Häät 

Tuotteet. Yrityksen tietoturvajärjestelmän rakentaminen, joka perustuu Cisco Systems Protocolsin ciscom mars -ratkaisuihin

Cisco MARS -valvonta-, -analyysi- ja -vastausjärjestelmä

Cisco Security Monitoring, Analysis and Response System (MARS) on laitteistopohjainen, päästä päähän -alusta, joka tarjoaa vertaansa vailla olevat mahdollisuudet olemassa olevan turvajärjestelmän tarkkaan seurantaan ja valvontaan. Tietoturvan hallinnan elinkaaren keskeisenä osana Cisco MARS tarjoaa IT- ja verkkotoimintojen henkilöstölle mahdollisuuden havaita, hallita ja lieventää tietoturvauhkia.

Kuvaus

GPL hinta

CS-MARS 25 -laite

CSMARS 25R 1RU -laite;75 EPS; 250GB

CSMARS 55 1RU -laite; 1500 EPS; 500 Gt, RAID 1, Redundantti

CSMARS 110R 2RU -laite;4500EPS;1500GB,RAID 10,Redundantti

CSMARS 110 2RU -laite;7500EPS;1500GB,RAID 10,Redundantti

CSMARS 210 2RU -laite;15000EPS;2000GB,RAID10,Redundantti

MARS GC2 2RU -laite; 2000 Gt; RAID10; Redundantti PS

CSMARS-GC2-LIC-K9=

Päivitä CS-MARS-GC2R:n lisenssi CS-MARS-GC2:ksi


Tämä järjestelmä havaitsee ja eristää verkkoon ja turvajärjestelmään tehtyjen investointien perusteella verkon normaalia toimintaa häiritsevät elementit sekä antaa järjestelmänvalvojille suosituksia niiden poistamiseksi kokonaan. Se tukee myös turvallisuuspolitiikan noudattamista, ja se voidaan sisällyttää osaksi yleistä noudattamisjärjestelmää.

Verkko- ja tietoturvajärjestelmänvalvojat kohtaavat monia haasteita, kuten:

  • Turvajärjestelmän ja verkon tiedon monimutkaisuus.
  • Tehokkaiden keinojen puute havaita, priorisoida ja reagoida hyökkäyksiä ja epäonnistumisia.
  • Lisääntynyt monimutkaisuus, etenemisnopeus ja hyökkäysten korjauskustannukset.
  • Tarve noudattaa vaatimustenmukaisuutta ja raportointivaatimuksia.
  • Turvallisuusalan ammattilaisten ja varojen puute.

Cisco MARS vastaa näihin haasteisiin seuraavien vaiheiden avulla:

  • Integrointi älykkäiden toimintojen verkkoon parantaa verkon poikkeamien ja tietoturvatapahtumien korrelaatiomekanismin tehokkuutta.
  • Visualisoi vahvistetut tietoturvaloukkaukset ja automatisoi niiden tutkinta.
  • Torju hyökkäykset hyödyntämällä täysimääräisesti olemassa olevaa verkko- ja tietoturvainfrastruktuuriasi.
  • Valvo päätepisteitä, verkko- ja suojaustoimintoja säännöstenmukaisuuden varmistamiseksi.
  • Toimitamme laitteen, joka on skaalautuva ja helppo ottaa käyttöön ja käyttää alhaisin kokonaiskustannuksin (TCO).

Cisco MARS muuntaa verkon ja turvallisuuden tarjoamat raakatiedot haitallisista toimista ymmärrettäviksi tiedoiksi, joita voidaan käyttää vahvistettujen tietoturvaloukkausten korjaamiseen ja säännösten noudattamisen varmistamiseen. Helppokäyttöisten laitteistopohjaisten uhkien torjuntatyökalujen sarjan avulla järjestelmänvalvojat voivat keskitetysti havaita, priorisoida ja torjua uhkia infrastruktuuriin jo upotetuilla verkko- ja tietoturvalaitteilla.

Cisco on yksi johtavista tietoturvatuotteiden valmistajista. Tämän artikkelin tarkoituksena on näyttää esimerkkejä Cisco Security Agentin, Cisco NAC Appliancen ja Cisco MARS -tuotteiden käytöstä sisäisen tietoturvan tarjoamiseen yritykselle. Nämä tuotteet on integroitu toisiinsa ja niiden avulla voit rakentaa helposti hallittavan ja luotettavan järjestelmän.

Nykyaikaisen yrityksen tietoturvaosastolla on täysin erilaiset tehtävät - tämä on yrityksen suojattujen viestintäkanavien tuki, tuki käyttäjien kulunvalvontaalijärjestelmälle, virustorjunta, roskapostin torjunta, tietovuotojen hallinta sekä seuranta. verkossa tapahtuvat tietoturvatapahtumat ja muut yhtä tärkeät tehtävät.

Tällä hetkellä tietoturvatuotteiden markkinoilla on valtava määrä kehityskulkuja, jotka tavalla tai toisella mahdollistavat tehtävien ratkaisemisen. Mielestämme oikea tapa on rakentaa pitkälle integroituja suojajärjestelmiä, jotka mukautuvat joustavasti yrityksen erityisiin prosesseihin.

Johdanto

Mikä tahansa tietoturvajärjestelmä on rakennettu oletetun uhkamallin pohjalta. Turvajärjestelmää suunniteltaessa on otettava huomioon kaksi uhkien kategoriaa: ulkoinen ja sisäinen.

Ulkoiset uhat ovat helposti ennakoitavissa, sillä yrityksellä on kattava tieto siitä, mitä palveluita ulkopuolelta on saatavilla, mitkä ohjelmisto- ja laitteistoresurssit tarjoavat yhteyden tämän palvelun ja Internetiin.

Sisäpiiriuhkien torjunta on paljon vaikeampaa, koska yrityksessä työskentelevillä käyttäjillä on eri pääsyoikeustasot ja he rakentavat erilaisia ​​suhteita yrityksen sisällä.

Suojauksen varmistamiseksi on välttämätöntä lähestyä sitä kokonaisvaltaisesti, eikä rajoitu vain teknisiin keinoihin. Tietoturvapalvelun osaava työ sekä yrityksen harkittu hallintopolitiikka auttavat saavuttamaan maksimaaliset tulokset.

Hallintopolitiikka on rakennettu tietoturvapolitiikan perustalle. Organisaatiolla tulee olla luottamuksellisten tietojen suojaamista koskeva politiikka ja siihen liittyvät ohjeet. Näissä asiakirjoissa olisi määriteltävä säännöt ja kriteerit tietoresurssien luokittelulle luottamuksellisuusasteen mukaan, merkintäsäännöt ja luottamuksellisten tietojen käsittelyä koskevat säännöt. Tietoresursseihin pääsyn myöntämistä koskevat säännöt olisi määriteltävä, asianmukaiset menettelyt ja valvontamekanismit olisi otettava käyttöön, mukaan lukien valtuutus- ja pääsytarkastus.

Nämä hallinnolliset toimenpiteet mahdollistavat useimpien uhkien - luottamuksellisten tietojen tahattoman paljastamisen uhkien - torjumisen onnistuneesti, mutta se ei selvästikään riitä tunkeilijoiden torjuntaan - on käytettävä erityisiä ohjelmistoja ja laitteistoja.

End Host Security - Cisco Security Agent

Cisco Security Agent (CSA) -ratkaisu on loppupalvelimen turvajärjestelmä, jonka avulla voit yhdessä muiden järjestelmien kanssa ratkaista monimutkaisempia ja laajempia tehtäviä.

CSA tarjoaa suojan palvelinjärjestelmille ja pöytäkoneille. Cisco Security Agentit menevät tyypillisiä päätepisteiden tietoturvaratkaisuja pidemmälle yhdistämällä edistyneen suojan kohdistettuja hyökkäyksiä vastaan, vakoiluohjelmia, salaperäisiä kauko-ohjainohjelmistoja, virustorjuntasuojausta sekä suojan tietovuotoja ja monia muita tietoturvaloukkauksia vastaan ​​yhdessä ohjelmistotyökalussa.

Cisco Security Agent on järjestelmä, joka käyttää agenttisovelluksia keskuspalvelimelle määritettyjen tietoturvakäytäntöjen soveltamiseen.

CSA yhdistää suojan "nollapäivän" hyökkäyksiä vastaan, ClamAV-virustorjunta, palomuuri, tiedostojen ja sovellusten suojausmoduuli, "epäluotettava" sovellusmoduuli ja muut toiminnot.

Cisco Security Agent tarjoaa useita arvokkaita ominaisuuksia, mukaan lukien seuraavat:

  • valvoa verkkoobjektien tilan noudattamista suojauspolitiikan vaatimusten kanssa;
  • ennaltaehkäisevä suoja kohdistettuja hyökkäyksiä vastaan;
  • USB:n, CD-ROMin, PCMCIA:n jne. ohjaus;
  • suljetun ohjelmistoympäristön luominen;
  • kyky havaita ja eristää haittaohjelmat peitettyä kaukosäädintä varten;
  • kehittyneet toiminnot estämään tunkeutuminen verkkosolmuihin, henkilökohtainen palomuuri ja suojaus täysin uusia hyökkäyksiä vastaan;
  • tietovuotojen valvonta;
  • luvattomalta medialta tapahtuvan käynnistyksen valvonta ja estäminen;
  • Wi-Fi-kaistanleveyden käytön optimointi;
  • kriittisten asiakas-palvelinsovellusten saatavuuden ja transaktioiden mahdollisuuden varmistaminen;
  • verkkoliikenteen merkintä;
  • integrointi tunkeutumisenestojärjestelmiin (Cisco IPS);
  • integrointi verkkoon pääsynvalvontajärjestelmään (Cisco NAC);
  • integrointi turvahallintajärjestelmään (Cisco MARS).

Cisco Security Agent -järjestelmän arkkitehtuuri on esitetty kuvassa 1. Agentit ovat vuorovaikutuksessa hallintapalvelimen kanssa ja vastaanottavat käytäntö- ja ohjelmistopäivityksiä siltä.

Kuva 1: CSA-järjestelmäarkkitehtuuri

Loppupalvelimet yhdistetään ryhmiin, joihin sovelletaan tietoturvakäytäntöjä. Käytännöt ovat sääntömoduuleja (katso kuva 2).

Kuva 2: Käytännöt, moduulit, säännöt CSA-arkkitehtuurissa

Cisco Security Agentin avulla voit hallita käyttäjien toimia, kun he ovat yhteydessä tietoverkkoon ja hallintapalvelin on käytettävissä. Mutta myös erityisiä tiloja tuetaan, kuten tavoittamaton hallintakeskus, jossa koneille pakotetaan erityisiä pääsykäytäntöjä.

Toinen tietoturvajärjestelmä on tiedonsiirtoverkkoon pääsyn valvontajärjestelmä.

Verkkokäytön valvonta - Cisco Network Admission Control (NAC)

Cisco NAC Appliance (aiemmin Cisco Clean Access) on ratkaisu, joka on suunniteltu automaattisesti havaitsemaan, eristämään ja desinfioimaan tartunnan saaneet, haavoittuvat tai vaatimustenvastaiset isännät, jotka käyttävät yrityksen resursseja langallisen tai langattoman yhteyden kautta.

Yhtenä Network Admission Control -teknologian komponenttina Clean Access on toteutettu joko verkkomoduulina Cisco ISR:ille (verkoille, joissa on alle 100 ohjattua laitetta) tai erillisenä laitteena.

Cisco NAC -ratkaisun tärkeimmät ominaisuudet ovat:

  • riippumattomuus verkkolaitteiden valmistajasta (kaistan sisäisessä tilassa);
  • integrointi Kerberosin, LDAP:n, RADIUS:n, Active Directoryn, S/Identin ja muiden todennusmenetelmien kanssa;
  • tuki Windowsille (mukaan lukien Vista), MacOS:lle, Linuxille, Xboxille, PlayStation 2:lle, PDA:ille, tulostimille, IP-puhelimille jne.;
  • tuki CA-, F-Secure-, Eset-, Kaspersky Lab-, McAfee-, Panda-, Dr.Web-, Sophos-, Symantec-, TrendMicro-virustorjuntaohjelmille ja muille tietokoneen suojaustyökaluille (yhteensä 250 valmistajaa);
  • Aseta sopimaton isäntä karanteeniin käyttämällä ACL- tai VLAN-verkkoja;
  • solmujen "valkoisen" luettelon luominen nopeuttaakseen niiden pääsyä verkkoresursseihin;
  • puuttuvien päivitysten automaattinen asennus, suojaustyökalujen uudet versiot tai vanhentuneiden virustorjuntatietokantojen päivittäminen;
  • keskitetty web-hallinta;
  • venäjän kielen tuki;
  • avoimen tarkastuksen tekeminen.

Cisco NAC Appliance -arkkitehtuuri ja toiminta

Cisco NAC on sisäinen tietoturvalaite, joka hyödyntää verkkoinfrastruktuuria pakottamalla suojauskäytäntöjä ja rajoittamalla verkkoon pääsyn laitteisiin, jotka eivät noudata suojauskäytäntöjä.

Ratkaisun tärkeimmät toiminnalliset komponentit ovat Clean Access Server (CAS) ja Clean Access Manager (CAM). CAM vastaa tietoturvakäytäntöjen määrittämisestä, kun taas CAS vastaa niiden toteuttamisesta.

Laitteisto voidaan asentaa vikasietokokoonpanoon, joka suorittaa Active/Standby Failoverin.

Kuvassa 3 on esitetty järjestelmän tila, jossa käyttäjä on erityisesti luodussa todennus-VLANissa, josta käyttäjä pääsee CAM:iin konfiguroitujen käytäntöjen mukaisesti DHCP-palveluun ja muihin.

Kuva 3: Ei verkkoyhteyttä

Kun käyttäjä on läpäissyt tietoturvakäytäntöjen noudattamisen tarkistuksen, hänet päästetään verkkoon osoittamalla kytkinportti tietylle VLAN:lle (kuva 4).

Käyttäjät voivat käydä todennusprosessin läpi sekä erikoisagentin - Cisco Clean Accessin, joka myös kerää tietoja tarkistuksia varten, että verkkotodennuksen avulla.

Kuva 4: Cisco NAC - Verkkoyhteys sallittu

Järjestelmän logiikka koostuu komponenteista - tarkistuksista, säännöistä ja vaatimuksista, jotka koskevat jokaista tiettyä käyttäjäroolia.

Voit esimerkiksi luoda useita yrityksen osastoja vastaavia rooleja ja asettaa kullekin roolille tietyt vaatimukset, joiden täyttyminen on yritysympäristöön pääsyn edellytys.

Kuva 5: Cisco NAC - Järjestelmän toimintalogiikka

Saatavilla on erilaisia ​​vahvistusvaihtoehtoja. Voit tarkistaa käynnissä olevan sovelluksen olemassaolon tietokoneella, käyttöjärjestelmän tarvittavien "korjausten" asennuksen, virustorjuntatietokantojen version ja muita tarkistuksia.

Tietoturvajärjestelmä edellyttää valvontajärjestelmän pakollista läsnäoloa verkossa tapahtuvia tapahtumia varten. Näihin tarkoituksiin sen on tarkoitus käyttää tuotetta Cisco Security Monitoring, Analysis and Response System (Cisco MARS).

Cisco Security Monitoring, Analysis and Response System (MARS)

Nykyaikaiset yritykset kohtaavat jatkuvasti tietoturvan varmistamiseen liittyviä ongelmia.

Verkkoinfrastruktuurin monimutkaisuus lisää suojaustyökalujen määrää - nämä laitteet voivat olla erillisiä palomuureja, reitittimiä tietyllä ohjelmistotoiminnallisuudella, kytkimet, erilaiset IPS-järjestelmät, IDS, HIPS-järjestelmät sekä erilaiset virustorjuntajärjestelmät, sähköposti välityspalvelimet, web-välityspalvelimet ja muut vastaavat järjestelmät.

Suuri määrä suojauksia aiheuttaa hallintaongelmia, kun kontrollipisteiden määrä kasvaa, tallennettujen tapahtumien määrä kasvaa ja sen seurauksena päätöksentekoon kuluva aika kasvaa (ks. kuva 6).

Kuva 6: Päätösprosessi hyökkäysten ehkäisemiseksi

Tältä osin yritykselle on tarve korkeamman tason järjestelmälle, joka pystyy arvioimaan olemassa olevan tietoturvan tason rekisteröimällä ja korreloimalla järjestelmän vastaanottamia tapahtumia.

Cisco MARS Monitoring and Response System tarjoaa nämä toiminnot.

Cisco MARSin tärkeimmät ominaisuudet

Cisco MARS on palvelinpohjainen laitteisto- ja ohjelmistoratkaisu. Järjestelmäohjelmisto perustuu Linux-käyttöjärjestelmään (ydin 2.6). Järjestelmän pääkomponentti on Oracle-tietokanta, jota käytetään tietojen tallentamiseen.

Cisco MARS pystyy keräämään tietoja eri laitteista käyttämällä Syslog-, SNMP- ja NetFlow-protokollia, ja sillä on myös mahdollisuus vastaanottaa järjestelmälokitiedostoja.

MARS tukee laitteita eri toimittajilta, kuten Cisco, IBM, Check Point, Nokia, Symantec, McAfee, Netscape ja muut.

Cisco MARS -järjestelmän logiikka perustuu tietokannan kyselyihin. Voit valita tietoja ja tarkentaa niitä lähteen IP-osoitteen, kohde-IP-osoitteen, porttien, tapahtumatyyppien, laitteiden, avainsanojen ja niin edelleen mukaan.

Pyyntöjen perusteella laaditaan tietyt säännöt, jotka ryhmitellään järjestelmään. Cisco MARS -tietokanta sisältää yli 2000 sääntöä. Voit luoda omia sääntöjäsi ja mukauttaa siten järjestelmän joustavasti tietyntyyppisiin väitettyihin uhkiin.

Säännön tallentamisen ja tämän säännön mukaisten tietojen löytämisen jälkeen muodostuu tapaus.

Ottaen huomioon Cisco MARSin työn, voimme tarjota erityisen esimerkin isäntäkoneen hyökkäyksestä (katso kuva 7).

Kuva 7: Hyökkäys isäntäkonetta vastaan

Koottiin teline, jossa oli Cisco MARS, useita kytkimiä ja kannettava tietokone, johon oli asennettu Cisco Security Agent -tuote. Hyökkäyksen jäljittelemiseksi isäntäpalvelut tarkistettiin NMAP-apuohjelmalla.

Tapahtumat näyttävät tältä:

  • Cisco Security Agent havaitsi porttiskannauksen;
  • Tieto tästä päätyi Cisco Security Agent -järjestelmän hallintakeskukseen, joka puolestaan ​​lähetti viestin MARSille;
  • MARS jäsensi ja normalisoi vastaanotetun viestin yhteen MARS-tietokannan tarjoamaan muotoon;
  • MARS tuotti istuntokorrelaation;
  • Tämä tapahtuma tarkistettiin käyttämällä MARSissa määritettyjä sääntöjä tietoturvahäiriöiden kirjaamiseksi;
  • Tarkistettu väärien positiivisten tulosten varalta;
  • Tapaus syntyi ja tiedot näytettiin järjestelmänvalvojalle.

Cisco MARS -kotisivulla on tietoa tietoturvahäiriöstä verkosta (katso kuva 8) ja hyökkäyksen etenemispolku (katso kuva 9).

Kuva 8: Tietojen näyttäminen hyökkäyksestä Cisco-paneelissa MARS

Kuva 9: ​​Hyökkäyksen leviämispolku Cisco-paneelissa MARS

Napsauttamalla "Toggle Topology" -painiketta näet todellisen verkkotopologian ja hyökkäyksen etenemispolun (katso kuva 10).

Kuva 10: Cisco-paneelin hyökkäyksen leviämispolun verkkotopologia MARS

Vastauksena tapaukseen Cisco MARS tarjoaa useita vaihtoehtoja verkkolaitteeseen sidottujen hyökkäysten estämiseksi (katso kuva 11):

Kuva 11: Reagointi hyökkäyksen ehkäisyyn

Cisco MARSissa on myös joustava raportointijärjestelmä, jonka avulla voit saada yksityiskohtaista tietoa kaikista rekisteröidyistä tapahtumista. Tämä mahdollistaa suojan parantamisen periaatteen toteuttamisen (katso kuva 12).

Kuva 12: Suojauksen parantamisen periaate

Esimerkki täydellisestä ratkaisusta

Harkitse yllä oleviin tuotteisiin perustuvaa kokonaisratkaisua K-yrityksen keskustoimistoon.

Yritys K:n pääkonttori työllistää 100 henkilöä kolmella osastolla. Microsoft Active Directory -hakemistoa käytetään käyttäjien pääsyn hallintaan.

On tarpeen ratkaista seuraavat tehtävät:

  • varmistaa kunkin osaston työntekijöille laadittujen tietoturvakäytäntöjen täytäntöönpano;
  • sinulla on ajantasaiset tiedot tietyissä isännissä toimivista ohjelmistoista;
  • pystyä hallitsemaan pääsyä ulkoisiin järjestelmiin isännille yritysympäristön ulkopuolella;
  • tarjota pääsy verkkoon määritettyjen tietoturvakäytäntöjen perusteella;
  • varmista, että määritetyt tarkistukset suoritetaan isännälle käyttäjän verkkotunnuksen tilin perusteella;
  • tarjota verkossa tapahtuvien tapahtumien seurantaa sekä tiedon keräämistä NetFlow-protokollan avulla.

Cisco Security Agent -käytäntöjen määrittäminen

Ensin määritämme käyttöoikeudet kullekin käyttäjäryhmälle. Näiden pääsysääntöjen mukaisesti toimialueen käyttöoikeudet ja suodatussäännöt määritetään aktiivisille verkkolaitteille.

Voit luoda verkkoon pääsyn sääntöjä Cisco Security Agentin avulla, mutta nämä säännöt ovat luonteeltaan enemmän omistusoikeudellisia. Voit esimerkiksi estää tietyltä käyttäjältä pääsyn tiettyyn resurssiin (IP, TCP/IP). Tässä esimerkissä CSA:n verkkosääntöjä ei luoda.

Ensinnäkin kaikille CSA:n käyttäjäryhmille luodaan käytäntö, joka tekee agenttisovelluksen käytöstä poistamisen mahdottomaksi. Tämä käytäntö koskee kaikkia käyttäjiä, mukaan lukien paikalliset järjestelmänvalvojat.

Sitten käynnistetään prosessi, joka kerää tietoja tietokoneisiin asennetuista ohjelmistoista - prosessi nimeltä Application Deployment Investigation. Tuloksena saamme raportin (katso kuva 13).

Kuva 13: Ciscoa käyttävien asennettujen sovellusten raportti turvallisuus agentti

Jatkossa voimme luokitella nämä sovellukset esimerkiksi korostamalla kokonaismäärästä toimistosovellukset, ICQ-asiakkaat, P2P-sovellukset, sähköpostisovellukset ja niin edelleen. CSA:n avulla on myös mahdollista analysoida tietyn sovelluksen käyttäytymistä tietoturvakäytäntöjen luomiseksi edelleen.

Kaikille pääkonttorin käyttäjille luodaan yhteiset säännöt kaikille tunnistetuille sovelluksille. Käyttöönotto suoritetaan vaiheittain - ensin tietoturvapolitiikka toteutetaan tarkastustilassa, jonka avulla voit hallita kaikkia tapahtumia, mutta ei vaikuta käyttäjien nykyisiin toimiin. Tulevaisuudessa viimeistelty käytäntö muunnetaan toimintatilaan.

Sovellusten staattisen luokituksen lisäksi CSA tarjoaa dynaamisen luokituksen - dynaamisten luokkien menetelmän. Esimerkiksi Microsoft Word -sovellus voidaan luokitella kahteen sovellusluokkaan - paikalliseen ja verkkoon, ja tästä riippuen siihen voidaan soveltaa erilaisia ​​suojauskäytäntöjä (katso kuva 14).

Kuva 14: Dynaamiset luokat sovellusten luokitteluun

Virustentorjuntaa varten CSA:ssa on sisäänrakennettu ClamAV-virustorjuntamoduuli. Jos sinulla on virustorjunta, tämä moduuli voidaan poistaa käytöstä.

Tietovuotojen valvonta

Luottamuksellisten tietojen vuotamisen estämiseksi CSA tarjoaa erityisen moduulin nimeltä Data Loss Prevention.

Kun tämä laajennus on aktivoitu, CSA-agentti etsii tiedostoista arkaluontoisia tietoja. Tietojen luokittelu asetetaan manuaalisesti mallien - skannaustunnisteiden - perusteella (katso kuva 15). On mahdollista suorittaa varjoskannaus sekä skannaus tiedostoja avattaessa/suljettaessa.

Kuva 15: Arkaluonteisten tietojen luokitus

Kun luokittelu on suoritettu, on tarpeen luoda ja soveltaa tietoturvakäytäntöjä sovelluksille, jotka toimivat näiden tiedostojen kanssa. On tarpeen hallita pääsyä näihin tiedostoihin, tulostusta, siirtoa ulkoiselle medialle, kopioimista leikepöydälle ja muita tapahtumia. Kaikki tämä voidaan tehdä käyttämällä vakiomalleja ja sääntöjä, jotka on esiasennettu Cisco Security Agentiin.

Cisco NAC:n (Clean Access) määrittäminen

Kun aloitat Cisco NAC:n konfiguroinnin, sinun on ymmärrettävä selvästi tämän järjestelmän logiikka kullekin käyttäjäryhmälle.

Yrityksen K toteutuksessa on suunniteltu, että kaikki käyttäjät joutuvat ensin yhteen VLAN:iin (Vlan 110 kuvassa 16). Tässä VLANissa he käyvät läpi todennusmenettelyn ja tarkistavat tietoturvakäytäntöjen vaatimusten noudattamisen. Pääsy tästä VLAN:ista yrityksen verkkoresursseihin on rajoitettu. OSI-mallin toisella tasolla vain Clean Access Server on käyttäjien käytettävissä. Samaan aikaan käyttäjät saavat DHCP:n kautta IP-osoitteita toimivilta VLAN-verkoilta, mikä eliminoi tarpeen hankkia IP-osoitetta uudelleen.

Kuva 16: VLAN-todennus

Jos varmennus onnistuu, käyttäjä siirretään "toimivaan" VLAN:iin (Vlan 10 kuvassa 17). Tämä VLAN-numero on määritetty sen organisaatioyksikön (OU) mukaan, johon tämä käyttäjä kuuluu Active Directoryssa. Tämä toiminnallisuus on mahdollista NAC-järjestelmän käyttäjärooleilla.

Kuva 17: Käyttäjän siirtäminen "toimivaan" VLAN:iin

Kaikki Company K -käyttäjät on määritetty täyttämään Windows-käyttöjärjestelmän viimeisimmät tärkeät päivitykset, ja Cisco Security Agent on käytössä.

Harkitse, kuinka voit tarkistaa Cisco Security Agentin tilan käyttäjien henkilökohtaisissa tietokoneissa:

  • uusi sekki luodaan (katso kuva 18);
  • sitten luodaan sääntö (katso kuva 19);
  • luodaan vaatimus (katso kuva 20);
  • tämä vaatimus koskee viime kädessä käyttäjän roolia.

Kuva 18: Uuden Cisco Security Agentin tilatarkistuksen luominen

Kuva 19: Säännön luominen uuden Cisco Security Agentin tilantarkistusta varten

Kuva 20: Vaatimusten luominen uuden Cisco Security Agentin tilatarkistusta varten

Kaikille HR-ryhmän käyttäjille tehdyn konfiguroinnin seurauksena verkkoresurssien käyttö edellyttää Cisco Security Agentin toiminnan edellytysten täyttymistä.

Cisco NAC:n avulla on mahdollista tarkistaa virustorjuntatietokantojen relevanssi, palveluiden tila loppukoneilla ja muita tärkeitä asioita.

Jokainen konfigurointivaihtoehto on yksilöllinen, mutta samalla järjestelmällä on aluksi runsaasti vaatimuksia, jotka edistävät sen nopeaa käyttöönottoa.

Määritetään Cisco MARS

Cisco Security Agentilla ja Cisco NAC:lla on rikas raportointijärjestelmä, mutta tapahtumien korreloimiseksi ja tapahtumien tietojen keräämiseksi eri laitteista ehdotetaan käytettäväksi Cisco MARS -järjestelmää.

Cisco MARS -järjestelmän perusasetuksiksi voit määrittää laitteiden lisäämisen järjestelmään (palomuurit, IPS, IDS, virustorjuntajärjestelmät, sähköpostijärjestelmät jne.), NetFlow-viennin MARS-palvelimelle ja käyttäjien konfiguroinnin.

MARSissa on jo valmiiksi suuri määrä ennalta määriteltyjä sääntöjä (katso kuva 21), joiden avulla voit nopeasti ottaa järjestelmän käyttöön ja saada ajantasaista tietoa tietoturvan tilasta.

Kuva 21: Ennalta määritetyt säännöt Ciscon kanssa MARS

Syvempää räätälöintiä varten on ennustettavien uhkamallien mukaisesti luotava omat säännöt, jotka analysoivat saapuvaa tietoa.

Jos kaikki säännössä määritellyt ehdot täyttyvät, syntyy tapahtuma, joka näkyy järjestelmän pääpaneelissa. On myös mahdollista lähettää sähköposti-ilmoitus Cisco MARS -huoltohenkilöstölle.

Tällä tavalla Cisco MARS varmistaa, että verkko- ja tietoturvatiedot haitallisesta toiminnasta muunnetaan ymmärrettäviksi tiedoiksi, joita käytetään korjaamaan tietoturvarikkomukset verkossa jo olevilla laitteilla.

Johtopäätös

Tarkasteltu monimutkainen järjestelmä ratkaisee monenlaisia ​​tehtäviä, jolloin järjestelmänvalvojat voivat tunnistaa ja poistaa yrityksen tietoturvakäytäntöjen rikkomukset mahdollisimman pian.

Artikkelissa käytetyt tuotteet ovat kokonaisia ​​järjestelmiä ja pystyvät toimimaan erillään toisistaan, mutta näiden järjestelmien yhdistämisessä piilee itsesuojaavan verkon strategia, joka kestää uusimmat uhat (nollapäivän) turvallisuus.

Zabiyakin Igor
Pääinsinööri, NTS Ltd. (NTS Ltd.)

Jos olet kiinnostunut Cisco Systemsin tietoturvatuotteiden käyttöönotosta, voit ottaa yhteyttä NTS:n edustajiin.

CISCO MARS -ohjelmisto- ja laitteistokompleksi on suunniteltu hallitsemaan tietoturvauhkia. Tietolähteitä niistä voivat olla: verkkolaitteet (reitittimet ja kytkimet), suojaustyökalut (palomuurit, virukset, tunkeutumisen havaitsemisjärjestelmät ja turvaskannerit), käyttöjärjestelmän lokit (Solaris, Windows NT, 2000, 2003, Linux) ja sovellukset (DBMS) , web jne.) sekä verkkoliikenne (esimerkiksi Cisco Netflow). Cisco MARS tukee useiden valmistajien ratkaisuja - Cisco, ISS, Check Point, Symantec, NetScreen, Extreme, Snort, McAfee, eEye, Oracle, Microsoft jne.

ContextCorrelation TM -mekanismin avulla voit analysoida ja vertailla tapahtumia heterogeenisistä suojaustyökaluista. Niiden visualisointi verkkokartalla reaaliajassa saadaan aikaan SureVector TM -mekanismilla. Näiden mekanismien avulla voit näyttää hyökkäyksen etenemispolun reaaliajassa. Havaittujen hyökkäysten automaattinen esto saadaan aikaan AutoMitigate TM -mekanismilla, jonka avulla voit määrittää uudelleen erilaisia ​​suojaustyökaluja ja verkkolaitteita.

Avainominaisuudet

  • Käsittelee jopa 10 000 tapahtumaa sekunnissa ja yli 300 000 Netflow-tapahtumaa sekunnissa
  • Kyky luoda omia korrelaatiosääntöjä
  • Ilmoitus havaituista ongelmista sähköpostitse, SNMP:llä, syslogin ja hakulaitteen kautta
  • Hyökkäyksen visualisointi tietolinkillä ja verkkotasoilla
  • Tuki Syslog-, SNMP-, RDEP-, SDEE-, Netflow-, järjestelmä- ja käyttäjälokeille tietolähteinä
  • Mahdollisuus liittää omat suojaustyökalusi analysointia varten
  • Tehokas väärien positiivisten tulosten ja kohinan hylkääminen sekä yksittäisten suojaustyökalujen ohittamien hyökkäysten havaitseminen
  • Poikkeamien havaitseminen NetFlow-protokollalla
  • Luo ja päivitä automaattisesti verkkokartta, mukaan lukien tuonti CiscoWorksistä ja muista verkonhallintajärjestelmistä
  • Tuki IOS 802.1x, NAC (vaihe 2)
  • Kytkimien suojausmekanismien valvonta (Dynamic ARP Inspection, IP Source Guard jne.)
  • Integrointi Cisco Security Manageriin (CSM Police Lookup)
  • Integrointi tapaustenhallintajärjestelmiin käyttämällä
  • RADIUS-palvelimen todennus
  • Cisco MARS -komponenttien kunnon seuranta
  • Syslogin edelleenlähetys
  • Uusien hyökkäysallekirjoitusten dynaaminen tunnistus Cisco IPS:ssä ja niiden lataaminen Cisco MARSiin

CiscoWorks Security Information Management Solution (SIMS)

Esitämme kuvauksen verkonvalvontajärjestelmästä, tiedonkeruusta, -käsittelystä ja verkkolaitteiden hallinnasta.

CiscoWorks Security Information Management Solution (SIMS)- tämä on tilastojen hallintaan, seurantaan ja keräämiseen tarkoitettu järjestelmä, jonka arkkitehtuuri sisältää monitasoisen mallin (kuva 1), jonka avulla voit rakentaa järjestelmää vaiheittain yrityksen verkkoinfrastruktuurin kasvaessa.
SIMS on ydin – yksi piste, josta kerätään kaikki verkon tapahtumat, niiden luokittelu ja jatkuva seuranta.

SIMS:n päätehtävät:

  • seuranta;
  • palomuureista, laitteista, tunkeutumisen havaitsemisesta, virustorjunta- ja käyttöjärjestelmistä sekä sovelluksista vastaanotettujen tietojen kerääminen;
  • Tietojen analysointi ja käsittely;
  • lopputuloksen esittäminen graafisessa muodossa - raportit ja kaaviot;

SIMS:n avulla voit saada tietoja yksittäisen laitteen, kuten IDS:n, mahdollisista tietoturvaloukkauksista, vaan koko verkon, ja tämän avulla on mahdollista nähdä verkkoturvallisuuden organisoinnin vahvuudet/heikkoudet.
SIMS on suunniteltu suurten yritysten ja Internet-palveluntarjoajien verkoille, joissa verkossa on 30 - useita tuhansia solmuja, se voi toimia yhdessä järjestelmien, kuten HP Openview ja Micromuse kanssa. Lisäksi, kun verkkoon murtautumisia havaitaan, SIMS voi luoda tapauksia ongelman kuvauksella ja lähettää ne yrityksen verkon tekniselle tukipalvelulle.

Järjestelmän keskeinen osa on ydin. Se on nopea reagointijärjestelmä, joka on hajautettu sovellus. SIMS:n avulla voit vastaanottaa ilmoituksia tietoturvakäytäntöjen rikkomuksista missä tahansa yritysverkossa, tuottaa raportteja ja tarjoaa pääsyn niihin mistä tahansa verkkokäyttöliittymää tukevasta sovelluksesta.

SIMS-tekniikan toimintaperiaate voidaan jakaa 4 osaan:

1. Standardointi.

Agentit (kuva 2) keräävät tietoja eri verkkolaitteista, jotka käsittelevät tapahtumia, keräävät ne ryhmiin (tunnistavat jopa 20 tuhatta erilaista tapahtumaa), johtavat yhden tyyppiseen dataan (IDMEF) ja lähettävät ne TCP:n kautta palvelimelle. johon on asennettu isäntäsovellus (SIMS-ydin) tietojenkäsittelyä varten.

2. Yhdistys.

SIMS-ydin jakaa vastaanotetut tiedot 9 ryhmään (kuva 3) turvallisuusnäkökulman tärkeysasteen mukaan. Suurissa verkoissa järjestelmän skaalautuvuuden vuoksi useita näistä palvelimista voidaan käyttää hajautetun käsittelyn tarjoamiseen.

3. Vastaanotetun tiedon analyysi.
Järjestelmä analysoi ja käsittelee vastaanotetut tiedot. Tässä järjestelmän toiminnan vaiheessa voit määrittää mallien asetukset, suojauskäytännöt ja suojaustasojen eriyttämisen verkon eri osille.

4. Visualisointi.

Neljännessä ja viimeisessä vaiheessa SIMS esittää työnsä tuloksen kätevässä graafisessa muodossa (kuva 4). Järjestelmän avulla voit luoda erilaisia ​​kaavioita, taulukoita ja kaavioita tietojen visuaalista esittämistä varten. Järjestelmätietokantaan tallennettujen parametrien avulla on mahdollista tehdä vertaileva analyysi sekä yksittäisten kriteerien että koko järjestelmän mukaan.

Tuotteen edut:

  • Skaalautuvuus
  • Hajautettu arkkitehtuuri
  • Integrointi Openviewin ja Micromuseen kanssa

SIMS voidaan ostaa erillisenä ohjelmistona ja asentaa palvelimelle tai jo asennettuna korkean suorituskyvyn palvelinalustalle.

Pöytä 1. Tilaustiedot SIMS 3.1 -ratkaisusta laitteistoalustalla.

Taulukko 2. Tilaustiedot SIMS 3.1 (vain ohjelmisto)

Tuotenumerot Kuvaus
CWSIM-3.1-SS-K9 SIMS 3.1 -peruskokoonpano OC Solarikselle; Sisältää lisenssin jopa 30 verkkolaitteen valvontaan, lisenssin 1 pääpalvelimelle tietojenkäsittelyä varten, 1 lisäpalvelimen hajautettuun tietojenkäsittelyyn ja 1 yhdelle tietokantapalvelimelle.
CWSIM-3.1-SL-K9 SIMS 3.1 -peruskokoonpano OC Linuxille; Sisältää lisenssin jopa 30 verkkolaitteen valvontaan, lisenssin 1 pääpalvelimelle tietojenkäsittelyä varten, 1 lisäpalvelimen hajautettuun tietojenkäsittelyyn ja 1 yhdelle tietokantapalvelimelle.
CWSIM-3.1-DS-K9 Ylimääräinen tallennuspalvelinlisenssi olemassa olevalle CiscoWorks SIMS 3.1 -ratkaisulle, joka käyttää Solaris-käyttöjärjestelmää.
CWSIM-3.1-DL-K9 Ylimääräinen tallennuspalvelinlisenssi olemassa olevalle CiscoWorks SIMS 3.1 -ratkaisulle, joka käyttää Linuxia.
CWSIM-3.1-ADD20-K9 Lisenssi lisätä 20 agenttia toimivaan CiscoWorks SIMS 3.1 -ratkaisuun, jossa on OC Solaris tai Linux.
CWSIM-3.1-MON30-K9 Cisco Secure Agent SIM 3.1 -lisenssi valvoa 30 palvelinta 300 työasemaa
CWSIM-3.1-MON75-K9 Cisco Secure Agent SIM 3.1 -lisenssi valvoa 75 palvelinta 750 työasemaa
CWSIM-3.1-FI-K9 Lisenssi lisätä hajautettu prosessointipalvelin, jossa on käytössä Solaris tai Linux.
CWSIM-3.1-20LND-K9 Valvontalisenssi jopa 20 halvemmille laitteille ja käyttöjärjestelmille palvelimilla
CWSIM-3.1-100LNDK9 Valvontalisenssi jopa 100 halvemmille laitteille ja käyttöjärjestelmille palvelimilla
CWSIM-3.1-500LNDK9 Valvontalisenssi jopa 500 halvemmille laitteille ja käyttöjärjestelmille palvelimilla

Taulukko 3 SIMS 3.1 -ohjelmiston asennuksen vähimmäisvaatimukset.

Laitteisto Vaatimukset
prosessori Linux: Dual Intel Pentium 4 1,5 GHz (palvelinluokka)
Solaris: Dual UltraSPARC-IIi 444 MHz (palvelinluokka)
RAM 4 GIGATAVUA
Vapaata levytilaa 18GB
tallennuslaite CD-ROM

Lisätietoja on Cisco Systemsin verkkosivuilla http://www.cisco.com/go/sims

Cisco Security Monitoring, Analysis and Response System (CS-MARS)

Cisco Security Monitoring, Analysis and Response System (CS-MARS) - Se on verkon valvontajärjestelmä, joka korreloi verkon tietoturvatapahtumat ja pakottaa käytäntöjen täytäntöönpanon ennakoivasti reagoimaan luvattomaan verkkoon pääsyyn ja tunkeutumiseen. Järjestelmä koostuu korkean suorituskyvyn palvelimelle asennetuista ohjelmistoista.

Järjestelmän päätoiminnot:

  • verkon valvonta;
  • verkkokaavion rakentaminen;
  • verkkohyökkäysten havaitseminen ja niiden graafinen renderöinti;
  • verkkolaitteiden asetusten tutkiminen;
  • tiedonkeruun analysointi ja eri verkkolaitteista vastaanotettujen tietojen käsittely;
  • lopputuloksen esittäminen kaavioiden, raporttien ja kaavioiden muodossa;

MARS tarjoaa graafisen esityksen verkkoinfrastruktuurista, piirtämällä reaaliajassa verkkohyökkäysten leviämisen (kuva 1). Analysoimalla reitittimien, kytkimien ja palomuurien (FIW) kokoonpanoja MARS on tarpeeksi älykäs jäljittääkseen tartunnan lähteen, josta luvaton pääsy tapahtuu, vaikka se olisi ITU:n takana.

Verkkotopologian rakentamiseen (kuva 2), vuorovaikutukseen kytkimien (pitäisi tukea SNMP STP MIB:tä) ja reitittimien (pitäisi tukea SNMP MIB II:ta) kanssa MARS käyttää snmp-protokollaa ja vuorovaikutuksessa ITU:n kanssa ja niiden konfiguraatioiden vastaanottamiseen. käyttää telnetiä, SSH:ta ja CPMI:tä.

MARS pitää kirjaa ja tunnistaa tapahtumia, joita lähes kaikki verkkolaitteet voivat tuottaa:

  • verkkolaitteet: Cisco IOS 11.x, 12.2, Catalyst OS 6.x, NetFlow 5.0, 7.0, Extreme Extremeware 6.x;
  • ITU/VPN: Cisco PIX Firewall 6.x, IOS Firewall, FWSM 1.x, 2.2, Concentrator 4.0, Checkpoint Firewall-1 NGx, VPN-1, NetScreen Firewall 4.0, 5.0, Nokia Firewall;
  • IDS: Cisco NIDS 3.x, 4.x, verkkotunnusmoduuli 3.x, 4.x, Enterasys Dragon NIDS 6.x ISS RealSecure Network Sensor 6.5, 7.0, Snort NIDS 2.x, McAfee Intushield NIDS 1.x, NetScreen IDP 2.x, OS 4.x, 5.x, Symantec MANHUNT;
  • Virustorjuntaohjelmisto: Symantec A/V;
  • Todennuspalvelimet: Cisco ACS;
  • Käyttöjärjestelmät: Windows NT, 2000, 2003 (agenttien kanssa tai ilman), Solaris, Linux (vaatii agentin asennuksen);
  • Sovellukset: Web-palvelimet (ISS, iPlanet, Apache), Oracle 9i, 10i tarkastuslokit, Network Appliance NetCache, Oracle 9i ja 10i;

MARS pystyy käsittelemään jopa 10 tuhatta tapahtumaa sekunnissa. Järjestelmä tukee skaalautuvuutta, jota varten suuryritysten ja Internet-palveluntarjoajien verkoissa voidaan luoda MARS-ohjainten avulla kaksitasoinen arkkitehtuuri, johon voi liittyä useita MARS-palvelimia. Tätä arkkitehtuuria käytettäessä verkko jaetaan "vyöhykkeisiin" ja kukin niistä on osoitettu tietylle MARS-palvelimelle.
MARS-järjestelmän avulla voit määrittää keskitetysti verkkokäytännöt, kerätä tietoja ja luoda jopa 80 erilaista standardiraporttia.
MARS voi ilmoittaa tallennetuista rikkomuksista snmp-protokollan, sähköpostin kautta, lähettää viestejä hakulaitteeseen tai pitää kirjaa syslog-tapahtumista.
MARS-järjestelmä ei vaadi agentti- ja/tai tietokantalisenssien ostamista.

Tuotteen edut:

  • Skaalautuvuus
  • Hajautettu arkkitehtuuri
  • Ei lisenssijärjestelmää

Tilaus Informaatio:

MARS - palvelimet Suorituskyky (tapahtumia sekunnissa) NetFlows-tapahtumat sekunnissa Tietovarasto Muotoseikka Virtalähde
Cisco Security MARS-20-K9 (PN-MARS 20) 500 15000 120 Gt (ei RAID) 1RUx16" 300W
Cisco Security MARS-50-K9 (PN-MARS 50) 1000 30000 240GB RAID0 1RUx25,6" 300W
Cisco Security MARS-100E-K9 (PN-MARS 100e) 3000 75000 3RUx25,6" kaksi 500W kumpikin (yksi vara)
Cisco Security MARS-100-K9 (PN-MARS 100) 5000 150000 750 Gt RAID10 hot swap -tuki 3RUx25,6" kaksi 500W kumpikin (yksi vara)
Cisco Security MARS-200-K9 (PN-MARS 200) 10000 300000 4RUx25,6" kaksi 500W kumpikin (yksi vara)
MARS - ohjaimet Yhdistetyt laitteet Liitäntöjen määrä Tietovarasto Muotoseikka Virtalähde
Cisco Security MARS-GCMK9 (PN-MARS GCm) vain MARS-palvelimet 20/50 5 asti 1 Tt RAID10 hot swap -tuki 4RUx25,6" kaksi 500W kumpikin (yksi vara)
Cisco Security MARS-GC-K9 (PN-MARS GC) Kaikki MARS-palvelimet Tällä hetkellä ei ole rajoituksia 1 Tt RAID10 hot swap -tuki 4RUx25,6" kaksi 500W kumpikin (yksi vara)

Cisco Security Monitoring, Analysis ja Response System (MARS) on laitteisto, joka mahdollistaa olemassa olevan turvajärjestelmän yksityiskohtaisen valvonnan ja hallinnan sekä tietoturvauhkien havaitsemisen, hallinnan ja heijastuksen.

Verkko- ja suojausjärjestelmänvalvojat voivat kohdata seuraavat ongelmat:

  • Erittäin suuri määrä tietoa verkon tilasta ja järjestelmän turvallisuudesta;
  • Havaintotyökalujen riittämätön tehokkuus, hyökkäysten ja epäonnistumisten merkityksen määrittäminen ja vastatoimien kehittäminen;
  • Hyökkäysten suuri nopeus ja monimutkaisuus sekä korkeat hyökkäysten jälkeiset palautumiskustannukset;
  • Tarve luoda raportteja tarkastusten ja läpäisemiseksi.

Cisco MARS -ominaisuudet

Tiedon kerääminen ja käsittely

Cisco Security MARS kerää ja integroi kaikki tiedot verkkotopologiasta, verkkolaitteiden konfiguraatiosta ja suojaussäännöistä, vastaanottaen ne verkkolaitteilta ja turvajärjestelmistä sekä analysoimalla verkkoliikennettä. Samaan aikaan agenttien käyttö on minimaalista, mikä ei heikennä verkon ja koko järjestelmän suorituskykyä.

Cisco Security MARS kerää keskitetysti lokitiedostoja reitittimistä, kytkimistä, palomuureista, tunkeutumisen havaitsemisjärjestelmistä, haavoittuvuusskannereista, virustorjuntasovelluksista, Windows-, Solaris-, Linux-käyttöjärjestelmistä, sovellusohjelmista (esim. web-palvelimista, todennuspalvelimesta), DBMS:stä jne. sekä liikenteen käsittelyohjelmia (esimerkiksi Cisco NetFlow).

Tapahtumakorrelaation tunnistus

Kerätyt tiedot järjestetään verkkotopologian, laitekokoonpanon, lähde- ja kohdeosoitteiden mukaan. Saadun tiedon perusteella liittyvät tapahtumat ryhmitellään istuntoihin reaaliajassa. Järjestelmän ja järjestelmänvalvojan määrittelemien sääntöjen mukaisesti Cisco MARS analysoi istunnot tunnistaakseen tapaukset, viat ja hyökkäykset.

Cisco MARSissa on suuri joukko järjestelmäsääntöjä, joita päivitetään säännöllisesti ja jotka sisältävät useimpien yhdistelmähyökkäysten, nollapäivähyökkäysten, verkkomatojen jne. havaitsemisen. Järjestelmänvalvoja voi luoda sääntöjä mille tahansa sovellukselle graafisen käyttöliittymän avulla.

Tapahtumakorrelaation havainnointi strukturoi tietoa verkon ja järjestelmän turvallisuudesta, mikä vähentää päätöksentekoon tarvittavan tiedon määrää ja auttaa priorisoimaan hyökkäyksiin reagoivia toimia, mikä lisää toimenpiteiden tehokkuutta.

Suurien tietomäärien kerääminen ja kerääminen

Cisco MARS vastaanottaa tietoa useista verkon tapahtumista, sitten jäsentää tiedot ja pakkaa tiedot arkistointia varten. Valtavien tietomäärien käsittely on mahdollista tehokkaiden algoritmien ja sisäänrakennetun tehokkaan tietokannan ansiosta, jonka konfigurointi on täysin läpinäkyvää järjestelmänvalvojalle.

Cisco MARS tukee NFS-verkkotiedostojärjestelmää ja suojattua FTP-protokollaa tietojen siirtämiseksi apuarkistolaitteisiin sekä konfiguraatioiden palauttamiseen vikojen jälkeen.

Tapausten visualisointi ja hyökkäysten heijastus

Cisco Security MARS voi auttaa järjestelmänvalvojia tunnistamaan hyökkäykset ja katkokset nopeammin ja helpommin, validoimaan tapauksia ja toteuttamaan korjaavia toimia.

Cisco MARS tarjoaa tehokkaita graafisia työkaluja, joiden avulla voit rakentaa verkkokartan (mukaan lukien hyökkäyksen kohteena olevat solmut, hyökkäysreitit), näyttää täydelliset tiedot hyökkäyksistä ja tapahtumista. Tämän avulla voit ryhtyä nopeasti toimiin hyökkäysten torjumiseksi.

MARS analysoi tapahtumaistuntoja havaitakseen ja vahvistaakseen hyökkäykset ja kerätäkseen tietoja niistä (päätesolmujen MAC-osoitteisiin asti). Tätä automatisoitua prosessia täydentävät tietoturvalokitiedostojen (palomuurit, tunkeutumisen havaitsemisjärjestelmät jne.) analysointi ja Ciscon omat MARS-vääräpositiiviset tarkistukset.

Sen lisäksi, että Cisco MARSin avulla voit saada täydelliset tiedot hyökkäyksestä, järjestelmä määrittää automaattisesti hyökkäykselle alttiit solmut ja luo komentoja, joita käyttäjä voi suorittaa hyökkäyksen torjumiseksi.

Tietojen ja raporttien kerääminen vaatimustenmukaisuudesta reaaliajassa

Cisco Security MARS:n tunnusmerkki ovat helppokäyttöiset verkko- ja järjestelmätietoturvatietojen strukturointityökalut, jotka mahdollistavat järjestelmän tilan, häiriötilanteiden ja vastausten automaattisen havaitsemisen sekä päivittäisessä työssä että tarkastuksissa ja auditoinneissa.

Cisco MARS tarjoaa mahdollisuuden näyttää hyökkäykset graafisesti sekä reaaliajassa että luoda uudelleen hyökkäys- ja tapausmalleja analysoimalla menneitä tapahtumia.

Cisco Security MARS tarjoaa raportointiominaisuudet eri tarkoituksiin: katastrofien palautussuunnitelmien kehittämiseen, tapahtumien ja verkkotoiminnan analysointiin, nykyisen tietoturvatilanteen tarkastamiseen. Raportteja voidaan luoda tekstin, taulukoiden, kaavioiden ja kaavioiden muodossa. On myös mahdollisuuksia luoda raportteja useiden ulkomaisten standardien noudattamisesta (PCI DSS, Sarbanes - Oxley, HIPAA jne.).

Nopea käyttöönotto ja joustava hallinta

Cisco Security MARS vaatii verkkoyhteyden, joka pystyy lähettämään ja vastaanottamaan lokitiedostoja, SNMP-viestejä ja muodostamaan istuntoja verkkolaitteiden ja suojaustyökalujen kanssa käyttämällä tavallisia tai toimittajakohtaisia ​​suojattuja protokollia.

Cisco MARS:n asentaminen ei vaadi lisälaitteita, käyttöjärjestelmän päivityksiä, lisälisenssejä tai ylläpitoa. Toimiakseen tarvitsee vain verkkokäyttöliittymän avulla määrittää verkkolaitteet ja suojaustyökalut yhteyden muodostamiseksi Cisco MARSiin, sekä konfiguroida verkot ja verkkosolmut, joita on valvottava.

Cisco MARSin avulla voit siirtää lokitiedostoja ulkoiseen palvelimeen integroitaviksi olemassa olevaan verkkoinfrastruktuuriisi. Cisco Security MARS mahdollistaa myös ylimääräisen ohjauslaitteen (Global Controller) asentamisen, joka tarjoaa: useiden Cisco MARS -järjestelmien hierarkkisen hallinnan, yksittäisten järjestelmien raporttien yhdistämisen, sääntöjen ja raporttimallien asettamisen sekä päivitykset paikallisiin Cisco MARS -järjestelmiin.

Yksityiskohtainen kuvaus Cisco MARS -ominaisuuksista

Dynaaminen istunnon korrelaatio:

  • Poikkeamien havaitseminen, mukaan lukien NetFlow-tiedot
  • Tapahtumien korrelaatio käyttäytymisen ja sääntöjen perusteella
  • Yhteiset sisäänrakennetut ja käyttäjän määrittelemät säännöt
  • Käännettävien verkko-osoitteiden automaattinen normalisointi

Topologisen kaavion rakentaminen:

  • Reitittimet, kytkimet ja kerroksen 2 ja 3 palomuurit
  • Verkon tunkeutumisen havainnointijärjestelmän moduulit ja laitteet
  • Manuaalinen tai aikataulutettu rakennus
  • SSH, SNMP, Telnet ja laitekohtaiset vuorovaikutukset

Haavoittuvuusanalyysi:

  • Rikkomusten jälkien poistaminen verkkoon tai päätepisteeseen perustuen
  • Kytkimien, reitittimien, palomuurien ja NAT:n kokoonpanon analyysi
  • Haavoittuvuustarkistustietojen automaattinen käsittely
  • Automaattinen ja käyttäjän määrittelemä väärä positiivinen analyysi

Rikkomusanalyysi ja vastaus:

  • Kojelauta yksittäisten tietoturvatapahtumien hallintaan
  • Istunnon tapahtumatietojen yhdistäminen kaikkien sääntöjen kontekstiin
  • Graafinen esitys hyökkäyspolusta yksityiskohtaisella analyysillä
  • Laiteprofiilit hyökkäyspolulla päätesolmujen MAC-osoitteiden määrittämisen kanssa
  • Graafinen ja yksityiskohtainen peräkkäinen esitys hyökkäyksen tyypistä
  • Yksityiskohtaiset rikkomustiedot, mukaan lukien säännöt, käsittelemättömät tapahtumat, yleiset haavoittuvuudet ja miten se vaikuttaa verkkoon, sekä harkintavaihtoehdot
  • Rikkomusten välitön analyysi ja väärien positiivisten tulosten tunnistaminen
  • Määritä säännöt GUI:n avulla mukautettujen sääntöjen ja avainsanaanalyysin tukemiseksi
  • Rikkomusten arviointi, kun käyttäjät laativat laskentataulukon, jossa kuvataan vaiheittaiset toimet
  • Hälytys, mukaan lukien sähköposti, hakulaite, syslog ja SNMP

Kyselyjen ja raporttien muodostaminen:

  • Graafinen käyttöliittymä, joka tukee suurta määrää vakio- ja mukautettuja kyselyitä
  • Yli 80 yleistä raporttia, mukaan lukien johto-, toiminta- ja vaatimustenmukaisuusraportit
  • Raporttigeneraattori intuitiivisella käyttöliittymällä, jonka avulla voit luoda rajattoman määrän mukautettuja raportteja
  • Teksti, grafiikka ja yleinen raportointimuoto, joka tukee vientiä HTML- ja CSV-tiedostoihin
  • Tulostusvalmiiden, ryhmä-, vakio- ja muiden raporttien luominen

Hallinto:

  • HTTPS-verkkokäyttöliittymä; roolipohjainen hallinta määritellyillä käyttöoikeuksilla
  • Useiden Cisco MARS -järjestelmien hierarkkinen hallinta globaalilla ohjaimella
  • Automaattiset päivitykset, mukaan lukien tuki laitteille, uudet säännöt ja ominaisuudet
  • Pysyvä raa'an rikkomusdatan arkiston siirto offline-tilassa oleviin NFS-tietovarastoihin

Laitteen tuki:

  • Verkkoaktiiviset laitteet: Cisco IOS -ohjelmisto, julkaisut 11.x ja 12.x; Cisco Catalyst OS -versio 6.x; Cisco NetFlow -julkaisut 5.0 ja 7.0; Extreme Extremeware versio 6.x.
  • Palomuurit/VPN:t: Cisco Adaptive Security Appliance Release 7.0, Cisco PIX Security Appliance Software Release 6.x ja 7.0; Cisco IOS Firewall Release 12.2(T) tai uudempi; Cisco Firewall Feature Module (FWSM) -versiot 1.x, 2.1 ja 2.2; ohjelmisto Cisco VPN 3000 versiolle 4.0; palomuuri Checkpoint Firewall-1 NG FP-x ja VPN-1 versio FP3, FP4 ja AI; NetScreen-palomuuriversiot 4.x ja 5.x; Nokian palomuuriversiot FP3, FP4 ja AI.
  • IDS-järjestelmät: Cisco IDS Release 3.x, 4.x ja 5.0; Cisco IDS -moduulin versiot 3.x ja 4.x; Cisco IOS IPS -julkaisu 12.2; Enterasys Dragon NIDS -versio 6.x; verkkosensori ISS RealSecure versiot 6.5 ja 7.0; Snort NIDS versio 2.x; McAfee Intushield NIDS -versiot 1.5 ja 1.8; NetScreen IDP versio 2.x; käyttöjärjestelmän versiot 4.x ja 5.x; Symantec MANHUNT -järjestelmä.
  • Haavoittuvuuden arviointijärjestelmät: eEye REM versio 1.x ja FoundStone FoundScan versio 3.x.
  • Päätepisteen suojausjärjestelmät: Cisco Security Agent versio 4.x; McAfee Entercept -järjestelmäversiot 2.5 ja 4.x; anturi päätysolmuille ISS RealSecure Host Sensor versiot 6.5 ja 7.0.
  • Virustorjuntaohjelmisto: Symantec Antivirus versio 9.x.
  • Todennuspalvelimet: Cisco ACS Server Release 3.x ja 4.x.
  • Päätesolmujen käyttöjärjestelmät: OS Windows NT, 2000 ja 2003 (agenttien kanssa ja ilman); Solaris-käyttöjärjestelmän versiot 8.x, 9.x ja 10.x; OS Linux -versio 7.x.
  • Sovellukset: Web-palvelimet (ISS, iPlanet ja Apache); Oracle 9i ja 10g; netcache.
  • Universaali laitetuki minkä tahansa sovelluksen järjestelmälokien kokoamiseen ja seurantaan.

Laitteiston lisäominaisuudet:

  • Erikoislaitteet, 19" telinekiinnitys; UL sertifioitu.
  • OS parannetulla suojauksella; palomuuri, jossa on rajoitettu määrä toimintoja.
  • Kaksi Ethernet 10/100/1000 -liitäntää.
  • Palautus-DVD-ROM.