программной среды

� Встроенная система корреляция

� Автоматическое создание политик безопасности

� Не требуется регулярное обновление

� Официальная поддержка локализованных версий ОСWindows

� Инвентаризация установленных приложений

� Интеграция с сетевой Cisco IPSNewNew

in in 55..22!!


Last but not the leastВыполнениерегуляторныхтребований


Выполнение регуляторныхтребований

� Раздел сайта

Managing Risk and Compliance with the Cisco Self-Defending Networkhttp://www.cisco.com/en/US/netsol/ns625/networking_solutions_sub_solution_home.html

� Доступны описания и шаблоны документов, показывающиесоответствие решений по безопасности Cisco Systems (включаяNAC, CSA, IBNS) стандартам и регуляторным документам:

– CobiT,

– ISO/IEC 17799,

– SoX,

– HIPAA,

– CISP/PCI

…


Дополнительные источникиинформации

� Intrusion Prevention Fundamentals

� Cisco Security Agent

� Advanced Host Intrusion Prevention with CSA

� Cisco Network Admission Control


Вопросы?

Дополнительные вопросы Вы можете задать по электроннойпочте [email protected]

Защитасетив глубину - cisco...•buffer overflows •activex controls •network...

Documents