2. О
чем
мы
поговорим:
§ Рекомендации
по
дизайну
защищенных
сетей
§ Продукты
по
обеспечению
информационной
безопасности
Cisco,
их
место
в
архитектуре
сети
§ Функционал
безопасности
в
Cisco
IOS
§ Технология
Cisco
Zone
Based
Firewall
§ Интеграция
IOS
и
облака
ScanSafe
§ Демонстрация
настройки
ZBF
и
работы
IOS
ScnaSafe
Connector
3. Дизайны
и
архитектуры
–
зачем
и
почему?
§ Организации
и
отдельные
люди
становятся
все
более
зависимыми
от
сетей
§ Угрозы
усложняются,
а
их
количество
увеличивается
§ Новые
тренды
не
делают
обеспечение
безопасности
проще
(BYOD/
Virtualizadon/Cloud)
У
нас
всегда
есть
два
пути:
1.
Строить
по
наитию
2.
Опереться
на
лучше
практики
VS
4. Дизайны
и
архитектуры
–
эволюция
Cisco
Cisco
SAFE
2000
год:
§ Модульный
подход
§ Многоуровневая
защита
§ Рекомендуемый
дизайн
§ Независимость
от
производителя
§ Позволяет
повысить
уровень
защищенности
Cisco
SAFE
2009
год:
§ Защищенная
сеть
на
основе
решений
Cisco
§ Инфраструктура
маршрутизации
и
коммутации
как
часть
защиты
§ Подход
Self-‐Defending
Network
5. Cisco
Borderless
Network
2010
год
–
подход
к
сетевой
архитектуре
с
учётом
новых
трендов:
§ Размытость
корпоративного
периметра
§ Мобильные
сотрудники
§ Облачные
сервисы
§ Виртуализация
Cisco
Smart
Business
Architecture:
§ Рекомендации
по
проектированию
различных
модулей
сети
§ Рекомендации
по
настройке
оборудования
§ Рекомендации
планированию
внедрения
отдельных
технологий
§ Рекомендации
по
настройке
отдельных
технологий
Cisco
Secure-‐X
Architecture
–
идеология,
предполагающая
контроль
и
управление
доступом
на
основе
контекста
Кто?
Как?
Откуда?
Куда?
Какое
приложение?
6. Продукты
и
технологии
обеспечения
безопасности
§ Cisco
ASA
–
многофункциональное
устройство
обеспечения
безопасности
с
поддержкой
технологий
Statefull
Firewall/Applicadon
Inspecdon/Intrusion
Prevendon/High
Availability/
Virtualizadon/Content
Security
§ Cisco
IPS
–
сетевая
система
предотвращения
вторжений
с
поддержкой
сигнатурного/
репутационного/поведенческого
анализа
§ Cisco
Web
Security
Appliance
–
прокси-‐сервер
с
функционалом
URL
фильтрации/Malware
protecdon/DLP
§ Cisco
Email
Security
Appliance
–
специализированый
MTA
с
функционалом
защиты
от
SPAM/
Viruses/Zero-‐day
A„ack/DLP
§ Cisco
Wireless
IPS
–
функционал
Wireless
LAN
Controller
по
предотвращению
атак
на
беспроводную
инфраструктуру
§ Cisco
ISE
–
центральный
компонент
системы
контекстного
доступа.
Выполняет
Аутентификацию
пользователей/оценку
соответствия
рабочей
станции
корпоративным
политикам/Динамической
определение
типа
устройства/назначение
меток
безопасности/
Создание
и
распространение
ACL
на
основе
меток
7. § VPN
–
набор
технологий,
призванных
обеспечить
защищенное
взаимодействие
Сеть-‐Сеть/
Устройство-‐Сеть/Устройство-‐Устройство
Компоненты:
§ Cisco
ISR
§ Cisco
Catalyst/Nexus
§ Cisco
ASA
§ AnycConect
§ Cloud
Web
Security
–
перенаправление
пользовательского
трафика
для
анализа
и
наложения
политик
в
облако
ScanSafe
Компоненты:
§ Cisco
ISR
§ Cisco
ASA
§ Cisco
TrustSec
–
набор
технологий
по
предоставлению
контекстного
доступа.
Основные
элементы:
Проверка
рабочих
станций/Доступ
на
основе
Security
Group
Tag/Шифрование
на
L2
Компоненты:
§ Cisco
ISE
–
основная
точка
настройки
политик
§ Routers/Switches/ASA/WLC
–
наложение
политик
§ Cisco
NAC
Agent
–
проверка
рабочей
станции
8. Продукты
и
технологии
безопасности
в
архитектуре
сети
Управление
Филиал
WAN
Ведомственная
Сеть
Комплекс
Зданий
Партнеры
Ядро
ЦОД
Интернет
Внешние
организации
Internet
Удаленные
работники
Cisco
SIO
Идентификация
и
авторизация
пользователей
и
устройств
9. Модуль
доступа
в
Интернет
Реализуем:
Управление
доступом
§
§
§
§
Политики
доступа
между
зонами
доверия
Организация
и
управление
доступом
удалённых
пользователей
SSL
VPN
Cisco
ASA
Политики
использования
WEB
Политики
использования
email
WSA
ESA
Противодействие
угрозам
§
§
§
§
§
§
Предотвращение
вторжений
на
уровне
сети
Использование
SIO
для
ускорения
работы
IPS
Выявление
аномалий
Cisco
IPS
Защита
от
spam
Защита
от
вирусов
и
атак
в
email
ESA
Защита
от
вирусов
и
атак
в
web
WSA
10. Модуль
ведомственной
сети
Реализуем:
Безопасное
взаимодействие
§
§
GET
VPN
для
WAN-‐взаимодействия
DMVPN
phase
3
для
организации
резервных
каналов
Cisco
через
Интернет
ISR
Управление
доступом
§
§
Разграничение
доступа
ZPBFW
Защита
Management
Plane
и
Control
Plane
Cisco
ISR
11. Модуль
внешних
организаций
Реализуем:
Безопасное
взаимодействие
§
§
Политики
взаимодействия
с
внешними
Cisco
организациями
ASA
Организация
защищённых
соединений
Противодействие
угрозам
§
§
§
Предотвращение
вторжений
на
уровне
сети
Использование
SIO
для
ускорения
работы
IPS
Выявление
аномалий
Cisco
IPS
12. Модуль
Кампуса
Реализуем:
Управление
доступом
§
§
§
Идентификация
устройств
и
пользователей
Cisco
Наложение
политик
авторизации
ISE
Сегментация
сети
SGT
ACL
Противодействие
угрозам
Безопасное
взаимодействие
§
L2-‐шифрование
MacSec
§
§
Противодействие
L2-‐атакам
Контроль
радиоэфира
Cisco
Switches
Cisco
WLC
13. Модуль
ЦОД
Реализуем:
Управление
доступом
§
§
Политики
доступа
между
зонами
доверия
на
основе
групповой
принадлежности
пользователя
SGT
ACL
Управление
доступом
как
между
физическими
серверами,
так
и
между
виртуальными
машинами
Cisco
ASA
Противодействие
угрозам
Безопасное
взаимодействие
§
L2-‐шифрование
MacSec
§
§
§
Предотвращение
вторжений
на
уровне
сети
Использование
SIO
для
ускорения
работы
IPS
Выявление
аномалий
Cisco
IPS
14. Филиал
Управление
доступом
§
§
§
Безопасное
взаимодействие
Идентификация
пользователей
Разграничение
доступа
ZPBFW
Защита
Management
Plane
и
Control
Plane
Cisco
ISR
Противодействие
угрозам
§
§
Предотвращение
вторжений
IOS
IPS
Защита
web-‐доступа
(ScanSafe
Connector)
Cisco
ISR
§
§
GET
VPN
для
WAN-‐взаимодействия
DMVPN
phase
3
для
организации
резервных
каналов
через
Интернет
Cisco
ISR
15. Удаленный
пользователь
Управление
доступом
§
§
Аутентификация
в
проводных
и
беспроводных
сетях
Оценка
здоровья
рабочей
станции
Безопасное
взаимодействие
§
§
§
SSL
VPN
IPSec
VPN
с
поддержкой
IKEv2
L2-‐шифрование
MacSec
Противодействие
угрозам
§
Интеграция
с
облаком
ScanSafe
16. Функционал
безопасности
в
Cisco
IOS*
§ AAA
Framework
–
структура
аутентификации,
авторизации
и
учета,
позволяющая
контролировать
и
управлять
как
доступом
администраторов
на
устройство,
так
и
доступом
пользователей
сквозь
устройство,
применяется
в
большом
количестве
функций
безопасности
§ IOS
Firewall
–
на
текущий
момент
IOS
Zone
Based
Policy
Firewall**
§ IOS
IPS
–
система
предотвращения
вторжений
встроена
в
IOS,
имеет
поддержку
большого
количества
сигнатур
§ FPM
–
Flexibility
Packet
Matching,
технология,
позволяющая
писать
собственные
сигнатуры
для
противодействия
новым
атакам
§ Authenscason
Proxy
–
аутентификация
пользователя
при
попытке
доступа
сквозь
устройство
с
динамическим
назначением
прав
доступа
§ IOS
Foundason
Protecson
–
набор
технологий,
обеспечивающий
защиту
операционной
системы
и
основных
функций
маршрутизатора
*
–
Исключая
технологии
VPN
**
–
детально
будет
рассмотрен
далее
17. Технология
Cisco
Zone
Based
Firewall
Современная
реализация
межсетевого
экрана
в
Cisco
IOS.
Zone
в
названии
означает,
что
администратор
применяет
политики
доступа
не
между
отдельными
интерфейсами,
а
между
зонами.
Зона
может
состоять
из
одного
и
более
интерфейсов.
К
функциям
ZPF
относятся:
§ Statefull
Firewall
§ Applicason
Inspecson
§ User
Based
Policy
§ IP
to
SGT
mapping
on
ISR
§ Transparent
Firewall
§ ZBF
High
Availability
18. Statefull
Firewall
Функционал,
обеспечивающий
сохранение
сессионной
информации
для
трафика,
идущего
между
зонами
(разрешённый
трафик
выбирает
администратор),
и
автоматический
пропуск
ответных
пакетов.
Protocol
Source
IP
Source
Port
Dest.
IP
Dest.
Port
Timeout
UDP
192.168.1.10
1024
1.1.1.10
53
20s
TCP
192.168.1.10
1025
1.1.1.1
80
3600s
DNS
Server
1.1.1.10
WEB
Server
vk.com
1.1.1.1
Internet
S_IP:1.1.1
S_IP:1.1.10
S_IP:192.168.1.10
S_IP:192.168.1.10
S_Por:1024
S_Por:1025
D_Por:1024
D_IP:1.1.1.10
D_IP:1.1.1.1
Data:
DNS
Resp
D_Por:53
D_Por:80
Data:
DNS
Req
Data:
h„p
req
S_Por:53
D_IP:192.168.1.10
S_Por:80
192.168.1.10
D_IP:192.168.1.10
D_Por:1025
Data:
h„p
Resp
19. § Applicason
Inspecson
–
функционал
ZBF,
решающий
ряд
задач:
ü Распознавание
приложений
–
IOS
знает
заранее,
какое
приложение
на
каком
порту
искать
Администратор
имеет
возможность
добавлять
порты
в
стандартные
приложения
и
создавать
собственные
приложения.
ü Открытие
дополнительных
соединений
для
динамических
приложений
(ex:
FTP/SIP…)
ü Deep
Applicadon
Inspecdon
–
глубокая
инспекция
целого
ряда
приложений.
Дает
возможность
принимать
решения,
основываясь
на
информации
L7
(Блокировать
определенный
URL/Тип
файла
в
h„p/Почтовый
ящик/…)
20. § User
Based
Policy
–
функция,
работающая
совместно
с
Authendcadon
Proxy
и
дающая
возможность
назначать
политики
на
основе
групповой
принадлежности
пользователя.
1. При
создании
политик
ZBF
используются
имена
пользовательских
групп
и
к
этим
группам
привязываются
перечни
разрешённых
протоколов
2. Пользователь
начинает
инициировать
соединения
через
интерфейс,
на
котором
настроено
правило
authendcadon
proxy
3. В
браузере
появляется
запрос
на
ввод
login/password
4. Ввод
пользователем
login/password
5. Маршрутизатор
пересылает
credendals
user
на
сервер
AAA
6. Сервер
возвращает
вместе
с
результатом
аутентификации
атрибут
“supplicant-‐group”
21. § IP
to
SGT
mapping
on
ISR
–
технология,
позволяющая
интегрировать
технологию
Security
Group
Tag
с
ZBF.
Данный
функционал
применяется
для
написания
правил
в
межсетевом
экране
центрального
офиса
на
основе
SGT.
1. Идентификация
пользователя
в
филиале
(Auth-‐Proxy
or
802,1x)
2. Информация
о
соответствии
SGT
to
IP
передается
с
маршрутизатора
филиала
на
маршрутизатор
центрального
офиса
3. При
настройке
ZBF
на
центральном
роутере
в
качестве
идентификаторов
групп
были
использованы
SGT,
к
каждой
группе
назначается
список
разрешённых
протоколов
22. § Transparent
Firewall
–
вариант
развертывания
ZBF,
при
котором
в
Zone
добавляются
интерфейсы,
принадлежащие
к
одной
bridge-‐group
Bridge-‐Group
–
группа
интерфейсов
в
IOS,
при
объединении
в
которую
все,
что
за
ними
находится,
попадает
в
единый
broadcast-‐domain
§ ZBF
High
Availability
–
новый
функционал,
появившийся
начиная
с
IOS
15.2(3)T,
отказоустойчивость
основана
на
технологии
SSO
(Statefull
Switchover).
При
реализации
ZBF
HA
нам
доступна
как
схема
Acdve-‐Standby,
так
и
схема
Acdve-‐Acdve
23. Понятия
ZBF
Zones:
§ Zone
–
структура,
состоящая
из
одного
или
нескольких
интерфейсов
§ Zone–Self
–
специальная
зона
для
управления
трафиком,
входящим
в
маршрутизатор
и
покидающем
его
§ Zone
Pair
–
пара
зон,
где
одна
указывается
как
Source,
а
другая
как
Desdnadon.
Политика
для
прохождения
трафика
привязывается
к
zone
pair
Session
Table:
192.168.1.100:1024>>>195.5.5.10:80
Check
OUTSIDE
zone
195.5.5.0/24
192.168.1.0/24
INSIDE
zone
zone-‐pair
IN_OUT
source
INSIDE
dessnason
OUTSIDE
Internet
DMZ
zone
zone-‐pair
OUT_DMZ
source
OUTSIDE
dessnason
DMZ
192.168.2.0/24
Session
Table:
195.5.5.10:1024>>>192.168.2.10:80
Check
24. Policy
L3/L4:
§ Class
Map
(L3/L4)
–
компонент
конфигурации,
описывающий
интересный
трафик
с
помощью
ACL
либо
же
указания
протокола
(h„p/dns…).
Также
может
использоваться
комбинация
этих
вариантов
–
в
этом
случае
нас
интересуют
только
данные
определенных
протоколов
с/для
определенных
IP-‐адресов.
Note:
Если
используется
только
ACL,
будет
проводиться
простая
statefull
инспекция
без
анализа
приложений
§ Policy
Map
(L3/L4)
–
компонент
конфигурации,
отвечающий
за
применения
действий
для
одного
или
нескольких
классов
Варианты
действий:
ü Inspect
–
выполнять
инспекцию
(Statefull
+
applicadon
inspecdon
если
class
с
протокол)
ü Pass
–
пропустить,
информация
о
сессии
не
сохраняется
ü Drop
–
сбросить
то,
что
попало
под
этот
класс.
Здесь
же
можно
добавить
log
ü Police
–
наложить
ограничение
на
скорость
трафика,
попавшего
под
класс
ü Service
–
Policy
–
указать
для
этого
класса
глубокую
инспекцию
одного
из
приложений.
Для
глубокой
инспекции
используется
L7
Policy
Map
25. Policy
L7:
§ Class
Map
(L7)
–
поиск
по
специфичным
для
приложения
параметрам
(ex:
HTTP
-‐
URI)
§ Policy
Map
(L7)
–
политик
для
применения
действий
к
L7
Class.
Не
для
всех
классов
приложений
есть
политики.
Некоторые
классы
приложений
описываются
в
одной
политике
(ex:
P2P
policy
для
классов
kazaa2/gnutella…)
Варианты
действий
при
попадании
трафика
в
класс:
allow/log/rest
26. Parameter
Map:
§ Parameter
Map
Inspect
–
задает
ограничения
на
соединения
и
управляет
aler/audit-‐trail.
Parameter
map
применяется
с
помощью
указания
ее
имени
после
ключевого
слова
inspect
в
L3/L4
policy
map
§ Parameter
Map
Regex
–
описывает
pa„erns
с
помощью
регулярных
выражений.
В
одной
regex
parameter
map
можно
задать
несколько
pa„erns,
между
ними
срабатывает
правило
“ИЛИ”.
Далее
созданные
regex
map
используются
для
Match
в
L7
Class
Map
27. Факты
ZBF
§ Zone
должна
быть
создана
перед
добавлением
в
нее
интерфейсов
§ Интерфейс
может
быть
добавлен
только
в
одну
Zone
§ Трафик
между
интерфейсам
в
разных
Zone
запрещен
§ Трафик
между
интерфейсам
в
одной
Zone
разрешен*
§ Чтоб
трафик
проходил
между
интерфейсам
в
разных
Zone,
для
них
должна
быть
создана
Zone
pair,
в
которой
должна
быть
назначена
политика
с
действием
Inspect
или
Pass
§ Трафик
между
Self
Zone
и
всеми
другими
зонами
неявно
разрешен
*
–
начиная
с
IOS
15.0(1)M,
логика
изменилась.
Теперь
без
наличия
политики
трафик
блокируется
между
интерфейсами
в
одной
zone
28. § Трафик
между
интерфейсом,
не
являющимся
членом
зоны,
и
интерфейсами,
входящими
в
зоны,
запрещён
§ ZBF
работает
после
NAT
–
это
значит,
что
если
мы
описываем
политику
для
сервера
в
Inside/DMZ,
адрес
которого
транслируется,
в
ACL,
созданном
для
политики,
нужно
указать
inside
local
address
(серый
IP)
§ Если
на
интерфейсе
члене
Zone
назначен
ACL
–
этот
ACL
всегда
проверяется
раньше
политик
ZBF.
Одновременное
использование
ZBF
и
ACL
не
рекомендуется
29. Интеграция
IOS
и
облака
ScanSafe
Начиная
с
версии
IOS
15.2(1)T1
появилась
поддержка
ScanSafe
Connector
ScanSafe
Connector
–отвечает
за
перенаправление
в
облако
web-‐безопасности
ScanSafe
пользовательского
h„p
и
h„ps-‐трафика.
При
перенаправлении
происходит
инкапсуляция
пользовательских
пакетов
и
их
зашифровка
(в
качестве
транспорта
используется
SSL)
Кроме
перенаправления,
происходит
добавление
информации
о
состоянии
аутентификации
пользователя
(Group
name/Username)
Для
аутентификации
можно
использовать
базу
LDAP
или
локальную
базу
данных
маршрутизатора
Аутентификация
может
происходить
в
двух
режимах:
§ HTTP-‐Basic
–
при
инициировании
h„p/h„ps
ISR
перенаправляет
запрос
пользователя
на
адрес
virtual-‐proxy,
с
этого
адреса
отправляется
запрос
на
аутентификацию
§ NTLM
–
принцип
тот
же,
но
если
пользователь
выполнил
вход
в
систему,
под
доменной
учетной
записью
аутентификации
проходит
прозрачно
30. Компоненты
IOS
ScanSafe
Connector:
§ ldap-‐server
–
компонент
конфигурации,
отвечающий
за
подключение
к
серверу
ldap
и
хранящий
параметры
этого
подключения
§ aaa
group
server
–
компонент,
объединяющий
несколько
серверов
в
группу,
при
настройке
правил
аутентификации
и
авторизации,
в
качестве
точки
проверки
указывается
эта
группа
§ aaa
authenscason/aaa
authorizason
–
правила
проведения
аутентификации
и
авторизации
пользователей
§ parameter-‐map
type
content-‐scan
–
элемент
конфигурации,
отвечающий
за
подключение
к
облаку
ScanSafe,
здесь
указывается:
ü Адреса
серверов
для
подключения
ü Ключ
лицензии
ü Что
делать
в
случае
отсутствия
связи
с
облаком
§ ip
admission
–
элемент
конфигурации,
управляющий
аутентификацией
и
авторизацией
пользователей.
31. Модели
использования
IOS
Security
Large/Medium
Enterprise
Model
Управление
Филиал
WAN
Ведомственная
Сеть
Комплекс
Зданий
Ядро
ЦОД
Интернет
Внешние
организации
Internet
Cisco
SIO
Центральный
офис:
§ ZBF
на
основе
SGT
для
предоставления
доступа
к
ресурсам
головного
офиса
Филиал:
§ ZBF
для
сегментации
внутренней
сети
офиса
§ Аутентификация
и
присвоение
SGT
§ ScanSafe
при
необходимости
минимизировать
трафик
через
центральный
офис
32. Small
Enterprise
Model
§
§
§
§
§
ZBF
для
сегментации
внутренней
сети
офиса
ZBF
для
контроля
доступа
из
вне
Authendcadon
Proxy
для
контроля
доступа
на
основе
групповой
принадлежности
IOS
IPS
для
защиты
от
атак
ScanSafe
для
защиты
web-‐доступа
34. Полезные
ссылки:
Пошаговая
настройка
ZBF
(демонстрация)
h„ps://docs.google.com/file/d/0B0VvUTk8KGW¥FlsSmJmN0x0T3M/edit?usp=sharing
Финальная
конфигурация
h„ps://docs.google.com/file/d/0B0VvUTk8KGWfSlcwUElMVlFwZmM/edit?usp=sharing
Security
Configurason
Guide:
Zone-‐Based
Policy
Firewall
h„p://www.cisco.com/en/US/docs/ios-‐xml/ios/sec_data_zbf/configuradon/15-‐1mt/sec-‐data-‐zbf-‐15-‐mt-‐book.html
BRKSEC-‐3007
–
Advanced
Cisco
IOS
Security
Features
(2012
London)
h„ps://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=3025&backBtn=true
Cisco
ISR
Web
Security
with
Cisco
ScanSafe
Soluson
Guide
h„p://www.cisco.com/en/US/docs/security/web_security/ISR_SS/ISR_ScanSafe_SoludonGuide.pdf
Как
защитить
сеть
от
web-‐угроз
с
помощью
Cisco
WSA
h„p://www.youtube.com/watch?v=mdYlK3CscZc&feature=c4-‐overview&list=UUmpxXbPEgcbw2EcXBu8DYrw
Новая
Cisco
ASA:
тотальный
контроль
над
пользователем
h„p://www.youtube.com/watch?v=2Quzk8qr06w
Практические
советы
по
выбору
и
настройке
Cisco
VPN
h„p://www.youtube.com/watch?v=J2OPdwsqKXs&list=TLgZ5EeIEQZnE
35. И
напоследок:
h“ps://www.youtube.com/user/SkillFactoryVideo
h“p://www.slideshare.net/SkillFactory
h“p://skillfactory.smepad.ru/events/