Одним из ведущих производителей продуктов информационной безопасности является компания Cisco. Данная статья ставит целью показать примеры использования продуктов Cisco Security Agent, Cisco NAC Appliance и Cisco MARS для обеспечения внутренней информационной безопасности компании. Данные продукты интегрируются между собой и позволяют построить легко управляемую и надежную систему.
Перед отделом информационной безопасности современной компании стоят совершенно различные задачи – это и поддержка защищенных каналов связи компании, поддержка подсистемы разграничения доступа пользователей, обеспечение антивирусной защиты, борьба со спамом, контроль утечек информации, а также обеспечение мониторинга событий информационной безопасности, происходящих в сети, и другие не менее важные задачи.
В настоящее время на рынке продуктов информационной безопасности существует огромное количество разработок, так или иначе позволяющих решить поставленные задачи. На наш взгляд наиболее верным путем является построение высокоинтегрированных систем защиты, способных наиболее гибко адаптироваться к конкретным процессам, происходящим в компании.
2. Безопасность конечного хоста – Cisco Security Agent
3. Контроль доступа к сети – Cisco Network Admission Control (NAC)
- Архитектура и принцип работы системы Cisco NAC Appliance
- Cisco Security Monitoring, Analysis and Response System (MARS)
- Основные возможности Cisco MARS
4. Пример комплексного решения
- Настройка политик Cisco Security Agent
- Настройка Cisco NAC (Clean Access)
Введение
Любая система обеспечения информационной безопасности строится исходя из предполагаемой модели угроз. Приступая к планированию системы защиты необходимо рассматривать две категории угроз: внешние и внутренние.
Внешние угрозы являются легко прогнозируемыми, так как компания располагает полной информацией о том, какие сервисы являются доступными извне, какое программное обеспечение и аппаратные ресурсы обеспечивают связь данного сервиса и сети Интернет.
Бороться с внутренними угрозами намного сложнее, так как пользователи, работающие в компании, имеют различные уровни доступа и строят различные отношения внутри компании.
Для обеспечения защиты необходимо подходить комплексно, и не ограничиваться только техническими средствами. Грамотная работа службы информационной безопасности, а также четко продуманная административная политика компании помогут достичь максимальных результатов.
Административная политика строиться на фундаменте политики информационной безопасности. В организации должно быть разработано положение по защите конфиденциальной информации и соответствующие инструкции. Эти документы должны определять правила и критерии для категорирования информационных ресурсов по степени конфиденциальности, правила маркирования и правила обращения с конфиденциальной информацией. Должны быть определены правила предоставления доступа к информационным ресурсам, внедрены соответствующие процедуры и механизмы контроля, включая авторизацию и аудит доступа.
Данные административные меры позволяют успешно бороться с наиболее многочисленным классом угроз – угрозами непреднамеренного разглашения конфиденциальной информации, но для борьбы со злоумышленниками его явно недостаточно – необходимо использование специальных программно-аппаратных средств.
Безопасность конечного хоста – Cisco Security Agent
Решение Cisco Security Agent (CSA) представляет собой систему обеспечения безопасности конечного хоста и в связке с другими системами позволяет решать более сложные и широкие задачи.
CSA обеспечивает защиту серверных систем и настольных компьютеров. Возможности Cisco Security Agent превышают возможности типовых решений для защиты оконечных узлов, объединяя в рамках одного программного средства передовые функции защиты от целенаправленных атак, шпионских программ, программ для скрытого удаленного управления, антивирусную защиту, а также защиту от утечек информации и многих других типов нарушения безопасности компьютера.
Cisco Security Agent представляет собой систему, использующую агентские приложения для применения настроенных на центральном сервере политик информационной безопасности.
CSA объединяет в себе защиту от «zero-day» атак, антивирус ClamAV, межсетевой экран, модуль защиты файлов и приложений, модуль «недоверенных» приложений и другие функции.
Cisco Security Agent предоставляет целый ряд ценных возможностей, среди которых можно выделить следующие:
- контроль соответствия состояния объектов сети требованиям политики безопасности;
- превентивная защита от целенаправленных атак;
- контроль USB, CD-ROM, PCMCIA и т.д.;
- создание замкнутой программной среды;
- способность обнаружения и изоляции вредоносных программ для скрытого удаленного управления;
- развитые функции предотвращения вторжения на узлы сети, персонального межсетевого экрана и защиты от совершенно новых атак;
- контроль утечки информации;
- контроль и предотвращение загрузки с несанкционированных носителей;
- оптимизация использования полосы пропускания Wi-Fi;
- обеспечение доступности критически важных приложений «клиент-сервер» и возможности осуществления транзакций;
- маркирование сетевого трафика;
- интеграцию с системами предотвращения вторжений (Cisco IPS);
- интеграция с системой контроля доступа к сети (Cisco NAC);
- интеграция с системой управления безопасностью (Cisco MARS).
Архитектура системы Cisco Security Agent представлена на рисунке 1. Агенты взаимодействуют с сервером управления и получают от него обновления политик и программного обеспечения.
Рисунок 1: Архитектура системы CSA
Конечные хосты объединяются в группы, для которых применяются политики информационной безопасности. Политики представляют собой наборы модулей правил (см. рисунок 2).
Рисунок 2: Политики, модули, правила в архитектуре CSA
Cisco Security Agent позволяет контролировать действия пользователей в то время, когда они подключены к сети передачи данных, и сервер управления доступен. Но также поддерживается специальный набор состояний, например недоступность менеджмент-центра, в котором для машин применяются специализированные политики доступа.
Второй системой обеспечения информационной безопасности является система контроля доступа к сети передачи данных.
Контроль доступа к сети – Cisco Network Admission Control (NAC)
Cisco NAC Appliance (бывший Cisco Clean Access) - это решение, предназначенное для автоматического обнаружения, изолирования и лечения инфицированных, уязвимых или не соответствующих политике безопасности узлов, осуществляющих проводной или беспроводной доступ к корпоративным ресурсам.
Будучи одним из компонентов технологии Network Admission Control, Clean Access выполнен либо в виде сетевого модуля для маршрутизаторов Cisco ISR (для сетей с количеством контролируемых устройств менее 100), либо в виде отдельного устройства.
Основными возможностями решения Cisco NAC являются:
- независимость от производителя сетевого оборудования (в режиме in-band);
- интеграция с Kerberos, LDAP, RADIUS, Active Directory, S/Ident и другими методами аутентификации;
- поддержка ОС Windows (включая Vista), MacOS, Linux, Xbox, PlayStation 2, КПК, принтеров, IP-телефонов и т. д.;
- поддержка антивирусов CA, F-Secure, Eset, «Лаборатории Касперского», McAfee, Panda, Dr.Web, Sophos, Symantec, TrendMicro и других средств защиты компьютера (всего 250 производителей);
- помещение несоответствующего узла в карантин путем применения списков контроля доступа ACL или VLAN;
- создание "белого" списка узлов для ускорения их доступа к ресурсам сети;
- автоматическая установка отсутствующих обновлений, новых версий средств защиты или актуализация устаревших антивирусных баз;
- централизованное web-управление;
- поддержка русского языка;
- проведение прозрачного аудита.
Архитектура и принцип работы системы Cisco NAC Appliance
Cisco NAC – это программно-аппаратный комплекс для обеспечения внутренней информационной безопасности, который использует сетевую инфраструктуру, применяя политики информационной безопасности и ограничивая сетевой доступ тем устройствам, которые не удовлетворяют требованиям политик информационной безопасности.
Основными функциональными компонентами решения являются - сервер Clean Access Server (CAS) и Clean Access Manager (CAM). CAM отвечает за настройку политик безопасности, а CAS за их выполнение.
Оборудование может устанавливаться в отказоустойчивой конфигурации, при которой выполняется Active/Standby Failover.
На рисунке 3 представлено состояние системы, при котором пользователь находится в специально созданном аутентификационном VLAN из которого пользователю разрешен доступ к DHCP-сервису и другим, в соответствии с политиками, настроенными на CAM.
Рисунок 3: Доступа к сети нет
После того, как пользователь прошел проверку на соответствие политикам информационной безопасности он допускается в сеть путем назначения порта коммутатора в определенный VLAN ( Рисунок 4).
Пользователи могут проходить процедуру аутентификации как при помощи специализированного агента – Cisco Clean Access, который также выполняет сбор информации для проверок, так и при помощи web-аутентификации.
Рисунок 4: Cisco NAC – Доступ к сети разрешен
Логика работы системы складывается из составных частей – проверок, правил и требований, применяемых к каждой конкретной роли пользователей.
Например, можно создать несколько ролей, соотносящихся с отделами компании и для каждой роли настроить определенные требования, выполнение которых становится обязательным условием для доступа в корпоративную среду.
Рисунок 5: Cisco NAC – Логика работы системы
Доступны различные варианты проверок. Можно проверить наличие запущенного приложения на ПК, установку необходимых «заплаток» для операционной системы, версию антивирусных баз и другие проверки.
Система информационной безопасности предполагает обязательное наличие системы мониторинга событий, происходящих в сети. Для этих целей предполагается использовать продукт Cisco Security Monitoring, Analysis and Response System (Cisco MARS).
Cisco Security Monitoring, Analysis and Response System (MARS)
Современные предприятия постоянно сталкиваются с проблемами, связанными с обеспечением информационной безопасности.
Сложность сетевой инфраструктуры влечет за собой увеличение количества средств защиты – этими устройствами могут быть отдельные межсетевые экраны, маршрутизаторы с определенным функционалом программного обеспечения, коммутаторы, различные системы IPS, IDS, HIPS-системы, а также различные антивирусные системы, почтовые прокси-серверы, web-прокси и другие подобные системы.
Большое количество средств защиты рождает проблемы управления, так как возрастает количество контрольных точек, растет количество регистрируемых событий и как следствие увеличивается время необходимое для принятия решений (см. рисунок 6).
Рисунок 6: Процесс принятия решения для предотвращения атаки
В связи с этим для предприятия возникает необходимость в системе более высокого уровня, способной оценить существующий уровень информационной безопасности, произведя регистрацию и корреляцию поступивших в систему событий.
Система мониторинга и реагирования Cisco MARS обеспечивает выполнение данных функций.
Основные возможности Cisco MARS
Cisco MARS представляет собой программно-аппаратное решение в серверном исполнении. Программное обеспечение системы базируется на операционной системе Linux (ядро 2.6). Основным компонентом системы является база данных Oracle, использующаяся для хранения информации.
Cisco MARS имеет возможность сбора информации с различных устройств по протоколам Syslog, SNMP, NetFlow, а также имеет возможность принимать системные лог-файлы.
MARS поддерживает оборудование различных вендоров таких как Cisco, IBM, Check Point, Nokia, Symantec, McAfee, Netscape и других.
Логика работы системы Cisco MARS базируется на запросах к базе данных. Можно выбирать информацию и уточнять её по IP-адресу источника, IP-адресу приемника, портам, типам событий, устройствам, по ключевым словам и так далее.
На базе запросов базируются определенные правила, которые группируются в системе. В базе Cisco MARS содержит более 2000 правил. Можно создавать свои правила, тем самым гибко адаптировать систему к конкретным видам предполагаемых угроз.
После сохранения правила и обнаружения информации, удовлетворяющей данному правилу – формируется инцидент.
Рассматривая работу Cisco MARS можно предложить конкретный пример выполнения атаки на хост (см. рисунок 7).
Рисунок 7: Выполнение атаки на хост
Собран стенд, содержащий Cisco MARS, несколько коммутаторов и ноутбук с установленным продуктом Cisco Security Agent. Для эмулирования атаки выполнено сканирование сервисов хоста при помощи утилиты NMAP.
При этом события выглядят следующим образом:
- Cisco Security Agent зафиксировал сканирование портов;
- Информация об этом попала на менеджмент центр системы Cisco Security Agent, который в свою очередь отправил сообщение на MARS;
- MARS произвел синтаксический разбор и нормализацию полученного сообщения к единому виду, предусмотренному базой данных MARS;
- MARS произвел корреляцию сессий;
- Данное событие было проверено при помощи правил, настроенных на MARS с целью регистрации инцидентов информационной безопасности;
- Произведена проверка на ложное срабатывание;
- Сформирован инцидент и выведена информация администратору.
На главной странице Cisco MARS появилась информация о том, что с сети произошел инцидент информационной безопасности (см. рисунок 8), и показан путь распространения атаки (см. рисунок 9).
Рисунок 8: Отражение информации об атаке в панели Cisco MARS
Рисунок 9: Путь распространения атаки в панели Cisco MARS
При нажатии на кнопку «Toggle Topology» можно увидеть реальную сетевую топологию и посмотреть путь распространения атаки (см. рисунок 10).
Рисунок 10: Сетевая топология пути распространения атаки в панели Cisco MARS
В качестве ответных мер на возникший инцидент Cisco MARS предлагает несколько вариантов предотвращения атаки с привязкой к сетевым устройствам (см. рисунок 11):
Рисунок 11: Ответные меры для предотвращения атаки
Также Cisco MARS имеет гибкую систему отчетов, что позволяет получать детализированные данные по всем зарегистрированным событиям. Это позволяет реализовывать принцип совершенствования защиты (см. рисунок 12).
Рисунок 12: Принцип совершенствования защиты
Пример комплексного решения
Рассмотрим комплексное решение на базе вышеперечисленных продуктов для центрального офиса компании К.
В головном офисе компании К работает 100 сотрудников, состоящих в трех отделах. Для контроля доступа пользователей используется система Microsoft Active Directory.
Необходимо решить следующие задачи:
- обеспечить выполнение политик информационной безопасности, созданных для сотрудников каждого отдела;
- иметь актуальную информацию о программном обеспечении, работающем на конкретных хостах;
- иметь возможность контроля доступа к внешним системам для хостов, находящихся вне корпоративной среды;
- обеспечить доступ к сети на основании заданных политик информационной безопасности;
- обеспечить выполнение заданных проверок для хоста на основании доменной учетной записи пользователя;
- обеспечить мониторинг происходящих в сети событий, а также сбор информации по протоколу NetFlow.
Настройка политик Cisco Security Agent
Для начала определяем права доступа каждой группы пользователей. В соответствии с данными правилами доступа настраиваются доменные права доступа и правила фильтрации на активном сетевом оборудовании.
Можно создать правила сетевого доступа при помощи Cisco Security Agent, но данные правила носят скорее частный характер. Например, можно запретить конкретному пользователю доступ к определенному ресурсу (IP, TCP/IP). В данном примере сетевые правила для CSA не создаются.
В первую очередь для всех групп пользователей в CSA создается политика, делающая невозможным отключение агентского приложения. Данная политика распространяется на всех пользователей, в том числе и на локальных администраторов.
Затем запускается процесс, позволяющий собрать информацию об установленном на компьютерах программном обеспечении – процесс под названием Application Deployment Investigation. В результате получаем отчет (см. рисунок 13).
Рисунок 13: Отчет об установленных приложениях при помощи Cisco Security Agent
В дальнейшем мы можем классифицировать данные приложения, например, выделяя из общего числа офисные приложения, ICQ-клиенты, P2P-приложения, почтовые приложения и так далее. Также при помощи CSA возможно проанализировать поведение конкретного приложения для дальнейшего создания политик информационной безопасности.
Для всех пользователей головного офиса создаются общие правила для всех выявленных приложений. Внедрение выполняется поэтапно – сначала политика ИБ внедряется в режиме аудита, что позволяет контролировать все события, но не влиять на текущие действия пользователей. В дальнейшем доработанная политика переводится в рабочий режим.
Кроме статической классификации приложений в CSA предусматривается динамическая классификация – метод динамических классов. Например, приложение Microsoft Word может быть отнесено к двум классам приложений – локальным и сетевым, и в зависимости от этого к нему могут применяться различные политики безопасности (см. рисунок 14).
Рисунок 14: Динамические классы для классификации приложений
Для антивирусной защиты в CSA предусмотрен встроенный модуль антивируса ClamAV. В случае наличия антивируса, этот модуль можно отключить.
Контроль утечек информации
Для предотвращения утечек конфиденциальной информации в CSA предусмотрен специальный модуль под названием Data Loss Prevention.
При активации данного программного модуля агент CSA сканирует файлы на предмет вхождения конфиденциальной информации. Классификация информации задается вручную на основе шаблонов – scanning tags (см. рисунок 15). Возможно выполнение теневого сканирования, а также сканирования при открытии/закрытии файлов.
Рисунок 15: Классификация конфиденциальной информации
После выполненной классификации необходимо создать и применить политики информационной безопасности для приложений, работающих с данными файлами. Необходимо осуществлять контроль доступа к данным файлам, вывод на печать, передачу на внешние носители, копирование в буфер обмена и другие события. Все это можно сделать, используя стандартные шаблоны и правила, которые предустановленны в Cisco Security Agent.
Настройка Cisco NAC (Clean Access)
Приступая к конфигурированию Cisco NAC необходимо четко представлять себе логику работы данной системы для каждой конкретной группы пользователей.
В случае внедрения в компании К запланировано, что все пользователи сначала будут попадать в единый VLAN (Vlan 110 на рисунке 16). Находясь в данном VLAN, они проходят процедуру аутентификации и проверки на соответствие требованиям политик информационной безопасности. Доступ из данного VLAN к ресурсам корпоративной сети ограничен. На втором уровне модели OSI для пользователей доступен только Clean Access Server. При этом по DHCP пользователи получают IP-адреса из рабочих VLAN, что избавляет от необходимости повторного получения IP-адреса.
Рисунок 16: Аутентификационный VLAN
В случае успешной проверки, пользователь переводится в «рабочий» VLAN (Vlan 10 на рисунке 17). Номер данного VLAN присваивается в соответствии с Organizational Unit (OU), к которому принадлежит данный пользователь в Active Directory. Данный функционал становится возможным благодаря использованию ролей пользователей в системе NAC.
Рисунок 17: Перевод пользователя в «рабочий» VLAN
Для всех пользователей компании К предусматривается настройка требований соответствия последним критично важным обновлениям для операционной системы Windows, а также наличие запущенной Cisco Security Agent.
Рассмотрим, как можно проверить состояние Cisco Security Agent на персональных компьютерах пользователей:
- создается новая проверка (см. рисунок 18);
- затем создается правило (см. рисунок 19);
- создается требование (см. рисунок 20);
- в конечном итоге данное требование применяется к роли пользователей.
Рисунок 18: Создание новой проверки состояния Cisco Security Agent
Рисунок 19: Создание правила для новой проверки состояний Cisco Security Agent
Рисунок 20: Создание требований для новой проверки состояния Cisco Security Agent
В результате выполненной настройки для всех пользователей группы HR, для осуществления доступа к ресурсам сети должно выполняться условие работы Cisco Security Agent.
При помощи Cisco NAC возможно осуществлять проверки актуальности антивирусных баз, состояние сервисов на конечных хостах и другие немаловажные вещи.
Каждый вариант настройки индивидуален, но в тоже время система изначально имеет богатый набор требований, способствующий её быстрому развертыванию.
Настройка Cisco MARS
Cisco Security Agent и Cisco NAC имеют богатую систему предоставления отчетной информации, но для возможности корреляции событий, а также для возможности сбора информации о событиях с различных устройств предлагается использовать систему Cisco MARS.
В качестве базовых настроек системы Cisco MARS можно указать добавление устройств в систему (межсетевые экраны, IPS, IDS, антивирусные системы, почтовые системы и др.), настройку экспорта NetFlow на сервер MARS, а также настройку пользователей.
MARS уже имеет большое количество предустановленных правил (см. рисунок 21), что позволяет максимально быстро ввести систему в эксплуатацию и получать актуальные сведения о состоянии информационной безопасности.
Рисунок 21: Предустановленные правила с Cisco MARS
Для более глубокой настройки требуется в соответствии с прогнозируемыми моделями угроз составлять свои правила, которые будут анализировать поступающую информацию.
При наличии всех необходимых условий, прописанных в правиле, создается инцидент, который можно увидеть на главной панели системы. Также возможна отправка уведомления на электронную почту персонала, обслуживающего Cisco MARS.
Таким образом, Cisco MARS обеспечивает преобразование предоставляемых сетью и системой безопасности необработанных данных о злонамеренной активности в понятную информацию, которая используется для устранения нарушений безопасности при помощи уже существующего в сети оборудования.
Заключение
Рассмотренная комплексная система, решает широкий круг задач, позволяя администраторам в максимально короткие сроки выявлять и устранять нарушения политик безопасности компании.
Использованные для статьи продукты, являются целостными системами и способны работать в отдельности друг от друга, но в объединении данных систем лежит стратегия самозащищающейся сети, способной противостоять новейшим угрозам (zero-day) безопасности.
Забиякин Игорь
Ведущий инженер ООО «НТС» (NTS Ltd.)
Если вы заинтересованы во внедрении продуктов по информационной безопасности от Cisco Systems, то вы можете обратиться к представителям компании NTS.