Как защитить сеть от web-угроз с помощью Cisco WSA
Сергей Кучеренко29 августа 2013
ведущий:
О чем мы поговорим:
Решения Web безопасности Cisco
Cisco Web Security Appliance и его функционал
Принципы развёртывания
Основные элементы конфигурации
Web безопасность мобильных устройств
Развёртывание Cisco WSA Virtual Appliance
Демонстрация работы решения
Решения Web безопасности Cisco
На текущей момент решения по обеспечению Web безопасности представлены в виде:
Выделенных аппаратных и виртуальных устройств Cisco Web Security Appliance
Облачного сервиса Cisco ScanSafe
Аппаратных или программных модулей ASA-CX
Сравнение решений:
Web/URL фильтрация
Контроль приложений
Защита от malware
Защита remote users
Развертывание
Политики и отчеты
Лицензии
Cisco Web Security Appliance и его функционал
Модельный Ряд –
Аппаратные решения
Виртуальные решения
Note: S00V используется только для тестирования
Функционал Cisco Web Security Appliance
Proxy Server – WSA Выполняет роль кеширующего прокси сервера для следующих протоколов:
HTTP HTTPS FTP
WSA как прокси сервер способен работать в двух режимах:
Explicit Proxy – в этом случае на стороне клиента необходима настройка параметров proxy server*
Transparent Proxy – при использовании такого подхода клиент не знает о существовании proxy server. Перенаправление трафика на прокси проходит с
использованием сетевого оборудования* Note: В этом режиме не возможна аутентификация FTP
* - более детально будет рассмотрено в разделе “Принципы развёртывания”
Аутентификация –
Существуют варианты:
Basic Authentication – RFC based метод, в этом случае при подключении пользователя в браузере выводится окно для ввода логина/пароля
Преимущество – поддерживается всеми браузерами и большинством программНедостаток – аутентификация проходит в clear-text
NTLMSSP – Используется когда хранилищем пользователи является MS Active Directory. Пользователям прошедшим доменную аутентификацию на своих ПК не требуется вводить логин/пароль для прокси.
Преимущество – прозрачно для пользователяНедостаток – только в среде AD и на ПК
Transparent User Identification (TUI) – функционал аналогичный Identity Firewall на Cisco ASA в плане определения логина пользователя и его групповой принадлежности
1. Запрос списка пользователей и групп
2. Информация о User Login через WMI
3. Запрос списка User-to-IP mapping 4. Вход John в
систему
5. John вошел с адреса 10.1.200.3
6. Проверка Политик
Authentication Excempt – пользователи могут быть объединены администратором устройства в группы для которых не требуется аутентификация.
Критерии: IP address/User Agent/Proxy Port/URL category/User Agent
Acceptable Use Control –
Набор технологий позволяющий контролировать доступ пользователей к Web ресурсам и Web приложениям. К этим технологиям относятся:
URL Filtering – ограничения доступа пользователей/групп к определенным URL категориям (ex: Social Networking/Gambling/…).
Для не категоризированных ресурсов используется технология динамической категоризации Dynamic Content Analysis (DCA)
Для каждой категории доступен ряд действий: Block Monitor (Default) Warm – выдавать предупреждение пользователю Time-Based – доступ на основе временных диапазонов
Redirect* – перенаправление пакетов на определенный URL Allow* – пропустить пакеты без дальнейшего анализа
* – только пользовательские URL категории
Web Application Visibility and Control (AVC)– определение Web приложения по его signature. Разработкой новых signatures занимается Cisco SIO. Web приложения объединяются в Группы в зависимости от их типа:
В зависимости от типа Web приложения к нему могут применятся те или инфе ограничения Ex: Для приложения Web mail можно запрещать прикрепление документов
Objects – управление какие MIME типы (Video/Archive/…) разрешены пользователю/группе для загрузки. Кроме того здесь же можно устанавливать ограничения на максимальный размер загрузки.
Malware Protection –
Функционал WSA обеспечивающий защиту от зловредного кода. Защита производится с использованием трех технологий:
WBRS (Web Based Reputation Score) – проверка репутации запрашиваемого ресурса. Если ее значение ниже минимально допустимого такой запрос блокируется
Dynamic Vectoring and Streaming – сканирование контента на соответствие сигнатурам одного или двух Anti-Malware Engines (Webroot, Sophos)
Layer 4 Traffic Monitor – мониторинг проходящего в сети трафика (Используя перенаправление SPAN) на предмет обнаружения запросов на адреса известных центров управления Bot сетями
Data Protection –
Защита от утери данных в WSA может быть реализована с использованием двух подходов:
Внутренняя защита – этот подход дает возможность блокировать файлы определенного типа/размера/имени которые пользователи/группы пытаются выложить на Web ресурсы
Внешняя DLP система – WSA делает перенаправление транзакций по протоколу ICAP на внешнюю DLP систему
Internet
www.mypartner.com
www.malwarrior.com
Allow, Block, Log
Users
InternetAllow, Block, Log
UsersContent Verdict
DLP Vendor Box
Management and Reporting –
Embedded Reporting – большое количество встроенных отчётов (По пользователям/По сайтам/ По URL Категориям/…)
Centralized Reporting – возможность строить отчеты используя данные сразу с нескольких WSA: Используя SMA (Security Management Appliance) С помощь Splunk
Centralized Management – для централизованного управления несколькими WSA используется Security Management Appliance
Overview L4TM Reputation Filters
Принципы развёртывания
Explicit Proxy Mode –
В этом режиме на пользовательском ПК должен быть явно задан адрес прокси сервера. Есть ряд подходов к настройке параметров Прокси:
Ручная настройка – администратор или пользователь должен в ручную указать параметры Proxy Server в настройках браузера
Proxy Auto Configuration – данный подход предполагает что браузер узнает о настройках прокси автоматически. Это возможно сделать несколькими путями:
Настройка прокси через групповые политики Microsoft Active directory
Авто определение Proxy браузером – в этом случае браузер сам выполняет поиск Proxy Settings (Хранилищем таких настроек выступает PAC file)
Информация о местонахождении PAC file может быть получена тремя способами:
1. Manual – в ручную указать в браузере URL по которому находится PAC File
2. DHCP – URL с местонахождением PAC file может быть предан в DHCP опции 252, такой способ не поддерживает mozilla firefox
3. DNS – URL с местонахождением PAC File браузер получает выполнив nslookup имени wpad.dat
Note: В Explicit Proxy mode PAC файл используется также для организации отказоустойчивости
Transparent Mode –
При работе WSA в Transparent режиме поддерживается следующие варианты перенаправления трафика:
WCCP – Web Cache Communication Protocol является предпочтительным методом перенаправления трафика. При использовании WCCP отказоустойчивость реализуется средствами самого протокола. Поддерживаете на: Cisco ASA/Cisco ISR/Cisco Catalyst
PBR – policy based routing. Может быть использован в случае отсутствия поддержки протокола WCCP
Layer 4 Switching – использования L4 информации для Switching Decision (Перенаправляем трафик идущий на TCP port 80 на интерфейс к которому подключен WSA). Данный метод также имеет встроенную поддержку механизмов отказоустойчивости
Layer 7 Switching – аналогичен предыдущему варианту, за тем исключением что для Switching Decision может быть использована L7 информация
Interfaces –
WSA имеет интерфейсы различных типов:
Management – интерфейс может использоваться для Out-Of-Band и для In-Band Management (В этом варианте интерфейс является также Proxy портом)
Proxy – интерфейсы используются для принятия и отправки запросов пользователей
Tap – интерфейсы используемы для работы функционала Layer 4 Traffic Monitor
Варианты развертывания –
1. Single interface
2. Two Interfaces
3. Management PC
Интернет
Интернет
Интернет
Наиболее простой вариант. Для всего трафика используется Management Interface
Используется в случаи когда внешний интерфейс WSA нужно вынести в DMZ, данная схема может быть настроена через Wizard
Наиболее сложная схема, в этом случаи появится отдельная таблица маршрутизации для Management трафика. P2 не настраивается из Wizard
Внимание Вопрос!
В каком году компания Cisco купила компанию IronPort?
Ответы высылать на email:[email protected]
Основные элементы конфигурации
Для начала работы с устройством важно понимать три основных элемента конфигурации:
Authentication Realm – набор серверов аутентификации. Realm могут создавать двух видов:
Identity – механизм идентификации того кто пытается получить доступ к Web ресурсам для дальнейшего применения политик доступа. В качестве критерия Identity могут использоваться:
Note: Проверка Identity идет с верху в низ, Identity требующие аутентификации должны находится в конце списка.
Authentication Realm – Для запросов попавших под эту Identity требуется аутентификация
IP address – адреса хостов и сетей Proxy Port – порт на proxy на который было принято
соединение User Agent – значение поля User Agent в HTTP
сообщении. Поддерживаются несколько стандартных (Windows Update/Adobe Update/IE/…)
Access Policy – элемент конфигурации привязывающей к Identity правила Acceptable Use Control/Objects/Application Visibility and Control/ Malware Protection
В случае если используется Identity требующая аутентификацию доступны варранты:
All authenticated users – все пользователи прошедшие аутентификацию в рамках указанной Identity
Groups and Users – только определенные пользователи и группы
Note: Проверка политик проходит с верху в низ. Более специфичные политики необходимо указывать Выше.
Web безопасность мобильных устройств
Для мобильных устройств применимы те же подходы к направлению трафика на WSA как и для стандартных ПК:
Explicit Proxy Mode – при использовании WSA в этом режиме настройки Proxy должны быть указаны на устройствах либо в ручную либо использую авто настройку через PAC файлы. С точки зрения наиболее популярах мобильных операционных систем:
iOS – поддерживаются оба варианта. Для каждого Wi-Fi подключения может быть задан Proxy Server или указано получать настройки Proxy автоматически:
Android – Ситуация боле сложная:A. Можно использовать специальные Proxy приложения доступные на PlayMarket, эти
приложения требуют root прав для своей работы, не 100% работоспособныB. Если Root права отсутствуют Proxy может быть настроен в браузерах Opera Mobile и
Mozilla. В этом случае настройки proxy распространяются только на браузер
C. Настройка Proxy для Wi-Fi (Есть не во всех устройствах)Настройки -> Беспроводные сети -> Настройки WiFi -> [Menu] -> Дополнительно -> Прокси-сервер WiF
Transparent Mode – при таком варианте во всех мобильных операционных системах должна корректор работать аутентификация в браузерах, но некоторые приложения могут не работать
Note: Если принципиальна защита пользователя а не его аутентичность для мобильных устройств можно создавать identity не требующие аутентификации
Развёртывание Cisco WSA Virtual Appliance
Virtual Appliance поставляется в виде OVF file. Совместимые Hypervisors: VMware ESXi versions 4.x and 5.0 Официально поддерживаемой аппаратной платформой является Cisco UCS
На устройства доступен запрос 45 дневной trial license
https://tools.cisco.com/SWIFT/LicensingUI/demoPage
1. Указываем OVF file
2. Выполняем настройку виртуальной машины
3. Завершение настроек
Настраиваем интерфейсы. Management пытается по умолчанию получить адрес по DHCP. Если это не удается назначается стандартный IP – 192.168.42.42
Начло работы с устройством –
По завершению развертывания для доступа на устройство используются – Login:adminPassword:ironportПри первом входе на устройство через консоль будет выводится сообщение о том что необходимо запустить System Setup Wizard по адресу:
При переходе по этой ссылке происходит переадресация на https:// и порт 8443 (Management Port WSA по умолчанию)
Установка файла лицензии – происходит через SSH сессию 1. Copy Paste содержимого XML файла лицензии в CLI
2. Загрузка из файла который уже находится на устройстве (Требуется предварительно положить файлик по FTP в нужную папку)
Создание NTLMSSP Realm
Для создания NTLMSSP Realm необходимо иметь следующую информацию: IP address/FQDN хотя бы одного сервера AD Имя домена Имя папки в которой WSA создаст объект компьютер (Default - Computers) Логин/Пароль пользователя с правами достаточными для создания объекта типа компьютер
Топология Демонстрационного Стенда
192.168.32.0/24.1
.2.3
WSA AD/DNS Test PC 1 Test PC 2
Интернет
.5 .8
Полезные ссылки:
Cisco IronPort AsyncOS 7.7.5 for Web User Guide
http://www.cisco.com/en/US/docs/security/wsa/wsa7.7.5/user_guide/WSA_7.7.5_UserGuide.book.pdf
Cisco IronPort AsyncOS 7.7 for Security Management User Guide
http://www.cisco.com/en/US/docs/security/security_management/sma/sma7.7/SMA_7.7_User_Guide.pdf
Cisco Content Security Virtual Appliance Installation Guide
http://www.cisco.com/en/US/docs/security/content_security/virtual_appliances/Cisco_Content_Security_Virtual_Appliance_Install_Guide.pdf
И напоследок:
https://www.youtube.com/user/SkillFactoryVideo
http://www.slideshare.net/SkillFactory
Top Related