Сватба 

продукти. Изграждане на корпоративна система за информационна сигурност, базирана на решения от Cisco Systems Protocols за ciscom mars

Система за наблюдение, анализ и реакция на Cisco MARS

Системата за наблюдение, анализ и реакция на Cisco (MARS) е хардуерно базирана платформа от край до край, която предоставяне на несравними възможности за внимателно наблюдение и контрол на съществуващата система за сигурност. Като ключов елемент от жизнения цикъл на управлението на сигурността, Cisco MARS предоставя на персонала по ИТ и мрежови операции способността да открива, управлява и смекчава заплахите за сигурността.

Описание

GPL цена

CS-MARS 25 Уред

CSMARS 25R 1RU Уред;75 EPS; 250GB

CSMARS 55 1RU Уред;1500EPS;500GB,RAID 1,Излишен

CSMARS 110R 2RU Уред;4500EPS;1500GB,RAID 10,Излишен

CSMARS 110 2RU Уред;7500EPS;1500GB,RAID 10,Излишен

CSMARS 210 2RU Уред;15000EPS;2000GB,RAID10,Излишен

Уред MARS GC2 2RU;2000GB;RAID10;Излишен PS

CSMARS-GC2-LIC-K9=

Надстройте лиценза за CS-MARS-GC2R до CS-MARS-GC2


Въз основа на съществуващи инвестиции в мрежа и сигурност, тази система открива и изолира елементи, които нарушават нормалната работа на мрежата, а също така предоставя на администраторите препоръки за пълното им елиминиране. Той също така осигурява подкрепа за спазването на политиката за сигурност и може да бъде включен като част от цялостна система за съответствие.

Администраторите на мрежа и сигурност са изправени пред много предизвикателства, включително:

  • Информационна сложност на системата за сигурност и мрежата.
  • Недостатъчни средства за откриване, приоритизиране и разработване на реакции на атаки и провали.
  • Повишена сложност, скорост на разпространение и цена за отстраняване на атаки.
  • Необходимостта от спазване на изискванията за съответствие и докладване.
  • Липса на специалисти по сигурността и средства.

Cisco MARS се справя с тези предизвикателства чрез следните стъпки:

  • Интегриране в мрежата от интелигентни функции за повишаване на ефективността на механизма за корелация на мрежови аномалии и събития за сигурност.
  • Визуализирайте потвърдените нарушения на сигурността и автоматизирайте тяхното разследване.
  • Отблъснете атаките, като се възползвате напълно от съществуващата си мрежа и инфраструктура за сигурност.
  • Наблюдавайте крайните точки, мрежите и операциите по сигурността, за да гарантирате спазването на нормативните изисквания.
  • Предоставяне на устройство, което е мащабируемо и лесно за внедряване и използване с най-ниска обща цена на притежание (TCO).

Cisco MARS трансформира необработените данни за злонамерена дейност, предоставени от мрежата и системата за сигурност, в разбираема информация, която може да се използва за справяне с потвърдени нарушения на сигурността и гарантиране на регулаторното съответствие. Пакет от лесни за използване хардуерно-базирани инструменти за намаляване на заплахите позволява на администраторите централизирано да откриват, приоритизират и отблъскват заплахите с мрежови и защитни устройства, които вече са вградени в инфраструктурата.

Cisco е един от водещите производители на продукти за информационна сигурност. Тази статия има за цел да покаже примери за използване на Cisco Security Agent, Cisco NAC Appliance и Cisco MARS продукти за осигуряване на вътрешна информационна сигурност за една компания. Тези продукти са интегрирани един с друг и ви позволяват да изградите лесно управляема и надеждна система.

Отделът за информационна сигурност на модерна компания е изправен пред напълно различни задачи - това е поддръжката на сигурни комуникационни канали на компанията, поддръжка на подсистемата за контрол на достъпа на потребителите, осигуряване на антивирусна защита, борба със спама, контролиране на течове на информация, както и наблюдение събития за информационна сигурност, възникващи в мрежата, и други също толкова важни задачи.

В момента на пазара на продукти за информационна сигурност има огромен брой разработки, които по един или друг начин позволяват решаването на задачите. Според нас най-правилният начин е да се изградят високо интегрирани системи за защита, които да могат най-гъвкаво да се адаптират към специфичните процеси, протичащи във фирмата.

Въведение

Всяка система за информационна сигурност е изградена на базата на предполагаем модел на заплаха. При планирането на система за сигурност трябва да се вземат предвид две категории заплахи: външни и вътрешни.

Външните заплахи са лесно предвидими, тъй като компанията разполага с пълна информация за това какви услуги са достъпни отвън, какви софтуерни и хардуерни ресурси осигуряват връзка между тази услуга и интернет.

Борбата с вътрешни заплахи е много по-трудна, тъй като потребителите, работещи в една компания, имат различни нива на достъп и изграждат различни взаимоотношения в компанията.

За да се осигури защита, е необходимо да се подходи цялостно, а не да се ограничава само до технически средства. Компетентната работа на службата за информационна сигурност, както и добре обмислената административна политика на компанията, ще помогнат за постигане на максимални резултати.

Административната политика е изградена върху основата на политиката за информационна сигурност. Организацията трябва да има политика за защита на поверителна информация и свързани инструкции. Тези документи трябва да определят правилата и критериите за категоризиране на информационните ресурси според степента на поверителност, правилата за етикетиране и правилата за работа с поверителна информация. Трябва да се дефинират правила за предоставяне на достъп до информационни ресурси, да се въведат подходящи процедури и механизми за контрол, включително разрешаване и одит на достъпа.

Тези административни мерки позволяват успешното справяне с най-многобройния клас заплахи - заплахи за неволно разкриване на поверителна информация, но очевидно не е достатъчно за справяне с нарушители - необходимо е да се използва специален софтуер и хардуер.

Защита на крайния хост - Cisco Security Agent

Решението Cisco Security Agent (CSA) е решение за защита на крайния хост, което във връзка с други системи ви позволява да решавате по-сложни и широки задачи.

CSA осигурява защита за сървърни системи и настолни компютри. Агентите за сигурност на Cisco надхвърлят типичните решения за сигурност на крайните точки, като комбинират усъвършенствана защита срещу целенасочени атаки, шпионски софтуер, стелт софтуер за дистанционно управление, антивирусна защита, както и защита срещу течове на информация и много други видове пробиви в сигурността в един софтуерен инструмент. компютър.

Cisco Security Agent е система, която използва агентски приложения за прилагане на политики за информационна сигурност, конфигурирани на централен сървър.

CSA комбинира защита срещу атаки от „нулев ден“, антивирусна програма ClamAV, защитна стена, модул за защита на файлове и приложения, модул за „недоверени“ приложения и други функции.

Cisco Security Agent предоставя редица ценни функции, включително следното:

  • следене на съответствието на състоянието на мрежовите обекти с изискванията на политиката за сигурност;
  • превантивна защита срещу целенасочени атаки;
  • управление на USB, CD-ROM, PCMCIA и др.;
  • създаване на затворена софтуерна среда;
  • възможността за откриване и изолиране на зловреден софтуер за скрито дистанционно управление;
  • разширени функции за предотвратяване на проникване в мрежови възли, лична защитна стена и защита срещу напълно нови атаки;
  • контрол на изтичане на информация;
  • контрол и предотвратяване на зареждане от неоторизирани носители;
  • оптимизиране на използването на Wi-Fi честотната лента;
  • осигуряване на наличност на критични клиент-сървър приложения и възможност за транзакции;
  • Маркиране на мрежовия трафик;
  • интеграция със системи за предотвратяване на проникване (Cisco IPS);
  • интеграция със система за контрол на мрежовия достъп (Cisco NAC);
  • интеграция със система за управление на сигурността (Cisco MARS).

Архитектурата на системата Cisco Security Agent е показана на Фигура 1. Агентите взаимодействат със сървъра за управление и получават от него актуализации на политики и софтуер.

Фигура 1: Архитектура на системата CSA

Крайните хостове се комбинират в групи, за които се прилагат политики за информационна сигурност. Политиките са набори от модули с правила (вижте фигура 2).

Фигура 2: Политики, модули, правила в CSA архитектурата

Cisco Security Agent ви позволява да контролирате действията на потребителите, докато те са свързани към мрежата за данни и сървърът за управление е наличен. Но също така се поддържа специален набор от състояния, като например недостижим център за управление, в който се прилагат специализирани политики за достъп за машини.

Втората система за информационна сигурност е системата за контрол на достъпа до мрежата за предаване на данни.

Контрол на мрежовия достъп - Контрол на достъпа до мрежата на Cisco (NAC)

Cisco NAC Appliance (по-рано Cisco Clean Access) е решение, предназначено за автоматично откриване, изолиране и дезинфекция на заразени, уязвими или несъвместими хостове, осъществяващи достъп до корпоративни ресурси чрез кабелен или безжичен достъп.

Като един от компонентите на технологията за контрол на достъпа до мрежата, Clean Access се реализира или като мрежов модул за Cisco ISR (за мрежи с по-малко от 100 контролирани устройства) или като отделно устройство.

Основните характеристики на решението Cisco NAC са:

  • независимост от производителя на мрежово оборудване (в лентов режим);
  • интеграция с Kerberos, LDAP, RADIUS, Active Directory, S/Ident и други методи за удостоверяване;
  • поддръжка за Windows (включително Vista), MacOS, Linux, Xbox, PlayStation 2, PDA устройства, принтери, IP телефони и др.;
  • поддръжка на CA, F-Secure, Eset, Kaspersky Lab, McAfee, Panda, Dr.Web, Sophos, Symantec, TrendMicro антивируси и други инструменти за компютърна защита (общо 250 производителя);
  • Поставете под карантина неподходящ хост чрез прилагане на ACL или VLAN;
  • създаване на "бял" списък с възли за ускоряване на достъпа им до мрежови ресурси;
  • автоматично инсталиране на липсващи актуализации, нови версии на средства за защита или актуализиране на остарели антивирусни бази данни;
  • централизирано уеб управление;
  • поддръжка на руски език;
  • извършване на прозрачен одит.

Архитектура и работа на уреда Cisco NAC

Cisco NAC е устройство за вътрешна сигурност, което използва мрежовата инфраструктура, като налага политики за сигурност и ограничава мрежовия достъп до устройства, които не отговарят на политиките за сигурност.

Основните функционални компоненти на решението са Clean Access Server (CAS) и Clean Access Manager (CAM). CAM отговаря за конфигурирането на политиките за сигурност, докато CAS отговаря за прилагането им.

Хардуерът може да се инсталира в конфигурация за преодоляване на срив, която извършва активен/готовност при отказ.

Фигура 3 показва състоянието на системата, в която потребителят се намира в специално създадена VLAN за удостоверяване, от която на потребителя е разрешен достъп до DHCP услугата и други, в съответствие с политиките, конфигурирани на CAM.

Фигура 3: Няма достъп до мрежата

След като потребителят премине проверката за съответствие с политиките за сигурност на информацията, той се допуска в мрежата чрез присвояване на комутационен порт към конкретна VLAN (Фигура 4).

Потребителите могат да преминат през процедурата за удостоверяване както с помощта на специализиран агент - Cisco Clean Access, който също събира информация за проверки, така и с помощта на уеб удостоверяване.

Фигура 4: Cisco NAC - Разрешен достъп до мрежата

Логиката на системата е съставена от компоненти - проверки, правила и изисквания, които се отнасят за всяка конкретна потребителска роля.

Например, можете да създадете няколко роли, които отговарят на отдели на компанията и за всяка роля да зададете определени изисквания, чието изпълнение се превръща в предпоставка за достъп до корпоративната среда.

Фигура 5: Cisco NAC - Логика на работа на системата

Предлагат се различни опции за проверка. Можете да проверите наличието на работещо приложение на компютъра, инсталирането на необходимите „кръпки“ за операционната система, версията на антивирусните бази данни и други проверки.

Системата за информационна сигурност предполага задължително наличие на система за наблюдение на събития, възникващи в мрежата. За тези цели се предполага използването на продукта Cisco Security Monitoring, Analysis and Response System (Cisco MARS).

Система за наблюдение, анализ и реакция на Cisco (MARS)

Съвременните предприятия постоянно се сблъскват с проблемите, свързани с осигуряването на информационна сигурност.

Сложността на мрежовата инфраструктура води до увеличаване на броя на средствата за защита - тези устройства могат да бъдат отделни защитни стени, рутери с определена софтуерна функционалност, суичове, различни IPS системи, IDS, HIPS системи, както и различни антивирусни системи, поща прокси сървъри, уеб прокси и други подобни системи.

Голям брой защити пораждат проблеми с управлението, тъй като броят на контролните точки се увеличава, броят на записаните събития се увеличава и в резултат на това се увеличава времето, необходимо за вземане на решения (виж фигура 6).

Фигура 6: Процес на вземане на решение за предотвратяване на атаки

В тази връзка за предприятието има нужда от система от по-високо ниво, способна да оцени съществуващото ниво на информационна сигурност чрез регистриране и съпоставяне на събития, получени от системата.

Системата за наблюдение и реакция на Cisco MARS предоставя тези функции.

Основни характеристики на Cisco MARS

Cisco MARS е сървърно базирано хардуерно и софтуерно решение. Системният софтуер е базиран на операционната система Linux (ядро 2.6). Основният компонент на системата е базата данни Oracle, използвана за съхранение на информация.

Cisco MARS има способността да събира информация от различни устройства, използвайки протоколите Syslog, SNMP, NetFlow, а също така има възможността да получава системни регистрационни файлове.

MARS поддържа оборудване от различни производители като Cisco, IBM, Check Point, Nokia, Symantec, McAfee, Netscape и други.

Логиката на системата Cisco MARS се основава на заявки към базата данни. Можете да изберете информация и да я прецизирате по IP адрес на източника, IP адрес на местоназначение, портове, типове събития, устройства, ключови думи и т.н.

На базата на заявки се основават определени правила, които се групират в системата. Базата данни на Cisco MARS съдържа повече от 2000 правила. Можете да създадете свои собствени правила, като по този начин гъвкаво адаптирате системата към конкретни видове предполагаеми заплахи.

След запазване на правилото и намиране на информация, която удовлетворява това правило, се образува инцидент.

Като се има предвид работата на Cisco MARS, можем да предложим конкретен пример за извършване на атака срещу хост (виж Фигура 7).

Фигура 7: Извършване на атака срещу хост

Беше сглобена стойка, съдържаща Cisco MARS, няколко превключвателя и лаптоп с инсталиран продукт Cisco Security Agent. За да се емулира атаката, хост услугите бяха сканирани с помощта на помощната програма NMAP.

Събитията изглеждат така:

  • Cisco Security Agent откри сканиране на порт;
  • Информацията за това стигна до центъра за управление на системата Cisco Security Agent, който от своя страна изпрати съобщение до MARS;
  • MARS анализира и нормализира полученото съобщение до единна форма, предоставена от базата данни MARS;
  • MARS произведе корелация на сесията;
  • Това събитие беше проверено с помощта на правила, конфигурирани на MARS, за да се регистрират инциденти със сигурността на информацията;
  • Проверено за фалшиви положителни резултати;
  • Беше генериран инцидент и информацията беше показана на администратора.

Началната страница на Cisco MARS съдържа информация, че е възникнал инцидент със сигурността от мрежата (вижте Фигура 8) и показва пътя на разпространение на атаката (вижте Фигура 9).

Фигура 8: Показване на информация за атаката в панела на Cisco МАРС

Фигура 9: Път на разпространение на атака в Cisco Panel МАРС

Като щракнете върху бутона "Превключване на топологията", можете да видите реалната топология на мрежата и да видите пътя на разпространение на атаката (вижте фигура 10).

Фигура 10: Мрежова топология на пътя за разпространение на атака в Cisco Panel МАРС

В отговор на инцидент Cisco MARS предлага няколко опции за предотвратяване на атака, свързана с мрежово устройство (вижте Фигура 11):

Фигура 11: Отговор за предотвратяване на атаки

Cisco MARS разполага и с гъвкава система за отчитане, която ви позволява да получавате подробни данни за всички регистрирани събития. Това прави възможно прилагането на принципа за подобряване на защитата (виж Фигура 12).

Фигура 12: Принципът на подобряване на защитата

Пример за цялостно решение

Помислете за цялостно решение на базата на горните продукти за централния офис на компанията K.

Централният офис на компания К има 100 служители в три отдела. Microsoft Active Directory се използва за контрол на потребителския достъп.

Необходимо е да се решат следните задачи:

  • осигуряват прилагането на политики за информационна сигурност, създадени за служителите на всеки отдел;
  • разполагате с актуална информация за софтуера, работещ на конкретни хостове;
  • да може да контролира достъпа до външни системи за хостове извън корпоративната среда;
  • осигуряване на достъп до мрежата въз основа на определени политики за информационна сигурност;
  • уверете се, че посочените проверки се извършват за хоста въз основа на акаунта на домейна на потребителя;
  • осигуряват наблюдение на събитията, възникващи в мрежата, както и събиране на информация с помощта на протокола NetFlow.

Конфигуриране на политики на Cisco Security Agent

Първо, ние дефинираме правата за достъп за всяка потребителска група. В съответствие с тези правила за достъп, правата за достъп до домейна и правилата за филтриране се конфигурират на активно мрежово оборудване.

Можете да създадете правила за достъп до мрежата с помощта на Cisco Security Agent, но тези правила са по-скоро собствени. Например, можете да откажете достъп на конкретен потребител до конкретен ресурс (IP, TCP/IP). В този пример мрежовите правила за CSA не се създават.

На първо място, за всички потребителски групи в CSA се създава политика, която прави невъзможно деактивирането на приложението на агента. Тази политика се прилага за всички потребители, включително местните администратори.

След това се стартира процес, който ви позволява да събирате информация за софтуера, инсталиран на компютрите – процес, наречен Application Deployment Investigation. В резултат получаваме отчет (виж фигура 13).

Фигура 13: Отчет за инсталираните приложения с помощта на Cisco Сигурност агент

В бъдеще можем да класифицираме тези приложения, например, подчертавайки офис приложения, ICQ клиенти, P2P приложения, имейл приложения и така нататък от общия брой. Също така, използвайки CSA, е възможно да се анализира поведението на конкретно приложение за по-нататъшно създаване на политики за информационна сигурност.

За всички потребители на централния офис се създават общи правила за всички идентифицирани приложения. Внедряването се извършва на етапи - първо, политиката за информационна сигурност се прилага в режим на одит, което ви позволява да контролирате всички събития, но не и да влияете на текущите действия на потребителите. В бъдеще финализираната политика се превежда в оперативен режим.

В допълнение към статичната класификация на приложенията, CSA предвижда и динамична класификация – методът на динамичните класове. Например приложението Microsoft Word може да бъде класифицирано в два класа приложения – локални и мрежови, като в зависимост от това към него могат да се прилагат различни политики за сигурност (виж Фигура 14).

Фигура 14: Динамични класове за класифициране на приложения

За антивирусна защита CSA има вграден антивирусен модул ClamAV. Ако имате антивирусна програма, този модул може да бъде деактивиран.

Контрол на изтичането на информация

За да предотврати изтичане на поверителна информация, CSA предоставя специален модул, наречен Data Loss Prevention.

Когато тази приставка е активирана, CSA агентът сканира файловете за чувствителна информация. Класификацията на информацията се задава ръчно въз основа на шаблони - сканиращи тагове (виж Фигура 15). Възможно е да се извършва сканиране в сянка, както и сканиране при отваряне/затваряне на файлове.

Фигура 15: Класификация на чувствителна информация

След като класификацията приключи, е необходимо да се създадат и приложат политики за информационна сигурност за приложения, които работят с тези файлове. Необходимо е да се контролира достъпът до тези файлове, отпечатване, прехвърляне на външен носител, копиране в клипборда и други събития. Всичко това може да се направи с помощта на стандартни шаблони и правила, които са предварително инсталирани в Cisco Security Agent.

Конфигуриране на Cisco NAC (чист достъп)

Започвайки да конфигурирате Cisco NAC, трябва ясно да разберете логиката на тази система за всяка конкретна потребителска група.

В случай на внедряване в компания K се планира всички потребители първо да попаднат в една VLAN (Vlan 110 на фигура 16). Намирайки се в тази VLAN, те преминават през процедура за удостоверяване и проверяват за съответствие с изискванията на политиките за информационна сигурност. Достъпът от тази VLAN до ресурсите на корпоративната мрежа е ограничен. На второ ниво на модела OSI за потребителите е достъпен само сървър за чист достъп. В същото време, чрез DHCP, потребителите получават IP адреси от работещи VLAN, което елиминира необходимостта от повторно получаване на IP адрес.

Фигура 16: VLAN за удостоверяване

В случай на успешна проверка, потребителят се прехвърля към „работещата“ VLAN (Vlan 10 на фигура 17). Този VLAN номер се присвоява според организационната единица (OU), към която принадлежи този потребител в Active Directory. Тази функционалност става възможна чрез използването на потребителски роли в системата NAC.

Фигура 17: Прехвърляне на потребител към "работеща" VLAN

Всички потребители на Company K са конфигурирани да отговарят на най-новите критични актуализации за операционната система Windows и да имат работещ Cisco Security Agent.

Помислете как можете да проверите състоянието на Cisco Security Agent на персоналните компютри на потребителите:

  • създава се нова проверка (виж Фигура 18);
  • след това се създава правило (виж фигура 19);
  • се създава изискване (виж фигура 20);
  • това изискване в крайна сметка се отнася за ролята на потребител.

Фигура 18: Създаване на нова проверка на статуса на агента за сигурност на Cisco

Фигура 19: Създаване на правило за проверка на нов агент за сигурност на Cisco

Фигура 20: Създаване на изисквания за проверка на статуса на новия агент за сигурност на Cisco

В резултат на извършената конфигурация за всички потребители на HR групата, за достъп до мрежови ресурси, трябва да е изпълнено условието за работа на Cisco Security Agent.

С помощта на Cisco NAC е възможно да се провери уместността на антивирусните бази данни, състоянието на услугите на крайните хостове и други важни неща.

Всяка опция за конфигурация е индивидуална, но в същото време системата първоначално има богат набор от изисквания, които допринасят за бързото й внедряване.

Конфигуриране на Cisco MARS

Cisco Security Agent и Cisco NAC имат богата система за отчитане, но за възможността за корелиране на събития, както и за възможността за събиране на информация за събития от различни устройства, се предлага използването на системата Cisco MARS.

Като основни настройки за системата Cisco MARS можете да посочите добавяне на устройства към системата (защитни стени, IPS, IDS, антивирусни системи, пощенски системи и др.), конфигуриране на експортиране на NetFlow към MARS сървъра и конфигуриране на потребители.

MARS вече има голям брой предварително дефинирани правила (виж Фигура 21), което ви позволява бързо да пуснете системата в експлоатация и да получите актуална информация за състоянието на информационната сигурност.

Фигура 21: Предварително дефинирани правила с Cisco МАРС

За по-задълбочено персонализиране е необходимо, в съответствие с предсказуеми модели на заплаха, да създадете свои собствени правила, които ще анализират входящата информация.

Ако са налице всички необходими условия, посочени в правилото, се създава инцидент, който може да се види на главния системен панел. Възможно е също да изпратите известие по имейл до обслужващия персонал на Cisco MARS.

По този начин Cisco MARS гарантира, че необработената информация за мрежата и сигурността за злонамерена дейност се превежда в разбираема информация, която се използва за отстраняване на пробиви в сигурността с помощта на оборудване, което вече е в мрежата.

Заключение

Разглежданата комплексна система решава широк спектър от задачи, позволявайки на администраторите да идентифицират и елиминират нарушенията на политиките за сигурност на компанията възможно най-бързо.

Продуктите, използвани за статията, са цялостни системи и могат да работят отделно един от друг, но в комбинирането на тези системи се крие стратегията на самозащитаваща се мрежа, която може да издържи на най-новите заплахи (нулев ден) за сигурност.

Забиякин Игор
Водещ инженер, NTS Ltd. (NTS Ltd.)

Ако се интересувате от внедряване на продукти за информационна сигурност от Cisco Systems, тогава можете да се свържете с представители на NTS.

Софтуерният и хардуерен комплекс CISCO MARS е предназначен да управлява заплахите за сигурността. Източниците на информация за тях могат да бъдат: мрежово оборудване (рутери и комутатори), средства за защита (защитни стени, антивируси, системи за откриване на проникване и скенери за сигурност), регистрационни файлове на ОС (Solaris, Windows NT, 2000, 2003, Linux) и приложения (DBMS , уеб и др.), както и мрежов трафик (например Cisco Netflow). Cisco MARS поддържа решения от различни доставчици - Cisco, ISS, Check Point, Symantec, NetScreen, Extreme, Snort, McAfee, eEye, Oracle, Microsoft и др.

Механизмът ContextCorrelation TM ви позволява да анализирате и сравнявате събития от хетерогенни инструменти за сигурност. Тяхната визуализация на мрежовата карта в реално време се постига с помощта на механизма SureVector TM. Тези механизми ви позволяват да показвате пътя на разпространение на атаката в реално време. Автоматичното блокиране на откритите атаки се постига с помощта на механизма AutoMitigate TM, който ви позволява да преконфигурирате различни инструменти за сигурност и мрежово оборудване.

Основни функции

  • Обработка до 10 000 събития в секунда и над 300 000 Netflow събития в секунда
  • Възможност за създаване на свои собствени правила за корелация
  • Уведомяване за открити проблеми по имейл, SNMP, чрез syslog и пейджър
  • Визуализация на атака в слоевете на връзката за данни и мрежата
  • Поддръжка за Syslog, SNMP, RDEP, SDEE, Netflow, системни и потребителски журнали като източници на информация
  • Възможност за свързване на собствени инструменти за защита за анализ
  • Ефективно отхвърляне на фалшиви положителни резултати и шум, както и откриване на атаки, пропуснати от индивидуални средства за защита
  • Откриване на аномалии с NetFlow Protocol
  • Създайте и автоматично актуализирайте мрежова карта, включително импортиране от CiscoWorks и други системи за управление на мрежата
  • Поддръжка на IOS 802.1x, NAC (фаза 2)
  • Мониторинг на механизмите за защита на комутаторите (Dynamic ARP Inspection, IP Source Guard и др.)
  • Интеграция с Cisco Security Manager (CSM Police Lookup)
  • Интеграция с използване на системи за управление на инциденти
  • Удостоверяване на RADIUS сървър
  • Мониторинг на здравето на компонентите на Cisco MARS
  • Препращане на Syslog
  • Динамично разпознаване на нови подписи за атака на Cisco IPS и качването им в Cisco MARS

Решение за управление на информацията за сигурност на CiscoWorks (SIMS)

Представяме описание на системата за наблюдение на мрежата, събиране на данни, обработка и управление на мрежови устройства.

Решение за управление на информацията за сигурност на CiscoWorks (SIMS)- това е система за управление, наблюдение и събиране на статистически данни, чиято архитектура се основава на многостепенен модел (фиг. 1), който ви позволява да изграждате системата на етапи с нарастването на мрежовата инфраструктура на предприятието.
SIMS е ядрото - единна точка за събиране на всички инциденти в мрежата, тяхната класификация и непрекъснат мониторинг.

Основни задачи на SIMS:

  • мониторинг;
  • събиране на данни, получени от защитни стени, устройства, откриване на проникване, антивирусни и операционни системи и приложения;
  • анализ и обработка на данни;
  • представяне на крайния резултат в графична форма - отчети и диаграми;

SIMS ви позволява да получавате данни за възможни нарушения на сигурността не само на едно устройство, като IDS, но и на мрежата като цяло, и това дава възможност да се видят силните / слабите страни в организацията на мрежовата сигурност.
SIMS е предназначен за мрежи на големи предприятия и интернет доставчици с 30 до няколко хиляди възли в мрежата, може да работи заедно със системи като HP Openview и Micromuse. Също така, когато се открият прониквания в мрежата, SIMS може да създаде инциденти с описание на проблема и да ги изпрати до службата за техническа поддръжка на корпоративната мрежа.

Централният компонент на системата е ядрото. Това е система за бързо реагиране, която е разпределено приложение. SIMS ви позволява да получавате известия за нарушения на политиките за сигурност навсякъде в корпоративната мрежа, генерира отчети и предоставя достъп до тях от всяко приложение, което поддържа уеб интерфейса.

Принципът на действие на SIMS технологията може да бъде разделен на 4 части:

1. Стандартизация.

Данните от различни мрежови устройства се събират от агенти (фиг. 2), които обработват събития, събират ги в групи (разпознават до 20 хиляди различни събития), водят до един тип данни (IDMEF) и ги изпращат по TCP до сървър с инсталиран на него главен.приложение (ядро SIMS) за обработка на данни.

2. Асоциация.

Ядрото на SIMS разпределя получените данни в 9 групи (фиг. 3) в зависимост от степента на важност от гледна точка на безопасността. В големите мрежи, поради мащабируемостта на системата, няколко от тези сървъри могат да се използват за осигуряване на разпределена обработка.

3. Анализ на получените данни.
Системата анализира и обработва получените данни. На този етап от работата на системата можете да зададете настройките за шаблони, политики за сигурност и диференциране на нивата на защита за различните секции на мрежата.

4. Визуализация.

На четвъртия и последен етап SIMS представя резултата от работата си в удобна графична форма (фиг. 4). Системата ви позволява да създавате различни графики, таблици и диаграми за визуално представяне на данните. С помощта на параметрите, съхранявани в системната база данни, е възможно да се извърши сравнителен анализ както по отделни критерии, така и по системата като цяло.

Предимства на продукта:

  • Мащабируемост
  • Разпределена архитектура
  • Интеграция с Openview и Micromuse

SIMS може да бъде закупен като самостоятелен софтуер и инсталиран на сървър или вече инсталиран на високопроизводителна сървърна платформа.

Маса 1.Информация за поръчка за решение SIMS 3.1 с хардуерна платформа.

Таблица 2.Информация за поръчка SIMS 3.1 (само софтуер)

Номера на продукти Описание
CWSIM-3.1-SS-K9 SIMS 3.1 базова конфигурация за OC Solaris; Включва лиценз за наблюдение на до 30 мрежови устройства, лиценз за 1 основен сървър за обработка на данни, 1 допълнителен сървър за разпределена обработка на данни и 1 за един сървър на база данни.
CWSIM-3.1-SL-K9 SIMS 3.1 основна конфигурация за OC Linux; Включва лиценз за наблюдение на до 30 мрежови устройства, лиценз за 1 основен сървър за обработка на данни, 1 допълнителен сървър за разпределена обработка на данни и 1 за един сървър на база данни.
CWSIM-3.1-DS-K9 Допълнителен сървърен лиценз за съхранение за съществуващо решение на CiscoWorks SIMS 3.1, работещо под ОС Solaris.
CWSIM-3.1-DL-K9 Допълнителен сървър за съхранение за съществуващо решение на CiscoWorks SIMS 3.1, работещо под Linux.
CWSIM-3.1-ADD20-K9 Лиценз за добавяне на 20 агента към работещо решение на CiscoWorks SIMS 3.1, работещо с OC Solaris или Linux.
CWSIM-3.1-MON30-K9 Лиценз на Cisco Secure Agent SIM 3.1 за наблюдение на 30 сървъра 300 работни станции
CWSIM-3.1-MON75-K9 Лиценз на Cisco Secure Agent SIM 3.1 за наблюдение на 75 сървъра 750 работни станции
CWSIM-3.1-EN-K9 Лиценз за добавяне на сървър за разпределена обработка, работещ със Solaris или Linux.
CWSIM-3.1-20LND-K9 Лиценз за наблюдение за до 20 устройства от нисък клас и OC на сървъри
CWSIM-3.1-100LNDK9 Лиценз за наблюдение за до 100 устройства от нисък клас и OC на сървъри
CWSIM-3.1-500LNDK9 Лиценз за наблюдение за до 500 устройства от нисък клас и OC на сървъри

Таблица 3Минимални изисквания за инсталиране на софтуер SIMS 3.1.

Хардуер Изисквания
процесор Linux: двоен Intel Pentium 4 1,5 GHz (сървър клас)
Solaris: Dual UltraSPARC-IIi 444 MHz (сървър клас)
RAM 4 ГИГАБАЙТА
Свободно дисково пространство 18GB
устройство за съхранение CD ROM

Допълнителна информация може да бъде намерена на уебсайта на Cisco Systems http://www.cisco.com/go/sims

Система за наблюдение, анализ и реакция на Cisco (CS-MARS)

Система за наблюдение, анализ и реакция на Cisco (CS-MARS) -Това е система за наблюдение на мрежата, която съпоставя събитията по сигурността на мрежата и налага прилагането на политиката за проактивен отговор на неоторизиран достъп до мрежата и проникване. Системата се състои от софтуер, инсталиран на високопроизводителен сървър.

Основните функции на системата:

  • мониторинг на мрежата;
  • изграждане на мрежова графика;
  • откриване на мрежови атаки и тяхното графично изобразяване;
  • изучаване на настройките на мрежовите устройства;
  • Анализ на събиране на данни и обработка на данни, получени от различни мрежови устройства;
  • представяне на крайния резултат под формата на графики, отчети и диаграми;

MARS предоставя графично представяне на мрежовата инфраструктура, рисувайки в реално време разпространението на мрежовите атаки (фиг. 1). Чрез анализиране на конфигурациите на рутери, комутатори и защитни стени (FIW), MARS е достатъчно интелигентен, за да проследи източника на инфекция, от който се осъществява неоторизиран достъп, дори ако той стои зад ITU.

За да изгради топология на мрежата (фиг. 2), да взаимодейства с комутатори (трябва да поддържат SNMP STP MIB) и рутери (трябва да поддържат SNMP MIB II), MARS използва snmp протокола, а за да взаимодейства с ITU и да получава тяхната конфигурация, системата използва telnet, SSH и CPMI.

MARS следи и разпознава събития, които могат да бъдат генерирани от почти всички мрежови устройства:

  • мрежови устройства: Cisco IOS 11.x, 12.2, Catalyst OS 6.x, NetFlow 5.0, 7.0, Extreme Extremeware 6.x;
  • ITU/VPN: Cisco PIX Firewall 6.x, IOS Firewall, FWSM 1.x, 2.2, Concentrator 4.0, Checkpoint Firewall-1 NGx, VPN-1, NetScreen Firewall 4.0, 5.0, защитна стена на Nokia;
  • IDS: Cisco NIDS 3.x, 4.x, мрежов IDS модул 3.x, 4.x, Enterasys Dragon NIDS 6.x ISS RealSecure Network Sensor 6.5, 7.0, Snort NIDS 2.x, McAfee Intushield NIDS 1.x, NetScreen IDP 2.x, OS 4.x, 5.x, Symantec MANHUNT;
  • Антивирусен софтуер: Symantec A/V;
  • Сървъри за удостоверяване: Cisco ACS;
  • Операционни системи: Windows NT, 2000, 2003 (със или без агенти), Solaris, Linux (изисква инсталация на агент);
  • Приложения: уеб сървъри (ISS, iPlanet, Apache), Oracle 9i, 10i одит журнали, Network Appliance NetCache, Oracle 9i и 10i;

MARS може да обработва до 10 хиляди събития в секунда. Системата поддържа мащабируемост, за това в мрежите на големи предприятия и интернет доставчици можете да създадете двустепенна архитектура с помощта на MARS контролери, към които могат да се свързват няколко MARS сървъра. Когато се използва тази архитектура, мрежата е разделена на "зони" и всяка е присвоена на конкретен MARS сървър.
Системата MARS ви позволява централно да конфигурирате мрежови политики, да събирате данни и да създавате до 80 различни типа стандартни отчети.
MARS може да докладва за записани нарушения чрез snmp протокола, електронна поща, да изпраща съобщения до пейджър или да съхранява запис на събития в системния журнал.
Системата MARS не изисква закупуване на лицензи за агент и/или база данни.

Предимства на продукта:

  • Мащабируемост
  • Разпределена архитектура
  • Няма система за лицензиране

Информация за поръчка:

MARS - сървъри Изпълнение (събития в секунда) NetFlows събития в секунда Хранилище за данни Форм фактор Захранване
Cisco Security MARS-20-K9 (PN-MARS 20) 500 15000 120 GB (без RAID) 1RUx16” 300W
Cisco Security MARS-50-K9 (PN-MARS 50) 1000 30000 240GB RAID0 1RUx25.6" 300W
Cisco Security MARS-100E-K9 (PN-MARS 100e) 3000 75000 3RUx25.6” два 500W всеки (една резервна)
Cisco Security MARS-100-K9 (PN-MARS 100) 5000 150000 Поддръжка за гореща смяна на 750GB RAID10 3RUx25.6” два 500W всеки (една резервна)
Cisco Security MARS-200-K9 (PN-MARS 200) 10000 300000 4RUx25.6” два 500W всеки (една резервна)
MARS - контролери Свързани устройства Брой връзки Хранилище за данни Форм фактор Захранване
Cisco Security MARS-GCMK9 (PN-MARS GCm) само MARS сървъри 20/50 до 5 1TB RAID10 поддръжка за гореща смяна 4RUx25.6” два 500W всеки (една резервна)
Cisco Security MARS-GC-K9 (PN-MARS GC) Всички MARS сървъри В момента няма ограничения 1TB RAID10 поддръжка за гореща смяна 4RUx25.6” два 500W всеки (една резервна)

Cisco Security Monitoring, Analysis, and Response System (MARS) е хардуерно устройство, което осигурява подробен мониторинг и контрол на съществуваща система за сигурност, откриване, управление и отразяване на заплахи за сигурността.

Администраторите на мрежата и сигурността може да срещнат следните проблеми:

  • Много голямо количество информация за състоянието на мрежата и сигурността на системата;
  • Недостатъчна ефективност на средствата за откриване, определяне на значимостта на атаките и отказите и разработване на действия за реагиране;
  • Висока скорост и сложност на атаките и висока цена на възстановяване след атаки;
  • Необходимостта от създаване на отчети за преминаване на одити и прегледи за съответствие.

Възможности на Cisco MARS

Събиране и обработка на информация

Cisco Security MARS събира и интегрира цялата информация за мрежовата топология, конфигурацията на мрежовите устройства и правилата за сигурност, като я получава от мрежови устройства и системи за сигурност, както и чрез анализиране на мрежовия трафик. В същото време използването на агенти е минимално, което не намалява производителността на мрежата и системата като цяло.

Cisco Security MARS събира централно лог файлове от рутери, комутатори, защитни стени, системи за откриване на проникване, скенери за уязвимости, антивирусни приложения, сървъри, работещи под Windows, Solaris, Linux операционни системи, приложни програми (например уеб сървъри, сървъри за удостоверяване), СУБД, като както и програми за обработка на трафик (например Cisco NetFlow).

Откриване на корелация на събития

Събраната информация се подрежда според топологията на мрежата, конфигурацията на устройството, адресите на източника и дестинацията. Въз основа на получената информация свързаните събития се групират в сесии в реално време. В съответствие с правилата, дефинирани от системата и администратора, Cisco MARS анализира сесиите, за да идентифицира инциденти, повреди и атаки.

Cisco MARS идва с голям набор от системни правила, които се актуализират редовно и включват откриване на повечето сложни атаки, атаки с нулев ден, мрежови червеи и т.н. Администраторът може да създава правила за всяко приложение, използвайки графичен интерфейс.

Откриването на корелация на събития структурира информация за сигурността на мрежата и системата, което намалява количеството информация, необходима за вземане на решения и помага за приоритизиране на действията за отговор на атаки и в резултат на това повишава ефективността на предприетите мерки.

Събиране и натрупване на големи количества данни

Cisco MARS получава информация за различни събития в мрежата, след което структурира данните и компресира данните за архивиране. Обработката на огромни количества данни е възможна благодарение на използването на ефективни алгоритми и вградена високопроизводителна база данни, чиято конфигурация е напълно прозрачна за администратора.

Cisco MARS поддържа мрежовата файлова система NFS и защитения FTP протокол за мигриране на данни към спомагателни архивни устройства, както и за разрешаване на възстановяване на конфигурацията след повреди.

Визуализация на инциденти и отразяване на атаки

Cisco Security MARS може да помогне на администраторите по-бързо и лесно да идентифицират атаки и прекъсвания, да валидират инциденти и да прилагат коригиращи действия.

Cisco MARS предоставя мощни графични инструменти, с които можете да изградите мрежова карта (включително атакувани възли, пътища на атака), да покажете пълна информация за атаки и инциденти. Това ви позволява бързо да предприемете действия за отблъскване на атаки.

MARS анализира сесиите на събития, за да открие и потвърди атаки и да събере информация за тях (до MAC адресите на крайните възли). Този автоматизиран процес се допълва от анализ на регистрационните файлове за сигурност (защитни стени, системи за откриване на проникване и т.н.) и собствените MARS проверки на Cisco за фалшиви положителни резултати.

В допълнение към факта, че Cisco MARS ви позволява да получите пълна информация за атаката, системата автоматично определя възлите, уязвими към атаката и генерира команди, които потребителят може да изпълни, за да отблъсне атаката.

Събиране на информация и отчети за съответствие в реално време

Отличителният белег на Cisco Security MARS са лесни за използване инструменти за структуриране на информацията за мрежова и системна сигурност, които осигуряват автоматично откриване на състоянието на системата, инциденти и реакции както при ежедневна работа, така и при инспекции и одити.

Cisco MARS предоставя възможност за графично показване на атаки както в реално време, така и за пресъздаване на модели на атаки и инциденти чрез анализиране на минали събития.

Cisco Security MARS предоставя възможности за докладване за различни цели: за разработване на планове за възстановяване след бедствие, за анализиране на инциденти и мрежова активност, за одит на текущото състояние на сигурността, докато отчетите могат да бъдат създавани под формата на текст, таблици, графики и диаграми. Има и възможности за създаване на отчети за съответствие с различни чужди стандарти (PCI DSS, Sarbanes - Oxley, HIPAA и др.).

Бързо внедряване и гъвкаво управление

Cisco Security MARS изисква мрежова връзка с възможност за изпращане и получаване на регистрационни файлове, SNMP съобщения и установяване на сесии с мрежови устройства и инструменти за сигурност, използвайки стандартни или специфични за доставчика защитени протоколи.

Инсталирането на Cisco MARS не изисква допълнителен хардуер, актуализации на операционната система, допълнителни лицензи или поддръжка. За да работите, е необходимо само с помощта на уеб интерфейса да конфигурирате мрежови устройства и инструменти за сигурност за свързване към Cisco MARS, както и да конфигурирате мрежи и мрежови възли, които трябва да бъдат наблюдавани.

Cisco MARS ви позволява да прехвърляте регистрационни файлове към външен сървър за интеграция със съществуващата ви мрежова инфраструктура. Cisco Security MARS също така ви позволява да инсталирате допълнително устройство за управление (Global Controller), което осигурява: йерархично управление на множество Cisco MARS системи, консолидиране на отчети от отделни системи, настройка на правила и шаблони за отчети и актуализации за локални системи Cisco MARS.

Подробно описание на функциите на Cisco MARS

Динамична корелация на сесията:

  • Откриване на аномалии, включително информация за NetFlow
  • Съотношение на събития въз основа на поведение и правила
  • Общи вградени и дефинирани от потребителя правила
  • Автоматично нормализиране на преведените мрежови адреси

Изграждане на топологична схема:

  • Рутери, превключватели и защитни стени на ниво 2 и 3
  • Модули и устройства на системата за откриване на проникване в мрежата
  • Ръчно или планирано изграждане
  • SSH, SNMP, Telnet и специфични за устройството взаимодействия

Анализ на уязвимостта:

  • Премахване на следи от нарушения въз основа на мрежата или крайната точка
  • Анализ на конфигурацията на комутатори, рутери, защитни стени и NAT
  • Автоматична обработка на данните от сканиране на уязвимости
  • Автоматичен и дефиниран от потребителя фалшиво положителен анализ

Анализ на нарушенията и реакция:

  • Табло за управление на отделни събития за сигурност
  • Комбиниране на данни за събития от сесия с контекста на всички правила
  • Графично представяне на пътя на атаката с подробен анализ
  • Профили на устройства по пътя на атака с определяне на MAC адресите на крайните възли
  • Графично и подробно последователно представяне на типа атака
  • Подробни данни за нарушенията, включително правила, необработени събития, общи уязвимости и как е засегната мрежата, както и опции за отражение
  • Незабавен анализ на нарушенията и идентифициране на фалшиви положителни резултати
  • Дефинирайте правила с помощта на GUI за поддръжка на персонализирани правила и анализ на ключови думи
  • Оценка на нарушенията с издаване от потребителите на работен лист, описващ действия стъпка по стъпка
  • Сигнал, включващ имейл, пейджър, системен журнал и SNMP

Формиране на заявки и отчети:

  • Графичен потребителски интерфейс, който поддържа голям брой стандартни и персонализирани заявки
  • Над 80 преобладаващи доклада, включително отчети за управление, операции и съответствие
  • Генератор на отчети с интуитивен интерфейс, който ви позволява да създавате неограничен брой персонализирани отчети
  • Текст, графика и общ формат за отчитане, който поддържа експорт в HTML и CSV файлове
  • Създаване на готови за печат, групови, стандартни и други отчети

администрация:

  • HTTPS уеб интерфейс; администриране, базирано на роли, с дефинирани разрешения
  • Йерархично управление на множество Cisco MARS системи с глобален контролер
  • Автоматични актуализации, включително поддръжка за устройства, нови правила и функции
  • Постоянна миграция на архиви на необработени данни за нарушения към офлайн NFS хранилища

Поддръжка на устройство:

  • Мрежово активно оборудване: софтуер Cisco IOS, версии 11.x и 12.x; Cisco Catalyst OS версия 6.x; Cisco NetFlow пуска версии 5.0 и 7.0; Extreme Extremeware версия 6.x.
  • Защитни стени/VPNs: Cisco Adaptive Security Appliance Release 7.0, Cisco PIX Security Appliance Software Release 6.x и 7.0; Cisco IOS Firewall Release 12.2(T) или по-нова версия; Cisco Firewall Feature Module (FWSM) версии 1.x, 2.1 и 2.2; софтуер за Cisco VPN 3000 версия 4.0; защитна стена Checkpoint Firewall-1 NG FP-x и VPN-1 версия FP3, FP4 и AI; Версия на защитната стена на NetScreen 4.x и 5.x; Версии на защитна стена на Nokia FP3, FP4 и AI.
  • IDS системи: Cisco IDS Release 3.x, 4.x и 5.0; Cisco IDS модул версия 3.x и 4.x; Cisco IOS IPS версия 12.2; Enterasys Dragon NIDS версия 6.x; мрежов сензор ISS RealSecure версии 6.5 и 7.0; Snort NIDS версия 2.x; McAfee Intushield NIDS версия 1.5 и 1.8; NetScreen IDP версия 2.x; Версия на ОС 4.x и 5.x; Система Symantec MANHUNT.
  • Системи за оценка на уязвимостта: eEye REM версия 1.x и FoundStone FoundScan версия 3.x.
  • Системи за сигурност на крайни точки: Cisco Security Agent версия 4.x; Версия на системата McAfee Entercept 2.5 и 4.x; сензор за крайни възли ISS RealSecure Host Sensor версия 6.5 и 7.0.
  • Антивирусен софтуер: Symantec Antivirus версия 9.x.
  • Сървъри за удостоверяване: Cisco ACS Server Release 3.x и 4.x.
  • Операционни системи на крайни възли: OS Windows NT, 2000 и 2003 (със и без агенти); Solaris OS версия 8.x, 9.x и 10.x; OS Linux версия 7.x.
  • Приложения: Web сървъри (ISS, iPlanet и Apache); Oracle 9i и 10g; netcache.
  • Универсална поддръжка на устройства за агрегиране и наблюдение на системни регистрационни файлове на всяко приложение.

Допълнителни хардуерни функции:

  • Устройства със специално предназначение, 19" стойка за монтиране; UL сертифициран.
  • ОС с подобрена защита; защитна стена с намален набор от функции.
  • Два Ethernet 10/100/1000 интерфейса.
  • DVD-ROM за възстановяване.