Как выбрать решение для сетевой защиты
Сегодня крайне сложно вступать в споры о том, к какому типу относится тот или иной межсетевой экран. Мы в Cloud Networks считаем, что прежде всего нужно отталкиваться от тех требований, которые необходимы каждому отдельному заказчику.
Поэтому мы уделяем много ресурсов на точный подбор решения и не акцентируем внимание на том, что «хуже», а что «лучше». Главное, чтобы решение справлялось со своими задачами
Если же говорить о замене зарубежного NGFW на отечественное решение, то наш ответ – да, это реально, мы это делаем и это работает.
При выборе NGFW нужно рассматривать функции защиты, встроенные в конкретный межсетевой экран. Существуют как унифицированные решения NGFW для малого и среднего бизнеса, так и те, что включают расширенные функции.
Cloud Networks советует рассмотреть следующие критерии:
- Тип платформы (аппаратное устройство, программное решение или облачное).
- Набор функций (глубокая проверка пакетов, контроль приложений, проверка SSL/SSH, DLP и прочее).
- Производительность (у продукта должна быть высокая пропускная способность, соответствующая заявленной поставщиком).
- Управляемость (у решения должна быть современная удобная и гибкая консоль управления).
- Техническая поддержка.
А также наличие следующих характеристик:
- Интеллектуальная фильтрация URL-адресов.
- Встроенные правила передовой практики.
- Возможности мониторинга туннелей.
- Функционал создания VPN туннелей.
- Проверка почтового трафика.
- Поддержка кластеризации и отказоустойчивости.
- Управление пропускной способностью.
- Проксирование приложений.
- Поддержка политики BYOD.
- Инспектирование SSL-трафика.
- DNS-фильтрация.
- Функция балансировщика нагрузки.
- Управление мобильными устройствами.
- Защита от отказа в обслуживании (DoS).
- Защита от уязвимостей.
- Антишпионское ПО, вредоносное ПО, сканирование программ-вымогателей.
- Предотвращение потери данных (DLP) и многое другое.
Особенности исполнения и работы UserGate X1
Работа в экстремальных условиях
Программно-аппаратный комплекс UserGate X1, в отличие от других устройств линейки, рассчитан на работу в самых суровых условиях, при температурах от -40 °C до +70 °C и относительной влажности от 5 до 95%. Модель обладает компактными размерами, весит около 1 кг и имеет настенное крепление или крепление на DIN-рейку. Все это делает возможным ее применение для защиты промышленных, транспортных и других объектов, расположенных на открытом воздухе.
Комплексная безопасность
Работа модели UserGate X1 основана на тех же технологиях, что используются в решениях UserGate для защиты корпоративных сетей. С ее помощью можно использовать функциональность межсетевого экрана нового поколения (NGFW, Next Generation Firewall), обеспечить защиту от атак (IDPS, Intrusion Detection and Prevention System), блокирование опасных скриптов и приложений, защиту от вирусов, а также оптимизировать другие функции безопасности. UserGate X1 обрабатывает трафик со скоростью до 300 Мбит/с в режиме межсетевого экрана и до 10–15 Мбит/с в режиме с включенными функциями безопасности (предотвращение вторжений, защита от угроз и т.д).
UserGate X1 использует собственную операционную систему UGOS, что гарантирует высокую скорость устранения неполадок и возможность оперативной доработки системы даже для самых сложных бизнес-требований.
Безопасное подключение по VPN
UserGate X1 поддерживает VPN (Virtual Private Network) – создание логических сетей поверх другой сети (например, Интернета) для защищенного соединения различных объектов. При этом одно устройство UserGate Х1 выступает в качестве сервера, а другое – в роли клиента, инициирующего соединение. Такое подключение позволяет объединить удаленные сети предприятия в единую логическую сеть и применять к ним единые настройки безопасности без лишних усилий.
Для создания туннелей используется протокол Layer 2 Tunnelling Protocol (L2TP), а для защиты передаваемых данных – протокол IPSec.
Соответствие регламентирующим документам
UserGate X1 полностью соответствует требованиям РФ к функциональности и информационной защите критически важных производственных объектов: он способен контролировать передачу блока ASDU, описанного в документе ГОСТ Р МЭК 60870-5-104, и гарантирует соответствие эксплуатируемых и внедряемых решений АСУ ТП приказу No 31 ФСТЭК России.
Наличие сертификата ФСТЭК России
Межсетевой экран UserGate X1 сертифицирован ФСТЭК России по требованиям к межсетевым экранам (4-й класс, профили А и Б) и к системам обнаружения вторжений (4-й класс), а также по 4-му уровню доверия. Таким образом, UserGate Х1 может использоваться в составе автоматизированных систем (АС) до класса защищенности 1Г, значимых объектов КИИ I категории, а также в информационных системах персональных данных (ИСПДн) 1-го уровня защищенности, государственных информационных системах (ГИС) 1-го класса защищенности, автоматизированных системах управления технологическими процессами 1-го класса защищенности и информационных системах общего пользования 2-го класса.
- https://www.itsec.ru/news/kolichestvo-iot-ustroystv-i-scada-sistem-bez-sootvetstvuyushih-mer-bezopasnosti-prodolzhayetia-uvelichivatsia
- https://www.itsec.ru/news/bolee-70-uyazvimostey-v-asu-tp-mogut-bit-proexpluatirovani-udalionno
- https://www.usergate.com/ru/products/usergate-x
Модели
5505, представленный в 2010 году, был настольным устройством, предназначенным для малых предприятий и филиалов. Он включает в себя функции, позволяющие снизить потребность в другом оборудовании, например, встроенный переключатель, и питание через Ethernet порты.5585-X — это более мощный агрегат для центры обработки данных введен в 2010 году. Он работает в 32-битном режиме на чипе Atom с архитектурой Intel.
Модель | 5505 | 5510 | 5520 | 5540 | 5550 | 5580-20 | 5580-40 | 5585-X SSP10 | 5585-X SSP20 | 5585-X SSP40 | 5585-X SSP60 |
---|---|---|---|---|---|---|---|---|---|---|---|
Открытый текст пропускная способность, Мбит / с | 150 | 300 | 450 | 650 | 1,200 | 5,000 | 10,000 | 3,000 | 7,000 | 12,000 | 20,000 |
AES /Тройной DES пропускная способность, Мбит / с | 100 | 170 | 225 | 325 | 425 | 1,000 | 1,000 | 1,000 | 2,000 | 3,000 | 5,000 |
Максимальное количество одновременных подключений | 10 000 (25 000 с лицензией Sec Plus) | 50 000 (130 000 с лицензией Sec Plus) | 280,000 | 400,000 | 650,000 | 1,000,000 | 2,000,000 | 1,000,000 | 2,000,000 | 4,000,000 | 10,000,000 |
Максимальное количество сеансов VPN между сайтами и удаленного доступа | 10 (25 с лицензией Sec Plus) | 250 | 750 | 5,000 | 5,000 | 10,000 | 10,000 | 5,000 | 10,000 | 10,000 | 10,000 |
Максимальное количество пользовательских сессий SSL VPN | 25 | 250 | 750 | 2,500 | 5,000 | 10,000 | 10,000 | 5,000 | 10,000 | 10,000 | 10,000 |
Модель | 5505 | 5510 | 5520 | 5540 | 5550 | 5580-20 | 5580-40 | 5585-X SSP10 | 5585-X SSP20 | 5585-X SSP40 | 5585-X SSP60 |
Cisco определила, что у большинства устройств начального уровня слишком мало возможностей для включения необходимых функций, таких как антивирус или песочница, и поэтому представила новую линейку, названную межсетевым экраном следующего поколения. Они работают в 64-битном режиме.
Модели по состоянию на 2018 год.
Модель | 5506-X | 5506W-X | 5506H-X | 5508-X | 5512-X | 5515-X | 5516-X | 5525-X | 5545-X | 5555-X | 5585-X |
---|---|---|---|---|---|---|---|---|---|---|---|
Пропускная способность Гбит / с | 0.25 | 0.25 | 0.25 | 0.45 | 0.3 | 0.5 | 0.85 | 1.1 | 1.5 | 1.75 | 4-40 |
GB порты | 8 | 8 | 4 | 8 | 6 | 6 | 8 | 8 | 8 | 8 | 6-8 |
Порты на десять ГБ | 2-4 | ||||||||||
Фактор формы | рабочий стол | рабочий стол | рабочий стол | 1 RU | 1 RU | 1 RU | 1 RU | 1RU | 1RU | 1RU | 2RU |
Архитектура
Программное обеспечение ASA основано на Linux. Он запускает одну программу в формате исполняемых и связываемых файлов под названием lina. Это составляет внутреннее планирование процессов, а не использование средств Linux. В последовательности загрузки запускается загрузчик под названием ROMMON (монитор ROM), загружает ядро Linux, которое затем загружает lina_monitor, который затем загружает lina. ROMMON также имеет командную строку, которую можно использовать для загрузки или выбора других образов и конфигураций программного обеспечения. Имена файлов прошивки включают индикатор версии, -smp означает, что это для симметричный мультипроцессор (и 64-битная архитектура), и разные части также указывают, 3DES или же AES поддерживается или нет.
Программное обеспечение ASA имеет интерфейс, аналогичный Cisco IOS ПО на роутерах. Существует интерфейс командной строки (CLI), который можно использовать для запроса работы или настройки устройства. В режиме конфигурации вводятся операторы конфигурации. Конфигурация изначально находится в памяти как рабочая конфигурация, но обычно сохраняется во флэш-памяти.
версии программного обеспечения | |||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
основной выпуск | 7.0 | 7.1 | 7.2 | 8.0 | 8.1 | 8.2 | 8.3 | 8.4 | 8.5 | 8.6 | 8.7 | 9.0 | 9.1 | 9.2 | 9.3 | 9.4 | 9.5 | 9.6 | 9.7 | 9.8 | 9.9 |
вышел | 31 мая 2005 г. | 6 февраля 2006 г. | 31 мая 2006 г. | 18 июня 2007 г. | 1 марта 2008 г. | 6 мая 2009 года | 8 марта 2010 г. | 31 янв 2011 | 8 июля 2011 г. | 28 февраля 2012 г. | 16 октября 2012 г. | 29 октября 2012 г. | 3 декабря 2012 г. | 24 апреля 2014 г. | 24 июл 2014 | 30 марта 2015 г. | 12 августа 2015 | 21 марта 2016 г. | 4 апреля 2017 | 15 мая 2017 | 4 декабря 2017 г. |
конец жизни | × | × | × | × | × | × | × | × | × | × | × | × | × | × | |||||||
для 5505-5550 | Y | Y | Y | Y | Y | Y | Y | Y | Y | ||||||||||||
для 5512-5585-X | Y | Y | Y | Y | Y | Y | Y | Y | Y | Y | Y | Y |
Порядок обеспечения защиты информации при взаимодействии с информационными сетями общего пользования.
Подключение ЛВС предприятия (учреждения) к Сети должно осуществляться
через средства разграничения доступа в виде межсетевого
экрана (МЭ). Не допускается подключение ЛВС к Сети в обход МЭ. МЭ должны
быть сертифицированы по требованиям безопасности информации.
Доступ к МЭ, к средствам его конфигурирования должен осуществляться
только выделенным администратором с консоли.
Абонентский пункт (АП) с помощью МЭ должен обеспечивать создание сеансов
связи абонентов с внешними серверами Сети и получать с этих серверов только
ответы на запросы абонентов. Настройка МЭ должна обеспечивать отказ в
обслуживании любых внешних запросов, которые могут направляться на АП.
Коммуникационное оборудование (маршрутизаторы, коммутаторы, концентраторы и
пр.) и все соединения с локальными периферийными устройствами ЛВС должны
располагаться в пределах контролируемой зоны. При
конфигурировании коммуникационного оборудования) и прокладке кабельной
системы ЛВС рекомендуется учитывать разделение трафика по отдельным сетевым
фрагментам на производственной основе и видам деятельности предприятия.
При подключении ЛВС к АС с другим классом защищенности необходимо использовать межсетевой экран в соответствии с НПА.
Если каналы связи выходят за пределы контролируемой зоны, необходимо использование
защищенных каналов связи либо сертифицированных криптографических средств защиты.
Информация для заказа межсетевого экрана с отслеживанием состояния Cisco ASA 5585-X
Младшие устройства Cisco ASA серии 5506-X (Аппаратное обеспечение) | |
АСА5506-К8 | ASA 5506-X с сервисами FirePOWER, 8Данные GE, 1GE Mgmt, переменный ток, ОТ |
АСА5506-К9 | ASA 5506-X с сервисами FirePOWER, 8Данные GE, 1GE Mgmt, переменный ток, 3ДЕС/АЕС |
ASA5506W-A-K9 | ASA 5506W-A-X с сервисами FirePOWER, Wi-Fi для Северной Америки (НЕ НАМ), 8Данные GE, 1GE Mgmt, переменный ток, 3ДЕС/АЕС |
ASA5506W-B-K9 | ASA 5506W-B-X с сервисами FirePOWER, WiFi только для США, 8Данные GE, 1GE Mgmt, переменный ток, 3ДЕС/АЕС |
ASA5506W-E-K9 | ASA 5506W-E-X с сервисами FirePOWER, Wi-Fi для Европы, 8Данные GE, 1GE Mgmt, переменный ток, 3ДЕС/АЕС |
ASA5506W-Q-K9 | ASA 5506W-Q-X с сервисами FirePOWER, Wi-Fi для Японии, 8Данные GE, 1GE Mgmt, переменный ток, 3ДЕС/АЕС |
ASA5506W-Z-K9 | ASA 5506W-Z-X с сервисами FirePOWER, Wi-Fi для Австралии/Новой Зеландии, 8Данные GE, 1GE Mgmt, переменный ток, 3ДЕС/АЕС |
АСА5506Х-СП-БУН-К9 | ASA 5506H-X с сервисами FirePOWER, прочный, безопасность плюс, 4Данные GE, 1GE Mgmt, переменный ток, 3ДЕС/АЕС |
АСА5506Х-СП-БУН-К8 | ASA 5506H-X с сервисами FirePOWER, прочный, безопасность плюс, 4Данные GE, 1GE Mgmt, переменный ток, ОТ |
АСА5508-К8 | ASA 5508-X с сервисами FirePOWER, 8Данные GE, 1GE Mgmt, переменный ток, ОТ |
АСА5508-К9 | ASA 5508-X с сервисами FirePOWER, 8Данные GE, 1GE Mgmt, переменный ток, 3ДЕС/АЕС |
АСА5516-ФПВР-К8 | ASA 5516-X с сервисами FirePOWER, 8Данные GE, 1GE Mgmt, переменный ток, ОТ |
АСА5516-ФПВР-К9 | ASA 5516-X с сервисами FirePOWER, 8Данные GE, 1GE Mgmt, переменный ток, 3ДЕС/АЕС |
АСА5512-ФПВР-К9 | ASA 5512-X с сервисами FirePOWER, 6данные GE, переменный ток, 3ДЕС/АЕС, SSD |
АСА5515-ФПВР-К9 | ASA 5515-X с сервисами FirePOWER, 6данные GE, переменный ток, 3ДЕС/АЕС, SSD |
АСА5525-ФПВР-К9 | ASA 5525-X с сервисами FirePOWER, 8данные GE, переменный ток, 3ДЕС/АЕС, SSD |
АСА5545-ФПВР-К9 | ASA 5545-X с сервисами FirePOWER, 8данные GE, переменный ток, 3ДЕС/АЕС, 2 SSD |
АСА5555-ФПВР-К9 | ASA 5555-X с сервисами FirePOWER, 8данные GE, переменный ток, 3ДЕС/АЕС, 2 SSD |
Интерфейсные карты Cisco ASA серии 5500-X | |
ASA-IC-6GE-CU-A | Интерфейсная карта Cisco ASA с 6 медные порты данных GE для ASA 5512-X и ASA 5515-X |
ASA-IC-6GE-CU-B | Интерфейсная карта Cisco ASA с 6 медные порты данных GE для ASA 5525-X |
ASA-IC-6GE-CU-C | Интерфейсная карта Cisco ASA с 6 медные порты данных GE для ASA 5545-X и ASA 5555-X |
АСА-ИК-6ГЭ-СФП-А | Интерфейсная карта Cisco ASA с 6 Порты данных SFP GE (СС, левый, и ЛХ) для ASA 5512-X и ASA 5515-X |
АСА-ИК-6ГЭ-СФП-Б | Интерфейсная карта Cisco ASA с 6 Порты данных SFP GE (СС, левый, и ЛХ) для ASA 5525-X |
ASA-IC-6GE-SFP-C | Интерфейсная карта Cisco ASA с 6 Порты данных SFP GE (СС, левый, и ЛХ) для ASA 5545-X и ASA 5555-X |
ASA-IC-6GE-CU-A = | Интерфейсная карта Cisco ASA с 6 медные порты данных GE для ASA 5512-X и ASA 5515-X (запасной) |
ASA-IC-6GE-CU-B = | Интерфейсная карта Cisco ASA с 6 медные порты данных GE для ASA 5525-X (запасной) |
ASA-IC-6GE-CU-C = | Интерфейсная карта Cisco ASA с 6 медные порты данных GE для ASA 5545-X и ASA 5555-X (запасной) |
ASA-IC-6GE-SFP-A= | Интерфейсная карта Cisco ASA с 6 Порты данных SFP GE (СС, левый, и ЛХ) для ASA 5512-X и ASA 5515-X (запасной) |
Аксессуары Cisco ASA серии 5500-X | |
GLC-SX-MM= | Оптический разъем SFP Cisco GE, 1000Коротковолновый приемопередатчик BASE-SX (запасной) |
КЗС-ЛХ-СМ= | Оптический разъем SFP Cisco GE, 1000BASE-LX/LH длинноволновый/дальнемагистральный приемопередатчик (запасной) |
GLC-SX-MMD= | Оптический разъем SFP Cisco GE, 1000Коротковолновый приемопередатчик BASE-SX, цифровой оптический контроль (цифровой оптический контроль) (запасной) |
цифровой оптический контроль | Оптический разъем SFP Cisco GE, 1000BASE-LX/LH длинноволновый/дальнемагистральный приемопередатчик, цифровой оптический контроль (запасной) |
цифровой оптический контроль | цифровой оптический контроль (цифровой оптический контроль) (запасной) |
цифровой оптический контроль | цифровой оптический контроль (цифровой оптический контроль) (запасной) |
цифровой оптический контроль | цифровой оптический контроль (цифровой оптический контроль) (запасной) |
Возможности
- Межсетевое экранирование с учетом состояния соединений;
- Глубокий анализ протоколов прикладного уровня;
- Трансляция сетевых адресов;
- IPsec VPN;
- SSL VPN (подключение к сети через веб-интерфейс);
- Протоколы динамической маршрутизации (RIP, EIGRP, OSPF).
- ASA не поддерживают протоколы туннелирования (такие, как GRE) и policy-based routing.
Cisco ASA CX — решение нового поколения для информационной безопасности с учетом контекста
Это решение расширяет платформу ASA, еще выше поднимая отраслевую планку прозрачности и глубины детализации систем управления. Cisco ASA CX распознает более тысячи приложений, таких как , +, LinkedIn, и iTunes, и подразделяет их на 75 тысяч с лишним микроприложений. Затем все микроприложения сводятся в простые для понимания категории, что позволяет администраторам межсетевых экранов легко разрешать или запрещать доступ к тем или иным частям «большого» приложения (к примеру, микроприложения Facebook распределяются по категориям «бизнес», «сообщество», «образование», «развлечения», «игры» и т.д.). В результате ИТ-отделы получают возможность предоставлять пользователям доступ к большему количеству приложений, сводя к минимуму число абсолютных запретов.
Cisco ASA CX использует широкие возможности сетевой архитектуры безопасности Cisco SecureX Framework, учитывающей контекст и работающей в унифицированных сетях доступа, граничных сетях, сетях корпоративных подразделений и центров обработки данных, а также в облачных сетевых сегментах. Эта архитектура полностью поддерживается продуктами и услугами Cisco для информационной безопасности.
Cisco ASA CX отличается от всех других межсетевых экранов. Только это решение использует систему SecureX для получения полного доступа к интеллектуальным сетевым функциям и агрегации данных, поступающих из локальной сети, с помощью системы Cisco AnyConnect Secure Mobility, а также для получения информации о хакерских угрозах в режиме, близком к реальному времени, из глобального центра Cisco Security Intelligence Operation (Cisco SIO) , непрерывно предоставляющего заказчикам Cisco самый высокий уровень защиты.
Это решение дает сетевым администраторам возможность устанавливать устройства и приложения с высоким уровнем защиты и управляемости. Администраторы получают четкие данные о типе устройства, установленной на нем операционной системе, местоположении устройства и текущем уровне безопасности.
https://youtube.com/watch?v=mtVBL_spIPk
Эмулятор CISCO
Чтобы научиться работать с Cisco, необходим доступ к оборудованию. Но цена на девайсы этой фирмы кусается. И хотя на том же eBay можно найти устройства ценой до $100 (маршрутизаторы), — это все начальный уровень и устаревшее оборудование. Те, что посовременней, потянут уже на пару тысяч, а то и больше. Замкнутый круг. Но выход есть! Для зарегистрированных преподавателей и студентов курсов Cisco предлагает программный эммулятор Packet Tracer (cisco.com/web/learning/netacad/course_catalog/PacketTracer.html), задача которого — закрепить на практике полученные знания. При помощи PT можно легко создавать целые виртуальные сети различной топологии и с различным количеством устройств. Для подключения предложены все основные типы оборудования выпускаемого Cisco (роутеры, свичи, точки доступа, VPN и т.п.), подключившись к которым, можно менять настройки, моделировать обмен данными.
Кроме этого «реализованы» все технологии и протоколы, используемые в оборудовании Cisco, поэтому настройка в RT практически ничем не отличается от реального оборудования.
Запустить Packet Tracert можно на Windows XP-7 и некоторых дистрибутивах Linux. Кроме RT популярны и другие эмуляторы — Dynamips (ipflow.utc.fr/index.php/Cisco_7200_Simulator) и GNS3 (gns3.net).
Эмулятор Cisco Packet Tracert доступен преподавателям и слушателям курсов
Защита информации в локальных вычислительных сетях
Характерными особенностями ЛВС являются распределенное хранение файлов,
удаленная обработка данных (вычисления) и передача сообщений (электронная
почта), а также сложность проведения контроля за работой пользователей и
состоянием общей безопасности ЛВС.
Средства защиты информации должны располагаться на каждом узле ЛВС вне
зависимости от того, обрабатывается ли на нем конфиденциальная информация.
Каждый администратор и пользователь ЛВС должен иметь уникальный пароль,
идентификатор и, в случае использования криптографических средств защиты,
ключ шифрования.
Класс защищенности ЛВС определяется в соответствии с классификацией АС.
Состав пользователей ЛВС должен утверждаться руководителем организации и
строго контролироваться. Все изменения состава пользователей, их прав и
привилегий должны регистрироваться.
Прием и критика
Cisco ASA стала одним из наиболее широко используемых решений межсетевого экрана / VPN для малого и среднего бизнеса. Ранние обзоры показали, что инструменты Cisco GUI для управления устройством отсутствовали.
Недостаток безопасности был обнаружен, когда пользователи настраивали бесклиентский SSL VPN вариант их ASA, но был исправлен в 2015 году.Еще один недостаток функции WebVPN был исправлен в 2018 году.
В 2017 г. Теневые посредники выявили наличие двух эксплойтов повышения привилегий против ASA под названием EPICBANANA и ЭКСТРАБАКОН. Имплант со вставкой кода под названием BANANAGLEE был сделан постоянным JETPLOW.
2016
18 февраля 2016 года компания Cisco анонсировала выпуск полностью интегрированного угрозоориентированного межсетевого экрана Cisco Firepower.
Cisco Firepower-4100 (2016)
Решение, согласно заявлению вендора, значительно отличается от аналогов, ограничивающихся контролем над приложениями: решение Cisco обнаруживает и распознает потенциальных взломщиков, обеспечивая безопасность.
Вместе с анонсом МСЭ компания ввела в действие консалтинговую службу Cisco Security Segmentation Service.
Ее задача помочь:
- улучшить совместимость;
- локализовать источник атаки;
- обнаруживать угрозы;
- отслеживать безопасность контента;
- предотвращать утечку данных по всей ИТ-инфраструктуре.
Оба новшества Cisco направлены на защиту от опасных и устойчивых угроз кибератак.
Защита от угроз — отличительная особенность МСЭ Cisco Firepower. Cisco Firepower объединяет аналитику угроз, соблюдение политик безопасности и информацию о том, как пользователи подключаются к приложениям. Такой уровень прозрачности во всей бизнес-среде усиливает защиту и сокращает время обнаружения угроз и реагирования на них. МСЭ позволяет автоматизировать и корректировать защитные меры и практически сразу усиливать систему защиты благодаря своей возможности учитывать текущие уязвимости, активы и угрозы в сети. Согласованные действия мер безопасности обеспечивают защиту, которую не в состоянии предоставить точечные решения.
Cisco Firepower увеличивает скорость, простоту и эффективность обнаружения атак и реагирования на них. Продукт объединяет в единое решение сервисы защиты от угроз и технологию динамической пакетной фильтрации Cisco.
Среди возможностей продукта:
- система нового поколения для предотвращения вторжений (NGIPS);
- система Advanced Malware Protection (AMP);
- фильтрация URL-адресов на основе репутации.
Интегрированный МСЭ сочетает решения компании Cisco и сторонних производителей, позволяя распределить между ними аналитические возможности и контекст. Теперь предприятия могут устанавливать взаимосвязь между ранее разрозненными фрагментами данных, быстрее распознавать и отражать сложные атаки, где бы они ни происходили. Это повышает конкурентоспособность организаций, желающих воспользоваться новыми возможностями для бизнеса, начав работать с облаком, виртуальной средой, Интернетом вещей и мобильными устройствами.
Компания Cisco представила устройство Cisco Firepower серии 4100 для высокопроизводительных приложений, используемых средним и крупным бизнесом. Это высокопроизводительное устройство, в своем классе, с оптимальной плотностью вычислительных ресурсов, способно отслеживать угрозы при высокой пропускной способности и низкой задержке сети и пригодно для использования организациями высокочастотного трейдинга и развертывания ЦОД. Устройство оснащено встроенными портами 40 GbE, высота корпуса — одно стоечное место (1U).
Опции
В 5512-X, 5515-X, 5525-X, 5545-X и 5555-X можно добавить дополнительную интерфейсную карту.
У 5585-X есть опции для SSP. SSP означает процессор служб безопасности. Они различаются по мощности обработки в 10 раз, от SSP-10, SSP-20, SSP-40 и SSP-60. ASA 5585-X имеет слот для модуля ввода-вывода. Этот слот можно разделить на два модуля половинной ширины.
В младших моделях некоторые функции ограничены, и дескрипция происходит при установке лицензии Security Plus. Это позволяет больше VLAN, или же VPN сверстники, а также высокая доступность. Cisco AnyConnect это дополнительная лицензируемая функция, которая работает IPSec или туннели SSL для клиентов на ПК, iPhone или iPad.
2016: Продлен сертификат ФСТЭК России по схеме «серия» на Cisco ASA
Летом 2016 года был продлен сертификат ФСТЭК России по схеме «серия» на новую версию ПО для платформы Cisco ASA, позволяющую устанавливать на нее расширенный защитный функционал FirePOWER. Сертификация была произведены испытательной лабораторией «САТЕЛ».
Обновленный сертификат №2934 на межсетевой экран Cisco ASA 5500-X подтвердил соответствие последней версии флагманского продукта Cisco в области сетевой безопасности (9.6) требованиям руководящего документа ФСТЭК «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 3-му классу защищенности.
Многофункциональные сервисы Cisco Firepower, устанавливаемые на платформу Cisco ASA 5500-X, блокируют 99,2% угроз. Только устройство Cisco ASA с FirePOWER Services, включающее в себя расширенный защитный функционал (межсетевой экран нового поколения, системы предотвращения вторжений нового поколения и борьбы с вредоносным кодом, сканер уязвимостей и др.), продемонстрировало такую высокую эффективность защиты в ходе независимого тестирования межсетевых экранов нового поколения, произведенного компанией NSS Labs в 2015 году.
Cisco MARS
Одним из ключевых компонентов SDN является система мониторинга и реагирования Cisco MARS (Monitoring Analysis and Response System). Собирая данные с сетевых устройств (включая Cisco NetFlow), они обеспечивают контроль их состояния и защиту. Возможен мониторинг приложений, производится анализ аномалий и поведения сетевых объектов, корреляция событий. Кроме собственно оборудования, Cisco поддерживает решения других вендоров — ISS RealSecure Network, McAfee IntruShield/Entercept HIDS, Juniper IDP, Snort и других.
Широкий охват и алгоритмы анализа минимизируют вероятность ошибки. В процессе опроса устройств выполняется анализ их конфигурации и производится запрос к базе данных уязвимостей (Qualys Guard ANY, E-Eye, Retina Scanner Vulnerability и CVE). Полученный ответ позволяет определить наличие проблем в конфигурации устройств и обнаружить потенциально уязвимые места в системе защиты. Предусмотрено протоколирование основных событий, что позволяет в последующем отследить действия хакера в масштабе сети или отдельного узла. Система представляет атаку в графической форме с подробным анализом, что позволяет быстро определить, через какие устройства осуществлялась атака. Это очень упрощает последующее расследование инцидента, а значит, и возможность более быстрой ответной реакции.
В итоге, MARS является эффективным средством мониторинга сетевой безопасности. К сожалению, Cisco объявила об end-of-life этого продукта, с июня 2011 года он будет постепенно исчезать из продажи. Срок окончания поддержки датирован концом июня 2015 года. Замены MARS не предложено, пользователям рекомендуется перейти на Cisco Security Manager.
2017: «Элвис-Плюс» расширила перечень услуг поддержки ASA 5500
19 июля 2017 года компания «ЭЛВИС-ПЛЮС» заявила о расширении спектра оказываемых услуг и предложила услуги сертификации и технической поддержки межсетевых экранов серии ASA 5500 производства Cisco Systems.
Действующие требования регулятора обязывают организацию-заявителя обеспечить поддержку и обновление софта на протяжении жизненного цикла изделия. При этом зарубежные поставщики должны осуществлять распространение своих обновлений через локальные ресурсы российских юридических лиц.
Компания «ЭЛВИС-ПЛЮС» обладает необходимыми полномочиями и компетенциями, готова оказывать заказчикам услуги по организации сертификационных испытаний межсетевых экранов Cisco серии ASA5500 в системе сертификации ФСТЭК России, а также своевременную оперативную поддержку и внесение в программное обеспечение обновлений, связанных с выявленными уязвимостями.
Доверив проведение работ по сертификации нашей компании, заказчики не только существенно сократят свои временные и финансовые издержки, связанные с получением документов, разрешающих использование указанных продуктов для защиты конфиденциальной информации, но и получат гарантированную и своевременную услугу по получению обновлений, направленных на нейтрализацию обнаруженных в изделии уязвимостей. Сергей Акимов, заместитель генерального директора «ЭЛВИС-ПЛЮС» |