Защитасетив глубину - cisco...•buffer overflows •activex controls •network...
Post on 12-Jul-2020
5 Views
Preview:
TRANSCRIPT
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1
Защита сети вглубину
Владимир Илибман
Системный инженерvoilibma@cisco.com
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 2
Содержание
� Типичные задачи внутренней защиты сети
� Контроль доступа к сети–Идентификация и аутентификация доступа к сети
–Расширенный контроль доступа (Network Admission Control)
� Внедрение политики безопасности и защита от атак спомощью Cisco Security Agent
� Выполнение регуляторных требований
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 3
Безопасностьизнутри“Типичные” задачи
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 4
Корпоративная сетьКорпоративная сеть
Мобильные сотрудникиМобильные сотрудники Домашние офисыДомашние офисы
Актуальные задачи
Эффективностьантивирусов
Доступ“везде” и“всегда”
КонтрольдоступаГости
Утечкиинформации
Политикабезопасности
Обеспечение безопасного доступа к корпоративнымресурсам для удаленных пользователей с мобильныхустройств (PDA, телефоны, ноутбуки) через публичный
WiFi, GPRS-EDGE, Dial-up, 3G…
Гостевой вход в вашу сеть для посетителей – доступ кгостевым ресурсам и Интернет, публичный WiFi
Обеспечение контроля доступа – надежнаяаутентификация, авторизация доступа к ресурсам,
интеграция с корпоративным каталогом (ActiveDirectory, LDAP), единый логин (Single-Sign-On)
Традиционные антивирусы и средства поискавредоносного ПО теряют эффективность из-за огромногоколичества подвидов и модификаций вредоносного кода
Локальное хранение конфиденциальных данных, мобильность пользователей, множество
коммуникационных интерфейсов (USB, FireWire, Bluetooth…), неконтролируемое ПО (ICQ, P2P, “трояны”)
Внедрение и выполнение корпоративной политикибезопасности, разделение полномочий Net Ops и Sec Ops, выполнение требований стандартов и внешнего аудита
(SoX, ITIL, VISA PCI, HIPAA)
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 5
Корпоративная сетьКорпоративная сеть
Мобильные сотрудникиМобильные сотрудники Домашние офисыДомашние офисы
Механизмы решения
Эффективностьантивирусов
Доступ“везде” и“всегда”
КонтрольдоступаГости
Утечкиинформации
Политикабезопасности
Cisco Security Agent
AnyConnect клиент
Cisco Secure Desktop
Network Admission Control
Identity-Based Network Services
Cisco MARS
Cisco Security Services
Cisco Security Manager
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 6
Контроль доступа ксетиИдентификация иаутентификациядоступа к сети
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 7
Эволюция контроля доступа
Аутентификация доступак ОС и приложениям
Расширенныйконтроль доступа
Идентификация иаутентификация доступа к
сети
1990s
Сейчас
ГрядетОт пароля к
анализу контекста
Логин, пароль, ключевые носители
NAC
IBNS(Identity-Based
Network Services) –
802.1x
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 8
Identity-Based Networking Services
Идентификация и аутентификация доступа к сети
MAC идентификация
IEEE 802.1X
Веб-аутентификация
Сisco Secure ACS
Cisco MARS
Cisco SIMS
CiscoWorks
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 9
Модель контроля доступа к портамстандарта 802.1x
Запрос на обслуживание(соединение)
Аутентификация Взаимодействие схранилищем
идентификационнойинформацииКлиент
(supplicant)• ПК/Ноутбук• IP-телефон• КПК•Телефон
Аутентификатор
• Коммутатор• Маршрутизатор• Точка доступа WLAN
Сервераутентификации
• MS IAS• Cisco Secure ACS• Любой сервер RADIUS
Хранилищеидентификационной
информации
• MS Active Directory• LDAP• NDS• ODBC• IBM Identity Manager
802.1XEAP
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 10
IEEE 802.1x и EAP
� 802.1x это стандарт IEEE (framework) нацеленный на контрольдоступа к порту коммутатора или беспроводной сетис помощью аутентификации
� EAP –протокол (RFC 2284, 3748) для передачиаутентификационной информации (механизмы не описываются)
� Типы EAPEAP-TLS: использует сертификаты x.509 v3 PKI и механизм TLS дляаутентификации
PEAP: защищенный EAP туннель - туннелирует другие типы EAP взащищенном соединение (TLS)
EAP-FAST: функционирует без наличия сертификатов; туннелирует другиетипы EAP в TLS
802.1x Header
Ethernet Header
RADIUS
IP Header
EAP Payload
UDP
EAP Payload
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 11
Выбор протокола EAP
ДаНетНетПоддержка Fast Secure Roaming
НетДаДаСерверный сертификат ?
НетНетДаСертификат клиента ?
НизкаяСредняяВысокаяСложность внедрения
Низкое/СреднееВысокоеВысокое
Влияние напроизводительностьRADIUS сервера
Да(с помощью C-SSC)
Да(с помощью C-SSC)
НетПоддержка одноразовыхпаролей
Cisco Secure Services Client (C-SSC), Linux,
Vista
XP, 2000, CE,Vista, Linux,и другие
XP, 2000, CE, Vista, Linuxи другие
Доступность клиентов дляОС
ДаДаN/APassword Expiration (AD)
ДаДаДаLogin Scripts (Active Directory)
EAP-FASTPEAPEAP-TLS
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 12
Клиенты 802.1x
� Windows Vista/Longhorn —поддержка EAP-Host ( модульнаяархитектура)
� Windows XP SP2, Windows 2000SP4, Windows 2003—EAP-MD5, EAP-TLS, PEAP w/EAP-MSCHAPv2, PEAP w/EAP-TLS
� Windows Mobile – Ограничено(EAP-TLS, PEAP)
� Unix/Linux— Open1X, Xsupplicant(EAP-MD5, EAP-TLS, PEAP/MSCHAPv2, PEAP/EAP-GTC)
� IP Phone - Ограничено
� Windows ME/98/NT4—Ограничено
� Apple OS X 10.3— EAP-TLS, EAP-TTLS, LEAP, PEAP, EAP-MD5)
� Принтеры, камеры наблюдения -Ограничено
Windows HP Jet Direct
Solaris
7920
Apple
IP Phones
WLAN APs
Pocket PC
Какие системы поддерживаются?
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 13
Функции
� Унифицированный клиент для
проводной и беспроводной сети
� Поддержка индустриальных стандартов
� Целостность конечного узла
� Поддержка Single sign-on
� Поддержка групповых политик
Преимущества
� Минимизация возможности
компрометации сети
инфицированными устройствами (NAC)
� Разнообразная аутентификация
� Упрощенное внедрение по сравнению
со стандартными клиентами 802.1x
� Централизованное внедрение
Cisco Secure Services Client
Клиент 802.1xSSC
• поддержка CCX и NAC• EAP: EAP-FAST, -MD5, -MSCHAP, -TLS, - GTC, PEAP, TTLS, Cisco LEAP• Шифрование: WEP, Dynamic WEP (802.1x), WPA, WPA2, AES, TKIP
Windows SSO: AD аутентификацияNovell SSO: Contextless и context-based логин
• RSA SecurID tokens• One-time password (OTP) tokens• Смарткарты (Axalto, Gemplus, SafeNetiKey, Alladin)• сертификаты X.509
• Централизованное внедрение агентов иконфигураций• Обновление конфигураций с консолиадминистратора
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 14
802.1X и IP-телефония: Возможныеограничения
1 Порт прошел аутентификацию
Телефон без поддержки 802.1x
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 15
802.1X и IP-телефония: Возможныеограничения
2 PC отключается
X √?3 Порт аутентифицирован
Если пользователь отключится, портостанется аутентифицированным 802.1X
Телефон без поддержки 802.1x
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 16
802.1X и IP-телефония: Возможныеограничения
� Нелигитимный пользователь получает доступ к порту спомощью спуфинга MAC адреса, и полностью игнорирует802.1X— ДЫРА БЕЗОПАСНОСТИ
� Чтобы обойти эту проблему, некоторые заказчики включаютпериодическую реаутентификацию конечных устройств
� Несмотря на любые обходные пути приходится исходить изФАКТА, что станция может быть подменена и коммутатор споддержкой 802.1x об этом узнает с опозданием
4 Нелигитимныйпользователь √?
3 Порт аутентифицирован
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 17
Решение от Cisco
� Телефон шлет сообщение EAPOL-Logoff от именикомпьютера в случае отключения интерфейса
� Multi-Domain-Auth (многодоменная аутентификация ) вIOS 12.2(35)SE
� Порт коммутатора аутентифицирует PC и IP телефоннезависимо
� Поддержка .1x функциональностиНа Voice-VLAN и на Data-VLAN
� Решение поддерживает статическую и динамическуюконфигурацию IP-телефона (для VoiceVID)
� Телефоны Cisco, которые поддерживают 802.1x 7906/7911/7931/7941/7961/7970/7971 (v. 8.2(1))
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 18
Подходы к выбору дизайна 802.1x
Запрос на обслуживание(соединение)
Аутентификация Взаимодействие схранилищем
идентификационнойинформации
802.1XEAP
1. Выбор протоколааутентификации EAP
3. Выбор клиента 802.1x (сапликанта) 5. Выбор серверааутентификации
2. Определениеплатформы итипа end-point,
4. Требования к интеграциис корпоративным каталогоми хранилищем учетных записей
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 19
Расширенныйконтроль доступа -Network Admission Control
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 20
Традиционная защита сети
Идентичность
ГостевойГостевой входвход
IBNSIBNS
сотрудникисотрудникиЗащитаконечныхустройств
АнтишпионскоеАнтишпионское
ПОПОПерсонПерсон..
брандмауербрандмауерHIPSHIPS
антивирусантивирус
Сетеваябезопасность
IDS/IPSIDS/IPS VPNsVPNs
брандмауерыбрандмауеры
X Защита одиночных устройствнеуспешна:Большинство компаний имеет AV, но эпидемии существуют!Программная защита подвержена манипуляцииЗадержка между вирусами и антивирусными патчамиЧужые компьютеры не соответствуют политике безопасности
X Изолированнаяаутентификацияпроваливается:Проверяется пользователь, ане устройство. Контрольосуществляется на периметре
X Сетевая безопасностьв одиночку терпит фиаско:Брандмауеры не могут блокироватьлегитимные портыVPN не могут блокировать легитимныхпользователейТрудно фильтровать внутреннихпользователейДетектирование постфактум
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 21
Что такое Network Admission Control?
Network Admission Control (NAC) – это решение, которое использует сетевую инфраструктуру дляпроверки всех устройств, подключающихся к сети, насоответствие политике безопасности
Защитаконечныхустройств
Сетеваябезопасность
SiSi SiSi
Please enter username:
Идентичность
NACNAC
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 22
Как должна работать технология контролядоступа в идеале
� Разрешать подключение к сети только аутентифицированнымпользователям и устройствам
� Поддержка широкого спектра устройств – разные ОС, КПК, телефоны
� Разрешить администраторам устанавливать политикубезопасности – требования к конфигурации устройств
� Проверять конфигурацию устройств (наличие антивирусов исредств защиты, наличие обновлений ОС и антивирусов, состояние антивирусных проверок) на соответствие политикебезопасности до получения доступа к запрошенным ресурсам
� Обнаружение несоответствующих политике узлов
� Карантин для несоответствующих узлов
� «Лечение» несоответствующих устройств
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 23
Подход 1: интегрированныйСтруктура NAC (NAC Framework)
� Вся сеть построена на оборудовании одного вендора
� Есть человеческие и временные ресурсы на внедрение
� Не требуется никаких «навесных» решений
� Трудности интеграции с партнерским ПО(антивирусами, системами оценки уязвимостей…)
Коррективы(Партнер)
CiscoTrustAgent
Политикааутентификации
Обнаружение
Cisco Secure ACS(AAA)
Policy
Применение
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 24
Подход 2: наложенныйNAC Appliance (раньше - CleanAccess)
� Сеть гетерогенная или производитель неподдерживает NAC
� Надо внедрить быстро
� Нет человеческих ресурсов на настройку иэксплуатацию
� Управление безопасностью и сетью в разных руках
Политикааутентификации
Применение
Обнаружение
Коррективы
CleanAccessAgent
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 25
Окноподключения
CiscoNAC Appliance
Internet,E-mail, VPN, etc.
1. Гость открывает Веб-браузер
2. NAC Appliance перенаправляет наокно подключения
3. Гость вводит код доступа
4. NAC Appliance проводитаутентификацию и учет
5. NAC Appliance устанавливаетфильтр и VLAN индивидуальнодля каждого пользователя
Безопасный гостевой доступ: Как этоработает
EnterpriseNetwork
• Коды доступа• RADIUS• LDAP• Active Directory• Kerberos• Local Database
1.
2.3. 5.
4.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 26
Безаутентификации
• Разрешает гостевойдоступ через нажатиекнопки “Гость” иливвода имени/Email
• Необходимо принятьусловия Политикииспользованияресурсов
• Обеспечиваетсяконтроль политикидоступа, полосыпропускания ихарактеристикисессий
• Проводится учет именгостей
• Созданиегостевых и прочихролевых учетныхзаписей локальнона NAC Appliance
• Предоставляетсявозможностьсоздания гостевыхучетных записейадминистраторамлибо секретарям
Созданиеучетных записейна NAC Appliance
Внешнийгостевой портал
Три метода организации гостевого доступа
• Полный жизненныйцикл учетныхзаписей
• Допускаетсяодновременноесоздание/удаление/изменениемножества гостевыхзаписей
• Поддерживаетсявнешняя база/AD для созданиягостевых учетныхзаписейсотрудниками
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 27
Решение Cisco GuestNet Manager
� Одноразовый парольгенерируется ипередается NAC Appliance для созданиявременной учетнойзаписи
� Атрибуты временногодоступа могутпечататься иливысылаться по почте
� Журнал по каждомугостю и выделению кодадоступа
� Централизованный портал для регистрации и управленияучетными записями гостей
� Аутентификация сотрудников, которым разрешено“спонсировать” доступ гостей
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 28
Внедрение политикибезопасности изащита от атакCisco Security Agent
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 29
“Сигнатурный подход” vs “анализ поведения”
� Отсутствие больших эпидемий (в стилеSlammer) в 2006
� Множество маленьких атак и множествовариаций одной и той же атаки
� Рост ботовских сетей (botnet) с уникальнымиуязвимостями
� Изменение образа мышлениякиберпреступников– зарабатывание денегвместо получения известности(аренда botnet....)
Пресекание множества вариантов атак требует системзащиты, анализирующих поведение
Source: www.vejlebib.dk
Пример: http://www.secureworks.com/research/threats/gozi/?threat=gozi
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 30
Что делает Host IPS – на примере CSA : Контроль доступа на основе поведения
Cisco Security Agent
� идентифицирует ресурсы, к которым получаетсядоступ
� собирает данные об операции
� определяет состояние системы
� обращается к политике безопасности за вердиктом
� выполняет действие (блокировать операцию, разрешить, завершить процесс, запроситьпользователя, внести изменения в политику, записьсообщения в журнал)
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 31
Архитектура системы Cisco Security Agent
Manager
Агенты (до 100 000)
Admin. Mgr. Event. Mgr. DB
Единый сервер
Агенты
Windows NT, 2000, XP, 2003, RedHat Linux Enterprise, Solaris
Windows NT, 2000, XP, 2003, RedHat Linux Enterprise, Solaris
Распределенные сервера
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 32
Любое приложениеИнтерфейс агента/запросы пользов.
Local Event Manager/Agent Policy Manager
КонтрольAgent Service
Buffer Overflow/Com перехват
Перехватданных
Пользоват.
Ядро
System Call перехватчикKernel Buffer Overflow
Перехватчикреестра
Система
Механизмкорреляцииправил исобытий
Файловыйперехватчик
Перехватчик сетевыхприложений
Disk/RemovableMedia Driver
TCP/IP
Перехватчик сетевоготрафика
Сетевой драйвер (NIC)
Архитектура агента Cisco Security Agent
Мультимедиаконтроль
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 33
��Гарантияцелостностифайлов
��Отражениечервей
���Борьба сшпионским ПО
���Хостоваясистемапредотвращенияатак
�РаспределенныйперсональныйМСЭ
Перехватчик
системныхвызовов
Перехватчик
реестра
Файловый
перехватчик
Перехватчиксетевых
приложений
Задача защиты
Роль перехватчиков
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 34
Структура политики
Группа
Агент
Политика
Rule
Модули правил
RuleRule
Группа
Политика Политика Политика
Rule
Модули правил
RuleRule
Rule
Модули правил
RuleRule
Rule
Модули правил
RuleRule
Rule
Модули правил
RuleRule
1. Outlook.exe не имеет праваизменять исполняемые файлы
2. Приложения, которыепринимают либо открываютсетевые соединения не имеютправа открывать команднуюоболочку cmd.exe
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 35
Возможности CSA : защита от атак
� Выдержка из списка атак, которыеостанавливались CSA с настройками по
умолчанию до выхода официального обновления !
2001—Code Red, Nimda (все 5 разновидностей), Pentagone (Gonner)
2002—Sircam, Debploit, SQL Snake, Bugbear,
2003—SQL Slammer, So Big, Blaster/Welchia, Fizzer
2004—MyDoom, Bagle, Sasser, JPEG browser exploit (MS04-028), RPC-DCOM exploit (MS03-039), Buffer Overflow в сервисе Workstation service (MS03-049)
2005— уязвимость Internet Explorer Command Execution, Zotob
2006—уязвимость Internet Explorer WMF, IE VML уязвимость
2007— Червь Rinbot (7 разновидностей)
2007 — Уязвимость анимированного курсора в Internet Explorer
Смягчает критичность установки security-патчей
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 36
Типичный путь атаки: Цель – ресурсы системы
Цель
12
3
45
Probe
Penetrate
Persist
Propagate
Paralyze
•Ping addresses•Scan ports•Guess passwords•Guess mail users
•Mail attachments•Buffer overflows•ActiveX controls•Network installs•Compressed messages•Backdoors •Create new files
•Modify existing files•Weaken registry security settings
• Install new services•Register trap doors
•Mail copy of attack•Web connection
• IRC•FTP• Infect file shares
•Delete files•Modify files•Drill security hole•Crash computer•Denial of service•Steal secrets
зондирование
проник
новени
е
внедрение
распространение
паралич
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 37
Пример распространения червяW32.Rinbot.H (февраль 2007 года)
Цель
12
3
45
Probe
Penetrate
Persist
Propagate
Paralyze
•Проверка уязвимыхсервисов и сетевыхресурсов IPC$ со слабымпаролем
•Переполнение буфера• Symantec Antivirus Elevation of Privilege (CVE-2006-2630)• Microsoft Windows Server Service Remote Buffer Overflow (CVE-2006-3439)
• Microsoft SQL Server User Authentication Remote Buffer Overflow Vulnerability (CAN-2002-1123)
•Копирует себя в%System%\mstscc.exe
•Запись в реестрHKEY_LOCAL_MACHINE\...\\Run\"Terminal Services" = %System%\mstscc.exe".
•Создает сервер IRC дляудаленного управления
•Распространение черезсетевые ресурсы IPC$
•Распространение черезпереполнение буфера
• IRC клиент кx.xerro.net
•Отключениепроцессов
•Загрузка файлов•Воровстворегистрационныхданных и файлов
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 38
Пример блокирования червяW32.Rinbot.H с помощью CSA
Target
12
3
45
Probe
Penetrate
Persist
Propagate
Paralyze
•Проверка уязвимыхсервисов и сетевыхресурсов IPC$ со слабымпаролем
•Переполнение буфера• Symantec Antivirus Elevation of Privilege (CVE-2006-2630)• Microsoft Windows Server Service Remote Buffer Overflow (CVE-2006-3439)
• Microsoft SQL Server User Authentication Remote Buffer Overflow Vulnerability (CAN-2002-1123)
•Копирует себя в%System%\mstscc.exe
•Запись в реестрHKEY_LOCAL_MACHINE\...\\Run\"Terminal Services" = %System%\mstscc.exe".
•Создает сервер IRC дляудаленного управления
•Распространение черезсетевые ресурсы IPC$
•Распространение черезпереполнение буфера
• IRC клиент кx.xerro.net
•Отключениепроцессов
•Загрузка файлов•Воровстворегистрационныхданных и файлов
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 39
Возможности CSA : контроль политики
� Некоторые типа поведения не есть злонамеренные, но могутпротиворечить корпоративной политике использованияресурсов и программ
Приложения P2P
Приложения мгновенного обмена сообщений (IM) с использованием внешнихсерверов
Утечки чувствительных данных
Использование неавторизированных приложений либо версий приложений
� Модуль контроля политики CSA включает
Политику предотвращения воровства данных
Контроль обмена сообщениями
Контроль загрузки медиаконтента (фильмы, музыка)
Контроль сетевого взаимодействия
Также может применяться для выполнениярегуляторных требований
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 40
Интеграция CSA в сеть : доверенный QoS
� Каждая организация имеет критичные приложения:Voice over IP
Контроль производства
Финансы
Инвентаризация и CRM
� Другие приложения не столь критичны к задержкамEmail, instant messaging и т.д.
� Третьи приложения имеют ограничения в использованиеЗакачка развлекательного контента, сетевые файлообменники …
� Если компьютер маркирует трафик приложений с помощьюбитов Quality-of-Service (QoS), сеть может приоритезироватьпотоки и работать более эффективно
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 41
Пример: HTTPS трафик
Oracle ERP
Browser Class
ICQ, HTTPort
CSA
Destination IP: 192.168.1.0/24
Destination Port: 443
Туннелированиетрафика поверхHTTPS
DSCP: AF31
DSCP: 0
DSCP: 8
Критично
В очередь
Ограничениеполосы либоблокировка
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 42
Компоненты Trusted QoS
Обеспечениеприоритезацииклассов трафика
Резервированиеполосы длянаиболее
критичных потоковданных Эта связь делает
Trusted QoS возможным
Cisco Security Agent
Устанавливает ипроверяет Differentiated Service (DSCP) наПК/сервере
Предотвращаетнесанкционированнуюустановку DSCP
Сетевоеустройство
Проверяет наличиеCSA
Устанавливаетдоверенную связьмежду сетевымустройством иПК/сервером
Cisco NAC Appliance
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 43
Контроль беспроводных соединений
Запрет wireless NIC при включенномпроводном (например, внутри офиса)
Контроль соединения -определенные SSID, шифрование,ad-hoc
Обязательное использованиеFirewall и VPN при работе внеофиса
Приоритезация трафика поприложениям (QoS)
NewNew
in in 55..22!!
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 44
Политика CSA зависит от пользователя
� Идентификаторгруппы илипользователя
� Идентификаторопределяется наоснове AD, LDAP, NIS и т.д.
� Использованиелогическогооператора«КРОМЕ»
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 45
Политика CSA зависит от состояниякомпьютера
� Реагирование на специфичные условия и ситуации
состояние NAC, уровень безопасности,
текущее местонахождение (IP-адрес, DNS, CSAMC доступен)
� Например, обнаружение инсталляции какого-либоПО автоматически отключает показ большого числазапросов у пользователя
� Если обнаружен червь или троян, то системасамостоятельно блокирует сетевой доступ
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 46
Возможности CSA : защита от утечекданных
Создается группа и присваивается политика “Data Leakage”
Время
Защита
Маркировка пакетов через QoS
Отслеживание доступа кконфиденциальным данным с
Ограничения на USB/Bluetooth/сменные нос.
Защита буфера обмена
Контроль местоположения
Блокировкараспространения данных
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 47
Возможности CSA : защита удаленныхсотрудников
Создается группа и присваивается политика “Удаленный доступ”
Время
Защита
Контроль беспроводных подключений
Безопасность приложений
Персональный брандмауэр с контролем местопол.
Контроль USB
Контроль использованияприложений
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 48
Отличительные особенности
� Возможность прозрачной работы для конечныхпользователей
� Создание замкнутой программной среды
� Встроенная система корреляция
� Автоматическое создание политик безопасности
� Не требуется регулярное обновление
� Официальная поддержка локализованных версий ОСWindows
� Инвентаризация установленных приложений
� Интеграция с сетевой Cisco IPSNewNew
in in 55..22!!
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 49
Last but not the leastВыполнениерегуляторныхтребований
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 50
Выполнение регуляторныхтребований
� Раздел сайта
Managing Risk and Compliance with the Cisco Self-Defending Networkhttp://www.cisco.com/en/US/netsol/ns625/networking_solutions_sub_solution_home.html
� Доступны описания и шаблоны документов, показывающиесоответствие решений по безопасности Cisco Systems (включаяNAC, CSA, IBNS) стандартам и регуляторным документам:
– CobiT,
– ISO/IEC 17799,
– SoX,
– HIPAA,
– CISP/PCI
…
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 51
Дополнительные источникиинформации
� Intrusion Prevention Fundamentals
� Cisco Security Agent
� Advanced Host Intrusion Prevention with CSA
� Cisco Network Admission Control
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 52
Вопросы?
Дополнительные вопросы Вы можете задать по электроннойпочте security-request@cisco.com
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 53
top related