As a Firepower Mi Bo 28012015

8/17/2019 As a Firepower Mi Bo 28012015

1/68

Cisco - Sourcefire otkrivanje prijetnjNGIPS – NGFW

Sigurnost nove generacijeEnes Ajanovi ćCCIE Security 32640,[email protected]

Jan 2015


2/68

Napad na MUP SBK – 2011


3/68

Napad na Federalnu upavu policije 2012vrijeme grupe anonymous


4/68

Ponovni napad na FEDERALNU UPRAVU PO2014


5/68

Napad na stranicu MUP TK,Hakeri znaju za „staru“ rupu – 5 januar 201


6/68

Napad na MUP HR pro šle sedmice – otkrivpočinitelj i predat na procesuiranje


7/68

1. Sigurnosni model nove generacije

2. NGIPS/NGFW funkcionalnosti

3. Pregled produkata & primjena

4. Dcloud Demo

Agenda


8/68

Portofilo prijetnji zahtjeva više od kontrole aplikac

Vješto izbjegavaju detekciju

Danas je to zajednica kojaprikriva vješto napade itehnike a ne kao nekada virusili scan ili primjena exploita

60%Podataka je

ukrano u

satima

10of kompanija sMaliciozen h

54%Upada u sistem

ostaje ne otkriveno

mjesecima


9/68

Izazovi pred tradicionalnim sigurnosnim modelom

Tradicionalni firewallnema mogu ćnost da bilježi razne vrste događaja osim ACL nema mogućnost da korelira to što bilježi kako bi detektovao mogući upad u sistem upitna je „korisnička vidljivost“ i primjena „korisnički“ definisanih pravila

Tradicionalni IPSskup sigurnosnih politika koji je definisao „proizvođaj“ i koje su inicijalno postavljene vrlo često su pravila jednom postavljena i nikada ažurirana

nema inteligenciju da vidi šta brani – administrator mora poznavati sve sisteme, ranjivosti, patche-ve kako bi konfigodređene IPS signature.

IPS JE ČESTO ZABORAVLJENA KUTIJA KOJA ISPUNJAVA REVIZIJSKE STANDARDE I OBAVEZE

1. Šta je sa Malware -om2. Da li određena downloadovana datoteka i aplikacija koja kopira povjerljive datoteke van Vaše mreže po po

dozvolili na Vašem firewallu kako bi „korisnici“ „surfali“


10/68

Manualan IStati čan

Spor, manualan bezbrzog odziva

NedovoljnaVidljivost

Ne može da detektujetzv. Multivektor

napade

Model silosa

Povečavakompleksnost i

smanjuje efikasnost

Defense-in- Depth’Sigurnosni model (nije) dovoljan


11/68

Ko je (bio) Sourcefire?

• Snort® Osnovan 1998, osnivatelj Martin Roesch,

• - danas Vice president Cisco Security tima I Principal architect.

• Sourcefire osnovao 20012007 zajedno sa NMAP timom razvijaju alat za skeniranjei prepoznavanje ranjivosti

2009 – pokre će AEGIS program– Awareness, Education, Guidance, anIntelligence Sharing - Inovacije – 52+ patenta•Pionir u IPS, sigurnost vođena sadržajem , napredna detekcijamalware

7 Oktobar, 2013 - Cisco je završio akviziciju Sourcefire-a

http://www.sourcefire.com/security-technologies/snorthttp://www.sourcefire.com/security-technologies/snorthttp://www.sourcefire.com/security-technologies/snorthttp://www.sourcefire.com/security-technologies/snorthttp://www.sourcefire.com/security-technologies/snort


12/68

Sigurnosni model nove generacije

12

PRIJEDetektuj napad

BlokirajOdbrana

U TOKU POSLIJEKontroliraj

PrimjeniOsiguraj

Detektuj opsegnapada

AnalizirajSaniraj

Koji tipovi uređaja, aplikacije, korisnici, OS su u mreži?

KONTINUIRANI CIKLUS NAPADA

Mreža Endpoint Mobile Virtual Cloud

Tačka u vremenu Kontinuirano

Prije napada: Potrebno je poznavati mrežu da bi je osigurali uređaji / OS / servisi / aplikacije / korisnici (FireSight)

IP kontorla pristupa, primjena politika, upravljanje aplikacijamafizička kontrola pristupa

Uopšte kontrola pristupa smanjuje „površinu“ napada ali i daljpostoje „dozvoljeni“ pristupi koji predstavljaju „rupe“ kojenapadači mogu iskoristiti

NAPADAČI NE ODUSTAJU. Naći će bilo koji propust u vašoj odkako bi ostvarili svoj cilj


13/68

Sigurnosni model nove generacije

13

KONTINUIRANI CIKLUS NAPADA

Mreža Endpoint Mobile Virtualni Cloud

Point in time Continuous

U TOKU NAPADA:Potrebno je imati najefikasniji mehanizam za detekciju napadaMetode detekcije moraju biti multimenzionalne i neku vrstu „pameti“ Kada se detektuje napad, NIPGS treba da ih dinamički blokira

PRIJEKontroliraj

PrimjeniOsiguraj

Detektuj napadBlokirajOdbrani

U TOKU POSLIJEDetektuj opseg

napadaAnaliziraj

Saniraj


14/68

Sigurnosni model nove generacijeKONTINUIRANI CIKLUS NAPADA

Mreža Endpoint Mobile Virtualni Cloud

Point in time Continuous

POSLIJE NAPADA:Potrebno je imati najefikasniji mehanizam za detekciju onoga što se desilo Metode detekcije moraju biti multimenzionalne i neku vrstu „pameti“ Korelacija od pocetka upada, mehanizama korištenih za upad, host putanja, file putanja

PRIJEKontroliraj

PrimjeniOsiguraj


U TOKU POSLIJEDetektuj opseg

napadaAnaliziraj

Saniraj


15/68


16/68

CiscoNGIPS / NG Firewallfunkcionalnosti


17/68

PasivnoOtkrivanje

Prvo, morate znati šta imate u svom IT okruženju Ne možete braniti nešto što ne znate

Hosts

Servisi

Aplikacije

Korisnici

Komunikacije

Ranjivosti

Sve vrijemrealnom vreme


18/68

Otkriv anje mreže & Prepoznavanje Konekci

Otkrivanjehostova

Identificira OS,protokole i servisena svakom hostu

Raport napotencijalne ranjivosti

prezentirane zasvakog hosta na

osnovu prikupljenihinformacija

Identifikacija Aplikacija

FireSIGHT možeidentificirati do 1900

jedinstvenih aplikacijakoristećiOpenAppID

Uključuje iidentifikaciju aplikacija

koje koriste webservise kao Facebook

ili LinkedIn

Aplikacije se koristekao kriteriji za kontrolu

pristupa

Otkrivanje kor

Monitori za USER IDkoji prate korisničke

servise

Integrisan sa MS Ada bi prepoznao

USER ID

Cisco FireSIGHTKljučne komponente?


19/68

Otkrivanje se bilježi uobliku događaja

• Svaki put kada se otkrijekonekcija u mreži zabilježi sekonekcijiski događaj

• Host događaj se bilježi svakiput kada se detektuje neštonovo na hostu

Informacije o svimhostovima se pohranjujuu host profile.

Cisco FireSIGHT TehnologijaFireSIGHT Otkrivanje


20/68

Znajući sve o dijelovima koji grade jedan sistemFiregeneriše izvještaj o ranjivostima za taj sistem Ovo omogučava Cisco Firesight- u da intrusion dogaobavj esti prati i generiše mnogo preciznije i tačnije

Šta je za Vas važnije?

• Code red napad na Linux u vašem okruženju ili

• Code red napad na ranjivu verziju Windows- a u vašem okruženju

Cisco FireSIGHT TehnologijaFireSIGHT Otkrivanje


21/68

Procjena stvarnog napada

Korelira sve intrusion doga đaje kako bi napravio procjenu o stvarnom napadu

Impact Flag Akcijaadministratora

1 Djelovati odmah,nađena ranjivost

2 Istraži. Potencijalnaranjivost

3Dobro je znati, nema

ranjivosti

4 Dobro je znati,nepoznata meta

0Dobro je znati,napadnut host koji nijena mreži


22/68

Firesight Management Center - FMCSigurnosni doga đaji sa nivoima uticaja na si


23/68

U realnom vremenu pruža informacije „Šta je u mreži“

• Na osnovu ovoga … • Daje informaciju koja ranjivost postoji u sistemu• Daje mogućnost finog podešavanja sigurnosne politike prema ranjivo

Može da detektuje promjene u mreži i da automatski obavjpromjenama

• Moguće je podesiti dinamičko obavještavanje(email, syslog, SNMP...)• Moguće je podesiti automatske akcije za „saniranje“ za određeni događ

sistemu• „Saniranje“ predstavljaju skripte koje je moguće pokrenuti sa „defen

koje će izvršiti odgovarajuće akcije

FireSIGHTZašto je bitan FIRESIGHT?


24/68

Indikacije kompromitivanja hosta - Indications ofCompromise (IoCs)

IPS Events

Malware BackdoorsExploit Kits

Web App napadi

CnC Konekcije

Admin Privilege Eskalacija

SI Events

Konekcije na poznateCnC IPs

Malwa

MalwaOffice/PDF/Java

Izvršen


25/68

Primjer indikacije kompromitovanjadio host profila

Security Intdoga

C&C detekc

Kontekstualnidogađaj nivo uticaja

FireAMP En

Malware

f


26/68

Firesight Management Center – Informacije o prijetn

Fi SIGHT


27/68

FireSIGHTSvrha FIRESIGHT informacija?

Fine-tuning IPS politika

• Selekcija pravila i konfiguracija• Zaštita hostova koji koriste servise na ne standardnim portovimna portu 1080 jedan servis i drugi na portu 8080 istovremeno)

Primjena organizacijiske sigurnosne politike• Primjer - blokiranja i prijavljivanja korištenja zabranjenih aplik

Praćenje „neprimjerenog“ i neobičnog ponašanja u• Obavještavanje prilikom pojavljivanja „novih“ hostova u zabr

dijelu mreže i detektovanje velike količine saobraćaja tamo gdtrebalo biti


28/68

KATEGORIJE PRIMJER

FirePOWER APPLIANCE

KLASIPS

Prijetnje Attacks, Anomalies ✔ ✔

Korisnici AD, LDAP, POP3 ✔

Web Aplikacije Facebook Chat, Ebay ✔

Aplikacijiski protokoli HTTP, SMTP, SSH ✔

Prenost datoteka PDF, Office, EXE, JAR ✔

Malware Conficker, Flame ✔

Klijentske aplikacije Firefox, IE6, BitTorrent ✔

Mrežni serveri Apache 2.3.1, IIS4 ✔

Operativni sistemi Windows, Linux ✔

Ruteri i svičevi Cisco, Nortel, Wireless ✔ Mobilni uređaji iPhone, Android, Jail ✔

Printeri HP, Xerox, Canon ✔

VoIP telefoni Avaya, Polycom ✔

Virtualne platforme VMware, Xen, RHEV ✔

Svjesnost o

kontekstuSuperiornost Informacija

FireSIGHT Management Center

Fi i h lj j M l d k j i bl ki j


29/68

Firesight upravljanje Malwareom - detektuj i blokirajDropper primjer


30/68

1) „Hvatanjedatoteke“

Malware Detekcija: Ekstrakcija datoteke & SandboxIzvršavanje

Malw are Obavijest !

2) Pohranjivanjedatoteke

4) Raport o izvršavanju u Cisco Firesight

Network Traffic

Collect ive Secur i tyInte ll igence Sand box

3) Po

Anti Malware Proces – Network putanja praćen


31/68

Anti Malware Proces – Network putanja- praćenzaražene datoteke

l Z š i k kl


32/68

Mreža

Endpoint

Anti-Malware Zaštita & kontinuirani ciklus na

Retrospekcija datotekePutanja datoteSvjesnost o kontekstu

Kontrola automatizacijePutanja iretrospektivnopraćenje datoteka Putanja uređaja Analiza datoteka

Indikacije oprobijanju kontrola

In-line Threat Detekcija

i Prevencija

Blokiranje izvršavanjadatoteka

PRIJEKontrolirajPrimjeniOsiguraj


U TOKU POSLIJEDetektuj opsegnapada

AnalizirajSaniraj


33/68

Zašto je Cisco FirepowerNGIPS jedinst


34/68

Zašto je Cisco Firepower NGIPS jedinst

• Vidljivost podataka• Brzina• Tačnost

• Fleksibilnost• Vrijednost


35/68

Pregled produkata & Primjena

P l d Ci i ih d k k ji b i j


36/68

Cisco FireSIGHT Management Center - Management

Cisco FirePOWER 7000 Series Appliances - NGIPS

Cisco FirePOWER 8000 Series Appliances – NGIPS

Cisco AMP for Firepower - napredna malware protekcija za mrežu

Cisco AMP for Endpoints -napredna malware protekcija za uređaje

Cisco AMP Private Cloud Virtual Appliances -malware cloud u vlastitoj mre ži

Cisco SSL Appliance -napredna SSL inspekcija

CISCO ASA sa firepower servisima

Pregled Cisco sigurnosnih produkata koji se baziraju naSourcefire rješenjima

Fi i h f k i l i

http://www.cisco.com/c/en/us/products/security/defense-center/index.htmlhttp://www.cisco.com/c/en/us/products/security/firepower-7000-series-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/firepower-8000-series-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/amp-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/fireamp-endpoints/index.htmlhttp://www.cisco.com/c/en/us/products/security/fireamp-private-cloud-virtual-appliance/index.htmlhttp://www.cisco.com/c/en/us/products/security/ssl-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/ssl-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/ssl-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/fireamp-private-cloud-virtual-appliance/index.htmlhttp://www.cisco.com/c/en/us/products/security/fireamp-private-cloud-virtual-appliance/index.htmlhttp://www.cisco.com/c/en/us/products/security/fireamp-endpoints/index.htmlhttp://www.cisco.com/c/en/us/products/security/fireamp-endpoints/index.htmlhttp://www.cisco.com/c/en/us/products/security/amp-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/firepower-8000-series-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/firepower-8000-series-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/firepower-8000-series-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/firepower-8000-series-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/firepower-7000-series-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/firepower-7000-series-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/firepower-7000-series-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/firepower-7000-series-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/firepower-7000-series-appliances/index.htmlhttp://www.cisco.com/c/en/us/products/security/defense-center/index.htmlhttp://www.cisco.com/c/en/us/products/security/defense-center/index.htmlhttp://www.cisco.com/c/en/us/products/security/defense-center/index.htmlhttp://www.cisco.com/c/en/us/products/security/defense-center/index.htmlhttp://www.cisco.com/c/en/us/products/security/defense-center/index.html


37/68

Upravljanje uredjajima , licence, politike,

Dogadjaji I kontekstualne informacije prikazane I tabelama I graficim

Pra ćenje ispravnosti uređaja i praćenje performansiEksterna notifikacija i obavještavanje Korelacija i funkcionalnosti za saniranje i blokiranje prijetnji u realnovremenu.

Izvještavanje Integracija sa raznim firewallima routerima, sistemima za upravljanjelogovima

Upravljanje informacijama i događajima(SIEM)

Firesight management funkcionalnosti

FIRESIGHT t t l d d l


38/68

FIRESIGHT management centar – pregled modela

Model FireSIGHT 750 FireSIGHT 1500 FireSIGHT 3500 FireSIGHT Virtual Appliance

Maksimalni brojuređaja kojimaupravlja

10 35 150 25

Maksimalni brojIPS događaja 20 million 30 million 150 million -

Disk prostor zapohranudogađaja

100 GB 125 GB 400 GB -

Maksimalnomapiranje mreže (hostovi

/korisnici)

2000/2000 50,000/50,000 300,000/300,000

FirePOWER Platforma


39/68

LCD DisplajRelativno jednostavna konfiguracija

Device StackingPovećavanje performansiI kapaciteta stekovanjem

PovezivanjePrema zahtjevima

Hardverska Ak Za besprijekornu prop

ManagementMinimal oticaj na operabilnost SSDSolid State Drive

Konfigurabilni NetModModulBypass ili

Fail Closed Za IDS, IPS ili Firewall

St ki t h l ijMrež

ni linkovi


40/68

Steking tehnologijaStackingKablovi

● Do 2 8150● Do 4 8250 and 8350 šasije

mogu biti stekovaneNumber of chassis IPS Throughput

1 10Gbps

2 20Gbps

3 30Gbps

4 40Gbps

Primarna Sasija

Cisco AMP za FirePower


41/68

Prepoznaje aplikacije i datoteke koje prolaze kroz mrežu

Omogučava kontrolu „kretanja“ datoteka u mreži kreiranjeaplikacija-datotekaDetektuje, blokira i analizira datoteke i njihovo „ponašanjeopcionalno ih šalje na CSI radi detaljne analize (KONTINUIRkoristi slanje 256SHA HASH-a

U „inline“ postavci može da detektuje i blokira klijentski bexploite

Prati ponašanje datoteke i danima u nazad i korelira diskretincidente kako bi dobio informaciju o napadu.

File trajektorija/putanja – info o istoriji ponašanja malware-a

Cisco AMP za FirePower

Konfiguracija File politike


42/68

g j p

Cisco AMP – kao standalone ure đaj


43/68

Box AMP7150 AMP8150

AMP throughput * 500 Mbps 2 Gbps

New connections (per second) * 42,500 45,000Max concurrent connections 2,500,000 3,000,000

Max monitoring interfaces 12 12 (3 x 4-port RJ45 netmods)

Fixed monitoring interfaces 4 x 10/100/1000 (RJ45) 0

Modular interfaces 8 SFP Yes (requires netmods)

Network module expansion slots 0 0

Programmable fail-open interfaces 4 x 10/100/1000 (RJ45) Yes (requires netmods)

Management interfaces 1 x 10/100/1000 (RJ45) 1 x 10/100/1000 (RJ45)

Cisco AMP kao standalone ure đaj - firepower


44/68

Datoteke :

• Microsoft Office dokumenti (docand xls)

• PDF• Arhiv dokumenti (jar)

• Multimedia datoteke (swf)• Izvršne datoteke (msexe i

jar.pack)

Aplikacije :

● HTTP● SMTP● IMAP● POP3● FTP● NetBIOS-ssn (SMB)

Cisco AMP

CiscoAMP za endpointe – konektori


45/68

Brani endpointe klijente protiv sofisticiranih Malware napada o trenutka

infekcije preko širenja do faze saniranja štete Detekcija i blokiranje malware-a, potvrda infekcije, analiza ponasanjamalware – modifikacija i sirenje kroz samostalnu modifikaciju datoteka

Izvještaj o učinjenoj šteti , i mjere za smanjenje rizika od infekcije

Identifikacija uzroka upada na mrežnom i sistemskom nivou Koristi CSI za analizu – prednost u analizi miliona datoteka dnevno sa rakonektora

Management je u cloudu – kad je offline nema konekciju na cloud koBitDefender AV engine za zaštitu

CiscoAMP za endpointe konektori

Cisco AMP za End point-e cload bazirani management


46/68

Kontekst i sadržaj – dodatna vidljivostCisco AMP za End point e cload bazirani management

Cisco AMP za End point-e


47/68

Kretanje i modifikacija malware-a po endpointu/uredjaju. Device trajecto

Cisco AMP analiza datoteka – izvještaj


48/68

Cisco AMP analiza datoteka izvještaj

Cisco AMP analiza datoteka


49/68

Cisco AMP za End point-e


50/68

Cisco AMP za End point e

Operativni sistemi

● Microsoft Windows XP with Service Pack 3 or later

● Microsoft Windows Vista with Service Pack 2 or later

● Microsoft Windows 7

● Microsoft Windows 8 and 8.1

● Microsoft Windows Server 2003



● Mac OS X 10.7 and later

Operativni sistemi za mobilne uređa

● Android version 2.1 ili novija

Virtualizacijiski OS ●

vSphere ESX 5 or later, dual core pr16 GB RAM, 75 GB free disk space

Firepower 5.3 or later

Cisco AMP Private Cloud Virtual Appliancekl k l d k l d


51/68

za klijente koji „ne smiju“ slati datoteke u Cloud – alternativa za cloud – konektori se kserver.

AMP Private cloudne podržava analizu datoteka !

AMP Private cloudpodržava: • Putanju za datoteke i uređ• Glavni uzrok prijetnje• Indikaciju o kompromitovanju • Jednostavne i napredne detekci• Retrospektivno obavještav

Cisco SSL Appliance


52/68

Poseban appliance zbog velikih zahtjeva za resurse

Dekripcija SSL-a , ne samo na 443 portu,

Implementacija u inbound i outbound smjeru saobraćaja Posebni portovi za slanje saobraćaja na IPS/IDS Mogućnost implementacije u „fail-open“ modu Do 3.5 Gbps propusnost sa do 300,000 istovremenih SSL tokova

pp

Pasivna IDS implementacija sa SSL dekripcijom


53/68

p j p j

Cisco IPS Appliance

Cisco SSL Appliance

Inline IPS implementacija sa SSL dekripcijom


54/68

p j p j

Cisco IPS Appliance

Cisco SSL Appliance

Cisco uređaji propusnost


55/68

8270/ 8360*826082508140

8120/ (8150 >

71207115

70307020 7010

20 Gbps

10 Gbps

6 Gbps

4 Gbps2 Gbps

1 Gbps

750Mbps

250 Mbps

100 Mbps50 Mbps

IPS propusnost

8130

40 Gbps

30 Gbps

829060Gbps 8390*

45 Gbps 8370*

15Gbps 8350*

1.25Gbps 7125

7110/ (7150 > 500 MbpsSvim uređajima upravlja FireSightManagement konzola – posebni uređaji iliVM - za 2, 10 ili 25 uređaja

SSL2000

SSL1500

SSL8200

Svim uređajima upravljaFireSight Managementkonzola – posebni uređaji ili VM - za 2, 10 ili 25uređaja

AMP optimizirani uređaji 8150 – 2 Gbps AMP7150 – 500 Mbps AMP

Model #

Cisco ASA sa FirePOWER Services


56/68

SecuritySubscription

Services

• IPS, URL, Advanced M(AMP) Subscription S

• Opcije 1 i 3 godine

Support• SmartNET• Software Application

plus Upgrades

Management

• FireSIGHT Managem(HW Appliance or Vir

• Cisco Security Managor ASDM

Bazni Hardware

• Nova ASA 5585-X Bundle saFirePOWER Services Modulom

• Nova ASA 5500-X koja na SSD disku izvr šava

FirePOWER Services Software• FirePOWER Services Spare Moduli/Blade

for ASA 5585-X Series

• FirePOWER Services Software• Hardware uključuje Application Visibility

and Control (AVC)

ASA sa Firepower servisima – najbolji zaje


57/68

p j j j

• ASA sa Firepower servisima predstavlja LIDERA na podru čju SIG

Cisco ASA – Među najboljim statefull firewallima na tržištu

NAT, VPN, Site to Site, Remote access, SSL ....

SOURCEFIRE – URL filtering, AVC – aplikacijiska vidljivost i kontrola, NGIPS, AMP

ASA omogu ćava ulazni i izlazni procesiranje paketa za Sourcefire moduleUlazni – ACLs, IP defragmentacija, TCP normalizacija, TCP interceptIzlazni – ACLs, NAT, ruting

Cisco ASA portfolio sa Firepower servisima


58/68

P e r f o r m a n s e

i s k a l a b i l n o s t

1 RU Platforme

Branch Office/Internet Edge

200Mbps - 2 Gbps: Firewall

100 – 725 Mbs: Next Gen IPS

30-160 Mbps: NGIPS, AVC, AMP

2 RU Platforme

Internet Edge/Campus

2 – 20 Gbps:

1.2 – 6 Gbps: Ne

650Mbps – 2.4 Gbps:N

ASA 5512-X ASA 5515-X

ASA 5525-X ASA 5545-X

ASA 5555-X

ASA 5585-SSP10

ASA 5585x-SSP20

ASA 5

Sourcefire HA Arhitektura i komunikacija


59/68

Cisco FireSigth 3500 Cisco FireSight 3500

Cisco Firepower 8250

ASA / Sourcefire Svcs ASA / Sourcefire Svcs

FIRESIGHT Visoka dostupnost

ASA klaster

Senzori u Stack konfiguraciji

Management Mre ža

Cisco Firepower 8250

Monitorirane mreže

Internet / Drugiresursi

HA Interface

Monitoring sobraćaj

Stacking kabl

Managementsaobraćaj


60/68

• Moguća na svim ASA platformama

• Dijeljene podataka u trenutnom stanju za potrebe visokedostupnosti

• L2 Transparent ili L3 Routed opcije podržane

• Failover Link

• ASA omogućava validan normaliziran tok saobraćajaprema FirePOWER modulu

• Dijeljene podataka u trenutnom stanju za potrebe visokedostupnosti nije podžana na FirePOWER Servisnim Modulima

Visoka dostupnost koristeći ASA mehanizme za HA


61/68

• ASAmože biti konfigurisana u multikontekst modu gdjesaobraćaj prolazi kroz odvojene „virtualne“ firewalle prekoodvojenih interfejsa

• Ovi interfejsi se prijavljuju FirePOWERu i mogu biti dodjeljenirazličitim sigurnosnim zonama koje se koriste u različitimsigurnosnim politikama.

• U ovom jednostavnom primjeru može se napravitisigurnosna politika za saobraćaj koji ide iz Context A vanjskoginterfejsa prema Context A unutrašnjem interfejsu i različitapolitika za saobraćaj u Contextu B

• NAPOMENA:NE POSTOJI MENADŽMENT SEGMENTACIJAUNUTAR FIREPOWER KAO KOD ASA CONTEXTIMPLEMENTACIJE

Context A

Outsid

Insi


62/68

AdminContext


63/68

• do 8 ASA5585-X IPS

• L2 Transparent ili L3 Routed implementacija

• Podrška za vPC, VSS i LACP

• Cluster Control Protocol/Link

• Dijeljene podataka u trenutnom stanju za potrebe visokedostupnosti

• Svaka ASA ima primarnog i sekundarnog vlasnika sesije

• ASA omogućava simetriju saobraćaja za FirePOWER modul

DC IPS sa ASA5585-X klasterom

FirePOWER Services Monitor-Only Mod


64/68

Monitor Mode omogućava FirePower Servisu daanalizira saobraćaj bez potrebe postavke na „putpodataka“. ASA se konektuje na SPAN port naswitchu ili routeru i kopije svih ulaznih i izlaznihpaketa koje prolaze se šalju na Firepower Servisena ASI. Kopirani saobraćaj zaobilazi ASA modul iodlazi na Firepower Servise koji primjenjujupolitike kako bi definisali koji bi saobraćaj trebaobiti blokiran. Nakon analize saobraćaja, paketi seodbacuju.

Monitor MODE se može koristiti kao IDS ili kaopolazna tačka pri implementaciji IPS.

SPAN

FP ASA odbrana protiv prijetnji u životnom ciklusu


65/68

Firewall/VPN NGIPS

Sigurnosna Inteligencija

Web Sigurnost

Napredna MalwareProtekcija

Kontinuirani ciklus napada

Vidljivost i Automatizacija

Granularna kontrola aplikacija

Moderna kontrola prijetnji

Retrospektivna Sigurnost

Odgovor na incidente

PRIJEDetektuj napad

BlokirajOdbrana

U TOKU POSLIJEKontrolirajPrimjeniOsiguraj

Detektuj opsegnapada

AnalizirajSaniraj

S db i g

Cisco sistem za odbranu od prijetnji PRIJE


66/68

Kolektivna SigurnosnaInteligencija (CSI)

Kontekst, Mre ža i End-Point vidljivost

KlasičniStateful FirewallGen1 IPS

Vidljivost aplikacijaWeb —URL

AV and osnovna zaštita

NGIPS

UpravljanjeRanjivostima

*Klijent Anti-Malware (AMP

Korelacija SIEMdogađaja

Sistem za kontorluincidenata

Network Anti-Malware Control

(AMP)

Indikacije o upaduna osnovuponašanja

Identitet Korisnika

NGFW

Open APP-ID SNORT Open IPSHost Putanja Retrospektivna analiza

NG Sandbox za pametni Malware Auto-Saniranje / D inamičke Po

Adaptive Security

Sandboxing

Retrospektivna detekcijaMalware File Putanja

Praćenje prijetnji

Forenzika i Log Management

Dinamičke kontrole upaURL and IP Reputacija

1

2

Pitanja ?


67/68


68/68

Thank YOU!

As a Firepower Mi Bo 28012015

Documents

Transcript of As a Firepower Mi Bo 28012015