Acasă > Biologie > Protocoale pentru Cisco Mars. Produse. Dezvoltarea controalelor de securitate a informațiilor și prevenirea amenințărilor

Protocoale pentru Cisco Mars. Produse. Dezvoltarea controalelor de securitate a informațiilor și prevenirea amenințărilor

Soluție de gestionare a informațiilor de securitate CiscoWorks (SIMS)

Prezentăm o descriere a sistemului de monitorizare a rețelei, colectarea datelor, procesarea și gestionarea dispozitivelor din rețea.

Soluție de gestionare a informațiilor de securitate CiscoWorks (SIMS)- acesta este un sistem pentru gestionarea, monitorizarea și colectarea statisticilor, a cărui arhitectură include un model pe mai multe niveluri (Fig. 1), care vă permite să construiți sistemul în etape, pe măsură ce infrastructura de rețea a întreprinderii crește.
SIMS este nucleul - un singur punct de colectare a tuturor incidentelor din rețea, clasificarea acestora și monitorizarea continuă.

Sarcinile principale ale SIMS:

  • monitorizarea;
  • colectarea datelor primite de la firewall-uri, dispozitive, detecție a intruziunilor, sisteme antivirus și de operare și aplicații;
  • analiza si prelucrarea datelor;
  • prezentarea rezultatului final sub formă grafică - rapoarte și diagrame;

SIMS vă permite să obțineți date despre posibilele încălcări ale securității nu numai ale unui singur dispozitiv, cum ar fi IDS, ci și ale rețelei în ansamblu, iar acest lucru face posibil să vedeți punctele forte / punctele slabe în organizarea securității rețelei.
SIMS este proiectat pentru rețelele de întreprinderi mari și furnizorii de Internet cu 30 până la câteva mii de noduri în rețea, poate funcționa împreună cu sisteme precum HP Openview și Micromuse. Și, de asemenea, atunci când sunt detectate intruziuni în rețea, SIMS poate crea incidente cu o descriere a problemei și le poate trimite serviciului de asistență tehnică a rețelei corporative.

Componenta centrală a sistemului este nucleul. Este un sistem de răspuns rapid care este o aplicație distribuită. SIMS vă permite să primiți notificări privind încălcările politicilor de securitate oriunde în rețeaua corporativă, generează rapoarte și oferă acces la acestea din orice aplicație care acceptă interfața web.

Principiul de funcționare al tehnologiei SIMS poate fi împărțit în 4 părți:

1. Standardizare.

Datele de la diferite dispozitive de rețea sunt colectate de agenți (Fig. 2), care procesează evenimente, le colectează în grupuri (recunoaște până la 20 de mii de evenimente diferite), duc la un tip de date (IDMEF) și le trimit prin TCP către un server cu un master instalat pe el.aplicaţie (core SIMS) pentru prelucrarea datelor.

2. Asociere.

Nucleul SIMS distribuie datele primite în 9 grupe (Fig. 3) în funcție de gradul de importanță din punct de vedere al siguranței. În rețelele mari, datorită scalabilității sistemului, mai multe dintre aceste servere pot fi folosite pentru a oferi procesare distribuită.

3. Analiza datelor primite.
Sistemul analizează și prelucrează datele primite. În această etapă a funcționării sistemului, puteți seta setările pentru șabloane, politicile de securitate și diferențierea nivelurilor de protecție pentru diferite secțiuni ale rețelei.

4.Vizualizarea.

La a patra și ultima etapă, SIMS prezintă rezultatul muncii sale într-o formă grafică convenabilă (Fig. 4). Sistemul vă permite să creați diferite grafice, tabele și diagrame pentru prezentarea vizuală a datelor. Folosind parametrii stocați în baza de date a sistemului, este posibil să se efectueze analiza comparativa atât pentru criterii individuale cât şi pentru sistem în ansamblu.

Avantajele produsului:

  • Scalabilitate
  • Arhitectură distribuită
  • Integrare cu Openview și Micromuse

SIMS poate fi achiziționat ca software autonom și instalat pe un server sau deja instalat pe o platformă de server de înaltă performanță.

Tabelul 1. Informații de comandă pentru soluția SIMS 3.1 cu platformă hardware.

Masa 2. Informații de comandă SIMS 3.1 (numai software)

Numerele produselor Descriere
CWSIM-3.1-SS-K9 Configurație de bază SIMS 3.1 pentru OC Solaris; Include o licență pentru a monitoriza până la 30 de dispozitive de rețea, o licență pentru 1 server principal pentru procesarea datelor, 1 server suplimentar pentru procesarea distribuită a datelor și 1 pentru un server de baze de date.
CWSIM-3.1-SL-K9 Configurație de bază SIMS 3.1 pentru OC Linux; Include o licență pentru a monitoriza până la 30 de dispozitive de rețea, o licență pentru 1 server principal pentru procesarea datelor, 1 server suplimentar pentru procesarea distribuită a datelor și 1 pentru un server de baze de date.
CWSIM-3.1-DS-K9 O licență suplimentară de server de stocare pentru o soluție CiscoWorks SIMS 3.1 existentă care rulează sistemul de operare Solaris.
CWSIM-3.1-DL-K9 O licență suplimentară de server de stocare pentru o soluție CiscoWorks SIMS 3.1 existentă care rulează Linux.
CWSIM-3.1-ADD20-K9 Licență pentru adăugarea a 20 de agenți la o soluție CiscoWorks SIMS 3.1 funcțională care rulează OC Solaris sau Linux.
CWSIM-3.1-MON30-K9 Licență Cisco Secure Agent SIM 3.1 pentru a monitoriza 30 de servere 300 de stații de lucru
CWSIM-3.1-MON75-K9 Licență Cisco Secure Agent SIM 3.1 pentru a monitoriza 75 de servere 750 de stații de lucru
CWSIM-3.1-EN-K9 Licență pentru adăugarea unui server de procesare distribuită care rulează Solaris sau Linux.
CWSIM-3.1-20LND-K9 Licență de monitorizare pentru până la 20 de dispozitive low-end și OC-uri pe servere
CWSIM-3.1-100LNDK9 Licență de monitorizare pentru până la 100 de dispozitive low-end și OC-uri pe servere
CWSIM-3.1-500LNDK9 Licență de monitorizare pentru până la 500 de dispozitive low-end și OC-uri pe servere

Tabelul 3 Cerințe minime pentru instalarea software-ului SIMS 3.1.

Hardware Cerințe
CPU Linux: Intel Pentium 4 dual 1,5 GHz (clasa server)
Solaris: Dual UltraSPARC-IIi 444 MHz (clasa server)
Berbec 4GB
Spațiu liber pe disc 18 GB
dispozitiv de stocare CD ROM

Informații suplimentare pot fi găsite pe site-ul web Cisco Systems http://www.cisco.com/go/sims

Sistem de monitorizare, analiză și răspuns de securitate Cisco (CS-MARS)

Sistemul de monitorizare, analiză și răspuns de securitate Cisco (CS-MARS) - Este un sistem de monitorizare a rețelei care corelează evenimentele de securitate a rețelei și impune aplicarea politicilor pentru a răspunde în mod proactiv la accesul neautorizat la rețea și intruziunea. Sistemul constă dintr-un software instalat pe un server de înaltă performanță.

Principalele funcții ale sistemului:

  • monitorizarea rețelei;
  • construirea unui grafic de rețea;
  • detectarea atacurilor de rețea și redarea lor grafică;
  • studierea setărilor dispozitivelor de rețea;
  • analiza colectarii de date si prelucrarea datelor primite de la diverse dispozitive de retea;
  • prezentarea rezultatului final sub formă de grafice, rapoarte și diagrame;

MARS oferă o reprezentare grafică a infrastructurii rețelei, desenând în timp real propagarea atacurilor de rețea (Fig. 1). Analizând configurațiile routerelor, comutatoarelor și firewall-urilor (FIW), MARS este suficient de inteligent pentru a urmări sursa de infecție de la care se face accesul neautorizat, chiar dacă se află în spatele ITU.

Pentru a construi o topologie de rețea (Fig. 2), a interacționa cu switch-uri (ar trebui să accepte SNMP STP MIB) și routere (ar trebui să accepte SNMP MIB II), MARS utilizează protocolul snmp și pentru a interacționa cu ITU și a primi configurația acestora, sistemul folosește telnet, SSH și CPMI.

MARS urmărește și recunoaște evenimentele care pot fi generate de aproape toate dispozitivele din rețea:

  • dispozitive de rețea: Cisco IOS 11.x, 12.2, Catalyst OS 6.x, NetFlow 5.0, 7.0, Extreme Extremeware 6.x;
  • ITU/VPN: Cisco PIX Firewall 6.x, IOS Firewall, FWSM 1.x, 2.2, Concentrator 4.0, Checkpoint Firewall-1 NGx, VPN-1, NetScreen Firewall 4.0, 5.0, Nokia Firewall;
  • IDS: Cisco NIDS 3.x, 4.x, Network IDS module 3.x, 4.x, Enterasys Dragon NIDS 6.x ISS RealSecure Network Sensor 6.5, 7.0, Snort NIDS 2.x, McAfee Intushield NIDS 1.x, NetScreen IDP 2.x, OS 4.x, 5.x, Symantec MANHUNT;
  • Software antivirus: Symantec A/V;
  • Servere de autentificare: Cisco ACS;
  • Sisteme de operare: Windows NT, 2000, 2003 (cu sau fără agenți), Solaris, Linux (necesită instalarea agentului);
  • Aplicații: Servere Web (ISS, iPlanet, Apache), jurnalele de audit Oracle 9i, 10i, Network Appliance NetCache, Oracle 9i și 10i;

MARS poate procesa până la 10 mii de evenimente pe secundă. Sistemul acceptă scalabilitate, pentru aceasta, în rețelele marilor întreprinderi și furnizorii de Internet, puteți crea o arhitectură pe două niveluri folosind controlere MARS, la care se pot conecta mai multe servere MARS. Când se utilizează această arhitectură, rețeaua este împărțită în „zone” și fiecare este alocată unui anumit server MARS.
Sistemul MARS vă permite să configurați central politicile de rețea, să colectați date și să creați până la 80 diferite feluri rapoarte standard.
MARS poate raporta încălcările înregistrate prin protocolul snmp, prin e-mail, poate trimite mesaje către un pager sau poate păstra o evidență a evenimentelor syslog.
Sistemul MARS nu necesită achiziționarea de licențe de agenți și/sau baze de date.

Avantajele produsului:

  • Scalabilitate
  • Arhitectură distribuită
  • Fără sistem de licențiere

Informații despre comandă:

MARS - servere Performanță (evenimente pe secundă) Evenimente NetFlows pe secundă Stocare a datelor Factor de formă Alimentare electrică
Cisco Security MARS-20-K9 (PN-MARS 20) 500 15000 120 GB (non-RAID) 1RUx16” 300W
Cisco Security MARS-50-K9 (PN-MARS 50) 1000 30000 240 GB RAID0 1RUx25,6” 300W
Cisco Security MARS-100E-K9 (PN-MARS 100e) 3000 75000 3RUx25,6” două de 500 W fiecare (unul de rezervă)
Cisco Security MARS-100-K9 (PN-MARS 100) 5000 150000 Suport de schimb la cald de 750 GB RAID10 3RUx25,6” două de 500 W fiecare (unul de rezervă)
Cisco Security MARS-200-K9 (PN-MARS 200) 10000 300000 4RUx25.6” două de 500 W fiecare (unul de rezervă)
MARS - controlori Dispozitive conectate Numărul de conexiuni Stocare a datelor Factor de formă Alimentare electrică
Securitate Cisco MARS-GCMK9 (PN-MARS Gcm) doar servere MARS 20/50 până la 5 Suport de schimb la cald de 1 TB RAID10 4RUx25.6” două de 500 W fiecare (unul de rezervă)
Securitate Cisco MARS-GC-K9 (PN-MARS GC) Orice servere MARS Momentan nu există restricții Suport de schimb la cald de 1 TB RAID10 4RUx25.6” două de 500 W fiecare (unul de rezervă)

Cisco este unul dintre cei mai importanți producători de produse de securitate a informațiilor. Acest articol își propune să arate exemple de utilizare a Cisco Security Agent, Cisco NAC Appliance și a produselor Cisco MARS pentru a oferi securitate internă a informațiilor unei companii. Aceste produse sunt integrate între ele și vă permit să construiți un sistem ușor de gestionat și fiabil.

Departamentul de securitate a informațiilor al unei companii moderne se confruntă cu sarcini complet diferite - acesta este suportul canalelor de comunicații securizate ale companiei, suportul pentru subsistemul de control al accesului utilizatorilor, asigurarea protecției antivirus, combaterea spamului, controlul scurgerilor de informații, precum și monitorizarea. evenimentele de securitate a informațiilor care au loc în rețea și alte sarcini la fel de importante.

În prezent, există un număr imens de dezvoltări pe piața produselor de securitate a informațiilor care într-un fel sau altul permit rezolvarea sarcinilor. În opinia noastră, cea mai corectă modalitate este de a construi sisteme de protecție înalt integrate, care se pot adapta cel mai flexibil proceselor specifice care au loc în companie.

Introducere

Orice sistem de securitate a informațiilor este construit pe baza unui model de amenințare asumat. La planificarea unui sistem de securitate, trebuie luate în considerare două categorii de amenințări: externe și interne.

Amenințările externe sunt ușor de previzibil, deoarece compania are informații complete despre ce servicii sunt disponibile din exterior, ce resurse software și hardware asigură o conexiune între acest serviciu și Internet.

Combaterea amenințărilor interne este mult mai dificilă, deoarece utilizatorii care lucrează într-o companie au niveluri diferite de acces și construiesc relații diferite în cadrul companiei.

Pentru a asigura protecția, este necesar să o abordăm în mod cuprinzător și să nu se limiteze doar la mijloace tehnice. Munca competentă a serviciului de securitate a informațiilor, precum și o politică administrativă bine gândită a companiei, vor ajuta la obținerea rezultatelor maxime.

Politica administrativă este construită pe baza politicii de securitate a informațiilor. Organizația ar trebui să aibă o politică privind protecția informațiilor confidențiale și instrucțiuni aferente. Aceste documente ar trebui să definească regulile și criteriile de clasificare a resurselor informaționale în funcție de gradul de confidențialitate, regulile de etichetare și regulile de manipulare a informațiilor confidențiale. Ar trebui definite reguli pentru acordarea accesului la resursele informaționale, ar trebui introduse proceduri și mecanisme de control adecvate, inclusiv autorizarea și auditul accesului.

Aceste măsuri administrative fac posibilă tratarea cu succes a celei mai numeroase clase de amenințări - amenințări de dezvăluire involuntară a informațiilor confidențiale, dar în mod clar nu este suficient pentru a face față intrușilor - este necesar să se utilizeze software și hardware special.

Încheierea securității gazdei - Cisco Security Agent

Soluția Cisco Security Agent (CSA) este o soluție de securitate end-host care, împreună cu alte sisteme, vă permite să rezolvați sarcini mai complexe și mai ample.

CSA oferă protecție pentru sistemele server și desktop-uri. Capabilitățile Cisco Security Agent merg dincolo de capabilitățile soluții standard pentru a proteja punctele finale prin combinarea protecției avansate împotriva atacurilor vizate, a programelor spion, a software-ului de control de la distanță ascuns, a protecției antivirus, precum și a protecției împotriva scurgerilor de informații și a multor alte tipuri de încălcări ale securității computerului într-un singur instrument.

Cisco Security Agent este un sistem care utilizează aplicații de agent pentru a aplica politicile de securitate a informațiilor configurate pe un server central.

CSA combină protecția împotriva atacurilor „zero-day”, antivirus ClamAV, firewall, modul de protecție a fișierelor și aplicațiilor, modulul de aplicații „neîncrezătoare” și alte funcții.

Cisco Security Agent oferă o serie de caracteristici valoroase, inclusiv următoarele:

  • monitorizarea conformității stării obiectelor de rețea cu cerințele politicii de securitate;
  • protecție preventivă împotriva atacurilor țintite;
  • control USB, CD-ROM, PCMCIA etc.;
  • crearea unui mediu software închis;
  • capacitatea de a detecta și izola programe malware pentru control de la distanță sub acoperire;
  • funcții avansate pentru prevenirea intruziunii în nodurile rețelei, firewall personal și protecție împotriva atacurilor complet noi;
  • controlul scurgerilor de informații;
  • controlul și prevenirea pornirii de pe medii neautorizate;
  • optimizarea utilizării lățimii de bandă Wi-Fi;
  • asigurarea disponibilității aplicațiilor critice client-server și a posibilității de tranzacții;
  • marcarea traficului de rețea;
  • integrare cu sisteme de prevenire a intruziunilor (Cisco IPS);
  • integrare cu sistemul de control al accesului la rețea (Cisco NAC);
  • integrare cu sistemul de management al securității (Cisco MARS).

Arhitectura sistemului Cisco Security Agent este prezentată în Figura 1. Agenții interacționează cu serverul de management și primesc actualizări de politică și software de la acesta.

Figura 1: Arhitectura sistemului CSA

Gazdele finale sunt combinate în grupuri pentru care se aplică politicile de securitate a informațiilor. Politicile sunt seturi de module de reguli (vezi Figura 2).

Figura 2: Politici, module, reguli în arhitectura CSA

Cisco Security Agent vă permite să controlați acțiunile utilizatorilor în timp ce aceștia sunt conectați la rețeaua de date și serverul de management este disponibil. Dar este acceptat și un set special de stări, cum ar fi centrul de management inaccesibil, în care politicile de acces specializate sunt aplicate pentru mașini.

Al doilea sistem de securitate a informațiilor este sistemul de control al accesului la rețeaua de transmisie a datelor.

Controlul accesului la rețea - Cisco Network Admission Control (NAC)

Dispozitivul Cisco NAC (anterior Cisco Clean Access) este o soluție concepută pentru a detecta, izola și dezinfecta automat gazdele infectate, vulnerabile sau neconforme care accesează resursele corporative prin acces cu fir sau fără fir.

Fiind una dintre componentele tehnologiei Network Admission Control, Clean Access este implementat fie ca modul de rețea pentru Cisco ISR (pentru rețele cu mai puțin de 100 de dispozitive controlate), fie ca dispozitiv separat.

Caracteristicile cheie ale soluției Cisco NAC sunt:

  • independență față de producătorul echipamentului de rețea (în modul în bandă);
  • integrare cu Kerberos, LDAP, RADIUS, Active Directory, S/Ident și alte metode de autentificare;
  • suport pentru Windows (inclusiv Vista), MacOS, Linux, Xbox, PlayStation 2, PDA-uri, imprimante, telefoane IP etc.;
  • suport pentru CA, F-Secure, Eset, Kaspersky Lab, McAfee, Panda, Dr.Web, Sophos, Symantec, antivirusuri TrendMicro și alte instrumente de protecție a computerelor (250 de producători în total);
  • Pune în carantină o gazdă neadecvată prin aplicarea ACL-uri sau VLAN-uri;
  • crearea unei liste „albe” de noduri pentru a accelera accesul acestora la resursele rețelei;
  • instalarea automată a actualizărilor lipsă, versiuni noi de instrumente de protecție sau actualizarea bazelor de date antivirus învechite;
  • administrare web centralizată;
  • suport în limba rusă;
  • efectuarea unui audit transparent.

Arhitectura și funcționarea dispozitivelor Cisco NAC

Cisco NAC este un dispozitiv de securitate internă care valorifică infrastructura rețelei prin aplicarea politicilor de securitate și restricționarea accesului la rețea la dispozitivele care nu respectă politicile de securitate.

Principalele componente funcționale ale soluției sunt Clean Access Server (CAS) și Clean Access Manager (CAM). CAM este responsabil de configurarea politicilor de securitate, în timp ce CAS este responsabil de implementarea acestora.

Hardware-ul poate fi instalat într-o configurație de failover care efectuează o failover activă/standby.

Figura 3 arată starea sistemului, în care utilizatorul se află într-o VLAN de autentificare special creată de la care utilizatorului i se permite accesul la serviciul DHCP și altele, în conformitate cu politicile configurate pe CAM.

Figura 3: Fără acces la rețea

După ce utilizatorul a trecut de verificarea conformității cu politicile de securitate a informațiilor, i se permite să intre în rețea prin alocarea unui port de comutare unui anumit VLAN (Figura 4).

Utilizatorii pot parcurge procedura de autentificare atât cu ajutorul unui agent specializat – Cisco Clean Access, care colectează și informații pentru verificări, cât și cu ajutorul autentificării web.

Figura 4: Cisco NAC - Acces la rețea permis

Logica sistemului este alcătuită din componente - verificări, reguli și cerințe care se aplică fiecărui rol specific de utilizator.

De exemplu, puteți crea mai multe roluri care corespund departamentelor companiei și pentru fiecare set de roluri anumite cerințe, a căror îndeplinire devine o condiție prealabilă pentru accesul la mediul corporativ.

Figura 5: Cisco NAC - Logica de funcționare a sistemului

Sunt disponibile diferite opțiuni de verificare. Puteți verifica prezența unei aplicații care rulează pe PC, instalarea „patch-urilor” necesare pentru sistemul de operare, versiunea bazelor de date antivirus și alte verificări.

Sistemul de securitate a informatiilor presupune prezenta obligatorie a unui sistem de monitorizare a evenimentelor care au loc in retea. În aceste scopuri, ar trebui să utilizeze produsul Cisco Security Monitoring, Analysis and Response System (Cisco MARS).

Sistemul de monitorizare, analiză și răspuns de securitate Cisco (MARS)

Întreprinderile moderne se confruntă în mod constant cu problemele asociate cu asigurarea securității informațiilor.

Complexitatea infrastructurii de rețea presupune o creștere a numărului de instrumente de protecție - aceste dispozitive pot fi firewall-uri separate, routere cu anumite funcționalități software, comutatoare, diverse sisteme IPS, IDS, sisteme HIPS, precum și diverse sisteme antivirus, mail servere proxy, web -proxy și alte sisteme similare.

Un număr mare de protecții da naștere la probleme de management, pe măsură ce numărul punctelor de control crește, numărul evenimentelor înregistrate crește și, ca urmare, timpul necesar luării deciziilor crește (vezi Figura 6).

Figura 6: Proces de decizie pentru prevenirea atacurilor

În acest sens, pentru întreprindere este nevoie de un sistem de nivel superior capabil să evalueze nivelul existent de securitate a informațiilor prin înregistrarea și corelarea evenimentelor primite de sistem.

Sistemul de monitorizare și răspuns Cisco MARS oferă aceste funcții.

Caracteristici cheie ale Cisco MARS

Cisco MARS este o soluție hardware și software bazată pe server. Software-ul de sistem se bazează pe sistemul de operare Linux (kernel 2.6). Componenta principală a sistemului este baza de date Oracle utilizată pentru stocarea informațiilor.

Cisco MARS are capacitatea de a colecta informații de pe diferite dispozitive folosind protocoalele Syslog, SNMP, NetFlow și, de asemenea, are capacitatea de a primi fișiere jurnal de sistem.

MARS acceptă echipamente de la diverși furnizori, cum ar fi Cisco, IBM, Check Point, Nokia, Symantec, McAfee, Netscape și alții.

Logica sistemului Cisco MARS se bazează pe interogări către baza de date. Puteți selecta informații și le puteți rafina după adresa IP sursă, adresa IP destinație, porturi, tipuri de evenimente, dispozitive, cuvinte cheie și așa mai departe.

Pe baza cererilor se bazează anumite reguli, care sunt grupate în sistem. Baza de date Cisco MARS conține peste 2000 de reguli. Vă puteți crea propriile reguli, adaptând astfel sistemul în mod flexibil la tipuri specifice de presupuse amenințări.

După salvarea regulii și găsirea informațiilor care îndeplinesc această regulă, se formează un incident.

Având în vedere munca Cisco MARS, vă putem oferi exemplu concret atacând gazda (vezi Figura 7).

Figura 7: Efectuarea unui atac asupra unei gazde

A fost asamblat un stand care conținea Cisco MARS, mai multe switch-uri și un laptop cu produsul Cisco Security Agent instalat. Pentru a emula atacul, serviciile gazdă au fost scanate folosind utilitarul NMAP.

Evenimentele arată astfel:

  • Cisco Security Agent a detectat o scanare de port;
  • Informațiile despre aceasta au ajuns la centrul de management al sistemului Cisco Security Agent, care la rândul său a trimis un mesaj către MARS;
  • MARS a analizat și normalizat mesajul primit într-un singur formular furnizat de baza de date MARS;
  • MARS a produs corelarea sesiunii;
  • Acest eveniment a fost verificat folosind regulile configurate pe MARS pentru a înregistra incidentele de securitate a informațiilor;
  • Verificat pentru false pozitive;
  • A fost generat un incident și informațiile au fost afișate administratorului.

Pagina de pornire Cisco MARS conține informații că a avut loc un incident de securitate din rețea (vezi Figura 8) și arată calea de propagare a atacului (vezi Figura 9).

Figura 8: Afișarea informațiilor despre atac în panoul Cisco MARTE

Figura 9: Calea de propagare a atacului în panoul Cisco MARTE

Făcând clic pe butonul „Toggle Topology”, puteți vedea topologia reală a rețelei și puteți vedea calea de propagare a atacului (vezi Figura 10).

Figura 10: Topologia rețelei a căii de propagare a atacurilor în panoul Cisco MARTE

Ca răspuns la un incident, Cisco MARS oferă mai multe opțiuni pentru a preveni un atac legat de dispozitivul din rețea (vezi Figura 11):

Figura 11: Răspunsul de prevenire a atacurilor

Cisco MARS are, de asemenea, un sistem de raportare flexibil care vă permite să obțineți date detaliate despre toate evenimentele înregistrate. Acest lucru face posibilă implementarea principiului îmbunătățirii protecției (vezi Figura 12).

Figura 12: Principiul îmbunătățirii protecției

Exemplu de soluție completă

Luați în considerare o soluție cuprinzătoare bazată pe produsele de mai sus pentru biroul central al companiei K.

Sediul companiei K are 100 de angajați în trei departamente. Microsoft Active Directory este utilizat pentru a controla accesul utilizatorilor.

Este necesar să se rezolve următoarele sarcini:

  • asigură implementarea politicilor de securitate a informațiilor create pentru angajații fiecărui departament;
  • avea informații la zi despre software rulează pe anumite gazde;
  • să poată controla accesul la sisteme externe pentru gazde din afara mediului corporativ;
  • oferiți acces la rețea pe baza politicilor de securitate a informațiilor specificate;
  • asigurați-vă că verificările specificate sunt efectuate pentru gazdă pe baza contului de domeniu al utilizatorului;
  • asigura monitorizarea evenimentelor care au loc în rețea, precum și colectarea de informații folosind protocolul NetFlow.

Configurarea politicilor Cisco Security Agent

În primul rând, definim drepturile de acces pentru fiecare grup de utilizatori. În conformitate cu aceste reguli de acces, drepturile de acces la domeniu și regulile de filtrare sunt configurate pe echipamentele de rețea active.

Puteți crea reguli de acces la rețea folosind Cisco Security Agent, dar aceste reguli sunt mai mult de natură proprietară. De exemplu, puteți refuza unui anumit utilizator accesul la o anumită resursă (IP, TCP/IP). În acest exemplu, regulile de rețea pentru CSA nu sunt create.

În primul rând, este creată o politică pentru toate grupurile de utilizatori din CSA care face imposibilă dezactivarea aplicației agent. Această politică se aplică tuturor utilizatorilor, inclusiv administratorilor locali.

Apoi este lansat un proces care colectează informații despre software-ul instalat pe computere - un proces numit Application Deployment Investigation. Ca rezultat, obținem un raport (vezi Figura 13).

Figura 13: Raport asupra aplicații instalate cu Cisco Securitate agent

În viitor, putem clasifica datele aplicației, de exemplu, evidențierea din numărul total aplicații de birou, clienți ICQ, aplicații P2P, aplicații de e-mail și așa mai departe. De asemenea, folosind CSA, este posibil să se analizeze comportamentul unei anumite aplicații pentru a crea în continuare politici de securitate a informațiilor.

Pentru toți utilizatorii sediului central, reguli generale pentru toate aplicațiile identificate. Implementarea se realizează în etape - în primul rând, politica de securitate a informațiilor este implementată în modul de audit, ceea ce vă permite să controlați toate evenimentele, dar să nu afecteze acțiunile curente ale utilizatorilor. În viitor, politica finalizată este tradusă în mod operațional.

Pe lângă clasificarea statică a aplicațiilor, CSA prevede clasificarea dinamică - metoda claselor dinamice. De exemplu, aplicația Microsoft Word poate fi clasificată în două clase de aplicații - locale și de rețea și, în funcție de aceasta, i se pot aplica politici de securitate diferite (vezi Figura 14).

Figura 14: Clase dinamice pentru clasificarea aplicațiilor

Pentru protecție antivirus, CSA are încorporat un modul antivirus ClamAV. Dacă aveți un antivirus, acest modul poate fi dezactivat.

Controlul scurgerilor de informații

Pentru a preveni scurgerile de informații confidențiale, CSA oferă un modul special numit Data Loss Prevention.

Când acest plug-in este activat, agentul CSA scanează fișierele pentru informații sensibile. Clasificarea informațiilor este setată manual pe baza șabloanelor - scanarea etichetelor (vezi Figura 15). Este posibil să se efectueze scanarea umbră, precum și scanarea la deschiderea/închiderea fișierelor.

Figura 15: Clasificarea informațiilor sensibile

După finalizarea clasificării, este necesar să se creeze și să se aplice politici de securitate a informațiilor pentru aplicațiile care funcționează cu aceste fișiere. Este necesar să controlați accesul la aceste fișiere, imprimarea, transferul pe medii externe, copierea în clipboard și alte evenimente. Toate acestea se pot face folosind șabloane și reguli standard care sunt preinstalate în Cisco Security Agent.

Configurarea Cisco NAC (Acces curat)

Începând să configurați Cisco NAC, trebuie să înțelegeți clar logica acestui sistem pentru fiecare grup specific de utilizatori.

În cazul implementării în compania K, este planificat ca toți utilizatorii să cadă mai întâi într-un singur VLAN (Vlan 110 în Figura 16). Fiind în acest VLAN, ei trec printr-o procedură de autentificare și verifică conformitatea cu cerințele politicilor de securitate a informațiilor. Accesul de la acest VLAN la resursele rețelei corporative este restricționat. La al doilea nivel al modelului OSI, numai Clean Access Server este disponibil utilizatorilor. În același timp, prin DHCP, utilizatorii primesc adrese IP de la VLAN-uri funcționale, ceea ce elimină nevoia de a reobține o adresă IP.

Figura 16: VLAN de autentificare

În cazul verificării cu succes, utilizatorul este transferat la VLAN-ul „funcțional” (Vlan 10 în Figura 17). Acest număr VLAN este atribuit în funcție de Unitatea Organizațională (OU) căreia îi aparține acest utilizator în Active Directory. Această funcționalitate este posibilă prin utilizarea rolurilor de utilizator în sistemul NAC.

Figura 17: Transferarea unui utilizator la un VLAN „funcțional”.

Toți utilizatorii companiei K sunt configurați să îndeplinească cele mai recente actualizări critice pentru sistemul de operare Windows și să ruleze Cisco Security Agent.

Luați în considerare cum puteți verifica starea Cisco Security Agent pe computerele personale ale utilizatorilor:

  • este creat un nou control (vezi Figura 18);
  • apoi se creează o regulă (vezi figura 19);
  • este creată o cerință (vezi Figura 20);
  • această cerință se aplică în cele din urmă rolului de utilizator.

Figura 18: Crearea unei noi verificări a stării Cisco Security Agent

Figura 19: Crearea unei reguli pentru o nouă verificare a stării Cisco Security Agent

Figura 20: Crearea cerințelor pentru verificarea stării noului agent de securitate Cisco

Ca urmare a configurației efectuate pentru toți utilizatorii grupului HR, pentru a accesa resursele de rețea, trebuie îndeplinită condiția de funcționare a Cisco Security Agent.

Cu ajutorul Cisco NAC, este posibil să verificați relevanța bazelor de date antivirus, starea serviciilor pe gazdele finale și alte lucruri importante.

Fiecare opțiune de configurare este individuală, dar, în același timp, sistemul are inițial un set bogat de cerințe care contribuie la implementarea sa rapidă.

Configurarea Cisco MARS

Cisco Security Agent și Cisco NAC au un sistem bogat de raportare, dar pentru capacitatea de a corela evenimentele, precum și capacitatea de a colecta informații despre evenimente de pe diverse dispozitive, se propune utilizarea sistemului Cisco MARS.

Ca setări de bază pentru sistemul Cisco MARS, puteți specifica adăugarea de dispozitive la sistem (paravane de protecție, IPS, IDS, sisteme antivirus, sisteme de e-mail etc.), configurarea exportului NetFlow pe serverul MARS și configurarea utilizatorilor.

MARS are deja un număr mare de reguli predefinite (vezi Figura 21), care vă permite să puneți rapid sistemul în funcțiune și să primiți informații actualizate despre starea securității informațiilor.

Figura 21: Reguli predefinite cu Cisco MARTE

Pentru o personalizare mai profundă, este necesar, în conformitate cu modelele de amenințări previzibile, să vă creați propriile reguli care vor analiza informațiile primite.

Cu toti conditiile necesare specificat în regulă, se creează un incident, care poate fi văzut pe panoul principal al sistemului. De asemenea, este posibil să trimiteți o notificare prin e-mail personalului de service Cisco MARS.

În acest fel, Cisco MARS asigură că rețeaua brută și informațiile de securitate despre activitățile rău intenționate sunt traduse în informații ușor de înțeles, care sunt utilizate pentru a remedia încălcările de securitate folosind echipamente aflate deja în rețea.

Concluzie

Sistemul considerat complex rezolvă o gamă largă de sarcini, permițând administratorilor să identifice și să elimine încălcările politicilor de securitate ale companiei cât mai curând posibil.

Produsele folosite pentru articol sunt sisteme complete și sunt capabile să funcționeze separat unele de altele, dar în combinarea acestor sisteme stă strategia unei rețele de autoprotecție care poate rezista la cele mai recente amenințări (zero-day) de securitate.

Zabiyakin Igor
Inginer principal, NTS Ltd. (NTS Ltd.)

Dacă sunteți interesat de implementarea produselor de securitate a informațiilor de la Cisco Systems, atunci puteți contacta reprezentanții NTS.

Complexul software și hardware CISCO MARS este conceput pentru a gestiona amenințările de securitate. Sursele de informații despre acestea pot fi: echipamente de rețea (routere și switch-uri), instrumente de protecție (firewall-uri, antivirusuri, sisteme de detectare a intruziunilor și scanere de securitate), jurnalele OS (Solaris, Windows NT, 2000, 2003, Linux) și aplicații (DBMS). , web etc.), precum și trafic de rețea(de exemplu, Cisco Netflow). Cisco MARS acceptă soluții de la diverși furnizori - Cisco, ISS, Check Point, Symantec, NetScreen, Extreme, Snort, McAfee, eEye, Oracle, Microsoft etc.

Mecanismul ContextCorrelation TM vă permite să analizați și să comparați evenimente din instrumente de securitate eterogene. Vizualizarea lor pe harta rețelei în timp real este realizată cu ajutorul mecanismului SureVector TM. Aceste mecanisme vă permit să afișați calea de propagare a atacului în timp real. Blocarea automată a atacurilor detectate se realizează cu ajutorul mecanismului AutoMitigate TM, care vă permite să reconfigurați diverse instrumente de securitate și echipamente de rețea.

Caracteristici cheie

  • Procesează până la 10.000 de evenimente pe secundă și peste 300.000 de evenimente Netflow pe secundă
  • Abilitatea de a crea propriile reguli de corelare
  • Notificarea problemelor detectate prin e-mail, SNMP, prin syslog și pager
  • Vizualizarea unui atac la nivelul conexiunii de date și a rețelei
  • Suport pentru Syslog, SNMP, RDEP, SDEE, Netflow, jurnalele de sistem și utilizatori ca surse de informații
  • Abilitatea de a vă conecta propriile instrumente de protecție pentru analiză
  • Respingerea eficientă a falselor pozitive și a zgomotului, precum și detectarea atacurilor ratate de instrumentele individuale de protecție
  • Detectarea anomaliilor cu protocolul NetFlow
  • Creați și actualizați automat o hartă a rețelei, inclusiv importul din CiscoWorks și alte sisteme de management al rețelei
  • Suport IOS 802.1x, NAC (Faza 2)
  • Monitorizarea mecanismelor de protecție a comutatorului (Inspecție dinamică ARP, IP Source Guard etc.)
  • Integrare cu Cisco Security Manager (CSM Police Lookup)
  • Integrare cu sisteme de management al incidentelor folosind
  • Autentificare server RADIUS
  • Monitorizarea stării de sănătate a componentelor Cisco MARS
  • Redirecționare Syslog
  • Recunoașterea dinamică a noilor semnături de atac pe Cisco IPS și încărcarea acestora în Cisco MARS

Sistemul de monitorizare, analiză și răspuns Cisco MARS

Sistemul de monitorizare, analiză și răspuns al securității Cisco (MARS) este o platformă end-to-end bazată pe hardware, care oferind oportunități de neegalat de monitorizare și control atent al sistemului de securitate existent. Ca element cheie al ciclului de viață de management al securității, Cisco MARS oferă personalului IT și al operațiunilor de rețea capacitatea de a detecta, gestiona și atenua amenințările de securitate.

Descriere

Prețul GPL

Aparatul CS-MARS 25

Aparatul CSMARS 25R 1RU;75 EPS; 250 GB

Dispozitiv CSMARS 55 1RU;1500EPS;500GB,RAID 1,redundant

Dispozitiv CSMARS 110R 2RU;4500EPS;1500GB,RAID 10,redundant

Dispozitiv CSMARS 110 2RU;7500EPS;1500GB,RAID 10,redundant

Dispozitiv CSMARS 210 2RU;15000EPS;2000GB,RAID10,Redundant

Dispozitiv MARS GC2 2RU;2000GB;RAID10;PS redundant

CSMARS-GC2-LIC-K9=

Actualizați licența pentru CS-MARS-GC2R la CS-MARS-GC2


Pe baza investițiilor existente în rețea și sistemul de securitate, acest sistem detectează și izolează elementele care perturbă funcționarea normală a rețelei și, de asemenea, oferă administratorilor recomandări pentru eliminarea lor completă. De asemenea, oferă suport pentru conformitatea cu politicile de securitate și poate fi inclus ca parte a unui sistem general de conformitate.

Administratorii de rețea și securitate se confruntă cu multe provocări, inclusiv:

  • Complexitatea informatică a sistemului de securitate și a rețelei.
  • Mijloace insuficiente de detectare, prioritizare și dezvoltare a răspunsurilor la atacuri și eșecuri.
  • Complexitate crescută, viteză de propagare și costuri de remediere pentru atacuri.
  • Necesitatea respectării cerințelor de conformitate și raportare.
  • Lipsa profesioniștilor în securitate și a fondurilor.

Cisco MARS abordează aceste provocări prin următorii pași:

  • Integrarea în rețea a funcțiilor inteligente pentru creșterea eficienței mecanismului de corelare a anomaliilor rețelei și a evenimentelor de securitate.
  • Vizualizați încălcările de securitate confirmate și automatizați investigarea acestora.
  • Respinge atacurile profitând din plin de rețeaua și infrastructura de securitate existentă.
  • Monitorizați punctele finale, rețeaua și operațiunile de securitate pentru a asigura conformitatea cu reglementările.
  • Furnizarea unui dispozitiv care este scalabil și ușor de implementat și utilizat cu cel mai mic cost total de proprietate (TCO).

Cisco MARS transformă datele brute despre activitățile rău intenționate furnizate de rețea și securitate în informații ușor de înțeles care pot fi utilizate pentru a aborda încălcările de securitate confirmate și pentru a asigura conformitatea cu reglementările. O suită de instrumente de atenuare a amenințărilor bazate pe hardware ușor de utilizat le permite administratorilor să detecteze, să prioritizeze și să respingă amenințările în mod centralizat cu dispozitivele de rețea și de securitate deja încorporate în infrastructură.


Articole similare

Povești audio pentru copii

Povești audio pentru copii

Aplicația mobilă „Carte școlară”

Aplicația mobilă „Carte școlară”

Bătălia lui Alexandru cel Mare cu Darius

Bătălia lui Alexandru cel Mare cu Darius

×
închide