Вы находитесь на странице: 1из 68

ПОВЫШЕНИЕ З А Щ ИЩ ЕННОС Т И

Л ОК А Л Ь НОЙ С ЕТ И ОТ
ВНУ Т Р ЕННИХ У Г Р ОЗ

Алексей Л у ка ц ки й
S e c u r ity B u s in e s s D e v e lo p m e n t M a n a g e r

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 1/68
С о д е р ж а н ие

• Изменение г р аниц сети – внутр енняя опасность


• А утентиф икац ия и автор изац ия пол ь зовател ей
• К онтр ол ь соответствия пол итике б езопасности
• О тр аж ение атак
• Р асш ир енная б езопасность – сер висны е мод ул и

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 2/68
ИЗ М Е Н Е Н ИЕ Г Р А Н ИЦ С Е Т И

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 3/68
На п у т и к N G N
…б и з н е с р а з м ы в а е т г р а н и ц ы с е т и

Надомный
раб от ни к 8 3 1

Поставщик у сл у г ,
П арт не р
оп е р атор свя з и

Ц е н тр ал ь н ы й оф ис
Ф и л и ал А э роп орт

• С ети становятся откр ы ты ми


• П ер иметр «р азмы вается» и становится неч етким
• З ащ ита смещ ается с пер иметр а внутр ь
кор пор ативной сети – на коммутатор ы

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 4/68
Ч т о е сл и…?

Корпоративные
А вториз ованный рес у рс ы
пол ь з овател ь
Si Si

С Т О П Si

Н ару ш ител ь

• Что е с л и…кто-то п р он икн е т в з да н ие ?


• Что е с л и…он п одкл ю ч итс я к с е ти?
• Что е с л и…он з а р а з ит с е ть вр е дон ос н ой п р ог р а м м ой ?
• Что е с л и…он у кр а де т ва ж н у ю ин ф ор м а ц ию ?

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 5/68
К о м м у т а т о р ы –т о ж е ц е л ь

• К оммутатор ы ч асто
становятся миш ень ю
д л я атак
• Ц ел ь – отказ в
об сл уж ивании, сниж ение
кач ества сер висов,
пер ех ват инф ор мац ии и
т.п.

З а щ и F т eа b Л r В u С a ry 2 0 0 3 , v 1 ©
© 2020 0 0 3,5 C C i i s s c c o o S S y y s s t t e e m m s s , , I I n n c c . . A A l l l l r r i i g g h h t t s s r r e e s s e e r r v v e e d d . . 6 6/68
К О М М У Т А Т О Р Ы C IS C O C A T A L Y S T

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 7/68
Ин д у ст р иа л ь н ы й ст а н д а р т
Защита ин ф р астр у к ту р ы с сам ы х
о сн о в
• Интегрированная б ез оп асность
ч ерез всю сеть
• М иним ал ь ны е (ил и ну л евы е)
инвестиц ии в б аз овы й у ровень
з ащ иты
• Н есравним ы е воз м ож ности п о
з ащ ите л окал ь ной сети
• Д остиж ение ц ел ей ваш ей
п ол итики б ез оп асности –
конф ид енц иал ь ность ,
ц ел остность , д осту п ность
• З ащ итны е воз м ож ности расту т п о
м ере роста ваш ей ком п ании (от
б аз овы х ф у нкц ий к
расш иренны м )

З а щ и F т eа b Л r В u С a ry 2 0 0 3 , v 1 ©
© 2020 0 0 3,5 C C i i s s c c o o S S y y s s t t e e m m s s , , I I n n c c . . A A l l l l r r i i g g h h t t s s r r e e s s e e r r v v e e d d . . 8 8/68
Д О ВЕ Р ИЕ И ИД Е Н Т ИФ ИК А Ц ИЯ В
С Е Т И

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 9/68
Р о ст т р е б о ва н ий к д о ве р ию

• Ф из ич е с кий и с е те вой дос ту п к


с е ти п ол у ч ить оч е н ь п р ос то
да ж е н е з а щ ищ е н н ы м
п ол ь з ова те л я м
• С овм е с тн а я р а б ота , B 2 B ,
э кс тр а с е ти, г ос те вы е вх оды ,
л а б ор а тор ии, а у дитор ы и т.д.
С оз да ю т доп ол н ите л ь н ы й р ис к
• О ч е н ь м н ог о п ор тов н а с е те вом
об ор у дова н ии откр ы то, н о н е
ис п ол ь з у ю тс я
• Т оч ки б е с п р оводн ог о дос ту п а
н е з а щ ищ е н ы
З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 10 /68
Ч т о т р е б у е т ся ?

• П р осмотр и контр ол ь сетевой


активности
Кто, з ач е м , ког да, отку да/ку да, как
• Э ф ф ективны й и защ ищ енны й
уд ал енны й д оступ
• П р именение пол итики д оступа
на всех устр ой ствах , вкл ю ч ая
пол ь зовател ь ские
• З ащ ита инвестиц ий
Д ан н ы е , V P N , г ол ос, D i a l , D S L , C a b l e ,
W i r e l e s s , R o u t e r s , S w i t c h e s и т.д.
• Б л окир ование
несанкц ионир ованног о д оступа
З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 11/68
К ит ы у п р а вл е н ия д о ве р ие м

• Ид ентиф икац ия
• А утентиф икац ия
• А втор изац ия
• К онтр ол ь соответствия пол итике д оступа

• П р именение к л ю б ому уч астнику


инф ор мац ионног о об мена – пол ь зовател ям,
компь ю тер ам, тел еф онам, пр интер ам и т.п.

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 12/68
Осн о вн ы е п р ин ц ип ы ид е н т иф ика ц ии

• Ч то такое ид ентиф икац ия?


• П р оц е сс п р е доставл е н ия ин ф ор м ац ии, п оз вол я ю щ е й
отл ич ить су б ъ е ктов др у г от др у г а
• Ч то такое ид ентиф икатор ?
• I P -адр е с
• П ар ол ь
• Т оке н
• С е р тиф икат P K I
• К ак испол ь зуется ид ентиф икац ионная
инф ор мац ия?
• Иде н тиф икац ион н ая ин ф ор м ац ия исп ол ь з у е тся дл я
ау те н тиф икац ии

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 13/68
А у т е н т иф ика ц ия

• П р оц есс аутентиф икац ии испол ь зуется д л я


пр овер ки под л инности пр ед ъ явл яемой
ид ентиф икац ионной инф ор мац ии
• А утентиф икац ия б ез автор изац ии и
соответствую щ их пол итик б езопасности
явл яется д овол ь но б ессмы сл енной
• Н ад еж ность системы аутентиф икац ии зависит
от испол ь зуемог о метод а пр овер ки

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 14/68
З а ч е м н у ж н а а у т е н т иф ика ц ия ?

• П о пр ич ине р азл ич ны х пр ивил ег ий


пол ь зовател ей , а такж е р азног о ур овня
конф ид енц иал ь ности р есур сов и инф ор мац ии
• Д л я возмож ности р азд ел ения усл уг ,
пр ед оставл яемы х р азл ич ны м г р уппам
пол ь зовател ей
• Е сл и б ы у всех пол ь зовател ей б ы л и
од инаковы е пр ава, тог д а б ы необ х од имости в
аутентиф икац ии не б ы л о

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 15/68
А вт о р из а ц ия

• А втор изац ия явл яется вопл ощ ением


пр именения пол итик б езопасности к суб ъ ектам
– мы р азр еш аем, запр ещ аем ил и ог р анич иваем
д оступ к р есур сам
• Ц ел ь ю явл яется пр именение г р упповог о
ад министр ир ования и пол итик б езопасности в
л окал ь ной сети
• А втор изац ия мож ет осущ ествл ять ся на
р азл ич ны х ур овнях – канал ь ном, сетевом,
пр икл ад ном

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 16/68
Пр о т о ко л 8 0 2 . 1 x – у р о ве н ь у ст р о й ст ва

• К л ю ч евой компонент I B N S
Кто и з ач е м п ол у ч ае т досту п
П одде р ж ивае т п р оводн ы е и
б е сп р оводн ы е се ти
• Б л окир ование д оступа на ур овне
пор та сетевог о об ор уд ования
Как м ож н о б л иж е к источ н ику
н ар у ш е н ия , а н е е г о ц е л и
• Взаимод ей ствие с сер вер ом
аутентиф икац ии R A D I U S

8 0 2.1x п одде р ж ивае тся н а все х ком м у татор ах C i s c o C a t a l y s t ,


вкл ю ч ая 6 5 0 0 , 4 5 0 0 , 35 5 0 и 29 5 0 се р ии, C i s c o A C S S e r v e r , а
такж е точ ках б е сп р оводн ог о досту п а C i s c o A i r o n e t 110 0 и 120 0
З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 17/68
М о д е л ь ко н т р о л я д о ст у п а к п о р т а м
ст а н д а р т а 8 0 2 . 1 x
Хранилище
ид ент иф ик ац ио нно й
А у тентиф икатор инф о рм ац ии

• К ом м у татор •M S A c tiv e D ir e c to r y
• М арш ру тиз атор •L D A P
• Т оч к а досту па W L A N •N D S
•O D B C
•IB M Id e n tity M a n a g e r

Запрос н а об сл у ж иван ие А у те н тиф ик ац ия В з аим оде й ствие с


(сое дин е н ие ) х ран ил ищ е м
иде н тиф ик ац ион н ой
К л иент С ервер ин ф орм ац ии
ау тентиф икац ии
•П К /Н оу тб у к
•IP -те л е ф он •M S IA S
•Т оч к а досту па W L A N •C is c o S e c u r e A C S
•К ом м у татор • Л ю б ой се рве р R A D I U S

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 18/68
К а к р а б о т а е т се р ве р A A A ?
У строй ства
У з л ы , к он трол я A D ,
пы таю щ ие ся досту па L D A P ,
пол у ч ить N D S
R A D IU S -
досту п се рве р

Д Д о о с с т ту у п п К К о о нтнт роро льль М М о о нит


нит о о ринг
ринг
• •А А у у тете н н тифтиф икик ацац ияия • •Р Р е е г истрац
г истрац ияия
• •А А вториз
вториз ацац ияия
полпол ь ь з з овате
овате л л е е й й ии • •К К то
тодеде л л алал ч ч то, то,
досту
досту па па
у у строй
строй ств ств к к огогда, да, отк у да ик к акак
отк у да и
• •П П римрим е е н н е е н н иеие
• •О О препре де л л е е н н иеие «к«к то»
де то» дол
дол г о г о
пол
пол итик итик ии
ии«ч«ч то» м ож
то» м ож е т е т • •У У веве домдом л л е е н н иеие , ,
• •A A C C L L , , V V L L A A N N иит.д.
т.д.
деде л л атьать ввсесе ти ти сигсигн н алал изиз ацац ияия

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 19/68
C is c o S e c u r e A c c e s s C o n tr o l S e r v e r

• Е дин ое р е ш е н ие A A A дл я вс е х
тип ов дос ту п а
П р оводн ой /б е сп р оводн ой
Ш ир окоп ол осн ы й /D i a l -U p
К систе м ам х р ан е н ия
М об ил ь н ы е п ол ь з овате л и/ф ил иал ы
• В ы с ока я м а с ш та б ир у е м ос ть
30 0 0 0 0 + п ол ь з овате л е й , де ся тки ты ся ч у стр ой ств
• Ш ир окий с п е ктр п р отокол ов а у те н тиф ика ц ии
8 0 2.1X -b a s e d L E A P , E A P -T L S и P E A P …
• С п е ц иа л из ир ова н н ое у с тр ой с тво
П р остота вн е др е н ия и п овы ш е н ие у р овн я з ащ иты

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 20 /68
М е ст о C i s c o S e c u r e A C S
У строй ства
У з л ы , к он трол я A D ,
пы таю щ ие ся досту па L D A P ,
пол у ч ить N D S
R A D IU S -
досту п се рве р

W in d o w s 2 0 0 0
A S 5 3 x x /A S 5 4 x x (d ia l)
P A P , C H A P , M S C H A P (d ia l, W in d o w s S e r v e r 2 0 0 3
D S L , V o IP , C a b le C S D B
V P N )
1 R U A p p lia n c e
C E /C D M (C o n te n t) N T /A D
L E A P (W ir e le s s )
IO S r o u te r s N D S
E A P -M D 5 , E A P -T L S , P E A P
( 8 0 2 . 1 X д л я провод ных и P IX /V P N L D A P
W i -F i с етей )
W ir e le s s (a ir o n e t) O D B C
W in d o w s 9 8 , M E , N T 4 , 2 0 0 0 ,
2 9 5 0 /3 5 5 0 /4 x 0 0 /6 5 0 0 (C a ta ly s t) O T P
X P , M A C , L in u x …
V M S , H S E , W S L E (C is c o R A D IU S p r o x y
W o r k s )…
З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 21/68
У п р а вл е н ие д о ве р ие м – в ит о г е
C o n fid e n tia l
P la n Р еш ение:
М ех аниз м ы у п равл ения
д оверия об есп еч иваю т
у веренность в том , кто, ку д а
и с каким и п равам и
п ол у ч ает д осту п
А вториз ован н
ое у строй ство
ил и
пол ь з овате л ь

П р еимущ ество:
У правл е н ие C o n fid e n tia l
P la n
дове рие м

С ниж ение риска


несанкц ионированного
д осту п а и з араж ения
вну тренней сети
Н ару ш ите л ь C is c o A C S
S e rv e r

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 22/68
N E T W O R K A D M IS S IO N C O N T R O L

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 23/68
Вз г л я д с д р у г о й ст о р о н ы

• Защита П К и з ащита
п о л ь з о в ате л я – э то д в е с то р о н ы
о д н о й м е д ал и
• П о л ь з о в ате л ь м о ж е т им е ть п р ав о
н а д о с ту п к в аж н ы м р е с у р с ам , н о
е г о у з е л б у д е т з ар аж е н в ир у с о м ,
с о д е р ж ать ш п ио н с ко е П О ил и
тр о я н ц а ил и с л у ж ить ис то ч н ико м
э п ид е м ии ч е р в я
• П ар ад о кс б е з о п ас н о с ти –
п о л ь з о в ате л ю д о с ту п р аз р е ш е н , а
ко м п ь ю те р у н е т

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 24/68
Ид е н т иф ика ц ия в р е а л ь н о м м ир е

• Кто вы ...
• а такж е
О тку д а п риб ы л и
К у д а соб ираетесь
Ч то вы д ел аете и х отите
д ел ать
Ч то вы с соб ой им еете
В аш и п ред ы д у щ ие п оез д ки
В аш е состояние з д оровь я

• О ч е н ь важ е н кон те кст дл я


отве та н а воп р ос «Кто вы ?»

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 25/68
А у т е н т иф ика ц ия у ст р о й ст ва и
п о л ь з о ва т е л я
З ам еч ание: Э то 2 нез ависим ы х ау тентиф икац ии

Аутентификация У строй ство з агру ж ается


Интерф ей с становится активны м
П ровод ится ау тентиф икац ия у строй ства
ус тр о й с тв а

Д осту п у строй ства в сеть раз реш ается ил и


б л окиру ется
М ож ет вы п ол нять ся совм естно со сл ед у ю щ им
э тап ом
Аутентификация

Е сл и з а у строй ством раб отает п ол ь з овател ь , то


п о л ь з о в ател я

он п рох од ит п роц есс своей ау тентиф икац ии


П осл е ау тентиф икац ии осу щ ествл яется
авториз ац ия д осту п а

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 26/68
К о н т р о л ь се т е во г о д о ст у п а (N A C ):
Пе р во е со вм е ст н о е р е ш е н ие д л я з а щ ит ы

П К п ы тается у становить соед инение А у тентиф икац ия и


п роверка соответствия П К
п ол итике б ез оп асности
П К

Si
К орп оративная
И с п рав ление
сеть
А рх ит ек т у ра N A C

• Д осту п р аз р е ш е н
• Д осту п з ап р е щ е н К арант инная
с ет ь
• Кар ан тин

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 27/68
C i s c o N e t w o r k A d m i s s i o n C o n t r o l (N A C )

У з е л , У строй ство С е рве р пол итик / С е рве р


пы таю щ ий ся досту па C i s c o ау те н тиф ик ац ии произ водите л я
пол у ч ить досту п

П рове рк а

S e c u r ity P lu g - C T A
A p p in s

Т оч к а прове рк и С оз дан ие пол итик и П рове рк а


соотве тствия

• Б аз ир у е тся н а п ол итике соотве тствия кон е ч н ог о у з л а


тр е б ован ия кор п ор ативн ой б е з оп асн ости
• П ол ь з овате л я об я з ы ваю т вы п ол н я ть тр е б ован ия
п ол итики б е з оп асн ости

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 28/68
C i s c o T r u s t A g e n t (C T A )
• С об ир ает инф ор мац ию о состоянии
ср ед ств защ иты , таких как
антивир усы , C S A , об новл ения О С , и
связы вается с сетевы ми
устр ой ствами
• Д анны й аг ент уж е встр оен в
р еш ения T r e n d M i c r o , M c A f e e ,
S y m a n te c , T iv o li, C is c o S e c u r ity A g e n t
ид р .
• Взаимод ей ствие пр оисх од ит по
защ ищ енному канал у
• М ож ет б ы ть б еспл атно заг р уж ен с
сай та C i s c o

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 29/68
Ч т о е сл и н а у з л е н е т C T A ?
С е рве р
У з е л б е з C T A прове рк и с A P I

5
4
2 3 6
1
7
N e tw o rk A c c e s s A c c e s s C o n tro l
D e v ic e S e rv e r

• С писок искл ю ч ений на б азе I P ил и M A C -ад р есов


• С писок искл ю ч ений на б азе A C S N e t w o r k A c c e s s
R e s t r i c t i o n s (N A R )
• З аг р узка на узел C T A (пр и помощ и J a v a , A c t i v e X и
т.п.)

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 30 /68
С е т е вы е у ст р о й ст ва д о ст у п а

• М ар ш р утизатор ы , коммутатор а,
точ ки б еспр овод ног о д оступа,
устр ой ства защ иты C i s c o
П ол у ч аю т ин ф ор м ац ию о состоя н ии
з ащ иты окон е ч н ы х у стр ой ств
П е р е даю т их н а се р ве р а п ол итик
П осл е оц е н ки соотве тствия у стр ой ства
досту п а п р им е н я ю т соотве тству ю щ у ю
п ол итику досту п а - р аз р е ш ить ,
з ап р е тить , н ап р авить в кар ан тин ил и
ог р ан ич ить досту п
М ог у т п е р иодич е ски п е р е п р ове р я ть
состоя н ие у з л а

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 31/68
C is c o S e c u r e A c c e s s C o n tr o l S e r v e r

• C i s c o S e c u r e A C S – сер вер
ид ентиф икац ии, аутентиф икац ии,
автор изац ии и уч ета
• Т оч ка контр ол я д л я C i s c o N A C :
П р ове р ка стату са окон е ч н ог о
у стр ой ства
В з аим оде й ствие с се р ве р ам и
п р оиз водите л е й дл я б ол е е г л у б окой
п р ове р ки
О п р е де л е н ие и п р им е н е н ие п ол итики
досту п а к р е су р сам (з ап р е тить ,
р аз р е ш ить , ог р ан ич ить , н ап р авить в
кар ан тин )
Исп ол ь з у е тся дл я все х тип ов и у стр ой ств досту п а
З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 32/68
Ч т о п р о ве р я е т C i s c o A C S ?

• C is c o T r u s t A g e n t • C is c o S e c u r ity A g e n t
В ерсия C T A У становл енны е S e r v i c e
Н аз вание О С P a c k
В ерсия О С У становл енны е h o t f i x
В ерсия C S A
• А н тивир у с
С остояние C S A
Н аз вание антивиру са (вкл ю ч ен/вы кл ю ч ен)
В ерсия П О В рем я п осл ед него
В ерсия д виж ка об ращ ения к серверу
В ерсия D A T -ф ай л а у п равл ения C S A M C
А ктивность антивиру са
Д ата D A T -ф ай л а

Д ру гие п роверки, неп од д ерж иваем ы е A C S , м огу т б ы ть


нап равл ены к серверам п ол итик п роиз вод ител я
З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 33/68
С е р ве р а п о л ит ик п р о из во д ит е л е й
• П р овер ка пар аметр ов,
непод д ер ж иваемы х A C S
• П р отокол H C A P д л я онл ай н-пр овер ки
H C A P –H o s t C r e d e n tia l A u th o r iz a tio n P r o to c o l
(H T T P S -b a s e d ) д л я вз аим од ей ствия A A A -В енд ор

• П р овер ка пар аметр ов и увед омл ение


A C S о р езул ь татах
• П р оизвод ител ь мож ет д об авл ять
свои пр овер ки

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 34/68
С ист е м ы у п р а вл е н ия

• C is c o W o r k s V P N /S e c u r ity
M a n a g e m e n t S o l u t i o n (V M S )
Н астр ой ка э л е м е н тов C i s c o N A C
• C is c o W o r k s S e c u r ity In fo r m a tio n
M a n a g e r S o l u t i o n (S I M S ) ил и
M A R S
М он итор ин г и г е н е р ац ия отч е тов
• У ч астники C i s c o N A C такж е
пр ед л аг аю т системы упр авл ения
д л я соб ственны х ср ед ств
защ иты оконеч ны х устр ой ств

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 35/68
C is c o W o r k s S e c u r ity In fo r m a tio n
M a n a g e m e n t S o l u t i o n (C W S I M S )

• С б ор соб ы тий от
IO S иA C S
• N A C D a s h b o a rd д л я
монитор инг а
• Г енер ац ия отч етов
Ф ил ь тр ац ия и
сор тир овка
Д л ите л ь н ость
з ар аж е н ия
У з л ы в кар ан тин е
И т.д.

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 36/68
S IM S N A C D a s h b o a rd

О нл ай н-
С С тату
тату сс у у з з л л аа С С тату
тату сс г г руру ппы
ппы У У з з л л ы ы вв к к аран
аран тин
тин е е

контр ол ь
активности N A C
• С т а т у с г р у п п ы у з л о в,
например, «З д о ро в»,
«П ро веря ет с я »,
«И нф иц иро ван и
направл ен в к арант ин»
•С т а т и с т и к а п о
с о с т о я н и ю к а ж д о го у з л а
•У з л ы вк а р а н т и н е
• Н е о т ве ч а ю щ и е у з л ы
•В р е м я
во с с т а н о вл е н и я
УУ зз лл ыы бб ее зз CC TT AA В В рере м м я я восстан
восстан овл
овл е е н н ияия
З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 37/68
NN AA CC DD aa ss hh bb oo aa rr dd
AA pp pp lliicc aa tt iioo nn MM ee nn uu

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 38/68
С С тату
тату сс г г руру ппы
ппы у у з з л л ов
ов С С тату
тату сс у у з з л л аа

Зараж
Зараж е е н н н н ы ы е е илил ии
к к аран
аран тин
тин н н ы ы ее уу зз лл ыы

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 39/68
Зараж
Зараж е е н н н н ы ы е е илил ии
к к аран
аран тин
тин н н ы ы е е у у з з л л ы ы

Н Н е е отве
отве ч ч аюаю щ щ иеие у у строй
строй ства
ства В В рере м м я я восстан
восстан овл
овл е е н н ияия

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 40 /68
У ч а ст н ики п р о г р а м м ы N A C

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 41/68
Р а з вит ие N A C
Ф аз а 1 Ф аз а 2 Ф аз а 3

Поддерживающие I O S R o u t e r s S w itc h e s P IX S e c u r ity A p p lia n c e


у с т рой с т ва (8 3 x –7 2 x x ) ( 2 9 0 0 -6 5 0 0 ) A S A 5 5 0 0
V P N 3 0 0 0 W ir e le s s A P
И н т ег рац ия N A I, S Y M C , IB M /T iv o li,
T r e n d M ic r o B ro a d V e n d o r
S u p p o rt
В з аим одей с т вие L a y e r 3 L a y e r 2 H T T P /S S L
E A P /U D P E A P /8 0 2 .1 x

М ет од L a y e r 3 A C L s , V L A N s , P A C L S , Q o S
к аран т ин а U R L R e d ir e c tio n D H C P s c o p in g

W in d o w s W in d o w s 2 0 0 3 IP P h o n e s
Поддержк а C i s c o
N T , 2 0 0 0 , X P R e d H a t L in u x C is c o A p p lia n c e s
T ru s t A g e n t
S o la r is M A C O S , H P U X , A IX
У з л ы б ез C T A С п ис ок Р аз л ич н ы е
ис к л юч ен ий А п п л ет ?
п ол ит ик и

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 42/68
N A C A p p l i a n c e (C i s c o C l e a n A c c e s s , C C A )

• C is c o C le a n A c c e s s S e r v e r
Кон тр ол ь досту п а у з л ов (р е ж им ы in -
b a n d и o u t -b a n d )
• C is c o C le a n A c c e s s M a n a g e r
У п р авл е н ие C C A
• C is c o C le a n A c c e s s A g e n t
О п ц ион ал ь н ы й кл ие н т дл я
скан ир ован ия у з л а н а з ащ ищ е н н ость
• S u b s c r ip tio n S e r v ic e s
А втом атич е ское об н овл е н ие дл я О С ,
ан тивир у сов и др у г их п р ил ож е н ий

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 43/68
Пр е им у щ е ст ва N A C д л я вл а д е л ь ц а

NAC м ин им из ир у е т п р о с т о ивр е з у л ь т а т е
э п ид е м ий вир у с о в и ч е р ве й , о б е с п е ч ива е т
с е т е ву ю ц е л о с т н о с т ь ид о с т у п н о с т ь ,
у п р а вл я е т с е т е вы м д о с т у п о м и с л е д ит з а
вн е д р е н ие м п о л ит ик и д о с т у п а
• С н иж е н ие ИТ -з атр ат н а п р е дотвр ащ е н ие
вн е ш н их и вн у тр е н н их у г р оз
• О б е сп е ч е н ие соотве тствия все х у з л ов
п ол итике б е з оп асн ости
• П р е дотвр ащ е н ие з ар аж е н ия у з л ов от
ин ц иф ир ован н ы х се те й ; сн иж е н ие вр е м е н и
п р остоя от э п иде м ий
• Р ост п р оду ктивн ости и
п р оиз водите л ь н ости
• З ащ ита от у г ол овн ог о п р е сл е дован ия

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 44/68
З а щ ит а ин ве ст иц ий

• NAC з а щ и щ а е т и н в е с т и ц и и ,
п о т о м у ч т о :
Н а узл ы , пол уч аю щ ие д оступ,
уж е установл ен спец иал ь ны й
пр ог р аммны й аг ент
(б еспл атно)
Э тот аг ент вх од ит в состав
мног их антивир усов, систем
пер сонал ь ной защ иты и т.п.
П од д ер ж ка N A C уж е встр оена
в сетевое об ор уд ование

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 45/68
Пр е им у щ е ст ва N A C д л я п о л ь з о ва т е л я

• Н е над о б еспокоить ся о защ ите


своег о компь ю тер а
• Н е над о д умать , г д е р азд об ы ть
патч и и д р уг ие запл аты
• Н е над о д умать о л иц ензионном
П О
• Н е над о д умать об об новл ении
своег о антивир уса (есл и он есть )
• М ож но пер ел ож ить всю
ответственность на ч уж ие пл еч и
• З ащ ита от уг ол овног о
пр есл ед ования (ст.2 7 3 У К Р Ф )

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 46/68
N A C – кл ю ч е во е о т л ич ие

• Ид еал ь ное р еш ение д л я


инф р астр уктур ы
З аказ ч ики м ог у т п р им е н ить N A C в у ж е
п остр ое н н ой се ти
Н е тр е б у е тся из м е н е н ия топ ол ог ии
З ач асту ю тр е б у е тся тол ь ко об н овл е н ие
П О

• 1 0 0 % -я пр овер ка узл а и устр ой ства


• Инд устр иал ь ная иниц иатива
П одде р ж ка ан тивир у сн ы х л иде р ов
Н овы й A P I п оз вол я е т п одкл ю ч ить ся к N A C
все м п р оиз водите л я м ср е дств з ащ иты

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 47/68
З А Щ ИТ А О Т А Т А К И
Н А Р У Ш ИТ Е Л Е Й

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 48/68
S2

C a ta ly s t A c c e s s C o n tr o l L is ts

• Ф ункц ии
Р аз р е ш е н ие /з ап р е т досту п а н а осн ове адр е са
источ н ика/п ол у ч ате л я
Б л окир ован ие н е сан кц ион ир ован н ог о досту п а к
кор п ор ативн ы м р е су р сам

• Р азл ич ны е вар ианты списков контр ол я д оступа


P o r t A C L (P A C L ), R e c e i v e A C L (R A C L ), V L A N A C L (V A C L ),
T i m e -b a s e d A C L

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 49/68
Д о ст у п т о л ь ко т у д а , ку д а м о ж н о

5 . Д ин ам ич е ск ое прим е н е н ие
1 . 8 0 2 .1 x -к л ие н т пол итик и досту па

6 .V L A N
802.1x Authentication Challenge
1 0 •S e t p o r t to e n a b le
•S e t p o r t v la n 1 0
E n g i Authentication
802.1x n e e r i n g V LI nfA o N

4 . П рава досту па прове ре н ы


2 . П рове рк а Д осту п раз ре ш е н
л ог ин а и прав Г е н е рац ия пол итик и досту па
досту па

4 0 0 0 S e r ie s 3 5 5 0 /2 9 5 0 Л ог ин прове ре н
S e r ie s
Л ог ин + С е ртиф ик ат

C is c o S e c u r e A C S A c tiv e D ir e c to r y
6 5 0 0 S e r ie s A c c e s s P o in ts A A A R A D IU S S e r v e r 3 . Д опол н ите л ь н ая прове рк а
8 0 2 .1 x -совм е стим ы е у строй ства 8 0 2 .1 x A u t h e n t i c a t i o n S e r v e r

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 50 /68
З а щ ит а ин ф р а ст р у кт у р ы

• Встроенные м ех а низ м ы з а щ иты к ом м у та торов


C a ta ly s t (C a ta ly s t In te g r a te d S e c u r ity F r a m e w o r k )
п оз в ол я ет з а щ итить и д а нные и г ол осов ой тра ф ик
от их у теч к и ил и п ерех в а та

C a ta ly s t In te g r a te d S e c u r ity
• Port Security
• D H C P Sn oop in g
• D yn a m ic A R P I n s p ection
• I P Source G ua rd
• B PD U G ua rd
• R oot G ua rd
• A C L
З а щ и т а Л В С ©
© 20
20 00 5
5 CC ii ss cc oo SS yy ss tt ee mm ss ,, II nn cc .. AA ll ll rr ii gg hh tt ss rr ee ss ee rr vv ee dd .. 51/68
P o r t S e c u r ity
• Ф ункц ии
О г р ан ич е н ие ч исл а M A C -адр е сов, котор ы е м ог у т
п одкл ю ч ить ся к дан н ом у п ор ту ком м у татор а

• У вер енность в том, ч то тол ь ко автор изованны е


пол ь зовател и мог ут под кл ю ч ить ся к сети


1 M A C A d d re s s

X
A d d itio n a l M A C
A d d re s s

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 52/68
Б л о кир о ва н ие «ч у ж их » ко м м у т а т о р о в

Н е авториз ован н ы й
к ом м у татор
Н е с т а б и л ь н о с т ь
с е т и
Enterprise
I nc o rrec t
S erv er
S T P I nf o
Enterprise
S erv er
Н е авториз ован н ы й BPDU Guard,
к ом м у татор
R o o t Guard

П р об л ема Р еш ение
• Н е а вт о р из о ва н н ы е ко м м у т а т о р ы
м о г у т вн е с т и с у м я т иц у в с е т и и • C a ta l ys t о б л а д а ю т м е х а н из м а м и
п р иве с т и к н е с т а б ил ь н о с т и B PD U -G ua rd и R oot G ua rd

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 53/68
D H C P S n o o p in g
D H C P Sn oop in g E n a b l ed DHCP
S e rv e r
Si T rus ted • Ф ункц ии
Блокирование
D H C P -от вет ов от


X нед оверенны х
у з лов

• З ащ ита от
под мены и
пер ех вата
DHCP тр аф ика
Cl i e n t R o g u e
S e rv e r

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 54/68
C a t a l y s t R a t e L i m i t i n g д л я о т р а ж е н ия D o S

П роб лем а:
З а р а ж е н н ы й п о л ь з о в а т е л ь м о ж е т
в ы в е ст и из ст р о я се т ь б о л ь ш им
о б ъ е м о м т р а ф ик а , в л ия я н а к а н а л
у п р а в л е н ия и д р у г их
Si п о л ь з о в а т е л е й
80 М б ит /се к
п р е в ы ш е н ие
Управляющий
Р еш ение:
т раф ик им е е т
вы с ш ий О г р а н ич е н ие п о л о сы
прио рит е т п р о п у ск а н ия п о V L A N , п о р т а м
ил ип о л ь з о в а т е л я м д л я
сн иж е н ие п е р е д а в а е м ы х
1 00 о б ъ е м о в т р а ф ик а
М б ит /се к
п о р т с
р а з р е ш е н
н ы м и2 0
М б ит /се к
З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 55/68
Scavenger Class Queuing

S c a v e n g e r
Никаких д е й с т в ий B a n d w id th

С е т е в а я з а г р у з к а С е т е в а я з а г р у з к а

П е р во е о б н а р у ж е н ие а н о м а л ии – П о с л е вт о р о г о о б н а р у ж е н ия
н ика ких д е й с т вий н е т р а ф ик м а р кир у е т с я ка к
п р е д п р ин им а е т с я “Sca v en g er” и о т с е ка е т с я

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 56/68
B ro ad cast Sup p ressio n д л я о т р а ж е н и я
D o S-а т а к

• S t o r m C o n t r o l т акж е
О т с е ч е н и е п а к е т ов
из вес т ны й как B r o a d c a s t
s u p p r e s s i o n (п од авление
ш ироковещ ат ель ной
рас с ы лки)
• О г ранич ение об ъ ем а Порог
b r o a d c a s t, m u ltic a s t
и/или u n i c a s t -т раф ика
• З ащ ит а от ат ак,
ис п оль з у ю щ их
ш ироковещ ат ель ны е
рас с ы лки
0 1 2 3 В ре м я
Секунды

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 57/68
S2

Д р у г ие м е х а н из м ы

• Dynamic ARP Inspection (DAI)


З ащ ит а от A R P -ат ак

• IP S ou r ce G u ar d
З ащ ит а от п од м ены ад рес а

• И т.д.

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 58/68
Р А С Ш ИР Е Н Н А Я Б Е З О П А С Н О С Т Ь

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 59/68
C a ta ly s t 6 5 0 0 S e r v ic e M o d u le s

F ir e w a ll S e r v ic e s M o d u le (F W S M ) In tr u s io n D e te c tio n C o n te n t S w itc h in g
M o d u l e ( I D S M 2) M o d u le (C S M )

Catalyst 6500
V P N S e r v ic e s M o d u le (V P N S M ) S e r v i c e M o d u le
F am i ly G u a r d / T r a ffic
A n o m a ly D e te c to r

W e b V P N S e r v ic e M o d u le
S S L M o d u le (S S L )
C o n te n t S w itc h in g
M o d u le w ith S S L
З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 60 /68
Б Е З О П А С Н О С Т Ь Д Л Я S M B –
C AT AL Y S T E X PRE S S 5 0 0

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 61/68
Т р и у р о вн я б е з о п а сн о ст и

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 62/68
«У м н ы е » п о р т ы

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 63/68
З А К Л Ю Ч Е Н ИЕ

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 64/68
Л ВС п о д з а щ ит о й

• C atal yst Integ r ated S ecu r ity, N AC и IB N S


о б е с п е ч ив аю т м н о г о у р о в н е в у ю з ащ иту п р о тив
у г р о з
К онт ролиру я , кт о в с ет и
К онт ролиру я , ч т о он д елает в с ет и
З ащ ищ ая ком п ь ю т еры от з араж ения
П ред от вращ ая д анны е от краж и
З ащ ищ ая с ет ь от вну т ренних ат ак

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 65/68
В О П Р О С Ы

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 66/68
П о л у ч ить э ту п р е з е н тац ию , а так ж е з адать
до п о л н ите л ь н ы е в о п р о с ы В ы м о ж е те п о
э л е к тр о н н о й п о ч те
secu r ity-r eq u est@ cisco.com
ил и п о те л е ф о н у : (0 9 5 ) 9 6 1 -1 4 1 0

З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 67/68
З а щ и т а Л В С © 20 0 5 C i s c o S y s t e m s , I n c . A l l r i g h t s r e s e r v e d . 68/68

Вам также может понравиться