Безопасность вместе с Cisco Security Agent и Cisco ASA 5500

Решение на базе Cisco Security Agent и Cisco ASA 5500 позволяет создать в сети много уровневую защиту, эффективно борющуюся с различными видами угроз.

Многофункциональный программно-аппаратный комплекс Cisco ASA 5500 предназначен для решения сразу нескольких задач – разграничения доступа к сетевым ресурсам, защиты от атак, защиты взаимодействия с удаленными территориями. Это достигается за счет объединения в одном устройстве лучших в своем классе защитных средств – межсетевого экрана Cisco Pix, системы предотвращения атак Cisco IPS и Cisco VPN 3000 Concentrator.

Cisco Security Agent обеспечивает проактивную защиту от неизвестных и совершенно новых угроз, а также от модификаций известных угроз, использующих недавно опубликованные уязвимости. Cisco Security Agent предоставляет функции защиты «без обновления» критически важных серверов, которые не могут быть отключены для установки исправлений, устраняющих уязвимости операционных систем и приложений.

Цель

Необходимо защитить серверы и рабочие станции ЛВС от всевозможных угроз безопасности (черви, вирусы, DoS-атаки и т.д.) на уровне лучшем, чем обеспечивают традиционные антивирусы и межсетевые экраны.

Средства

В компании устанавливается продукт Cisco Security Agent. Программное средство Cisco Security Agent обеспечивает защиту серверов, настольных компьютеров и ноутбуков. Возможности Cisco Security Agent превышают возможности типовых решений для защиты оконечных узлов, объединяя в рамках одного программного средства передовые функции защиты от целенаправленных атак, шпионских программ, вредоносного ПО для скрытого удаленного управления, утечки информации и многих других типов нарушения безопасности компьютера.
Для защиты периметра сети устанавливается межсетевой экран ASA 5510 с модулем предотвращения вторжений ASA-SSM-AIP. Данный модуль поддерживает широкий спектр алгоритмов обнаружения атак (сигнатуры, аномалии, эвристика, отклонения от RFC и т. п.), а также эффективно им противодействует.

Возможности и преимущества Cisco ASA 5500

• Управление с помощью Cisco Adaptive Security Device Manager
  
• Поддержка VLAN
• Поддержка отказоустойчивых конфигураций (Active/Standby и Active/Active)
• Поддержка механизмов управления сигналами тревоги Risk Rating, Meta Event Generator
• Поддержка OSPF, PIM, IPv6, QoS
• Поддержка виртуальных и прозрачных МСЭ
• Контроль протоколов и приложений (web, e-mail, FTP, голос и мультимедиа, СУБД, операционные системы, GTP/GPRS, ICQ, P2P и т. п.)
• Защита от атак “переполнение буфера”, нарушения RFC, аномалий, подмены адреса
• Организация SSL и IPSec VPN
• Механизм Syslog to ACL Correlation

Модуль ASA-SSM-AIP, который устанавливается в ASA 5500, наряду с традиционными механизмами Cisco IDS/IPS используюет и уникальные алгоритмы, отслеживающие аномалии в сетевом трафике и отклонения от нормального поведения сетевых приложений. Это позволяет обнаруживать как известные, так и многие неизвестные атаки. Встроенные технологии корреляции событий безопасности Cisco Threat Response, Threat Risk Rating и Meta Event Generator не только помогают существенно снизить число ложных срабатываний, но и позволяют администраторам реагировать лишь на действительно критичные атаки, которые могут нанести серьезный ущерб ресурсам корпоративной сети.

Основные возможности

• Широкий спектр алгоритмов обнаружения атак (сигнатуры, аномалии, эвристика, отклонения от RFC и т. п.)
• Защита от методов обхода
• Обнаружение атак на IP-телефонию и АСУ ТП (SCADA)
• Автоматический выбор реагирования в зависимости от степени угрозы
  
• Обнаружение атак в инкапсулированном трафике MPLS, GRE, IPv6, Mobile IP-in-IP
• Интеграция с Cisco PIX/Cisco ASA 5500 и Cisco Secuirty Agent для блокирования атак
• Поддержка нескольких виртуальных сенсоров на одном устройстве
• Выборочное блокирование (не всего IP-адреса, а только атакующего сервиса)
• Импорт данных от сканеров безопасности
• Механизм OS Fingerprint для определения релевантности атаки

Спецификация на Cisco ASA 5500

Возможности и преимущества Cisco Security Agent

Cisco Security Agent предоставляет целый ряд ценных возможностей, среди которых можно выделить следующие:

• Контроль соответствия состояния объектов сети требованиям политики безопасности
• Превентивная защита от целенаправленных атак
• Контроль USB, CD-ROM, PCMCIA и т.д.
• Способность обнаружения и изоляции вредоносного ПО для скрытого удаленного управления
• Развитые функции предотвращения вторжения на узлы сети, персонального межсетевого экрана и защиты от совершенно новых атак
• Контроль утечки информации
• Контроль и предотвращение загрузки с несанкционированных носителей
• Оптимизация использования полосы пропускания Wi-Fi
• Обеспечение доступности критически важных приложений «клиент-сервер» и возможности осуществления транзакций

Cisco Security Agent версии 6.0

Новые возможности

• Сигнатурный антивирус ClamAV
• Обнаружение и контроль утечек информации
• Выполнение требований PCI DSS
• Создание динамических сигнатур
• Новые политики контроля приложений
• Обновленный и эргономичный интерфейс управления

Лицензирование Cisco Security Agent

Для работы решения Cisco Security Agent необходимо приобрести позицию CSA-START-6.0-K9=, в которую входит Management Console (устанавливается на отдельный сервер для управления всеми агентами), одна лицензия на сервер и 10 лицензий на рабочие станции.

Далее докупаются лицензии на нужное количество рабочих станций и серверов.

Лицензии на серверы:

Лицензии на рабочие станции

Предлагаемый сервер для установки Management Console:

Результат

Отражение широкого спектра нападений – сканирование портов, переполнение буфера, троянцев и червей, DoS-атаки и др. Данное решение, также обеспечивает защиту компьютера от неизвестных атак, сигнатуры для которых пока не определены и отсутствуют в базах традиционных средств защиты.