Cisco adaptive security appliance (asa)

Как выбрать решение для сетевой защиты

Сегодня крайне сложно вступать в споры о том, к какому типу относится тот или иной межсетевой экран. Мы в Cloud Networks считаем, что прежде всего нужно отталкиваться от тех требований, которые необходимы каждому отдельному заказчику.

Поэтому мы уделяем много ресурсов на точный подбор решения и не акцентируем внимание на том, что «хуже», а что «лучше». Главное, чтобы решение справлялось со своими задачами

Если же говорить о замене зарубежного NGFW на отечественное решение, то наш ответ – да, это реально, мы это делаем и это работает.

При выборе NGFW нужно рассматривать функции защиты, встроенные в конкретный межсетевой экран. Существуют как унифицированные решения NGFW для малого и среднего бизнеса, так и те, что включают расширенные функции.

Cloud Networks советует рассмотреть следующие критерии:

1. Тип платформы (аппаратное устройство, программное решение или облачное).
2. Набор функций (глубокая проверка пакетов, контроль приложений, проверка SSL/SSH, DLP и прочее).
3. Производительность (у продукта должна быть высокая пропускная способность, соответствующая заявленной поставщиком).
4. Управляемость (у решения должна быть современная удобная и гибкая консоль управления).
5. Техническая поддержка.

А также наличие следующих характеристик:

• Интеллектуальная фильтрация URL-адресов.
• Встроенные правила передовой практики.
• Возможности мониторинга туннелей.
• Функционал создания VPN туннелей.

• Проверка почтового трафика.
• Поддержка кластеризации и отказоустойчивости.
• Управление пропускной способностью.
• Проксирование приложений.
• Поддержка политики BYOD.
• Инспектирование SSL-трафика.
• DNS-фильтрация.
• Функция балансировщика нагрузки.

• Управление мобильными устройствами.
• Защита от отказа в обслуживании (DoS).
• Защита от уязвимостей.
• Антишпионское ПО, вредоносное ПО, сканирование программ-вымогателей.
• Предотвращение потери данных (DLP) и многое другое.

Особенности исполнения и работы UserGate X1

Работа в экстремальных условиях

Программно-аппаратный комплекс UserGate X1, в отличие от других устройств линейки, рассчитан на работу в самых суровых условиях, при температурах от -40 °C до +70 °C и относительной влажности от 5 до 95%. Модель обладает компактными размерами, весит около 1 кг и имеет настенное крепление или крепление на DIN-рейку. Все это делает возможным ее применение для защиты промышленных, транспортных и других объектов, расположенных на открытом воздухе.

Комплексная безопасность

Работа модели UserGate X1 основана на тех же технологиях, что используются в решениях UserGate для защиты корпоративных сетей. С ее помощью можно использовать функциональность межсетевого экрана нового поколения (NGFW, Next Generation Firewall), обеспечить защиту от атак (IDPS, Intrusion Detection and Prevention System), блокирование опасных скриптов и приложений, защиту от вирусов, а также оптимизировать другие функции безопасности. UserGate X1 обрабатывает трафик со скоростью до 300 Мбит/с в режиме межсетевого экрана и до 10–15 Мбит/с в режиме с включенными функциями безопасности (предотвращение вторжений, защита от угроз и т.д).

UserGate X1 использует собственную операционную систему UGOS, что гарантирует высокую скорость устранения неполадок и возможность оперативной доработки системы даже для самых сложных бизнес-требований.

Безопасное подключение по VPN

UserGate X1 поддерживает VPN (Virtual Private Network) – создание логических сетей поверх другой сети (например, Интернета) для защищенного соединения различных объектов. При этом одно устройство UserGate Х1 выступает в качестве сервера, а другое – в роли клиента, инициирующего соединение. Такое подключение позволяет объединить удаленные сети предприятия в единую логическую сеть и применять к ним единые настройки безопасности без лишних усилий.

Для создания туннелей используется протокол Layer 2 Tunnelling Protocol (L2TP), а для защиты передаваемых данных – протокол IPSec.

Соответствие регламентирующим документам

UserGate X1 полностью соответствует требованиям РФ к функциональности и информационной защите критически важных производственных объектов: он способен контролировать передачу блока ASDU, описанного в документе ГОСТ Р МЭК 60870-5-104, и гарантирует соответствие эксплуатируемых и внедряемых решений АСУ ТП приказу No 31 ФСТЭК России.

Наличие сертификата ФСТЭК России

Межсетевой экран UserGate X1 сертифицирован ФСТЭК России по требованиям к межсетевым экранам (4-й класс, профили А и Б) и к системам обнаружения вторжений (4-й класс), а также по 4-му уровню доверия. Таким образом, UserGate Х1 может использоваться в составе автоматизированных систем (АС) до класса защищенности 1Г, значимых объектов КИИ I категории, а также в информационных системах персональных данных (ИСПДн) 1-го уровня защищенности, государственных информационных системах (ГИС) 1-го класса защищенности, автоматизированных системах управления технологическими процессами 1-го класса защищенности и информационных системах общего пользования 2-го класса.

1. https://www.itsec.ru/news/kolichestvo-iot-ustroystv-i-scada-sistem-bez-sootvetstvuyushih-mer-bezopasnosti-prodolzhayetia-uvelichivatsia 
2. https://www.itsec.ru/news/bolee-70-uyazvimostey-v-asu-tp-mogut-bit-proexpluatirovani-udalionno 
3. https://www.usergate.com/ru/products/usergate-x 

Модели

5505, представленный в 2010 году, был настольным устройством, предназначенным для малых предприятий и филиалов. Он включает в себя функции, позволяющие снизить потребность в другом оборудовании, например, встроенный переключатель, и питание через Ethernet порты.5585-X — это более мощный агрегат для центры обработки данных введен в 2010 году. Он работает в 32-битном режиме на чипе Atom с архитектурой Intel.

Cisco определила, что у большинства устройств начального уровня слишком мало возможностей для включения необходимых функций, таких как антивирус или песочница, и поэтому представила новую линейку, названную межсетевым экраном следующего поколения. Они работают в 64-битном режиме.

Модели по состоянию на 2018 год.

Архитектура

Программное обеспечение ASA основано на Linux. Он запускает одну программу в формате исполняемых и связываемых файлов под названием lina. Это составляет внутреннее планирование процессов, а не использование средств Linux. В последовательности загрузки запускается загрузчик под названием ROMMON (монитор ROM), загружает ядро ​​Linux, которое затем загружает lina_monitor, который затем загружает lina. ROMMON также имеет командную строку, которую можно использовать для загрузки или выбора других образов и конфигураций программного обеспечения. Имена файлов прошивки включают индикатор версии, -smp означает, что это для симметричный мультипроцессор (и 64-битная архитектура), и разные части также указывают, 3DES или же AES поддерживается или нет.

Программное обеспечение ASA имеет интерфейс, аналогичный Cisco IOS ПО на роутерах. Существует интерфейс командной строки (CLI), который можно использовать для запроса работы или настройки устройства. В режиме конфигурации вводятся операторы конфигурации. Конфигурация изначально находится в памяти как рабочая конфигурация, но обычно сохраняется во флэш-памяти.

Порядок обеспечения защиты информации при взаимодействии с информационными сетями общего пользования.

Подключение ЛВС предприятия (учреждения) к Сети должно осуществляться
через средства разграничения доступа в виде межсетевого
экрана (МЭ). Не допускается подключение ЛВС к Сети в обход МЭ. МЭ должны
быть сертифицированы по требованиям безопасности информации.

Доступ к МЭ, к средствам его конфигурирования должен осуществляться
только выделенным администратором с консоли.

Абонентский пункт (АП) с помощью МЭ должен обеспечивать создание сеансов
связи абонентов с внешними серверами Сети и получать с этих серверов только
ответы на запросы абонентов. Настройка МЭ должна обеспечивать отказ в
обслуживании любых внешних запросов, которые могут направляться на АП.

Коммуникационное оборудование (маршрутизаторы, коммутаторы, концентраторы и
пр.) и все соединения с локальными периферийными устройствами ЛВС должны
располагаться в пределах контролируемой зоны. При
конфигурировании коммуникационного оборудования) и прокладке кабельной
системы ЛВС рекомендуется учитывать разделение трафика по отдельным сетевым
фрагментам на производственной основе и видам деятельности предприятия.

При подключении ЛВС к АС с другим классом защищенности необходимо использовать межсетевой экран в соответствии с НПА.

Если каналы связи выходят за пределы контролируемой зоны, необходимо использование
защищенных каналов связи либо сертифицированных криптографических средств защиты.

Информация для заказа межсетевого экрана с отслеживанием состояния Cisco ASA 5585-X

Возможности

• Межсетевое экранирование с учетом состояния соединений;
• Глубокий анализ протоколов прикладного уровня;
• Трансляция сетевых адресов;
• IPsec VPN;
• SSL VPN (подключение к сети через веб-интерфейс);
• Протоколы динамической маршрутизации (RIP, EIGRP, OSPF).
• ASA не поддерживают протоколы туннелирования (такие, как GRE) и policy-based routing.

Cisco ASA CX — решение нового поколения для информационной безопасности с учетом контекста
Это решение расширяет платформу ASA, еще выше поднимая отраслевую планку прозрачности и глубины детализации систем управления. Cisco ASA CX распознает более тысячи приложений, таких как , +, LinkedIn, и iTunes, и подразделяет их на 75 тысяч с лишним микроприложений. Затем все микроприложения сводятся в простые для понимания категории, что позволяет администраторам межсетевых экранов легко разрешать или запрещать доступ к тем или иным частям «большого» приложения (к примеру, микроприложения Facebook распределяются по категориям «бизнес», «сообщество», «образование», «развлечения», «игры» и т.д.). В результате ИТ-отделы получают возможность предоставлять пользователям доступ к большему количеству приложений, сводя к минимуму число абсолютных запретов.

Cisco ASA CX использует широкие возможности сетевой архитектуры безопасности Cisco SecureX Framework, учитывающей контекст и работающей в унифицированных сетях доступа, граничных сетях, сетях корпоративных подразделений и центров обработки данных, а также в облачных сетевых сегментах. Эта архитектура полностью поддерживается продуктами и услугами Cisco для информационной безопасности.
Cisco ASA CX отличается от всех других межсетевых экранов. Только это решение использует систему SecureX для получения полного доступа к интеллектуальным сетевым функциям и агрегации данных, поступающих из локальной сети, с помощью системы Cisco AnyConnect Secure Mobility, а также для получения информации о хакерских угрозах в режиме, близком к реальному времени, из глобального центра Cisco Security Intelligence Operation (Cisco SIO) , непрерывно предоставляющего заказчикам Cisco самый высокий уровень защиты.

Это решение дает сетевым администраторам возможность устанавливать устройства и приложения с высоким уровнем защиты и управляемости. Администраторы получают четкие данные о типе устройства, установленной на нем операционной системе, местоположении устройства и текущем уровне безопасности.

https://youtube.com/watch?v=mtVBL_spIPk

Эмулятор CISCO

Чтобы научиться работать с Cisco, необходим доступ к оборудованию. Но цена на девайсы этой фирмы кусается. И хотя на том же eBay можно найти устройства ценой до $100 (маршрутизаторы), — это все начальный уровень и устаревшее оборудование. Те, что посовременней, потянут уже на пару тысяч, а то и больше. Замкнутый круг. Но выход есть! Для зарегистрированных преподавателей и студентов курсов Cisco предлагает программный эммулятор Packet Tracer (cisco.com/web/learning/netacad/course_catalog/PacketTracer.html), задача которого — закрепить на практике полученные знания. При помощи PT можно легко создавать целые виртуальные сети различной топологии и с различным количеством устройств. Для подключения предложены все основные типы оборудования выпускаемого Cisco (роутеры, свичи, точки доступа, VPN и т.п.), подключившись к которым, можно менять настройки, моделировать обмен данными.
Кроме этого «реализованы» все технологии и протоколы, используемые в оборудовании Cisco, поэтому настройка в RT практически ничем не отличается от реального оборудования.

Запустить Packet Tracert можно на Windows XP-7 и некоторых дистрибутивах Linux. Кроме RT популярны и другие эмуляторы — Dynamips (ipflow.utc.fr/index.php/Cisco_7200_Simulator) и GNS3 (gns3.net).

Эмулятор Cisco Packet Tracert доступен преподавателям и слушателям курсов

Защита информации в локальных вычислительных сетях

Характерными особенностями ЛВС являются распределенное хранение файлов,
удаленная обработка данных (вычисления) и передача сообщений (электронная
почта), а также сложность проведения контроля за работой пользователей и
состоянием общей безопасности ЛВС.

Средства защиты информации должны располагаться на каждом узле ЛВС вне
зависимости от того, обрабатывается ли на нем конфиденциальная информация.
Каждый администратор и пользователь ЛВС должен иметь уникальный пароль,
идентификатор и, в случае использования криптографических средств защиты,
ключ шифрования.

Класс защищенности ЛВС определяется в соответствии с классификацией АС.

Состав пользователей ЛВС должен утверждаться руководителем организации и
строго контролироваться. Все изменения состава пользователей, их прав и
привилегий должны регистрироваться.

Прием и критика

Cisco ASA стала одним из наиболее широко используемых решений межсетевого экрана / VPN для малого и среднего бизнеса. Ранние обзоры показали, что инструменты Cisco GUI для управления устройством отсутствовали.

Недостаток безопасности был обнаружен, когда пользователи настраивали бесклиентский SSL VPN вариант их ASA, но был исправлен в 2015 году.Еще один недостаток функции WebVPN был исправлен в 2018 году.

В 2017 г. Теневые посредники выявили наличие двух эксплойтов повышения привилегий против ASA под названием EPICBANANA и ЭКСТРАБАКОН. Имплант со вставкой кода под названием BANANAGLEE был сделан постоянным JETPLOW.

2016

18 февраля 2016 года компания Cisco анонсировала выпуск полностью интегрированного угрозоориентированного межсетевого экрана Cisco Firepower.

Cisco Firepower-4100 (2016)

Решение, согласно заявлению вендора, значительно отличается от аналогов, ограничивающихся контролем над приложениями: решение Cisco обнаруживает и распознает потенциальных взломщиков, обеспечивая безопасность.

Вместе с анонсом МСЭ компания ввела в действие консалтинговую службу Cisco Security Segmentation Service.

Ее задача помочь:

• улучшить совместимость;
• локализовать источник атаки;
• обнаруживать угрозы;
• отслеживать безопасность контента;
• предотвращать утечку данных по всей ИТ-инфраструктуре.

Оба новшества Cisco направлены на защиту от опасных и устойчивых угроз кибератак.

Защита от угроз — отличительная особенность МСЭ Cisco Firepower. Cisco Firepower объединяет аналитику угроз, соблюдение политик безопасности и информацию о том, как пользователи подключаются к приложениям. Такой уровень прозрачности во всей бизнес-среде усиливает защиту и сокращает время обнаружения угроз и реагирования на них. МСЭ позволяет автоматизировать и корректировать защитные меры и практически сразу усиливать систему защиты благодаря своей возможности учитывать текущие уязвимости, активы и угрозы в сети. Согласованные действия мер безопасности обеспечивают защиту, которую не в состоянии предоставить точечные решения.

Cisco Firepower увеличивает скорость, простоту и эффективность обнаружения атак и реагирования на них. Продукт объединяет в единое решение сервисы защиты от угроз и технологию динамической пакетной фильтрации Cisco.

Среди возможностей продукта:

• система нового поколения для предотвращения вторжений (NGIPS);
• система Advanced Malware Protection (AMP);
• фильтрация URL-адресов на основе репутации.

Интегрированный МСЭ сочетает решения компании Cisco и сторонних производителей, позволяя распределить между ними аналитические возможности и контекст. Теперь предприятия могут устанавливать взаимосвязь между ранее разрозненными фрагментами данных, быстрее распознавать и отражать сложные атаки, где бы они ни происходили. Это повышает конкурентоспособность организаций, желающих воспользоваться новыми возможностями для бизнеса, начав работать с облаком, виртуальной средой, Интернетом вещей и мобильными устройствами.

Компания Cisco представила устройство Cisco Firepower серии 4100 для высокопроизводительных приложений, используемых средним и крупным бизнесом. Это высокопроизводительное устройство, в своем классе, с оптимальной плотностью вычислительных ресурсов, способно отслеживать угрозы при высокой пропускной способности и низкой задержке сети и пригодно для использования организациями высокочастотного трейдинга и развертывания ЦОД. Устройство оснащено встроенными портами 40 GbE, высота корпуса — одно стоечное место (1U).

Опции

В 5512-X, 5515-X, 5525-X, 5545-X и 5555-X можно добавить дополнительную интерфейсную карту.

У 5585-X есть опции для SSP. SSP означает процессор служб безопасности. Они различаются по мощности обработки в 10 раз, от SSP-10, SSP-20, SSP-40 и SSP-60. ASA 5585-X имеет слот для модуля ввода-вывода. Этот слот можно разделить на два модуля половинной ширины.

В младших моделях некоторые функции ограничены, и дескрипция происходит при установке лицензии Security Plus. Это позволяет больше VLAN, или же VPN сверстники, а также высокая доступность. Cisco AnyConnect это дополнительная лицензируемая функция, которая работает IPSec или туннели SSL для клиентов на ПК, iPhone или iPad.

2016: Продлен сертификат ФСТЭК России по схеме «серия» на Cisco ASA

Летом 2016 года был продлен сертификат ФСТЭК России по схеме «серия» на новую версию ПО для платформы Cisco ASA, позволяющую устанавливать на нее расширенный защитный функционал FirePOWER. Сертификация была произведены испытательной лабораторией «САТЕЛ».

Обновленный сертификат №2934 на межсетевой экран Cisco ASA 5500-X подтвердил соответствие последней версии флагманского продукта Cisco в области сетевой безопасности (9.6) требованиям руководящего документа ФСТЭК «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 3-му классу защищенности.

Многофункциональные сервисы Cisco Firepower, устанавливаемые на платформу Cisco ASA 5500-X, блокируют 99,2% угроз. Только устройство Cisco ASA с FirePOWER Services, включающее в себя расширенный защитный функционал (межсетевой экран нового поколения, системы предотвращения вторжений нового поколения и борьбы с вредоносным кодом, сканер уязвимостей и др.), продемонстрировало такую высокую эффективность защиты в ходе независимого тестирования межсетевых экранов нового поколения, произведенного компанией NSS Labs в 2015 году.

Cisco MARS

Одним из ключевых компонентов SDN является система мониторинга и реагирования Cisco MARS (Monitoring Analysis and Response System). Собирая данные с сетевых устройств (включая Cisco NetFlow), они обеспечивают контроль их состояния и защиту. Возможен мониторинг приложений, производится анализ аномалий и поведения сетевых объектов, корреляция событий. Кроме собственно оборудования, Cisco поддерживает решения других вендоров — ISS RealSecure Network, McAfee IntruShield/Entercept HIDS, Juniper IDP, Snort и других.

Широкий охват и алгоритмы анализа минимизируют вероятность ошибки. В процессе опроса устройств выполняется анализ их конфигурации и производится запрос к базе данных уязвимостей (Qualys Guard ANY, E-Eye, Retina Scanner Vulnerability и CVE). Полученный ответ позволяет определить наличие проблем в конфигурации устройств и обнаружить потенциально уязвимые места в системе защиты. Предусмотрено протоколирование основных событий, что позволяет в последующем отследить действия хакера в масштабе сети или отдельного узла. Система представляет атаку в графической форме с подробным анализом, что позволяет быстро определить, через какие устройства осуществлялась атака. Это очень упрощает последующее расследование инцидента, а значит, и возможность более быстрой ответной реакции.

В итоге, MARS является эффективным средством мониторинга сетевой безопасности. К сожалению, Cisco объявила об end-of-life этого продукта, с июня 2011 года он будет постепенно исчезать из продажи. Срок окончания поддержки датирован концом июня 2015 года. Замены MARS не предложено, пользователям рекомендуется перейти на Cisco Security Manager.

2017: «Элвис-Плюс» расширила перечень услуг поддержки ASA 5500

19 июля 2017 года компания «ЭЛВИС-ПЛЮС» заявила о расширении спектра оказываемых услуг и предложила услуги сертификации и технической поддержки межсетевых экранов серии ASA 5500 производства Cisco Systems.

Действующие требования регулятора обязывают организацию-заявителя обеспечить поддержку и обновление софта на протяжении жизненного цикла изделия. При этом зарубежные поставщики должны осуществлять распространение своих обновлений через локальные ресурсы российских юридических лиц.

Компания «ЭЛВИС-ПЛЮС» обладает необходимыми полномочиями и компетенциями, готова оказывать заказчикам услуги по организации сертификационных испытаний межсетевых экранов Cisco серии ASA5500 в системе сертификации ФСТЭК России, а также своевременную оперативную поддержку и внесение в программное обеспечение обновлений, связанных с выявленными уязвимостями.