سیسکو, Firewall

مروری بر فایروال فایر پاور سیسکو

مروری بر فایروال فایر پاور
رای بدهید

فایروال فایر پاور سیسکو  نسل جدید ابزارهای امنیتی سیسکو

خانواده ابزارهای امنیتی Cisco ASA جهت حفاظت از شبکه ­های سازمانی و مراکز داده­ای با هر وسعتی طراحي شده­اند؛ با استفاده از اين ابزار دسترسی امن کاربران به اطلاعات و منابع شبکه با هر وسیله و از هر مکانی تامين می­گردد. فایروال فایر پاور Cisco ASA  با بیش از 15 سال سابقه در مهندسی امنیت شبکه­ های کامپیوتری و استقرار بیش از یک میلیون ابزار امنیتی در سراسر جهان، یکی از پیشروان در تامین امنیت شبکه‌های کامپیوتری بشمار مي­رود.

 فایروال فایر پاور

فایروال فایر پاور

ابزارهای امنیتی به شکل سنتی بر روی تامین دید مناسب نسبت به رخدادهای داخل شبکه و عدم پذیرش ترافیک مخرب در ورودی­‌ها، متمرکز هستند. هيچگاه حملات پیشرفته توسط افراد سودجو از یک نقطه ورود و در یک زمان رخ نخواهد داد؛ چنین افرادی عمدتا از تدابیر پیشرفته همچون رمزگذاری ترافیک شبکه، حملات zero-day، C&C ،Lateral Movements  و تکنیک ­های گریز از شناسایی بهره مي­گيرند. شرکت سیسکو جامع­ ترین شرکت در ارائه محصولات و سرویس­ های امنیتی جهت محافظت در برابر حملات پیشرفته است، اين محصولات و راهکارها به منظور مشاهده، سیاست­‌گذاری و حفاظت پیشرفته شبکه در مقابل حملات طراحي شده­‌اند. در این فصل به مباحث ذیل، راهکارها و محصولات امنیتی جدید شرکت سیسکو پرداخته شده است:

  • چشم­انداز تهدیدهای امنیتی جدید و زنجیره حمله ­ها
  • نسل جدید فایروال­های شرکت سیسکو سری ASA 5500-X و Cisco ASA with FirePOWER

1.1.  چشم­‌انداز تهدیدهای امنیتی جدید و زنجیره حمله‌­ها

مقابله با حمله‌­های سایبری روزبه ­روز پیچیده ­تر و سخت ­تر می‌­شود؛ امروزه اقتصاد کیفری پرسود، کارآمد با تغییرات سریع در نتيجه تهدیدات صورت گرفته نسبت به کاربران، بنگاه­‌های اقتصادی، فراهم­ کنندگان سرویس و دولت‌ها به وجود آمده است. جرایم اینترنتی سازمان­ یافته و فرصت­‌هاي پيش­ آمده جهت سوء ­استفاده از ضعف­‌های امنیتی موجود در شبکه­‌ها موجب جهش و ارتقای چنین اقتصاد پرمنفعتی شده است، امروزه افراد سودجو آگاهی کامل از اصول تکنولوژی‌های امنیتی و نقاط ضعف آن­‌ها دارند، در ضمن به دنبال راهکارهایی برای عبور از اين تدابیر امنیتی هستند.

مهاجمان از تکنولوژی­‌های ذیل جهت نفوذ به شبکه‌­ها استفاده می­کنند:

  • Port & Protocol Hopping
  • Encryption (رمزگذاری)
  • Droppers
  • Social Engineering( مهندسی اجتماعی)
  • Zero-day attacks

معماری راهکارهای امنیتی

معماری راهکارهای امنیتی

ضروري است نسل جدید راهکارهای امنیتی داراي شرایط و مشخصات زیر باشند:

– رویت­ پذیر بودن:

راهکارهای دفاعی می­بایست قابلیت دید کامل نسبت به شبکه و جمع ­آوری اطلاعات از تمام Attack Vectors بالقوه در پیکربندی شبکه، نقاط انتهایی شبکه (شامل ابزارهای سیار)، دروازه­های ایمیل و وب، ماشین­های مجازی در دیتاسنترها و ابر را فراهم آورند.

– تمرکز بر روی تهدیدها:

مدیران امنیتی شبکه­‌ها می­بایست ارتباط میان اطلاعات جمع ­آوری شده به وسیله IOC و سایر شواهد و قرائن را به منظور انجام بهترين اقدام و تصمیم ­گیری در نظر داشته باشند.

– حفاظت از شبکه ­ها:

در مقابل تهدیدهایی که دائما در حال تغییر و تکامل هستند تقریبا غیرممکن است، اگرچه کنترل دسترسی­‌ها تا حد زیادی تعداد حملات را کاهش می‌­دهد ليكن همچنان احتمال نفوذ به شبکه توسط هکرها وجود دارد. ضروری است تکنولوژی­‌ها و راهکارهای امنیتی بر روی درک، تشخیص و مسدود کردن حملات متمرکز باشند؛ اين راهکارها به منظور بهبود كارايي مستلزم تحلیل مداوم و هوش امنیتی بدست آمده از ابر به اشتراک گذاشته شده در تمامی محصولات مي­باشد.

– بستر محور: ( (پلت فرم)):

امروزه امنیت نیازمند سیستم یکپارچه‌ه­ای از بسترهای سریع و باز، در بر دارنده تمام شبکه، نقاط انتهایی، کاربران و ابر مي­‌باشد. چنین بستری به منظور سازگاری پیکربندی دستگاه‌­ها می­بایست مقیاس‌­پذیر و با قابلیت مدیریت متمرکز باشد.

– زنجیره حمله‌ها

یک متخصص امنیتی همواره باید حقیقت روبرو شدن با حمله و آلوده شدن ابزارهای شبکه خود را در نظر داشته باشد. مناسب به نظر مي­رسد تکنولوژی­‌ها و پردازش­‌های امنیتی علاوه بر توانایی شناسایی حمله، قابلیت کاهش اثرات ناشی از یک حمله موفق را نیز داشته باشند. شکل 2-1 زنجیره حمله‌ها را نشان می­دهد.

زنجیره حمله‌­ها

زنجیره حمله‌­ها

نسل جدید محصولات امنیتي، شبکه­ ها را در مدت حمله حفاظت می­کنند، که در محصولات همچون Cisco ASA with FirePOWER services، موجود در محصولات سري ASA 5500-X و   ASA 5585-X، FTD، Cisco AMP قابلیت شناسایی تهدیدها و اجرای سیاست­‌گذاری­‌های امنیتی سخت‌گیرانه تر قبل از حمله را ارائه می­دهد. به علاوه امکان شناسایی، مسدود کردن، دفاع در مقابل تهدیدهاي به وجود آمده توسط NGIPS، امنیت ایمیل و ابزارهای تامین امنیت وب با AMP فراهم شده است. این راهکارها قابلیت‌­های جلوگیری از تهدیدها و کاهش تلفات از دست رفتن اطلاعات و تخریب شبکه­ ها را فراهم می­ آورند.

تفاوت Firepower  و FirePOWER چیست؟

شرکت سیسکو در هنگام استناد به ماژول Cisco ASA FirePOWER Services از حروف بزرگ استفاده کرده است، ليكن در زمان اشاره به FTD از حروف کوچک استفاده کرده است.

1.2.نسل جدید فایروال‌­های شرکت سیسکو سری ASA 5500-X وCisco ASA with FirePOWER Services

عليرغم وجود اختلاف در مقياس و اشكال اعضای خانواده سیسکو ASA، قابلیت های مشابهی را ارائه می‌­دهند و نقطه تمایز آن‌ها در این مساله است که مدل­‌های با ظرفیت پایین تر خروجی کمتری را ارائه می­‌دهند. اصلی­ترین مدل مستقل با شماره 55 آغاز می­شود ولی ابزارهای دیگری از مدل‌­های سیسکو ASA  همچون 6500 وجود دارد که در سوییچ ­ها قرار می­گیرند. جدول 1-1 مدل­ های مختلف سیسکو ASA را توصیف می­کند.

جدول 1-1: مدل­‌های مختلف سیسکو ASA

مدل­های مختلف سری سیسکو ASA كاربرد
Cisco ASA 5505 دفاتر کوچک و شعب ادارات
Cisco ASA 5506-X, Cisco ASA 5506W-X,Cisco ASA 5506H-X دفاتر کوچک و شعب ادارات
Cisco ASA 5508-X دفاتر کوچک و شعب ادارات
Cisco ASA 5512-X دفاتر کوچک و شعب ادارات
Cisco ASA 5515-X دفاتر کوچک و شعب ادارات
Cisco ASA 5516-X ادرات با مقياس متوسط و یا ابزارهای امنیتی نقاط انتهایی اتصال به اینترنت
Cisco ASA 5525-X ادرات با مقياس متوسط و یا ابزارهای امنیتی نقاط انتهایی اتصال به اینترنت
Cisco ASA 5545-X ادرات با مقياس متوسط و یا ابزارهای امنیتی نقاط انتهایی اتصال به اینترنت
Cisco ASA 5555-X ادرات با مقياس متوسط و یا ابزارهای امنیتی نقاط انتهایی اتصال به اینترنت
Cisco ASA 5585-X دیتاسنترها و بنگاه­های اقتصادی بزرگ
Cisco ASA Services Module دیتاسنترها و بنگاه­های اقتصادی بزرگ
Cisco ASAv ASA مجازی

قابلیت‌های جدید سیسکو ASA

خانواده سیسکو ASA، مجموعه جامعی از نسل جدید قابلیت‌­های امنیتی را ارائه می­‌دهد. به عنوان مثال، قابلیت فیلترینگ بسته‌ها (كه به وسیله پیکربندی همچنین خانواده سیسکو ASA،امکان بازبینی هوشمند نرم­افزار را فراهم می‌کند  و قابلیت هایی چون  Application Inspection، امکان listen  هم زمان هر دو سمت فایروال را فراهم مي­‌آورد.  مزیت شنود دو طرفه این است که فایروال امکان تمرکز بیشتر بر روی اطلاعات لایه 7  را خواهد داشت. خانواده Cisco ASA، قابليت‌های دیگری از جمله NAT، DHCP برای سرور یا کلاینت و یا هردو، بسیاری پروتکل­ های روتینگ داخلی همچون RIP، EIGRP، OSPF و سایر روتینگ­ های استاتیک را پشتیبانی می­کند. تجهیزات سیسکو ASA را به دو روش می­توان پیاده­ سازی کرد؛ به شکل لایه 3 همانند شکل سنتی فایروال­‌ها که به هر يك از واسط­‌های قابل روتینگ آدرس IP مجزایی اختصاص داده می­‌شود و یا به صورت لایه 2 (Transparent Firewall)، که در این حالت واسط فیزیکی حقیقی آدرس IP مجزایی نخواهد داشت بلکه ارتباط یک جفت واسط با يكديگر مانند یک bridge عمل می­کند؛ ترافیک عبوری از این Bridge دو پورته، نیز از نظارت­ها و قوانین پیاده­ سازی شده در ASA تبعیت می‌­کند. علاوه بر این سیسکو ASA می‌تواند به عنوان head-end یا remote-end در هر دو نوع VPN ( remote-access VPN و site-to-site VPN) استفاده می‌شود.

سری سیسکو ASA، VPN شامل :

IPsec و SSL-based remote-access را پشتیبانی می‌کند که SSL VPN شامل clientless SSL VPN و AnyConnect SSL VPN tunnels است. سری سیسکو ASA قابلیت فیلترینگ Botnet را نیز دارد، botnet مجموعه ای از سیستم‌ها است که در معرض خطر سو استفاده افرادی که قصد در دست گرفتن کنترل مرکزی آن را دارند، قرار گرفته است( به عنوان مثال 200،000 سیستم قصد ارسال پیغام Ping به آدرس مشخصی را دارند که موجب اختلال در آن سرور خواهد شد) اغلب کاربران این سیستم ها از مشارکت سیستم خود در یک حمله هماهنگ بی اطلاع هستند.  ابزار ASA با یک سیستم در سیسکو در ارتباط است که دیتابیس کاملی از نحوه فیلترینگ ترافیک Botnet و جلوگیری از این حملات ارایه می‌دهد. شرکت سیسکو ماژول ASA FIREPOWER را به عنوان بخشی از پروژه یکپارچه سازی تکنولوژی Sourcefire مطرح کرده است.

نکته مهم در این خصوص:

سیسکو شرکت Sourcefire  را خریداری و سهام آن را توسعه داد سیسکو ASA FirePOWER قابلیت‌های فیلترینگ URL، NGIPS، AVC و AMP را دارد، این ماژول به صورت مستقل از نرم افزار سیسکو ASA نصب می‌شود، که می تواند به صورت ماژول سخت افزاری در سری ASA 5585-X و یا ماژول نرم افزاری در یک حافظه SSD در سایر مدل‌ها نصب شود. ماژول سیسکو ASA FirePOWER را می‌توان توسط FMC که قبلا با نام FireSIGHT Management Center شناخته می شد مدیریت کرد، FMC و ماژول سیسکو ASA FirePOWER هریک لایسنس‌های متفاوتی نیاز دارند در تمام مدل های سیسکو ASA به جز 5506-X ، 5508-X و 5516-X لایسنس در ماژول FirePOWER نصب می شود و لایسنس دیگری نیاز ندارد، سرویس‌‌های  FirePOWERدر سری  5506-X ، 5508-X و 5516-X را می توان از طریق ASDM مدیریت و لایسنس بر روی آن نصب می شود، در تمامی ابزارهای ASA که توسط ASDM مدیریت می‌شوند لایسنس بر روی آن نصب می‌شود.

1.3. سیسکو FTD چیست ؟

سیسکو FTD نرم افزار یکپارچه ای از مشخصات سیسکو ASA ، سرویس‌های FirePOWER و سایر مشخصات جدید اضافه شده است. FTD را می‌توان در سیسکو Firepower 4100  و 9300 به منظور ارایه سرویس های NGFW مستقر کرد علاوه بر این برای  اینکه  امکان اجرای سیسکو Firepower 4100 و Firepower 9300 وجود داشته باشند، می‌بایست به صورت اختصاصی در سری‌های ASA 5506-X,5506H-X, 5506W-X, 5508-X, 5512-X, 5515-X, 5516-X،5525-X, ASA 5545-X و 5555-X اجرا شود و سری های 5505  و یا 5585-X از این قابلیت برخوردار نیستند.

Cisco Firepower 4100 Series

سیسکو Firepower 4100 نسل جدید فایروال‌های سیسکو شامل نرم افزار FTD و سایر قابلیت‌های آن است، که در چهار مدل زیر وجود دارد:

  • سیسکو Firepower 4110 که تا 20Gbps خروجی فایروال آن است.
  • سیسکو Firepower 4120 که تا 40Gbps خروجی فایروال آن است.
  • سیسکو Firepower 4140 که تا 60Gbps خروجی فایروال آن است.
  • سیسکو Firepower 4150 که تا 60Gbps خروجی فایروال آن است.

کلیه ابزارهای سری سیسکو Firepower 4100 به صورت 1 RU نصب و به وسیله FMC مدیریت می‌شوند.

Cisco Firepower 9300 Series یا فایروال فایرپاور سیسکو سری 9300

سری سیسکو Firepower 9300 به منظور استفاده در بنگاه‌های اقتصادی بزرگ و یا فراهم کنندگان سرویس طراحی شده است، در مقیاس فراتر از 1Tbps و به صورت modular طراحی شده اند، قابلیت پشتیبانی از نرم افزارهای سیسکو ASA، FTD و Radware DefensePro DDoS mitigation را دارند.

  • نرم افزار Radware DefensePro DDoS mitigation  در ابزارهای سری سیسکو Firepower 4150 و Firepower 9300 وجود دارد.
  • نرم افزار Radware DefensePro DDoS mitigation تحلیل در لحظه‌ای جهت محافظت از شبکه در مقابل حملات DDoS ارایه می‌دهد.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای فایر پاور سیسکو را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید.

مقالات مرتبط

محصولات مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دوازده + نوزده =