Cisco Self-Defending Network
Cisco Self-Defending Network charakterizují tři základní vlastnosti:
n široké spektrum bezpečnostních funkcí je integrováno do síťové infrastruktury,
n bezpečnostní a síťové technologie vzájemně spolupracují na obraně sítě,
n síť účinně reaguje na známé i nově se objevující hrozby.
Self-Defending Network zajišťuje bezpečný přenos dat, obranu proti širokému spektru útoků vedených proti síťové infrastruktuře i koncovým zařízením, ověřuje totožnost uživatelů a stav jejich stanic. SDN umožňuje jednotnou správu bezpečnostních funkcí a centralizované monitorování sítě s aktivní odezvou na bezpečnostní incidenty.
Bezpečný přenos dat zajišťují technologie VPN. Poskytují privátní a nanarušitelnou komunikaci mezi sítěmi, umožňují bezpečný vzdálený přístup uživatelů do sítě. Nejčastěji využívanými VPN technologiemi jsou:
n IPSec VPN pro propojování vzdálených sítí přes veřejnou síť,
n IPSec VPN pro vzdálený přístup uživatelů do sítě pomocí specializovaného klienta,
n Web VPN (SSL VPN) pro vzdálený přístup do sítě pomocí webového prohlížeče,
n Multiprotocol Label Switching (MPLS) pro pružné vytváření virtuálních sítí ve sdílené infrastruktuře.
Technologie VPN jsou součástí IOS směrovačů, firewallů, specializovaných VPN koncentrátorů nebo LAN přepínačů.
Mezi technologie chránící síť, koncová zařízení i služby před útoky patří široké spektrum funkcí, implementovaných ve specializovaných zařízeních, infrastruktuře i na koncových stanicích a serverech. Patří sem zejména:
n aplikační stavové firewally (PIX, ASA,
IOS firewall),
n systémy Intrusion Prevention (IPS),
n systémy pro ochranu před rozprostřenými útoky proti službám (DDoS),
n zařízení sdružující funkce firewallu, systému IPS, koncentrátoru VPN a aplikační bezpečnostní brány (Adaptive Security Appliance, ASA),
n software chránící koncové stanice a servery (Cisco Security Agent).
Autentizační funkce v LAN přepínačích, směrovačích, bezdrátových přístupových bodech, VPN zařízeních nebo firewallech chrání síť proti neoprávněnému přístupu, ověřují uživatele a stav jejich zařízení, autorizují uživatele pro přístup do sítě a zaznamenávají jejich činnost. Do této kategorie patří i technologie Network Admission Control (NAC) [3].
Jednotný systém správy sítě (Cisco Security Manager) umožní jednoduchou konfiguraci virtuálních privátních sítí, bezpečnostních pravidel firewallů a systémů IPS pomocí grafického rozhraní. Sestavená pravidla kontroluje a přenáší hromadně do infrastruktury. Podporuje prakticky neomezený počet zařízení.
Monitorování bezpečnosti sítě zajišťují výkonné hardwarové systémy MARS (viz níže) nebo silný softwarový nástroj Cisco Works SIMS.
Podívejme se nyní blíže na výše zmíněné tři základní vlastnosti Self-Defending Network.
Integrované bezpečnostní technologie
Výše zmíněné bezpečnostní technologie můžeme implementovat pomocí specializovaných zařízení nebo v síťové infrastruktuře - zejména ve směrovačích nebo přepínačích LAN. Operační systém IOS obsahuje velmi silné bezpečnostní funkce. Patří sem aplikační stavový firewall, inline Intrusion Prevention System, technologie VPN pro vzdálený přístup i propojování LAN sítí, zabezpečené směrovací protokoly, protokoly pro bezpečnou správu. Řada síťových funkcí, jako metody pro zajištění kvality služby, klasifikační technologie Network Based Application Recognition (NBAR) nebo NetFlow, jsou využívány pro zabezpečení sítě. Funkce Control Plane Protection chrání směrovače před napadením. Směrovače IOS mají vysoké certifikáty bezpečnosti, například EAL4, ICSA nebo FIPS 140-2.
LAN přepínače Catalyst chrání komunikaci v lokálních sítích. Umožňují segmentaci sítě do virtuálních sítí, definují pravidla pro přenos dat mezi sítěmi VLAN. Privátní VLAN sítě oddělují komunikaci uvnitř virtuálních sítí. Specializované bezpečnostní funkce chrání protokoly ARP, DHCP a spanning tree. Přepínače ověřují uživatele před přístupem do sítě a dynamicky jim přidělují pravidla pro přístup ke zdrojům v síti. Ověřování uživatelů je možné spojit s prověřením stavu jejich stanic v technologii Network Admission Control.
Vysoce výkonné bezpečnostní hardwarové moduly jsou dostupné v LAN přepínačích Catalyst 6500. Poskytují funkce firewallu, IPS systému, IPSec nebo web VPN koncentrátoru, chrání síť proti útokům DDoS, zakončují SSL spojení. Tato řešení jsou vhodná zejména pro ochranu datových center.
Spolupracující bezpečnostní řešení
Bezpečnostní funkce specializovaných zařízení, síťová infrastruktura i koncové stanice na obraně sítě úzce spolupracují. Uveďme nyní několik příkladů této spolupráce.
Systémy Intrusion Prevention dovedou zastavit útok vlastními prostředky, mohou však také aktivovat ochranu na vzdálených směrovačích nebo firewallech. Softwarový systém Cisco Security Agent může předat informace o probíhajících aktivitách stanice síťovému IPS (verze 6). Na základě analýzy podezřelého chování stanice může CSA vytvořit signatury pro síťový IPS. Síťový IPS také může přijmout údaje od skenerů zranitelností a získat tak přehled, v jakém stavu jsou koncová zařízení a nakolik jsou zranitelná proti útokům. Tyto informace vyhodnotí technologie Risk Rating a stanoví pak přesnou odezvu na útok.
Dalším příkladem je technologie Distributed Threat Mitigation. Monitorovací systém MARS sleduje události v síti pomocí hardwarových IPS. Pokud MARS zjistí, že je síť napadena, aktivuje nové signatury v systému IPS na směrovačích IOS. Při zjištění útoku se ochrana okamžitě rozprostře v celé síti. MARS monitoruje vytížení směrovačů, deaktivuje nepotřebné signatury a vyvažuje tak funkčnost a úroveň zabezpečení infrastruktury.
V technologii Network Admission Control (NAC) spolupracuje na preventivní ochraně široké spektrum aplikací různých dodavatelů, síťová infrastruktura a autentizační systémy. NAC může ověřit uživatele a posoudit stav jejich stanic při přístupu do sítě přes LAN přepínače, bezdrátové AP, směrovače nebo VPN koncentrátory. Přístup nevyhovujících stanic omezí síťová zařízení do doby, než je zajištěna náprava. Potom může být přístup plně obnoven. NAC tak udržuje stanice v aktualizovaném stavu a snižuje riziko infekce zanedbanými koncovými zařízeními.
Adaptivní bezpečnostní
systémy - rychlá reakce na nové, dosud nepoznané hrozby
Důležitou vlastností sítě je její schopnost pružně reagovat nejen na známé hrozby, ale i na nově se objevující útoky.
Cisco Security Agent (CSA) je softwarové řešení, chránící stanice a servery proti širokému spektru útoků. CSA pracuje zcela bez signatur. Analyzuje systémová volání, dává je do souvislostí, podezřelé aktivity hlásí nebo blokuje. Jeho velmi silnou stránkou je právě schopnost zastavit doposud nepoznané útoky. Velmi dobře tak doplňuje klasické antivirové systémy.
Významní globální poskytovatelé služeb chrání své zákazníky před rozprostřenými útoky proti službám sadou technologií a postupů, označovaných jako Cisco Clean Pipes (čisté roury). Podstatnou součástí Clean Pipes jsou systémy pro zjišťování anomálií (Cisco Traffic Anomaly Guard/Detector), které chrání připojené sítě před rozprostřenými útoky proti službám. Při zjištění útoku proti sledované cílové síti pomocí zařízení Detector přesměruje síť data na Guard, který oddělí útok od běžných dat. Po skončení útoku jsou data směrována původní cestou.
Bleskovou reakci na nové hrozby poskytuje Cisco Incident Control System (ICS). Specializovaný server sleduje informace o výskytu nových hrozeb v laboratořích firmy Trend Micro (Trend Labs). Obvykle do 15 minut od příchodu nové hrozby (malwaru) přenese server podle definovaných pravidel filtry blokující útok (OPACL) do síťové infrastruktury (směrovačů, přepínačů LAN, systémů IPS). Do 90 minut pak většinou ICS aktivuje plnohodnotné signatury v systémech IPS (viz obrázek).
Monitorovací systém MARS velmi přesně rozpozná a blokuje útoky v síti. MARS sbírá informace prakticky z celé infrastruktury - z aktivních prvků, bezpečnostních zařízení, koncových stanic, z aplikací. Podporuje jak zařízení od společnosti Cisco, tak i od dalších dodavatelů. Velké množství informací koreluje a podle definovaných pravidel odhaluje bezpečnostní incidenty. MARS rozpozná směr šíření útoku, zakreslí ho do reálné mapy sítě, navrhne blokování útoku na aktivních prvcích.
Cisco SAFE architektura
Cisco Self-Defending Network poskytuje technologie, chránící sítě i koncová zařízení. Velmi důležitý je ovšem i vhodný návrh architektury sítě, dodržení postupů implementace bezpečnostních technologií a přesná definice bezpečnostních pravidel. Těmito tématy se zabývá sada doporučení označovaná jako Cisco SAFE architektura [4].
Další informace
[1] Inteligentní informační sítě (IIN)
www.cisco.com/go/iin
[2] Cisco Self-Defending Network
www.cisco.cz/go/security,
www.cisco.com/go/selfdefend
[3] Network Admission Control
www.cisco.cz/go/nac
[4] Cisco SAFE architektura
www.cisco.com/go/safe