TecnologiasNecesarias I Wmontene

Tecnologías Necesarias (Parte• I)

Walter Montenegro, Systems Engineer

[email protected]

Mayo - 2012

Agenda

• Introducción al enfoque de seguridad de Cisco

• Soluciones de Seguridad

• Seguridad en la Red y las Dependencias

• Seguridad en el Control de Acceso

• Seguridad Web

• Seguridad Web en la Nube

• Seguridad en el Correo Electrónico

• Gestión y Administración Centralizada

• Aplicaciones al PMG - SSI

2Gobierno de Chile | Ministerio del Interior

Desafíos de Seguridad

¿Cómo aseguramos?Cualquier dispositivo, no importando el lugar

Nuevas aplicaciones de colaboración y redes sociales

Datos en la nube

Data center y virtualización

Contra el aumento de nuevas y complejas amenazas

Gobierno de Chile | Ministerio del Interior 3

Preocupaciones de Seguridad en Gobierno

Avanzadas y continuas amenazas & Cyber-espionaje.

Masivos intentos, diariamente de vulnerar la infraestructura de gobierno.

Ataques a infraestructura crítica y sistemas de control..

Protección a información y datossensibles, incluyendo la protecciónde acceso y prevención de fuga de información.

Cumplimientos de Leyes y Normativas – PMG SSI

Requiere un Nuevo Enfoque de Seguridad

Un desafío multidimensional


La Necesidad de un Nuevo Enfoque de Seguridad

Cambio gradual de enfoque de seguridad, a uno

basado en arquitectura.

Movimiento de seguridad basado en infraestructura

física a la aplicación en entornos virtuales.

Seguridad habilitada para cualquier usuario,

dispositivo y tipo de acceso (cableado, wireless,

móvil y remoto).

Proporcionar mayor visibilidad y control, habilitando

los cumplimientos internos y externos.


Arquitectura de Cisco SecureX

Administracion Servicios Socios

ControlVisibilidad Contexto

Red

NubeIntegrado Superpuesto

Cumplimiento sensible al contexto

Políticas sensibles al Contexto

Tru

stS

ec

An

yCo

nn

ect

Nex

us

1K

y R

edes

co

nec

tad

asa

la N

ub

e

Cisco SIO – Inteligencia de Amenazas

Tru

stS

ec


Cisco SecureX

Seguridad sensible al contexto con el objeto de

estar alineados con las necesidades del “negocio”

Aplicación de políticas de seguridad consistentes a

través de la red – desde cualquier endpoint hacia el

Data Center y la Nube

Inteligencia global de Seguridad (SIO), protegiendo

contra amenazas de “siguiente generación”

Enfoque de seguridad basado en arquitectura



Soluciones de Seguridad

Seguridad en laRed y las

Dependencias

Seguridad deAcceso

SeguridadMóvil

Soluciones de Seguridad de Cisco

Seguridad enData Center

y la Nube

• Firewall

• IPS

• VPN

• Administración Segura

• Router & Switch –

seguridad integral

• Módulos de Seguridad

• Adm. de Políticas

• 802.1x

• ISE

• Análisis de Posture

• Perfilamiento

• Servicios de Identidad

• Confidencialidad

• VPN

• Seguridad en clientes

móviles

• Wireless IPS

• Trabajador Remoto

• Oficina Virtual

• Seguridad Móvil

• Seguridad en el

Correo Electrónico

• Seguridad en la Web

• Seguridad en

servicios basado en

la Nube

Inteligencia en Amenazas: SIO

Extenso sistema de análisis

de amenazas – Protección

combinadas contra

amenazas.

700K+ Sensores Globales

5 Billion Peticiones Web/Día

35% del tráfico mundial de

correo electrónico

Reputación, Spam,

Malware y Análisis de

categorías Web, y

clasificación de

aplicaciones.

SOLUCIÓN DE CISCO

ISPs, Partners,

Sensores

IPS ASA WSA

SIO Inteligencia GlobalInvestigadores, Analistas, Desarrolladores

ESA

Boletines de

Mitigación

Investigadores,

Analistas,

Desarrolladores

ESA

Cisco AnyConnect

Inteligencia en Amenazas – Visión Global


Seguridad en la RED y Dependencias


Firewalls: Nueva gama – Rango Medio Cisco ASA

5 nuevos modelos para diferentes demandas de throughput

ASA 5512-X1 Gbps Firewall

Throughput

ASA 5515-X1.2 Gbps Firewall

Throughput


Throughput


Throughput


Throughput

1. Multi-Gig PerformancePara satisfacer las crecientes demandas

de crecimiento.

2. Aceleración para los

servicios IntegradosNo requiere de hardware adicional

Para soportar cambios en el “negocio”

3. Plataforma habilitadas para

servicios de Nex-Gen FWPara proveer protección a la inversión.


Soluciones Integrales desde SOHO hasta Data Center

Multi-Service

(Firewall/VPN and IPS)

Pe

rfo

rma

nce

an

d S

ca

lab

ility

Data CenterCampusBranch Office Internet Edge

ASA 5585-X SSP-20(10 Gbps, 125K cps)



ASA 5585-X SSP-10(4 Gbps, 50K cps)ASA 5555-X

(4 Gbps,50K cps)

NEWASA 5545-X (3 Gbps,30K cps)

NEWASA 5525-X

(2 Gbps,20K cps)

NEWASA 5512-X

(1 Gbps, 10K cps)

NEW

ASA 5515-X (1.2 Gbps,15K cps)

NEW

ASA 5510

(300 Mbps, 9K cps)

ASA 5510 +

(300 Mbps, 9K cps)

ASA 5520

(450 Mbps, 12K cps)

ASA 5540

(650 Mbps, 25K cps)

ASA 5550

(1.2 Gbps, 36K cps)

Firewall/VPN Only

SOHO

ASA 5505 (150 Mbps, 4K cps)

Portafolio de Firewalls – Cisco ASA 5500

ASA Mid-Range Appliances de siguiente generación


Procesador 64Bit Multi-Core

Hasta16GB de Memoria

Incorpora Hardware Aceleradorcriptográfico Multi-Core

Hardware dedicado para IPS

Tarjeta Aceleradora

Hasta14 1GE Ports

Opciones de I/O en Cobre & Fibra

Servicios: Firewall, VPN & IPS

Puerto OOB dedicado de Administración

Performance

Densidad

Flexibilidad

Servicios integrados

Administración Consolidada

Características ASA 5500-X

Beneficios al Cliente

Una mirada rápida

Comparativa entre la antigua y nueva línea ASA


CPU Single Core Multi-Core

RAM Up to 4GB DDR1 RAM Up to 16GB DDR3 RAM

Base I/O Up to 4 x 1GbE Copper interfaces Up to 8 x 1GbE Copper interfaces

Optional I/O4 x 1GbE Copper or fiber SFP

expansion module

6 x 1GbE Copper or fiber SFP I/O

expansion module

Add On Cards IPS on SSM cardIntegrated IPS service within the same

chassis

Redundant Hot-Swappable

Power SupplyNo Yes

IPS Hardware Acceleration No Yes

Hard Disk Support* No Yes

ASA 5510 - 5550ASA 5512-X – 5555-X

Servicio de Prevención de Intrusiones


• Sobre la base de 15 años de probada tecnología de Cisco IDS & IPS.

• SMP enabled – sobre una arquitectura de 64bit

• Soporte de sensores virtuales

• Aceleración de Hardware para motores String-XL

• Tecnología de Mitigación basada en reputación

• Soporte Global de Correlación

• http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6634/at_a_glance_c45-578661.pdf

Cisco ASA 5500-X Servicio Integrado de IPS


Uso de la reputación para aumentarsignificativamente la presición de los ataques detectadosProvee filtrado en dos etapas

• Etapa 1:

Lista de reputación para el filtro de

tráfico malicioso.

• Etapa 2:

Utilización de los datos de reputación

para influir en la política de decisión (por

ejemplo cambio en la calificación del

riesgo (RR) a > 90 para provocar una

acción)

Filtro de Reputación IPS

Cisco® IPS Service

Bloqueo de tráficomalicioso conocido

Analisis del tráficosospechoso con las políticas de decisión

Stage 1 Stage 2

Fitro de Reputación en Dos Etapas, incrementa la precisión en 2X.

Permite el tráfico“bueno” conocido

Servicio de Prevención de Intrusos


Licensed Feature

Filtro de Reputación en Acción

Paso 1:

La red de inteligencia (sensor

base) en el SIO de Cisco,

recolecta los datos a

distancia de los distintos

sensores en el mundo

Paso 2:

El servicio de IPS Cisco 5500-

X actualiza su lista de filtros

de reputación; influenciando

en las políticas de decisión

(Ej: denegar ataque)

Paso 3:

Se envían las alertas al

equipo de seguridad para

la prevensión, mitigación y

remediación

Cisco ASA 5500-X IPS Servicio de Filtro

Internet

Cisco® Security Intelligence Operations

1 2

3

Conectividad Local

Visibilidad a nivel

mundial

Cisco ASA 5500-X

Cisco IPS 4300

Internet

Conectividad Integral de Acceso RemotoAmplio Rango de Opciones de Conectividad

Gobierno de Chile | Ministerio del Interior

Acceso dispositivosmóviles

IPsec VPNTunneling

DTLS(Voz y Video)

Tunneling

ClientlessVPN Access

SSL VPNTunneling

Accionado por el Cisco ASA


Seguridad en el Control de Acceso

NAC Manager NAC Server

NAC Profiler

NAC Guest Server

Perfil de dispositivos & Provisioning + Monitoreo de

Identidad

Identidad & Control de Acceso + Postura

Administración del ciclo de vida de invitados

NAC CollectorStandalone appliance or licensed as a module on

NAC Server

Identidad & Control de Acceso

Access Control System

NAC Agent

AnyConnect

Comencemos con lo que conocemos

Solución anterior del portafolio – Cisco TrustSec

NAC Manager NAC Server

NAC Profiler

NAC Guest Server

NAC CollectorStandalone appliance o licensiado como módulo

NAC Server

Access Control System

Solución de siguiente generación

ISE

AnyConnect

NAC Agent

Identity Service Engine

Presentando Identity Services Engine

Perfil de dispositivos & Provisioning + Monitoreo de

Identidad

Identidad & Control de Acceso + Postura

Administración del ciclo de vida de invitados

Identidad & Control de Acceso

Consolidación de servicios, Paquetes de Software

Simplifica Deployment & Admin

ACS

NAC Profiler

NAC Guest

NAC Manager

NAC ServerISE

Ubicación

User ID

Derechos de Acceso

Visibilidad

Seguimiento a Usuarios Activos& Dispositivos

Despliegue Flexible

Optimización de los servicios

ConsolaAdmin.

Policy Servers Distribuídos

Monitoreo

All-in-One HA Pair

Invitado

Administración de Invitados & Sponsors

Administra Security Group Access

Mantiene el diseño lógicoutilizado

Completo sistema de Monitoreo &

Troubleshooting

Consolidación de la Información

SGT Public Private

Staff

Guest

Permit

Deny

Permit

Permit

Dispositivos (& IP/MAC)

Beneficio de la solución de control de acceso Cisco ISE

Servicios de lSE

• Authentication/Authorization

• Postura

• Guest – Control de Invitados

• Profiling

• MACSec and SGA

Funcionamiento ISE


Seguridad Web

Pérdida de

Datos

Producción

Redes Sociales

Apps

Hotmail

Infecciones

Malware

Violación de

las normas

Desafíos de la Seguridad en la Web

Webmail

Ubicación

Dispositivos

Aplicaciones

Más Personas, Trabajando desde Más Lugares, Utilizando Mayor cantidad de Dispositivos, Accediendo a Más y Variadas Aplicaciones, y Transfiriendo Datos

Sensibles

Seguridad en la Web: Desafío Multidimensional

Cisco Web Security Appliance

S-Series


DEFENSA DE AMENAZASBloqueo de Malware

Prevención de Fuga de Información

CUMPLIMIENTO DE NORMATIVASVisibilidad en Control de Aplicaciones

URL Filtering

Administración y Reportería Centralizada

AnyConnect Secure Mobility

CafeteríaUsuarios

MóvilesTrabajo desde la

Casa


Seguridad Web en la Nube

• Seguridad & Políticas,

incluso estando fuera de la

red y fuera de la VPN

• Se conecta al Data Center

más cercano

• Transparente integración

con el cliente AnyConnect

Trabajadomóvil

Trabajodesde Casa

WI-FIPública

Seguridad Móvil con ScanSafe

Acceso local seguro a Internet

Cisco IOS Firewall Cisco IOS IPS

POSLocal LAN

Guest Users

Zona de Seguridad Cableada Zona de Seguidad WirelessOficina

Central

Internet

Seguridad Web en ISR-G2 con Cisco ScanSafe


Seguridad en el Correo Electrónico

Panorama de la Evolución de Amenazas

Evolución de la Protección de Salida

CEO

CFO

SPAMMASS EMAIL ADOPCION

Custom URL

AtaquesDirijidos

Image Spam

Botnets

ConfickerAurora

Covert, Sponsored Targeted Attacks

ACTIVOS DE LOS

USUARIOS

CUMPLIMIENTO Consciente de la Identidad

ClasificaciónDe Datos

TLS

TodoEncriptado

HIPAA

State Regulations

Brand

Filtros de Cuarentena

DLP

Propiedad Intelectual

PCI

PHISHING

VIRUS OUTBREAKS

H O YA N T E S

Attachment-based

Slammer

Worms

Network EvasionsPolymorphic Code

Code RedStuxnet

IPv6 Ataques

DLPIntegrado

Evolución del Correo Electrónico

Cantidad

Global de

Datos

Más de 100,000

organizaciones,

tráfico web y

email

Datos que

Componen los

mensajes

Tamaño del mensaje,

cantidad de adjuntos,

tipo de adjuntos,

URLs, host names

“Trampas” de

Spam

SpamCop, ISPs,

Aporte de usuarios

IP Blacklists &

Whitelists

SpamCop, SpamHaus (SBL),

NJABL, Bonded Sender

Listado de

Hosts

Comprometidos

Downloaded

files, linking

URLs, threat

heuristics

SORBS, OPM,

DSBL

Ubicación, lugar donde

está alojado el dominio,

antiguedad de registro,

tiempo de

funcionamiento de un

sitio web

ReportesReportes deSpam,

phishing, virus

Spamvertized URLs,

phishing URLs,

spyware sites

Domain Blacklist

& Safelists

SenderBase

Otros Datos

Composición

De Sitios Web

Cisco IronPort SenderBaseAmplitud y Calidad de Datos Hacen la Diferencia

Datos de SenderBase

Threat Operations

Center

Updates de Seguridad

Email Seguro

• Mejor en su clase, eficacia anti-spam

• La más rápidadetección de virus del mercado.

Cisco Security Intelligence Operation

Visión global de email, web, IPS, Firewall

Más de 500 Analistas detectando amenazas a nivel mundial

Más de 32 idiomas

100+ Patentes; 80+ Ph.D’s

Email Threat Operations CenterDatos, Investigación y Protección

Ma

na

ge

me

nt

Email Security ArchitectureInbound Security, Outbound Control

C-Series

Spam

Defense

Virus

Defense

CISCO IRONPORT ASYNCOS™

EMAIL PLATFORM

Data Loss

Prevention

Secure

Messaging

INBOUND

SECURITY

OUTBOUND

CONTROL

Seguridad Inbound Outbound ControlSolución de

Seguridad en el

Correo Electrónico

Cisco IronPort

Anti-Spam

• Filtro de reputación SenderBase

• IronPort Anti-Spam (IPAS)

DLP

• Filtro de Contenido

• Identificadores inteligentes

• Diccionarios ponderados

de contenido

Anti-Virus

• Virus Outbreak Filters (VOF)

• McAfee Anti-Virus

• Sophos Anti-Virus

Encriptación

• Envío Seguro de Mensajes

• Seguridad en la capa de

transporte

Oferta de Servicios PersonalizadosProporciona amplia protección y control

IronPort M-SeriesReporting Centralizado y Seguimiento de Mensajes

• Informes disponibles en una interfaz centralizada en el IronPort M-Series.

• Rápido análisis para los administradores de red

– Ej: “Me enviaron un mensaje y nunca lo recibí.”

• Búsqueda de logs en los diferentes appliances.


Gestión y Administración Centralizada

Cisco Security Manager

Administración Integral y Unificada de Firewall, VPN e IPS


Vista Dispositivos

Vista de Políticas

Vista de Mapa

Vista de Eventos

Una Administración Simple y Eficiente a través de Arquitecturas, Redes y Servicios

Sopote, desde el día 1de los dispositivos

Interacción Inteligente

Experiencia de Operaciones Optimizada

Mejores Prácticas de Cisco® Integradas

Administración durantetodo el ciclo de vida

Appliances Físicos y Virtuales

Cisco Prime™

CollaborationData

Center

Borderless

Networks

Cisco Prime LMS


Aplicación al PMG - SSI

Aplicación al PMG – SSI

Ámbito Control de Acceso – Procedimiento Operación


Controles priorizados por la Red de Expertos

Productos esperados y sus contenidos

Tecnología Aplicable

A.11.1.1 Política de control de acceso. Cisco ISECisco ASAAnyConnect

A.11.3.2 Procedimiento que asegure protección al equipo desatendido.

Cisco ISE

A.11.2.2 Procedimiento para la asignación y restricción del uso de privilegios.

Cisco ISECisco ASAAnyConnect

A.11.5.5 Procedimiento para cierre de sesión por inactividad.

Cisco ISE

A.11.4.2 Procedimiento para controlar el acceso de usuarios remotos.

Cisco ASA / VPNAnyConnectCisco ISEIronPort WSAScansafe

A.11.4.4 Procedimiento de protección de los puertos de configuración y diagnóstico remoto.

Cisco ASA


Ámbito Control de Acceso – Procedimiento Operación





A.11.5.3.Párr.1 Procedimiento de políticas de cuentas de usuario implementadas.

Cisco ISE

A.11.4.5 Procedimiento de separación de redes que contenga los lineamientos a lo menos de: - Zona desmilitarizada (DMZ) - Separación de redes alámbricas e inalámbricas - Perfilamiento de usuarios por segregación de funciones

Cisco ASACisco ISE

A.11.4.6 Instructivo con operación de control de conexión de red.

Cico ASA / VPNAnyConnectCisco ISE


Ámbito Operación – Procedimiento Operación





A.10.1.1 Procedimientos de operación documentados a lo menos: Respaldo de documentos, utilización de correo, uso de la red y recursos compartidos, uso de antivirus y uso de software utilitarios.

IronPort WSAIronport ESACisco ISE

A.10.1.2 Procedimiento de Gestión de Cambios de Operaciones que entregue lineamientos referidos a cambios en los medios y sistemas de procesamiento de la información.

Cisco PrimeCisco Security Manager

A.10.2.1 Procedimientos con Acuerdo de niveles de servicios en los contratos con terceros relevantes con lineamientos que aseguren la disponibilidad de los servicios que se definan como críticos.

Cisco Prime







A.10.1.3 Procedimiento que entregue lineamientos respecto a la segregación de funciones en cada área de responsabilidad.

Cisco ASACisco ISE

A.10.1.4 Procedimientos de los ambientes separados para la implementación de software y su paso a producción.

Cisco ASACisco ISE

A.10.5.1.Párr.1 Política de respaldo de la información para servidores y estaciones de trabajo.

Cisco ASACisco ISE

A.10.5.1.Párr.2 Procedimiento de respaldo de la información.

Cisco ASACisco ISE

A.10.6.2.Párr.1 Incluir en contratos con terceros cláusula de seguridad de la información

Cisco ISECisco ASACisco WSA







A.10.8.2 Procedimiento para establecer acuerdos para el intercambio de información y software entre la institución y entidades externas.

Cisco ASAIronPort ESA

A.10.10.2.Párr.1 Procedimiento para el monitoreo del uso de los medios de procesamiento de la información.

Cisco PrimeCisco ASA / IPS

A.10.10.2.Párr.2 Registro de reporte con resultados del monitoreos preventivos que contenga a lo menos: - Accesos autorizados - Empleo de cuentas con privilegios - Intentos de acceso fallidos Al dominio y al Cortafuegos) - Monitoreo de alertas de red

Cisco ASA / IPSCisco ISE

A.10.10.5 Procedimiento de reportes de registros y acciones correctivas.

Prime LMSCisco Security ManagerIronPort M-Series


Ámbito Redes – Procedimiento Operación





A.10.6.1 Procedimiento de Seguridad de la Red que contenga a lo menos:

- Alcance de las redes - Definición de mecanismos de protección -Segmentación de redes - segregación de funciones en redes y plataformas - Controles implementados y Diagrama de red

Cisco ASA / IPSCisco ISECisco PrimeIronPort WSAIronPort ESACisco Security Manager

Cisco Security

Intelligence

Operations

Administración

Centralizada

Cisco AnyConnect

VPN Client

ASA 5500ISR-G2

ASA 5500-XIPS 4200Cisco IronPort

S-Series

Cisco IronPort

C-Series

ASA 5500-XIPS 4200

ASASMTrustSec (NAC/ISE) Nexus 1000V

Oficinas Remotas

Trabajo Remoto

Data Center / Campus

Oficinas

Centrales

Clientless Network

Access

Nivel de RedNivel de Aplicaciones

ASR1000

ASR1000

Resumen

Portafolio de Seguridad de Cisco

Gracias.

Firew

all

IPS

Re

mo

te A

cce

ss

NA

C

We

b

Em

ail

Comparativa de modelos ASA 5500-X


ASA 5512-X ASA 5515-X ASA 5525-X ASA 5545-X ASA 5555-X

Form Factor

1RU ShortChassis

(19” Rack-Mountable)

1RU Short Chassis


1RU Short Chassis


1RU Long Chassis


1RU Long Chassis


64Bit Multi Core Processors Yes Yes Yes Yes Yes

Maximum Memory 4 GB 8 GB 8 GB 12 GB 16 GB

Maximum Storage 4 GB eUSB 8 GB eUSB 8 GB eUSB 8 GB eUSB 8 GB eUSB

Base I/O Ports

6 x 1GbE Cu

1 x 1GbE Cu Mgmt

6 x 1GbE Cu

1 x 1GbE Cu Mgmt

8 x 1GbE Cu

1 x 1GbE Cu Mgmt

8 x 1GbE Cu

1 x 1GbE Cu Mgmt

8 x 1GbE Cu

1 x 1GbE Cu

Expansion I/O Module6 x 1GbE Cu

or 6 x 1GbE SFP

6 x 1GbE Cu

or 6 x 1GbE SFP

6 x 1GbE Cu

or 6 x 1GbE SFP

6 x 1GbE Cu

or 6 x 1GbE SFP

6 x 1GbE Cu

or 6 x 1GbE SFP

Power SupplySingle Fixed

Power SupplySingle Fixed Power

SupplySingle Fixed Power

Supply

Dual Hot-Swappable

Redundant Power Supply

Dual Hot-Swappable

Redundant Power Supply

VPN Crypto HardwareAccelerator

Yes Yes Yes Yes Yes

IPS Hardware Accelerator No No Yes Yes Yes

Comparativa Performance ASA 5500-X


ASA 5512-X ASA 5515-X ASA 5525-X ASA 5545-X ASA 5555-X

Performance

Max Firewall

EMIX Firewall

Concurrent Threat Mitigation

(Firewall + IPS)

Max IPSec VPN Throughput

1 Gbps

500 Mbps

250 Mbps

200 Mbps

1.2 Gbps

600 Mbps

400 Mbps

250 Mbps

2 Gbps

1 Gbps

600 Mbps

300 Mbps

3 Gbps

1.5 Gbps

900 Mbps

400 Mbps

4 Gbps

2 Gbps

1.3 Gbps

700 Mbps

Platform Capabilities

Max Firewall Conns

Max Conns/Sec

Max PPS (64 Byte UDP)

Max VLANS Supported

HA Support

Max IPSec/SSL VPN peers

100,000

10,000

450,000

50

No

250

250,000

15,000

500,000

100

Yes

250

500,000

20,000

700,000

200

Yes

750

750,000

30,000

900,000

300

Yes

2500

1,000,000

50,000

1,100,000

500

Yes

5000

TecnologiasNecesarias I Wmontene

Documents

Transcript of TecnologiasNecesarias I Wmontene