Сетевая информационная безопасность от Cisco

Решение Cisco Systems в области сетевой защиты достаточно разнообразно и расположено в нескольких «слоях». В его составе следует различать исполнительские агенты (собственно, средства защиты) и вертикальную инфраструктуру. Общая схема решения показана на рисунке:

Средства защиты

Межсетевые экраны представлены высокомасштабируемыми семействами маршрутизаторов IOS и межсетевых экранов PIX. Функционально эти изделия, как межсетевые экраны, практически эквивалентны, те и другие реализуют фильтрацию с контролем состояния соединения (stateful inspection) по множеству протоколов. Разница между ними состоит в двух позициях:

маршрутизаторы IOS – это универсальные устройства, реализующие, наряду с пакетной фильтрацией массу дополнительной функциональности (маршрутизация, многопротокольность, MPLS), а межсетевые экраны PIX – это специализированные фильтрующие машины; выбор – какое из устройств взять в конкретный сценарий – Cisco рекомендует делать на основе соображений масштаба сети и производительности: в крупных, ответственных сетях рекомендуются специализированные устройства (PIX), в менее ответственных или меньших по размерам/нагрузке системах – универсальные устройства (IOS)
по умолчанию политика маршрутизаторов устанавливается «все, что не запрещено явно – пропускать», для межсетевых экранов политика по умолчанию – «пропускать только то, что разрешено явно»; впрочем, политика по умолчанию для тех и других устройств легко изменяется.

Средства шифрования трафика (VPN) у Cisco Systems обеспечиваются теми же маршрутизаторами IOS, экранами PIX и, дополнительно, концентраторами доступа – специализированными устройствами, оптимизированными для работы с большим количеством пользователей. Все эти устройства работают на основе западных криптоалгоритмов (DES, 3DES, AES) и применение их в России не всегда легитимно. В случае, когда требуется сертифицированное решение, мы предлагаем использовать полностью Cisco-совместимые и работающие в той же инфраструктуре продукты CSP VPN.

Средства обнаружения проникновения (Intrusion detection systems, IDS) поставляются Cisco Systems в двух видах: программные продукты для установки на серверах (т.н. Host Intrusion Detection Systems, HIDS) и встроенные в маршрутизаторы или поставляемые, как отдельные устройства сетевые средства обнаружения проникновения (Network Intrusion Detection Systems, NIDS). За системами обнаружения проникновения – большое будущее, поскольку они в реальном времени срабатывают там, где происходит атака и где, например, в политике межсетевого экрана есть ошибка (он атаку «прозевал»). До появления средств обнаружения проникновения факт атаки расследовался на основе событийных журналов, т.е. постфактум, когда атака уже, зачастую, завершена. Средства обнаружения проникновения дают абсолютно новое качество, превентивность, они обнаруживают атаку «на подходе» или во время ее осуществления. При обнаружении атаки средства IDS могут выдать сигнал тревоги системному оператору, а также в автоматическом режиме изменить политику средства защиты, чтобы блокировать обнаруженную атаку.

Средства контентной фильтрации и контроля мобильного кода реализуются Cisco Systems в контакте с технологическим (AVVID) партнерами и обеспечивают традиционную шлюзовую анти-вирусную профилактику, блокировку (на основе заданной политики) Java апплетов и компонент ActiveX в обменах HTTP и, при необходимости, не допускают корпоративных пользователей на запрещенные администрацией сайты. Внутренние базы данных этих систем с целью поддержания в актуальном состоянии, обновляются по периодической подписке.

Средства инфраструктуры безопасности

Инфраструктура безопасности должна обеспечивать:

управление средствами защиты
аутентификацию
мониторинг безопасности, аудит, событийное протоколирование.

Для управления средствами защиты информации Cisco Systems предлагает исключительно широкий (масштабируемый) спектр возможностей: от защищенного консольного доступа (по протоколам telnet/SSH) и локальной web-based консоли управления прибором – до широкого набора компоненты централизованного управления, мониторинга и аудита в составе платформы CiscoWorks.

Дополнительная аутентфикация (в т.н. challenge-response архитектурах) может применяться на основе протоколов RADIUS и TACACS+. Эти средства позволяют существенно усилить контроль доступа с применением, например, одноразовых паролей пользователей. Важно, что такие системы могут применяться не только для сетевых устройств Cisco, но, также, по всей вертикали информатизации предприятия, на уровне операционных систем и приложений. Например, компании Microsoft и RSA недавно объявили о применении системы одноразовых паролей SecurID для аутентификации пользователей серверов MS Windows.

Средства событийного протоколирования, мониторинга и аудита также блестяще представлены в целом ряде продуктов Cisco. Они позволяют вести мониторинг сети в реальном времени, распределять и структурировать событийную информацию, производить событийный аудит, в том числе с использованием развитых средств событийной корреляции и составлять ясные, структурированные отчеты. Рабочими протоколами для этих систем являются

Syslog (протокол событийного протоколирования, общий для семейства ОС Unix); Syslog-продукты позволяют перенаправлять трафик событийного протоколирования по распределенным серверам, обрабатывать отдельные события (например, формировать тревожное сообщение), защищать систему аудита безопасности, разделяя полномочия доступа к операционному управлению и к системам событийного протоколирования
SNMP (протокол сетевого управления), обеспечивающий контроль состояния устройств защиты и мониторинг событий в реальном времени
RDEP (Remote Data Exchange Protocol – перспективный протокол мониторинга, развиваемый на основе языка XML) – призванный структурировать данные событийного протоколирования и, возможно, в будущем, основной протокол событийного протоколирования для всех продуктов Cisco.