Izgradnja sustava informacijske sigurnosti poduzeća temeljenog na rješenjima tvrtke Cisco Systems. Proizvodi Vizualizacija incidenata i odbijanje napada

18.11.2023

Tehnike informacijske sigurnosti razvile su se od perimetralne obrane na sučelju s Internetom do "dubokog" modela u kojem se višestruke protumjere distribuiraju na više razina kroz infrastrukturu. Višeslojni model postaje nužan zbog porasta broja napada, njihove složenosti i brzine provedbe. Mrežni objekti mogu se skenirati tisuće puta dnevno u potrazi za ranjivostima. Moderni "mješoviti" ili hibridni napadi koriste razne sofisticirane tehnike za dobivanje neovlaštenog pristupa i kontrole izvana i unutar organizacija. Širenje crva, virusa, trojanskih konja, špijunskog softvera i prilagođenog softvera predstavlja prijetnju čak i jako zaštićenim mrežama, ostavljajući manje vremena za odgovor i povećavajući troškove oporavka.

Osim toga, osim velikog broja poslužitelja i mrežnih uređaja, svaka komponenta sigurnosnog sustava vodi vlastiti dnevnik događaja i ima svoj set alata za otkrivanje anomalija i odgovor na prijetnje. Nažalost, ova situacija dovodi do potrebe za obradom ogromnog broja različitih zapisa događaja i lažnih signala opasnosti, što rezultira nemogućnošću operatera da učinkovito reagira.

Proizvodi za informacijsku sigurnost i upravljanje događajima omogućuju vam procjenu prijetnji na određeni način i postupanje s njima u skladu s tim. Ova rješenja omogućuju IT sigurnosnim uslugama centralno prikupljanje i obradu podataka o događajima, korištenje korelacija, obradu redova čekanja i generiranje izvješća.....

Pregled rješenja Cisco Systems

Cisco Security MARS je hardverski temeljeno rješenje s punim značajkama koje pruža uvid i kontrolu nad vašim postojećim sigurnosnim položajem. Kao dio paketa za upravljanje sigurnošću, MARS vam omogućuje prepoznavanje, kontrolu i zaustavljanje sigurnosnih prijetnji. Rješenje radi s vašom postojećom mrežom i sigurnosnim sustavom kako bi pronašlo, izoliralo i uklonilo problematične elemente. MARS također pomaže u održavanju integriteta internih sigurnosnih politika i može se integrirati kao dio cjelokupnog rješenja za regulaciju mreže.

Sigurnosni administratori suočavaju se s mnogim izazovima, kao što su:

Prevelik protok dolaznih mrežnih i sigurnosnih informacija
Problemi u prepoznavanju napada i pogreške u identifikaciji, prioritizaciji i odgovoru
Kompliciranje napada, povećanje troškova oporavka
Potreba za održavanjem sigurnosne usklađenosti
Problemi s osobljem

Cisco Security MARS omogućuje vam rješavanje ovih problema na sljedeći način:

Integrira mrežne podatke za izgradnju korelacija mrežnih anomalija i sigurnosnih incidenata

Prati incidente i automatizira istrage

Ublažava napade iskorištavanjem svih mogućnosti vaše postojeće mreže i sigurnosne infrastrukture

Prati stanje objekata, mreže, sigurnosne procedure za usklađenost sa potrebnim predloškom

Djeluje kao skalabilno rješenje, jednostavno za implementaciju i rukovanje, s niskim troškom vlasništva

Cisco Security MARS pretvara neobrađene podatke u oblik pogodan za obradu, pružajući mogućnost specifičnog otkrivanja, zaustavljanja i generiranja izvješća za prioritetne prijetnje korištenjem uređaja koji su već ugrađeni u mrežnu infrastrukturu.

Razvoj kontrola informacijske sigurnosti i prevencija prijetnji

Kako bi riješio ovaj problem, Cisco nudi liniju skalabilnih hardverskih sustava. Cisco Security MARS jedan je od skalabilnih sustava visokih performansi koji štite mrežne uređaje i optimiziraju informacijsku sigurnost kombiniranjem mrežnih podataka, funkcija korelacije sadržaja „Context Correlation“, „SureVector™ analiza“ i mogućnosti automatskog suzbijanja prijetnji. Platforma MARS usko je integrirana s kompleksom za upravljanje sigurnošću - Cisco Security Manager. Ova integracija omogućuje vam da povežete poruke o događajima s pravilima konfiguriranim u Cisco Security Manageru. Pregled pravila omogućuje brzu analizu rada sigurnosnih pravila na vatrozidu i otkrivanje mrežnih problema i konfiguracijskih pogrešaka.

Značajke i prednosti

Inteligentna obrada događaja i upravljanje učinkom

Cisco Security MARS koristi mrežne podatke koristeći znanje o mrežnoj topologiji, konfiguracijama uređaja i profilima mrežnog prometa. Mogućnost integriranog istraživanja mreže sustava gradi dijagram topologije koji uključuje konfiguracije uređaja i primijenjene sigurnosne politike, omogućujući Cisco Security MARS-u da modelira tokove podataka na mreži. Budući da Cisco Security MARS ne obrađuje izravno mrežni promet i minimalno koristi elemente mrežnog softvera, utjecaj na ukupnu izvedbu mreže ostaje minimalan.

Cisco Security MARS centralno prikuplja podatke o događajima sa širokog spektra mrežnih uređaja kao što su usmjerivači i preklopnici; sigurnosni uređaji i aplikacije poput vatrozida, uređaja za otkrivanje upada, skenera ranjivosti i antivirusnih aplikacija. Obrađuju se i podaci iz krajnjih sustava (Windows, Solaris, Linux), aplikacija (baze podataka, web poslužitelji i autentifikacijski poslužitelji), te statistike mrežnog prometa (Cisco NetFlow).

Kontekstualna korelacija

Prilikom primanja podataka izrađuje se jedinstvena shema korespondencije s parametrima topologije mreže, konfiguracije uređaja i prevođenja adresa (NAT). Relevantni događaji grupirani su u stvarnom vremenu. Pravila korelacije sustava i korisnika zatim se primjenjuju za identifikaciju mrežnih incidenata. Cisco Security MARS dolazi s opsežnim skupom korelacijskih uzoraka, koje Cisco redovito ažurira, a koji mogu otkriti većinu različitih složenih napada. Grafički alati olakšavaju stvaranje pravila za razne aplikacije. Kontekstualna korelacija značajno smanjuje količinu obrađenih neobrađenih podataka, što omogućuje određivanje prioriteta odgovora i povećava učinkovitost primijenjenih protumjera.

Visokoučinkovita agregacija

Cisco Security MARS obrađuje milijune primarnih poruka, učinkovito klasificira događaje kako bi značajno smanjio količine podataka i sažima informacije za arhiviranje. Upravljanje takvim količinama podataka zahtijeva stabilnu i sigurnu centraliziranu platformu. Cisco Security MARS uređaji optimizirani su za obradu velikog broja događaja, do 15 000 događaja u sekundi ili 300 000 Cisco NetFlow događaja u sekundi. Osim toga, MARS podržava backup i oporavak konfiguracija i podataka putem NFS-a i sFTP-a.

Vizualizacija i suzbijanje incidenata

MARS vam omogućuje da ubrzate i pojednostavite proces otkrivanja, istraživanja, procjene i otklanjanja prijetnji. Čest izazov za IT sigurnosno osoblje je vrijeme potrebno za analizu i rješavanje sigurnosnih događaja koji se dogode. U ovom slučaju, Cisco Security MARS je moćan, interaktivan alat za upravljanje sigurnošću i stvaranje pravila.

Grafičko radno okruženje prikazuje topološku kartu koja prikazuje događaje, vektore napada i pojedinosti o incidentu, što vam omogućuje trenutnu identifikaciju postojećih prijetnji. Cisco "SureVector analiza" obrađuje bliske skupine događaja kako bi procijenio stvarnost prijetnje i njezino porijeklo, sve do MAC adrese krajnjeg uređaja. Proces je automatiziran analizom zapisa događaja s uređaja kao što su vatrozidi i uređaji za sprječavanje upada (IPS), sustavi za procjenu podataka trećih strana i rezultati skeniranja krajnjih točaka kako bi se spriječili lažni rezultati. Koristeći Cisco Security MARS, sigurnosni timovi imaju alate za brzo razumijevanje komponenti složenog napada i identificiranje pogođenog sustava. Ciscove značajke "automatskog ublažavanja" pronalaze dostupne kontrolne uređaje duž putanje napada i automatski daju odgovarajuće naredbe koje operateri mogu brzo primijeniti za uklanjanje prijetnje.

Operativna analiza i provjera sukladnosti

Cisco Security MARS pruža okvir jednostavan za korištenje koji pojednostavljuje tekuće sigurnosne operacije, automatizira istrage, eskalacije, upozorenja, dokumentaciju tekućih aktivnosti i ad hoc revizije. Cisco Security MARS grafički prikazuje napade i izdvaja povijesne podatke za analizu prethodnih događaja. Sustav u potpunosti podržava proizvoljne upite za brzo dobivanje informacija.

Cisco Security MARS nudi mnoge ugrađene predloške zahtjeva i kompatibilan je s PCI-DSS, GLBA, HIPAA, FISMA, Basel II protokolima. Generator izvješća omogućuje izmjenu više od 100 standardnih izvješća ili stvaranje novih s neograničenim mogućnostima za planiranje odgovora i postupaka oporavka, praćenje incidenata i mrežnih aktivnosti, praćenje usklađenosti sa sigurnosnim politikama i provođenje revizija. Podržano je i slanje izvješća.

Brzina i jednostavnost implementacije

Prilikom implementacije Cisco Security MARS-a potrebno je osigurati mogućnost slanja i primanja “syslog” poruka, SNMP poruka (SNMP traps), a također je potrebno komunicirati s instaliranim mrežnim uređajima korištenjem općeprihvaćenih ili vlasničkih protokola. Nije potreban dodatni hardver ili modifikacija korištenog softvera. Na taj način se konfigurira prosljeđivanje poruka u Cisco Security MARS, a objekti nadzora se dodaju kroz “Web-based GUI”. MARS može slati statistiku vanjskim poslužiteljima radi integracije s trenutnom infrastrukturom.

Jedan od vodećih proizvođača proizvoda za informacijsku sigurnost je Cisco. Ovaj članak ima za cilj pokazati primjere korištenja proizvoda Cisco Security Agent, Cisco NAC Appliance i Cisco MARS za osiguranje interne informacijske sigurnosti tvrtke. Ovi se proizvodi međusobno integriraju i omogućuju vam izgradnju pouzdanog sustava kojim se lako upravlja.

Odjel informacijske sigurnosti moderne tvrtke ima potpuno drugačije zadatke - to uključuje podršku sigurnim komunikacijskim kanalima tvrtke, podršku podsustavu kontrole pristupa korisnika, pružanje antivirusne zaštite, borbu protiv spama, kontrolu curenja informacija, kao i pružanje nadzora informacijske sigurnosti događaje koji se događaju na mreži i druge jednako važne zadatke.

Trenutačno postoji ogroman broj razvoja na tržištu proizvoda za informacijsku sigurnost koji na ovaj ili onaj način omogućuju rješavanje zadanih problema. Po našem mišljenju najispravnije je izgraditi visoko integrirane sigurnosne sustave koji se mogu najfleksibilnije prilagoditi specifičnim procesima koji se odvijaju u poduzeću.

Uvod

Svaki informacijski sigurnosni sustav izgrađen je na temelju očekivanog modela prijetnji. Prilikom planiranja sigurnosnog sustava potrebno je razmotriti dvije kategorije prijetnji: vanjske i unutarnje.

Vanjske prijetnje su lako predvidljive, budući da tvrtka ima potpune informacije o tome koji su servisi dostupni izvana, koji softverski i hardverski resursi omogućuju vezu između ovog servisa i Interneta.

Borba protiv insajderskih prijetnji puno je teža jer korisnici koji rade u tvrtki imaju različite razine pristupa i grade različite odnose unutar tvrtke.

Za osiguranje zaštite potrebno je pristupiti sveobuhvatno, a ne ograničavati se samo na tehnička sredstva. Kompetentan rad službe za informacijsku sigurnost, kao i jasno promišljena administrativna politika tvrtke pomoći će u postizanju maksimalnih rezultata.

Administrativna politika izgrađena je na temeljima politike informacijske sigurnosti. Organizacija mora izraditi propise o zaštiti povjerljivih podataka i odgovarajuće upute. Ti dokumenti trebaju definirati pravila i kriterije za kategorizaciju informacijskih izvora prema stupnju povjerljivosti, pravila označavanja i pravila za rukovanje povjerljivim informacijama. Moraju se definirati pravila za omogućavanje pristupa informacijskim izvorima, te moraju biti implementirani odgovarajući postupci i kontrolni mehanizmi, uključujući autorizaciju i reviziju pristupa.

Ove administrativne mjere omogućuju uspješnu borbu protiv najbrojnije klase prijetnji – prijetnji nenamjernog otkrivanja povjerljivih podataka, ali za borbu protiv uljeza očito nisu dovoljne – nužna je uporaba posebnog softvera i hardvera.

End Host Security – Cisco Security Agent

Rješenje Cisco Security Agent (CSA) sigurnosni je sustav krajnjeg domaćina koji vam u kombinaciji s drugim sustavima omogućuje rješavanje složenijih i širih problema.

CSA pruža zaštitu za poslužiteljske sustave i stolna računala. Cisco Security Agent nadilazi tipična sigurnosna rješenja krajnje točke kombinirajući naprednu zaštitu od ciljanih napada, špijunskog softvera, softvera za daljinsko upravljanje, zaštite od virusa, curenja podataka i mnogih drugih vrsta sigurnosnih provala u jednom softverskom alatu.

Cisco Security Agent je sustav koji koristi aplikacije agenta za provođenje politika sigurnosti informacija konfiguriranih na središnjem poslužitelju.

CSA kombinira zaštitu od zero-day napada, ClamAV antivirus, firewall, modul za zaštitu datoteka i aplikacija, modul za nepouzdane aplikacije i druge funkcije.

Cisco Security Agent pruža niz vrijednih značajki, uključujući sljedeće:

praćenje usklađenosti stanja mrežnih objekata sa zahtjevima sigurnosne politike;
preventivna zaštita od ciljanih napada;
upravljanje USB-om, CD-ROM-om, PCMCIA itd.;
stvaranje zatvorenog programskog okruženja;
sposobnost otkrivanja i izolacije zlonamjernog softvera za tajnu daljinsku kontrolu;
napredne funkcije za sprječavanje upada u mrežne čvorove, osobni vatrozid i zaštitu od potpuno novih napada;
kontrola curenja informacija;
kontrola i sprječavanje preuzimanja s neovlaštenih medija;
optimiziranje upotrebe Wi-Fi propusnosti;
osiguravanje dostupnosti kritičnih aplikacija klijent-poslužitelj i sposobnost provođenja transakcija;
označavanje mrežnog prometa;
integracija sa sustavima za sprječavanje upada (Cisco IPS);
integracija sa sustavom kontrole pristupa mreži (Cisco NAC);
integracija sa sustavom upravljanja sigurnošću (Cisco MARS).

Arhitektura sustava Cisco Security Agent prikazana je na slici 1. Agenti su u interakciji s poslužiteljem za upravljanje i od njega primaju ažuriranja pravila i softvera.

Slika 1: Arhitektura CSA sustava

Krajnji hostovi su grupirani u grupe za koje se primjenjuju politike informacijske sigurnosti. Politike su skupovi modula pravila (vidi sliku 2).

Slika 2: Politike, moduli, pravila u CSA arhitekturi

Cisco Security Agent omogućuje praćenje aktivnosti korisnika dok su povezani na podatkovnu mrežu i dok je poslužitelj za upravljanje dostupan. Ali također podržava poseban skup stanja, kao što je nedostupnost centra za upravljanje, u kojem se na strojeve primjenjuju specijalizirane politike pristupa.

Drugi sustav informacijske sigurnosti je sustav kontrole pristupa podatkovnoj mreži.

Kontrola pristupa mreži – Cisco Network Admission Control (NAC)

Cisco NAC Appliance (bivši Cisco Clean Access) je rješenje dizajnirano za automatsko otkrivanje, izolaciju i dezinfekciju zaraženih, ranjivih ili nekompatibilnih računala koja pristupaju žičanim ili bežičnim korporativnim resursima.

Kao jedna od komponenti tehnologije Network Admission Control, Clean Access se implementira ili kao mrežni modul za Cisco ISR usmjerivače (za mreže s manje od 100 kontroliranih uređaja) ili kao zasebni uređaj.

Glavne značajke rješenja Cisco NAC su:

neovisnost o proizvođaču mrežne opreme (unutarpojasni način rada);
integracija s Kerberos, LDAP, RADIUS, Active Directory, S/Ident i drugim metodama provjere autentičnosti;
podrška za Windows (uključujući Vista), MacOS, Linux, Xbox, PlayStation 2, PDA uređaje, pisače, IP telefone itd.;
podrška za antiviruse CA, F-Secure, Eset, Kaspersky Lab, McAfee, Panda, Dr.Web, Sophos, Symantec, TrendMicro i druge alate za zaštitu računala (ukupno 250 proizvođača);
Stavljanje u karantenu neprikladnog hosta primjenom ACL-ova ili VLAN-ova;
stvaranje "bijelog" popisa čvorova kako bi se ubrzao njihov pristup mrežnim resursima;
automatska instalacija ažuriranja koja nedostaju, nove verzije zaštitnih alata ili ažuriranje zastarjelih antivirusnih baza podataka;
centralizirano web upravljanje;
podrška za ruski jezik;
provođenje transparentne revizije.

Arhitektura i rad Cisco NAC uređaja

Cisco NAC je softversko i hardversko rješenje za internu informacijsku sigurnost koje iskorištava mrežnu infrastrukturu za provođenje politika informacijske sigurnosti i ograničava pristup mreži uređajima koji ne ispunjavaju zahtjeve pravila informacijske sigurnosti.

Glavne funkcionalne komponente rješenja su Clean Access Server (CAS) i Clean Access Manager (CAM). CAM je odgovoran za konfiguriranje sigurnosnih pravila, a CAS je odgovoran za njihovo izvršavanje.

Oprema se može instalirati u konfiguraciji otpornoj na greške u kojoj se izvodi Active/Standby Failover.

Slika 3 prikazuje stanje sustava u kojem se korisnik nalazi u posebno kreiranom autentifikacijskom VLAN-u iz kojeg je korisniku dopušten pristup DHCP servisu i drugima, u skladu s politikama konfiguriranim na CAM-u.

Slika 3: Nema pristupa mreži

Nakon što je korisnik provjeren u skladu s politikama informacijske sigurnosti, dopušta mu se ulazak u mrežu dodjeljivanjem porta preklopnika određenom VLAN-u (Slika 4).

Korisnici mogu proći proceduru autentifikacije ili korištenjem specijaliziranog agenta - Cisco Clean Access, koji također prikuplja informacije za provjere, ili korištenjem web autentifikacije.

Slika 4: Cisco NAC - Dopušten pristup mreži

Logiku sustava čine komponente - provjere, pravila i zahtjevi koji se primjenjuju na svaku pojedinu korisničku ulogu.

Na primjer, možete kreirati nekoliko uloga koje odgovaraju odjelima tvrtke i za svaku ulogu možete konfigurirati određene zahtjeve, čije ispunjenje postaje preduvjet za pristup korporativnom okruženju.

Slika 5: Cisco NAC - Logika rada sustava

Dostupne su različite opcije provjere. Možete provjeriti prisutnost pokrenute aplikacije na računalu, instaliranje potrebnih zakrpa za operativni sustav, verziju antivirusnih baza podataka i druge provjere.

Sustav informacijske sigurnosti zahtijeva obaveznu prisutnost sustava za praćenje događaja koji se događaju na mreži. U te svrhe predviđeno je korištenje proizvoda Cisco Security Monitoring, Analysis and Response System (Cisco MARS).

Cisco sustav sigurnosnog nadzora, analize i odgovora (MARS)

Suvremena poduzeća stalno se suočavaju s problemima vezanim uz informacijsku sigurnost.

Složenost mrežne infrastrukture podrazumijeva povećanje broja zaštitnih sredstava - ti uređaji mogu biti zasebni vatrozidi, usmjerivači s određenim softverskim funkcionalnostima, preklopnici, razni IPS sustavi, IDS, HIPS sustavi, kao i razni antivirusni sustavi, mail proxy poslužitelji, web-proxy i drugi slični sustavi.

Veliki broj sigurnosnih sredstava dovodi do problema u upravljanju, jer se povećava broj kontrolnih točaka, povećava se i broj snimljenih događaja, a time i vrijeme potrebno za donošenje odluka (vidi sliku 6).

Slika 6: Proces donošenja odluka za sprječavanje napada

U tom smislu, poduzeću je potreban sustav više razine koji je sposoban procijeniti postojeću razinu informacijske sigurnosti bilježenjem i korelacijom događaja primljenih u sustav.

Cisco MARS sustav za nadzor i odgovor pruža ove funkcije.

Ključne značajke Cisco MARS-a

Cisco MARS je softversko i hardversko rješenje u serverskoj verziji. Softver sustava temelji se na operativnom sustavu Linux (kernel 2.6). Glavna komponenta sustava je Oracle baza podataka, koja se koristi za pohranu informacija.

Cisco MARS ima mogućnost prikupljanja informacija s raznih uređaja koristeći Syslog, SNMP, NetFlow protokole, a također ima mogućnost primanja sistemskih log datoteka.

MARS podržava opremu raznih proizvođača kao što su Cisco, IBM, Check Point, Nokia, Symantec, McAfee, Netscape i drugi.

Logika rada Cisco MARS sustava temelji se na upitima prema bazi podataka. Možete odabrati informacije i pročistiti ih prema izvornoj IP adresi, odredišnoj IP adresi, priključcima, vrstama događaja, uređajima, ključnim riječima i tako dalje.

Na temelju zahtjeva se temelje određena pravila koja su grupirana u sustavu. Cisco MARS baza podataka sadrži više od 2000 pravila. Možete kreirati vlastita pravila i tako fleksibilno prilagoditi sustav određenim vrstama percipiranih prijetnji.

Nakon spremanja pravila i otkrivanja informacija koje zadovoljavaju ovo pravilo, generira se incident.

Razmatrajući rad Cisco MARS-a, možemo ponuditi konkretan primjer napada na host (vidi sliku 7).

Slika 7: Izvođenje napada na host

Sastavljen je stalak koji sadrži Cisco MARS, nekoliko preklopnika i prijenosno računalo s instaliranim proizvodom Cisco Security Agent. Kako bi se emulirao napad, host servisi su skenirani pomoću uslužnog programa NMAP.

Događaji izgledaju ovako:

Cisco Security Agent otkrio je skeniranje porta;
Informacija o tome stigla je do upravljačkog centra sustava Cisco Security Agent, koji je pak poslao poruku MARS-u;
MARS je raščlanio i normalizirao primljenu poruku u jedinstveni oblik koji pruža MARS baza podataka;
MARS je proizveo korelacije sesija;
Ovaj je događaj provjeren pomoću pravila konfiguriranih na MARS-u za bilježenje incidenata sigurnosti informacija;
Provjereno na lažno pozitivne;
Generiran je incident i informacija je poslana administratoru.

Na početnoj stranici Cisco MARS-a pojavila se informacija da se dogodio informacijski sigurnosni incident s mreže (vidi sliku 8), a prikazan je i put širenja napada (vidi sliku 9).

Slika 8: Prikaz informacija o napadu na Cisco nadzornoj ploči MARS

Slika 9: Put napada u Cisco panelu MARS

Klikom na gumb “Toggle Topology” možete vidjeti stvarnu mrežnu topologiju i putanju širenja napada (vidi sliku 10).

Slika 10: Mrežna topologija putanje širenja napada na nadzornoj ploči Cisca MARS

Kako bi odgovorio na incident, Cisco MARS nudi nekoliko opcija za sprječavanje napada temeljenog na mrežnom uređaju (vidi sliku 11):

Slika 11: Odgovor za sprječavanje napada

Cisco MARS također ima fleksibilan sustav izvještavanja, koji omogućuje dobivanje detaljnih podataka o svim registriranim događajima. To omogućuje implementaciju principa poboljšanja zaštite (vidi sliku 12).

Slika 12: Princip poboljšanja sigurnosti

Primjer cjelovitog rješenja

Razmotrimo sveobuhvatno rješenje temeljeno na gore navedenim proizvodima za središnji ured tvrtke K.

Tvrtka K ima 100 zaposlenih u tri odjela u sjedištu. Za kontrolu pristupa korisnika koristi se sustav Microsoft Active Directory.

Potrebno je riješiti sljedeće zadatke:

osigurati usklađenost s politikama informacijske sigurnosti stvorenim za zaposlenike svakog odjela;
imati ažurne informacije o softveru koji radi na određenim hostovima;
moći kontrolirati pristup vanjskim sustavima za hostove koji se nalaze izvan korporativnog okruženja;
omogućiti pristup mreži na temelju navedenih politika informacijske sigurnosti;
osigurati da se određene provjere izvode za host na temelju korisničkog računa domene;
omogućiti praćenje događaja koji se odvijaju na mreži, kao i prikupljanje informacija korištenjem NetFlow protokola.

Konfiguriranje pravila Cisco Security Agenta

Prvo definiramo prava pristupa svakoj grupi korisnika. U skladu s ovim pravilima pristupa, prava pristupa domeni i pravila filtriranja konfiguriraju se na aktivnoj mrežnoj opremi.

Možete stvoriti pravila pristupa mreži pomoću Cisco Security Agenta, ali ta su pravila prilično privatne prirode. Na primjer, određenom korisniku možete zabraniti pristup određenom resursu (IP, TCP/IP). U ovom primjeru, mrežna pravila nisu stvorena za CSA.

Prvi korak je stvoriti politiku za sve korisničke grupe u CSA-u koja onemogućuje onemogućavanje aplikacije agenta. Ova se politika odnosi na sve korisnike, uključujući lokalne administratore.

Zatim se pokreće proces za prikupljanje informacija o softveru instaliranom na računalima - proces koji se zove Application Deployment Investigation. Kao rezultat, dobivamo izvješće (vidi sliku 13).

Slika 13: Izvješće o instaliranim aplikacijama pomoću Cisca Sigurnost Agent

U budućnosti možemo klasificirati te aplikacije, na primjer, izdvajajući iz ukupnog broja uredskih aplikacija, ICQ klijenata, P2P aplikacija, aplikacija za e-poštu i tako dalje. Također, korištenjem CSA moguće je analizirati ponašanje određene aplikacije za daljnje kreiranje politika informacijske sigurnosti.

Za sve korisnike u sjedištu kreirana su opća pravila za sve identificirane aplikacije. Implementacija se provodi u fazama - prvo se politika informacijske sigurnosti provodi u načinu revizije, što vam omogućuje praćenje svih događaja, ali ne i utjecaj na trenutne radnje korisnika. Nakon toga se revidirana politika stavlja u operativni način rada.

Osim statičke klasifikacije aplikacija, CSA predviđa dinamičku klasifikaciju - metodu dinamičke klase. Na primjer, Microsoft Word aplikaciju možemo klasificirati u dvije klase aplikacija – lokalne i mrežne, a ovisno o tome na nju se mogu primijeniti različite sigurnosne politike (vidi sliku 14).

Slika 14: Dinamičke klase za klasifikaciju aplikacija

Za antivirusnu zaštitu CSA ima ugrađen antivirusni modul ClamAV. Ako imate antivirusni program, ovaj modul se može onemogućiti.

Kontrola curenja informacija

Kako bi se spriječilo curenje povjerljivih informacija, CSA nudi poseban modul pod nazivom Data Loss Prevention.

Kada je ovaj softverski modul aktiviran, CSA agent skenira datoteke u potrazi za povjerljivim informacijama. Klasifikacija podataka postavlja se ručno na temelju predložaka – oznaka za skeniranje (vidi sliku 15). Moguće je izvršiti skeniranje u sjeni, kao i skeniranje prilikom otvaranja/zatvaranja datoteka.

Slika 15: Klasifikacija povjerljivih podataka

Nakon obavljene klasifikacije potrebno je izraditi i primijeniti politike informacijske sigurnosti za aplikacije koje rade s ovim datotekama. Potrebno je kontrolirati pristup tim datotekama, ispis, prijenos na vanjski medij, kopiranje u međuspremnik i druge događaje. Sve se to može učiniti pomoću standardnih predložaka i pravila koji su unaprijed instalirani u Cisco Security Agentu.

Postavljanje Cisco NAC (Clean Access)

Kada započinjete s konfiguracijom Cisco NAC-a, morate jasno razumjeti operativnu logiku ovog sustava za svaku specifičnu korisničku grupu.

U slučaju implementacije u tvrtki K, planirano je da svi korisnici prvo padnu u jedan VLAN (Vlan 110 na slici 16). Dok su u ovom VLAN-u, prolaze autentifikaciju i provjeru usklađenosti sa zahtjevima politika informacijske sigurnosti. Pristup s ovog VLAN-a korporativnim mrežnim resursima je ograničen. Na drugoj razini OSI modela korisnicima je dostupan samo Clean Access Server. U isto vrijeme, koristeći DHCP, korisnici dobivaju IP adrese iz VLAN-ova koji rade, što eliminira potrebu za ponovnim dobivanjem IP adrese.

Slika 16: Autentifikacijski VLAN

Ako je provjera uspješna, korisnik se prebacuje na "radni" VLAN (Vlan 10 na slici 17). Ovaj VLAN broj dodjeljuje se prema organizacijskoj jedinici (OU) kojoj korisnik pripada u Active Directory. Ova funkcionalnost je omogućena korištenjem korisničkih uloga u NAC sustavu.

Slika 17: Prijenos korisnika na "radni" VLAN

Svi korisnici tvrtke K moraju se pridržavati najnovijih kritičnih ažuriranja za operativni sustav Windows i pokrenuti Cisco Security Agent.

Pogledajmo kako možete provjeriti status Cisco Security Agenta na osobnim računalima korisnika:

kreira se nova provjera (vidi sliku 18);
zatim se kreira pravilo (vidi sliku 19);
stvoren je zahtjev (vidi sliku 20);
U konačnici, ovaj zahtjev se odnosi na korisničku ulogu.

Slika 18: Stvaranje nove provjere statusa Cisco Security Agenta

Slika 19: Stvaranje pravila za provjeru statusa novog Cisco Security Agenta

Slika 20: Stvaranje zahtjeva za novu zdravstvenu provjeru Cisco Security Agenta

Kao rezultat izvršene konfiguracije, za sve korisnike HR grupe moraju biti zadovoljeni radni uvjeti Cisco Security Agenta za pristup mrežnim resursima.

Pomoću Cisco NAC-a moguće je provjeriti relevantnost antivirusnih baza podataka, status servisa na krajnjim hostovima i druge važne stvari.

Svaka opcija konfiguracije je individualna, ali u isto vrijeme sustav u početku ima bogat skup zahtjeva koji olakšavaju njegovu brzu implementaciju.

Postavljanje Cisco MARS-a

Cisco Security Agent i Cisco NAC imaju bogat sustav za pružanje izvještajnih informacija, ali za mogućnost korelacije događaja, kao i za prikupljanje informacija o događajima s različitih uređaja, predlaže se korištenje Cisco MARS sustava.

Osnovne postavke za Cisco MARS sustav uključuju dodavanje uređaja u sustav (firewall, IPS, IDS, antivirusni sustavi, mail sustavi itd.), postavljanje NetFlow izvoza na MARS poslužitelj i podešavanje korisnika.

MARS već ima velik broj predefiniranih pravila (vidi sliku 21), što vam omogućuje brzo puštanje sustava u rad i primanje ažurnih informacija o stanju informacijske sigurnosti.

Slika 21: Predefinirana pravila s Ciscom MARS

Za dublju prilagodbu potrebno je izraditi vlastita pravila u skladu s predviđenim modelima prijetnji koji će analizirati dolazne informacije.

Ako su svi potrebni uvjeti navedeni u pravilu prisutni, kreira se incident koji se može vidjeti na glavnoj ploči sustava. Također je moguće poslati obavijest na e-mail osoblja koje servisira Cisco MARS.

Na taj način Cisco MARS transformira sirove podatke o zlonamjernim aktivnostima koje pruža mreža i sigurnosni sustav u razumljive informacije koje se mogu koristiti za rješavanje sigurnosnih proboja korištenjem opreme koja već postoji na mreži.

Zaključak

Složeni sustav koji se razmatra rješava širok raspon problema, omogućujući administratorima da identificiraju i uklone kršenja sigurnosnih politika tvrtke što je brže moguće.

Proizvodi korišteni u ovom članku su integralni sustavi i mogu raditi odvojeno jedan od drugog, ali u kombinaciji ovih sustava leži strategija samoobrambene mreže koja može izdržati najnovije (zero-day) sigurnosne prijetnje.

Zabijakin Igor
Vodeći inženjer NTS LLC (NTS Ltd.)

Ako ste zainteresirani za implementaciju proizvoda za informacijsku sigurnost tvrtke Cisco Systems, tada se možete obratiti predstavnicima NTS-a.

Hardverski i softverski sustav CISCO MARS dizajniran je za upravljanje sigurnosnim prijetnjama. Izvori informacija o njima mogu biti: mrežna oprema (usmjerivači i preklopnici), sigurnosni alati (vatrozidi, antivirusi, sustavi za detekciju napada i sigurnosni skeneri), OS dnevnici (Solaris, Windows NT, 2000, 2003, Linux) i aplikacije (DBMS, web itd.), kao i mrežni promet (na primjer, Cisco Netflow). Cisco MARS podržava rješenja raznih proizvođača - Cisco, ISS, Check Point, Symantec, NetScreen, Extreme, Snort, McAfee, eEye, Oracle, Microsoft itd.

Mehanizam ContextCorrelation TM omogućuje analizu i usporedbu događaja iz heterogenih sigurnosnih alata. Njihova vizualizacija na karti mreže u stvarnom vremenu postiže se korištenjem SureVector TM motora. Ovi mehanizmi omogućuju prikaz putanje širenja napada u stvarnom vremenu. Automatsko blokiranje otkrivenih napada postiže se pomoću mehanizma AutoMitigate TM koji vam omogućuje rekonfiguraciju različitih sigurnosnih mjera i mrežne opreme.

Glavne značajke

Obrada do 10.000 događaja u sekundi i više od 300.000 Netflow događaja u sekundi
Sposobnost stvaranja vlastitih pravila korelacije
Obavijest o otkrivenim problemima putem e-maila, SNMP-a, syslog-a i pagera
Vizualizacija napada na razini podatkovne veze i mreže
Podržava Syslog, SNMP, RDEP, SDEE, Netflow, sistemske i korisničke zapisnike kao izvore informacija
Mogućnost povezivanja vlastitih sigurnosnih alata za analizu
Učinkovito suzbija lažne pozitive i buku, kao i otkriva napade propuštene posebnim sigurnosnim mjerama
Otkrivanje anomalija korištenjem NetFlow protokola
Stvorite i automatski ažurirajte mapu mreže, uključujući uvoz iz CiscoWorksa i drugih sustava za upravljanje mrežom
Podržava IOS 802.1x, NAC (faza 2)
Mehanizmi zaštite prekidača za nadzor (Dynamic ARP Inspection, IP Source Guard, itd.)
Integracija s Cisco Security Managerom (CSM Police Lookup)
Integracija s korištenjem sustava upravljanja incidentima
Autentikacija na RADIUS poslužitelju
Praćenje zdravlja Cisco MARS komponente
Syslog prosljeđivanje
Dinamičko prepoznavanje novih potpisa napada na Cisco IPS i njihovo učitavanje u Cisco MARS

Ciscov sustav za nadzor, analizu i odgovor na sigurnost MARS (Cisco sustav za nadzor, analizu i odgovor na sigurnost) je hardverski uređaj koji pruža detaljne mogućnosti nadzora i kontrole postojećeg sigurnosnog sustava, otkrivanje, upravljanje i odbijanje sigurnosnih prijetnji.

Mrežni i sigurnosni administratori mogu naići na sljedeće probleme:

Vrlo velika količina informacija o stanju mreže i sigurnosti sustava;
Nedovoljna učinkovitost alata za otkrivanje, određivanje značaja napada i kvarova te razvijanje odgovora;
Velika brzina i složenost napada i visoki troškovi oporavka nakon napada;
Potreba za izradom izvješća za prolazak revizije i provjere usklađenosti.

Cisco MARS značajke

Prikupljanje i obrada informacija

Cisco Security MARS prikuplja i integrira sve informacije o topologiji mreže, konfiguraciji mrežnih uređaja i sigurnosnim pravilima, primajući ih od mrežnih uređaja i sigurnosnih sustava, kao i analizirajući mrežni promet. U isto vrijeme, upotreba agenata je minimalna, što ne smanjuje performanse mreže i sustava u cjelini.

Cisco Security MARS centralno prikuplja datoteke dnevnika s usmjerivača, preklopnika, vatrozida, sustava za otkrivanje upada, skenera ranjivosti, antivirusnih aplikacija, poslužitelja s operativnim sustavima Windows, Solaris, Linux, aplikacijskih programa (na primjer, web poslužitelja, poslužitelja za autentifikaciju), DBMS-a, kao kao i programe za obradu prometa (na primjer, Cisco NetFlow).

Otkrivanje korelacije događaja

Prikupljene informacije organizirane su ovisno o topologiji mreže, konfiguraciji uređaja, izvornoj i odredišnoj adresi. Na temelju primljenih informacija povezani događaji grupiraju se u sesije u stvarnom vremenu. U skladu s pravilima sustava i onima koje postavlja administrator, Cisco MARS analizira sesije kako bi identificirao incidente, kvarove i napade.

Cisco MARS dolazi s velikim skupom sistemskih pravila koja se redovito ažuriraju i uključuju otkrivanje većine kombiniranih napada, zero-day napada, mrežnih crva itd. Administrator može kreirati pravila za bilo koju aplikaciju pomoću grafičkog sučelja.

Identifikacija korelacije događaja strukturira informacije o mreži i sigurnosti sustava, čime se smanjuje količina informacija potrebnih za donošenje odluka i pomaže u određivanju prioritetnih radnji za odgovor na napade, te kao rezultat toga povećava učinkovitost poduzetih mjera.

Prikupljanje i akumulacija velikih količina podataka

Cisco MARS prima informacije o mnogim događajima na mreži, zatim strukturira podatke i komprimira ih za arhiviranje. Obrada ogromnih količina podataka moguća je zahvaljujući korištenju učinkovitih algoritama i ugrađenoj bazi podataka visokih performansi, čija je konfiguracija potpuno transparentna administratoru.

Za prijenos podataka na sekundarne uređaje za arhiviranje, kao i za mogućnost vraćanja konfiguracija nakon kvarova, Cisco MARS podržava NFS mrežni datotečni sustav i sigurni FTP protokol.

Vizualizacija incidenata i odbijanje napada

Cisco Security MARS može pomoći administratorima da brže i lakše identificiraju napade i kvarove, potvrde incidente i implementiraju mjere za ublažavanje napada.

Cisco MARS pruža snažne grafičke alate s kojima možete izgraditi mapu mreže (uključujući napadnute čvorove, staze napada), prikazati potpune informacije o napadima i incidentima. To vam omogućuje brzo poduzimanje radnji za odbijanje napada.

MARS analizira sesije događaja kako bi otkrio i potvrdio napade i prikupio informacije o njima (sve do MAC adresa krajnjih čvorova). Ovaj automatizirani proces dopunjen je analizom sigurnosnih log datoteka (vatrozid, sustavi za otkrivanje upada, itd.) i Ciscovim vlastitim MARS provjerama za lažne rezultate.

Osim činjenice da Cisco MARS omogućuje dobivanje potpunih informacija o napadu, sustav automatski identificira hostove ranjive na napad i generira naredbe koje korisnik može izvršiti kako bi odbio napad.

Prikupljanje informacija u stvarnom vremenu i izvješćivanje o usklađenosti

Ono što izdvaja Cisco Security MARS su njegovi alati jednostavni za korištenje za organiziranje informacija o mreži i sigurnosti sustava za automatsku identifikaciju statusa sustava, incidenata i odgovora za rutinske operacije i inspekcije i revizije.

Cisco MARS pruža mogućnost grafičkog prikaza napada u stvarnom vremenu i rekonstruiranja obrazaca napada i incidenata prilikom analize povijesnih događaja.

Cisco Security MARS pruža mogućnosti izvješćivanja za razne svrhe: za razvoj planova oporavka od katastrofe, za analizu incidenata i mrežnih aktivnosti, za reviziju trenutnog sigurnosnog stanja, a izvješća se mogu kreirati u obliku teksta, tablica, grafikona i dijagrama. Također postoje mogućnosti izrade izvješća o usklađenosti s mnogim stranim standardima (PCI DSS, Sarbanes-Oxley, HIPAA itd.).

Brza implementacija i fleksibilno upravljanje

Cisco Security MARS zahtijeva mrežnu vezu s mogućnošću slanja i primanja datoteka dnevnika, SNMP poruka i uspostavljanja sesija s mrežnim uređajima i sigurnosnim uređajima korištenjem standardnih ili sigurnosnih protokola specifičnih za dobavljača.

Instalacija Cisco MARS-a ne zahtijeva dodatni hardver, ažuriranja operativnog sustava, dodatne licence ili dodatni rad. Za rad trebate samo koristiti web sučelje za konfiguraciju mrežnih uređaja i sigurnosnih alata za povezivanje na Cisco MARS, kao i za konfiguraciju mreža i mrežnih čvorova koje je potrebno nadzirati.

Cisco MARS vam omogućuje prijenos log datoteka na vanjski poslužitelj radi integracije s vašom postojećom mrežnom infrastrukturom. Cisco Security MARS također omogućuje instalaciju dodatnog upravljačkog uređaja (Global Controller), koji omogućuje: hijerarhijsko upravljanje nekoliko Cisco MARS sustava, konsolidaciju izvješća iz pojedinačnih sustava, postavljanje pravila i predložaka izvješća te ažuriranja za lokalne Cisco MARS sustave.

Detaljan opis značajki Cisco MARS

Dinamička korelacija sesije:

Otkrivanje anomalija uključujući NetFlow informacije
Korelacija događaja na temelju ponašanja i pravila
Opća ugrađena i korisnički definirana pravila
Automatska normalizacija prevedenih mrežnih adresa

Konstrukcija topološkog dijagrama:

Usmjerivači, preklopnici i vatrozidi sloja 2 i 3
Moduli i uređaji sustava za detekciju upada u mrežu
Ručna ili planska gradnja
SSH, SNMP, Telnet i komunikacije specifične za uređaj

Analiza ranjivosti:

Detekcija provale temeljena na mreži ili krajnjem čvoru
Analiza konfiguracije preklopnika, usmjerivača, vatrozida i NAT-a
Automatska obrada podataka skeniranja ranjivosti
Automatska i korisnički definirana lažno pozitivna analiza

Analiza prekršaja i odgovor:

Individualna nadzorna ploča za upravljanje sigurnosnim događajima
Kombiniranje podataka o događaju sesije s kontekstom svih pravila
Grafički prikaz putanje napada s detaljnom analizom
Profili uređaja na putu napada s određivanjem MAC adresa krajnjih čvorova
Grafički i detaljan sekvencijalni prikaz vrste napada
Pojedinosti o kršenju, uključujući pravila, neobrađene događaje, uobičajene ranjivosti i utjecaj na mrežu te opcije odgovora
Trenutačna analiza prekršaja i identifikacija lažno pozitivnih rezultata
Definirajte pravila koristeći GUI za podršku prilagođenim pravilima i analizi ključnih riječi
Procjena kršenja s izdavanjem radnog lista za korisnike koji opisuje radnje korak po korak
Obavijest uključujući e-poštu, dojavljivač, syslog i SNMP

Generiranje upita i izvješća:

Grafičko korisničko sučelje koje podržava širok raspon standardnih i prilagođenih upita
Preko 80 uobičajenih izvješća, uključujući izvješća o upravljanju, radu i usklađenosti
Generator izvješća s vizualnim sučeljem koje vam omogućuje stvaranje neograničenog broja prilagođenih izvješća
Tekstualni, grafički i opći format izvješća koji podržava izvoz u HTML i CSV datoteke
Izrada izvještaja spremnih za tisak, grupnih, standardnih itd

administracija:

HTTPS web sučelje; administracija temeljena na ulogama s određenim dopuštenjima
Hijerarhijsko upravljanje više Cisco MARS sustava pomoću globalnog kontrolera
Automatska ažuriranja uključujući podršku uređaja, nova pravila i značajke
Trajno premjestite neobrađene arhive podataka o povredama u izvanmrežnu NFS pohranu

Podrška za uređaj:

Mrežna aktivna oprema: softver Cisco IOS, verzije 11.x i 12.x; Cisco Catalyst OS verzija 6.x; Cisco NetFlow verzije 5.0 i 7.0; Extreme Extremeware verzija 6.x.
Vatrozidi/VPN: Cisco Adaptive Security Appliance verzija 7.0, softver Cisco PIX sigurnosni uređaj verzije 6.x i 7.0; Vatrozid Cisco IOS verzija 12.2(T) ili novija; Funkcijski modul Cisco vatrozida (FWSM) verzije 1.x, 2.1 i 2.2; softver za Cisco VPN 3000 verzija 4.0; vatrozid Checkpoint Vatrozid-1 NG FP-x i VPN-1 verzije FP3, FP4 i AI; Vatrozid NetScreen verzije 4.x i 5.x; Verzije Nokia vatrozida FP3, FP4 i AI.
IDS sustavi: Cisco IDS verzija 3.x, 4.x i 5.0; Cisco IDS modul verzije 3.x i 4.x; Cisco IOS IPS verzija 12.2; Enterasys Dragon NIDS verzija 6.x; ISS RealSecure mrežni senzor verzije 6.5 i 7.0; Snort NIDS verzija 2.x; McAfee Intrushield NIDS verzija 1.5 i 1.8; NetScreen IDP sustav verzija 2.x; OS verzije 4.x i 5.x; Sustav Symantec MANHUNT.
Sustavi za procjenu ranjivosti: eEye REM verzija 1.x i FoundStone FoundScan verzija 3.x.
Sigurnosni sustavi krajnjih točaka: Cisco Security Agent verzija 4.x; McAfee Entercept verzija 2.5 i 4.x; senzor za krajnje čvorove ISS RealSecure Host Sensor verzije 6.5 i 7.0.
Antivirusni softver: Symantec Antivirus verzija 9.x.
Autentifikacijski poslužitelji: Cisco ACS poslužitelj verzije 3.x i 4.x.
End node operativni sustavi: Windows NT, 2000 i 2003 (sa i bez agenata); Solaris OS verzije 8.x, 9.x i 10.x; Linux OS verzija 7.x.
Primjene: Web poslužitelji (ISS, iPlanet i Apache); Oracle 9i i 10g; NetCache.
Univerzalna podrška uređaja za prikupljanje i praćenje zapisnika sustava bilo koje aplikacije.

Dodatne hardverske značajke:

Uređaji za posebne namjene, 19" montaža u rack; UL certifikat.
OS s poboljšanom zaštitom; firewall sa smanjenim skupom funkcija.
Dva Ethernet 10/100/1000 sučelja.
DVD-ROM s diskovima za oporavak.

Rješenje za upravljanje sigurnosnim informacijama CiscoWorks (SIMS)

Predstavljamo opis sustava za nadzor mreže, prikupljanje podataka, obradu i upravljanje mrežnim uređajima.

Rješenje za upravljanje sigurnosnim informacijama CiscoWorks (SIMS) je sustav za upravljanje, praćenje i prikupljanje statistike, čija se arhitektura temelji na višerazinskom modelu (slika 1), koji omogućuje proširenje sustava korak po korak kako mrežna infrastruktura poduzeća raste.
SIMS predstavlja jezgru - jedinstvenu točku za prikupljanje svih incidenata u mreži, njihovu klasifikaciju i kontinuirano praćenje.

Glavne zadaće SIMS-a:

praćenje;
prikupljanje podataka dobivenih od vatrozida, uređaja, detekcije napada, antivirusnih i operativnih sustava, kao i aplikacija;
analiza i obrada podataka;
prikaz konačnog rezultata u grafičkom obliku - izvješća i dijagrami;

SIMS omogućuje dobivanje podataka o mogućim kršenjima sigurnosti ne samo pojedinog uređaja, npr. IDS-a, već mreže u cjelini, a to omogućuje uvid u prednosti/slabosti u organizaciji mrežne sigurnosti.
SIMS je namijenjen mrežama velikih poduzeća i Internet providera s mrežama od 30 do nekoliko tisuća čvorova, a može raditi zajedno sa sustavima kao što su HP Openview i Micromuse. Također, kada se otkriju upadi u mrežu, SIMS može stvoriti incidente koji opisuju problem i poslati ih službi tehničke podrške korporativne mreže.

Središnja komponenta sustava je kernel. To je sustav brzog odgovora koji je distribuirana aplikacija. SIMS vam omogućuje primanje obavijesti o kršenjima sigurnosnih pravila bilo gdje u korporativnoj mreži, generira izvješća i omogućuje im pristup iz bilo koje aplikacije koja podržava web sučelje.

Princip rada SIMS tehnologije može se podijeliti u 4 dijela:

1. Normizacija.

Podatke s raznih mrežnih uređaja prikupljaju agenti (slika 2), koji obrađuju događaje, skupljaju ih u grupe (prepoznaju do 20 tisuća različitih događaja), svode ih na jedan tip podataka (IDMEF) i šalju putem TCP-a na poslužitelj. s instaliranom glavnom aplikacijom (SIMS core) za obradu podataka.

2. Udruga.

SIMS jezgra distribuira primljene podatke u 9 grupa (slika 3) ovisno o stupnju važnosti sa sigurnosnog gledišta. U velikim mrežama, zbog skalabilnosti sustava, nekoliko takvih poslužitelja može se koristiti za pružanje distribuirane obrade.

3.Analiza dobivenih podataka.
Sustav analizira i obrađuje primljene podatke. U ovoj fazi rada sustava možete postaviti postavke za predloške, sigurnosne politike i diferencijaciju razina zaštite za različite dijelove mreže.

4.Vizualizacija.

U četvrtoj i posljednjoj fazi, SIMS predstavlja rezultat svog rada u prikladnom grafičkom obliku (slika 4). Sustav omogućuje izradu različitih grafikona, tablica i dijagrama za vizualni prikaz podataka. Pomoću parametara pohranjenih u bazi podataka sustava moguće je provesti komparativnu analizu kako prema pojedinim kriterijima tako i prema sustavu u cjelini.

Prednosti proizvoda:

Skalabilnost
Distribuirana arhitektura
Integracija s Openview i Micromuse

SIMS se može kupiti kao zasebni softver i instalirati na poslužitelj ili već instaliran na poslužiteljsku platformu visokih performansi.

Stol 1. Informacije za naručivanje rješenja SIMS 3.1 s hardverskom platformom.

Tablica 2. Informacije o naručivanju SIMS 3.1 (samo softver)

Brojevi proizvoda	Opis
CWSIM-3.1-SS-K9	Osnovna konfiguracija SIMS 3.1 za OC Solaris; Uključuje licencu za nadzor do 30 mrežnih uređaja, licencu za 1 glavni poslužitelj za obradu podataka, 1 dodatni poslužitelj za distribuiranu obradu podataka i 1 poslužitelj za jednu bazu podataka.
CWSIM-3.1-SL-K9	Osnovna konfiguracija SIMS 3.1 za OS Linux; Uključuje licencu za nadzor do 30 mrežnih uređaja, licencu za 1 glavni poslužitelj za obradu podataka, 1 dodatni poslužitelj za distribuiranu obradu podataka i 1 poslužitelj za jednu bazu podataka.
CWSIM-3.1-DS-K9	Dodatna licenca poslužitelja za pohranu za postojeće CiscoWorks SIMS 3.1 rješenje koje pokreće Solaris OS.
CWSIM-3.1-DL-K9	Dodatna licenca poslužitelja za pohranu za postojeće CiscoWorks SIMS 3.1 rješenje koje pokreće Linux.
CWSIM-3.1-ADD20-K9	Licenca za dodavanje 20 agenata u radno rješenje CiscoWorks SIMS 3.1 koje pokreće OS Solaris ili Linux.
CWSIM-3.1-MON30-K9	SIM 3.1 licenca za Cisco Secure Agent za nadzor 30 poslužitelja 300 radnih stanica
CWSIM-3.1-MON75-K9	SIM 3.1 licenca za Cisco Secure Agent za nadzor 75 poslužitelja 750 radnih stanica
CWSIM-3.1-HR-K9	Licenca za dodavanje poslužitelja za distribuiranu obradu podataka koji pokreće Solaris ili Linux OS.
CWSIM-3.1-20LND-K9	Licenca za nadzor do 20 low-end uređaja i OS-a na poslužiteljima
CWSIM-3.1-100LNDK9	Licenca za nadzor do 100 low-end uređaja i OS-a na poslužiteljima
CWSIM-3.1-500LNDK9	Licenca za nadzor do 500 low-end uređaja i OS-a na poslužiteljima

Tablica 3. Minimalni zahtjevi za instaliranje softvera SIMS 3.1.

Hardver	Zahtjevi
CPU	Linux: Dual Intel Pentium 4 1,5 GHz (klasa poslužitelja)
CPU	Solaris: Dual UltraSPARC-IIi 444 MHz (klasa poslužitelja)
radna memorija	4 GB
Slobodan prostor na disku	18 GB
Uređaj za pohranu	CD ROM

Za više informacija posjetite web stranicu Cisco Systems http://www.cisco.com/go/sims

Cisco sustav sigurnosnog nadzora, analize i odgovora (CS-MARS)

Cisco sustav za nadzor, analizu i odgovor na sigurnost (CS-MARS) - je sustav za nadzor mreže koji omogućuje korelaciju mrežnih sigurnosnih događaja i provodi pravila za proaktivan odgovor na neovlašteni pristup i upad u mrežu. Sustav se sastoji od softvera instaliranog na poslužitelju visokih performansi.

Glavne funkcije sustava:

nadzor mreže;
izgradnja mrežnog grafikona;
otkrivanje mrežnih napada i njihovo grafičko prikazivanje;
proučavanje postavki mrežnih uređaja;
analiza prikupljanja podataka i obrada podataka primljenih s raznih mrežnih uređaja;
prikaz konačnog rezultata u obliku grafikona, izvješća i dijagrama;

MARS prikazuje mrežnu infrastrukturu u grafičkom obliku, prikazujući širenje mrežnih napada u stvarnom vremenu (slika 1). Analizirajući konfiguracije usmjerivača, preklopnika i vatrozida, MARS je dovoljno inteligentan da uđe u trag izvoru infekcije do neovlaštenog pristupa, čak i ako je iza vatrozida.

Za izgradnju mrežne topologije (sl. 2), interakciju s preklopnicima (moraju podržavati SNMP STP MIB) i usmjerivačima (moraju podržavati SNMP MIB II), MARS koristi snmp protokol, a za interakciju s vatrozidom i dobivanje njihove konfiguracije, sustav koristi telnet, SSH i CPMI.

MARS bilježi i prepoznaje događaje koje mogu generirati gotovo svi mrežni uređaji:

mrežni uređaji: Cisco IOS 11.x, 12.2, Catalyst OS 6.x, NetFlow 5.0, 7.0, Extreme Extremeware 6.x;
ITU/VPN: Cisco PIX Firewall 6.x, IOS Firewall, FWSM 1.x, 2.2, Concentrator 4.0, Checkpoint Firewall-1 NGx, VPN-1, NetScreen Firewall 4.0, 5.0, Nokia Firewall;
IDS: Cisco NIDS 3.x, 4.x, mrežni IDS modul 3.x, 4.x, Enterasys Dragon NIDS 6.x ISS RealSecure Network Sensor 6.5, 7.0, Snort NIDS 2.x, McAfee Intrushield NIDS 1.x, NetScreen IDP 2.x, OS 4.x, 5.x, Symantec MANHUNT;
Antivirusni softver: Symantec A/V;
Autentifikacijski poslužitelji: Cisco ACS;
Operativni sustavi: Windows NT, 2000, 2003 (sa ili bez agenta), Solaris, Linux (zahtijeva instalaciju agenta);
Primjene: Web poslužitelji (ISS, iPlanet, Apache), Oracle 9i, 10i revizijski zapisnici, Network Appliance NetCache, Oracle 9i i 10i;

MARS može obraditi do 10 tisuća događaja u sekundi. Sustav podržava skalabilnost; u tu svrhu, u mrežama velikih poduzeća i internetskih provajdera, korištenjem MARS kontrolera može se stvoriti dvorazinska arhitektura na koju se može povezati nekoliko MARS poslužitelja. Kada se koristi ovakva arhitektura, mreža je podijeljena na “zone” i svaka je dodijeljena određenom MARS poslužitelju.
Sustav MARS omogućuje centralno konfiguriranje mrežnih pravila, prikupljanje podataka i stvaranje do 80 različitih vrsta standardnih izvješća.
MARS može prijaviti zabilježena kršenja putem snmp protokola, e-pošte, slati poruke na dojavljivač ili voditi evidenciju događaja syslog-a.
MARS ne zahtijeva kupnju licenci agenta i/ili baze podataka.