Bezpečnostní vlastnosti moderních sítí Ivo Němeček, CCIE #4108 Manager, Systems Engineering CyberSecurity konference, 4.2. 2014 1
Nepřetržité útoky PŘED Řízení Vynucení Posílení BĚHEM Zjištění Blokování Obrana POTÉ Rozsah Omezení Zotavení Sít Koncové prvky Mobilní Virtuální Cloud Koncentrované Spojité 2
CO KDE KDY KDO JAK Vhled, kontext a řízení zařízení Síť Kontext ISE NG FW / IPS ISR G2 + NBAR NetFlow Data pro vhled do komunikace od přístupové vrstvy Obohacení Flow dat o identitu, událostí a aplikační info pro kontext Jednotný pohled na síť pro detekci, vyšetřování a výkazy 3
Ochrana dat pomocí šifrování L2 (MACSec) Šifrování dat 802.1AE Data v otevřené formě In the Clear Šifrování dat 802.1AE CORPORATE RESOURCES Dešifrování na vstupu do rozhraní Šifrování na výstupu z rozhraní Pakety uvnitř přepínače nejsou šifrované Řešení Typický scénář nasazení Důvěrnost dat se zachovanou viditelností datových toků Šifrování na L2 Hop by Hop Viditelnost datových toků pro uplatňování bezpečnostních pravidel a QoS 4
Security Intelligence Operations (SIO) Globální telemetrie pro hrozby Cloud web security SensorBase Bezpečnostní operační středisko Propracované algoritmy PSIRT Applied Mitigation IP Reputation Zpětná vazba v reálném čase AnyConnect Endpoints ASA Context-Aware Firewall Edge ExpoExpo Web Security Appliances Email Security Appliances Cloud 2011 and/or its affiliates. All rights reserved. 2011 and/or its affiliates. All rights reserved. IDS/IPS Appliances/ Modules Data Center Cloud-based Security Identity Services Engine Branch 5
Automatizované profilování zařízení pomocí ISE a technologie IOS Sensor WLAN AP KLASIFIKACE ZAŘÍZENÍ Profilování zařízení v přepínaných i bezdrátových sítích ISE Pravidla Pravidla pro tiskárnu TISKÁRNA Videotelefon Pravidla pro videotelefon [připoj do VLAN X] CDP LLDP DHCP MAC CDP LLDP DHCP MAC [omezený přístup] Řešení ISE Profiler + IOS Sensor Typický scénář spolupráce ISE a IOS Sensor Sběr dat přepínač shromažďuje data týkající se zařízení a předává je do ISE Klasifikace ISE klasifikuje zařízení, shromažďuje informace o datovém toku a poskytuje informace o zařízení Autorizace ISE uplatňuje pravidla podle vyprofilovaného kontextu 6
IDENTITA HQ 14:38 1 802.1x EAP ověření uživatele Firemní zařízení Vlastní zařízení 2 Profilování zařízení 3 Stav zařízení ISE Wireless LAN Controller Jednotná správa přístupu VLAN 10 VLAN 20 4 Definice pravidel 5 Prosazení pravidel v síti PROFILOVÁNÍ HTTP NETFLOW SNMP DNS RADIUS Firemní DHCP zdroje pouze internet 6 Plný nebo omezený přístup přidělen 7
Administrátor může provést vzdáleně akce na zařízení přes MDM server (např. vymazat data) MyDevices Portal ISE Endpoints Directory Volby Upravit Obnovit Ztráta? Odstranit Zcela vymazat Vymazat firemní Uzamknout 8
News Key Fields Packet #1 Source IP 10.1.1.1 Destination IP address 173.194.34.134 Source Port 20457 Destination Port 23 Layer 3 protocol 6 flow record app_record match ipv4 source address match ipv4 destination match.. match application name Key Fields Packet #2 Source IP 10.1.1.1 Destination IP 72.163.4.161 Source Port 30307 Destination Port 80 Layer 3 protocol 6 TOS byte 0 Ingres Interface Ethernet 0 NetFlow cache TOS byte 0 Ingres Interface Ethernet 0 Src. IP Dest. IP Src. Port Dest. Port Layer 3 Prot. TOS Byte Ingress Intf. App Name Times tamps Byttes Packets 10.1.1.1 173.194.34.13 10.1.1.1 173.194.34.13 4. 4 20457 80 Ethernet 20457 80 6 0 Ethernet 0 HTTP 10.1.1.1 72.163.4.161 30307 80 6 0 Ethernet 0 Youtube First packet of a flow will create the Flow entry using the Key Fields Remaining packets of this flow will only update statistics (bytes, counters, timestamps) 9
Zařízení Přístup Distribution Edge Management Branch Campus Data Center Catalyst 3750-X Access Point Access Point Catalyst 3560-X Catalyst 4500 Catalyst 6500 Catalyst 3750-X Stack Catalyst 6500 WLC Catalyst 6500 ISR NetFlow Siteto-Site VPN FW Identity Remote Access StealthWatch FlowCollector ISE Sběr a analýza NetFlow záznamů StealthWatch Management Console Korelace a zobrazení informací o tocích a identitě TrustSec: Řízení přístupu, profiling a posture AAA služby, profiling a inspekce koncových zařízení NetFlow Iinfrastruktura NetFlow Capable 10
Hybridní ochrana web komunikace s AnyConnect klientem AnyConnect Novinky Email Sdílení informací mezi ASA a WSA ASA Web Security Appliance Sociální sítě Podnikové SaaS Firemní AD 11
1. vmotion přesouvá VM mezi fyzickými porty pravidla v síti musí následovat vmotion Port Group 2. Potřebujeme vidět lokálně přepínaná data a aplikovat na ně pravidla Správce bezpečnosti Správce serverů 3. Musíme zajistit oddělení rolí pro zachování nepřerušeného provozu Správce sítě 12
Virtual Security Gateway PRIVÁTNÍ CLOUD ASA1000V Datové centrum FW, IPS Nexus 1000V Switch Připojení partnerů ZABEZPEČENÍ: Nexus 1000V VSG ASA VPN 2010 and/or its affiliates. All rights reserved. Confidential 13
Znám reputace! Potřebuji data o hrozbách Mám bezp. události Potřebuji znát reputaci SIO Mám informaci o aplikacích! Potřebuji informaci o identitě & skupinách Mám NBAR info! Potřebuji indentitu Mám NetFlow! Potřebuji znát oprávnění pxgrid Context Orchestration Jeden protokol pro bezpečný přístup Přímý a řízený přístup k rozhraním Znám místa! potřebuji identitu Mám MDM info! potřebuji místo Mám data o hrozbách! Potřebuji reputaci Mám záznamy z firewallů! Potřebuji identitu Mám inventuru aplikací! Potřebuji info o stavu zařízení Znám identitu & typy zařízení! Potřebuji inventuru aplikace & zranitelností 14
Business pravidla Kdo Kdy Jak Kde Kdy Porozumění hrozbám Globální inteligence Operační středisko Dyn. aktualizace Prosazení v síti V síťové infrastruktuře Překryvné, výkonné Připojené do cloudu 15
Děkuji