مروری بر فایروال های فایر پاور سیسکو

فصل اول: اصول نسل جدید ابزارهای امنیتی سیسکو

خانواده ابزارهای امنیتی Cisco ASA جهت حفاظت از شبکه ­های سازمانی و مراکز داده­ای با هر وسعتی طراحي شده­اند؛ با استفاده از اين ابزار دسترسی امن کاربران به اطلاعات و منابع شبکه با هر وسیله و از هر مکانی تامين می­گردد.Cisco ASA با بیش از ۱۵ سال سابقه در مهندسی امنیت شبکه­ های کامپیوتری و استقرار بیش از یک میلیون ابزار امنیتی در سراسر جهان، یکی از پیشروان در تامین امنیت شبکه ­های کامپیوتری بشمار مي­رود.

ابزارهای امنیتی به شکل سنتی بر روی تامین دید مناسب نسبت به رخدادهای داخل شبکه و عدم پذیرش ترافیک مخرب در ورودی­ ها، متمرکز هستند. هيچگاه حملات پیشرفته توسط افراد سودجو از یک نقطه ورود و در یک زمان رخ نخواهد داد؛ چنین افرادی عمدتا از تدابیر پیشرفته همچون رمزگذاری ترافیک شبکه، حملات zero-day، C&C ،Lateral Movements  و تکنیک ­های گریز از شناسایی بهره مي­گيرند.

شرکت سیسکو جامع­ ترین شرکت در ارائه محصولات و سرویس­ های امنیتی جهت محافظت در برابر حملات پیشرفته است، اين محصولات و راهکارها به منظور مشاهده، سیاست­گذاری و حفاظت پیشرفته شبکه در مقابل حملات طراحي شده­ اند. در این فصل به مباحث ذیل، راهکارها و محصولات امنیتی جدید شرکت سیسکو پرداخته شده است:

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای فایر پاور سیسکو را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید
  • چشم­انداز تهدیدهای امنیتی جدید و زنجیره حمله ­ها
  • نسل جدید فایروال­های شرکت سیسکو سری ASA 5500-X و Cisco ASA with FirePOWER

۱٫۱٫  چشم­انداز تهدیدهای امنیتی جدید و زنجیره حمله ­ها

مقابله با حمله ­های سایبری روزبه ­روز پیچیده ­تر و سخت ­تر می­شود؛ امروزه اقتصاد کیفری پرسود، کارآمد با تغییرات سریع در نتيجه تهدیدات صورت گرفته نسبت به کاربران، بنگاه­ های اقتصادی، فراهم­ کنندگان سرویس و دولت ها به وجود آمده است. جرایم اینترنتی سازمان­ یافته و فرصت­ هاي پيش­ آمده جهت سوء ­استفاده از ضعف­ های امنیتی موجود در شبکه­ ها موجب جهش و ارتقای چنین اقتصاد پرمنفعتی شده است، امروزه افراد سودجو آگاهی کامل از اصول تکنولوژی­ های امنیتی و نقاط ضعف آن­ها دارند، در ضمن به دنبال راهکارهایی برای عبور از اين تدابیر امنیتی هستند. مهاجمان از تکنولوژی­های ذیل جهت نفوذ به شبکه ­ها استفاده می­کنند:

  • Port & Protocol Hopping
  • Encryption (رمزگذاری)
  • Droppers
  • Social Engineering( مهندسی اجتماعی)
  • Zero-day attacks

شکل ۱-۱ معماری راهکارهای امنیتی امروزی را نشان می­دهد.

ضروري است نسل جدید راهکارهای امنیتی داراي شرایط و مشخصات زیر باشند:

  • رویت­ پذیر بودن: راهکارهای دفاعی می­بایست قابلیت دید کامل نسبت به شبکه و جمع ­آوری اطلاعات از تمام Attack Vectors بالقوه در پیکربندی شبکه، نقاط انتهایی شبکه (شامل ابزارهای سیار)، دروازه­های ایمیل و وب، ماشین­های مجازی در دیتاسنترها و ابر را فراهم آورند.
  • تمرکز بر روی تهدیدها: مدیران امنیتی شبکه­ ها می­بایست ارتباط میان اطلاعات جمع ­آوری شده به وسیله IOC و سایر شواهد و قرائن را به منظور انجام بهترين اقدام و تصمیم ­گیری در نظر داشته باشند. حفاظت از شبکه ­ها، در مقابل تهدیدهایی که دائما در حال تغییر و تکامل هستند تقریبا غیرممکن است، اگرچه کنترل دسترسی­ ها تا حد زیادی تعداد حملات را کاهش می­دهد ليكن همچنان احتمال نفوذ به شبکه توسط هکرها وجود دارد. ضروری است تکنولوژی­ها و راهکارهای امنیتی بر روی درک، تشخیص و مسدود کردن حملات متمرکز باشند؛ اين راهکارها به منظور بهبود كارايي مستلزم تحلیل مداوم و هوش امنیتی بدست آمده از ابر به اشتراک گذاشته شده در تمامی محصولات مي­باشد.
  • بستر محور: ( (پلت فرم)): امروزه امنیت نیازمند سیستم یکپارچه­ای از بسترهای سریع و باز، در بر دارنده تمام شبکه، نقاط انتهایی، کاربران و ابر مي­باشد. چنین بستری به منظور سازگاری پیکربندی دستگاه­ها می­بایست مقیاس­پذیر و با قابلیت مدیریت متمرکز باشد.
  • زنجیره حمله ها

یک متخصص امنیتی همواره باید حقیقت روبرو شدن با حمله و آلوده شدن ابزارهای شبکه خود را در نظر داشته باشد. مناسب به نظر مي­رسد تکنولوژی­ها و پردازش­های امنیتی علاوه بر توانایی شناسایی حمله، قابلیت کاهش اثرات ناشی از یک حمله موفق را نیز داشته باشند. شکل ۲-۱ زنجیره حمله ­ها را نشان می­دهد.

 

   شكل شماره ۲-۱: زنجیره حمله ­ها

نسل جدید محصولات امنیتي، شبکه­ ها را در مدت حمله حفاظت می­کنند، که در محصولات همچون Cisco ASA with FirePOWER services، موجود در محصولات سري ASA 5500-X و   ASA 5585-X، FTD، Cisco AMPقابلیت شناسایی تهدیدها و اجرای سیاست­گذاری­های امنیتی سختگیرانه تر قبل از حمله را ارائه می­دهد؛ به علاوه امکان شناسایی، مسدود کردن، دفاع در مقابل تهدیدهاي به وجود آمده توسط NGIPS، امنیت ایمیل و ابزارهای تامین امنیت وب با AMP فراهم شده است. این راهکارها قابلیت­های جلوگیری از تهدیدها و کاهش تلفات از دست رفتن اطلاعات و تخریب شبکه­ ها را فراهم می­ آورند.

  •  نکته

تفاوت Firepower و FirePOWER چیست؟

شرکت سیسکو در هنگام استناد به ماژول Cisco ASA FirePOWER Services از حروف بزرگ استفاده کرده است، ليكن در زمان اشاره به FTD از حروف کوچک استفاده کرده است.

۱٫۲٫نسل جدید فایروال­های شرکت سیسکو سری ASA 5500-X وCisco ASA with FirePOWER Services

عليرغم وجود اختلاف در مقياس و اشكال اعضای خانواده سیسکو ASA، قابلیت های مشابهی را ارائه می­دهند و نقطه تمایز آن ها در این مساله است که مدل­های با ظرفیت پایین تر خروجی کمتری را ارائه می­دهند. اصلی­ترین مدل مستقل با شماره ۵۵ آغاز می­شود ولی ابزارهای دیگری از مدل­های سیسکو ASA  همچون ۶۵۰۰ وجود دارد که در سوییچ ­ها قرار می­گیرند. جدول ۱-۱ مدل­ های مختلف سیسکو ASA را توصیف می­کند.

 

جدول ۱-۱: مدل­های مختلف سیسکو ASA

مدل­های مختلف سری سیسکو ASA كاربرد
Cisco ASA 5505 دفاتر کوچک و شعب ادارات
Cisco ASA 5506-X, Cisco ASA 5506W-X,Cisco ASA 5506H-X دفاتر کوچک و شعب ادارات
Cisco ASA 5508-X دفاتر کوچک و شعب ادارات
Cisco ASA 5512-X دفاتر کوچک و شعب ادارات
Cisco ASA 5515-X دفاتر کوچک و شعب ادارات
Cisco ASA 5516-X ادرات با مقياس متوسط و یا ابزارهای امنیتی نقاط انتهایی اتصال به اینترنت
Cisco ASA 5525-X ادرات با مقياس متوسط و یا ابزارهای امنیتی نقاط انتهایی اتصال به اینترنت
Cisco ASA 5545-X ادرات با مقياس متوسط و یا ابزارهای امنیتی نقاط انتهایی اتصال به اینترنت
Cisco ASA 5555-X ادرات با مقياس متوسط و یا ابزارهای امنیتی نقاط انتهایی اتصال به اینترنت
Cisco ASA 5585-X دیتاسنترها و بنگاه­های اقتصادی بزرگ
Cisco ASA Services Module دیتاسنترها و بنگاه­های اقتصادی بزرگ
Cisco ASAv ASA مجازی

 

خانواده سیسکو ASA، مجموعه جامعی از نسل جدید قابلیت­های امنیتی را ارائه می­دهد. به عنوان مثال، قابلیت فیلترینگ بسته ­ها (كه به وسیله پیکربندی همچنین خانواده سیسکو ASA،امکان بازبینی هوشمند نرم­افزار را فراهم می کند  و قابلیت هایی چون  Application Inspection، امکان listen  هم زمان هر دو سمت فایروال را فراهم مي­ آورد. مزیت شنود دو طرفه این است که فایروال امکان تمرکز بیشتر بر روی اطلاعات لایه ۷  را خواهد داشت.

خانواده Cisco ASA، قابليت­ های دیگری از جمله NAT، DHCP برای سرور یا کلاینت و یا هردو، بسیاری پروتکل­ های روتینگ داخلی همچون RIP، EIGRP، OSPF و سایر روتینگ­ های استاتیک را پشتیبانی می­کند. تجهیزات سیسکو ASA را به دو روش می­توان پیاده­ سازی کرد؛ به شکل لایه ۳ همانند شکل سنتی فایروال­ ها که به هر يك از واسط­ های قابل روتینگ آدرس IP مجزایی اختصاص داده می­شود و یا به صورت لایه ۲ (Transparent Firewall)، که در این حالت واسط فیزیکی حقیقی آدرس IP مجزایی نخواهد داشت بلکه ارتباط یک جفت واسط با يكديگر مانند یک bridge عمل می­کند؛ ترافیک عبوری از این Bridge دو پورته، نیز از نظارت­ها و قوانین پیاده­ سازی شده در ASA تبعیت می­کند.علاوه بر این سیسکو ASA می تواند به عنوان head-end یا remote-end در هر دو نوع VPN ( remote-access VPN و site-to-site VPN) استفاده می شود؛ سری سیسکو ASA، VPN شامل : IPsec و SSL-based remote-access را پشتیبانی می کند که SSL VPN شامل clientless SSL VPN و AnyConnect SSL VPN tunnels است.

سری سیسکو ASA قابلیت فیلترینگ Botnet را نیز دارد، botnet مجموعه ای از سیستم ها است که در معرض خطر سو استفاده افرادی که قصد در دست گرفتن کنترل مرکزی آن را دارند، قرار گرفته است( به عنوان مثال ۲۰۰،۰۰۰ سیستم قصد ارسال پیغام Ping به آدرس مشخصی را دارند که موجب اختلال در آن سرور خواهد شد)؛ اغلب کاربران این سیستم ها از مشارکت سیستم خود در یک حمله هماهنگ بی اطلاع هستند. ابزار ASA با یک سیستم در سیسکو در ارتباط است که دیتابیس کاملی از نحوه فیلترینگ ترافیک Botnet و جلوگیری از این حملات ارایه می دهد.

شرکت سیسکو ماژول ASA FIREPOWER را به عنوان بخشی از پروژه یکپارچه سازی تکنولوژی Sourcefire مطرح کرده است.

  • نکته

سیسکو شرکت Sourcefire  را خریداری و سهام آن را توسعه داد سیسکو ASA FirePOWER قابلیت های فیلترینگ URL، NGIPS، AVC و AMP را دارد، این ماژول به صورت مستقل از نرم افزار سیسکو ASA نصب می شود، که می تواند به صورت ماژول سخت افزاری در سری ASA 5585-X و یا ماژول نرم افزاری در یک حافظه SSD در سایر مدل ها نصب شود.

ماژول سیسکو ASA FirePOWER را می توان توسط FMC که قبلا با نام FireSIGHT Management Center شناخته می شد مدیریت کرد، FMC و ماژول سیسکو ASA FirePOWER هریک لایسنس های متفاوتی نیاز دارند؛ در تمام مدل های سیسکو ASA به جز ۵۵۰۶-X ، ۵۵۰۸-X و ۵۵۱۶-X لایسنس در ماژول FirePOWER نصب می شود و لایسنس دیگری نیاز ندارد، سرویس های  FirePOWERدر سری  ۵۵۰۶-X ، ۵۵۰۸-X و ۵۵۱۶-X را می توان از طریق ASDM مدیریت و لایسنس بر روی آن نصب می شود، در تمامی ابزارهای ASA که توسط ASDM مدیریت می شوند لایسنس بر روی آن نصب می شود.

۱٫۳٫  سیسکو FTD چیست ؟

سیسکو FTD نرم افزار یکپارچه ای از مشخصات سیسکو ASA ، سرویس های FirePOWER و سایر مشخصات جدید اضافه شده است. FTD را می توان در سیسکو Firepower 4100  و ۹۳۰۰ به منظور ارایه سرویس های NGFW مستقر کرد؛ علاوه بر این برای  اینکه  امکان اجرای سیسکو Firepower 4100 و Firepower 9300 وجود داشته باشند، می بایست به صورت اختصاصی در سری های ASA 5506-X,5506H-X, 5506W-X, 5508-X, 5512-X, 5515-X, 5516-X،۵۵۲۵-X, ASA 5545-X و ۵۵۵۵-X اجرا شود و سری های ۵۵۰۵  و یا ۵۵۸۵-X از این قابلیت برخوردار نیستند.

Cisco Firepower 4100 Series

سیسکو Firepower 4100 نسل جدید فایروال های سیسکو شامل نرم افزار FTD و سایر قابلیت های آن است، که در چهار مدل زیر وجود دارد:

  • سیسکو Firepower 4110 که تا ۲۰Gbps خروجی فایروال آن است.
  • سیسکو Firepower 4120 که تا ۴۰Gbps خروجی فایروال آن است.
  • سیسکو Firepower 4140 که تا ۶۰Gbps خروجی فایروال آن است.
  • سیسکو Firepower 4150 که تا ۶۰Gbps خروجی فایروال آن است.

کلیه ابزارهای سری سیسکو Firepower 4100 به صورت ۱ RU نصب و به وسیله FMC مدیریت می شوند.

Cisco Firepower 9300 Series

سری سیسکو Firepower 9300 به منظور استفاده در بنگاه های اقتصادی بزرگ و یا فراهم کنندگان سرویس طراحی شده است، در مقیاس فراتر از ۱Tbps و به صورت modular طراحی شده اند، قابلیت پشتیبانی از نرم افزارهای سیسکو ASA، FTD و Radware DefensePro DDoS mitigation را دارند.

  •  نکته

نرم افزار Radware DefensePro DDoS mitigation  در ابزارهای سری سیسکو Firepower 4150 و Firepower 9300 وجود دارد.

نرم افزار Radware DefensePro DDoS mitigation تحلیل در لحظه ای جهت محافظت از شبکه در مقابل حملات DDoS ارایه می دهد.

فروش فایروال سیسکو , فروش لایسنس فایروال سیسکو , فایروال سیسکو ASA FirePower , فروش لایسنس فایرپاور,فروش لایسنس FirePOWER , لایسنس CUCM , لایسنس Webex , راه اندازی سیتریکس , فروش لایسنس ,سیتریکس , لایسنس Citrix , راه اندازی Splunk , فروش لایسنس Splunk , فروش لایسنس Remote Desktop مایکروسافت , فروش لایسنس Splunk ، راه اندازی سرویس Splunk , فروش لایسنس فورتیگیت ، فروش لایسنس Fortigate , فروش لایسنس cisco , راه اندازی اسپلانک ، راه اندازی Voip Cisco ، راه اندازی Citrix راه اندازی سرویس CRM ، نصب و راه اندازی MIcrosoft CRM

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *