موضوعات
فایروال فایر پاور سیسکو نسل جدید ابزارهای امنیتی سیسکو
خانواده ابزارهای امنیتی Cisco ASA جهت حفاظت از شبکه های سازمانی و مراکز دادهای با هر وسعتی طراحي شدهاند؛ با استفاده از اين ابزار دسترسی امن کاربران به اطلاعات و منابع شبکه با هر وسیله و از هر مکانی تامين میگردد. فایروال فایر پاور Cisco ASA با بیش از 15 سال سابقه در مهندسی امنیت شبکه های کامپیوتری و استقرار بیش از یک میلیون ابزار امنیتی در سراسر جهان، یکی از پیشروان در تامین امنیت شبکه های کامپیوتری بشمار ميرود.
فایروال فایر پاور
ابزارهای امنیتی به شکل سنتی بر روی تامین دید مناسب نسبت به رخدادهای داخل شبکه و عدم پذیرش ترافیک مخرب در ورودی ها، متمرکز هستند.
هيچگاه حملات پیشرفته توسط افراد سودجو از یک نقطه ورود و در یک زمان رخ نخواهد داد؛ چنین افرادی عمدتا از تدابیر پیشرفته همچون رمزگذاری ترافیک شبکه، حملات zero-day، C&C ،Lateral Movements و تکنیک های گریز از شناسایی بهره ميگيرند.
شرکت سیسکو جامع ترین شرکت در ارائه محصولات و سرویس های امنیتی جهت محافظت در برابر حملات پیشرفته است، اين محصولات و راهکارها به منظور مشاهده، سیاستگذاری و حفاظت پیشرفته شبکه در مقابل حملات طراحي شده اند. در این فصل به مباحث ذیل، راهکارها و محصولات امنیتی جدید شرکت سیسکو پرداخته شده است:
- چشمانداز تهدیدهای امنیتی جدید و زنجیره حمله ها
- نسل جدید فایروالهای شرکت سیسکو سری ASA 5500-X و Cisco ASA with FirePOWER
1.1. چشمانداز تهدیدهای امنیتی جدید و زنجیره حمله ها
مقابله با حمله های سایبری روزبه روز پیچیده تر و سخت تر میشود؛ امروزه اقتصاد کیفری پرسود، کارآمد با تغییرات سریع در نتيجه تهدیدات صورت گرفته نسبت به کاربران، بنگاه های اقتصادی، فراهم کنندگان سرویس و دولت ها به وجود آمده است.
جرایم اینترنتی سازمان یافته و فرصت هاي پيش آمده جهت سوء استفاده از ضعف های امنیتی موجود در شبکه ها موجب جهش و ارتقای چنین اقتصاد پرمنفعتی شده است، امروزه افراد سودجو آگاهی کامل از اصول تکنولوژی های امنیتی و نقاط ضعف آنها دارند، در ضمن به دنبال راهکارهایی برای عبور از اين تدابیر امنیتی هستند.
مهاجمان از تکنولوژیهای ذیل جهت نفوذ به شبکه ها استفاده میکنند:
- Port & Protocol Hopping
- Encryption (رمزگذاری)
- Droppers
- Social Engineering( مهندسی اجتماعی)
- Zero-day attacks
شکل 1-1 معماری راهکارهای امنیتی امروزی را نشان میدهد.
فایروال فایر پاور
ضروري است نسل جدید راهکارهای امنیتی داراي شرایط و مشخصات زیر باشند:
- رویت پذیر بودن: راهکارهای دفاعی میبایست قابلیت دید کامل نسبت به شبکه و جمع آوری اطلاعات از تمام Attack Vectors بالقوه در پیکربندی شبکه، نقاط انتهایی شبکه (شامل ابزارهای سیار)، دروازههای ایمیل و وب، ماشینهای مجازی در دیتاسنترها و ابر را فراهم آورند.
- تمرکز بر روی تهدیدها: مدیران امنیتی شبکه ها میبایست ارتباط میان اطلاعات جمع آوری شده به وسیله IOC و سایر شواهد و قرائن را به منظور انجام بهترين اقدام و تصمیم گیری در نظر داشته باشند.
- حفاظت از شبکه ها، در مقابل تهدیدهایی که دائما در حال تغییر و تکامل هستند تقریبا غیرممکن است، اگرچه کنترل دسترسی ها تا حد زیادی تعداد حملات را کاهش میدهد ليكن همچنان احتمال نفوذ به شبکه توسط هکرها وجود دارد.
- ضروری است تکنولوژیها و راهکارهای امنیتی بر روی درک، تشخیص و مسدود کردن حملات متمرکز باشند؛ اين راهکارها به منظور بهبود كارايي مستلزم تحلیل مداوم و هوش امنیتی بدست آمده از ابر به اشتراک گذاشته شده در تمامی محصولات ميباشد.
- بستر محور: ( (پلت فرم)): امروزه امنیت نیازمند سیستم یکپارچهای از بسترهای سریع و باز، در بر دارنده تمام شبکه، نقاط انتهایی، کاربران و ابر ميباشد. چنین بستری به منظور سازگاری پیکربندی دستگاهها میبایست مقیاسپذیر و با قابلیت مدیریت متمرکز باشد.
- زنجیره حمله ها
یک متخصص امنیتی همواره باید حقیقت روبرو شدن با حمله و آلوده شدن ابزارهای شبکه خود را در نظر داشته باشد. مناسب به نظر ميرسد تکنولوژیها و پردازشهای امنیتی علاوه بر توانایی شناسایی حمله، قابلیت کاهش اثرات ناشی از یک حمله موفق را نیز داشته باشند. شکل 2-1 زنجیره حمله ها را نشان میدهد.
شكل شماره 2-1: زنجیره حمله ها
نسل جدید محصولات امنیتي، شبکه ها را در مدت حمله حفاظت میکنند، که در محصولات همچون Cisco ASA with FirePOWER services، موجود در محصولات سري ASA 5500-X و ASA 5585-X، FTD، Cisco AMP قابلیت شناسایی تهدیدها و اجرای سیاستگذاریهای امنیتی سختگیرانه تر قبل از حمله را ارائه میدهد.
به علاوه امکان شناسایی، مسدود کردن، دفاع در مقابل تهدیدهاي به وجود آمده توسط NGIPS، امنیت ایمیل و ابزارهای تامین امنیت وب با AMP فراهم شده است. این راهکارها قابلیتهای جلوگیری از تهدیدها و کاهش تلفات از دست رفتن اطلاعات و تخریب شبکه ها را فراهم می آورند.
- نکته
تفاوت Firepower و FirePOWER چیست؟
شرکت سیسکو در هنگام استناد به ماژول Cisco ASA FirePOWER Services از حروف بزرگ استفاده کرده است، ليكن در زمان اشاره به FTD از حروف کوچک استفاده کرده است.
1.2.نسل جدید فایروالهای شرکت سیسکو سری ASA 5500-X وCisco ASA with FirePOWER Services
عليرغم وجود اختلاف در مقياس و اشكال اعضای خانواده سیسکو ASA، قابلیت های مشابهی را ارائه میدهند و نقطه تمایز آن ها در این مساله است که مدلهای با ظرفیت پایین تر خروجی کمتری را ارائه میدهند.
اصلیترین مدل مستقل با شماره 55 آغاز میشود ولی ابزارهای دیگری از مدلهای سیسکو ASA همچون 6500 وجود دارد که در سوییچ ها قرار میگیرند. جدول 1-1 مدل های مختلف سیسکو ASA را توصیف میکند.
جدول 1-1: مدلهای مختلف سیسکو ASA
| مدلهای مختلف سری سیسکو ASA | كاربرد |
| Cisco ASA 5505 | دفاتر کوچک و شعب ادارات |
| Cisco ASA 5506-X, Cisco ASA 5506W-X,Cisco ASA 5506H-X | دفاتر کوچک و شعب ادارات |
| Cisco ASA 5508-X | دفاتر کوچک و شعب ادارات |
| Cisco ASA 5512-X | دفاتر کوچک و شعب ادارات |
| Cisco ASA 5515-X | دفاتر کوچک و شعب ادارات |
| Cisco ASA 5516-X | ادرات با مقياس متوسط و یا ابزارهای امنیتی نقاط انتهایی اتصال به اینترنت |
| Cisco ASA 5525-X | ادرات با مقياس متوسط و یا ابزارهای امنیتی نقاط انتهایی اتصال به اینترنت |
| Cisco ASA 5545-X | ادرات با مقياس متوسط و یا ابزارهای امنیتی نقاط انتهایی اتصال به اینترنت |
| Cisco ASA 5555-X | ادرات با مقياس متوسط و یا ابزارهای امنیتی نقاط انتهایی اتصال به اینترنت |
| Cisco ASA 5585-X | دیتاسنترها و بنگاههای اقتصادی بزرگ |
| Cisco ASA Services Module | دیتاسنترها و بنگاههای اقتصادی بزرگ |
| Cisco ASAv | ASA مجازی |
خانواده سیسکو ASA، مجموعه جامعی از نسل جدید قابلیتهای امنیتی را ارائه میدهد. به عنوان مثال، قابلیت فیلترینگ بسته ها (كه به وسیله پیکربندی همچنین خانواده سیسکو ASA،امکان بازبینی هوشمند نرمافزار را فراهم می کند و قابلیت هایی چون Application Inspection، امکان listen هم زمان هر دو سمت فایروال را فراهم مي آورد.
مزیت شنود دو طرفه این است که فایروال امکان تمرکز بیشتر بر روی اطلاعات لایه 7 را خواهد داشت.
خانواده Cisco ASA، قابليت های دیگری از جمله NAT، DHCP برای سرور یا کلاینت و یا هردو، بسیاری پروتکل های روتینگ داخلی همچون RIP، EIGRP، OSPF و سایر روتینگ های استاتیک را پشتیبانی میکند.
تجهیزات سیسکو ASA را به دو روش میتوان پیاده سازی کرد؛ به شکل لایه 3 همانند شکل سنتی فایروال ها که به هر يك از واسط های قابل روتینگ آدرس IP مجزایی اختصاص داده میشود و یا به صورت لایه 2 (Transparent Firewall)، که در این حالت واسط فیزیکی حقیقی آدرس IP مجزایی نخواهد داشت
بلکه ارتباط یک جفت واسط با يكديگر مانند یک bridge عمل میکند؛ ترافیک عبوری از این Bridge دو پورته، نیز از نظارتها و قوانین پیاده سازی شده در ASA تبعیت میکند.علاوه بر این سیسکو ASA می تواند به عنوان head-end یا remote-end در هر دو نوع VPN ( remote-access VPN و site-to-site VPN) استفاده می شود
سری سیسکو ASA، VPN شامل :
IPsec و SSL-based remote-access را پشتیبانی می کند که SSL VPN شامل clientless SSL VPN و AnyConnect SSL VPN tunnels است.
سری سیسکو ASA قابلیت فیلترینگ Botnet را نیز دارد، botnet مجموعه ای از سیستم ها است که در معرض خطر سو استفاده افرادی که قصد در دست گرفتن کنترل مرکزی آن را دارند، قرار گرفته است( به عنوان مثال 200،000 سیستم قصد ارسال پیغام Ping به آدرس مشخصی را دارند که موجب اختلال در آن سرور خواهد شد)
اغلب کاربران این سیستم ها از مشارکت سیستم خود در یک حمله هماهنگ بی اطلاع هستند.
ابزار ASA با یک سیستم در سیسکو در ارتباط است که دیتابیس کاملی از نحوه فیلترینگ ترافیک Botnet و جلوگیری از این حملات ارایه می دهد.
شرکت سیسکو ماژول ASA FIREPOWER را به عنوان بخشی از پروژه یکپارچه سازی تکنولوژی Sourcefire مطرح کرده است.
- نکته
سیسکو شرکت Sourcefire را خریداری و سهام آن را توسعه داد سیسکو ASA FirePOWER قابلیت های فیلترینگ URL، NGIPS، AVC و AMP را دارد، این ماژول به صورت مستقل از نرم افزار سیسکو ASA نصب می شود، که می تواند به صورت ماژول سخت افزاری در سری ASA 5585-X و یا ماژول نرم افزاری در یک حافظه SSD در سایر مدل ها نصب شود.
ماژول سیسکو ASA FirePOWER را می توان توسط FMC که قبلا با نام FireSIGHT Management Center شناخته می شد مدیریت کرد، FMC و ماژول سیسکو ASA FirePOWER هریک لایسنس های متفاوتی نیاز دارند
در تمام مدل های سیسکو ASA به جز 5506-X ، 5508-X و 5516-X لایسنس در ماژول FirePOWER نصب می شود و لایسنس دیگری نیاز ندارد، سرویس های FirePOWERدر سری 5506-X ، 5508-X و 5516-X را می توان از طریق ASDM مدیریت و لایسنس بر روی آن نصب می شود، در تمامی ابزارهای ASA که توسط ASDM مدیریت می شوند لایسنس بر روی آن نصب می شود.
1.3. سیسکو FTD چیست ؟
سیسکو FTD نرم افزار یکپارچه ای از مشخصات سیسکو ASA ، سرویس های FirePOWER و سایر مشخصات جدید اضافه شده است. FTD را می توان در سیسکو Firepower 4100 و 9300 به منظور ارایه سرویس های NGFW مستقر کرد
علاوه بر این برای اینکه امکان اجرای سیسکو Firepower 4100 و Firepower 9300 وجود داشته باشند، می بایست به صورت اختصاصی در سری های ASA 5506-X,5506H-X, 5506W-X, 5508-X, 5512-X, 5515-X, 5516-X،5525-X, ASA 5545-X و 5555-X اجرا شود و سری های 5505 و یا 5585-X از این قابلیت برخوردار نیستند.
Cisco Firepower 4100 Series
سیسکو Firepower 4100 نسل جدید فایروال های سیسکو شامل نرم افزار FTD و سایر قابلیت های آن است، که در چهار مدل زیر وجود دارد:
- سیسکو Firepower 4110 که تا 20Gbps خروجی فایروال آن است.
- سیسکو Firepower 4120 که تا 40Gbps خروجی فایروال آن است.
- سیسکو Firepower 4140 که تا 60Gbps خروجی فایروال آن است.
- سیسکو Firepower 4150 که تا 60Gbps خروجی فایروال آن است.
کلیه ابزارهای سری سیسکو Firepower 4100 به صورت 1 RU نصب و به وسیله FMC مدیریت می شوند.
Cisco Firepower 9300 Series یا فایروال فایرپاور سیسکو سری 9300
سری سیسکو Firepower 9300 به منظور استفاده در بنگاه های اقتصادی بزرگ و یا فراهم کنندگان سرویس طراحی شده است، در مقیاس فراتر از 1Tbps و به صورت modular طراحی شده اند، قابلیت پشتیبانی از نرم افزارهای سیسکو ASA، FTD و Radware DefensePro DDoS mitigation را دارند.
- نکته
نرم افزار Radware DefensePro DDoS mitigation در ابزارهای سری سیسکو Firepower 4150 و Firepower 9300 وجود دارد.
نرم افزار Radware DefensePro DDoS mitigation تحلیل در لحظه ای جهت محافظت از شبکه در مقابل حملات DDoS ارایه می دهد.
https://payehrizan.com/asa-firepower/
