Решения CISCO

ПОЧЕМУ ИМЕННО CISCO SYSTEMS?

Компания Cisco Systems, признанный лидер в области сетевых решений, предлагает также широкий выбор продуктов в области обеспечения информационной безопасности – от межсетевых экранов и систем предотвращения атак до средств контроля содержимого, защиты приложений и систем персональной защиты серверов и рабочих станций. В каждой из этих областей компания Cisco Systems достигла лидирующих позиций и занимает первые места не только на мировом рынке, но также и в России и странах СНГ.
 
Такое положение было бы невозможно без исследований и разработок, на которые ежегодно тратится около 500 миллионов долларов – больше, чем зарабатывают в год многие другие поставщики рынка информационной безопасности.
 
Принимая во внимание, что компания Cisco Systems работает во многих странах мира, мы учитываем специфику каждого государства. В Рос- сии и странах СНГ наши решения проходят сертификацию в соответствующих регулирующих органах. Например, в Российской Федерации это Федеральная служба по техническому и экспортному контролю (бывшая Государственная техническая комиссия при Президенте России) и ФСБ России. В частности, решения компании Cisco имеют свыше 380 сертификатов ФСТЭК, что существенно превышает число сертификатов, полученных какой-либо другой компанией (российской или зарубежной), работающей на рынке информационной безопасности.
 
Работая на территории такой страны, как Россия, невозможно не учитывать различные часовые пояса и огромную территорию, на которой могут располагаться сети наших заказчиков. Несмотря на это, все они могут быть уверены в получении своевременной помощи. Это достигается за счет удаленной круглосуточной технической поддержки и гарантии замены вышедшего из строя оборудования со сроком замены до 4-х часов (в Москве, Санкт-Петербурге, Новосибирске, Краснодаре, Тюмени, Казани, Екатеринбурге, Нижнем Новгороде, Самаре, Владивостоке, Сургуте, Киеве и Алматы) и с отгрузкой в день авторизации замены (для остальных регионов). С целью предоставления телефонных консультаций на русском языке в Москве функционирует центр обработки заявок и технического обслуживания (Technical Assistance Center – TAC).
 
Стремясь предоставить заказчикам Cisco максимальный спектр услуг, в России открыто подразделение Advanced Services, оказывающее услуги технологического консалтинга и проактивной поддержки, в т. ч. и по информационной безопасности. В рамках этого подразделения действует отдел Аdvisory Services, который, опираясь на информацию о бизнес-задачах заказчиков Cisco, консультирует их по вопросам внедрения новых защищенных услуг, построения современной защищенной сетевой инфраструктуры и увязывания безопасности с бизнесом предприятия.
 

СТРАТЕГИЯ CISCO В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Уверенность в том, что бизнес-процессы и ресурсы компании защищены от посягательств злоумышленников и воздействия вредоносных программ, является критическим фактором в современном мире.
 
Компания Cisco Systems, в отличие от других поставщиков, предлагает своим заказчикам не точечные продукты для защиты отдельных участков корпоративной сети, а комплексное решение, интегрируемое в инфраструктуру предприятия для обеспечения информационной безопасности бизнеса на всех уровнях. Это решение не только включает в себя лучшие в своем классе защитные средства, но также опирается на механизмы, интегрированные в каждую технологию и продукты компании Cisco, будь то беспроводные сети, IP-телефония, системы хранения данных, Metro Ethernet, системы управления и т. п. И наконец, решение Cisco было бы неполным без помощи высококвалифицированных экспертов, включающихся в процесс построения защищенной сети на всех этапах ее жизненного цикла.
 
Self-Defending Network (SDN) – стратегия компании Cisco Systems, нацеленная на защиту бизнес-процессов в условиях растущей угрозы со стороны вредоносных программ и злоумышленников, воздействующих на бизнес-процессы изнутри и извне. Учитывая скорость распространения современных угроз, например червей и вирусов, средства защиты компании Cisco Systems строятся на основе проактивного подхода, заключающегося в предвосхищении угроз, а не в борьбе с их последствиями. В основе SDN лежит интеграция механизмов безопасности в сетевую инфраструктуру, в которой все ее элементы – от персонального компьютера до сетевого оборудования – участвуют в процессе обеспечения защищенности, устойчивости и непрерывности бизнеса. Стратегия Self-Defending Network заключается в автоматизации процесса обеспечения информационной безопасности за счет обнаружения угроз, реагирования соответственно уровню критичности, изолирования зараженных или взломанных серверов и рабочих станций и реконфигурации сетевых устройств с целью предотвращения повторных атак.
 

ПОСТРОЕНИЕ САМОЗАЩИЩАЮЩЕЙСЯ СЕТИ

Построение самозащищающейся сети зависит от правильного применения 6 основных элементов, отражающих эволюцию стратегии Cisco Self-Defending Network (SDN).

При прокладке ЛВС следует обратить внимание на такие факторы:

  1. Защищенная сетевая платформа (Secure Network Platform). Безопасность давно перестала быть опцией при построении сетей. Она стала неотъемлемой частью и свойством сетей, которые строятся на базе оборудования компании Cisco – маршрутизаторов Cisco ISR и более старших моделей, коммутаторов Catalyst, точек беспроводного доступа и т. д.
  2. Сетевая безопасность (Network Security). Помимо механизмов, интегрированных в сетевое оборудование, компания Cisco предлагает и выделенные защитные устройства, повышающие уровень защищенности корпоративных и операторских сетей – межсетевые экраны Cisco Pix, системы предотвращения атак Cisco IPS и Cisco Guard, средства построения VPN, многофункциональные устройства Cisco ASA и т. д.
  3. Доверенные оконечные устройства (Trusted End Point). Наиболее эффективная защита бизнес-ресурсов от злоумышленников и вре- доносных программ достигается только в случае эшелонированной обороны, распределенной по всей сети, включая и оконечные устрой- ства (ПК, лэптопы, принтеры, IP-телефоны и т. д.). Реализуется это за счет технологии Cisco NAC, систем защиты ПК, серверов и лэптопов Cisco Security Agent и т. п.
  4. Защита и контроль контента (Content Security). Обеспечивая сетевую безопасность нельзя забывать и про защиту прикладного уровня, в частности, электронной почты, IM, P2P и т.д. Программно-аппаратные комплексы IronPort E-mail Security Appliance и IronPort Web Security Appliance, а также ряд других систем решают эту задачу.
  5. Защита приложений (Application Security). Помимо защиты на уровне сети, современное предприятие требует защиты и своих бизнес- приложений и баз данных. Компания Cisco предлагает для этой задачи такие системы, как Cisco ACE XML Gateway, и ряд других решений.
  6. Управление, контроль соответствия, идентификация (Management & Policy Control & Identity). Разнообразие защитных и защищаемых систем, различные политики безопасности, большое число требований и стандартов безопасности существенно усложняют задачу управления информационной безопасностью в компании. Cisco Security Manager, Cisco MARS, Cisco Network Compliance Manager, Cisco Secure ACS облегчают ее решение.
 

CISCO INTEGRATED SERVICES ROUTERS

Cisco Integrated Services Routers (ISR) – лучшие в своем классе маршрутизаторы с интегрированными сервисами и с оптимизированными функциями безопасности для защиты передаваемых данных, голоса и видео. Маршрутизаторы Cisco серии 800, 1800, 2800 и 3800 идеально подходят как для больших компаний с территориально распределенными филиалами, так и для малого офиса.
 
Маршрутизаторы ISR включают в себя набор защитных технологий и механизмов, предназначенных для построения надежной и защищенной сети в соответствии со стратегией Cisco Self-Defending Network (SDN). Маршрутизаторы ISR хорошо интегрируются с другими компонентами стратегии SDN, такими, как Cisco MARS, Cisco ACS, NAC и т. д.
 
В маршрутизаторах ISR применяется программное обеспечение Cisco IOS Advanced Security, которое представляет собой набор функций защиты, реализованных в операционной системе Cisco IOS. Благодаря Cisco IOS Advanced Security в каждый маршрутизатор ISR, помимо межсетевого экрана Cisco IOS Firewall, входят подсистема построения VPN (MPLS, DMVPN, Easy VPN), а также подсистема предотвращения атак Cisco IOS IPS, встроенный сервер сертификатов PKI и многие другие защитные подсистемы.
 
Управление маршрутизаторами Cisco ISR с точки зрения безопасности может осуществляться как с помощью встроенной системы управления Cisco Router and Security Device Manager, так и с помощью системы централизованного управления всеми решениями Cisco по безопасности – Cisco Security Manager. Мониторинг Cisco ISR и сбор сигналов тревоги с них могут быть осуществлены с Cisco MARS, а также иных систем управления событиями безопасности.
 
Для удовлетворения потребностей рынка в решении VPN, удовлетворяющем требованиям отечественного законодательства, компания Cisco в сотрудничестве с ведущими локальными разработчиками создала модули построения виртуальных частных сетей для маршрутизаторов Cisco ISR, которые использует сертифицированное криптографическое ПО:
 
• NME-RVPN – ПО компании «С-Терра СиЭсПи» (Россия);
• NME-RVPN ViPNet – ПО компани «Инфотекс» (Россия);
• KazVPN – ПО компании ZorSoft (Казахстан);
• «Булава» – ПО компании НПО «Криптон» (Украина).
 

CISCO IOS ADVANCED SECURITY

Программное обеспечение Cisco IOS Advanced Security представляет собой набор защитных функций, реализованных в операционной системе Cisco IOS, имеющейся в каждом маршрутизаторе. Помимо Cisco IOS Firewall, в Advanced Security входят подсистема построения VPN (IPSec, SSL, MPLS, GRE, L2F и L2TP), а также подсистема предотвращения атак Cisco IOS IPS, способная отражать свыше 1400 распространенных атак и методов сетевой разведки, используемых злоумышленниками.

Основные возможности:

  • Контроль и категорирование URL
  • Обнаружение и отражение атак типа «отказ в обслуживании»
  • Поддержка качества обслуживания QoS (в т. ч. и для VPN)
  • Ролевое управление доступом для настройки IOS
  • Аутентификация и авторизация
  • Контроль целостности ПО Cisco IOS
  • Поддержка стандарта 802.1x
  • Обмен событиями безопасности с другими устройствами по протоколу SDEE (Security Device Event Exchange)
  • Поддержка технологии Network Admission Control (NAC) 
  • Автоматическое отключение опасных команд и функций с помощью механизма AutoSecure
  • Встроенный сервер сертификатов PKI
  • Поддержка протокола защищенного управления SSHv2
  • Поддержка протокола SNMPv3 
  • Распознавание приложений с помощью технологии Network-Based Application Recognition (NBAR)
  • Технология Flexible Packet Matching 
  • МСЭ с анализом на прикладном уровне для фильтрации и контроля интернет-пейджеров (IM) и пиринговых приложений (P2P)
  • VRF-Aware DNS
  • Поддержка технологий EasyVPN и SSL VPN 
  • Сертификат ФСТЭК

CISCO NETWORK FOUNDATION PROTECTION

Cisco Network Foundation Protection (NFP) – это набор технологий и механизмов, интегрированных в операционную систему Cisco IOS и предназначенных для защиты сетевого устройства, таблиц маршрутизации и  ее обновлений, функций управления и данных, проходящих через устройство. В основе NFP лежит принцип, согласно которому защищенная сеть должна строиться на защищенном фундаменте, которым являются маршрутизаторы. Основное предназначение NFP –защита сетевой инфраструктуры, в т. ч. и у операторов связи.

Основные возможности:

  • Автоматическое отключение опасных команд и функций с помощью механизма AutoSecure;
  • Контроль загрузки центрального процессора;
  • Защищенный доступ к устройству при помощи SSHv2, SNMPv3;
  • Защита от подбора паролей;
  • Защита от подмены адреса с помощью Unicast Reverse Path Forwarding (uRPF);
  • Контроль полосы пропускания с помощью механизма Committed Access Rate (CAR);
  • Фильтрация трафика путем применения Remote Triggered Black Hole (RTBH) и Remote Triggered Rate Limiting (RTRL);
  • Механизм BGP TTL Security Check;
  • Контроль целостности обновлений таблиц маршрутизации;
  • Механизм защиты контура управления Control Plane Policing;
  • Списки контроля доступа rACL, iACL, VTY Access Control List;
  • Обнаружение аномалий и атак типа «отказ в обслуживании» с помощью NetFlow;
  • Аутентификация администратора с помощью TACACS+/RADIUS и авторизация с помощью RADIUS;
  • Контроль целостности операционной системы Cisco IOS;
  • Ролевое управление;
  • Отслеживание источника атаки с помощью IP Source Tracker;
  • Система анализа и фильтрации пакетов Flexible Packet Matching.