SlideShare una empresa de Scribd logo

Как превратить маршрутизатор Cisco в межсетевой экран?

SkillFactory
SkillFactory
Tecnología
1 de 35
Descargar para leer sin conexión
Как превратить маршрутизатор Cisco в межсетевой экран? Сергей Кучеренко 19 сентября 2013 serg.kucherenko@getccna.ru
О  чем  мы  поговорим:   §  Рекомендации  по  дизайну  защищенных  сетей   §  Продукты  по  обеспечению  информационной  безопасности  Cisco,  их  место  в   архитектуре  сети     §  Функционал  безопасности  в  Cisco  IOS   §  Технология  Cisco  Zone  Based  Firewall   §  Интеграция  IOS  и  облака  ScanSafe   §  Демонстрация  настройки  ZBF  и  работы  IOS  ScnaSafe  Connector  
Дизайны  и  архитектуры  –  зачем  и  почему?   §  Организации  и  отдельные  люди  становятся  все  более  зависимыми  от  сетей   §  Угрозы  усложняются,  а  их  количество  увеличивается   §  Новые  тренды  не  делают  обеспечение  безопасности  проще  (BYOD/ Virtualizadon/Cloud)     У  нас  всегда  есть  два  пути:                                1.      Строить  по  наитию        2.    Опереться  на  лучше  практики     VS  
Дизайны  и  архитектуры  –  эволюция  Cisco   Cisco  SAFE  2000  год:     §  Модульный  подход   §  Многоуровневая  защита   §  Рекомендуемый  дизайн   §  Независимость  от  производителя   §  Позволяет  повысить  уровень  защищенности   Cisco  SAFE  2009  год:     §  Защищенная  сеть  на  основе  решений  Cisco   §  Инфраструктура  маршрутизации  и   коммутации  как  часть  защиты   §  Подход  Self-­‐Defending  Network  
Cisco  Borderless  Network  2010  год  –  подход  к   сетевой  архитектуре  с  учётом  новых  трендов:     §  Размытость  корпоративного  периметра   §  Мобильные  сотрудники   §  Облачные  сервисы   §  Виртуализация   Cisco  Smart  Business  Architecture:     §  Рекомендации  по  проектированию  различных  модулей  сети   §  Рекомендации  по  настройке  оборудования   §  Рекомендации  планированию  внедрения  отдельных  технологий   §  Рекомендации  по  настройке  отдельных  технологий   Cisco  Secure-­‐X  Architecture  –  идеология,  предполагающая   контроль  и  управление  доступом  на  основе  контекста     Кто?  Как?  Откуда?  Куда?  Какое  приложение?  
Продукты  и  технологии  обеспечения  безопасности   §  Cisco  ASA  –  многофункциональное  устройство  обеспечения  безопасности  с  поддержкой   технологий  Statefull  Firewall/Applicadon  Inspecdon/Intrusion  Prevendon/High  Availability/ Virtualizadon/Content  Security     §  Cisco  IPS  –  сетевая  система  предотвращения  вторжений  с  поддержкой  сигнатурного/ репутационного/поведенческого  анализа   §  Cisco  Web  Security  Appliance  –  прокси-­‐сервер  с  функционалом  URL  фильтрации/Malware   protecdon/DLP   §  Cisco  Email  Security  Appliance  –  специализированый  MTA  с  функционалом  защиты  от  SPAM/ Viruses/Zero-­‐day  A„ack/DLP   §  Cisco  Wireless  IPS  –  функционал  Wireless  LAN  Controller  по  предотвращению  атак  на   беспроводную  инфраструктуру   §  Cisco  ISE  –  центральный  компонент  системы  контекстного  доступа.   Выполняет  Аутентификацию  пользователей/оценку  соответствия   рабочей  станции  корпоративным  политикам/Динамической   определение  типа  устройства/назначение  меток  безопасности/              Создание  и  распространение  ACL  на  основе  меток  
§  VPN  –  набор  технологий,  призванных  обеспечить  защищенное  взаимодействие  Сеть-­‐Сеть/ Устройство-­‐Сеть/Устройство-­‐Устройство   Компоненты:   §  Cisco  ISR   §  Cisco  Catalyst/Nexus   §  Cisco  ASA   §  AnycConect     §  Cloud  Web  Security  –  перенаправление  пользовательского  трафика  для  анализа  и  наложения   политик  в  облако  ScanSafe   Компоненты:   §  Cisco  ISR   §  Cisco  ASA     §  Cisco  TrustSec  –  набор  технологий  по  предоставлению  контекстного  доступа.  Основные  элементы:   Проверка  рабочих  станций/Доступ  на  основе  Security  Group  Tag/Шифрование  на  L2   Компоненты:   §  Cisco  ISE  –  основная  точка  настройки  политик   §  Routers/Switches/ASA/WLC  –  наложение  политик   §  Cisco  NAC  Agent  –  проверка  рабочей  станции  
Продукты  и  технологии  безопасности   в  архитектуре  сети   Управление   Филиал   WAN   Ведомственная  Сеть   Комплекс  Зданий   Партнеры   Ядро   ЦОД   Интернет   Внешние   организации   Internet   Удаленные   работники   Cisco   SIO     Идентификация  и  авторизация  пользователей  и  устройств  
Модуль  доступа  в    Интернет   Реализуем:   Управление  доступом   §  §    §  §  Политики  доступа  между  зонами  доверия   Организация  и  управление  доступом  удалённых   пользователей  SSL  VPN     Cisco   ASA   Политики  использования  WEB     Политики  использования  email     WSA   ESA   Противодействие  угрозам   §  §  §    §  §    §  Предотвращение  вторжений  на  уровне  сети   Использование  SIO  для  ускорения  работы  IPS   Выявление  аномалий   Cisco   IPS   Защита  от  spam   Защита  от  вирусов  и  атак  в  email   ESA   Защита  от  вирусов  и  атак  в  web   WSA  
Модуль  ведомственной  сети     Реализуем:   Безопасное  взаимодействие   §  §  GET  VPN  для  WAN-­‐взаимодействия   DMVPN  phase  3  для  организации  резервных  каналов   Cisco   через  Интернет     ISR   Управление  доступом   §  §  Разграничение  доступа  ZPBFW   Защита  Management  Plane  и  Control  Plane   Cisco   ISR  
Модуль  внешних  организаций   Реализуем:   Безопасное  взаимодействие   §  §  Политики  взаимодействия  с  внешними   Cisco   организациями   ASA   Организация  защищённых  соединений   Противодействие  угрозам   §  §  §  Предотвращение  вторжений  на  уровне  сети   Использование  SIO  для  ускорения  работы  IPS   Выявление  аномалий   Cisco   IPS  
Модуль  Кампуса   Реализуем:   Управление  доступом   §  §    §  Идентификация  устройств  и  пользователей   Cisco   Наложение  политик  авторизации   ISE   Сегментация  сети   SGT   ACL   Противодействие  угрозам   Безопасное  взаимодействие   §  L2-­‐шифрование   MacSec   §    §  Противодействие  L2-­‐атакам   Контроль  радиоэфира   Cisco   Switches   Cisco   WLC  
Модуль  ЦОД   Реализуем:   Управление  доступом   §    §  Политики  доступа  между  зонами  доверия  на  основе   групповой  принадлежности  пользователя   SGT   ACL   Управление  доступом  как  между  физическими   серверами,  так  и  между  виртуальными  машинами   Cisco   ASA   Противодействие  угрозам   Безопасное  взаимодействие   §  L2-­‐шифрование   MacSec   §  §  §  Предотвращение  вторжений  на  уровне  сети   Использование  SIO  для  ускорения  работы  IPS   Выявление  аномалий   Cisco   IPS  
Филиал   Управление  доступом   §  §  §  Безопасное  взаимодействие   Идентификация  пользователей   Разграничение  доступа  ZPBFW   Защита  Management  Plane  и  Control  Plane   Cisco   ISR   Противодействие  угрозам   §  §  Предотвращение  вторжений  IOS  IPS   Защита  web-­‐доступа  (ScanSafe  Connector)   Cisco   ISR   §  §  GET  VPN  для  WAN-­‐взаимодействия   DMVPN  phase  3  для  организации   резервных  каналов  через  Интернет   Cisco   ISR  
Удаленный  пользователь   Управление  доступом   §  §  Аутентификация  в  проводных  и  беспроводных  сетях   Оценка  здоровья  рабочей  станции   Безопасное  взаимодействие   §  §  §  SSL  VPN   IPSec  VPN  с  поддержкой  IKEv2   L2-­‐шифрование  MacSec     Противодействие  угрозам   §  Интеграция  с  облаком  ScanSafe  
Функционал  безопасности  в  Cisco  IOS*   §  AAA  Framework  –  структура  аутентификации,  авторизации  и  учета,  позволяющая   контролировать  и  управлять  как  доступом  администраторов  на  устройство,  так  и  доступом   пользователей  сквозь  устройство,  применяется  в  большом  количестве  функций  безопасности   §  IOS  Firewall  –  на  текущий  момент  IOS  Zone  Based  Policy  Firewall**   §  IOS  IPS  –  система  предотвращения  вторжений  встроена  в  IOS,  имеет  поддержку  большого   количества  сигнатур   §  FPM  –  Flexibility  Packet  Matching,  технология,  позволяющая  писать  собственные  сигнатуры  для   противодействия  новым  атакам   §  Authenscason  Proxy  –  аутентификация  пользователя  при  попытке  доступа  сквозь  устройство  с   динамическим  назначением  прав  доступа   §  IOS  Foundason  Protecson  –  набор  технологий,  обеспечивающий   защиту  операционной  системы  и  основных  функций   маршрутизатора   *  –  Исключая  технологии  VPN   **  –  детально  будет  рассмотрен  далее  
Технология  Cisco  Zone  Based  Firewall   Современная  реализация  межсетевого  экрана  в  Cisco  IOS.  Zone  в  названии  означает,  что   администратор  применяет  политики  доступа  не  между  отдельными  интерфейсами,  а  между  зонами.   Зона  может  состоять  из  одного  и  более  интерфейсов.  К  функциям  ZPF  относятся:     §  Statefull  Firewall   §  Applicason  Inspecson   §  User  Based  Policy   §  IP  to  SGT  mapping  on  ISR   §  Transparent  Firewall   §  ZBF  High  Availability  
Statefull  Firewall     Функционал,  обеспечивающий  сохранение  сессионной  информации  для  трафика,  идущего   между  зонами  (разрешённый  трафик  выбирает  администратор),  и  автоматический  пропуск   ответных  пакетов.   Protocol   Source  IP   Source  Port   Dest.  IP   Dest.  Port   Timeout   UDP   192.168.1.10   1024   1.1.1.10   53   20s   TCP   192.168.1.10   1025   1.1.1.1   80   3600s   DNS  Server   1.1.1.10   WEB  Server   vk.com   1.1.1.1   Internet   S_IP:1.1.1   S_IP:1.1.10   S_IP:192.168.1.10   S_IP:192.168.1.10   S_Por:1024   S_Por:1025   D_Por:1024   D_IP:1.1.1.10   D_IP:1.1.1.1   Data:  DNS  Resp   D_Por:53   D_Por:80   Data:  DNS  Req   Data:  h„p  req   S_Por:53   D_IP:192.168.1.10   S_Por:80   192.168.1.10   D_IP:192.168.1.10   D_Por:1025   Data:  h„p  Resp  
§  Applicason  Inspecson  –  функционал  ZBF,  решающий  ряд  задач:     ü  Распознавание  приложений  –  IOS  знает  заранее,  какое  приложение  на  каком  порту   искать                  Администратор  имеет  возможность  добавлять  порты  в  стандартные  приложения  и              создавать  собственные  приложения.   ü  Открытие  дополнительных  соединений  для  динамических  приложений  (ex:  FTP/SIP…)         ü  Deep  Applicadon  Inspecdon  –  глубокая  инспекция  целого  ряда  приложений.  Дает   возможность  принимать  решения,  основываясь  на  информации  L7  (Блокировать   определенный  URL/Тип  файла  в  h„p/Почтовый  ящик/…)  
§  User  Based  Policy    –  функция,  работающая  совместно  с  Authendcadon  Proxy  и  дающая   возможность  назначать  политики  на  основе  групповой  принадлежности  пользователя.     1.  При  создании  политик  ZBF  используются  имена  пользовательских  групп  и  к  этим   группам  привязываются  перечни  разрешённых  протоколов   2.  Пользователь  начинает  инициировать  соединения  через  интерфейс,  на  котором   настроено  правило  authendcadon  proxy   3.  В  браузере  появляется  запрос  на  ввод  login/password   4.  Ввод  пользователем  login/password   5.  Маршрутизатор  пересылает  credendals  user  на  сервер  AAA   6.  Сервер  возвращает  вместе  с  результатом  аутентификации  атрибут  “supplicant-­‐group”  
§  IP  to  SGT  mapping  on  ISR  –  технология,  позволяющая  интегрировать  технологию  Security   Group  Tag  с  ZBF.  Данный  функционал  применяется  для  написания  правил  в  межсетевом   экране  центрального  офиса  на  основе  SGT.     1.  Идентификация  пользователя  в  филиале  (Auth-­‐Proxy  or  802,1x)   2.  Информация  о  соответствии  SGT  to  IP  передается  с  маршрутизатора  филиала  на   маршрутизатор  центрального  офиса   3.  При  настройке  ZBF  на  центральном  роутере  в  качестве  идентификаторов  групп  были   использованы  SGT,  к  каждой  группе  назначается  список  разрешённых  протоколов  
§  Transparent  Firewall  –  вариант  развертывания  ZBF,  при  котором  в  Zone  добавляются   интерфейсы,  принадлежащие  к  одной  bridge-­‐group     Bridge-­‐Group  –  группа  интерфейсов  в  IOS,  при  объединении  в  которую  все,  что  за  ними   находится,  попадает  в  единый  broadcast-­‐domain             §  ZBF  High  Availability  –  новый  функционал,  появившийся  начиная  с  IOS  15.2(3)T,   отказоустойчивость  основана  на  технологии  SSO  (Statefull  Switchover).  При  реализации  ZBF   HA  нам  доступна  как  схема  Acdve-­‐Standby,  так  и  схема  Acdve-­‐Acdve  
Понятия  ZBF   Zones:     §  Zone  –  структура,  состоящая  из  одного  или  нескольких  интерфейсов   §  Zone–Self  –  специальная  зона  для  управления  трафиком,  входящим  в  маршрутизатор  и   покидающем  его   §  Zone  Pair  –  пара  зон,  где  одна  указывается  как  Source,  а  другая  как  Desdnadon.  Политика  для   прохождения  трафика  привязывается  к  zone  pair   Session  Table:   192.168.1.100:1024>>>195.5.5.10:80   Check   OUTSIDE  zone   195.5.5.0/24   192.168.1.0/24   INSIDE  zone   zone-­‐pair  IN_OUT  source  INSIDE  dessnason  OUTSIDE   Internet   DMZ  zone   zone-­‐pair  OUT_DMZ  source  OUTSIDE  dessnason  DMZ   192.168.2.0/24   Session  Table:   195.5.5.10:1024>>>192.168.2.10:80   Check  
Policy  L3/L4:     §  Class  Map  (L3/L4)  –  компонент  конфигурации,  описывающий  интересный  трафик  с  помощью   ACL  либо  же  указания  протокола  (h„p/dns…).  Также  может  использоваться  комбинация  этих   вариантов  –  в  этом  случае  нас  интересуют  только  данные  определенных  протоколов  с/для   определенных  IP-­‐адресов.              Note:  Если    используется  только  ACL,  будет  проводиться  простая  statefull  инспекция  без                                    анализа  приложений       §  Policy  Map  (L3/L4)  –  компонент  конфигурации,  отвечающий  за  применения  действий  для   одного  или  нескольких  классов              Варианты  действий:   ü  Inspect  –  выполнять  инспекцию  (Statefull  +  applicadon  inspecdon  если  class  с  протокол)   ü  Pass  –  пропустить,  информация  о  сессии  не  сохраняется   ü  Drop  –  сбросить  то,  что  попало  под  этот  класс.  Здесь  же  можно  добавить  log   ü  Police  –  наложить  ограничение  на  скорость  трафика,  попавшего  под  класс   ü  Service  –  Policy  –  указать  для  этого  класса  глубокую  инспекцию  одного  из  приложений.   Для  глубокой  инспекции  используется  L7  Policy  Map  
Policy  L7:     §  Class  Map  (L7)  –  поиск  по  специфичным  для  приложения  параметрам  (ex:  HTTP  -­‐  URI)   §  Policy    Map  (L7)  –  политик  для  применения  действий  к    L7  Class.  Не  для  всех  классов   приложений  есть  политики.  Некоторые  классы  приложений    описываются  в  одной  политике   (ex:  P2P  policy  для  классов  kazaa2/gnutella…)              Варианты  действий  при  попадании  трафика  в  класс:  allow/log/rest  
Parameter  Map:     §  Parameter  Map  Inspect  –  задает  ограничения  на  соединения  и  управляет  aler/audit-­‐trail.   Parameter  map  применяется  с  помощью  указания  ее  имени  после  ключевого  слова  inspect  в   L3/L4  policy  map   §  Parameter  Map  Regex  –  описывает  pa„erns  с  помощью  регулярных  выражений.  В  одной   regex  parameter  map  можно  задать  несколько  pa„erns,  между  ними  срабатывает  правило   “ИЛИ”.  Далее  созданные  regex  map  используются  для  Match  в  L7  Class  Map  
Факты  ZBF   §  Zone  должна  быть  создана  перед  добавлением  в  нее  интерфейсов   §  Интерфейс  может  быть  добавлен  только  в  одну  Zone   §  Трафик  между  интерфейсам  в  разных  Zone  запрещен   §  Трафик  между  интерфейсам  в  одной  Zone  разрешен*   §  Чтоб  трафик  проходил  между  интерфейсам  в  разных  Zone,  для  них  должна  быть  создана   Zone  pair,  в  которой  должна  быть  назначена  политика  с  действием  Inspect  или  Pass   §  Трафик  между  Self  Zone  и  всеми  другими  зонами  неявно  разрешен     *  –  начиная  с  IOS  15.0(1)M,  логика  изменилась.  Теперь  без  наличия  политики   трафик  блокируется  между  интерфейсами  в  одной  zone  
§  Трафик  между  интерфейсом,  не  являющимся  членом  зоны,  и   интерфейсами,  входящими  в  зоны,  запрещён   §  ZBF  работает  после  NAT  –  это  значит,  что  если  мы  описываем  политику  для   сервера  в  Inside/DMZ,  адрес  которого  транслируется,  в  ACL,  созданном  для   политики,  нужно  указать  inside  local  address  (серый  IP)   §  Если  на  интерфейсе  члене  Zone  назначен  ACL  –  этот  ACL  всегда  проверяется                раньше  политик  ZBF.  Одновременное  использование  ZBF  и  ACL  не              рекомендуется  
Интеграция  IOS  и  облака  ScanSafe   Начиная  с  версии  IOS  15.2(1)T1  появилась  поддержка  ScanSafe  Connector     ScanSafe  Connector  –отвечает  за  перенаправление  в  облако  web-­‐безопасности  ScanSafe   пользовательского  h„p  и  h„ps-­‐трафика.  При  перенаправлении  происходит  инкапсуляция   пользовательских  пакетов  и  их  зашифровка  (в  качестве  транспорта  используется  SSL)     Кроме  перенаправления,  происходит  добавление  информации  о  состоянии  аутентификации   пользователя  (Group  name/Username)     Для  аутентификации  можно  использовать  базу  LDAP  или  локальную  базу  данных  маршрутизатора     Аутентификация  может  происходить  в  двух  режимах:   §  HTTP-­‐Basic    –  при  инициировании  h„p/h„ps  ISR   перенаправляет  запрос  пользователя  на  адрес   virtual-­‐proxy,  с  этого  адреса  отправляется  запрос   на  аутентификацию   §  NTLM  –  принцип  тот  же,  но  если  пользователь   выполнил  вход  в  систему,  под  доменной  учетной   записью  аутентификации  проходит  прозрачно  
Компоненты  IOS  ScanSafe  Connector:     §  ldap-­‐server  –  компонент  конфигурации,  отвечающий  за  подключение  к  серверу  ldap  и   хранящий  параметры  этого  подключения     §  aaa  group  server  –  компонент,  объединяющий  несколько  серверов  в  группу,  при  настройке   правил  аутентификации  и  авторизации,  в  качестве  точки  проверки  указывается  эта  группа   §  aaa  authenscason/aaa  authorizason  –  правила  проведения  аутентификации  и  авторизации   пользователей   §  parameter-­‐map  type  content-­‐scan  –  элемент  конфигурации,  отвечающий  за  подключение  к   облаку  ScanSafe,  здесь  указывается:   ü  Адреса  серверов  для  подключения   ü  Ключ  лицензии   ü  Что  делать  в  случае  отсутствия  связи  с  облаком     §  ip  admission  –  элемент  конфигурации,  управляющий  аутентификацией  и                авторизацией  пользователей.  
Модели  использования  IOS  Security   Large/Medium  Enterprise  Model   Управление   Филиал   WAN   Ведомственная  Сеть   Комплекс  Зданий   Ядро   ЦОД   Интернет   Внешние   организации   Internet   Cisco   SIO     Центральный  офис:   §  ZBF  на  основе  SGT  для  предоставления  доступа  к  ресурсам   головного  офиса   Филиал:   §  ZBF  для  сегментации   внутренней  сети  офиса   §  Аутентификация  и  присвоение   SGT   §  ScanSafe  при  необходимости   минимизировать  трафик  через   центральный  офис  
Small  Enterprise  Model   §  §  §  §  §  ZBF  для  сегментации  внутренней  сети  офиса   ZBF  для  контроля  доступа  из  вне   Authendcadon  Proxy  для  контроля  доступа  на  основе  групповой  принадлежности   IOS  IPS  для  защиты  от  атак   ScanSafe  для  защиты  web-­‐доступа  
Топология  демонстрационного  стенда   Интернет   192.168.100.0/24   .4   192.168.32.0/24   .2   AD/DNS   .5   Test  PC  1  
Полезные  ссылки:     Пошаговая  настройка  ZBF  (демонстрация)   h„ps://docs.google.com/file/d/0B0VvUTk8KGW¥FlsSmJmN0x0T3M/edit?usp=sharing     Финальная  конфигурация   h„ps://docs.google.com/file/d/0B0VvUTk8KGWfSlcwUElMVlFwZmM/edit?usp=sharing     Security  Configurason  Guide:  Zone-­‐Based  Policy  Firewall   h„p://www.cisco.com/en/US/docs/ios-­‐xml/ios/sec_data_zbf/configuradon/15-­‐1mt/sec-­‐data-­‐zbf-­‐15-­‐mt-­‐book.html     BRKSEC-­‐3007  –  Advanced  Cisco  IOS  Security  Features  (2012  London)   h„ps://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=3025&backBtn=true     Cisco  ISR  Web  Security  with  Cisco  ScanSafe  Soluson  Guide   h„p://www.cisco.com/en/US/docs/security/web_security/ISR_SS/ISR_ScanSafe_SoludonGuide.pdf     Как  защитить  сеть  от  web-­‐угроз  с  помощью  Cisco  WSA   h„p://www.youtube.com/watch?v=mdYlK3CscZc&feature=c4-­‐overview&list=UUmpxXbPEgcbw2EcXBu8DYrw     Новая  Cisco  ASA:  тотальный  контроль  над  пользователем   h„p://www.youtube.com/watch?v=2Quzk8qr06w     Практические  советы  по  выбору  и  настройке  Cisco  VPN   h„p://www.youtube.com/watch?v=J2OPdwsqKXs&list=TLgZ5EeIEQZnE  
И  напоследок:     h“ps://www.youtube.com/user/SkillFactoryVideo     h“p://www.slideshare.net/SkillFactory     h“p://skillfactory.smepad.ru/events/    

Recomendados

Cisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWERCisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWER
Cisco Russia
 
Cisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWERCisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWER
Cisco Russia
 
Подробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER ServicesПодробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER Services
Cisco Russia
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Cisco Russia
 
Cisco ASA with FirePOWER Services
Cisco ASA with FirePOWER ServicesCisco ASA with FirePOWER Services
Cisco ASA with FirePOWER Services
Cisco Russia
 
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNSБороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Cisco Russia
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.
Cisco Russia
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
Cisco Russia
 

Recomendados

Cisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWERCisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWER
Cisco Russia
 
Cisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWERCisco ASA с сервисами FirePOWER
Cisco ASA с сервисами FirePOWER
Cisco Russia
 
Подробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER ServicesПодробный обзор Cisco ASA with FirePOWER Services
Подробный обзор Cisco ASA with FirePOWER Services
Cisco Russia
 
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Межсетевые экраны следующего поколения Cisco ASA c сервисами FirePower – борь...
Cisco Russia
 
Cisco ASA with FirePOWER Services
Cisco ASA with FirePOWER ServicesCisco ASA with FirePOWER Services
Cisco ASA with FirePOWER Services
Cisco Russia
 
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNSБороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Бороться с угрозами на подступах к вашим объектам защиты - OpenDNS
Cisco Russia
 
Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.Практика исследования защищенности российских компаний.
Практика исследования защищенности российских компаний.
Cisco Russia
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
Cisco Russia
 
Доступ к корпоративным приложениям, десктопам и данным с любого устройства
Доступ к корпоративным приложениям, десктопам и данным с любого устройстваДоступ к корпоративным приложениям, десктопам и данным с любого устройства
Доступ к корпоративным приложениям, десктопам и данным с любого устройства
Альбина Минуллина
 
WorkspaceOne
WorkspaceOneWorkspaceOne
WorkspaceOne
Альбина Минуллина
 
Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальшеСквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальше
Cisco Russia
 
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Cisco Russia
 
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Cisco Russia
 
Стратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасностиСтратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасности
Cisco Russia
 
Не бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТПНе бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТП
Альбина Минуллина
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
Cisco Russia
 
Как компания Cisco защищает сама себя
Как компания Cisco защищает сама себяКак компания Cisco защищает сама себя
Как компания Cisco защищает сама себя
Cisco Russia
 
Архитектура построения защищённых корпоративных сетей Cisco SAFE
Архитектура построения защищённых корпоративных сетей Cisco SAFEАрхитектура построения защищённых корпоративных сетей Cisco SAFE
Архитектура построения защищённых корпоративных сетей Cisco SAFE
Cisco Russia
 
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco Russia
 
Корпоративная мобильность и безопасность
Корпоративная мобильность и безопасностьКорпоративная мобильность и безопасность
Корпоративная мобильность и безопасность
Cisco Russia
 
Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0
Cisco Russia
 
Контроль облачных сред с помощью CloudLock
Контроль облачных сред с помощью CloudLockКонтроль облачных сред с помощью CloudLock
Контроль облачных сред с помощью CloudLock
Cisco Russia
 
Тенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОДТенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОД
Cisco Russia
 
Архитектура безопасности Cisco SAFE
Архитектура безопасности Cisco SAFEАрхитектура безопасности Cisco SAFE
Архитектура безопасности Cisco SAFE
Cisco Russia
 
Устройства Cisco IPS серии 4300
Устройства Cisco IPS серии 4300Устройства Cisco IPS серии 4300
Устройства Cisco IPS серии 4300
Cisco Russia
 
Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2
Cisco Russia
 
Защита и контроль приложений
Защита и контроль приложенийЗащита и контроль приложений
Защита и контроль приложений
Cisco Russia
 
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
Cisco Russia
 
Cisco Cloud Web Security. Краткий обзор
Cisco Cloud Web Security. Краткий обзорCisco Cloud Web Security. Краткий обзор
Cisco Cloud Web Security. Краткий обзор
Cisco Russia
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Cisco Russia
 

Más contenido relacionado

La actualidad más candente

Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальшеСквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальше
Cisco Russia
 
Архитектура построения защищённых корпоративных сетей Cisco SAFE
Архитектура построения защищённых корпоративных сетей Cisco SAFEАрхитектура построения защищённых корпоративных сетей Cisco SAFE
Архитектура построения защищённых корпоративных сетей Cisco SAFE
Cisco Russia
 
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco Russia
 
Устройства Cisco IPS серии 4300
Устройства Cisco IPS серии 4300Устройства Cisco IPS серии 4300
Устройства Cisco IPS серии 4300
Cisco Russia
 
Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2
Cisco Russia
 

La actualidad más candente (20)

Доступ к корпоративным приложениям, десктопам и данным с любого устройства
Доступ к корпоративным приложениям, десктопам и данным с любого устройстваДоступ к корпоративным приложениям, десктопам и данным с любого устройства
Доступ к корпоративным приложениям, десктопам и данным с любого устройства
 
WorkspaceOne
WorkspaceOneWorkspaceOne
WorkspaceOne
 
Сквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальшеСквозное управление доступом - от пользователя и дальше
Сквозное управление доступом - от пользователя и дальше
 
Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014Анонс новых решений по безопасности Cisco с выставки Interop 2014
Анонс новых решений по безопасности Cisco с выставки Interop 2014
 
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
 
Стратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасностиСтратегия Cisco по информационной безопасности
Стратегия Cisco по информационной безопасности
 
Не бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТПНе бойтесь виртуализации АСУ ТП
Не бойтесь виртуализации АСУ ТП
 
Все решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 часВсе решения Cisco по информационной безопасности за 1 час
Все решения Cisco по информационной безопасности за 1 час
 
Как компания Cisco защищает сама себя
Как компания Cisco защищает сама себяКак компания Cisco защищает сама себя
Как компания Cisco защищает сама себя
 
Архитектура построения защищённых корпоративных сетей Cisco SAFE
Архитектура построения защищённых корпоративных сетей Cisco SAFEАрхитектура построения защищённых корпоративных сетей Cisco SAFE
Архитектура построения защищённых корпоративных сетей Cisco SAFE
 
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
Cisco NGFW, такой современный и такой непохожий на других МСЭ следующего поко...
 
Корпоративная мобильность и безопасность
Корпоративная мобильность и безопасностьКорпоративная мобильность и безопасность
Корпоративная мобильность и безопасность
 
Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0Обзор новой версии Cisco Identity Service Engine 2.0
Обзор новой версии Cisco Identity Service Engine 2.0
 
Контроль облачных сред с помощью CloudLock
Контроль облачных сред с помощью CloudLockКонтроль облачных сред с помощью CloudLock
Контроль облачных сред с помощью CloudLock
 
Тенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОДТенденции рынка инфраструктуры ЦОД
Тенденции рынка инфраструктуры ЦОД
 
Архитектура безопасности Cisco SAFE
Архитектура безопасности Cisco SAFEАрхитектура безопасности Cisco SAFE
Архитектура безопасности Cisco SAFE
 
Устройства Cisco IPS серии 4300
Устройства Cisco IPS серии 4300Устройства Cisco IPS серии 4300
Устройства Cisco IPS серии 4300
 
Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2Обзор новой версии Cisco AnyConnect 4.2
Обзор новой версии Cisco AnyConnect 4.2
 
Защита и контроль приложений
Защита и контроль приложенийЗащита и контроль приложений
Защита и контроль приложений
 
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
 

Similar a Как превратить маршрутизатор Cisco в межсетевой экран?

Cisco Cloud Web Security. Краткий обзор
Cisco Cloud Web Security. Краткий обзорCisco Cloud Web Security. Краткий обзор
Cisco Cloud Web Security. Краткий обзор
Cisco Russia
 
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco Russia
 
Обзор продуктов в области информационной безопасности
Обзор продуктов в области информационной безопасностиОбзор продуктов в области информационной безопасности
Обзор продуктов в области информационной безопасности
Cisco Russia
 
Проектирование защищенных центров обработки данных Cisco.
Проектирование защищенных центров обработки данных Cisco. Проектирование защищенных центров обработки данных Cisco.
Проектирование защищенных центров обработки данных Cisco.
Cisco Russia
 
Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP.
Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP.Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP.
Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP.
Cisco Russia
 

Similar a Как превратить маршрутизатор Cisco в межсетевой экран? (20)

Cisco Cloud Web Security. Краткий обзор
Cisco Cloud Web Security. Краткий обзорCisco Cloud Web Security. Краткий обзор
Cisco Cloud Web Security. Краткий обзор
 
Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...Защита центров обработки данных. Механизмы безопасности для классической фабр...
Защита центров обработки данных. Механизмы безопасности для классической фабр...
 
Информационная безопасность Cisco в 2014-м году: краткие итоги
Информационная безопасность Cisco в 2014-м году: краткие итогиИнформационная безопасность Cisco в 2014-м году: краткие итоги
Информационная безопасность Cisco в 2014-м году: краткие итоги
 
Проблема защиты информации в современном ЦОДе и способы ее решения
Проблема защиты информации в современном ЦОДе и способы ее решенияПроблема защиты информации в современном ЦОДе и способы ее решения
Проблема защиты информации в современном ЦОДе и способы ее решения
 
Next Generation Campus Architecture
Next Generation Campus ArchitectureNext Generation Campus Architecture
Next Generation Campus Architecture
 
иб Cti 2014
иб Cti 2014иб Cti 2014
иб Cti 2014
 
Каталог решений Cisco для малого и среднего бизнеса
Каталог решений Cisco для малого и среднего бизнесаКаталог решений Cisco для малого и среднего бизнеса
Каталог решений Cisco для малого и среднего бизнеса
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
 
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
 
Cisco Umbrella
Cisco UmbrellaCisco Umbrella
Cisco Umbrella
 
Обзор продуктов в области информационной безопасности
Обзор продуктов в области информационной безопасностиОбзор продуктов в области информационной безопасности
Обзор продуктов в области информационной безопасности
 
Проектирование защищенных центров обработки данных Cisco.
Проектирование защищенных центров обработки данных Cisco. Проектирование защищенных центров обработки данных Cisco.
Проектирование защищенных центров обработки данных Cisco.
 
Варианты дизайна и лучшие практики создания безопасного ЦОД
Варианты дизайна и лучшие практики создания безопасного ЦОДВарианты дизайна и лучшие практики создания безопасного ЦОД
Варианты дизайна и лучшие практики создания безопасного ЦОД
 
Cisco Email & Web Security
Cisco Email & Web SecurityCisco Email & Web Security
Cisco Email & Web Security
 
Решения Cisco для создания защищенного ЦОД
Решения Cisco для создания защищенного ЦОДРешения Cisco для создания защищенного ЦОД
Решения Cisco для создания защищенного ЦОД
 
Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9 Cisco, держи марку! Серия №9
Cisco, держи марку! Серия №9
 
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
Cisco Connect Almaty 2014 - Security Solutions for Data Centers (russian)
 
Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP.
Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP.Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP.
Безопасность периметра: МЭ и IPS Cisco и Sourcefire. Сетевой FireAMP.
 
SAFE упрощает обеспечение безопасности
SAFE упрощает обеспечение безопасностиSAFE упрощает обеспечение безопасности
SAFE упрощает обеспечение безопасности
 
Защита от современных и целенаправленных атак
Защита от современных и целенаправленных атакЗащита от современных и целенаправленных атак
Защита от современных и целенаправленных атак
 

Más de SkillFactory

Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
SkillFactory
 
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отделаПравила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
SkillFactory
 
Определяем причину медленной работы сети в 3 клика
Определяем причину медленной работы сети в 3 клика Определяем причину медленной работы сети в 3 клика
Определяем причину медленной работы сети в 3 клика
SkillFactory
 

Más de SkillFactory (20)

Как подружить корпоративные системы ВКС и пользователей Skype
Как подружить корпоративные системы ВКС и пользователей SkypeКак подружить корпоративные системы ВКС и пользователей Skype
Как подружить корпоративные системы ВКС и пользователей Skype
 
Ключевые тенденции отрасли в последнее время
Ключевые тенденции отрасли в последнее времяКлючевые тенденции отрасли в последнее время
Ключевые тенденции отрасли в последнее время
 
Сервисы NFV
Сервисы NFVСервисы NFV
Сервисы NFV
 
Современные методы защиты от DDoS атак
Современные методы защиты от DDoS атакСовременные методы защиты от DDoS атак
Современные методы защиты от DDoS атак
 
Бизнес под прицелом: как компаниям защищаться от киберугроз
Бизнес под прицелом: как компаниям защищаться от киберугрозБизнес под прицелом: как компаниям защищаться от киберугроз
Бизнес под прицелом: как компаниям защищаться от киберугроз
 
Вопросы балансировки трафика
Вопросы балансировки трафикаВопросы балансировки трафика
Вопросы балансировки трафика
 
IP/LDP fast protection schemes
IP/LDP fast protection schemesIP/LDP fast protection schemes
IP/LDP fast protection schemes
 
Варианты решений для подключения мобильных устройств
Варианты решений для подключения мобильных устройствВарианты решений для подключения мобильных устройств
Варианты решений для подключения мобильных устройств
 
End to End Convergence
End to End ConvergenceEnd to End Convergence
End to End Convergence
 
Виртуализация клиентских устройств Juniper cCPE
Виртуализация клиентских устройств Juniper cCPEВиртуализация клиентских устройств Juniper cCPE
Виртуализация клиентских устройств Juniper cCPE
 
MX – универсальная сервисная платформа. Вчера, сегодня, завтра.
MX – универсальная сервисная платформа. Вчера, сегодня, завтра.MX – универсальная сервисная платформа. Вчера, сегодня, завтра.
MX – универсальная сервисная платформа. Вчера, сегодня, завтра.
 
Почему не работает Wi-Fi? Ошибки при проектировании сети
Почему не работает Wi-Fi? Ошибки при проектировании сетиПочему не работает Wi-Fi? Ошибки при проектировании сети
Почему не работает Wi-Fi? Ошибки при проектировании сети
 
Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
 
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отделаПравила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
Правила успешной карьеры в IT. Часть 2. Взгляд HR-отдела
 
Технология операторов связи DWDM: все самое важное за 1 вебинар
Технология операторов связи DWDM: все самое важное за 1 вебинарТехнология операторов связи DWDM: все самое важное за 1 вебинар
Технология операторов связи DWDM: все самое важное за 1 вебинар
 
Wi-Fi для чайников: основы технологии за 1 вебинар
Wi-Fi для чайников: основы технологии за 1 вебинарWi-Fi для чайников: основы технологии за 1 вебинар
Wi-Fi для чайников: основы технологии за 1 вебинар
 
Олимпиада IT-Планета: как стать чемпионом Cisco?
Олимпиада IT-Планета: как стать чемпионом Cisco?Олимпиада IT-Планета: как стать чемпионом Cisco?
Олимпиада IT-Планета: как стать чемпионом Cisco?
 
Определяем причину медленной работы сети в 3 клика
Определяем причину медленной работы сети в 3 клика Определяем причину медленной работы сети в 3 клика
Определяем причину медленной работы сети в 3 клика
 
Строим единую коммуникационную платформу для офиса
Строим единую коммуникационную платформу для офиса Строим единую коммуникационную платформу для офиса
Строим единую коммуникационную платформу для офиса
 
Сдать экзамен CCIE: миссия выполнима
Сдать экзамен CCIE: миссия выполнимаСдать экзамен CCIE: миссия выполнима
Сдать экзамен CCIE: миссия выполнима
 

Как превратить маршрутизатор Cisco в межсетевой экран?

  • 1. Как превратить маршрутизатор Cisco в межсетевой экран? Сергей Кучеренко 19 сентября 2013 serg.kucherenko@getccna.ru
  • 2. О  чем  мы  поговорим:   §  Рекомендации  по  дизайну  защищенных  сетей   §  Продукты  по  обеспечению  информационной  безопасности  Cisco,  их  место  в   архитектуре  сети     §  Функционал  безопасности  в  Cisco  IOS   §  Технология  Cisco  Zone  Based  Firewall   §  Интеграция  IOS  и  облака  ScanSafe   §  Демонстрация  настройки  ZBF  и  работы  IOS  ScnaSafe  Connector  
  • 3. Дизайны  и  архитектуры  –  зачем  и  почему?   §  Организации  и  отдельные  люди  становятся  все  более  зависимыми  от  сетей   §  Угрозы  усложняются,  а  их  количество  увеличивается   §  Новые  тренды  не  делают  обеспечение  безопасности  проще  (BYOD/ Virtualizadon/Cloud)     У  нас  всегда  есть  два  пути:                                1.      Строить  по  наитию        2.    Опереться  на  лучше  практики     VS  
  • 4. Дизайны  и  архитектуры  –  эволюция  Cisco   Cisco  SAFE  2000  год:     §  Модульный  подход   §  Многоуровневая  защита   §  Рекомендуемый  дизайн   §  Независимость  от  производителя   §  Позволяет  повысить  уровень  защищенности   Cisco  SAFE  2009  год:     §  Защищенная  сеть  на  основе  решений  Cisco   §  Инфраструктура  маршрутизации  и   коммутации  как  часть  защиты   §  Подход  Self-­‐Defending  Network  
  • 5. Cisco  Borderless  Network  2010  год  –  подход  к   сетевой  архитектуре  с  учётом  новых  трендов:     §  Размытость  корпоративного  периметра   §  Мобильные  сотрудники   §  Облачные  сервисы   §  Виртуализация   Cisco  Smart  Business  Architecture:     §  Рекомендации  по  проектированию  различных  модулей  сети   §  Рекомендации  по  настройке  оборудования   §  Рекомендации  планированию  внедрения  отдельных  технологий   §  Рекомендации  по  настройке  отдельных  технологий   Cisco  Secure-­‐X  Architecture  –  идеология,  предполагающая   контроль  и  управление  доступом  на  основе  контекста     Кто?  Как?  Откуда?  Куда?  Какое  приложение?  
  • 6. Продукты  и  технологии  обеспечения  безопасности   §  Cisco  ASA  –  многофункциональное  устройство  обеспечения  безопасности  с  поддержкой   технологий  Statefull  Firewall/Applicadon  Inspecdon/Intrusion  Prevendon/High  Availability/ Virtualizadon/Content  Security     §  Cisco  IPS  –  сетевая  система  предотвращения  вторжений  с  поддержкой  сигнатурного/ репутационного/поведенческого  анализа   §  Cisco  Web  Security  Appliance  –  прокси-­‐сервер  с  функционалом  URL  фильтрации/Malware   protecdon/DLP   §  Cisco  Email  Security  Appliance  –  специализированый  MTA  с  функционалом  защиты  от  SPAM/ Viruses/Zero-­‐day  A„ack/DLP   §  Cisco  Wireless  IPS  –  функционал  Wireless  LAN  Controller  по  предотвращению  атак  на   беспроводную  инфраструктуру   §  Cisco  ISE  –  центральный  компонент  системы  контекстного  доступа.   Выполняет  Аутентификацию  пользователей/оценку  соответствия   рабочей  станции  корпоративным  политикам/Динамической   определение  типа  устройства/назначение  меток  безопасности/              Создание  и  распространение  ACL  на  основе  меток  
  • 7. §  VPN  –  набор  технологий,  призванных  обеспечить  защищенное  взаимодействие  Сеть-­‐Сеть/ Устройство-­‐Сеть/Устройство-­‐Устройство   Компоненты:   §  Cisco  ISR   §  Cisco  Catalyst/Nexus   §  Cisco  ASA   §  AnycConect     §  Cloud  Web  Security  –  перенаправление  пользовательского  трафика  для  анализа  и  наложения   политик  в  облако  ScanSafe   Компоненты:   §  Cisco  ISR   §  Cisco  ASA     §  Cisco  TrustSec  –  набор  технологий  по  предоставлению  контекстного  доступа.  Основные  элементы:   Проверка  рабочих  станций/Доступ  на  основе  Security  Group  Tag/Шифрование  на  L2   Компоненты:   §  Cisco  ISE  –  основная  точка  настройки  политик   §  Routers/Switches/ASA/WLC  –  наложение  политик   §  Cisco  NAC  Agent  –  проверка  рабочей  станции  
  • 8. Продукты  и  технологии  безопасности   в  архитектуре  сети   Управление   Филиал   WAN   Ведомственная  Сеть   Комплекс  Зданий   Партнеры   Ядро   ЦОД   Интернет   Внешние   организации   Internet   Удаленные   работники   Cisco   SIO     Идентификация  и  авторизация  пользователей  и  устройств  
  • 9. Модуль  доступа  в    Интернет   Реализуем:   Управление  доступом   §  §    §  §  Политики  доступа  между  зонами  доверия   Организация  и  управление  доступом  удалённых   пользователей  SSL  VPN     Cisco   ASA   Политики  использования  WEB     Политики  использования  email     WSA   ESA   Противодействие  угрозам   §  §  §    §  §    §  Предотвращение  вторжений  на  уровне  сети   Использование  SIO  для  ускорения  работы  IPS   Выявление  аномалий   Cisco   IPS   Защита  от  spam   Защита  от  вирусов  и  атак  в  email   ESA   Защита  от  вирусов  и  атак  в  web   WSA  
  • 10. Модуль  ведомственной  сети     Реализуем:   Безопасное  взаимодействие   §  §  GET  VPN  для  WAN-­‐взаимодействия   DMVPN  phase  3  для  организации  резервных  каналов   Cisco   через  Интернет     ISR   Управление  доступом   §  §  Разграничение  доступа  ZPBFW   Защита  Management  Plane  и  Control  Plane   Cisco   ISR  
  • 11. Модуль  внешних  организаций   Реализуем:   Безопасное  взаимодействие   §  §  Политики  взаимодействия  с  внешними   Cisco   организациями   ASA   Организация  защищённых  соединений   Противодействие  угрозам   §  §  §  Предотвращение  вторжений  на  уровне  сети   Использование  SIO  для  ускорения  работы  IPS   Выявление  аномалий   Cisco   IPS  
  • 12. Модуль  Кампуса   Реализуем:   Управление  доступом   §  §    §  Идентификация  устройств  и  пользователей   Cisco   Наложение  политик  авторизации   ISE   Сегментация  сети   SGT   ACL   Противодействие  угрозам   Безопасное  взаимодействие   §  L2-­‐шифрование   MacSec   §    §  Противодействие  L2-­‐атакам   Контроль  радиоэфира   Cisco   Switches   Cisco   WLC  
  • 13. Модуль  ЦОД   Реализуем:   Управление  доступом   §    §  Политики  доступа  между  зонами  доверия  на  основе   групповой  принадлежности  пользователя   SGT   ACL   Управление  доступом  как  между  физическими   серверами,  так  и  между  виртуальными  машинами   Cisco   ASA   Противодействие  угрозам   Безопасное  взаимодействие   §  L2-­‐шифрование   MacSec   §  §  §  Предотвращение  вторжений  на  уровне  сети   Использование  SIO  для  ускорения  работы  IPS   Выявление  аномалий   Cisco   IPS  
  • 14. Филиал   Управление  доступом   §  §  §  Безопасное  взаимодействие   Идентификация  пользователей   Разграничение  доступа  ZPBFW   Защита  Management  Plane  и  Control  Plane   Cisco   ISR   Противодействие  угрозам   §  §  Предотвращение  вторжений  IOS  IPS   Защита  web-­‐доступа  (ScanSafe  Connector)   Cisco   ISR   §  §  GET  VPN  для  WAN-­‐взаимодействия   DMVPN  phase  3  для  организации   резервных  каналов  через  Интернет   Cisco   ISR  
  • 15. Удаленный  пользователь   Управление  доступом   §  §  Аутентификация  в  проводных  и  беспроводных  сетях   Оценка  здоровья  рабочей  станции   Безопасное  взаимодействие   §  §  §  SSL  VPN   IPSec  VPN  с  поддержкой  IKEv2   L2-­‐шифрование  MacSec     Противодействие  угрозам   §  Интеграция  с  облаком  ScanSafe  
  • 16. Функционал  безопасности  в  Cisco  IOS*   §  AAA  Framework  –  структура  аутентификации,  авторизации  и  учета,  позволяющая   контролировать  и  управлять  как  доступом  администраторов  на  устройство,  так  и  доступом   пользователей  сквозь  устройство,  применяется  в  большом  количестве  функций  безопасности   §  IOS  Firewall  –  на  текущий  момент  IOS  Zone  Based  Policy  Firewall**   §  IOS  IPS  –  система  предотвращения  вторжений  встроена  в  IOS,  имеет  поддержку  большого   количества  сигнатур   §  FPM  –  Flexibility  Packet  Matching,  технология,  позволяющая  писать  собственные  сигнатуры  для   противодействия  новым  атакам   §  Authenscason  Proxy  –  аутентификация  пользователя  при  попытке  доступа  сквозь  устройство  с   динамическим  назначением  прав  доступа   §  IOS  Foundason  Protecson  –  набор  технологий,  обеспечивающий   защиту  операционной  системы  и  основных  функций   маршрутизатора   *  –  Исключая  технологии  VPN   **  –  детально  будет  рассмотрен  далее  
  • 17. Технология  Cisco  Zone  Based  Firewall   Современная  реализация  межсетевого  экрана  в  Cisco  IOS.  Zone  в  названии  означает,  что   администратор  применяет  политики  доступа  не  между  отдельными  интерфейсами,  а  между  зонами.   Зона  может  состоять  из  одного  и  более  интерфейсов.  К  функциям  ZPF  относятся:     §  Statefull  Firewall   §  Applicason  Inspecson   §  User  Based  Policy   §  IP  to  SGT  mapping  on  ISR   §  Transparent  Firewall   §  ZBF  High  Availability  
  • 18. Statefull  Firewall     Функционал,  обеспечивающий  сохранение  сессионной  информации  для  трафика,  идущего   между  зонами  (разрешённый  трафик  выбирает  администратор),  и  автоматический  пропуск   ответных  пакетов.   Protocol   Source  IP   Source  Port   Dest.  IP   Dest.  Port   Timeout   UDP   192.168.1.10   1024   1.1.1.10   53   20s   TCP   192.168.1.10   1025   1.1.1.1   80   3600s   DNS  Server   1.1.1.10   WEB  Server   vk.com   1.1.1.1   Internet   S_IP:1.1.1   S_IP:1.1.10   S_IP:192.168.1.10   S_IP:192.168.1.10   S_Por:1024   S_Por:1025   D_Por:1024   D_IP:1.1.1.10   D_IP:1.1.1.1   Data:  DNS  Resp   D_Por:53   D_Por:80   Data:  DNS  Req   Data:  h„p  req   S_Por:53   D_IP:192.168.1.10   S_Por:80   192.168.1.10   D_IP:192.168.1.10   D_Por:1025   Data:  h„p  Resp  
  • 19. §  Applicason  Inspecson  –  функционал  ZBF,  решающий  ряд  задач:     ü  Распознавание  приложений  –  IOS  знает  заранее,  какое  приложение  на  каком  порту   искать                  Администратор  имеет  возможность  добавлять  порты  в  стандартные  приложения  и              создавать  собственные  приложения.   ü  Открытие  дополнительных  соединений  для  динамических  приложений  (ex:  FTP/SIP…)         ü  Deep  Applicadon  Inspecdon  –  глубокая  инспекция  целого  ряда  приложений.  Дает   возможность  принимать  решения,  основываясь  на  информации  L7  (Блокировать   определенный  URL/Тип  файла  в  h„p/Почтовый  ящик/…)  
  • 20. §  User  Based  Policy    –  функция,  работающая  совместно  с  Authendcadon  Proxy  и  дающая   возможность  назначать  политики  на  основе  групповой  принадлежности  пользователя.     1.  При  создании  политик  ZBF  используются  имена  пользовательских  групп  и  к  этим   группам  привязываются  перечни  разрешённых  протоколов   2.  Пользователь  начинает  инициировать  соединения  через  интерфейс,  на  котором   настроено  правило  authendcadon  proxy   3.  В  браузере  появляется  запрос  на  ввод  login/password   4.  Ввод  пользователем  login/password   5.  Маршрутизатор  пересылает  credendals  user  на  сервер  AAA   6.  Сервер  возвращает  вместе  с  результатом  аутентификации  атрибут  “supplicant-­‐group”  
  • 21. §  IP  to  SGT  mapping  on  ISR  –  технология,  позволяющая  интегрировать  технологию  Security   Group  Tag  с  ZBF.  Данный  функционал  применяется  для  написания  правил  в  межсетевом   экране  центрального  офиса  на  основе  SGT.     1.  Идентификация  пользователя  в  филиале  (Auth-­‐Proxy  or  802,1x)   2.  Информация  о  соответствии  SGT  to  IP  передается  с  маршрутизатора  филиала  на   маршрутизатор  центрального  офиса   3.  При  настройке  ZBF  на  центральном  роутере  в  качестве  идентификаторов  групп  были   использованы  SGT,  к  каждой  группе  назначается  список  разрешённых  протоколов  
  • 22. §  Transparent  Firewall  –  вариант  развертывания  ZBF,  при  котором  в  Zone  добавляются   интерфейсы,  принадлежащие  к  одной  bridge-­‐group     Bridge-­‐Group  –  группа  интерфейсов  в  IOS,  при  объединении  в  которую  все,  что  за  ними   находится,  попадает  в  единый  broadcast-­‐domain             §  ZBF  High  Availability  –  новый  функционал,  появившийся  начиная  с  IOS  15.2(3)T,   отказоустойчивость  основана  на  технологии  SSO  (Statefull  Switchover).  При  реализации  ZBF   HA  нам  доступна  как  схема  Acdve-­‐Standby,  так  и  схема  Acdve-­‐Acdve  
  • 23. Понятия  ZBF   Zones:     §  Zone  –  структура,  состоящая  из  одного  или  нескольких  интерфейсов   §  Zone–Self  –  специальная  зона  для  управления  трафиком,  входящим  в  маршрутизатор  и   покидающем  его   §  Zone  Pair  –  пара  зон,  где  одна  указывается  как  Source,  а  другая  как  Desdnadon.  Политика  для   прохождения  трафика  привязывается  к  zone  pair   Session  Table:   192.168.1.100:1024>>>195.5.5.10:80   Check   OUTSIDE  zone   195.5.5.0/24   192.168.1.0/24   INSIDE  zone   zone-­‐pair  IN_OUT  source  INSIDE  dessnason  OUTSIDE   Internet   DMZ  zone   zone-­‐pair  OUT_DMZ  source  OUTSIDE  dessnason  DMZ   192.168.2.0/24   Session  Table:   195.5.5.10:1024>>>192.168.2.10:80   Check  
  • 24. Policy  L3/L4:     §  Class  Map  (L3/L4)  –  компонент  конфигурации,  описывающий  интересный  трафик  с  помощью   ACL  либо  же  указания  протокола  (h„p/dns…).  Также  может  использоваться  комбинация  этих   вариантов  –  в  этом  случае  нас  интересуют  только  данные  определенных  протоколов  с/для   определенных  IP-­‐адресов.              Note:  Если    используется  только  ACL,  будет  проводиться  простая  statefull  инспекция  без                                    анализа  приложений       §  Policy  Map  (L3/L4)  –  компонент  конфигурации,  отвечающий  за  применения  действий  для   одного  или  нескольких  классов              Варианты  действий:   ü  Inspect  –  выполнять  инспекцию  (Statefull  +  applicadon  inspecdon  если  class  с  протокол)   ü  Pass  –  пропустить,  информация  о  сессии  не  сохраняется   ü  Drop  –  сбросить  то,  что  попало  под  этот  класс.  Здесь  же  можно  добавить  log   ü  Police  –  наложить  ограничение  на  скорость  трафика,  попавшего  под  класс   ü  Service  –  Policy  –  указать  для  этого  класса  глубокую  инспекцию  одного  из  приложений.   Для  глубокой  инспекции  используется  L7  Policy  Map  
  • 25. Policy  L7:     §  Class  Map  (L7)  –  поиск  по  специфичным  для  приложения  параметрам  (ex:  HTTP  -­‐  URI)   §  Policy    Map  (L7)  –  политик  для  применения  действий  к    L7  Class.  Не  для  всех  классов   приложений  есть  политики.  Некоторые  классы  приложений    описываются  в  одной  политике   (ex:  P2P  policy  для  классов  kazaa2/gnutella…)              Варианты  действий  при  попадании  трафика  в  класс:  allow/log/rest  
  • 26. Parameter  Map:     §  Parameter  Map  Inspect  –  задает  ограничения  на  соединения  и  управляет  aler/audit-­‐trail.   Parameter  map  применяется  с  помощью  указания  ее  имени  после  ключевого  слова  inspect  в   L3/L4  policy  map   §  Parameter  Map  Regex  –  описывает  pa„erns  с  помощью  регулярных  выражений.  В  одной   regex  parameter  map  можно  задать  несколько  pa„erns,  между  ними  срабатывает  правило   “ИЛИ”.  Далее  созданные  regex  map  используются  для  Match  в  L7  Class  Map  
  • 27. Факты  ZBF   §  Zone  должна  быть  создана  перед  добавлением  в  нее  интерфейсов   §  Интерфейс  может  быть  добавлен  только  в  одну  Zone   §  Трафик  между  интерфейсам  в  разных  Zone  запрещен   §  Трафик  между  интерфейсам  в  одной  Zone  разрешен*   §  Чтоб  трафик  проходил  между  интерфейсам  в  разных  Zone,  для  них  должна  быть  создана   Zone  pair,  в  которой  должна  быть  назначена  политика  с  действием  Inspect  или  Pass   §  Трафик  между  Self  Zone  и  всеми  другими  зонами  неявно  разрешен     *  –  начиная  с  IOS  15.0(1)M,  логика  изменилась.  Теперь  без  наличия  политики   трафик  блокируется  между  интерфейсами  в  одной  zone  
  • 28. §  Трафик  между  интерфейсом,  не  являющимся  членом  зоны,  и   интерфейсами,  входящими  в  зоны,  запрещён   §  ZBF  работает  после  NAT  –  это  значит,  что  если  мы  описываем  политику  для   сервера  в  Inside/DMZ,  адрес  которого  транслируется,  в  ACL,  созданном  для   политики,  нужно  указать  inside  local  address  (серый  IP)   §  Если  на  интерфейсе  члене  Zone  назначен  ACL  –  этот  ACL  всегда  проверяется                раньше  политик  ZBF.  Одновременное  использование  ZBF  и  ACL  не              рекомендуется  
  • 29. Интеграция  IOS  и  облака  ScanSafe   Начиная  с  версии  IOS  15.2(1)T1  появилась  поддержка  ScanSafe  Connector     ScanSafe  Connector  –отвечает  за  перенаправление  в  облако  web-­‐безопасности  ScanSafe   пользовательского  h„p  и  h„ps-­‐трафика.  При  перенаправлении  происходит  инкапсуляция   пользовательских  пакетов  и  их  зашифровка  (в  качестве  транспорта  используется  SSL)     Кроме  перенаправления,  происходит  добавление  информации  о  состоянии  аутентификации   пользователя  (Group  name/Username)     Для  аутентификации  можно  использовать  базу  LDAP  или  локальную  базу  данных  маршрутизатора     Аутентификация  может  происходить  в  двух  режимах:   §  HTTP-­‐Basic    –  при  инициировании  h„p/h„ps  ISR   перенаправляет  запрос  пользователя  на  адрес   virtual-­‐proxy,  с  этого  адреса  отправляется  запрос   на  аутентификацию   §  NTLM  –  принцип  тот  же,  но  если  пользователь   выполнил  вход  в  систему,  под  доменной  учетной   записью  аутентификации  проходит  прозрачно  
  • 30. Компоненты  IOS  ScanSafe  Connector:     §  ldap-­‐server  –  компонент  конфигурации,  отвечающий  за  подключение  к  серверу  ldap  и   хранящий  параметры  этого  подключения     §  aaa  group  server  –  компонент,  объединяющий  несколько  серверов  в  группу,  при  настройке   правил  аутентификации  и  авторизации,  в  качестве  точки  проверки  указывается  эта  группа   §  aaa  authenscason/aaa  authorizason  –  правила  проведения  аутентификации  и  авторизации   пользователей   §  parameter-­‐map  type  content-­‐scan  –  элемент  конфигурации,  отвечающий  за  подключение  к   облаку  ScanSafe,  здесь  указывается:   ü  Адреса  серверов  для  подключения   ü  Ключ  лицензии   ü  Что  делать  в  случае  отсутствия  связи  с  облаком     §  ip  admission  –  элемент  конфигурации,  управляющий  аутентификацией  и                авторизацией  пользователей.  
  • 31. Модели  использования  IOS  Security   Large/Medium  Enterprise  Model   Управление   Филиал   WAN   Ведомственная  Сеть   Комплекс  Зданий   Ядро   ЦОД   Интернет   Внешние   организации   Internet   Cisco   SIO     Центральный  офис:   §  ZBF  на  основе  SGT  для  предоставления  доступа  к  ресурсам   головного  офиса   Филиал:   §  ZBF  для  сегментации   внутренней  сети  офиса   §  Аутентификация  и  присвоение   SGT   §  ScanSafe  при  необходимости   минимизировать  трафик  через   центральный  офис  
  • 32. Small  Enterprise  Model   §  §  §  §  §  ZBF  для  сегментации  внутренней  сети  офиса   ZBF  для  контроля  доступа  из  вне   Authendcadon  Proxy  для  контроля  доступа  на  основе  групповой  принадлежности   IOS  IPS  для  защиты  от  атак   ScanSafe  для  защиты  web-­‐доступа  
  • 33. Топология  демонстрационного  стенда   Интернет   192.168.100.0/24   .4   192.168.32.0/24   .2   AD/DNS   .5   Test  PC  1  
  • 34. Полезные  ссылки:     Пошаговая  настройка  ZBF  (демонстрация)   h„ps://docs.google.com/file/d/0B0VvUTk8KGW¥FlsSmJmN0x0T3M/edit?usp=sharing     Финальная  конфигурация   h„ps://docs.google.com/file/d/0B0VvUTk8KGWfSlcwUElMVlFwZmM/edit?usp=sharing     Security  Configurason  Guide:  Zone-­‐Based  Policy  Firewall   h„p://www.cisco.com/en/US/docs/ios-­‐xml/ios/sec_data_zbf/configuradon/15-­‐1mt/sec-­‐data-­‐zbf-­‐15-­‐mt-­‐book.html     BRKSEC-­‐3007  –  Advanced  Cisco  IOS  Security  Features  (2012  London)   h„ps://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=3025&backBtn=true     Cisco  ISR  Web  Security  with  Cisco  ScanSafe  Soluson  Guide   h„p://www.cisco.com/en/US/docs/security/web_security/ISR_SS/ISR_ScanSafe_SoludonGuide.pdf     Как  защитить  сеть  от  web-­‐угроз  с  помощью  Cisco  WSA   h„p://www.youtube.com/watch?v=mdYlK3CscZc&feature=c4-­‐overview&list=UUmpxXbPEgcbw2EcXBu8DYrw     Новая  Cisco  ASA:  тотальный  контроль  над  пользователем   h„p://www.youtube.com/watch?v=2Quzk8qr06w     Практические  советы  по  выбору  и  настройке  Cisco  VPN   h„p://www.youtube.com/watch?v=J2OPdwsqKXs&list=TLgZ5EeIEQZnE  
  • 35. И  напоследок:     h“ps://www.youtube.com/user/SkillFactoryVideo     h“p://www.slideshare.net/SkillFactory     h“p://skillfactory.smepad.ru/events/