Cisco ASA. Next-Generation Firewalls

Андрей Оврашко
Системный инженер Cisco

C97-729688-00 © 2013 Cisco and/or its affiliates. All rights reserved.

Cisco Confidential

1

© 2013 Cisco and/or its affiliates. All rights reserved.

Cisco Confidential

2

Мобильность

Угрозы

Облака

Эти тренды требуют качественно нового подхода к ИБ


Cisco Confidential

3

+


=

Cisco Confidential

4

Повсеместная защита всех компонентов

Реализация политик допустимого
использования

Надежные функции межсетевой
защиты с контролем состояния

Повсеместный доступ с любого
устройства


Cisco Confidential

5

?
?

Постоянное развитие
угроз
Рост количества устройств и приложений
означает, кроме всего прочего,
увеличение контактной зоны и
развитие инструментов для атаки!

Бурный рост количества
устройств
Оборудование, которое мы используем,
никогда не менялось так быстро!

Группа по ИТ/обеспечению
безопасности

Ожидаемое повышение
ИТ- производительности
Выполнение большего
количества задач с меньшими
затратами

Существенный рост
ориентированных на
пользователя приложений!
Пользователи будут работать
любым удобным им способом

Cisco Confidential

6

Парадокс для профессионалов безопасности

VS.

Мобильность

Threats / APT

Облака

Виртуализация

Устройства

Collaboration

Приложения

BYOD

HTTPS/SSL

IPv6


Безопасность

Cisco Confidential

7

Меняются межсетевые экраны


Обычные правила Firewall, которые основываются на информации уровня
L3/L4 уже не удовлетворяют многим сегодняшним архитектурам
Традиционные правила:

А вот бизнес требования:
“Всем пользователям в группе Marketing должен быть разрешен доступ к Twitter и
Facebook”

“Я не хочу, чтобы мои работники тратили время в офисе играя в Facebook игры, но
блокировать доступ не хочу…”
“Я боюсь, что разработчики отправят секретную информацию через Webmail за пределы
компании”
Мне надо контролировать, кто может использовать Instant Messengers.


Cisco Confidential

8

 Полный обзор использования интернет/приложений?
 Идентификация?
 Что я хочу заблокировать?
 А что я могу заблокировать?
 Защита от malware?

 Правила использования?
 Защита от угроз?


Cisco Confidential

9

Device
OS

Cisco AnyConnect®
150 million endpoints

Cisco® Identity Services Engine*
BYOD solution

OS
Version*

Posture*

Registry


AV

Files

* Future

Cisco Confidential

10


Cisco Confidential

11

Malware
Много

Часто

Трудноуловимы


Cisco Confidential

12

Автоматизировано

Cisco®
SIO

Высокоэффективно
Производительно
Повышение операционной
эффективности средств ИБ


Cisco Confidential

13

24 Hours
Daily

More Than
40

OPERATIONS

LANGUAGES

More Than
$100 Million

More Than
600

SPENT IN DYNAMIC
RESEARCH AND
DEVELOPMENT

ENGINEERS,
TECHNICIANS, AND
RESEARCHERS

More Than
80
PH.D, CCIE, CISSP,
MSCE

®
0010 010 10010111001 10 100111 010 000100101 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110011 0110011 101000 0110 00 01
101000 0110 00 0111000 111010011 101 1100001 110011 01100111010000110000111000111010011101 1100001110001110 1001 1101 1110 011 0110011 101000 0110 00 01
0010 010 10010111001 10 100111 010 000100101
101000 0110 00 0111000 111010011 101 1100001 11000

Cisco SIO

Emai
l

Devices

IPS

Networks

WWW

Cloud

Web

Actions

Endpoints

Visibility

ESA

AnyConnect®

IPS

ASA

Information

WWW

WSA

Control

1.6 Million

35%

3 to 5

More Than 200

GLOBAL SENSORS

WORLDWIDE EMAIL TRAFFIC

MINUTE UPDATES

PARAMETERS TRACKED

75 TB

13 Billion

More Than 5500

More Than 70

DATA RECEIVED PER DAY

WEB REQUESTS

IPS SIGNATURES
PRODUCED

PUBLICATIONS
PRODUCED

More Than 150 Million
DEPLOYED ENDPOINTS

More Than 8
Million
RULES PER DAY


Cisco Confidential

14

Представьте что в Вашей сети кто-то
делает не то что Вы хотите:
• Не понятно где искать.
• Не понятно что искать.

Но действуя, создает
сетевую активность и
таким образом
обнаруживает себя.


Cisco Confidential

15



ASA NGFW – это дополнительный
модуль для ASA



Функциональность:



URL фильтрация с репутацией



Идентификация в AD, LDAP или CDA





Application Visibility and Control на
всех портах

Расшифровка трафика SSL

Управление ASA-CX делается
через Prime Security Manager


Restfull XML


Cisco Confidential

16

ASA with NGFW module

 Работа в Inline
FW

 Не нужны клиентские
настройки

 Надо деактивировать
инспекцию HTTP на
ASA

NGFW

FW

Access-list checks, connection
matching

Прозрачный
режим

•

NGFW Module Content Filtering

•

NAT

Монитор режим

•

Инспекция протоколов

•



Проверка IP Header

•



•

Исходящая обработка и передача


Cisco Confidential

17

 Трафик перенаправляется через MPF
policy-map global_policy
class class-default
cxsc fail-open
Service-policy global_policy global


Cisco Confidential

18

ASA 5585

 ASA NGFW на ASA 5585 запускается на отдельном HW модуле
 Slot 0 зарезервирован для ASA SSP
 Slot 1 зарезервирован для NGFW SSP
И оборудован двумя HDD в RAID 1

 Сейчас не может работать одновременно с модулем IPS
(или/или)
IPS функциональность будет добавлена в ASA NGFW в конце CY 2013

NGFW SSP
ASA SSP


Cisco Confidential

19

ASA 5585

ASA 5585-SSP60
ASA 5585-SSP40
ASA 5585-SSP10
2 Gbps NGFW
2 MM Connections
100,000 CPS

ASA 5585-SSP20
5 Gbps NGFW
4 MM Connections
250,000 CPS

Campus / Data Center


9
Gbps

Новинка!
Future

13
Gbps

Data Center

Cisco Confidential

20

ASA 5500-X Midrange

 ASA NGFW на ASA 5500-X работает как программный
модуль
 Для работы требует SSD диск
Требуется место для журналирования
5545 и 5555 могут использовать два SSH в RAID

 Ядра и память распределены между процессами ASA и
ASA NGFW
Фиксированное распределение


Cisco Confidential

21

ASA 5500-X Midrange

NG IPS

200 Mbps NGFW
100K Connections
10,000 CPS

350 Mbps NGFW
250K Connections
15,000 CPS

650 Mbps NGFW
500K Connections
20,000 CPS

1 Gbps NGFW
750K Connections
30,000 CPS

1.4 Gbps NGFW
1 MM Connections
50,000 CPS

ASA 5555-X

ASA 5545-X
ASA 5525-X

ASA 5515-X
ASA 5512-X

Internet Edge

Branch Locations
60
Mbps

90
Mbps

300
Mbps

450
Mbps

600
Mbps
Cisco Confidential

22

ASA 5585

NG IPS
ASA 5585-SSP60
ASA 5585-SSP40
ASA 5585-SSP10
2 Gbps NGFW
2 MM Connections
100,000 CPS

1
Gbps

ASA 5585-SSP20
5 Gbps NGFW
4 MM Connections
250,000 CPS

1,5
Gbps

Campus / Data Center


9
Gbps

13
Gbps

4
Gbps

2250
Mbps
Data Center

Cisco Confidential

23

ASA NGFW Components (ASA CX 9.2)
PRSM: Centralized Management & Reporting

PRSM
(5, 10, 25, 50, 100)
AVC
(1Y, 3Y, 5Y)

Application
Visibility &
Control

Web
Security
Essentials

WebAVC
+ NBAR 2

URL Filtering
+ Reputation

Next
Generatio
n
Intrusion
Prevention
System

CX SSP
Identity, Onbox Mgmt & Reporting

ASA SSP


WSE
(1Y, 3Y, 5Y)
NG IPS
(1Y, 3Y, 5Y)
AVC + WSE + IPS Bundle
(1Y, 3Y, 5Y)
ASA CX Bundle for
ASA 5585-X SSP-10,
20, 40, 60
ASA 5512 - 5555
CX Spare card for
ASA 5585-X SSP-10,
20, 40, 60

Cisco Confidential

24

URL Category/Reputation
HTTP Inspection
AVC
TLS Proxy
TCP Proxy

NG IPS

TCP Normalization

NAT

TCP Intercept

Routing

IP Option Inspection

ACL

IP Fragmentation

VPN Termination

SGT Policies


Multiple Policy
Decision Points

IPv6 Policies

ASA NGFW

ASA

Cisco Confidential

25

HTTP Inspection
AVC
TLS Proxy
TCP Proxy

NG IPS

TCP Normalization

NAT

TCP Intercept

Routing


ACL

IP Fragmentation

VPN Termination

SGT Policies


Multiple Policy
Decision Points

IPv6 Policies

ASA NGFW

ASA

Cisco Confidential

26

• Приложений ~1200
• Микро-приложений 150,000+
• Cisco Security Intelligence Operation (SIO)
•
•

Utilizes Application Signatures
Период проверки сигнатур – по умолчанию 5 минут

• Поддерживаемые приложения определяются на всех

портах

• Для некоторых приложений – раздельный контроль

разного поведения. Разрешить приложение типу, но
запретить определённое поведение – «загрузку».


Cisco Confidential

27

HTTP Inspection
AVC
TLS Proxy
TCP Proxy

NG IPS

TCP Normalization

NAT

TCP Intercept

Routing


ACL

IP Fragmentation

VPN Termination

SGT Policies


Multiple Policy
Decision Points

IPv6 Policies

ASA NGFW

ASA

Cisco Confidential

28

• AUP, предупреждения и обратная связь.

• Предопределенные и свои URL категории.
• 78 предопределенных URL категорий

• 20,000,000+ URL откатегоризировано
• 60+ языков

• Cisco Security Intelligence Operation (SIO)
• Utilizes Application Signatures
• Период проверки сигнатур – по умолчанию 5 минут

Cisco Confidential

29

 Identity Policies
Активные:
Basic Authentication, NTLM, Kerberos, LDAP
Пассивные:
CDA - Agent


Cisco Confidential

30

 Сейчас пассивная аутентификация использует
CDA, в будущем – CDA + ISE


Cisco Confidential

31

 Политики расшифровки
Расшифровка SSL трафика
Решение на основе URL Category, Source, Destination, User Agent,...


Cisco Confidential

32

• Две разные сессии, ключи и сертификаты
• ASA CX работает как CA, выпуская сертификат для Web Server
Corporate
network

Web server

ASA CX
1. Negotiate
algorithms.

4. Client Authenticates
“server” certificate.

Cert is generated
dynamically with
destination name but
signed by ASA CX.


3. Generate
proxied server
certificate.
5. Generate
encryption keys.
6. Encrypted data
channel established.

1. Negotiate
algorithms.
2. Authenticate
server certificate.

5. Generate
encryption keys.
6. Encrypted data
channel established.

Cisco Confidential

33

Что это?


Cisco Confidential

34

Модели и OS


5510
5520
5540
5550
5580
5512-X
5515-X
5525-X
5545-X
5555-X
5585-10
5585-20
5585-40
5585-60

Peregrine

Cisco Confidential

35

до-Peregrine

Peregrine

• PRSM управление
NGFW функции
Syslog настройки

• PRSM управление
NGFW функции
Syslog настройки
NAT конфигурация
Firewall ACLs

• Политики на device groups.

• Политики:
Local to a device
Shared
Universal

• Реакция политик
Allow или Deny
• IPS и NGFW сервисы не могут

сосуществовать


• Реакция политик
Allow, Warn или Deny
• IPS теперь часть NGFW

Cisco Confidential

36

 Поддержка Active/Standby


PRSM может находить HA конфигурации и расценивать HA
пары как единое устройство (для лицензирования, настройки
политик, отчётности)

 NGFS IPS
 Поддержка платформ


Добавили SSP 20, 40, 60 для ASA-5585х



NGFW теперь доступен на всей линейке ASA

«Безопасный поиск»

 Ограничения пропускной в политиках
 Роли интерфейсов в политике

Cisco Confidential

37


Cisco Confidential

38


Cisco Confidential

39

Peregrine

Поддерживаемые функции


Cisco Confidential

40

Расширения
Поддержка 5585-X SSP 40 и 60
Дополнительный CLI для troubleshooting

Телеметрия
Отчет о вредоносных транзакциях
Ограничение полосы по политикам
Предупредить End Users
Safe Search


Cisco Confidential

41

Свойства
Использование на границе сети
80% пограничных сигнатур
Threat Protection Updates
Threat Protection Workflows

Threat Protection Licensing
Threat Protection Objects
Threat Protection Profiles


Cisco Confidential

42


Cisco Confidential

43

 Абсолютно новая система
управления для ASA NGFW
‒ Prime Security Manager (PRSM)
‒ Для одного устройства –
прямо HTTPS интерфейс

‒ Отдельное управление для
нескольких устройство

 Управление только через
GUI
‒ CLI только для troubleshooting
и первоначальной настройки


Cisco Confidential

44

RESTful XML

ASA NGFW

Binary Logging

PRSM

Примечание: ASA может отправлять Syslog на PRSM

Cisco Confidential

45

 SIO обновления для

Cisco SIO

‒ Application Visibility & Control
‒ URL Filtering Categories

Cisco® SIO

‒ Reputation
‒ Trusted Root CAs

ASA NGFW

PRSM
Cisco Confidential

46



Виртуальная машина
Предоставляется в виде файла .ova Open
Virtual Appliance (OVA)
VMware vSphere Hypervisor 4.1 (Update 2)
Загружается с www.cisco.com



UCS бандл
Cервер UCS C220 M3 Server + ESXi 4.1
U2 + VM
Виртуальная машина


Cisco Confidential

47

Доступ

• Какой трафик разрешить
или запретить?

Identity

• Как идентифицировать
пользователей?

Decryption

• Какой трафик TLS/SSL
расшифровать?


Cisco Confidential

48

• Schema-Driven
• Web UI
• Management
Consistency
• End-to-End
Operations

• UX-Driven
• Visibility


Cisco Confidential

49

New Features
Новая модель политик
Разделение политик
Конфигурация по устройству

Вид репозитария
CLI Preview
HA Dashboard
Свыше 25 устройств


Cisco Confidential

50

Основные возможности
Device
Selector

ASA Policy
Tab

NGFW
Policy Tab

Device
Configuration
Tab

Policy
Sharing

5- Tuple
Rule base

Install On


Cisco Confidential

51

API


Cisco Confidential

52

Stateful inspection + next-generation functionality
Множество форм-факторов и моделей
Context-Aware

•
•
•
•

Глубокий контроль приложений
Лучший в сфере удаленного доступа
Качественная URL фильтрация
Идентификация пользователей и
устройств

Threat-Aware

•
•
•
•

Веб-репутация для защиты от вирусов
Встроенный IPS – защита от АРТ
Усилено Cisco®
Периодические апдейты почти в
реальном времени (минуты)

Cisco ASA Stateful Inspection Firewall

Cisco Confidential

53

 http://www.asacx-cisco.com


Cisco Confidential

54


Cisco Confidential

55

Преимущества:
Routing

WAAS

NGFW

Future
Services

Простота внедрения
• Не требует внешнего железа и
соединений
• Простота установки

IOS XE
Гибкость и расширяемость
• L7 Aware multi-core data plane
• До 400 Mbps с AVC/WSE/IPS
• Не требует сложной настройки

Ниже совокупная стоимость
владения (ТСО)
• Меньше устройств
• Единый контракт поддержки


Cisco Confidential

56

Факты
• Работа на скорости 1 – 2 Gbps
• Более 1Gbps криптопропускной
• Services Plane

Выделенный процессинг для приложений и
сервисов
• Четко определенная производительность при

включении сервисов

• Модель Pay-as-you-grow наращивания

производительности с 1 до 2 Gbps


Cisco Confidential

57

IOSd
Control Plane

Future Cisco Embedded
Network Services

ISR-WAAS

Linux OS
Common API (onePK)
Platform Specific Data Plane
onePK

Internal Services
Blade (UCS ESeries)


AppNav

AVC
onePK

External Services
Blade (UCS)

Cisco Confidential

58

IOSd

Future L7
Firewall

WAAS

Control Plane

(Control &
IPS)

Future Apps

Linux OS

Common API (onePK)
Platform Specific Data Plane Appnav
onePK
Internal Services
Blade (UCS ESeries)


L7 Firewall
(Data)

onePK

External Services
Blade (UCS)

Cisco Confidential

59

Cisco ASA . Next-Generation Firewalls

More Related Content