© 2007 Cisco Systems, Inc. All rights reserved.Казань Стратегия Cisco в области информационной безопасности. Новые решения Андрей Гречин Системный инженер

© 2007 Cisco Systems, Inc. All rights reserved.Казань О чем пойдет речь? Эволюция стратегии Self-Defending Network Новые продукты и новые версии Почему именно Cisco?

© 2007 Cisco Systems, Inc. All rights reserved.Казань Эволюция стратегии Self- Defending Network

© 2007 Cisco Systems, Inc. All rights reserved.Казань /6 Интегрированная защита Рутеры Коммутаторы Appliances ПК/сервера (контроль аномалий) Интегрированное управление Расширенные сервисы Security appliance Расширенная защита рутера Выделенная система управления Базовая защита рутера Command line interface 2003/4 Network Admission Control Cisco Trust Agent Сеть проверяет политики CSA и антивируса Рост числа партнеров Защита по всей линии Фокус на приложения Тесная интеграция в инфраструктуру Автоматизация Управление решениями партнеров Весь жизненный цикл сервисов Self Defending Network 2007/… Взаимодействие с решениями третьих фирм Интегрированная безопасность Точечные продукты Базовая безопасность Эволюция стратегии Cisco

© 2007 Cisco Systems, Inc. All rights reserved.Казань Интеграция функций защиты там, где необходимо Точечные продукты Сеть как платформа… … платформа безопасности Расширенные технологии и сервисы защиты Интеграция Партнерство Адаптация Межсетевой экранСетевой антивирус Контроль доступа IPSec и SSL VPN IPS Интеграция расширенных сервисов Снижение текущих инвестиций Автоматизированное реагирование на атаки Виртуализация механизмов защиты Контроль поведения Отражение DDoS атак Инспекция приложений Защита оконечных устройств Сеть IP

© 2007 Cisco Systems, Inc. All rights reserved.Казань Расширенные технологии и сервисы безопасности Снижение эффекта от эпидемий Защита критических ресурсов Обеспечение privacy Управление угрозами и карантин Конфиденциальные коммуникации Элементы Self-Defending Network Управление и внедрение на основе политик безопасности Безопасность, как свойство и неотъемлемая часть сети Эффективное управление безопасностью, контроль и реагирование Безопасность транзакций Защищенная сетевая инфраструктура

© 2007 Cisco Systems, Inc. All rights reserved.Казань Консолидация вокруг Cisco Технология IDS, white hats Технология МСЭ VPN Concentrator Технология ускорения VPN Технология корреляции IDS Технология защиты ПК и серверов Сервисы и технологии DDoS, NAC, SSL VPN и мониторинга Технологии контроля доступа, видеонаблюдение Защита сообщений Безопасность приложений, сервисы исследований

© 2007 Cisco Systems, Inc. All rights reserved.Казань Что нового?

© 2007 Cisco Systems, Inc. All rights reserved.Казань Эволюция, а не революция Всесторонний контроль угроз в сети Снижение объема информации для последующего анализа Простота управления угрозами и политикой Рост релевантности информации Улучшение точности сигнатур Снижение числа ложных срабатываний Тесная интеграция между собой CS Manager 3.1CS MARS 4.3 Cisco Security Agent 5.2 IPS 6.0 и IOS IPS и ASA 8.0

© 2007 Cisco Systems, Inc. All rights reserved.Казань Преимущество решения перед отдельным продуктом PixPix + IPS (ASA) Pix + IPS + MARS Функциональные преимущества Контроль трафика и применение политик Инспекция трафика и обнаружение атак Интегрированная платформа для простота управления Контроль трафика и применение политик Инспекция трафика и обнаружение атак Интегрированная платформа для простота управления Корреляция ИТ и ИБ Контроль инфраструктуры Отражение и генерация отчетов, закрывающие весь жизненный цикл

© 2007 Cisco Systems, Inc. All rights reserved.Казань Новые возможности по отражению атак: Cisco IPS 6.0

© 2007 Cisco Systems, Inc. All rights reserved.Казань Новые механизмы обнаружения атак Обнаружение аномалий: Обнаружение TCP-червей на базе контроля состояния TCP-соединений; Обнаружение UDP-червей путем мониторинга UDP-трафика; Классификация червей через взаимодействие с отсутствующими адресами Анализ поведения сетевого трафика с функцией динамического обучения (запатентована) Защита баз данных: TNS engine защищает базы данных (например, Oracle) от переполнения буфера в сервисе TNS listener. Позволяет использовать регулярные выражения в фреймах TNS и может настраиваться пользователем Понимание идентификационных данных: новый SMB Advanced Engine включает имя netBios в сигнал тревоги с целью контроля имени пользователя (username) и версии ОС, запущенных на контролируемом узле IPS 6.0: Введение в новые функции

© 2007 Cisco Systems, Inc. All rights reserved.Казань Аккуратное обнаружение атак Взаимодействие IPS-CSA: - Повышенное понимание состояние защищаемых узлов - Использование данных от CSA для реагирования IPS - Корреляция данных из CSA watch list - Карантин узлов через ручное добавление плохих IP в watchlist - Использование механизма CSA Trusted QoS для оптимизации работы IPS Интеграция с сетевыми сканерами: - Импорт данных от сканеров для повышения эффективности анализа Интеграция с технологией CTR: - Понимание защищаемых узлов через пассивный OS fingerprinting - Задание информации об используемых ОС на защищаемых узлах - Динамическое задание Risk Rating на основе релевантности атаки - Автоматизированная фильтрация событий и действий на основе ОС IPS 6.0: Введение в новые функции

© 2007 Cisco Systems, Inc. All rights reserved.Казань Виртуальные контексты Гибкое задание контекстов: Возможность определения виртуальных контекстов на базе физических интерфейсов или группирования VLAN Привязка пользовательских сигнатур / Настройки политик & вариантов реагирования для каждого виртуального контекста Настройка политик на виртуальных контекстах путем группирования VLAN VLAN 1 VLAN 2 VLAN 3 VLAN 4 Виртуальный контекст 1 Виртуальный контекст 2 Виртуальный контекст 1: Interface Виртуальный контекст 2: Interface Настройка политик на виртуальных контекстах путем группирования интерфейсов

© 2007 Cisco Systems, Inc. All rights reserved.Казань Интеграция с CSA - Дополнительная информация об узле Оператор связи Консоль управления OS = WindowsXP Elevate Risk Rating Deny Возможность использования данных CSA для выбора метода реагирования - Корреляция с данными CSA watch list - Узлы, находящие в карантине

© 2007 Cisco Systems, Inc. All rights reserved.Казань Интеграция с CSA - Дополнительная информация об узле Оператор связи Консоль управления - Возможность использования данных CSA для выбора метода реагирования - Корреляция с данными CSA watch list Узел сканирует внутренние серверы Узел не внесен в Watch List: Alarm Only - Узлы, находящие в карантине

© 2007 Cisco Systems, Inc. All rights reserved.Казань Узео , занесенный в Watch List сканирует внутренние серверы Интеграция с CSA - Дополнительная информация об узле Оператор связи Консоль управления - Возможность использования данных CSA для выбора метода реагирования - Корреляция с данными CSA watch list Узел занесен в Watch List: Drop Packet - Узлы, находящие в карантине

© 2007 Cisco Systems, Inc. All rights reserved.Казань Рейтинг Риска вычисляется для события, а не для сигнатуры Рейтинг Риска вычисляется как комбинация ряда параметров: Точность сигнатуры (Signature Fidelity Rating) Опасность атаки (Attack Severity Rating) Ценность атакуемого ресурса (Target Value Rating) Релевантность атаки (Attack Relevancy Rating) Рейтинг наблюдаемых узлов (Watch List Rating) Тип сенсора (Promiscuous Delta) Рейтинг рисков

© 2007 Cisco Systems, Inc. All rights reserved.Казань Описание функциональности: -Динамическое уточнение риска события на основе метода реагирования -Если были приняты меры реагирования, рейтинг риска уменьшается (TR < RR) -Если на событие не реагируют, то рейтинг риска остается неизменным (TR = RR) Преимущества: -Предотвращенные атаки не требуют пристального внимания администратора -Возможность оповещать только о наиболее критичных атаках. Снижение числа оповещений Интернет Система мониторинга Событие 1: Действия не настроены Risk Rating = 95 Threat Rating = 95 Событие 2: Пакет отбрасывается Risk Rating = 95 Threat Rating = 60 Рейтинг угроз

© 2007 Cisco Systems, Inc. All rights reserved.Казань Алгоритм обнаружения для предотвращения «угроз нулевого дня» Снижение числа ложных срабатываний за счет изучения моделей сетевого взаимодействия Обучение системы Высокая точность обнаружения при корреляции на одном сенсоре Интернет Внутренняя зона 2 Внутренняя Зона 1 Внутренняя зона 3 Обнаружение аномалий

© 2007 Cisco Systems, Inc. All rights reserved.Казань Новые возможности по отражению атак: Cisco CSA 5.2

© 2007 Cisco Systems, Inc. All rights reserved.Казань Обзор Cisco Security Agent Предотвращение атак Персональный МСЭ Защита от вредоносного кода Контроль USB, CD, дисководов, PCMCIA Контроль Интернет-пейджеров (ICQ и т.п.) Контроль Wireless-соединений Контроль доступа к системному реестру и файлам Замкнутая программная среда Контроль утечки информации Контроль загрузки с «чужих» носителей и т.д.

© 2007 Cisco Systems, Inc. All rights reserved.Казань Trusted QoS Каждая организация имеет критичные приложения: Voice over IP Контроль производства Финансы Инвентаризация и CRM Другие приложения не столь критичны к задержкам , instant messaging и т.д. Если компьютер маркирует трафик приложений с помощью бита Quality-of-Service (QoS), сеть может приоритезировать потоки и работать более эффективно

© 2007 Cisco Systems, Inc. All rights reserved.Казань Trusted QoS Oracle ERP Browser ClassKazaa/ICQ CSA Destination IP: /24 Destination Port: 80 Any Network Traffic DSCP: AF31 DSCP: 0 DSCP: 8 Критично В очередь Подождет

© 2007 Cisco Systems, Inc. All rights reserved.Казань Контроль беспроводных соединений Запрет wireless NIC при включенном проводном (например, внутри офиса) Контроль соединения - определенные SSID, шифрование, ad-hoc Обязательное использование VPN при работе вне офиса Приоритезация трафика по приложениям (QoS)

© 2007 Cisco Systems, Inc. All rights reserved.Казань Новые возможности по мониторингу: Cisco MARS 4.3

© 2007 Cisco Systems, Inc. All rights reserved.Казань CS-MARS – Security Monitoring, Analysis, and Response Широкий спектр поддерживаемых средств защиты, в т.ч. третьих фирм Анализ и корреляция Инвентаризация защищаемой сети и ее визуализация Визуализация атаки на карте сети Отражение атаки, в т.ч. координированное Рекомендации по отражению Интеграция с CSM

© 2007 Cisco Systems, Inc. All rights reserved.Казань CS-MARS 4.3 IPS 6.0 Dynamic Signature Recognition Что это такое? Сигнатуры, добавленные в IPS 6.0+ будут автоматически распознаны CS- MARS без необходимости дополнительного обновления CS-MARS Пример Когда в сети появляется новая угроза, Cisco IPS может быть обновлен сигнатурой для нее. Когда сигнатура добавляется в IPS, CS-MARS распознает ее и учитывает в дальнейшей работе по анализу и отражению Преимущества Снижение нагрузки на администратора CS-MARS Автоматизация рутинных действий CS-MARS GC Cisco IPS Cisco IPS Signature Updates New Events created based on New IPS Signatures

© 2007 Cisco Systems, Inc. All rights reserved.Казань Новые возможности по управлению: Cisco Security Manager 3.1

© 2007 Cisco Systems, Inc. All rights reserved.Казань Cisco Security Manager Управление политикой Централизованное управление политиками для МСЭ, VPN и IPS Хорошо масштабируем Наследование политик позволяет эффективно распределять их по сети Мощное группирование устройств Настройка политик для ASA, PIX, FW SM и IOS Firewall Единая таблица правил для всех платформ Анализ политик «Умное» редактирование правил в таблице Устранение избыточности и противоречивости Управление VPN VPN Wizard настраивает Site-to-Site, hub-spoke и full mesh VPN за несколько кликов мыши Настройка VPN для удаленного доступа, DMVPN и устройств с Easy VPN Удобство использования Визуальное управление политиками через таблицы или карту сети Функция Jumpstart: удобный инструмент обучения Эффективная визуализация: - Policy-based - Device-based - Map-based - VPN based Управление IPS Автоматическое обновление сенсоров IPS Поддержка Outbreak Prevention Services Управление МСЭ

© 2007 Cisco Systems, Inc. All rights reserved.Казань Rule Combiner Оптимизация таблицы правил и снижение числа правил

© 2007 Cisco Systems, Inc. All rights reserved.Казань Локальные правила и секции таблицы правил Local Rules – простота задания локальных правил в дополнение к наследованным Секции таблицы правил – разделение таблицы правил на секции

© 2007 Cisco Systems, Inc. All rights reserved.Казань Запуск xDM - ASDM, SDM, IDM, IEV Не требуется DM, встроенный в устройство Открыть FW от CS manager server к устройству Более быстрый запуск Не требуется DM, встроенный в устройство Открыть FW от CS manager server к устройству Более быстрый запуск

© 2007 Cisco Systems, Inc. All rights reserved.Казань Inventory Report Единое место для просмотра всей критичной информации Устройство, статус VPN Статус внедрения Примененные политики Единое место для просмотра всей критичной информации Устройство, статус VPN Статус внедрения Примененные политики

© 2007 Cisco Systems, Inc. All rights reserved.Казань Activity Report

© 2007 Cisco Systems, Inc. All rights reserved.Казань Решение Cisco VPN c поддержкой российской криптографии

© 2007 Cisco Systems, Inc. All rights reserved.Казань Новая тенденция заключается в интеграции функций безопасности, например, МСЭ, VPN, системы предотвращения вторжений и многих других, в сетевое оборудование, такое как маршрутизаторы. Источник: Infonetics, 2005 Маршрутизаторы с интеграцией сервисов Cisco ® Все функции безопасности, необходимые для работы в одном устройстве ВЧС (VPN / IPSec) Резервные WAN Система контроля доступа в сеть (NAC) МСЭ уровня приложений Системы обнаружения вторжений Базовые функции защиты Беспроводные устройства IP Телефония URL фильтрация Интегрированная безопасность

© 2007 Cisco Systems, Inc. All rights reserved.Казань Заказчики хотят видеть интеграцию В октябре 2005, 64% ПРЕДПОЧИТАЛИ интегрированные сервисы (n=202) Мотивы: Простота поддержки & управления Снижение OpEx Лучшая производительность и масштабируемость Снижение CapEx Перенос интеллекта в филиалы Взаимодействие функций Функции, которые ДОЛЖНЫ быть интегрированы в маршрутизаторы (n=179) Источник: Yankee Group Research Inc., Янв 2006

© 2007 Cisco Systems, Inc. All rights reserved.Казань Компаниями Cisco Systems и С- Терра СиЭсПи разработан VPN- модуль NME-RVPN, поддерживающий российские криптоалгоритмы и тесно интегрируемый в интеллектуальную информационную сеть (IIN) Поддержка Cisco ISR 2811, 2821, 2851, 3825 и 3845 Поддержка всей линейки VPN- решений компании S-Terra CSP Cisco + российская криптография

© 2007 Cisco Systems, Inc. All rights reserved.Казань Продукты NME-RVPN применимы для построения любых топологических схем («звезда», «дерево», «полносвязная сеть») В межсетевых сценариях работают схемы с повышенной надежностью – как за счет резервирования шлюзов на периметре, так и за счет использования альтернативных маршрутов сети Интернет Резервирование шлюзов Произвольная топология. Любые WAN- и LAN-каналы. Гибкие схемы туннелирования трафика (IPsec, GRE, MPLS, L2TPv3, VLAN 802.1q, Spanning tree, non-IP protocols) Поддержка различных топологий

© 2007 Cisco Systems, Inc. All rights reserved.Казань Продукты компании «С-Терра СиЭсПи» в независимых испытаниях показали рекордные для России скорости шифрования данных источник: На платформе NME-RVPN производительность продукта составляет: Примечание: * - Измерено при использовании потока UDP пакетов размером 1400 байт Используемый режимЗначение* ESP c проверкой целостности40 Mбит/с ESP без проверки целостности95 Mбит/с AH57 Mбит/с AH+ESP40 Mбит/с Производительность

© 2007 Cisco Systems, Inc. All rights reserved.Казань Автоматическая отработка отказа шлюза безопасности: переход на резервный шлюз перенос IP-адресов отказавшего шлюза на резервное устройство (опционально) Характеристики решения механизм обеспечения надежности – Dead Peer Detection Protocol (спецификация Cisco Systems) минимальное время отработки отказа ~5 с схема резервирования – N+1 c перераспределением нагрузки между резервирующими друг друга устройствами кластеризация Надежность

© 2007 Cisco Systems, Inc. All rights reserved.Казань Поддержка качества сетевого обслуживания (QoS) с использованием механизмов: оптимизации производительности и управления уровнем загрузки процессора отображение битов ToS «прозрачной» пересинхронизации ключей (IKE smooth re-keying) приоритетной обработки голосового трафика (priority queuing) классификации IKE (повышение приоритета IKE-сессии при установлении соединения) Задержка из конца в конец – не выше 150 мс Поддержка QoS

© 2007 Cisco Systems, Inc. All rights reserved.Казань Маршрутизатор Cisco ISR с модулем NME-RVPN обладает и другой уникальной функциональностью: маршрутизация (полный набор протоколов) полнофункциональный межсетевой экран Cisco IOS Firewall полнофункциональный NAT/PAT (который может использоваться, например, для сетей IP-телефонии) механизмы IP-туннелирования (GRE, L2TPv3) поддержка VLAN (IEEE 802.1q, 802.1x) поддержка MPLS VPN, VRF-aware IPSec поддержка QoS (классификация, traffic engineering) и VoIP (интеграция с IP- телефонией и Call Manager Express) интегрированные сервисы защиты (IDS/IPS, антивирус и контентная фильтрация, прокси-сервис, NAC и проч.) ISR 38xx ISR 28xx NME-RVPN IPsec/ГОСТ Не только шифрование

© 2007 Cisco Systems, Inc. All rights reserved.Казань В состав модуля NME-RVPN входит криптоядро, сертифицированное ФСБ РФ по классам СКЗИ КС1 и КС2 По требованиям ФСБ, при встраивании СКЗИ классов КС1, КС2 в коммуникационную систему, сертификация системы в целом не требуется ПО С-Терра СиЭсПи сертифицировано в системе ФСТЭК РФ по ГОСТ Р и РД «Межсетевые экраны» по 4-му классу защищенности Сертификация

© 2007 Cisco Systems, Inc. All rights reserved.Казань Корректная реализация протоколов IKE и IPSec Фрагментация и дефрагментация трафика Распознавание и адаптация к NAT Приоритезация трафика (голос, видео, АСУ ТП) Ограничение предельного уровня нагрузки на CPU для задач шифрования Преимущества решения

© 2007 Cisco Systems, Inc. All rights reserved.Казань Совместимость со стандартными IPSec- решениями Совместимость с разными PKI, используемыми в России Совместимость с HP OpenView и Tivoli Возможность интеграции с CS-MARS и SIMS Преимущества решения

© 2007 Cisco Systems, Inc. All rights reserved.Казань Снижение стоимости владения за счет Тесной интеграции с сетевой инфраструктурой Схожей с IOS системой команд управления Отсутствия отдельного электропитания Отсутствия необходимости выделенного персонала Простоты внедрения Преимущества решения

© 2007 Cisco Systems, Inc. All rights reserved.Казань Надежность инфраструктуры VPN не как отдельное устройство в сети Интеграция со встроенными в Cisco ISR межсетевым экраном, системой предотвращения атак и другими подсистемами защиты Преимущества решения

© 2007 Cisco Systems, Inc. All rights reserved.Казань Соответствие требованиям российского законодательства Служба технической поддержки на русском языке Локализация документации Авторизованное обучение Преимущества решения

© 2007 Cisco Systems, Inc. All rights reserved.Казань Почему именно Cisco?

© 2007 Cisco Systems, Inc. All rights reserved.Казань Российский рынок безопасности Cisco - лидер рынка средств защиты информации в России последние 3 года Источник:

© 2007 Cisco Systems, Inc. All rights reserved.Казань Обязательства перед заказчиками Инновационные решения 1,500 сфокусированных на безопасности инженеров $300M ежегодно на исследования и разработки 18 поглощений для расширения спектра решений 65+ партнеров NAC, обеспечивающих целостное и интегрированное решение Лидерство NIAC Vulnerability Framework Committee Critical Infrastructure Assurance Group PSIRT MySDN.com – Исследования и уведомления Так как ИТ являются стратегическим активом наших заказчиков, безопасность их приложений и ресурсов, критических с точки зрения бизнеса, является для нас приоритетом 1. Джон Чемберс, CEO, Cisco Systems ®

© 2007 Cisco Systems, Inc. All rights reserved.Казань Безопасность с самого начала Безопасность – это не опция! Безопасность, как опция Рост сложности Высокая стоимость интеграции Медленное внедрение Сложность администрирования Нет сквозной функциональности Отражение не всех угроз Низкая надежность Безопасность, как часть системы Снижение сложности Тесная интеграция сетевых сервисов и приложений Простота внедрения и управления Снижение стоимости владения

© 2007 Cisco Systems, Inc. All rights reserved.Казань Про что мы не сможем сегодня рассказать…

© 2007 Cisco Systems, Inc. All rights reserved.Казань Про что мы не сможем сегодня рассказать Защита инфраструктуры WAN и кампусных сетей Безопасность беспроводных сетей Технологии виртуализации NAC Framework / Cisco Clean Access Аутентификация и авторизация при подключении к сети IBNS Встроенные в Cisco IOS функции безопасности Защита на уровне приложений Специализированные решения для нефтегазовой промышленности, банковского сектора, промышленности, гос. организаций и т.п. И многое другое

© 2007 Cisco Systems, Inc. All rights reserved.Казань Вопросы? Дополнительные вопросы Вы можете задать по электронной почте для ДО ОАО Газпром по адресу или по телефону:

© 2007 Cisco Systems, Inc. All rights reserved.Казань