Bezpečnostní vlastnosti moderních sítí Ivo Němeček, CCIE #4108 Manager, Systems Engineering CyberSecurity konference, 4.2. 2014
Cisco ExpoExpo Cisco
© 2011 Cisco and/or its affiliates. All rights reserved. © 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
1
Nepřetržité útoky
PŘED
BĚHEM
Řízení Vynucení Posílení
Sít
Zjištění Blokování Obrana
Koncové prvky
Cisco ExpoExpo Cisco
Rozsah Omezení Zotavení
Mobilní
Koncentrované
© 2011 Cisco and/or its affiliates. All rights reserved. © 2011 Cisco and/or its affiliates. All rights reserved.
POTÉ
Virtuální
Cloud
Spojité
Cisco Public
2
KDE KDY
CO
JAK
KDO
Vhled, kontext a řízení zařízení
Síť
Kontext
Cisco ISE
NG FW / IPS
Cisco ISR G2 + NBAR
NetFlow Data pro vhled do komunikace od přístupové vrstvy Cisco ExpoExpo Cisco
Obohacení Flow dat o identitu, událostí a aplikační info pro kontext © 2011 Cisco and/or its affiliates. All rights reserved. © 2011 Cisco and/or its affiliates. All rights reserved.
Jednotný pohled na síť pro detekci, vyšetřování a výkazy Cisco Public
3
Ochrana dat pomocí šifrování L2 (MACSec)
Šifrování dat
Šifrování dat In
Data v theotevřené Clear formě
802.1AE
802.1AE
Dešifrování na vstupu do rozhraní
CORPORATE RESOURCES
Šifrování na výstupu z rozhraní
Pakety uvnitř přepínače nejsou šifrované
Řešení Důvěrnost dat se zachovanou viditelností datových toků Cisco ExpoExpo Cisco
Typický scénář nasazení Šifrování na L2 – „Hop by Hop”
© 2011 Cisco and/or its affiliates. All rights reserved. © 2011 Cisco and/or its affiliates. All rights reserved.
Viditelnost datových toků pro uplatňování bezpečnostních pravidel a QoS
Cisco Public
4
Security Intelligence Operations (SIO) Globální telemetrie pro hrozby Cloud web security
Cisco SensorBase
Bezpečnostní operační středisko
Propracované algoritmy
PSIRT Applied Mitigation
IP Reputation
Zpětná vazba v reálném čase
Cisco AnyConnect Endpoints
Cisco ASA Context-Aware Firewall
Edge Cisco ExpoExpo Cisco
Cisco Web Security Appliances
Cisco Email Security Appliances
Cloud © 2011 Cisco and/or its affiliates. All rights reserved. © 2011 Cisco and/or its affiliates. All rights reserved.
Cisco IDS/IPS Appliances/ Modules
Data Center
Cisco Cloud-based Security
Cisco Identity Services Engine
Branch Cisco Public
5
Automatizované profilování zařízení pomocí ISE a technologie IOS Sensor KLASIFIKACE ZAŘÍZENÍ Profilování zařízení v přepínaných i bezdrátových sítích ISE WLAN AP
Pravidla
TISKÁRNA
Videotelefon
Pravidla pro tiskárnu
[omezený přístup]
[připoj do VLAN X] CDP LLDP DHCP MAC
Řešení ISE Profiler + IOS Sensor
Cisco ExpoExpo Cisco
Pravidla pro videotelefon
CDP LLDP DHCP MAC
Typický scénář spolupráce ISE a Cisco IOS Sensor Sběr dat – přepínač shromažďuje data týkající se zařízení a předává je do ISE
Klasifikace – ISE klasifikuje zařízení, shromažďuje informace o datovém toku a poskytuje informace o zařízení
© 2011 Cisco and/or its affiliates. All rights reserved. © 2011 Cisco and/or its affiliates. All rights reserved.
Autorizace – ISE uplatňuje pravidla podle vyprofilovaného kontextu Cisco Public
6
PROFILOVÁNÍ
IDENTITA
ISE
1
HTTP NETFLOW SNMP DNS RADIUS Firemní DHCP
802.1x EAP ověření uživatele VLAN 10 VLAN 20
2
HQ
Firemní zařízení
Profilování zařízení
Wireless LAN Controller
14:38 Vlastní zařízení
pouze internet
Definice pravidel
3
5
Stav zařízení
Prosazení pravidel v síti
Jednotná správa přístupu
Cisco ExpoExpo Cisco
zdroje
4
© 2011 Cisco and/or its affiliates. All rights reserved. © 2011 Cisco and/or its affiliates. All rights reserved.
6
Plný nebo omezený přístup přidělen
Cisco Public
7
• Administrátor může provést vzdáleně akce na
zařízení přes MDM server (např. vymazat data) MyDevices Portal ISE Endpoints Directory
• • • • • • • Cisco ExpoExpo Cisco
© 2011 Cisco and/or its affiliates. All rights reserved. © 2011 Cisco and/or its affiliates. All rights reserved.
Volby Upravit Obnovit Ztráta? Odstranit Zcela vymazat Vymazat firemní Uzamknout Cisco Public
8
News
Source Port
flow record app_record match ipv4 source Packet #1 address 10.1.1.1 match ipv4 destination address 173.194.34.134 match ….. match application name 20457
Destination Port
23
Destination Port
80
Layer 3 protocol
6
Layer 3 protocol
6
TOS byte
0
TOS byte
0
Ingres Interface
Ethernet 0
Ingres Interface
Ethernet 0
Key Fields Source IP
Destination IP
Cisco ExpoExpo Cisco
NetFlow cache
Key Fields
Packet #2
Source IP
10.1.1.1
Destination IP
72.163.4.161
Source Port
30307
Src. IP
Dest. Dest. IP IP
Src. Port
Dest. Port
Layer 3 Prot.
TOS Byte
Ingress Intf.
10.1.1.1 10.1.1.1
173.194.34.13 173.194.34.13 4. 4
20457 20457
80 80
6 6
0 0
Ethernet 0 Ethernet 0
HTTP
10.1.1.1
72.163.4.161
30307
80
6
0
Ethernet 0
Youtube
App Name
Times tamps
First packet of a flow will create the Flow entry using the Key Fields” Remaining packets of this flow will only update statistics (bytes, counters, timestamps) © 2011 Cisco and/or its affiliates. All rights reserved. © 2011 Cisco and/or its affiliates. All rights reserved.
Byttes
Packets
Cisco Public
9
Zařízení
Přístup
Branch
Catalyst® 3750-X
Distribution
Catalyst® 3750-X Stack
Management
Edge StealthWatch FlowCollector
Sběr a analýza NetFlow záznamů
ISR
NetFlow
Access Point WLC
Siteto-Site VPN
StealthWatch Management Console
Access Point
Campus
Catalyst® 3560-X
Korelace a zobrazení informací o tocích a identitě
FW Catalyst® 4500
Identity Data Center
Cisco ISE
Catalyst® Catalyst® 6500 6500 Catalyst®
6500
AAA služby, profiling a inspekce koncových zařízení Cisco ExpoExpo Cisco
Remote Access NetFlow Iinfrastruktura © 2011 Cisco and/or its affiliates. All rights reserved. © 2011 Cisco and/or its affiliates. All rights reserved.
Cisco TrustSec: Řízení přístupu, profiling a posture NetFlow Capable
Cisco Public
10
Hybridní ochrana web komunikace s AnyConnect klientem
AnyConnect
Novinky
Email
Sociální sítě
Podnikové SaaS
Sdílení informací mezi ASA a WSA
ASA
Cisco Web Security Appliance
Firemní AD
Cisco ExpoExpo Cisco
© 2011 Cisco and/or its affiliates. All rights reserved. © 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
11
1. vMotion přesouvá VM mezi fyzickými porty—pravidla v síti musí následovat vMotion
2. Potřebujeme vidět lokálně přepínaná data a aplikovat na ně pravidla
Port Group
Správce bezpečnosti
3. Musíme zajistit oddělení rolí pro zachování nepřerušeného provozu Správce serverů
Správce sítě
Cisco ExpoExpo Cisco
© 2011 Cisco and/or its affiliates. All rights reserved. © 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
12
Virtual Security Gateway
PRIVÁTNÍ CLOUD
ASA1000V
Nexus 1000V Switch
Datové centrum FW, IPS
Připojení partnerů ZABEZPEČENÍ:
Nexus 1000V
© 2010 Cisco and/or its affiliates. All rights reserved.
VSG
ASA
VPN
Cisco Confidential
13 13
Znám reputace ! Potřebuji data o hrozbách…
SIO
Mám bezp. události
Potřebuji indentitu
pxGrid Context Orchestration Potřebuji znát oprávnění…
Potřebuji informaci o identitě & skupinách…
Mám NBAR info!
Potřebuji znát reputaci…
Mám NetFlow!
Mám informaci o aplikacích !
Jeden protokol pro bezpečný přístup Přímý a řízený přístup k rozhraním
Znám místa! potřebuji identitu…
Mám MDM info! potřebuji místo…
Mám data o hrozbách !
Mám inventuru aplikací !
Potřebuji reputaci…
Potřebuji info o stavu zařízení…
Znám identitu & typy zařízení !
Mám záznamy z firewallů!
Potřebuji inventuru aplikace & zranitelností
Potřebuji identitu… Cisco ExpoExpo Cisco
© 2011 Cisco and/or its affiliates. All rights reserved. © 2011 Cisco and/or its affiliates. All rights reserved.
Cisco Public
14
Business pravidla Kdo
Kdy
Jak
Kde
Kdy
Porozumění hrozbám Globální inteligence
Prosazení v síti
Cisco ExpoExpo Cisco
V síťové infrastruktuře
Operační středisko
Překryvné, výkonné
© 2011 Cisco and/or its affiliates. All rights reserved. © 2011 Cisco and/or its affiliates. All rights reserved.
Dyn. aktualizace
Připojené do cloudu
Cisco Public
15
Děkuji
