Cisco Expo 2010 Маршрутизаторы Cisco как устройства обеспечения безопасности Cisco Expo 2010 Андрей Гречин Инженер-консультант
Cisco Expo 2010
Маршрутизаторы Cisco как устройства обеспечения безопасности
Cisco Expo 2010
Андрей Гречин
Инженер-консультант
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 2 Cisco Public
Содержание
Необходимость встроенных средств безопасности
Используемые методы борьбы с угрозами
Рекомендации по дизайну и проектированию
Варианты внедрения
© 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 3 3
Трансформация: Предприятие без границ
Кто угодно
Где угодно Любое
устройство
Любой ресурс
Anyone
Anywhere
СЕТИ БЕЗ ГРАНИЦ
Архитектура следующего поколения для организации нового рабочего пространства
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 4 Cisco Public
Проблемы и угрозы в современных сетях
Филиал
Центральный офис
Internet
Интернет-угрозы
Атаки на инфраструктуру
Проблемы и угрозы в современных корпоративных сетях
Ботнеты и прочие угрозы
Атаки на беспроводные сети
Атаки на голосовые сервисы
Атаки на филиалы
Филиал
Филиал
Атаки на ЦО
QFP
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 5 Cisco Public
Необходимость интегрированной защиты IOS Security
Филиал
ЦО Internet
Филиал
Network Foundation Protection
Application Firewall
011111101010101011111101010101
IPS FPM
Content Filtering
Voice Security
Wireless Security
Защита доступа в Интернет в филиалах без необходимости покупки доп. оборудования
Защита от червей и вирусов прямо в филиалах, без загрузки каналов паразитным трафиком
Защита самих маршрутизаторов от взлома и DoS-атак
Безопасность в филиалах и ЦО
QFP
•Campus Edge
•DC Edge
•DMZ
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 6 Cisco Public
Содержание
Необходимость встроенных средств безопасности
Используемые методы борьбы с угрозами
Рекомендации по дизайну и проектированию
Варианты внедрения
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 7 Cisco Public
Безопасность для маршрутизатора «все включено»
Только маршрутизатор Cisco
Cisco Configuration Professional
NetFlow IP SLA Role-Based Access
Управление и администрирование
Решения для безопасных сетей
Безопасный голос
Соответствие нормативным актам
Мобильные сервисы
Доступность всюду
TrustSec Content Filtering
802.1x/ Identity Firewall
Network Foundation Protection
Flexible Packet Matching
011111101010101011111101010101
Безопасность каналов
GET VPN DMVPN Easy VPN AnyConnect
Позволяет сделать это всѐ
Интегрированная защита от современных угроз
Intrusion Prevention
Advanced Firewall
Булава
Антивирус Касперского
TBD
UCS Express vWAAS
Новое Новое
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 8 Cisco Public
Интегрированная защита от современных угроз
Защита базовых сетевых сервисов - Network Foundation Protection (NFP)
МСЭ с зональными политиками – Zone based Firewall
Интеллект на уровне приложений - Application Intelligence Control
Система предотвращения вторжений -Intrusion Prevention System
Система контентной фильтрации - Content Filtering Solution
Анализ содержимого пакетов - Flexible Packet Matching (FPM)
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 9 Cisco Public
Маршрутизатор можно логически разделить на три уровня:
1. Data plane:
Большинство пакетов путешествующих через маршрутизатор проходят через него
2. Management plane:
Трафик управления и интерактивных протоколов, таких как Telnet, Secure Shell (SSH) и SNMP
3. Control plane:
Протоколы маршрутизации, проверки доступности, ICMP с IP options, а также пакеты, предназначенные для самого маршрутизатора
Защита базовых сетевых сервисов Network Foundation Protection (NFP)
Data Plane
Передача трафика
Control Plane
Маршрутизация
Management Plane
Управляемость
Cisco NFP
―Разделяй и Властвуй‖:
Методологический подход по
защите всех уровней
Network Foundation Protection
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 10 Cisco Public
Cisco IOS AutoSecure
http://www.cisco.com/go/autosecure
Защита маршрутизатора выполнением одной команды
Дополнительная защита от DoS-атак
Отключение ненужных сервисов, которые могли бы стать объектом атаки
Отключение неиспользуемых
сервисов
Защита от SYN-атак
Anti-Spoofing
Включение полной инспекции МСЭ на внешних интерфейсах
Защита передаваемого трафика
Принудительное включение протоколов безопасного доступа
Расширенные журналы событий безопасности
Безопасный доступ
Network Foundation Protection
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 11 Cisco Public
Cisco IOS Firewall Краткий обзор
Stateful firewall: Полная инспекция на L3 – L7 уровнях модели OSI;
Гибкие прокси-алгоритмы(ALG): поддержка динамических приложений для более полного контроля их использования;
Application inspection and control (AIC): Проверка как канала управления, так и канала данных, для более полного соответствия политике безопасности;
Virtual firewall: контроль доступа между виртуальными контекстами, возможность использования перекрывающихся IP-подсетей
Прозрачный МСЭ: Внедрение в существующей сети без необходимости перенастройки и выделения IP-адресов;
Интуитивно понятный графический интерфейс: Легкая установка и настройка политик с помощью CCP и CSM
Надежность: функции высокой доступности для пользователей и приложений с stateful firewall failover
Интерфейсы: Широчайший выбор WAN и LAN интерфейсов
Неполный список поддерживаемых протоколов:
HTTP, HTTPS, and JAVA;
E-mail: POP, SMTP, ESMTP, IMAP;
P2P и IM (AIM, MSN, и Yahoo!);
FTP, TFTP, и Telnet;
Голос: H.323, SIP, и SCCP;
СУБД: Oracle, SQL, и MYSQL;
Citrix: ICA and CitrixImaClient;
Multimedia: Apple и RealAudio;
IPSec VPN: GDOI и ISAKMP;
Microsoft: MSSQL и NetBIOS;
Tunneling: L2TP и PPTP;
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential BRKSEC-2007_c1 11
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 12 Cisco Public
Межсетевой экран на основе зональных политик безопасности Сценарии использования
МСЭ в филиале:
Split Tunnel сценарий – филиал, торговая точка, представительство и т.д.;
Virtual Firewall --виртуализация(VRFs) в филиале;
Прямое Интеренет-соединение – маленький филиал, решение оператора связи как сервис;
Внутренний МСЭ– сегментирование по разным признакам, часто для выполнения требований нормативных актов.
МСЭ в ЦО:
•Защита периметра;
•Защита ЦОД;
•Демилитаризованные
зоны.
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 13 Cisco Public
Межсетевой экран на основе зональных политик безопасности
Позволяет группировать физические и виртуальные интерфейсы в зоны;
Политики безопасности применяются к трафику, пересекающему границы зон;
Просто добавлять интерфейсы и изменять политики.
DMZ
Public Private
Private-Public
Policy
Public-DMZ
Policy
DMZ-Private
Policy
Private-DMZ
Policy
Поддерживаемые функции:
Stateful Inspection
Application Inspection: IM, POP, IMAP, SMTP/ESMTP, HTTP
Content filtering
Per-policy parameter
Transparent firewall
VRF-aware firewall (Virtual Firewall)
User-Based ZBF
Internet
Advanced Firewall
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 14 Cisco Public
Межсетевой экран на основе зональных политик безопасности – настройка
class-map type inspect match-any services
match protocol tcp
!
policy-map type inspect firewall-policy
class type inspect services
inspect
!
zone security private
zone security public
!
zone-pair security private-public source private destination public
service-policy type inspect firewall-policy
!
interface fastethernet 0/0
zone-member security private
!
interface fastethernet 0/1
zone-member security public
Определение сервисов,
инспектируемых политикой
Какие действия будет
предпринимать МСЭ
относительно этих сервисов
Определение зон
Назначение пар зон,
применение политики
Принадлежность интерфейса к
зоне
Advanced Firewall
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 15 Cisco Public
Межсетевой экран на основе зональных политик безопасности – настройка class-map type inspect match-any services
match protocol …
match access-group name aclEXTERNAL
!
router(config-pmap-c)# policy-map type inspect firewall-policy
router(config-pmap-c)# class type inspect services
router(config-pmap-c)#?
Policy-map class configuration commands:
drop Drop the packet
exit Exit from class action configuration mode
inspect Context-based Access Control Engine
no Negate or set default values of a command
pass Pass the packet
police Police
service-policy Deep Packet Inspection Engine
<cr>
Advanced Firewall
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 16 Cisco Public
Cisco IOS Zone-Based Firewall— Настройка политик в GUI (CCP) Advanced
Firewall
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 17 Cisco Public
Пользователи группируются на основании идентификационного признака или IP-адреса;
Политика применяется ко всей группе;
Удобно для разделения пользователей по функциональным обязанностям;
Inspect class-map поддерживаются в UG-ZBF;
Поддерживаемые протоколы аутентификации – TACACS+, RADIUS и Microsoft ActiveDirectory LDAP (с 15.1(1)Т);
User-Group Firewall Advanced Firewall
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 18 Cisco Public
Как это работает?
Отдел продаж
Сервер аутентификации
Гости и контрактники
IP-телефоны
Бухгалтерия и
отдел кадров
Серверы
Internet Firewall или
Authproxy или
NAC
Маршрутизатор перехватывает трафик аутентификации
Если метки нет, делает запись в БД о новой метке
На основании метки делается вывод о принадлежности к группе
На основании заданной политики выполняется действие
Advanced Firewall
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 19 Cisco Public
Как это работает?
Используются существующие методы аутентификации/авторизации:
Authentication Proxy;
Полученный AAA-атрибут используется для ассоциирования IP-адреса с членством в группе;
Zone-Based Firewall использует дополнительный критерий match <user-group>
Advanced Firewall
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 20 Cisco Public
Прозрачный межсетевой экран Transparent Firewall
Работает как незаметный межсетвой экран:
Никакие IP-адреса не ассоциируются с МСЭ (нечего атаковать);
Нет необходимости перенастраивать IP-подсети;
IOS-маршрутизатор бриджует трафик между двумя «половинками» сети.
Пример использования: МСЭ между проводной и беспроводной сетью:
Обе «сети» в одной IP-подсети192.168.1.0/24;
VLAN 10 - защищаемый сегмент;
Пользователи беспроводного сегмента не имеют доступа в проводной сегмент.
Fa 0/0
VLAN 10
Wireless
Transparent
Firewall 192.168.1.2
192.168.1.3
Internet
192.168.1.4
Advanced Firewall
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 21 Cisco Public
Прозрачный межсетевой экран – настройка из консоли
Настройки политики:
zone-pair security zone-policy source wired destination wireless
service-policy type inspect firewall-policy
!
interface VLAN 10
description private interface
bridge-group 1
zone-member security wired
!
interface VLAN2
description public interface
bridge-group 1
zone-member security wireless
Настройка прозрачного режима:
bridge configuration
bridge irb
bridge 1 protocol ieee
bridge 1 route ip
Классификация сервисов:
class-map type inspect match-any protocols
match protocol dns
match protocol https
match protocol icmp
match protocol imap
match protocol pop3
match protocol tcp
match protocol udp
Политика:
policy-map type inspect firewall-policy
class type inspect protocols
Inspect
Зоны:
zone security wired
zone security wireless
Advanced Firewall
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 22 Cisco Public
IOS Firewall с поддержкой IPv6 Текущее состояние
Предоставляется сервис межсетвого экранирования с контролем состояния и определением аномалий для фрагментированных IPv6-пакетов, TCP, UDP, ICMPv6 и FTP-трафика;
Cisco IOS Firewall для IPv6 может сосуществовать с Cisco IOS Firewall для IPv4 и поддерживается на всех dual-stack маршрутизаторах;
Cisco IOS Firewall для IPv6 features:
Анализ фрагментированных пакетов;
Защита от DoS-атак;
Инспектирование туннелированных пакетов;
МСЭ с контролем состояния для пакетов из IPv4-сети, предназначенных для IPv6-сети;
Интерпретация или распознование большинства полей заголовка пакета IPv6;
Поддержка механизма Port-to-application mapping (PAM).
Advanced Firewall
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 23 Cisco Public
Что нового в Cisco IOS ZBFW в 15.1(2)T
Расширение поддержки IPv6: Поддержка Global Parameter Map и Default parameter-map;
Поддержка Unified MIB для IPv6;
Поддержка Intra-zone трафика для IPv6;
Поддержка механизмов отладки для ZBFW IPv6;
Расширенные журналы для ZBFW IPv6;
IPv4 FTP engine теперь поддерживает dual stack control chanel и ускоряется CEF.
Поддержка SCCP v17 Video: Поддержка и обработка SCCP (v17) Видео.
Advanced Firewall
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 24 Cisco Public
Cisco IOS Flexible Packet Matching (FPM) Быстрый ответ на новые угрозы
Нужны способы и механизмы защиты от day-zero атак, пока не стали доступны
сигнатуры для IPS;
Обычные ACL слишком грубы — легитимный трафик может быть заблокирован
ими:
Пример: Защита от червя Slammer c помощью ACL означает блокировку UDP-
порта 1434 — что нарушит нормальную работу Microsoft SQL сервера;
FPM предлагает гибкое и точное Layer 2–7 определение трафика:
UDP-порт 1434 + длина пакета 404B + определѐнные шаблоны в пакете
Slammer
0111111010101010000111000100111110010001000100100010001001
Match Pattern AND OR NOT
Cisco.com/go/fpm http://www.cisco.com/pcgi-bin/tablebuild.pl/fpm
Flexible Packet Matching
011111101010101011111101010101
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 25 Cisco Public
Cisco IOS Flexible Packet Matching Пример настройки – защита от Slammer
Class-map stack ip-udp
Match field ip protocol eq 17 next udp
Class-map access-control slammer
Match field udp dport eq 1434
Match start ip version offset 224 size 4 eq 0x04011010
Match start network-start offset 224 size 4 eq 0x04011010
Policy-map access-control udp-policy
Class slammer
Drop
Policy-map access-control fpm-policy
Class ip-udp
service-policy udp-policy
access-control
класс slammer
определяет
шаблон трафика:
udp dst port
1434,
сдвиг от
начала IP-
заголовка,
смещение 224
байта,
значение
длиной 4 байта
равно
0x04041010
Flexible Packet Matching
011111101010101011111101010101
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 26 Cisco Public
Система предотвращения вторжений Cisco IOS Intrusion Prevention (IPS)
Cisco IOS IPS останавливает атаку на ранней стадии, защищает полосу пропускания, маршрутизатор и сеть от DoS-атак;
Интегрированные функции и невысокая стоимость делают решение эффективным в филиальных сетях;
Поддерживается более 2000+ сигнатур из базы данных Cisco IPS;
Поддерживаются пользовательских сигнатуры и реакции.
Филиал
Филиал
Точка продаж
Штаб-квартира
Применить IPS на
трафике из филиалов,
чтобы защититься от
червей и ботнетов на
PC
Остановить
атаку до того,
как она
использует
весь канал
Распределѐнная защита от вирусов и червей:
http://www.cisco.com/go/iosips
IPS
Internet
Защита
маршрутизатора
и сети от DoS-
атак
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 27 Cisco Public
Защита PC от Интернет-червей
1 Смещение фокуса защиты от червей на границу сети
Защита серверов в филиале
Сценарии применения Cisco IOS IPS
2 3
Использование IPS и МСЭ на маршрутизаторах для защиты серверов в филиале
Нет необходимости в физическом разделении
Включение IPS для трафика от филиала к штаб-квартире чтобы предотвратить распространение червей и атаки от заражѐнных PC
Использование IPS и МСЭ на маршрутизаторах для защиты от червей
5 Прозрачный (layer 2) IPS
4 Соответствие требованиям регуляторов
IPS
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 28 Cisco Public
Cisco IOS Intrusion Prevention System (IPS) Configuration (Command Line Interface (CLI)
Настраиваем Cisco IOS IPS (продолжение)
retired false
interface FastEthernet0
ip ips ips-policy in
Загружаем сигнатуры с TFTP-сервера
copy tftp://192.168.10.4/IOS-S289-CLI.pkg idconf
Loading IOS-S259-CLI.pkg from 192.168.10.4 :!!!
show ip ips signature count
Total Compiled Signatures:
338 -Total active compiled signatures
Загрузка файлов Cisco IOS IPS сигнатур на PC
http://www.cisco.com/pcgi-bin/tablebuild.pl/ios-v5sigup
IOS-Sxxx-CLI.pkg
realm-cisco.pub.key.txt
Задаѐм Cisco IOS IPS Crypto Key
mkdir ipstore (Create directory on flash)
Paste the crypto key from
realm-cisco.pub.key.txt
Настраиваем Cisco IOS IPS
ip ips config location flash:ipstore retries 1
ip ips notify SDEE
ip ips name ips-policy
ip ips signature-category
category all
retired true
category ios_ips basic
IPS
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 29 Cisco Public
Прозрачный Cisco IOS IPS Пример использования: IPS между беспроводным и проводным сегментами
Работает как «незаметный» IPS Никакие IP-адреса не ассоциируются с IPS (нечего атаковать);
Нет необходимости перенастраивать IP-подсети;
IOS-маршрутизатор бриджует трафик между двумя «половинками» сети.
Обе «сети» в одной IP-подсети192.168.1.0/24;
VLAN 1 - защищаемый сегмент;
Контролируется доступ из беспроводного сегмента в проводной сегмент
IPS
Fa 0/0
VLAN 1
Wireless
Прозрачный IPS
192.168.1.2
192.168.1.3
Internet
192.168.1.4
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 30 Cisco Public
Cisco IOS Intrusion Prevention System (IPS) Настройка через консоль(CLI)
Настраиваем Cisco IOS IPS (продолжение)
interface VLAN 1
description private interface
bridge-group 1
ip ips ips-policy out
interface VLAN 2
description private interface
bridge-group 1
ip ips ips-policy in
Загружаем сигнатуры с TFTP-сервера
copy tftp://192.168.10.4/IOS-S289-CLI.pkg idconf
Loading IOS-S259-CLI.pkg from 192.168.10.4 :!!!
show ip ips signature count
Total Compiled Signatures:
338 -Total active compiled signatures
Загрузка Cisco IOS IPS Files сигнатур на PC
http://www.cisco.com/pcgi-bin/tablebuild.pl/ios-v5sigup
IOS-Sxxx-CLI.pkg
realm-cisco.pub.key.txt
Задаѐм Cisco IOS IPS Crypto Key
mkdir ips5 (Create directory on flash)
Paste the crypto key from
realm-cisco.pub.key.txt
Настраиваем Cisco IOS IPS
ip ips config location flash:ips5 retries 1
ip ips notify SDEE
ip ips name ips-policy
ip ips signature-category
category all
retired true
category ios_ips basic
retired false
IPS
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 31 Cisco Public
Решение по защите и фильтрации контента Cisco IOS® Content Filtering
Internet
URL-кэш
Trend Micro
Rating Server
Категории
Internet
Решение по защите web-трафика от интернет-угроз и повышение продуктивности работы сотрудников
Идеально подходит для филиалов и малого бизнеса;
Блокирует вредоносные сайты и принуждает к использованию корпоративной политики безопасности;
Рейтинговая система на базе критериев безопасности и вляиния на продуктивность работы сотрудников;
Политика применяется и обрабатывается локально на маршрутизаторе.
Content Filtering
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 32 Cisco Public
Cisco IOS Content Filtering Сервис по подписке
Internet
Заданная политика Cisco IOS URL Filtering:
Запретить Gaming
Запретить Weapons
Разрешить Entertainment
1
HTTP-запрос
www.poker.net
3
Решение Cisco IOS URL
Filtering на основании
ответа от сервера Trend
Micro:
Policy Deny www.poker.net:
Gaming Denied in Policy
2
Запрос о категории к
серверу Trend Micro:
К какой категории
относится poker.net?
Кэш:
www.poker.net
Gaming
Content Filtering
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public Presentation_ID 33
Управление и администрирование
CCP NetFlow IP SLA Role Based Access
Управление и администрирование
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 34 Cisco Public
Управление политиками безопасности
• Quickest way to
setup a device
• Configures all
device parameters
• Ships with device
Cisco® Configuration Professional
Самый быстрый способ
настройки для одного
устройства
Мастера настройки для МСЭ,
IPS, VPN, QoS, и
беспроводной сети
В комплекте с каждым
маршрутизатором
CSM и MARS
Решение по анализу и
реагированию на события
Использует встроенный в
инфраструктуру функционал
безопасности для
реагирования
Визуализация
Cisco Security Manager
Решение для управления
маршрутизаторами,
коммутаторами и
специализированными
устройствами
SIEM Партнеры
Решение по сбору и анализа
событий
• EMC EnVision
• NetForensics
• ArcSight
• LogLogic
• Splunk
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 35 Cisco Public
Cisco IOS IPS Configuration(CCP) IPS
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 36 Cisco Public
Настройка Cisco IOS® Content Filtering: Cisco® Configuration Professional
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 37 Cisco Public
Cisco Security Manager Просмотр списка сигнатур Cisco IOS IPS
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 38 Cisco Public
NetFlow Security Event Logging для быстрого журналирования сообщений
На ASR1000 МСЭ может быть настроен для использования NetFlow v9 для экспорта журналов событий безопасности.
Internet
Branch Office
IPsec
Tunnel
HQ ASR1000
DMVPN Hub
LAN
192.168.1.x/24
Advanced Firewall
QFP
NF V9
Cisco NF
Collector
Netflow Security Event Logging выключен по умолчанию
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 39 Cisco Public
Настройка Network Security Event Logging parameter-map type inspect global
log flow-export v9 udp destination 10.20.30.40 4444
log flow-export template timeout-rate 30
log dropped-packets
parameter-map type inspect custom_para_map
audit-trail on
alert on
policy-map type inspect fw-policy
class type inspect fw-class1
inspect custom_para_map
До 40K событий в секунду;
Если используется IOS syslog, ESP отправляет сообщения на RP и RP генерирует
Syslog сообщение;
Syslog всегда ограничен по скорости на ASR 1000 чтобы защитить control-plane;
IOS XE Syslog ограничивается одним событием каждые 30 секунд;
NSEL генерирует события каждую миллисекунду, чтобы защить сам МСЭ от атак.
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 40 Cisco Public
Что ещѐ есть в ящике с инструментами?
IP Service Level Agent (IP SLAs)
NetFlow и NBAR
SNMP V3 и SNMP informs
Syslog Manager и XML-formatted syslog
Tcl-скрипты и Kron (Cron) задания
Role-Based CLI Access
EEM
Данные о реальном состоянии сети (задержки и jitter)
Детальная статистика о приложениях в сети
Надѐжный механизм SNMP informs для доставки сообщений
Гибкость и контроль над журналами на самом маршрутизаторе
Гибкое, контролируемое управление устройством
Ролевой доступ и контроль
Система управления настолько хороша, насколько точны и
всеобъемлющи поступающие в неѐ данные
Средства автоматизации рутинных задач
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 41 Cisco Public
Содержание
Необходимость встроенных средств безопасности
Используемые методы борьбы с угрозами
Рекомендации по дизайну и проектированию
Варианты внедрения
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 42 Cisco Public
Рекомендации по дизайну Cisco IOS Firewall Classic или Zone based Firewall:
Zone based Firewall 12.4(4)T или Classic Firewall
Весь новый функционал создается для ZBFW, тем не менее, нет планов по прекращению поддержки классического режима;
ASR1000 поддерживает только IOS ZBFW и Network Security Event Logging для быстрого журналирования;
ASR1000 поддерживает 4K зоны и 2K пар зон.
Управляемость:
Настройка политик безопасности: Cisco Security Manager, Cisco Configuration Professional или Config Engine и CLI;
Мониторинг событий на МСЭ: Syslog, SNMP, информация от "show" комманд;
Изменение политик безопасности CCP поддерживает IOS ZBFW.
Взаимосвязь функций:
Cisco IOS Firewall тесно взаимодействует с: NAT, VPN, IPS, WCCP/WAAS, auth-proxy, URL Filtering и QoS.
Использование памяти
Одна TCP или UDP сессия занимает примерно 600 байт;
Протоколы, использующие множество каналов занимают значительно больше 600 байт.
Advanced Firewall
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 43 Cisco Public
Рекомендации по дизайну Cisco IOS Firewall
Настройки защиты от Denial of Service (DoS)
До12.4(11)T настройки по умолчанию были слишком жѐсткими
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_white_paper0900aecd804e5098.shtml
12.4(11)T и IOS XE по умолчанию имеют нелимитированные настройки
Схема IP-адресации
Политики МСЭ гораздо проще и читабельнее для хорошо продуманного адресного пространства.
Производительность устройств
Cisco IOS Firewall Performance Guidelines for ISRs (800-3800) http://www.cisco.com/en/US/partner/products/ps5855/products_white_ paper0900aecd8061536b.shtml
ASR1000 TCP/ICMP/UDP Inspection Performance (Up to 40Gbps) with select ALGs (SIP UDP, active FTP, TFTP, DNS, H.323v2, SCCP, RTSP)
Advanced Firewall
Anti-DoS
Parameters
Default
Value
Max-incomplete
high
Unlimited
Max-incomplete
low
Unlimited
On-minute high Unlimited
One-minute low Unlimited
Tcp max-
incomplete host
Unlimited
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 44 Cisco Public
Производительность ISR G2 Real World Performance: HTTP
Модель Рекомендуемая полоса пропускания
при включенных сервисах
Максимально возможная скорость
(1500 Byte Bidirectional IP)
3945E Sub-rate GE (350Mbps) 8+ Gbps ( Line rate )
3925E Sub-rate GE (250Mbps) 8+ Gbps ( Line rate )
3945 Line-rate FE+ (150Mbps) 8.0 Gbps
3925 Line-rate FE+ (100Mbps) 6.9 Gbps
2951 VDSL2+, Sub-rate FE (75Mbps) 5.1 Gbps
2921 VDSL2+, Sub-rate FE (50Mbps) 3.5 Gbps
2911 VDSL2+, Sub-rate FE (35Mbps) 3.3 Gbps
2901 1T1/E1, EFM (25Mbps) 3.1 Gbps
1941/1941W 1T1/E1, EFM (25Mbps) 2.8 Gbps ( Line rate )
1921 T1/E1, EFM (15Mbps) 2.8 Gbps ( Line rate )
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 46 Cisco Public
Рекомендации по дизайну Поддержка голосовых функций в Cisco IOS Firewall
Протокол ISR G2 ASR1000 Комментарий
H.323 V1 & V2 Да Да Протестировано с
CME 4.0
H.323 V3 & V4 Да Да
H.323 RAS Да Нет
H.323 T.38 Fax Нет Нет
SIP UDP Да Да
CCM 4.2 поддерживается
RFC 2543, RFC 3261 не поддерживаются
SIP TCP Да Нет
SCCP Да Да Протестировано с CCM 4.2/CME 4.0
Инспектирование локально
сгенерированного SIP/SCCP трафика
Да Нет
Advanced Firewall
Поддержка прокси-алгоритмов в ASR1000 ALG:
http://www.cisco.com/en/US/docs/routers/asr1000/technical_references/asr1000alg_support.pdf
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 47 Cisco Public
Рекомендации по дизайну Cisco IOS Intrusion Prevention System (IPS)
Вопросы производительности
Производительность маршрутизатора не улучшается от добавления дополнительных сигнатур;
Использование памяти
Компилирование сигнатур – процессорно-интенсивная операция. Максимальное количество сигнатур зависит от количества памяти;
Фрагментация пакетов
Cisco IOS IPS использует механизм VFR (Virtual Fragmentation Reassembly) для обнаружения атак с использованием фрагментации пакетов.
IOS IPS
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 48 Cisco Public
Cisco IOS IPS Release 12.4(9)T
Cisco IOS IPS Release 12.4(11)T
Cisco IPS 42xx sensors, IDSM2, SSM-AIP, NM-CIDS modules
Формат сигнатур 4.x 5.x/6.0 5.x/6.0
Обновление и настройка сигнатур
SDF IDCONF IDCONF
Поддерживаемые сигнатуры Набор из более чем 1700 сигнатур (ограничен ОЗУ на маршрутизаторе)
1900+ активно по умолчанию
Рекомендованные наборы сигнатур
Basic или Advanced SDF
IOS-Basic или IOS-Advanced
Все сигнатуры только генерируют предупреждения
Day-Zero Anomaly Detection Нет Available in 6.0 release
Прозрачный (L2) IPS Есть Есть
Rate Limiting Нет Есть
IPv6 Detection Нет Есть
Meta Signatures Нет Есть
Voice, Sweep & Flood Engines Нет Есть
(H.225 для голоса)
Методы журналирования Syslog & SDEE SDEE
Рекомендации по дизайну Сравнение Cisco IOS IPS и Cisco IPS-сенсоров
IOS IPS
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 49 Cisco Public
Содержание
Необходимость встроенных средств безопасности
Используемые методы борьбы с угрозами
Рекомендации по дизайну и проектированию
Варианты внедрения
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 50 Cisco Public
Примеры решаемых задач
1. Небольшой сетевой магазин: требования PCI-DSS по защите данных на кредитных картах;
2. Защита серверов в филиале;
3. Виртуальные МСЭ и IPS;
4. Безопасная беспроводная сеть;
5. Защита унифицированных коммуникаций.
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 51 Cisco Public
Защищаем филиал Небольшой сетевой магазин
PCI-DSS требует отделить сегменты PoS-терминалов, беспроводные и проводные сегменты;
С помощью Cisco IOS ZBFW созданы зоны PoS, LAN и Wireless;
Дизайн сертифицирован в CyberTrust.
Штаб-квартира
Private WAN Филиал
Cisco® ISR G2
Зона
―LAN‖
Зона ―PoS‖
Зона
―Wireless‖
QFP
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 52 Cisco Public
Защищаем филиал Настраиваем политики доступа к серверам
Cisco IOS® ZBFW и IPS политики в DMZ защищают локальные серверы приложений и серверы в штаб-квартире
Интернет
Штаб-
квартира
IPsec
туннель
Беспроводной сегмент
192.168.2.x/24
ISR G2
Серверы
в DMZ
Серверы
192.168.3.14-16/24
Сотрудники
192.168.1.x/24
Advanced Firewall
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 53 Cisco Public
Виртуальные МСЭ и IPS
Cisco IOS Firewall, NAT, и сервис URL-фильтрации знают о существовании virtual route forwarding (VRF), что даѐт возможность использовать перекрывающиеся адресные пространства
Internet
Фото-киоск ЦО
IPsec
Tunnel
Интернет
192.168.2.x/24
ISR G2
Фото-киоск
192.168.1.x/24
Кассы
192.168.2.x/24
Штаб-квартира
Поддерживаются
перекрывающиеся
IP-подсети
Раздельные IPSec-
туннели для Фото-
киоска и кассового
сегмента VRF A
VRF B
VRF C
IPsec
Tunnel
Advanced Firewall
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 54 Cisco Public
Безопасный беспроводной доступ Сегментация беспроводной сети используя SSID
Маршрутизаторы Cisco 880W серии поддерживают автономный режим, который можно изменить на унифицированный (LWAPP) режим:
Архитектура унифицированных беспроводных сетей Cisco.
Поддержка режима H-REAP для филиалов: Локальная коммутация беспроводных сегментов с централизованным управлением.
IOS ZBFW можно использовать во всех случаях когда требуется применять политики разграничения доступа между беспроводными сетями.
Internet
ISR G2
LAN
POS
Интернет
SSID A
RFID и склад
SSID B
LWAPP-
туннель
Широкополосный
доступ
802.11n
Wireless LAN Controller
AAA
WCS
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 55 Cisco Public
Безопасный беспроводной доступ и 3G WAN как резервный канал
3G как резервный канал, выделенная линия – как основной;
Можно использовать Cisco IOS Easy VPN или DMVPN для защиты данных;
В случае Split Tunneling все технологии могут использоваться для защиты филиала - Cisco IOS ZBFW, IPS и фильтрация контента совместно с выбранной VPN-технологией.
LAN
Internet
SSID A
ISR G2
POS
Corporate
SSID B
IPSec Tunnel
Выделенная линия
Штаб-квартира
AAA
Internet
3G Network
Split Tunnel
Филиал
IPSec Tunnel
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 56 Cisco Public
Защита голосовых сервисов
Большинству небольших компаний удобно использовать Cisco Unified Communications Manager Express с локальным выходом в ТФОП;
Split Tunneling используется очень часто в подобных сценариях, ip-телефонный трафик идѐт по зашифрованному каналу;
Опасность неавторизованного использования голосовых сервисов: Авторизованный (или неавторизованный) пользователь может совершать звонки, что может дорого обойтись компании:
Рекомендации: Использовать ACL и IOS ZBFW для защиты CCME (особенно для VoIP-трафика из Интернет) и использовать функциональность Cisco Trusted IOS Firewall на внутренних интерфейсах для защиты от неавторизованных звонков изнутри.
Интернет
CCME
Wireless
IPSec туннель
Широкополосный
доступ
Штаб-квартира
AAA ISR G2
Cisco Trusted
IOS Firewall
Атаки на
голосовые
сервисы
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 57 Cisco Public
Защита голосовых сервисов Сценарий SP-SIP Trunk
Довольно большое количество компаний используют Cisco Unified Communications Manager Express с SP-SIP trunk;
Split Tunneling используется очень часто в подобных сценариях, ip-телефонный трафик идѐт по зашифрованному каналу;
Опасность неавторизованного использования голосовых сервисов: Авторизованный (или неавторизованный) пользователь может совершать звонки, что может дорого обойтись компании;
Рекомендации: Использовать ACL и IOS ZBFW для защиты CCME (особенно для VoIP-трафика из Интернет) и использовать функциональность Cisco Trusted IOS Firewall на внутренних и SP-SIP trunk интерфейсах для защиты от неавторизованных звонков изнутри и из SIP-облака.
Интернет
CCME
Wireless
IPSec туннель
Широкополосный
доступ
Штаб-квартира
AAA
ISR G2
Cisco Trusted
IOS Firewall
Атаки на
голосовые
сервисы
SP-SIP
trunk
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 58 Cisco Public
Заключение
Защитите для начала сам маршрутизатор – это ваша первая линия обороны;
Даже одна мелкая дырка в защите сбособна привести к большим проблемам для бизнеса;
Необходимо соответствовать государственным и индустриальным стандартам в области ИБ;
Работайте с голосом/видео/данными, проводными и беспроводными сетями безопасно;
Не забывайте про управление и администрирование;
Маршрутизатор как единое устройство безопасности – снижение расходов на сервис и обновление подписок;
«Всѐ включено» в лучших маршрутизаторах от Cisco
Ведь только маршрутизаторы Cisco® делают это всѐ одновременно ;)
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 61 Cisco Public
Справочная информация
Решения и продукты Cisco в области ИБ http://www.cisco.com/go/security (eng) http://www.cisco.com/web/RU/products/vpn.html (рус)
Центр ИБ Security Intelligence Operations http://tools.cisco.com/security/center/home.x
Ежегодный отчет Cisco о угрозах ИБ http://www.cisco.com/en/US/prod/vpndevc/annual_security_report.html
Брошюры по ИБ http://www.cisco.com/web/RU/broch.html
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 62 Cisco Public
Онлайн-ресурсы Cisco по ИБ
Cisco Security Center
http://www.cisco.com/security
PCI Compliance Advisor http://www.pcicomplianceadvisor.com/
Security Business Advisor
http://www.securitybusinessadvisor.com/
Security Solution Designer
http://www.ciscowebtools.com/designer/
Cisco SenderBase
http://www.senderbase.org/
http://www.cisco.com/web/strategy/government/usfed_tio.html?POSITION=vanity+&COUNTRY_SITE=us&CAMPAIGN=Industry+Solns&CREATIVE=go/turniton&REFERRING_SITE=Cisco.com
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 64 Cisco Public
Вопросы и Ответы
© 2010 Cisco and/or its affiliates. All rights reserved. SEC_3_2_IOS_SECURITY 65 Cisco Public
Мы хотели бы узнать Ваше мнение
Пожалуйста,
заполните анкету