1 cisco secure edge ruivanov full ·...
TRANSCRIPT
Архитектура защищенного периметра
Руслан ИвановСистемный инженер-консультант[email protected]
02.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.
Защищённый периметр
Основные проблемы обеспечения безопасности:Интернет-периметр наиболее подвержен риску атак, так как является основной точкой входа публичного трафика и основной точкой выхода в Интернет для пользователей и сервисов.
Основные предотвращаемые угрозы:• Уязвимости серверов и сервисов
• Потеря или кража данных• Атака «человек посередине» (MITM)
• DDoS• Неавторизованный доступ
02.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.
02.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.
О чём пойдёт речь?
• Из чего состоит Интернет-периметр?• Защита каналов связи с Интернет и маршрутизации с операторами• Размещение МСЭ и сегментация• Next-Generation Firewall – больше контроля и прозрачности• Защита от угроз: Поиск иголки в стоге сена с помощью NGIPS• WEB-безопасность и контентная фильтрация• Проверка зашифрованного SSL трафика• Безопасность Email• Защита от вредоносного ПО (Malware)• Идентификация пользователей• Анализ сетевого трафика
02.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.
Программа сессии как модель развития
6
Инфраструктура и протоколы
Сетевой МСЭ
МСЭ нового поколения
IPS нового поколения
Безопасность WEB и контентная фильтрация
Мобильный и удаленный доступ
SSL расшифровка и инспектирование
Безопасность электронной почты
Защита от вредоносного кода
(AMP)
Атрибутика пользователя Анализ сетевого
трафикаРеагирование на инциденты
Открытый код и утилиты
На каком этапе развития находится моя организация?
Составные блоки Интернет периметра
02.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.
02.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.
Полный интернет и WAN периметр
ISP-1 ISP-2
DMZсети
Интернет пиринг
Удаленный доступ (VPN) Периметральный МСЭ
WANWAN
периметр
WAN Сервисы
Внутренняя сеть
Внутренняя сеть
Внутренняя сеть
Кампус
12
Ориентированный на угрозы подход
Главная проблема это УГРОЗЫ.Какие ценные ресурсы мне нужно защитить?
§ Интеллектуальная собственность, данные пользователей и заказчиков, § Сетевая и вычислительная инфраструктуры
Каковы возможные угрозы?§ Внутренние и внешние, структурированные и неструктурированные
Как я обнаруживаю и блокирую возникающие угрозы?§ Вот о чем пойдет речь на периметре Интернет
Каков мой подход к расследованию инцидентов?§ Буду ли я ждать, когда проблемы проявятся сами?
10
Начальный дизайн периметра для этой сессии
11
ISP-1 ISP-2
DMZсети
Интернет пиринг
Удаленный доступ (VPN) Периметральный МСЭ
Внутренняя сеть
Защита каналов связи с Интернет и маршрутизации с операторами
02.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.
Интернет периметр – Пиринг
13
ISP-1 ISP-2
DMZсеть
Интернет пиринг
Удаленный доступ (VPN) Периметральный МСЭ
Внутренняя сеть
Главные вопросы:
1. Моя сеть физически безопасна?– Доступ в оборудованию под контролем
2. Я понимаю свою сеть:– Имею дело со сложной инфраструктурой
3. Мои протоколы в безопасности?– Подсистема управления, контрольная и
подсистема данных
4. Я знаю атакующего:– Цели и мотивы, защита от DDOS
5. Я знаю что делать:– Действия по отражению атак
Мы здесь
Принципы и процедуры физической безопасностиОбнаружение попыток захвата устройства
§ НУЖНО обнаружение логина авторизованного админа
§ НУЖНО обнаружение bruteforce SSH§ НУЖНО обнаружение password recovery§ НУЖНО обнаружение замены устройства (UDI)§ НУЖНО проверять целостность устройства
регулярно— OS, конфигурация, файловая система
Невозможность обнаружения прослушки(врезки)
§ НУЖНО защищать все протоколы контрольной подсистемы(BGP, IGP, LDP)
§ НУЖНО защищать все протоколы управления(SSH, SNMP)— Только атаки на подсистему данных
доступны
После каждой перезагрузки, link-down событие, и т.д.
§ Устройство могло быть заменено;;§ Мог быть сделан Password recovery;;§ Проверить систему:
— Unique Device Identifier (UDI), OS, конфигурацию, enable пароль
После неожиданного логинаадминистратора:
§ Сменить пароль на этого админа;;§ Проверить систему:
— OS, конфигурацию, enable парольРегулярно (Пример: раз в 24часа)
§ Проверка системы: — OS, конфигурацию, enable пароль
14
AAA server
Скрипты
Syslogserver
Вы могли пропустить событие!
Проблемы нарушения целостности ПО
Boot ROM
ОС
Конфигурация
ЗАГРУЖАЕТ
ИСПОЛЬЗУЕТ
Уникальный идентификатор устройства (UDI)
• Неправильная настройка• Отсутствие безопасности• Саботаж
• Уязвимость протоколов• Уязвимость ОС• Rootkit
• Физические атаки
• Физические атаки
Проблемы нарушения целостности ПО
16
Boot ROM
ОС с ЭЦП производителя
Конфигурация с контрольной суммой
ПРОВЕРКА НА КОРРЕКТНОСТЬ, ЗАГРУЗКА
Сначала проверяем, потом используем
Безопасный уникальный идентификатор устройства (SUDI) (802.1AR)
Физически безопасно
• SUDI дает глобально уникальную, безопасную идентификацию устройства– Защита от подмены
• Безопасный процесс загрузки– Защита от подмены Boot ROM– Защита от изменения OS
• Безопасные методы программирования– Уменьшает количество уязвимостей
• Процедуры апгрейда
http://standards.ieee.org/finds tds/s tandard/802.1AR-2009.html
Проверка целостности на маршрутизаторах
17
Используйте команду verify /md5 привилегированногорежима EXEC для проверки целостности образа IOS в файловой системе, также можно предоставить контрольный хэш для команды
Router# verify /md5 sup-‐bootdisk:c7600rsp72043-‐advipservicesk9-‐mz.151-‐3.S3.....<output truncated>.....Done!e383bf779e137367839593efa8f0f725
Router# configure terminalRouter(config)# file verify autoНастройте file verify auto Cisco IOS функцию
gdb *, test *, tlcsh *, service internal, attach *, remote *, ipc-‐con *, if-‐con *, execute-‐on *, show region, show memory *, show platform *
Наличие следующих команд обязательно должно привести к расследованию. Символ звездочки * означает любой последующий текст.
IOS поддерживает ЭЦП образов ОС на некоторых платформах. Верификация целостности и аутентичности бинарного файла командой show software authenticity file.
http://www.cisco.com/web/about/security/intelligence/integrity-assurance.html
Router# show software authenticity file c1900-‐universalk9-‐mz.SPA.152-‐4.M2File Name : c1900-‐universalk9-‐mz.SPA.152-‐4.M2Image type : Production
Signer InformationCommon Name : CiscoSystemsOrganization Unit : C1900Organization Name : CiscoSystems
Certificate Serial Number : 509AC949Hash Algorithm : SHA512Signature Algorithm : 2048-‐bit RSAKey Version : A
Проверка целостности на ASAДоступно с 9.3(2) релиза. Отобразить ЭЦП информацию относительно конкретного образа можно командой show software authenticity running в привилегированном режиме EXEC. Вывод показывает:Имя файла в памяти.
Тип образа.Информация подписи, включая:
§ common name, имя разработчика ПО.
§ organization unit, аппаратная платформа развертывания.
§ organization name, владелец образа ПО.
Серийный номер сертификата, который является номером сертификата для ЭЦП.Алгоритм хеширования, который показывает тип алгоритма хеширования использованного для верификации ЭЦП.Алгоритм подписи, идентифицирует алгоритм использованный для верификации подписи.
Версия ключа использованного для верификации.
asa5506-‐X# show software authenticity runningImage type : Development
Signer Information Common Name : abraxasOrganization Unit : NCS_Kenton_ASAOrganization Name : CiscoSystems
Certificate Serial Number : 5448091A Hash Algorithm : SHA2 512 Signature Algorithm : 2048-‐bit RSA Key Version : A
Verifier Information Verifier Name : ROMMON Verifier Version : Cisco Systems ROMMON,1.0.16
ASAv# show software authenticity runningImage type : Release
Signer InformationCommon Name : abraxasOrganization Unit : ASAvOrganization Name : CiscoSystems
Certificate Serial Number : 5476833DHash Algorithm : SHA2 512Signature Algorithm : 2048-‐bit RSAKey Version : A
ROMMON Trust Anchor
19
Лучшие практики по защите IOSРуководство Cisco по защите IOS Devices
§ Обезопасить операционные процедуры— Мониторинг Security Advisories— Использовать AAA, Централизованный сбор логов— Использовать безопасные протоколы
§ Подсистема управления (SSH, SNMP, NetFlow)— Отключить неиспользуемые сервисы, Password Security— Обезопасить сессии управления— Thresholding for Memory, CPU, Leaks— Management Plane Protection (MPP)
§ Контрольная подсистема (ICMP, BGP, RSVP)— Control Plane Policing (CoPP), Protection (CPPr), HW Rate-Limiters
§ Подсистема данных (продуктивный трафик)— Защита от спуфинга с помощью uRPF, IPSG, Port Security, DAI, ACLs— Traffic Access Control
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml
Внутренняя сеть
Описание распределенного отказа в обслуживании (DDoS)
Атаки отказа в обслуживании имеют разную природу§ Атаки уровня приложений
— Отражаются средствами сетевой и хостовой безопасности— Блокируются NGFW, NGIPS, AMP и другими L7 технологиями ИБ
§ Объемные DDoS атаки— Должны обрабатываться на SP Edge или Core— Слишком поздно их блокировать на стороне Enterprise DC/DMZ
DDoS типы основанные на типе используемого трафика§ L3/L4 атаки
— ICMP Flood, TCP SYN, UDP Frag§ Distributed Reflection DoS (DrDoS)Amplification attacks
— DNS, NTP, CharGen, SNMP— UDP-Based, Подмена адреса источника, Усиление трафика в 500+ раз
§ L7 атаки— HTTP GET/POST, SIP, SSL
20
Мы здесь
Варианты защиты от DDOS
В зависимости от сложности используемой технологии§ Черная дыра с помощью Remote Triggered BlackHoling (RTBH)
— BGP фиктивный маршрут анонсируется— Маршрут в null0 или маршрут для сетевой аналитики— RFC 3882, RFC 5635 (D/RTBH и S/RTBH)— Весь трафик для жертвы сбрасывается (хороший и плохой)— Ущерб ограничен, однако жертва все равно не доступна— Избирательно с помощью BGP FlowSpec
§ Match L3/L4 Source, Destination, Port, Size, QoSRate-Limit§ RFC 5575 Dissemination of Flow Specification Rules§ draft-ietf-idr-flow-spec-v6-06, initially draft-raszuk-idr-flow-spec-v6-01
§ Отсев с заворачиванием на инфраструктуру очистки— Централизовано, распределенно, смешанные модели развертывания— Распознавание хорошего и плохого трафика— Только плохой трафик к жертве отбрасывается— Избежание ущерба в случае успешной очистки— AntiDDoS системы высоко интеллектуальны для отражения сложных атак
21
очистка
null0
DDoS сценарии борьбы
Внутренняя сеть
Размещение на периметре SP§ Распределенные фильтры§ Фильтрация трафика входящего в SP
ISP
Внутренняя сеть
ISP
Внутренняя сеть
ISP
Централизованное размещение в SP§ Локальный и удаленный заворот (GRE)§ Централизованная фильтрация HW ресурсами
Collector Collector
Collector
Scrubber
ScrubbingCenter
Размещение на границе Enterprise§ В точке пиринга§ Чистая труба не достижима
Может быть всегда включена с постоянным перенаправлением
Партнерство Arbor Networks и Cisco
Peakflow SP (известный как Collector Platform CP)§ Собирает записи потоков§ Обнаруживает аномальное поведение сети и поднимает тревогу§ Может влиять на маршрутизацию, включая BGP маршруты в сеть§ Поддерживает BGP FlowSpec как контроллер§ Настраивает и мониторит удаленно TMS
Peakflow SP Threat Management System (TMS)§ Настраивается CP, получает перенаправленный траффик и производит углубленный
анализ пакетов§ Отбрасывает пакеты атаки и передает легитимные§ Предоставляет живое средство мониторинга оператору§ Отдельное устройство или модуль в Cisco ASR 9000 - VSM
Размещение межсетевых экранов и сегментация сети
02.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.
Интернет периметр – межсетевые экраны
25
ISP-1 ISP-2
DMZсети
Интернет пиринг
Удаленный доступ (VPN)
ПериметральныйМСЭ
Внутренняя сеть
Основные вопросы:
1. Используется ли отказоустойчивость?– Failover, Etherchannel, Routing, VPN HA
2. Моя сеть правильно сегментирована?– Применение логики уровней безопасности
интерфейсов
3. МСЭ проводит фильтрацию с отслеживанием статуса (Statefull inspection):
– Эффективное управление списками контроля доступа IPv4|v6 ACL
4. Я понимаю мои NAT|PAT правила:– Сложность конфигурации со временем растет
МЫ ЗДЕСЬ
Мой Интернет-периметр сегментирован должным образом
ASA Уровни безопасности интерфейсов (0-100)§ Фундаментальный логический алгоритм§ Применен ко всем физическим и субинтерфейсам§ Далее будут соответствовать NGFW/NGIPS зонам§ Inside доверенный с security-‐level 100§ Outside не доверенный с security-‐level 0§ Баланс между сложностью и изоляцией§ Создайте множество DMZ security-‐level <1-99>§ Организуйте и изолируйте сервера в группы для
ограничения распространения возможной угрозы в случае взлома
ASA Security-level логика:§ От более доверенным к менее доверенным зонам по
умолчанию трафик разрешен§ От менее доверенных к более доверенным
интерфейсам трафику требуется ACL§ По умолчанию no nat-‐control разрешает движение
трафика без соответствующего NAT правила.
ISP-1 ISP-2Internet Peering
RA VPN
InsideNetworks
outside dmz37
dmz50
dmz75inside
МСЭ может стать узким горлом если неправильно подобран по производительности§ МСЭ не является заменой anti-DDOS решению.
Понимайте свои ACL:§ Документируйте правила МСЭ§ Производите регулярные аудиты правил§ Правила с нулевыми совпадениями
— Зачем они здесь? — Тяжелее перейти на новое оборудование, неся за собой сотни ненужных правил— Потенциал создания дыр в будущем из-за боязни удалить правила
§ Правила выхода изнутри наружу более лояльные чем требуется— Мертвые порты/протоколы не используемые бизнесом
§ Правила, настроенные не в том месте— Пользуйтесь STATELESS правилами на маршрутизаторе периметра— Переходите от грубой фильтрации к тонкой
§ Сегментация выполнена неверно— Открытие всех стандартных портов делает контроль неэффективным
§ Используйте утилиты управления с умом для поддержания ACL в приемлемом масштабе
Лучшие практики фильтрации с отслеживанием статуса
Next-Generation Firewall – больше контроля и прозрачности
02.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.
Интернет периметр – Next-Generation Firewall
29
ISP-1 ISP-2
DMZСети
Интернет пиринг
Удаленный доступ (VPN) Периметральный МСЭ
Внутренняя сеть
МЫ ЗДЕСЬ
Основные вопросы:
1. Я контролирую нужный трафик:– Контроль потоков «пользователь» – «приложение»
2. Мой NGFW больше чем просто игрушка:– Использование уровня риска приложений и
релевантности
3. Контекст это намного больше чем маркетинг:– Знание пользователя и атрибутов
4. Я уменьшаю область возможной атаки:– Применение NGFW политик доступа
Мой NGFW это больше чем игрушкаПассивное обнаружение и сбор статистики с помощью Context Explorer: OS and Traffic by IP and User
Понимание трафика хостов по Risk, Intrusion Events, Business Relevance and Web Application
NGFW: риски приложений и релевантность• Понимание используемых приложений в FireSIGHT Application Dashboard
• Понимание приложений по уровню риска и бизнес релевантности на интернет периметре
Риск приложений – вероятность того что приложение может нарушать Вашу политику безопасности. Измеряется от очень низкого до очень высокого.• Peer-to-peer приложения имеют очень высокий риск.
Бизнес релевантность – вероятность того что приложение используется для бизнес целей, а не отдыха. Измеряется от очень низкого до очень высокого.• Приложения для игр имеют очень низкую релевантность бизнесу
Знание контекста – много больше чем маркетинг
• Видимость активности пользователей
• Изучение статистики по пользователям
• Уникальные пользователи по времени
• Траффик по пользователям
• Разрешенные соединения по пользователям
• Запрещенные соединения по пользователям
Я уменьшаю область возможной атаки с политикой доступа
Интерактивно блокировать Специфические протоколы приложений в DMZ финансовых служб
Разрешить приложения низкого риска от пользователей в Интернет
Разрешить протоколы Удаленного управление на DMZ сервисы
Блокировать протоколы приложений VPN/Tunnel, Анонимайзеры от пользовательских групп
Запретить Приложения с высоким риском от пользовательских групп
Защита от угроз: Поиск иголки в стоге сена с помощью NGIPS
02.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.
35
Система защиты от вторжений нового поколения
Основные вопросы:
1. Знаю ли я масштаб угрозы?– Процесс обнаружения и изучения хостов
2. Защищен ли я от актуальных угроз?– Настройка NGIPS для покрытия угроз
3. Я могу сфокусироваться на важном:– Использование уровней воздействия
4. Когда происходит вторжение я об этом знаю:
– Индикаторы компрометации (IoC)
ISP-1 ISP-2Интернет Пиринг
Удаленный доступ (VPN) Периметральный МСЭ
Внутренняя сеть
МЫ ЗДЕСЬ
DMZNetworks
Я знаю масштаб моих угроз
NGIPS с FireSIGHT Management Center постоянно строит и обновляет базу знаний хостовыхпрофилей за счет пассивного мониторинга.База хостовых профилей включает:
§ IP Address, MAC, Hostname, NetBIOS name§ Device (Hops), Host Type, Last Seen§ CurrentUser, User History§ Operating System Vendor/Product/Version§ Client Protocol, Version, Application§ Server Vendor, Version, Protocol, Port, Application§ Web Applications, Version, Content§ White List Violations, Type, Reason, White List§ Malware Detections, Time, Threat, File Name, File Type§ Mapped Vulnerabilities, Name, Remote, Port
36
ISP-1 ISP-2ИнтернетПиринг
Удаленный доступ
ПериметральныйМСЭ
Внутренняя сеть
BRKSEC-3034 Advanced Sourcefire Network Security Analytics: Finding the needle in the haystack
Работа с хостовыми профилями (1/3)Понимание Host OS отчета и Таблицы хостов, применение эластичного поиска.
37
Работа с хостовыми профилями (2/3)Анализ отдельных машин в Host Profile
38
• Базовая информация о хосте: IP Address, NetBIOS Name, Hops from NGIPS, MAC Address, Host Type, Last Seen, CurrentUser
• Индикаторы компрометации(IoC)
• Обнаруженная ОС (OS)
• Обнаруженные серверные приложения на хосте
• Обнаруженные приложения
• Последние 24 часа пользовательской активности
Работа с хостовыми профилями (3/3)Анализ отдельных машин в Host Profile (продолжение)
39
• Аттрибуты хоста, критичность используется в правилах корреляции
• Обнаруженные протоколы
• Нарушения белого списка. Специальный тип корреляционного события, показывающий нарушения в операционной системе, протоколах приложений, веб приложениях и протоколах разрешенных к запуску в подсети.
• Уязвимости, данная секция перечисляет уязвимости, основываясь на ОС, серверных сервисах и приложениях обнаруженных на хосте.– Если Вы импортируете уязвимости из QualysGuard сканера, хостовые профили включат в себя найденные уязвимости.
Я защищен от актуальных угрозFireSIGHT даёт рекомендации для настройки политики предотвращения вторжений
• Вы можете выбрать разрешить ли системе изменить сигнатурный набор в соответствии с рекомендациями. Система добавит сигнатурный уровень правил, доступный только для чтения - FireSIGHTRecommendations layer.
Рекомендации - какие сигнатурыNGIPS должны быть включены или выключены в сигнатурном наборе, основываясь на информации из карты сети
Сфокусируйтесь на главном с флагами воздействия
41
Флаг воздействия
Действия администратора Зачем?
Действуйте мгновенно, уязвимо
Событие соответствуетуязвимости обнаруженной на хосте
Расследуйте, Потенциально уязвимо
Релевантный порт открыт или протокол используется, но нет информации об уязвимости
Для информации, На данный момент не уязвимо
Релевантный порт не используется илипротокол не используется
Для информации, Неизвестная мишень
Сеть мониторится, но хост неизвестен
Для информации, Неизвестная сеть Сеть не мониторится
1
2
3
4
0
• Для каждого события NGIPS, FireSIGHTдобавляет иконку воздействия
• Цвет показывает корреляцию между данными NGIPS, данными обследования сети и информацией об уязвимостях.
• Расследование NGIPS событий вторжений в FireSIGHT Security Analysis Dashboard
42
Когда происходит взлом я об этом узнаюСистема NGIPS коррелирует различные типы событий для обнаружения вероятно взломанных хостов в сети мониторинга:– События вторжений– Security Intelligence – События соединений– Файловые события– События обнаружения вредоносного ПО
Хосты с помеченным активным флагом IoCотображаются в колонке IP Address в виде compromised host иконки вместо иконки нормального хоста
Хост может вызвать множественное срабатывание IoC тегов. Вы можете пометить хост как IoC resolved, что удалит тег IoC с хоста.
Секция хостового профиля The Indications of Compromise показывает все IoC теги для хоста.
IoC Taxonomy
https://blogs.rsa.com/understanding-indicators-of-compromise-ioc-part-i/
Indicator of Compromise (IoC) „in computer forensics is an artifact observed on a network or in operating system that with high confidence indicates a computer intrusion”
43
Работа с IoC в FireSIGHT – пример CnC (1/2)• Сильно пораженная сеть с многочисленными IoC видимыми в Context Explorer
• Углубимся и исследуем CnC Security Intelligence IoC события
• IoC итоговая таблица в меню Хостов
44
Работа с IoC в FireSIGHT – пример CnC (2/2)• Обследуем подозрительный хостовый профиль
• Расследуем первое увиденное соединение CnC
• Далее задействуем AMP Network, хостовую траекторию и аналитику сетевых данных (решение CTD) для поиска событий malware и потоков для указанных хостов/пользователей
WEB-безопасность и контентная фильтрация
02.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.
46
Интернет Периметр: Веб-безопасность
Основные вопросы:
1. У меня есть Политика доступа в Интернет:– Пользователи знают ее и подписались под ней
2. Все пользователи четко идентифицированы:
– Используем знание контекста
3. Я защищенот угроз:– Множественные уровни защиты
4. Гостям дается на подпись политика пользования:
– WiFi-дизайн в DMZ с веб-фильтрацией.
ISP-1 ISP-2
DMZNetworks
Интернет пиринг
Удаленный доступ (VPN)
ПериметральныйМСЭ
Внутренняя сеть
TALOS
Опции контентной WEB фильтрации: NGFW ASA FirePOWER: сервис NGFW
§ ASA 5500-X (SW) и 5585-X (HW модули)§ ASA уже интегрирована на периметре§ Трафик должен маршрутизироваться через NGFW:
— Альтернатива, ASA работает как VPN-агрегатор§ Дополнительная функциональность в NGFW
развертывании§ URL Фильтрация в политиках доступа:
— Категоризация и черные/белые списки— URL репутация
§ Видимость приложений:— Детальная видимость приложений шире чем
HTTP/HTTPS§ Геолокационные опции (GeoDB)§ Пассивная идентификация пользователей с помощью
SFUA AD коннектора§ Расшифровка SSL на ASA недоступно сейчас§ Требуется FireSIGHT Management Center
47
ISP-1 ISP-2
DMZNetworks
Internet Peering
RA VPN Edge FW
InsideNetworks
МЫ ЗДЕСЬ
У меня есть политика доступа в ИнтернетА пользователи о ней знают?
48
• Контроль приложений по: – Риску– Бизнес релевантности, – Типу– Категории– Тэгу– Пользовательским критериям
• Контроль URL по:– Категории (80+)– Репутация– Ручные URL объекты
Контентная фильтрация с FirePOWER (1/2)
ЛогируемURL с Высоким Риском для целей ИБ
49
Логировать Приложения с Высоким Риском для целей ИБ
Блокировать Не относящийся к работе контент
Блокировать Заблокированных пользователей
50
Контентная фильтрация с FirePOWER (2/2)
Блокировать Запрещенные Приложения
Контроль за Провокационными URL категориями
Защитить финансовую группу от Высокого Риска
Заблокировать работу с Социальными Сетями
51
Опция контентной WEB фильтрации: Web ProxyISP-1 ISP-2
DMZсети
Интернет пиринг
Удаленный доступ VPN
ПериметральныйМСЭ
Внутренние сети
МЫ ЗДЕСЬ
• Web Security Appliance (WSA)– Специализированная ОСAsyncOS, Физический/Виртуальный шлюз;;
– Явный или прозрачный прокси, опции отказоустойчивости;;
– HTTP, HTTPS, SOCKS, FTP, FTP через HTTP;;– Фильтрация URL категорий;;– Улучшенный контроль Web-приложений;;– Временные квоты и квоты объема, ограничение полосы медиа-сервисов (YouTube и т.д.);;
– Web репутация (WBRS);;– Множество антивирусных движков на платформе (AV);;– Улучшенная защита от Malware (AMP);;– Интеграция внешнего DLP движка через ICAP;;– Пассивная идентификация (TUI) с CDA и ISE;;– SSO прозрачная идентификация (NTLM, Kerberos);;– Расшифровка HTTPS доступна средствами шлюза;;– Управление на шлюзе или централизованное через SMA.
Работа с мобильными пользователями
02.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.
Мобильные пользователи и безопасность
• Выбор технологии VPN§ L2L IPSec FlexVPN• Удаленные офисы IOS Routers• Домашний офис – CVO (Cisco Virtual Office)§ AnyConnect удаленный доступ VPN• Ноутбуки, PCs• Смартфоны, Планшеты, BYOD§ Безклиентный SSL VPN• Браузерный удаленный доступ• Доступ к порталу откуда угодно
VPN шаблоны защиты трафика§ Экономия полосы vs Защита
Site-to-site (L2L)§ Централизованный выход в интернет§ Прямой выход в интернет
филиалов(DIA)Мобильный удаленный доступ (RA)
§ Полное туннелированние— Централизовано NGFW и WSA
§ Сплит-Туннель— Централизованое NGFW — Облачное CWS
§ Без туннеля — Облачное CWS
53
Заворот VPN трафика на NGFW ASA с FirePOWER Services служит как Remote-Access VPN HeadendМногоуровневая зашита трафика:
§ FW ACLs, NGFW, Web Security, NGIPS, AMP§ Нет SSL инспекции на сегодняшний день
AnyConnect 4.0 VPN Client§ IPSec IKEv2 или SSL VPN (DTLS-based)
Весь траффик туннелируется в центр, нет сплит-туннеля § Можно повысить целостность опцией Всегда-Работающего
туннеля (Always-On)§ Включение до логина (SBL) применяется по необходимости
ISE может служить централизованным движком политик§ Применяйте политики авторизации (VLAN, ACL)§ TrustSec SGT Применение для удаленных пользователей
— ASA 9.2 вместе с ISE 1.3§ Интеграция оценки состояния в ASA, поддержкаRADIUS
CoA— AnyConnect 4.0 унифицированный NAC (Posture) Агент
54
ISP-1 ISP-2
DMZСети
Интернетпиринг
Удаленный доступ (VPN)
ПериметральныйМСЭ
Внутренние сети
МЫ ЗДЕСЬ
ISE
AD
Заворот VPN трафика на WSA
ASA c FirePOWER Services служит как VPN шлюз§ Видимость приложений, NGIPS и AMP сервисы§ Защита шире чем нежели только WEB на WSA
WSA предоставляет сервисы WEB безопасности§ Все сервисы WEB безопасности, описанные выше§ Прозрачный или явный вид размещения§ WCCPv2 выполняется на ASA или L3 коммутаторе§ Доступно раскрытие HTTPS§ Advanced Malware Protection (AMP) встроено
Известно как модель развертывания AnyConnect SecureMobility MUS (Mobile User Security)
§ Предоставляет честный SSO для удаленных пользователей
§ ASA передает VPN идентификацию пользователя на WSA
§ WSA не требуется производить аутентификацию дополнительно
55
ISP-1 ISP-2
DMZСети
Интернетпиринг
Удаленный доступ VPN
ПериметральныйМСЭ
Внутрненниесети
МЫ ЗДЕСЬ
http://www.cisco.com/c/dam/en/us/td/docs/security/wsa/wsa7-0/user_guide/AnyConnect_Secure_Mobility_SolutionGuide.pdf
AD
Безопасность электронной почты
02.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.
57
Интернет периметр Защита почты
Основные вопросы:
1. Email это пережиток прошлого?– Большая часть сложных атак начинается с почты
2. Я понимаю работу моей почты:– Сервера, которые получают и отсылают почту
3. Я добропорядочный член интернет сообщества:– Использую проверки DNS
4. Я защищен от спама:– Борьба с угрозами, включая сложные атаки применяя
многоуровневую защиту
5. Мои пользователи натренированы отличать подозрительные письма:
– Технология это не замена осведомленности
ISP-1 ISP-2
DMZNetworks
Интернетпиринг
Удаленный доступ VPN
ПериметральныйМСЭ
Внутренние сети
МЫ ЗДЕСЬ
Анатомия APT атаки
58
Enterprise Network
Атакующий
Периметр(Входящий)
Периметр(Исходящий)
Проникновение и установлениебэкдора
1
C2 Server
Admin Node
Разведка и обследование
2
Эксплуатация и повышение привелегий
3
Модификация и закрепление на месте (Повторяем 2,3,4)
4
Вывод данных
5
59
Опции Email безопасности: ESAEmail Security Appliance (ESA)– Специализрованная ОСAsyncOSФизическое или
виртуальное устройство– Поддерживает SMTP, ESMTP, SMTP через TLS– Отказоустойчивость через DNS, Кластеризация,
Балансировка нагрузки– Репутация почтовых доменов senderbase.org (SBRS)– Множественные Антиспам движки (IPAS, Cloudmark, IMS)– Репутация WEB данных(WBRS), URL фильтрация в
контенте писем– Virus Outbreak Filters (OF)– Множество антивирусных движков на платформе
(Sophos, McAfee)– Advanced Malware Protection (AMP)– Улучшенная валидация доменов: SPF, DKIM, DMARC– Встроенный движок RSA DLP– Интеграция внешнего движка RSA Enterprise Manager
DLP– CRES-based Email Encryption Service (PXE)– Встроенный GUI или централизованное управление SMA
ISP-1 ISP-2
DMZNetworks
ИнтернетПиринг
Удаленный доступ VPN
ПериметральныйМСЭ
Внутренние сети
МЫ ЗДЕСЬ
Настройка высокого уровня безопасности с ESA
§ Используйте фильтры репутации почты Reputation Filters (SBRS) и Outbreak Filters (OF)§ Применяйте Контентные фильтры для принятия решений по блокировке§ Используйте множество Анти-Спам движков (IPAS, Cloudmark, IMS)§ Настройте фильтры URL WEB-репутации для борьбы со смешанными атаками:o Для безопасного переписывания писем o Для применения Политики разрешенного использования WEB (AUP) к почтовым потокам
§ Применяйте Rate Limiting для идентификации зараженных хостов§ Используйте DLP движок для защиты интеллектуальной собственности, встроенные или внешние функции§ Будьте добропорядочным членом интернет сообщества, используйте SPF, DKIM и DMARC§ Улучшите параметры целостности в вашем Enterprise с использованием шифрования исходящей почты (PXE with CRES), S/MIME как новая опция
§ Используйте встроенные движки реального времени для борьбы с известными вирусами и зловредами:Malware Scanning (AV/AM) - Sophos или McAfee;;
§ Используйте Advanced Malware Protection (AMP): Файловая репутация, Песочница и ретроспективный анализ
60
Защита от вредоносного ПО (Malware)
02.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.
62
Защита от вредоносного ПО
Основные вопросы:
1. Я могу бороться со сложными угрозами Malware с моим текущим решением
– Malware нулевого дня и APT на подъеме
2. Я понимаю шаблоны распространения Malware
– Используя FireSIGHT, AMP и сетевую траекторию
3. Я применяю целостный подход– AMP везде в моем окружении
4. Я подтверждаю что 100% обнаружения не существует
– Применяя AMP ретроспективный анализ
ISP-1 ISP-2
DMZсети
Интернетпиринг
Удаленный доступ VPN
ПериметральныйМСЭ
Внутренние сети
AMP Облако
AMP Технология за один слайдAMP клиент запрашивает TALOS облако о диспозиции файла, посылая размытый отпечаток файла
§ Стандартный SHA256 hash, проприетарные SPERO и ETHOS алгоритмы с большим числом метаданныхTALOS облако мгновенно возвращает диспозицию как вердикт
§ Хороший, Вредоносный или Неизвестный. Хороший может быть отправлен, Вредоносный блокирован
63
TALOS Cloud
• Если диспозиция неизвестна, Облако может провести динамический анализ всего файла– Песочница выдает детальный отчет о Динамическом Анализе с индикатором File Threat Score (Репутацией) 0-100
• Основываясь на результатах анализа мы можем начать обнаружени и блокирование во всей сети– Блокирование Вредоносного ПО на всех AMP-поддерживающих устройствах (Физических и Виртуальных FirePOWERустройствах, ASA с FirePOWER Services, WSA, ESA, CWS, Выделенные AMP устройства, AMP для оконечных устройств) предотвращая дальнейшее распространение
– Производит Ретроспективный анализ и визуализацию Сетевой и Хостовой траекторий вредоносного файла, давая возможность анализа вредоносного ПО, изучения и расследования инцидента по всей сети включая Интернет Периметр.
upload
AMP для сетевых устройств
64
ISP-1 ISP-2
DMZСети
Интернет Пиринг
Удаленный доступ (VPN)
ПериметральныйМСЭ
Внутренние сети
AMP Cloud
• Network AMP соответственно доступен в:– FirePOWER NGFW/NGIPS устройствах (HW/SW)– ASA FirePOWER Services (5500-X, 5585-X)– Выделенных AMP физических устройствах
• FireSIGHT Management Center дает:– AMP Действия в файловой политике:• Malware Cloud Lookup• Malware блокирование• Обнаружение файла и блокирование• SPERO анализ для MSEXE• Хранение файла на устройстве для дальнейшего анализа
• Отправка на Динамический анализ в песочницу• Выбор направления передачи (Upload/Download)• Выбор протокола приложения передачи файла
– AMP Визуализация сетевой траектории– AMP Custom Detections и Clean Lists
AMP для Web Security Appliance
65
ISP-1 ISP-2
DMZСети
Интернет Пиринг
Удаленный доступ (VPN)
ПериметральныйМСЭ
Внутренние сети
AMP Cloud
• AMP для WSA Фаза I и II сегодня:– Сценарий использования WEB Proxy– Улучшение защиты помимо традиционных AM/AV– Работает в WSA обрабатывая почту после AM/AV– Управляется через WSA GUI, не FireSIGHT
• WSA с AMP включает:– Файловую репутацию, Песочницу, ретроспективу– SHA256 и SPERO (WinPE) отпечатки– Детальный Web Tracking и облачные отчеты– AMP-специфичные Логи в accesslogs, amp_log
AMP для Email Security Appliance
66
ISP-1 ISP-2
DMZСети
Интернет Пиринг
Удаленный доступ (VPN)
ПериметральныйМСЭ
Внутренние сети
AMP Cloud
• AMP для ESA фаза I и II (9.0): – Secure Email Gateway сценарий– Улучшение защиты помимо традиционных AM/AV– AMP sits between AV and Content Filters – Управляется через ESA GUI, не FireSIGHT
• ESA с AMP дает:– Файловую репутацию, Песочницу, ретроспективу– SHA256 и SPERO (WinPE) отпечатки– Нативный карантин с динамическим анализом• Не нужны контентные фильтры и Политика карантина
– Детальный Email Tracking и Cloud Reports– AMP-специфичные Логи в mail_logs, amp_log
Идентификация пользователей
02.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.
Активная аутентификация с WSAПодход базовой аутентификации:
§ Пользователя запросят учетные данные§ WSA запросит AD используя LDAP§ Немного разный в явном и прозрачном режимах§ Работаетс HTTPS§ Избегайте, никто не любит вводить пароли
Активная аутентификация с WSA:1. Неаутентифицированный пользователь идет через WSA2. WSA перенаправляет его через HTTP Redirect на WSA IP3. Браузер соединяется с WSA4. WSA отсылает HTTP Auth Request (401|407)5. Пользователь аутентифицируется6. WSA отсылает HTTP Redirectна изначальный сайт (307)7. Аутентифицированный пользователь идет черезWSA
ISP-1 ISP-2
DMZNetworks
Интернет пиринг
Удаленный доступ (VPN)
ПериметральныйМСЭ
Внутренние сети
WSA
42
356
17
Пассивная идентификация с CDA | SFUA
69
ISP-1 ISP-2
DMZNetworks
Интернет пиринг
Удаленный доступ (VPN)
ПериметральныйМСЭ
Внутренние сети
AD
Есть два отдельных коннектора к AD:• CDA (Context-Directory Agent) для WSA, CX, ASA– Защищенный LinuxVM доставляется как .iso file– WSA и старый ASA-CX использует CDA для TUI с AD– ASA использует CDA для User-Based ACLs с IDFW
• SFUA (Sourcefire User Agent) для FirePOWER– Windows binary, установка на Сервера и рабочие станции– FirePOWER использует SFUA для TUI с AD
Пассивная идентификация с NGFW:1. AD User Logon событие2. User Logon Event внутри Security Log (WMI)3. Связка IP -> AD пользователь (RADIUS)4. Информация о пользователе и группе (LDAP)5. Траффик фильтруется NGFW политикой доступа 1
SFUA / CDA
2
3
4
5
Пассивная идентификация с CDA, ISE и WSA
70
ISP-1 ISP-2
DMZNetworks
Интернет пиринг
Удаленный доступ (VPN)
ПериметральныйМСЭ
Внутренние сети
AD
Нативная интеграция с ISE и CDA– CDA становится брокером AD и не AD Пользователей– ISE настроен на отсылку логов в CDA• AAA Audit, Passed Authentications и RADIUS Accounting Logs
– CDA настроен на ISE как на Syslog сервер
Пассивная идентификация с ISE и CDA:1. Пользовательаутентифицируется на ISE и в AD• 802.1X Проводной/Беспроводной пользователь
2. ISE отсылает Syslog с User-IP мапингом на CDA3. WSA использует User-IP маппинг с CDA4. Пользователь запрашивает WEB страницу• WSA Прозрачная идентификация пользователя (TUI)• Веб запрос проксируется и фильтруется в соответствии с
политикой пользовательской фильтрации на WSA
1
SFUA / CDA
2
3
4
ISE
1
CDA Installation and Configuration: https://www.youtube.com/watch?v=rp_CpeILpNU
Пассивная идентификация с ISE и pxGrid
71
ISP-1 ISP-2
DMZNetworks
Интернет пиринг
Удаленный доступ (VPN)
ПериметральныйМСЭ
InsideNetworks
Важный шаг в контекстной безопасности
ISE это брокер и источник доверия– pxGridфреймфорк доступен с версии ISE 1.3– Экосистемные партнеры по поддержке обмену контекстом (SIEM)– ISE делится контекстом используя pxGRID с устройствами-потребителями
– Потребители получают маппинг IP->пользователь и много больше
Процесс работы– WSA в предварительном релизе, FirePOWER в планах
Пассивная идентификация с ISE и pxGrid:1. Пользователь аутентифицируется в ISE (802.1X)• Пользователь может пользоваться проводным, беспроводным или удаленным
доступом (VPN)
2. Устройство потребитель получает привязку пользователя3. Устройство потребитель применяет контекстную политику доступа• Контентная фильтрация основана на знании пользователя
1
2
3
ISE pxGrid
pxGrid API @Cisco Developer Community Portal (DevNet): https://developer.cisco.com/site/pxgrid/
AD1
Анализ сетевой активности
02.10.15 © 2015 Cisco and/or its affiliates. All rights reserved.
Анализ сети с помощью NetFlow
Основные вопросы:
1. Я понимаю мои потоки трафика– Сбор потоков трафика включая Интернет Периметр– НесемплированныйNetFlow с моей инфраструктуры
2. Я могу находить необычные индикаторы поведения анализируя сетевой трафик
– Контекстно-Ориентированный поиск аномалий– Атакующие, Жертвы, Поведение
3. Я могу видеть угрозы изнутри сети– Случайные, Намеренные и бедных жертв
4. Я вырабатываю индикаторы компрометации– С помощью Cyber Threat Defense Solution (CTD)– Интегрируясь с ISE для сбора атрибутов
ISP-1 ISP-2
DMZСети
Интернет Пиринг
RA VPN ПериметральныйМСЭ
Внутренние сети
Понимание шаблонов трафика Интернет-периметра
74
Получим толк от этих знаний
§ Адреса источника и назначения (IPv4/IPv6)
§ Исходящие и порты назначения
§ Протоколы и приложения § DSCP§ Входящие интерфейсы§ BGP Next-Hop Field§ MPLS метки§ Информация по мультикасту§ L2 информация (802.1q tag,
CoS поля и тд)75
Сетевое обнаружение аномалий (NBAD)
Concern Index отслеживает хосты компрометирующие сеть
File Sharing Index показывает активность пиринговых сессий
Target Index показывает хосты являющиеся жертвами вредоносной активности
Репортинг по группам хостов выдает сетевые шаблоны и шаблоны приложений
Отчетприложений
Inbound/OutboundОтчет по трафику
Остановим внутренние угрозы с CTD
77
• Неавторизованный доступ: попытка нарушения политик, блокирована на МСЭ
• Внутреннее обследование: Concern Index событие , сканирование на порту tcp/445
• Накопление данных: передача больших объемов данных через сеть– Подозрение на накопление данных – хост загружает данные со многих других хостов– Таргетированный вывод данных– Хост выкачивает большой объем данных через множество других хостов
• Утечка данных: идентификация подозрительной передачи данных через Интернет Периметр в течение длительного времени
Обработка Индикаторов компрометации (IoCs)Идентификация подозреваемых в заражении Malware хостов в группах клиентских хостов
78
• Визуализация распространения заражения Malware с помощью WormTracker– Основные и вторичные заражения– Сканируемые подсети
• Применение контекстно-насыщенной телеметрии от ISE для понимания вовлеченных пользователей
• Узнать все ли хосты затронуло изначальным заражение
Что мы сегодня обсудили
79
Инфраструктура и протоколы
Сетевой МСЭ
МСЭ нового поколения
IPS нового поколения
Безопасность WEB и контентная фильтрация
Мобильный и удаленный доступ
SSL Раскрытие и инспекция
Безопасность электронной почты
Защита от вредоносного кода
(AMP)
Атрибутика пользователя Анализ сетевого
трафика
Целостный подход к жизненному циклу атаки
80
ControlEnforceHarden
DetectBlockDefend
ScopeContainRemediate
IPS Нового поколения NGIPS
Понимание контекста Идентификация пользователей
Инфраструктура и протоколы
Сетевой МСЭ
МСЭ нового поколения
Мобильный и удаленный доступ
SSL Раскрытие и инспекция
Безопасность WEB и контентная фильтрация
Безопасность электронной почты
Анализ сетевого трафика
Реагирование на инциденты
Открытый код и утилиты
Защита от вредоносного кода
(AMP)
Ждем ваших сообщений с хештегом#CiscoConnectKZ
© 2015 Cisco and/or its affiliates. All rights reserved.
СпасибоПожалуйста, заполните анкеты. Ваше мнение очень важно для нас.Руслан ИвановСистемный инженер-консультант[email protected]