Cisco Connect 2018 – Презентация

Современные технологии защита периметраИван ПанинСистемный инженер

План доклада• Программное обеспечение NGFW Firepower

• Модельный ряд

• Основные возможности

• Варианты управления

• Сценарии использования на границе сети

• Будущие возможности

© 2018 Cisco and/or its affiliates. All rights reserved. 3

Программное обеспечение NGFW Firepower


Основные Возможности Firepower Threat Defense


Network Profiling

Центр исследования угроз информационной безопасности – Cisco TALOS

URL -фильтрация

Унифицированная система централизованного управления Firepower Management Center

WWW

Identity-Policy Control

Аналитика & Автоматизация

Профилирование сетевого трафика

Предотвращение вторжений NGIPS

VPN и динамическая маршрутизация

Высокаядоступность

Защита от продвинутого

вредоносного ПО(AMP)

Мониторинг и контроль

приложений (AVC)

Аутентификация пользователей и

устройств

Новые возможности Cisco NGFW и NGIPS

6

Взаимодействие IBM XForce иCisco NGIPS

Новые функции для автономной системы управления Firepower

Device Manager (FDM)

Прямое управление с использованием

REST API

Аппаратное SSL расшифрование; ожидаемый рост

производительности 3-5 раз(6.2.3.х)

Cisco Next Generation Firewall

Cisco NGFW NGIPS получили высокие оценки

аналитиков

Прямое обновление сразу

на 6.2.3 без промежуточных

релизов

Управление Оптимизация Производи-тельность

Обмен информацией

об угрозахПризнание

© 2018 Cisco and/or its affiliates. All rights reserved.

ASA OS (L2-L4)• МСЭ с контролем состояния

сеансов• NAT, ACL,VPN, маршрутизация• Инспекция протоколов

FirePOWER Module (L7)• Ориентированный на защиту от

угроз NGIPS• Мониторинг и контроль приложений

(AVC), URL• Защита от усовершествованного

вредоносного ПО Advanced Malware Protection (AMP)

Полный набор функций

Миграция функций

Firepower Threat Defense

NGFW URL Visibility

Firepower Management Center (FMC)

ASA with FirePOWER Services

Мониторинг Защита от угроз

Threats

FTD OS - полностью интегрированная ОС для

межсетевого экрана нового поколения

Операционная система Firepower Threat Defense

© 2018 Cisco and/or its affiliates. All rights reserved.7

FTD 1

Архитектура Firepower Threat Defense (FTD)


Data Plane

Advanced Inspection Modules

HA/CCL

FTD 2

Data Plane


Использован код ASA SoftwareПакеты остаются в Data Plane

Мониторинг очереди

Балансировка нагрузки с использованием IP/TCP/UDP

Распределение нагрузки

Синхронизация конфигурацииNGFW/NGIPS репликация состояния соединений

Сбалансированная Функциональность и Производительность

Packet TX

Packet RX Exis

ting

Архитектура и логика Packet Flow


PrefilterPolicy

Main Access Policy

IP Reputation, SI

Flow Creation

Ingress Checks Flow Lookup Clustering VPN

Normalization

Flow Lookup Anomaly, NGIPS, AMP

Egress Checks

Data Plane


New

Pointer

Verdict

FTD

New Existing

Fastpath

Распределение CPU ресурсовFirepower использует Hyper Threading для увеличения логических ядер процессоров x86

• Firepower 2100 использует отдельный выделенный Network Processor Unit (NPU) для Data Plane и x86 комплекс для Advanced Inspection Modules.

• Firepower 4100/9300 распределяет ядра между System, Data Plane и Advanced Inspection Modules.• File Policy динамически использует 2 ядра для обработки файлов.


Платформа Всегоx86 ядер FXOS FTD Management

Plane Data PlaneAdvanced Inspection Modules

Firepower 4110 24 2 22 2 8 10+2Firepower 4120 / 9300 SM-24

48 2 46 2 20 22+2

Firepower 4140 / 9300 SM-36

72 2 70 2 32 34+2

Firepower 4150 / 9300 SM-44

88 2 86 2 36 46+2

Модельный ряд NGFW


Платформы Cisco NGFW


Все платформы NGFW управляются Firepower Management Center

125 Мбит/с -> 1,25 Гбит/сNGFW (AVC + NGIPS)

Firepower Threat Defense для ASA 5500-X

1.9 Гбит/с -> 8.5 Гбит/сNGFW (AVC + NGIPS)

Firepower серии 2100

41xx = 10 Гбит/с -> 24 Гбит/с93xx = 24 Гбит/с -> 53 Гбит/с

Firepower серии 4100 и Firepower 9300

ASA 5500-X


SMB и филиалы

5506 / 5508 / 5516 Унифицированноеуправление

• Интерфейсы 1 Гбит/с• Пропускная способность

650-1250 Мбит/с (AVC +NGIPS)

• Варианты резервируемого электропитания 5545 / 5555

• ПО Firepower Threat Defense или ASA

• Интерфейсы 1 Гбит/с• Пропускная способность

125-450 Мбит/с (AVC +NGIPS)

• Поддержка программной коммутации

• ПО Firepower Threat Defense или ASA

• Firepower Management Center (централизованное)

• Firepower Device Manager (автономное)

• Cisco Defense Orchestrator (облачное)

5525 / 5545 / 5555

Cisco Firepower серии 2100


SMB, периметр, кампус

Оптимизация производительности и плотности портов

Унифицированноеуправление

Специализированный NGFW

• Встроенные механизмы NGFW, NGIPS, управления работой приложений (AVC), фильтрации запросов по URL и Cisco AMP

• Интерфейсы 1 и 10 Гбит/с • Пропускная способность от

1.9 Гбит/с до 8,5 Гбит/с (AVC + NGIPS)

• Форм-фактор 1 RU• Два слота для SSD• 12 RJ45, 4 SFP(+)

• Модели 2130 / 2140• 1 сетевой модуль• Опция "Fail to Wire"• Поддержка двух БП




Cisco Firepower серии 4100


Высокопроизводительный кампус и ЦОД

Оптимизация производительности и плотности портов


Мультисервиснаяплатформа безопасности

• Встроенные механизмы NGFW, NGIPS, управления работой приложений (AVC), фильтрации запросов по URL и Cisco AMP

• Radware vDP для защиты от DDoS

• Поддержка ПО ASA, в будущем – других партнерских решений

• Интерфейсы 10 и 40 Гбит/с• Пропускная способность до

24 Гбит/с в режиме AVC+NGIPS

• Форм-фактор 1 RU• Низкие задержки



Платформа Cisco Firepower 9300


Высокопроизводительный ЦОД

Преимущества• Интеграция лучших сервисов

безопасности• Динамическое построение

цепочек сервисов

Функции• Поддержка ПО ASA• Firepower™ Threat Defense:

• NGIPS, AMP, URL, AVC• Поддержка сторонних решений:

• Radware vDP

Преимущества• Гибкая архитектура

Возможности• Безопасность на базе шаблонов• Защищенная контейнеризация

пользовательских приложений• RESTful/JSON API• Оркестрация и управление

с помощью сторонних систем

Функциональные особенности• Компактное решение (3RU)• 10 и 40 Гбит/с; готовность к

100 Гбит/с• Низкие задержки,

интеллектуальный fast path

Производительность одного шасси 9300 от 24 Гбит/с до 53Гбит/с в режиме AVC+NGIPS, кластер 265 Гбит/c

МодульностьРешение операторского класса

Мультисервиснаяплатформа безопасности

Платформа Cisco Firepower 9300


Высокопроизводительный ЦОД

Преимущества• Интеграция лучших сервисов

безопасности• Динамическое построение

цепочек сервисов

Функции• Поддержка ПО ASA• Firepower™ Threat Defense:

• NGIPS, AMP, URL, AVC• Поддержка сторонних решений:

• Radware vDP

Преимущества• Гибкая архитектура

Возможности• Безопасность на базе шаблонов• Защищенная контейнеризация

пользовательских приложений• RESTful/JSON API• Оркестрация и управление

с помощью сторонних систем

МодульностьМультисервиснаяплатформа безопасности




Виртуальный NGFW (FTDv)


ЦОД, операторы связи, виртуальные экземпляры МЭ

Виртуализация и производительность


• Операторы связи, сценарии multi-tenancy

• Центры обработки данных, защита виртуализации

• Виртуальные экземпляры МЭ

• VMWare ESX, KVM

• 4 выделенных виртуальных x86 ядра

• Разделяемые 8 Гб ОЗУ• 50 Гбайт диск

• Пропускная способность до 1.1 Гбит/с (AVC + NGIPS)




Сценарии использования

Основные возможности NGFW


OpenAppID

Next Generation Firewall и OpenAppID


Мониторинг и контроль приложений (AVC)

Видеть и понимать риски Контроль приложений Приоритезация трафикаПоддержка собственных

приложений

ü

û

û

ü

û

û

ü

1

2

Управление полосой пропускания

Идентификация пользователей

База Cisco:• 4,000 приложений

Азартные приложения

Расшифрование и инспектирование SSL


SSL TLS handshake инспектирование и TLS расшифрование

Log

Расшифрование Принятие решения

Зашифрованный трафик

Контроль приложений

AVC

https://www.%$&^*#$@#$.com

https://www.%$&^*#$@#$.com

Расшифровка на базе URL категорий и проверка расшифрованных пакетов Ведение журнала для SSL сессий

Поиск угрозNGIPS и AMP

gambling

elicit

https://www.%$*#$@#$.com










û

ü

û

ü

ü

ü

û

ü

û

û

Блокирование зашифрованного трафика, инспектирование или расшифрование

Контроль веб-трафика и защита от угроз


URL фильтрация | динамические репутационные списки | DNS инспекция

Классификация: 280M+ URLs Веб фильтрация: 80+ категорий Управление белыми/черными списками

Блокировка подозрительныхURL

Политики на основе URL категорий &

репутационных списков

Allow Block

Admin

Cisco URL Database

DNS Sinkhole(заглушка)

0100101010000100101101NGFW

Фильтрация

BlockAllow

Safe Search

…………

ü û

Репутационныесписки

(безопасный поиск)

URL | IP | DNSВнешние URL feed

Предотвращение вторжений с учетом контекста


Next-Generation Intrusion Prevention System (NGIPS)

Сетевое взаимодействие

01011101001010

010001101 010010 10 10

Пакеты данных

Степень воздействия/

риска

3

1

2

Accept

Block

ISE

Анализ сетевого трафика Корреляция данных Обнаружение скрытых угроз Реагирование на основе степени риска угрозы

Приложения и устройства

Комбинированные угрозы Автоматическое

реагирование

• Профилирование сети• Псевдо-полезный трафик• Подключения к С&C• Фишинг• Репутация

и приложений

cРепутация файла

Защита от продвинутого вредоносного ПО


Cisco AMP & Threat Grid (Advanced Malware Protection и Sandboxing)

• Известные сигнатуры• Нечеткие отпечатки• Индикаторы компрометации

û

Блокирование известного вредоносного когда

Анализ файлов в безопасной среде Обнаружение новых угроз Реагирование на угрозы

Траектория файла в сети, траектория угрозы на устройстве Журнал AMP

для сетей

ü

Песочница Threat Grid

?

Журнал AMP для оконечных

устройств

Диспозиция файла

Защитана хостахАнализ в песочнице

• Передовая аналитика• Динамический анализ• Аналитика угроз

ОпасныйБезопас-ный

Сомни-тельный

DDoS защита, модуль Radware vDefensePro

• Поддерживается на Firepower 4100 and 9300, ОС FTD и ASA• vDP на Firepower 4110 только с ОС FTD

• 200 Мбит/c – 10 Гбит/c чистого трафика на шасси 4100 или модуле 9300

• Производительность зависит от лицензии, использует 6 ядер x86

25

Доступныефункции

NetworkServerApplicationBehavioralHTTPFloodProtection

ServerCracking

SignatureProtection

ConnectionPPS

Limit

Anti-Scan

ConnectionLimit

DNSProtection BehavioralDoS

SYNProtection

BL/WL

Out-Of-State

SYNProtection

Per-flowPPSLimit

ConnectionLimit

Blacklist/Whitelist

Out-Of-StateSignatureprotection

ServerCrackingAnti-Scan

BehavioralDoSDNS ProtectionBehavioralHTTPFloodProtection


Firepower Management Center

Сбор данных об угрозах Подготовка обогащенных отчетов об инцидентах

Корреляция событий от сенсоров

Уточнение состояния безопасности

Сенсоры:• NGFW • NGIPS• AMP4E

Threat Intelligence

Cisco Threat Intelligence Director (CTID)


Агрегируйте знания об угрозах

CSV

Внешние источники:• Crowdstrike• Flashpoint• Soltra Edge• EclecticIQ• Lookingglass

База знаний Cisco:• TALOS• Threat GRID

Внешняя аналитика:• Threat Intelligence

Platforms (TIPs)• SIEM• IR management• Case management

Алгоритм использования знаний об угрозах


Threat Intelligence Director

Сенсоры безопасности

ОбнаружениеИнциденты

Загрузка IOCs

ThreatIntelligence

STIX

FMC Блокировка Наблюдение

• Информация об угрозах из внешних источников.

• Автоматическое блокирование угроз с использование индикаторов компрометации.

• Единая консоль для интеграции с TAXII и CSVисточниками.

Варианты управления NGFW


Firepower Device

Manager (FDM)

Firepower Management Center (FMC)

Автономное

Варианты управления NGFW


ASDM withFirePOWER

Services

Простое автономное решение для типовых

настроек политик и правил обеспечения

безопасности

Централизованное управление политиками, событиями и устройствами. Аналитика,

адаптированные рекомендации для политик, автоматизация

Cisco Defense Orchestrator (CDO)

Централизованное

Автономное решение для настроек политик и

правил обеспечения безопасности

Централизованное облачное управление

политиками для NGFW, WSA, Umbrella

Автономное Облачное

Firepower Management CenterРекомендован для более чем одного NGFW или NGIPS устройства.

Потребности в продвинутой аналитике, корреляции, централизованной отчетности, автоматизация и реагирование на угрозы.

Многопользовательское управление, единообразие и наследование политик.


Firepower Device ManagerАвтономная система управления для одного FTD устройства.

Нацелен на SMB рынок.

Простой и интуитивный интерфейс с Мастером настройки.


ASDM с сервисами FirePOWERБыстрый и удобный способ для перехода на сервисы FirePOWER и сохранения ASA OS.

Автономное решение для настроек политик и правил обеспечения безопасности


Cisco Defense OrchestratorУпрощение и унификация политик для NGFW, Umbrella и WebSecurity Appliance (WSA).

Создание шаблонов политик. Моделирование политик перед их внедрением.

Удобство выявления ошибок в конфигурации.

Оперативное реагирование на угрозы.

Оркестрация изменений в политиках из единого центра.


REST APIREST API – интерфейс прикладного программирования, основанных на принципах RESTful. Использование HTTP методов предоставляет доступ к текущей конфигурации и возможность внесения дополнительных изменений, аудит, состояние устройства и многое другое.


Firepower 4100 и 9300Оптимизация и повышение производительности


Разгрузка потока Flow Offload• Программируемый Smart NIC на Firepower 4100 и 9300• Трафик полностью исключается из процесса инспектирования• Разработан для больших продолжительных потоков• Применение: доверенный трафик, например, бэкап• Поддержка до 4 млн offloaded stateful соединений


Flow Offload• Ограниченная проверка состояния, NAT/PAT, TCP Seq Randomization• TCP state, TCP flag, TCP number и нормализация• 20-40G Гбит в одном TCP/UDP flow, 2.9us UDP latency, 4M tracked flows

Архитектура и логика Flow Offload

37

Новые полностью инспектируемые flow

Доверенные установленные flows

Шасси 4100 или сервисный модуль 9300

Входящий трафик

Глубокое инспектирование• Динамический, программируемый модуль Offload• Возможность переключения между Offload и инспектированием

ИнструкцииOffload

Классификатор Flow

x86 CPU комплекс

Smart NIC

Flow updates

Rewrite Engine

FTD ОС или ASA ОС

Access Control: Действие TrustТрафик исключается только из процесса глубокого инспектирования и процесса discovery.

Возможны следующие функции, связанные с данным трафиком:

• Аутентификация пользователей

• Ограничение полосы пропускная


Intelligent Application Bypass (IAB)IAB идентифицирует приложения, которым вы доверяете проходить через МЭ без последующего инспектирования в случае превышения преднастроенного порога производительности, потоков (flow) и пакетов.

Пример: ночной бэкап.


Варианты Bypass


Flow Offload Политика PrefilterПравило c действием Fastpath

TrustПолитика Access Control Правило с действием Trust

IABПолитика Access Control Функция Intelligent Application Bypass

Трафик полностью исключается из процесса инспектирования

Трафик исключается только из процесса глубокого инспектирования и discovery.

Возможны следующие функции, связанные с данным трафиком:• Аутентификация

пользователей• Ограничение полосы

пропускная

Идентификация приложения и передача без последующей инспекции в случае превышения преднастроенногопорога производительности, потоков (flow) и пакетов.

Режим: Turbo Performance• Автоматически включается на Firepower 9300.

• Увеличивает производительность FTD ОС и ASA OC.

• Все x86 CPU ядра временно повышают тактовую частоту:• Включение, когда 25% Data Plane ядер загружены на 80%• Отключение, когда нагрузка падает ниже 60%• Прирост производительности 10-20%.

41© 2018 Cisco and/or its affiliates. All rights reserved.

Защита периметраСценарии развертывания NGFW


Пограничный межсетевой экран


ТребованияПодключение и доступность:• Отказоустойчивость• Поддержка режимов Routed или Transparent

Маршрутизация:Static и BGPDynamic NAT/PAT и Static NAT

Безопасность:• Контроль приложений, URL -фильтрация• Предотвращение вторжений• Защита от вредоносного ПО• Расшифрование HTTPS

Аутентификация:• Аутентификация пользователей и устройств

РешениеМежсетевой экран нового поколения Firepower Threat Defense сцентрализованной системой управления FMC

Отказоустойчивая пара МСЭ

Оператор связи

Кампус

Периметр DMZ

PortChannel

Граница сети

Внутренняя сеть

WWW DNS SMTP

Интернет

Типовой сценарий защиты границы сети

44

ThreatGRID

Кампус

ЦОД

NGFW

Honeypot

AMP

Списки доступа ACL, NGIPS

AVC, IP/URL репутация, TLS расшифрование, URL фильтрация, репутация файлов, и песочница

Проверка хэш (SHA256) в AMP cloud, неизвестные файлы отправляются в песочницу;

ThreatGRID отправляет результаты в AMP/TALOS

Непрерывные обновления из центра исследования угроз ИБ

Cisco TALOS

Ловушка DNS Sinkhole – перенаправление потенциально опасных соединений в локальный honeypot

OSPF, BGP, EIGRP


Режимы работы NGFW


inside1

inside2

Routedinside outside

FTD

DMZ

Transparent inside outsideFTD

DMZ

10.1.1.0/24 10.1.2.0/24

10.1.3.0/24 10.1.1.0/24

Routed with IRBoutside

FTDDMZ

10.1.1.1/2410.1.2.0/24

10.1.3.0/24

BVI: inside

• На этапе развертывая выбрать: Routed или Transparent режим NGFW

• Transparent режим требует IP адрес для Bridge Virtual Interface (BVI)

• Integrated Routing и Bridging (IRB) могут использоваться в Route режиме

• VLAN и VxLAN ID должен быть изменен при пресечении NGFW

Сетевые интерфейсы в режиме NGIPS


FTDInlineEth1/1 Eth1/2

Inline TapEth1/1 Eth1/2

Passive FTDEth1/1FTD

• Сетевые интерфейсы (NGFW Routed/Transparent) поддерживают режим NGIPS• Inline пара - только физические сетевые интерфейсы• Pass-through режим для VLAN• Часть функций МСЭ отключена: IP дефрагментация, TCP нормализация

Требует пару сетевых интерфейсов, блокировка трафика в соответствии с IPS политикой

Не вносит изменения, работает с копией трафика в режиме мониторинга

Типичный IDS режим, работает с копией от SPAN или RSPAN

Примеры использования режимов работы NGFWRouted Mode - традиционный маршрутизируемый режим. Самый распространённый вариант для защиты границы сети. Два или более сетевых интерфейсов разделяют L3 домены – МСЭ, маршрутизаторы или шлюзы по умолчанию.

Transparent Mode - МСЭ функционирует как bridge (мост) и работает на L2. Прозрачный режим может использоваться на границе сети, чаще в центрах обработки данных, кампусных сетях, там где нельзя добавить L3 hop и изменить логическую топологию сети.

Режим NGIPS – ЦОД с Pass-through режимом для VLAN и типичный IDS режим там где требуется анализ SPANтрафика, например, периметр.

Integrated Routing и Bridging (IRB) комбинирует маршрутизируемый и прозрачный режимы работы МСЭ. Используется как “программный коммутатор” в маршрутизируемом режиме, например, для хостов в периметре DMZ.


192.168.1.0/24.1.2

192.168.1.0/24.1.2

173.78.200.0/24.2 .1

192.168.1.0/24 .1.2

SPAN

192.168.1.0/24

.2 .3.1

Программный коммутатор

для DMZ

Integrated Routing и Bridging

Routed Mode Transparent Mode

173.78.200.0/24.2 .1

10.10.10.0/24.2 .1

NGIPS (Passive)





Сценарий использования Integrated Routing и Bridging


0/2 0/3Inside Internet

X

0/2 0/3Inside Outside

FTDBVI1

___________|_____________| |

0/0 (DMZ 1) 0/1(DMZ 2)

0/2 0/3| |

BVI2FTDBVI1

| | 0/0 0/1

X


Интернет

ПериметрDMZ

0/1 DMZ

FTD


Интернет

ПериметрDMZ

Резервирование интересов

Резервирование сетевых

интерфейсов

Резервирование каналов и платформ


Резервирование | Агрегация | Отказоустойчивость | Кластеризация

Кластеризация

Объединение до

169300 модулей

4100 шасси

Активный / Пассивный

Агрегация интерфейсов

LACP

Equal-Cost Multi-Path (ECMP)

Трансляция сетевых адресов


Automatic и Manual (complex) NAT включая IPv6

Динамическая Маршрутизация


OSPF and OSPFv3 (IPv6)

BGP (IPv4 & IPv6)

Static Route• Tunneled Route для VPNs• Reverse Route Injection для VPNs

Multicast Routing• IGMP• PIM

EIGRP via FlexConfig

Integrated Routing и Bridging в FMC


• Bridge группы поддерживаются в Routed и Transparent режимах.

• В режиме Routed, BVI интерфейс работает как шлюз между Bridge группой и другими маршрутизируемыми сетевыми интерфейсами.

Ограничение полосы пропускания


Приложения | Пользователи | URL

Контроль приложений (AVC) и URL -фильтрация


Расшифрование SSL


Приложения | Пользователи | Сертификаты

Защита от SSL Resign


www.example.com

www.example.com

Легитимный Веб-сайт

Веб-сайт злоумышленника

Цепочка сертификатов содержит как минимум один ожидаемый pinned certificate

Цепочка сертификатов не содержит ни одного pinned certificateДоступ будет запрещён

Пользователь

RFC 7469PublicKeyPinningExtensionforHTTP:МеханизмобеспечениябезопасностиотMITM,использующийHTTPзаголовокдлязащитыHTTPSсервераиегопользователей.

Рекомендуемые настройки• Блокировать TLS трафик без расшифрования:

• URL –категории• На уровне приложений• С использованием статуса сертификата, версии TLS или криптоалгоритма.

• Использование режима “Replace Key Only”.

• Журналирование для диагностики.


Гибкая автоматизированная настройка NGIPS


Защита от продвинутого вредоносного ПО (AMP)


Политики на основе репутационных списков IP & URLIP & URL динамические репутационные списки.

Источники: динамические списки TALOS и сторонние поставщики.

Категории: DGA, Exploit Kit, Suspicious, Malware, Phishing, CnC, открытые прокси, и т.д.

Реакция: Allow, Monitor, Block, Interactive Block.

Использование тегов IoC.

Белые и черные списки.


Security Intelligence: Репутационные списки IP & URL


Category DescriptionAttacker Активные сканеры и узлы из черного списка, известные исходящей злонамеренной

активностьюMalware Сайты, на которых размещаются вредоносные программы (malware) или exploit kits

Phishing Сайты, на которых размещены phishing страницы

Spam Почтовые узлы, рассылающие спам

Bots Сайты, на которых размещены malware droppers

CnC Серверы управления botnet-сетями

Open Proxy Открытые прокси/ прокси анонимайзеры

Open Relay Открытые почтовые Relay

Tor Exit Node Точки выхода Tor

Bogon Сети Bogon и нераспределенные IP-адреса

Контроль DNS• Динамические

интеллектуальные репутационные списки

• Сети взломанных компьютерных систем с публичными записями DNS(fast-flux домены)

• DNS списки: C&C, Spam, Malware, Phishing, и т.д.

• Реагирование: блокировка, Sinkhole -ловушка, мониторинг.

• Индикаторы компрометации.


Дополнительные категории для безопасности DNS


Категория Описание

DGA Алгоритмы, используемые для генерации большого количества доменных имен (для распространения вредоносного ПО), действующих как точки рандеву с их серверами управления

Exploit Kit Инструменты, предназначенные для выявления уязвимостей программного обеспечения на клиентских компьютерах

Response Списки IP/URL -адресов, которые, активно участвуют в злонамеренной / подозрительной деятельности

Suspicious Узлы с подозрительными файлами, характеристики которых схожи с известными вредоносными программами

Идентификация пользователей


Группы AD & ISE (Guest, BYOD)

Фильтрация с использованием TrustSec SGT


Использование ISE атрибутов: профили устройств

Автоматическая блокировка


ISE remediation (исправление состояния / карантин) с использованием pxGrid

Сценарии развертывания NGFWSite-to-Site VPN иRemote Access VPN


Site-to-Site VPN: Центральная и удаленные площадки


Поддержка динамических IP адресов для удаленных устройствРезервные каналы

Удаленный защищенный доступ


Remote Access VPN

Отказоустойчивая пара Firepower

2100

• Безопасный SSL/IPsec AnyConnect доступ к корпоративной сети

• Все возможности NGFW для защиты для мобильных пользователей.

• Интуитивный мастер настройки RA VPN Wizard• Инструменты для мониторинга и проверки

работоспособности (Troubleshooting).

Защищенный доступ с Firepower


Интернет

Cisco AnyConnect VPN Client

Удаленный защищенный доступ


С использованием Cisco AnyConnect VPN

Сценарии использования:

• Split или full tunnel

• Гибкие профили

• Аутентификация имя/пароль и/или Сертификат

Firepower Management Center и нагрузка на каналы связи


Управляющие воздействия и нагрузка на канал связи

Элемент Направление трафика Типовой размер пакета Время ожидания по

умолчанию

Политика и Sourcefire Rule Updates (SRU)

FMC→FTD• 1-10MB в зависимости от

функций• До 1MB для SRU

5 минут

URL Database FMC→FTD • 20MB для SMB платформ• 40-450MB для старших

платформ60 минут

Обновления VDB FMC→FTD • 30-70MB every ~6 weeks• 10 минут до 10MB• 60 минут до 4GB

Патчи и Upgrade Images

FMC→FTD • 300MB-1GB 60-100 минут

События ИБ FTD→FMC • В среднем 700 байт событие• Размер URL сильно

отличается-


FMC - требования каналам связиОбновление образа ОС является “горлышком” в условиях ограниченной полосы пропускания:

• 700Кбит/c – 2.5Мбит/c в зависимости от платформы и размера образа ОС.

• Альтернатива – ручная загрузка образа ОС через SCP и SFMGR.

Размер конфигурации зависит от задействованных функций.


Тип политики Размер Полоса пропускания1 IPS Policy (Balanced Security and Connectivity) 1.8MB 52Kbps2 IPS Policies (No Rules + Balanced Security and Connectivity) 2.3MB 66Kbps4 IPS Policies and Minimal AC Policy (All 4 default IPS + 3 AC Rules) 5.3MB 151Kbps4 IPS Policies and Medium AC Policy (All 4 default IPS + 1000 AC Rules) 7.8MB 221Kbps4 IPS Policies and Extra Large AC Policy (All 4 default IPS + 5000 AC rules) 8.2MB 234Kbps4 IPS Policies and Enormous AC Policy (All 4 default IPS + 10000 AC rules) 9MB 255Kbps

Будущие возможности


Будущие возможности: Аппаратное SSL расшифрованиеMan-in-the-Middle (MITM) TLS состоит из двух отдельных соединений, с клиентом и сервером.

• Режим Resign Certificate Pinning работает с Certificate Pinning, но не с Public Key Pinning.

• Аутентификация по Client Certificate или не поддерживаемые крипто-алгоритмы защищают от MITM.

Ожидаемый рост производительности:

• От 3 до 4 раз для больших потоков (Bulk Data).

• От 7-8 раз для транзакционном трафике (PKI).

Client Public Key FTD Public Key

Server Public KeyFTD (Resign) or Server (Known) Public Key

x86 Crypto Engine

CPU Bus


FTD 6.2.3.х

Будущие возможности: Виртуальные экземпляры МЭМножество виртуальных контейнеров FTD OS и ASA OS на одном шасси/аппаратном модуле:

• Выделение необходимых CPU/RAM ресурсов на этапе развертывания экземпляра OS.

• Физическое и логическое (VLAN) разделение на уровне Supervisor.

• Полностью отдельное управление с использованием доменов в FMC.


Firepower 4100 or Firepower 9300 module

FTD Instance A4 CPU

FTD Instance B 2 CPU

FTD Context C12 CPU

FTD Context D4 CPU

ASA Context A12 CPU

Ethernet1/1-3 Ethernet1/4-5 Port-Channel1.100-101 Port-Channel1.101-102Port-Channel2

Будущие возможности: Цепочка сервисов безопасностиКонтекстная политика на основе используемых сервисов безопасности

Обмен метаданными с использованием Network Service Header (NSH)


DDoS FTD ?

Stateful Data Path

Модули безопасности

Input packets Output packets

Service Function (SF) обрабатывает пакеты, метаданные и возвращает в SSF

Service Classifier (SС)и Service Function Forwarder (SFF) направляют входящий трафик в необходимый Модуль безопасности

SF, SC и SFF влияют на сервисный маршрут в соответствии с политикой, контекстом м метаданными

Обучение Firepower в Cisco dCloud


dCloud: Cisco Firepower Threat Defense Basics Lab v2Сценарии:1) Установка Firepower Management Center2) Установка FTD в центральном офисе3) Общие настройки типовой корпоративной сети4) Установка FTD на удаленной площадке №15) Установка FTD на удаленной площадке №16) Настройка URL фильтрации7) Настройка SSL расшифрования8) Политика контроля файлов и защита от Malware9) Политика IPS10) Настройка параметров FTD11) Пример настройки VPN12) Типовые задачи при обслуживании FMC и FTD13) Мониторинг FMC и FTD14) Введение в программирование API для FMC


dCloud: Cisco Firepower Next-Generation Firewall 6.2 Advanced Lab v1Сценарии:1) Настройка с использованием REST API2) Настройка основных параметров3) AnyConnect Remote Access VPN4) AnyConnect с RADIUS атрибутами5) AnyConnect и аутентификация по сертификатам6) Мониторинг и отладка7) Cisco Threat Intelligence Director (CTID)8) FlexConfig9) Миграция с ASA на NGFW10) NAT и Маршрутизация11) Site-to-Site VPN12) Интеграция с прокси сервером WSA13) Политика Prefilter14) Программный коммутатор Integrate Routing и Bridging (IRB)15) Appendix A: Предварительная настройка FMC16) Appendix B: Скрипты REST API17) Appendix C: ISE RA VPN Configuration


Firepower Threat Defense!!!• Надежное решение для

защиты корпоративной сети.

• Передовые возможности защиты от продвинутых угроз.

• Site-to-Site VPN и динамическая маршрутизация.

• Удаленный мобильный доступ.


Унифицированное управление

Надежный и функциональный

NGFW

Гибкие варианты развертывания

Оцените данную сессию в мобильном приложении конференции

Контакты:

Тел.: +7 495 9611410www.cisco.com


www.facebook.com/CiscoRu

www.instagram.com/ciscoru

www.youtube.com/user/CiscoRussiaMedia

www.vk.com/cisco

Cisco Connect 2018 – Презентация

Documents

Transcript of Cisco Connect 2018 – Презентация