Cisco

Система централизованного управления средствами защиты CISCO Security Manager

Cisco Security Manager (CSM) – система централизованного управления всеми средствами защиты компании Cisco, пришедшая на смену CiscoWorks VMS. Отличительными особенностями CSM являются поддержка большого числа и типов устройств защиты, различные формы представления информации, механизмы обнаружения несоответствий в политике безопасности, автоматизация рутинных задач и т.д.
 
 
Основные возможности
  • Графический интерфейс управления
  • Различные формы представления информации –  в виде топологии сети, в виде географической карты, в виде таблицы правил
  • Обнаружение конфликтов в правилах политики безопасности
  • Обнаружение правил, не влияющих на защищенность сети
  • Группирование объектов
  • «Клонирование» настроек для ускорения внедрения средств защиты
  • Поддержка иерархии и наследования политик безопасности
  • Откат к предыдущей конфигурации
  • Импорт настроек из различных источников
  • Инвентаризация политик для уже внедренных средств защиты
  • Автоматическая настройка VPN-туннелей для различных топологий (Site-to-Site, Hub & Spoke, Partial Mesh, Full Mesh и т.д.)
  • Управление механизмами отказоустойчивости, балансировки нагрузки и контроля качества обслуживания для управляемых средств защиты
  • Ролевое управление административным доступом с помощью Cisco ACS
  • Автоматическое обновление средств защиты
  • Управление ACL и VLAN на Catalyst 6500 и Cisco 7600
  • Интеграция с Cisco MARS для корреляции сетевых событий и заданных правил на МСЭ, что помогает более быстро принимать решения и повышает работоспособность сети
  • Управление и конфигурирование политик безопасности на МСЭ Cisco, включая устройства Cisco ASA 5500, Cisco PIX, модули на Cisco Catalyst 6500
  • Обеспечение высокой доступности
  • Контроль административных действий на защитных устройствах
  • Управление SSL VPN

Криптографический модуль Cisco NME-RVPN

Компания Cisco представляет модуль NME-RVPN (Russia VPN Network Module) для маршрутизаторов семейств Cisco® 2800 Series и 3800 Series Integrated Services Routers. Это первое решение компании Cisco, разработанное совместно с российской компанией «С-Терра СиЭсПи» и предназначенное для организации виртуальных частных сетей (VPN) на базе отечественных алгоритмов шифрования. Модуль представляет собой инновационное решение, интегрированное с маршрутизаторами Cisco и разработанное специально для обеспечения российского рынка высокотехнологичным решением для интеграции приложений сетевой безопасности. В решении используется сертифицированное программное обеспечение российских компаний совместно с передовыми технологиями Cisco. Оно удовлетворяет современным требованиям эффективной защиты всех видов сетевых взаимодействий.
Модуль NME-RVPN для маршрутизаторов семейств Cisco® 2800 Series и 3800 Series ISR представляет собой уникальное устройство, позволяющее обеспечить как эффективную маршрутизацию, так и защиту трафика данных, голоса, видео. При этом устройство управляется как единое целое, используя интерфейс Cisco IOS как для формирования правил маршрутизации, так для управления защитой сетевых взаимодействий. Подобная глубокая интеграция позволяет существенно снизить сложность сети, не предъявлять дополнительных требований к квалификации персонала и, в итоге понизить затраты на развертывание и поддержку, а также уменьшить сроки развертывания подсистемы обеспечения информационной безопасности. Модуль интегрируется в маршрутизаторы Cisco ISR 2811, 2821, 2851, 3825 и 3845 и использует сертифицированное ФСБ ядро (по классам КС1 и КС2). Программное обеспечение также сертифицировано по ГОСТу Р ИСО 15408 и РД МСЭ.
 
Основные возможности
  •        Поддержка любого IOS Feature Set, начиная с IP Base
  •        Поддержка IOS 12.4(11)T
  •        Поддержка IPSec ESP и АН при использовании ГОСТ 28147-89
  •        Полная совместимость с IKE и IPSec-решениями (RFC 2401-2412)
  •        Поддержка NAT Transparent IPSec
  •        Совместимость с разными системами PKI (Microsoft c CryptoPro, Notary-Pro, Валидата, RSA Keon)
  •        Поддержка сертификатов – LDAPv3, x509v3, PKCS#7, #10 и #12, CRL
  •        Поддержка IKE при использовании ГОСТ Р 34.10-94, ГОМТ Р 31.10-2001
  •        Поддержка QoS
  •        Приоритезация мультимедийного трафика
  •        Отсутствие обмена данными между модулем и маршрутизатором (дл критичных приложений)
  •        Ограничение предельного уровня нагрузки на CPU для задач шифрования
  •        Отказоустойчивость за счет автоматического переключения на резервный шлюз
  •        Перенос IP-адресов отказавшего модуля на резервное устройство (опционально)
  •        Поддержка протокола DPD (Dead Peer Detection)
  •        Поддержка резервирования (между модулями в одном маршрутизаторе и между маршрутизаторами)
  •        Интеграция с другими хащитными функциями Cisco ISR – МСЭ, IPS и т.д.

Решение по анализу и классификации трафика (Cisco SCE)

Cisco SCE – устройство, ориентированное на операторов связи и предназначенное для классификации, профилирования и квотирования трафика, в том числе и для обнаружения и блокирования атак «Отказ в обслуживании», эпидемий червей и вирусов, спама и т.д. Помимо обнаружения и подавления «зомби»-машин, SCE может блокировать и другие нарушения политики безопасности – использование пиринговых сетей, несанкционированное развертывание VoIP-инфраструктуры (например, Skype) и т.п.
Преимущество SCE  в том, что нарушения политики безопасности локализуются в границах сети одного оператора связи и не распространяются за пределы. Это позволяет защитить абонентов (особенно физических лиц) оператора связи и не возлагать на них бремя ответственности по защите своего подключения к сетям общего пользования с помощью широкополосного доступа.
Использование технологии Stateful Deep Packet Inspection позволяет проникнуть вглубь каждого потока и, например, разрешить передачу одного мегабайтного сообщения электронной почты и блокировать передачу 1000 сообщений размеров 1 Кб.
 
Решение по управлению сервисами
 
Основные возможности
 
  •        Пропускная способность – до 4Гбит/с
  •        Число одновременно контролируемых абонентов – до 100 000
  •        Число одновременно обрабатываемых потоков – до 2 млн.
  •        Поддержка свыше 600 протоколов, включая P2P (KaZaA, Gnutella, eDonkey и др.), мультимедийные (RTSP, SIP, Skype, H323, MGCP)
  •        Обеспечение высокой отказоустойчивости
  •        Поддержка MPLS, VLAN, L2TP
  •        Поддержка DiffServ и ToS
  •        Переадресация трафика в карантин, уведомление абонентов и перенаправление их в центр поддержки
  •        Интеграция с биллинговой системой
  •        Создание политик контроля трафика (используемых протоколов, квот и др.) для отдельных абонентов
  •        Возможность задания сигнатур, включая многопакетные и двунаправленные, на основе простого графического интерфейса
  •        Идентификация и подавление зомби-атак
  •        Возможность сохранения собранных данных в любой SQL-совместимой БД
Интегрированная система ведения отчетов
 
  • Интегрированный Java-based инструмент генерации
  • Совместимость с Oracle, MySQL, Sybase базами данных
  • Контекстная активность
  • Переключение между конфигурациями и отчетами
  • Группы отчетов
    • Отчет по полосе/емкости (чем вызваны перегрузки, кто «поедает» сетевые ресурсы)
    • «Демографический» отчет по абонентам (сколько абонентов использует P2P/игровые сервисы, наиболее часто используемые сервисы в различных группах)
    • Активность по серверам (наиболее популярные Web сайты и видео сервера)
    • Отчеты по безопасности (кто из абонентов пытается инициировать/атаковать, кто рассылает спам, кто атакует сетевые ресурсы)
    • Отчеты по голосовым приложениям (качество VoIP сервисов, время потраченное на VoIP, количество VoIP звонков)

 

 
 
 
Варианты платформ
 

Средства защиты в маршрутизаторах

Комплексные функции обеспечения безопасности сетей, реализованные в маршрутизаторах Cisco, помогают компаниям защитить объекты инфраструктуры, устройства и важную информацию, а также сократить расходы.

В линейке продуктов Cisco по обеспечению безопасности на маршрутизаторах объединены сервисы межсетевых экранов Cisco IOS, VPN, SSL VPN и системы предотвращения вторжений (IPS). Предлагаются надежные адаптируемые решения по обеспечению безопасности, которые помогают обеспечить защиту от атак DDoS и от других угроз сетевой инфраструктуры.

Преимущества интегрированных функций маршрутизации и безопасности:

  • Обеспечение дополнительной защиты без развертывания дополнительной аппаратуры – Включение нового функционала обеспечения безопасности на существующих маршрутизаторах при помощи программного обеспечения Cisco IOS.
  • Максимальный уровень безопасности там, где это необходимо больше всего – Внедрение функций обеспечения безопасности, в частности, межсетевых экранов и IPS, на любом участке сети, включая шлюзы, действующие в качестве точек входа в сеть.
  • Сохранение времени и денег – Сокращение общего количества устройств в сети, что позволяет снизить затраты на обучение и управление.

Система мониторинга, анализа и ответных мер (Cisco MARS)

Программно-аппаратный комплекс CISCO MARS предназначен для управления угрозами безопасности. В качестве источников информации о них могут выступать: сетевое оборудование (маршрутизаторы и коммутаторы), средства защиты (межсетевые экраны, антивирусы, системы обнаружения атак и сканеры безопасности), журналы регистрации ОС (Solaris, Windows NT, 2000, 2003, Linux) и приложений (СУБД, web и т.д.), а также сетевой трафик (например, Cisco Netflow). Cisco MARS поддерживает решения различных производителей – Cisco, ISS, Check Point, Symantec, NetScreen, Extreme, Snort, McAfee, eEye, Oracle, Microsoft и т.д.
            Механизм ContextCorrelationTM позволяет проанализировать и сопоставить события от разнородных средств защиты. Визуализация их на карте сети в реальном времени достигается с помощью механизма SureVectorTM. Данные механизмы позволяют отобразить путь распространения атаки в режиме реального времени. Автоматическое блокирование обнаруженных атак достигается с помощью механизма AutoMitigateTM, который позволяет реконфигурировать различные средства защиты и сетевое оборудование.
 
Основные возможности
  • Обработка до 10 000 событий в секунду и свыше 300 000 событий Netflow в секунду
  • Возможность создания собственных правил корреляции
  • Уведомление об обнаруженных проблемах по e-mail, SNMP, через syslog и на пейджер
  • Визуализация атаки на канальном и сетевых уровнях
  • Поддержка Syslog, SNMP, RDEP, SDEE, Netflow, системных и пользовательских журналов регистрации в качестве источников информации
  • Возможность подключения собственных средств защиты для анализа
  • Эффективное отсечение ложных срабатываний и шума, а также обнаружение атак, пропущенных отдельными средствами защиты
  • Обнаружение аномалий с помощью протокола NetFlow
  • Создание и автоматическое обновление карты сети, включая импорт из CiscoWorks и других систем сетевого управления
  • Поддержка IOS 802.1x, NAC (фаза 2)
  • Мониторинг механизмов защиты коммутаторов (Dynamic ARP Inspection, IP Source Guard и т.д.)
  • Интеграция с Cisco Security Manager (CSM Police Lookup)
  • Интеграция с системами управления инцидентами с помощью
  • Аутентификация на RADIUS-сервере
  • Мониторинг работоспособности компонентов Cisco MARS
  • Syslog forwarding
  • Динамическое распознавание новых сигнатур атак на Cisco IPS и загрузках их в Cisco MARS

Система Cisco Adaptive Security Device Manager

Система Cisco® Adaptive Security Device Manager (ASDM) предоставляет широко распространенные сервисы контроля и мониторинга системы безопасности. Система  предназначена  для устройств Cisco ASA 5500 Series Adaptive Security Appliances, Cisco PIX (под управлением программного обеспечения для устройств защиты Cisco PIX версии 7.0 или более поздней версии) и Cisco Catalyst 6500 Series Firewall Services Modules (FWSM версии 3.1 или старше). Cisco ASDM позволяет ускорить процесс развертывания устройств защиты с помощью мастеров с развитой логикой, эффективных инструментальных средств администрирования и универсальных сервисов мониторинга. Безопасная Web-ориентированная структура системы ASDM  и простой  в управлении Web-интерфейс обеспечивает удаленный  доступ в любое время.
Основные возможности ASDM
  •        Визуальный мониторинг устройств в реальном масштабе времени
  •        Архитектура на базе web позволяет свободно сосуществовать с другими приложениями на основе браузера
  •        Полная поддержка возможностей программного обеспечения Cisco ASA и Cisco PIX, включая функции настройки и управления IPSec и SSL VPN, IPS (модуль AIP-SSM) и антивирусом (модуль Anti-X)
  •        Расширенные возможности конфигурирования сервисов проверки приложений и протоколов (HTTP, FTP, ESMTP, DNS, ICMP, SQL*Net, NFS и др.)
  •        Контроль PIM, OSPF, 802.1q и QoS
  •        Ролевое управление (16 уровней авторизации пользователей)
  •        Защищенное управление по SSL
  •        Возможность аутентификации на основе локальной базы данных иди RADIUS/TACACS-сервера
  •        Поддержка в одном устройстве Cisco ASA 5500 или Cisco PIX множества виртуальных контекстов безопасности с собственными настройками
  •        Создание объектов защиты для их использования в различных политиках безопасности
  •        Запатентованная подсистема Packet Tracer для отслеживания проблем с устройством
  •        Корреляция правил МСЭ с событиями безопасности Syslog
  •        Мониторинг производительности