Решения компании Cisco Systems по обеспечению безопасности современных предприятий

Содержание: Сетевая защита — внедренная в сеть, интегрированная в продукт Факторы интеграции Стратегия интеграции от Cisco Архитектура Cisco SAFE Портфолио защиты Cisco Интеграция в действии Выводы

Сегодняшние сети становятся все более обширными и по географической распространенности и по количеству объединяемых ими внутренних и внешних сообществ. Они более сложны, они поддерживают широкий спектр разнообразных приложений и услуг, обрабатывают смешанные данные, голосовой и видео трафик, передавая его по проводным и беспроводным подключениям. Вместе с этим сети становятся все более открытыми — используются недоверенные сети общего пользования, подключаются партнеры и постепенно сети становятся деловым инструментом. Фактически, разделение на частные и общественные сети становится все более размытым.

Обширный, сложный и открытый характер сетевой среды увеличивает потребность в устойчивой и всесторонней защите, потому что все элементы сети должны быть защищенными, а так же защищены от воздействий на них.

В этом разделе обсуждается и описывается внедренная, интегрированная защита — единственный эффективный метод защиты. Здесь указываются пути интеграции и рассматриваются некоторые существующие и недавно появившиеся решения пакета Cisco Integrated Network Security Solutions. Данный раздел адресован техническим специалистам, принимающим ответственные решения.

Для начала ознакомьтесь, пожалуйста, со следующими определениями:

Внедренная, интегрированная защита должна защищать сеть от внешних и внутренних угроз, поддерживая постоянное равновесие между необходимым доступом и необходимой защитой.

Это означает, что функциональные возможности защиты должны быть внедрены и интегрированы всюду — от главной сети и до оконечных точек сети — но при этом защита должна быть прозрачна для пользователей и приложений.

Цель состоит в том, чтобы встроить в сеть набор таких защитных возможностей, которые бы создали «интеллектуальную самозащищенную сеть». Такая сеть сможет самостоятельно идентифицировать начало нападения и его ход, при необходимости выдать предупреждение, а затем отреагировать автоматически без участия пользователя.

«Интегрированная защита» описывает функциональные возможности защиты, которые обеспечиваются на сетевом устройстве, например на маршрутизаторе, коммутаторе или на точке беспроводного доступа. По мере прохождения трафика через сетевое устройство, он должен просматриваться и анализироваться, а затем либо отклоняться, либо разделяться, либо разрешаться. Для этого необходимо, чтобы устройство с интегрированной защитой обладало интеллектуальностью, производительностью и масшабируемостью.

«Внедренная защита» означает функциональные возможности защиты, которые распределены по важнейшим участкам сетевой инфраструктуры, и которые присвоены, например, рабочим станциям конечных пользователей, удаленным подразделениям, центру данных и проч.

В этом разделе рассматриваются факторы, от которых зависит потребность в интегрированной, внедренной защите сетей.

Рост угроз

Сети все чаще становятся источниками или объектами атак:

• Компания Riptech, занимающаяся защитой информации в реальном времени, недавно провела исследования, которые показали, что по сравнению со второй половиной 2001 года в первой половине 2002 нарушения защиты сетей выросли на 28 процентов.

• Обзор ФБР за 2002 год показывает, что в течение последних 12 месяцев нарушения компьютерной защиты обнаружили 85 процентов наблюдаемых Предприятий.

• Угроза может исходить от недоверенных посторонних лиц или от доверенных сотрудников. В обзоре ФБР за 2001 года указано, что о неправильной работе в сети посвященных лиц сообщил 91 процент респондентов.

  Угрозы могут исходить из недр самого Предприятия или из пограничных областей сети. Суть в том, что защита должна охватывать все аспекты работы сети, а не только защиту периметра или подключений к недоверяемым доменам. Такую всеобъемлющую оборону способна обеспечить только внедренная и полностью интегрированная защита.

Организационный аспект

Ответственность за политику безопасности, развертывание сети и закупку оборудования изменяется. Уже не так изолированно друг от друга работают Группы администраторов сети (NetOps) и администраторов защиты (SecOps). Традиционная модель развертывания сети заключалась в том, что «сетевики» (NetOps) закупали оборудование и запускали сетевую инфраструктуру, а «безопасники» (SecOps), располагая значительно меньшими бюджетом и ресурсами, работали как обособленная и узко специализированная группа. Эти две группы имели различные роли: «сетевики» обеспечивали доступ, а «безопасники» должны были этот доступ ограничивать, что создавало напряженность внутри Предприятия. Однако, возрастающая угроза и потребность в таких новых технология как IP телефония и беспроводная связь подвели «сетевиков» и «безопасников» к необходимости тесного сотрудничества. Кроме того, в стратегию и развертывание защиты теперь все более вовлекается уровень CxO, который стимулирует «сетевиков» и «безопасников» к еще более тесному сотрудничеству.

Организационная интеграция обуславливает необходимость интегрированной и встроенной защиты. Если защиту строят совместно «сетевики» и «безопасники», то интегрированное решение весьма упрощает задачу.

В августовском опросе 2002 года на вопрос о том, кто отвечает за защиту, из 400 клиентов Cisco 45% назвали «сетевиков» и «безопасников» вместе (36 процентов назвали только «сетевиков», 7 процентов — только «безопасников», 2 процента назвали группу управления приложениями). В настоящее время есть тенденция к тому, чтобы «безопасники» отвечали за определение политики, а «сетевики» — за ее реализацию.

Общая стоимость эксплуатации

Организация защиты является приоритетом на всех Предприятиях, однако, бюджеты требуют экономии уже сейчас, а не в перспективе. Интегрированная защита предлагает самую низкую общую стоимость эксплуатации:

• Ввод сервисов защиты в уже имеющееся сетевое устройство означает, что имеющийся модуль, блок питания, сетевые карты и другие компоненты можно использовать и для дополнительных задач. Если же сетевое устройство само по себе является составным и допускает наращивание производительности, то стоимость эксплуатации еще более снижается.

• Управлять новыми службами безопасности позволяют имеющиеся системы управления и контроля.

• Появляются возможности завершить или наоборот расширить текущие договора о поддержке пользователей, предложив им новые возможности защиты.

• Снижается необходимость подготовки кадров, поскольку в качестве платформы защиты используется уже знакомая им система.

• Когда сбалансированное распределение загрузки реализуется как часть интегрированного решения защиты, у Предприятия появляется возможность уменьшить количество серверов и систем защиты типа межсетевых экранов, экономя при этом на вложениях в это оборудование.

Перспективы расширения

Все более расширяющаяся природа сетей является одной из сторон проблемы масштабирования. В настоящее время сеть должна справляться с увеличением количества пользователей, сайтов и услуг. Сеть должна обрабатывать постоянно увеличивающиеся количества трафика — голосового, видео или данных. Теперь сеть поддерживает проводные и беспроводные подключения.

Фактически управление этой средой является весьма проблемным и почти невозможным, если на Предприятии не применяется интегрированный подход. Проблема масштабирования значительно смягчается если, например, интегрированная система управления позволяет управлять сетью интегрированных устройств, имеющих структуру унифицированной идентификации.

Функциональность продуктов

В период между 2000 и 2002 годами произошел значительный сдвиг от узкофункциональных сетевых и защитных устройств к системам многофункциональным. В настоящее время сетевые устройства типа маршрутизаторов и коммутаторов предлагают расширенные сетевые сервисы и услуги связи плюс сложные сервисы защиты.

Параллельно с этим узкофункциональные устройства защиты, например, межсетевые экраны и концентраторы VPN, получили дополнительные защитные сервисы типа обнаружения вторжений. Обобщая, можно утверждать, что возможности продуктов с интегрированными функциями соответствуют или как минимум удовлетворяют рыночным требованиям интеграции.

Интеграция решений

Наконец, все компоненты сети должны взаимодействовать и функционировать как единое целое.

Рассмотрим центр обработки данных. Он состоит из множества серверов, связанных с внешним миром посредством коммутаторов и маршрутизаторов. Серверы необходимо защитить; маршрутизаторы и коммутаторы должны иметь собственные средства защиты. Кроме того, общая архитектура должна быть функциональной и масштабируемой, а так же иметь интегрированную подсистему управления ею.

Интеграция защиты во всю сеть — фундаментальный аспект стратегии Cisco в области развития и маркетинга. В планы интеграции входят следующие пункты:

• Обеспечить возрастающее количество функций защиты, интегрированных в Cisco IOS. Это программное входит во все платформы Cisco — от решений для удаленных работников и офисов и до решений для главной сети.

• Обеспечить защитные функции в отдельных устройствах защиты и в интегрированных сетевых устройствах, которые кроме этого поддерживают подключения локальных и территориальных сетей передачи данных.

• Предложить такую инфраструктуру управления и контроля, которая обеспечит простое создание интегрированной, внедренной защиты.

• Обеспечить масштабируемую и многофункциональную структуру защиты. В настоящее время сеть становится важным деловым инструментом, который не должен выходить из строя никогда.

• Наконец, обеспечить развертывание модели для клиентов и Предприятий, нуждающихся в интегрированной встроенной защите. Это является задачей архитектуры Cisco SAFE.

Степени интеграции Cisco IOS

Cisco IOS Software — программное обеспечение, которое управляет всеми маршрутизаторами и коммутаторами Cisco. Большой набор его защитных функций расширяется с каждым новым выпуском. В Cisco IOS входят разнообразные функции от механизмов запрета/разрешения доступа, например, списки контроля доступа (списки ACL) и поддержка различных типов VPN, защита от вторжений, сервисы сложной идентификации и экранирования.

В настоящий момент Cisco IOS Software имеет три ряда функциональных возможностей:

• Устойчивые сервисы защиты

• Всеобъемлющие сервисы IP такие как маршрутизация, качество обслуживания (QoS), многоадресная рассылка, голос по IP (VoIP)

• Защищенное управление, защита управляющего трафика и возможность управления пакетом Cisco IOS Software на устройствах. Пакет Cisco IOS Software отличает именно интеграция этих трех рядов. Наглядный пример решения, которому весьма выгодна интеграция Cisco IOS Software — Cisco Voice and Video-Enabled IPSec VPN (V3PN). Это решение гарантирует соответствующее качество и устойчивость зашифрованного голосового и видео-трафика благодаря таким новым особенностям Cisco IOS Software как качества обслуживания для приложений, требующих малой задержки и динамическому резервированию протокола IPSec, позволяющему избежать разрыва соединений.

Специализированные и сетевые устройства

Специализированные устройства — специализированные защитные системы, выполняющие одну или несколько защитных функций; например, межсетевой экран также поддерживает VPN или возможности защиты от вторжений. В Cisco PIX Firewall имеется встроенный модуль VPN, а так же программно реализованные VPN и система обнаружения вторжений (IDS).

Интегрированные сетевые устройства поддерживают подключения сетей (LAN, WAN по отдельности и совместно), сервисы IP и сервисы защиты; в качестве примера можно назвать маршрутизатор, который одновременно выполняет роль межсетевого экрана. Маршрутизаторы Cisco SOHO 90 и 831 — недавно появившиеся образцы решений для удаленного офиса, обеспечивают интегрированную защиту и подключения по Ethernet и ADSL.

Другой пример интегрированных функциональных возможностей программного решения Cisco IOS — интеллектуальный коммутатор, который поддерживает коммутацию и защиту на Уровне 2 и Уровне 3. Коммутатор Catalyst Cisco 6500 теперь имеет такие функции как защита от вторжений, межсетевой экран, сети VPN, Secure Socket Layer (SSL) и другие модули защиты.

На сегодняшний день Предприятия могут выбирать между отдельным прибором и интегрированным сетевым устройством. Чтобы сделать правильный выбор, нужно рассмотреть следующие факторы:

• Бюджет. Реализация защиты на имеющемся сетевом оборудовании дает максимальную экономию средств как при внедрении так и при эксплуатации. Кроме того, для управления функциями защиты можно использовать имеющуюся инфраструктуру управления.

• Простота. Узкофункциональное или выделенное устройство защиты является наиболее простым в установке и в управлении. Многофункциональные устройства по определению состоят из различных элементов и это усложняет конфигурирование и повышает вероятность ошибок. В отличие от них, узкофункциональное устройство имеет ограниченный набор конфигураций.

• Модульность. Идеальным решением для сети филиала может стать интегрированное сетевое устройство, обеспечивающее на единой платформе защиту и связь. Однако, для главной сети или для обширного проекта может оказаться более предпочтительным модульный подход. Например, Catalyst Cisco 6500 имеет гибкую, настраиваемую и модульную архитектуру, что позволит в будущем защитить вложения в это оборудование.

• Организация контроля. «Безопасникам» может потребоватся платформа, контролировать и конфигурировать которую сумеет только группа специалистов; такое решение может подвести к выбору специализированных устройств, а не интегрированных сетевых устройств. Если же за защиту сети отвечают «сетевики», то, в отличии «безопасников», они они скорее выберут интегрированное сетевое устройство — по соображениям простоты.

Масштабируемые, работоспособные сети

Масштабируемую инфраструктуру можно расширять по мере надобности. Работоспособность сети гарантирует то, что важнейшие приложения и сервисы доступны пользователям в любой момент и без перебоев. С точки зрения бизнеса сеть должна обладать гибкостью и расширяемостью. На сегодняшний день у предприятий есть несколько способов создать масштабируемую и надежную инфраструктуру:

• Сбалансированное распределение сетевого трафика и запросов на обслуживание между коммутаторами и серверами и даже между центрами обработки данных. Преимущества состоят в том, что решается проблема пиковых нагрузок трафика и сокращается количество сетевого оборудования, необходимого для поддержки рабочей загрузки. Примеры решений для распределения загрузки — модуль для коммутаторов Catalyst Cisco 6500, и коммутаторов контента Cisco CSS 11000 и 11500.

• Динамическое переключение способствует резервированию устройств на случай выхода из строя причем без каких-либо потерь связи конечных пользователей. Маршрутизаторы Cisco IOS и платформы концентраторов Cisco VPN 3000 являются примерами устройств, обеспечивающих динамическое переключение. Возможность динамического переключения обеспечивает возможность резервирования, но связь в точке отключения может потеряться.

• Избыточность. Избыточность это дублирование устройств таким образом, что в случае сбоя отдельного сетевого устройства (или нескольких сетевых устройств) их задачи принимает на себя избыточный модуль сетевого устройства.

• Послеаварийное восстановление. Послеаварийное восстановление множества узлов можно осуществить с помощью глобального сбалансированного распределения загрузки серверов (GSLB) — возможности, предлагаемой устройством Cisco GSS 4480 Global Site Selector. Непрерывное наблюдение за работой и состоянием распределителей загрузки серверов гарантирует быструю переадресацию пользователей на резервный центр данных в случае если первичный центр данных перегружен или вышел из строя.

Борьба с нарушениями защиты требует разработки необходимой политики и процедур. Первый шаг в любом плане защиты — донесение до всех пользователей информации об уязвимости компьютерных систем. Если на предприятии нет специалистов по защите — пригласите консультанта со стороны. Приготовьтесь к необходимости выполнять его рекомендации, но помните, что даже при лучших специалистах все равно остаются какие-то бреши в защите и предприятие должно быть готово к отражению атак.

Основная цель архитектуры SAFE для Защищенного Электронного Бизнеса заключается в предоставлении заинтересованным сторонам наилучшей практической информации по проектированию и поддержке защищенных сетей.

Архитектура Cisco SAFE предлагает ряд рекомендаций по организации защиты и указывает конкретные действия для тех Предприятий, которые активно стремятся развернуть интегрированную, внедренную защиту. Бюллетени Cisco SAFE не связаны с конкретными продуктами то есть в качестве основы для организации защиты подразумеваются не только решения Cisco; также предполагается возможность гетерогенной среды.

Сейчас предлагаются бюллетени Cisco SAFE для крупных предприятий, для малого и среднего бизнеса. Некоторые специализированные бюллетени охватывают такие темы как VPN, защищенные беспроводные подключения и защищенная реализация IP-телефонии.

В качестве примера, Cisco разработало проект специально для предприятия, где сеть разбита на модули, так как модульный подход упрощает развертывание и составление бюджета. В рамках модулей, Cisco SAFE рекомендует оптимальный дизайн для надежной защиты сетей. Корпоративный Интернет-модуль обеспечивает доступ из главной сети к недоверенному домену Интернета. Чтобы обеспечить всестороннюю защиту сети, в ней организуются наложенные уровни защищающих маршрутизаторов, которые поддерживают управление доступом, серверные и сетевые системы обнаружения вторжений, отслеживание сигнатур атак, устройства инициирования и завершения туннелей VPN.

Архитектура SAFE не является революцией в проектировании сетей, а только способом сделать сеть защищенной. Как архитектура защиты для AVVID, SAFE по возможности полно учитывает функциональные требования корпоративных сетей. При реализации решения могут варьироваться в зависимости от требуемой функциональности сети. Однако, приведенные ниже цели, названы в порядке их важности и остаются неизменными при практической реализации архитектуры SAFE:

• Защита и нейтрализация атак на основе политики

• Защищенная реализация инфраструктуры (не ограничиваясь указанными защитными устройствами)

• Экономичность внедрения

• Защищенные управление и отчетность

• Аутентификация и авторизация пользователей при обращении к важным ресурсам сети

• Обнаружение вторжений для важных реурсов и подсетей

SAFE является защищенной архитектурой, которая должна предотвратить большинство атак, не позволяя им воздействовать на ресурсы сети. Атаки, преодолевающие первый рубеж защиты или возникающие внутри сети, должны быть быстро обнаружены, а их воздействие на ресурсы сети сведено до минимума. Однако, будучи защищенной, сеть должна предоставлять своим пользователям все требуемые сервисы то есть защита и функциональность сети должны обеспечиваться одновременно.

Архитектура SAFE также является гибкой и обладает возможностью расширения. Гибкость сетей включает в себя физическую избыточность, которая обеспечивает защиту от сбоев устройств в результате неправильной конфигурации, физической поломки или атаки сети. Хотя также возможны и более простые проекты (особенно если задачи, возлагаемые на сеть не слишком велики) в SAFE в качестве примера рассматривается комплексный проект, потому что обеспечение безопасности в сложной окружающей среде более актуально, нежели в условиях простых.

На многих этапах процесса проектирования сети вам нужно выбирать между интегрированной функциональностью сетевых устройств и применением специализированных приборов. Интегрированная функциональность зачастую более привлекательна тем, что ее можно реализовать на уже имеющемся оборудовании или возможностью взаимодействия с прочими устройствами. Специализированные устройства часто используются в тех случаях, когда требования к функциональным возможностям высоки или соображения производительности диктуют использование специализированных аппаратных средств. Принимайте решение, основываясь на характеристиках и функциональных возможностях прибора или на преимуществах интеграции устройства.

Например, в некоторых случаях можно выбрать интегрированный высокопроизводительный маршрутизатор Cisco IOS вместе с программным межсетевым экраном Cisco IOS в противовес менее мощному маршрутизатору Cisco IOS с отдельным межсетевым экраном PIX Firewall. В этой архитектуре применяются оба варианта. Наиболее важные защитные функции отдаются выделенным приборам из-за требований производительности, предъявляемых к сетям больших предприятий.

Хотя большинство корпоративных сетей развивается по мере роста требований предприятия к информационным технологиям, архитектура SAFE использует модульный подход построения системы. Модульный подход имеет два основных преимущества. Во-первых, модульная архитектура поддерживает защищенную связь между функциональными элементами сети. Во-вторых, модульный подход позволяет проектировщикам внедрять и оценивать защиту каждого модуля по отдельности, а не всей архитектуры сети сразу.

В этом разделе изучаются пять основных технологий защиты сетей, которые должны быть внедрены в сеть и интегрированы в устройства сетевой инфраструктуры. Эти технологии должны использоваться одновременно в качестве дублирующих контрмер, чтобы создать то, что называется «эшелонированной защитой». При взломе одного рубежа такой защиты, сеть все равно не остается беззащитной.

Защита расширенного периметра

Роль нынешних межсетевых экранов выходит за рамки защиты корпоративной сети от несанкционированного доступа извне. Межсетевые экраны могут также запрещать обращения неразрешенных пользователей к специфической подсети, рабочей группе или LAN в рамках корпоративной сети, защищая границы, известные как «расширенный периметр». Периметр больше не является только лишь границей между доверяемой внутренней и недоверяемой внешней сетью, а статистические данные ФБР указывают, что 70 процентов всех проблем с защитой возникают внутри самого Предприятия. Cisco предлагает три решения для межсетевого экранирования:

• Интегрированное устройство Cisco PIX 500 Series Firewall, обеспечивает надежную защиту и имеет высокую производительность. В ряду Cisco PIX Firewall представлен полный спектр защитных устройств, начиная от экономичных настольных межсетевых экранов для удаленных работников и маленьких офисов, и до межсетевых экранов корпоративного класса, соответствующих большинству требований Предприятий и сервис-провайдеров. Межсетевые экраны Cisco PIX поддерживают до 500 000 одновременных подключений и общую скорость передачи около 1.7 Gbps, обеспечивая при этом высший класс защиты, надежности и обслуживания клиентов.

• Программное приложение Cisco IOS имеет такие возможности как межсетевой экран, обнаружение вторжений и сети VPN. Это интегрированное решение защиты упрощает выполнение политики во всей сети и задействует ранее вложенные предприятием инвестиции в инфраструктуру Cisco.

• Сервисный модуль межсетевого экранирования, устанавливаемый в коммутаторы Catalyst Cisco серии 6500 или в интернет-маршрутизаторы Cisco серии 7600, позволяет любому порту устройства работать как порт межсетевого экрана, а также вводит в сетевую инфраструктуру динамическое экранирование. Такая модульность особенно важна там, где физическое пространство в монтажной стойке ценится на вес золота.

  Коммутатор IP-сервисов Catalyst Cisco 6500 предлагается тем заказчикам, которым нужны такие интеллектуальные услуги как межсетевой экран, обнаружение вторжений, поддержка сетей VPN, а также многоуровневая коммутация различных сетей. Это устройство является оптимальным выбором когда требуется высочайшая производительность экранирования — на одном шасси она достигает 20 Gbps.

Защита от вторжений

Системы защиты от вторжений должны предлагать всесторонние решения для идентификации и борьбы с несанкционированными вторжениями, со злонамеренными саморазмножающимися вирусами, поступающими из Интернет, а также для противостояния нападениям на полосу пропускания и на приложения электронного бизнеса. Есть два главных типа обнаружения вторжений:

• Сетевая защита, которая защищает сегменты сетей, исследуя поступающий в эти сегменты трафик

• Обнаружение вторжений на хост, которое эффективно защищает сетевые серверы и сетевые сервисы

Портфолио Cisco в области защиты от вторжения предлагает следующие компоненты:

• Датчики Cisco IDS поддерживают самые различные варианты сетей, начиная от сетей мелких компаний и до сетей крупнейших gредприятий и сервис-провайдеров, где требуются высокоскоростные, масштабируемаые решения. Датчики используют сложные методы обнаружения, включая динамическое распознавание по образцам, синтаксический анализ протокола (protocol parsing), эвристическое обнаружение и обнаружение аномалий, благодаря чему обеспечивается всесторонняя защита от всевозможных известных и неизвестных сетевых угроз.

• Модуль IDS для Catalyst серии 6500 позиционируется как продукт для центров обработки данных. Модуль является универсальным решением для борьбы с несанкционированными вторжениями, саморазмножающимися вирусами Интернет, атаками по полосе пропускания и нападениями на приложения электронного бизнеса.

• Серверный агент Cisco IDS защищает сервер, предотвращая известные и неизвестные нападения с помощью комбинации правил и сигнатур, а не просто обнаруживая и сообщая о нападениях после того, как они уже произошли. Он объединяет защиту операционной системы с защитой сети, обеспечивая этим беспрецедентную глубину защиты от известных и неизвестных нападений.

• Технологии защиты от вторжений предлагают как Cisco PIX Fierwall, так и системы на основе Cisco IOS.

Защита подключений

Трафик, проходящий через недоверенные области и сегменты сети, должен быть защищен. Двумя основными технологиями, обеспечивающими безопасное обеспечение связи, являются:

• Сети VPN обеспечивают подключение, защищенное на сетевом уровне. Сегодня для сетей VPN чаще всего применяется протокол IPSec, который обеспечивает идентификацию, шифрование и сокрытие адреса. Сети VPN используются и для взаимного подключения сайтов и для удаленного доступа к головному офису.

• Secure Socket Layer (SSL), протокол, разработанный компанией Netscape для передачи по интернет частных документов. Для шифрования пересылаемых данных SSL использует открытый ключ. SSL поддерживают броузеры Netscape Navigator и Internet Explorer, а многие сайты используют этот протокол для получения конфиденциальной информации пользователей, например, номера кредитной карточки. По общему соглашению те адреса URL, которые требуют подключения по SSL, начинаются с https, вместо http.

SSL создает между клиентом и сервером защищенное подключение, по которому можно конфиденциально передать любое количество данных.

Internet Engineering Task Force (IETF) утвердило этот протокол как стандарт.

Возможности VPN также встроены в межсетевые экраны Cisco PIX серии 500. Плюс к этому, в специальных случаях удаленного доступа по VPN, когда масштабируемость и простота управления являются основными проблемами, особую роль играет концентратор Cisco VPN 3000.

Идентификация

Идентификация — важнейший компонент инфраструктуры защиты. Сетевые сервисы на основе идентификации позволяют идентифицировать пользователей по таким параметрам как имя пользователя, IP-адрес и MAC-адрес, а затем выдать ему определенные права, например, права доступа к определенным частям сети, к определенным приложениям или к определенным сетевым сервисам. Важными тенденциями в развитии идентификации являются усиление детализации прав доступа и способность динамически и активно назначать права доступа.

Идентификация имеет два основных этапа: создание политики идентификации и ее выполнение. В портфолио сервисов идентификации Cisco, функцию определения политики выполняет сервер контроля доступа, который взаимодействует (через LDAP) с каталогом пользователей. Выполнение политики идентификации ведется коммутатором, маршрутизатором или другим сетевым устройством.

Портфолио Cisco отличает интеграция всей политики идентификации и ее выполнения. Например, коммутаторы Cisco и точки беспроводного доступа работают с Сервером контроля доступа Cisco (ACS), чтобы обеспечить динамическую и точную защиту портов. Пользователь, подключающийся к сети через коммутатор Cisco или через беспроводную точку доступа использует 802.1x для аутентификации. Особенно важными являются расширения Cisco для 802.1x. Пользователь может быть помещен в отдельную сеть VLAN и получить определенные права доступа. Благодаря 802.1x, при перемещении пользователя по сети из одного физического местоположения в другое, политика защиты перемещается вместе с пользователем. Независимо от своего местоположения, пользователь подчиняется непротиворечивой политике защиты и доступа.

Сервер Cisco ACS расширяет использование 802.1x, предлагая централизованное управление и контроль за идентификацией, авторизацией и подотчетностью пользователей с помощью графического web-интерфейса. Также, контроль может быть передан в сети сотням и тысячам шлюзам доступа. С помощью сервера Cisco ACS и IEEE 802.1x предприятие может контролировать и управлять пользовательским доступом на маршрутизаторах Cisco IOS, в сетях VPN, на межсетевых экранах, в коммутируемых и широкополосных каналах DSL, при кабельном доступе, в решениях «Голос по IP» (VoIP), в беспроводных решениях Cisco, и на коммутаторах Catalyst. Кроме того, c помощью этой же структуры контроля доступа Cisco ACS можно управлять доступом администратора и конфигурированием всех сетевых устройств, поддерживающих TACACS +.

Защищенное наблюдение и управление

Преимущества интегрированной инфраструктуры защиты становятся понятны только при условии, что в сети осуществляются комплексные политика и управление, а также имеется система наблюдения, поддерживающая эти процессы.

К подсистеме управления предъявляются следующие требования:

• Она должна обеспечивать управление каждым устройством и системой сети.

• Она должна поддерживать разработку и контроль политики безопасности, так называемую концепцию «умных правил».

• Она должна обеспечить активное наблюдение за сетью и всеми происходящими в ней событиями защиты.

• Она должна поддерживать постоянный анализ с целью дальнейшей оптимизации дизайна и структурного совершенствования защиты сети.

В рамках продукта CiscoWorks VPN/Security Management Solution (VMS) все эти четыре элемента являются частями единого целого. CiscoWorks VMS комбинирует в себе web-средства для настройки, контроля и отладки межсетевых экранов Cisco, сетей VPN основанных на Cisco IOS, а также сетевых и хостовых систем обнаружения вторжений.

Инфраструктура управления и каждое из ее подключений должны быть защищены, а права управления должны жестко контролироваться через централизованный доступ, организованный для роли адимнистратора. Подход Cisco уникален тем, что защита элементов, инфраструктуры, прав и привилегий ведется из единого местоположения. Структура управления должна быть масштабируемой и такая возможность обеспечивается Сервером Автоматических Обновлений (AUS), который также является частью CiscoWorks VMS. Благодаря этому все и даже удаленные и динамически адресуемые устройства имеют возможность периодически «позвонить родителям» на Сервер Обновлений и загрузить с него самые свежие и защищенные конфигурации Cisco PIX Firewall. При отсутствии возможности автоматического обновления, каждое удаленное устройство необходимо обновлять вручную. В дополнение к возможности простого и быстрого изменения, автоматическое обновление также обеспечивает непротиворечивость выполнения политики.

Здесь рассматриваются требование интеграции и вопросы встраивания защиты в сеть. В разделе исследуются определенные примеры интеграции защиты. В примерах указываются такие угрозы, против которых эффективно только интегрированное решение.

• Защита web-приложений. Темпы развертывания web-приложений все более возрастают. Каким образом можно защитить транзакцию, пользователя или сервер ? Одним из вариантов является SSL-шифрование трафика приложений, но это увеличит нагрузку на CPU сервера. Кроме того, сеть также должна отслеживать передаваемый по SSL потенциально вредный контент. По сравнению с этим интегрированное решение дает следующие преимущества:

  • Высвобождение ресурсов CPU путем выполнения расшифровки SSL на коммутаторе контента типа Cisco CSS 11500 Content Services Switch или на модуле Content Switching Module (CSM) для Cisco Catalyst серии 6500

  • Расшифровка трафика позволит системе IDS защитить конечные серверы

  • Высвобождение ресурсов позволяет сбалансировать загрузку по Уровням 4-7, в том числе воспользоваться решением сбалансированного распределения глобальной загрузки серверов (GSLB), которое предлагается в Cisco GSS 4480

• Предотвращение несанкционированного доступа. 802.1x является протоколом клиент-серверной аутентификации и управления доступом. Он запрещает неразрешенным устройствам подключаться к LAN через общедоступные порты. Прежде чем устройству, подключающемуся к коммутируемому порту, открывается доступ к каким-либо сервисам, оно должно пройи аутентификацию. После успешной аутентификации сервер RADIUS посылает коммутатору назначение сети VLAN специфическому пользователю, а коммутатор конфигурирует присвоенный порт для указанной сети VLAN. Обощая, можно сказать, что порты, аутентифицированные по 802.1x, назначаются сети VLAN на основе имени пользователя, подключенного к порту. Например, чтобы обеспечить устойчивую защиту, сервер RADIUS, коммутатор и клиент 802.1X должны взаимодействовать.

• Защищенное подключение филиала к головному офису. Cisco предлагает интегрированные решения доступа, удовлетворяющие любым требованиям «цена-возможности-производительность»:

  • Для удаленного офиса программное решение Cisco IOS такое как Cisco 830 или маршрутизатор SOHO 90 Series объединяет защиту, возможности VPN и услуги IP; решение на основе устройства типа Cisco PIX 506 Firewall комбинирует функции экранирования, VPN и обнаружение вторжений.

  • Для филиалов в регионах маршрутизаторы Cisco серий 2600, 3600 и 3700 могут быть обрудованны модулями VPN следующего поколения, которые поддерживают шифрование данных по протоколам 3DES, AES, а также аппаратное сжатие. Все это увеличивает производительность VPN в 5 — 10 раз при уменьшении загрузки CPU наполовину.

Совершенствование информационной безопасности критически важно для поддержания производственной деятельности, репутации и экономической стабильности любой организации. Новые законы требуют обеспечения все большей защиты информации, и ежедневно появляются все новые угрозы компьютерной и сетевой безопасности. Проект SAFE по обеспечению безопасности элeктронного бизнеса от фирмы Cisco Systems предлагает лучшую практическую информацию для тех, кто заинтересован в проектировании и развертывании безопасных сетей, с учетом возможных угроз и методов их нейтрализации. Для совершенствования защиты своих сетей руководители организаций должны предпринять следующие шаги:

• необходимо закрепить за отдельными специалистами или рабочей группой деятельность по защите информационных систем;

• должна быть разработана и оформлена документально политика безопасности информационных систем;

• необходимо определить уровень информационных потребностей и слабые места информационных систем;

• необходимо разъяснять политику информационной безопасности путем проведения учебных занятий с сотрудниками;

• эффективность защитных мер должна непрерывно проверяться и оцениваться.

  Особенно важно, чтобы руководители высшего звена обеспечивали поддержку инициатив по совершенствованию информационной защиты.

Дополнительная информация

Подробную информацию о защитных решениях Cisco можно найти по адресу: www.cisco.com/go/security

Вернуться на главную страницу обзора