Cisco Security – ASA5500-X - bei der IBH IT
Werbung
Cisco Security – ASA5500-X Die Cisco Next Generation Firewall im Detail Olaf Jacobi Leiter Internet Vertrieb IBH IT-Service GmbH Gostritzer Str. 67a 01217 Dresden [email protected] www.ibh.de Inhaltsverzeichnis 2 ASA Hardware 3 Cisco ASA Bisher: Adaptive Security Appliance ASA5500 Hardware Appliance Status: „End of Sale“ per 18.03.13 Merkmale: Performanter Firewall Effizientes VPN-Gateway Clusterfähigkeit 4 Cisco ASA 5500-X Neu: ASA5500-X Hardware Appliance (auch VM möglich) Merkmale: Höhere Performance Software- und Cloud-basierte Dienste Simultane Services ohne wesentliche Performance-Einbuße Schneller und einfacher Transfer vorhandener Konfigurationen auf die neue Plattform 5 Cisco ASA 5500-X ASA5500-X Technik: 1 Höheneinheit Front-to-Back Airflow flexible I/O-Optionen optional HDD redundante Netzteile Modelle: ASA5512-X, ASA515-X, ASA5525-X, ASA5545-X, ASA5555-X 6 Hardware-Übersicht ASA 5512-X ASA 5515-X ASA 5525-X ASA 5545-X ASA 5555-X 1RU Short Chassis 1RU Short Chassis 1RU Short Chassis 1RU Long Chassis 1RU Long Chassis (19” RackMountable) (19” RackMountable) (19” RackMountable) (19” RackMountable) (19” RackMountable) Yes Yes Yes Yes Yes Maximum Memory 4 GB 8 GB 8 GB 12 GB 16 GB Maximum Storage 4 GB eUSB 8 GB eUSB 8 GB eUSB 8 GB eUSB 8 GB eUSB 6 x 1GbE Cu 6 x 1GbE Cu 8 x 1GbE Cu 8 x 1GbE Cu 1 x 1GbE Cu Mgmt 1 x 1GbE Cu Mgmt 1 x 1GbE Cu Mgmt 1 x 1GbE Cu Mgmt 1 x 1GbE Cu 6 x 1GbE Cu 6 x 1GbE Cu 6 x 1GbE Cu 6 x 1GbE Cu or 6 x 1GbE SFP or 6 x 1GbE SFP or 6 x 1GbE SFP or 6 x 1GbE SFP Dual HotSwappable Redundant Power Supply Form Factor 64Bit Multi Core Processors Base I/O Ports 6 x 1GbE Cu Expansion I/O Module or 6 x 1GbE SFP 8 x 1GbE Cu Single Fixed Power Supply Single Fixed Power Supply Single Fixed Power Supply Dual HotSwappable Redundant Power Supply VPN Crypto Hardware Accelerator Yes Yes Yes Yes Yes IPS Hardware Accelerator No No Yes Yes Yes Power Supply 7 MultiScale™ Performance „Next Generation Security“ für zahlreiche Einsatzzwecke 1 Gbit/s Firewall 250 Mbit/s IPS 200 Mbit/s CX 100K Sessions 10.000 CPS 1.2 Gbps Firewall 400 Mbps IPS 350 Mbps CX 250K Sessions 15.000 CPS 2 Gbps Firewall 600 Mbps IPS 650 Mbps CX 500K Sessions 20,000 CPS 3 Gbps Firewall 900 Mbps IPS 1 Gbps CX 750K Sessions 30,000 CPS 4 Gbps Firewall 1.3 Gbps IPS 1.4 Gbps CX 1 MM Sessions 50,000 CPS ASA 5555-X ASA 5545-X ASA 5525-X ASA 5515-X ASA 5512-X Branch Locations Internet Edge 8 ASA Deep-Dive (1) ASA 5512-X / ASA 5515-X Rückseite Dedizierter Management Port (1GE) Status LEDs I/O Erweiterungsslot Serielle Konsole 6 x 1GE Cu Ports Fest verbautes Netzteil USB Ports 9 ASA Deep-Dive (2) ASA 5525-X & ASA 5545-X/5555-X Rückseite Dedizierter Mgmt Port (1GE) ASA 5525-X Status LEDs I/O Erweiterungsslot ASA 5545-X/5555-X 8 x 1GE Cu Ports Serial Console USB Port Dedizierter Mgmt Port (1GE) Status LEDs Serial Console I/O Erweiterungsslot Fest verbautes Netzteil USB Port 8 x 1GE Cu Ports Redundante, hot-swap Netzteile 10 I/O Erweiterungsmodule Mögliche Schnittstellenerweiterungen • 6-Port Cu 10/100/1000 RJ45 Modul • Verfügbar für alle neuen Appliances • 6-Port 1GE SFP I/O Modul • Verfügbar für alle neuen Appliances • Unterstützt monomode / multimode SFPs • GLC-SX-MM, GLC-SX-MMD • GLC-LH-SM, GLC-LH-SMD 11 Montage Für den Schrankeinbau … ASA-RAILS= ASA-BRACKETS= • Ohne Werkzeug montierbar • “Snap-In” in Schränken mit • Standardmäßig inkludiert bei • ASA 5545-X • ASA 5555-X • Optional erhältlich für ASA 5512-X, 5515-X & 5525-X Appliances • Feste Montagewinkel • Standardmäßig inkludiert bei ASA 5512X, 5515-X & 5525-X • Optional für ASA 5545-X & 5555-X • Montage Front-to-Back 12 Next Generation Firewall Auf einen Blick … H/W Features 64Bit Multi-Core Processor Bis zu 16GB Hauptspeicher Nutzen Geschwindigkeit Port-Dichte Flexibler Einsatz Integrierte Services Konsolidiertes Management Eingebaute Multi-Core CPU für beschleunigte, hardwareunterstützte Verschlüsselung Dedizierte, hardware-beschleunigte IPS Karte Bis zu 14 x 1GE Ethernet-Ports Cu & LWL I/O Optionen Firewall, VPN & IPS Services Dedizierter OOB Management Port 13 ASA Software 14 Cloud Web Security Secure Remote Access Botnet Traffic Filter Umfassende Sicherheit Intrusion Prevention (IPS) Stateful Inspection & Next Generation Security Multiple Security Services ASA CX ContextAware Security 15 „Unter der Haube“ Wie funktioniert es wirklich? Intrusion Prevention (IPS) MPF: Modular Policy Framework See also: http://goo.gl/8fLek „A means of configuring security appliance features in a manner to similar to Cisco IOS software Modular QoS CLI” ASA CX ContextAware Security MPF Packet I/O ASA 9.x Cloud Web Security Secure Remote Access Botnet Traffic Filter 16 Cisco ASA CX blockiert Anwendungen, die Ports und Protokolle dynamisch ändern (z.B. Skype und andere Peer-to-Peer Anwendungen), was eine zuverlässigere Sicherheit bedeutet, ohne noch mehr Regeln aufstellen zu müssen. Funktionsverteilung ASA vs. ASA CX URL Category/Reputation Regelwerke können auf Basis von Kontext- Elementen erstellt werden, z.B. unter HTTP Inspection Berücksichtigung einer Anwendung, eines Nutzerverhaltens, eines Gerätes AVC oder eines Standortes. TLS Proxy ASA CX erlaubt auch die Kontrolle des TCP Proxy Zugriffs auf soziale Netzwerke. ASA CX erkennt mehr als 1000 Anwendungen und 75.000 Mikro-Anwendungen, was eine sehr TCP Normalization granulare Zugriffssteuerung ermöglicht. Komponenten der ASA CX Context-Aware Security: • AVC: Application Visibility and Control • WSE: Web Security Essentials Multiple Policy Decision Points ASA CX / CWS NAT TCP Intercept Routing IP Option Inspection ACL IP Fragmentation VPN Termination ASA 17 5500-X mit CX Was wird benötigt? SSD slot CX erfordert eine Solid State Disc (SSD) Verfügbar als Bundle oder zum Nachrüsten CX als 60 Tage Testlizenz verfügbar 18 Übersicht Listenpreise 19 Application Visibility & Control „Acceptable Use“ durchsetzen 1,000+ Apps 75,000+ MicroApps AnwendungsMuster • Optimale Kontrolle und Sichtbarkeit für mobile und Web 2.0 Anwendungen sowie soziale Netze • Sicherheit von (und für) Anwendungen, die Ports und Protokolle dynamisch wechseln (z.B. Skype und BitTorrent) • Durchsetzung der Regeln, welche Apps von welchen Nutzern und Geräten benutzt werden dürfen • Granulare Rechtsteuerung innerhalb der Anwendungen (Facebook Read / Post …) • Sichtbarkeit der Aktivitäten im gesamten Netzwerk • Klick: http://asacx-cisco.com 20 Sichere VPN-Verbindungen Lösungsüberblick Internationalisiert Branch Office Mobile User Home Office Übersetzung des UI in wichtige Sprachen vorhanden Vereinfachter Verbindungsaufbau Auswahl des optimalen Gateways Erkennung vertrauenswürdiger Netzwerke VDI Support Next-generation Unified Security Identitätskontrolle für User und Gerät Smartcard SSO Prüfung des Sicherheitsstatus Wired Cisco® ASA Mobil und Wi-Fi Wi-Fi Cisco ASA Site to Site Secure, Consistent Access Flexible Einsatzszenarien Skalierbar und Hochverfügbar Niedrige TCO Partner HQ Corporate HQ 21 Botnet Traffic Filter Service Entdeckung infizierter Clients Botnet Traffic Filter Licensed Feature Scanned kompletten Datenverkehr, alle Ports, alle Protokolle Monitored „Command & Control“ Verkehr von internen und externen Hosts Entdeckt infizierte Clients über Datenaustausch für das „nach Hause telefonieren“ Hohe Genauigkeit durch Anti-Malware Daten Empfehlungen für Blockaden von Botnetzen Dynamische Entdeckungsroutinen für Echtzeitprüfung 22 Intrusion Prevention Service Reputations-Filter in Aktion Licensed Feature Cisco® Security Intelligence Operations 1 2 Internet Internet Lokale Verbindungen Cisco ASA 5500-X Weltweite Sichtbarkeit Cisco ASA 5500-X IPS Service Filter Cisco IPS 4300 3 Schritt 1: Schritt 2: Das Sensor Base Netzwerk der Cisco SIO sammelt Telemetrie-Daten von anderen Sensoren rund um den Globus Cisco 5500-X IPS Service erhält aktualisierte Signaturlisten; das Regelwerk entscheidet entsprechend (“deny” oder “drop attacker”, etc.) Schritt 3: Warnungen gehen an das Sicherheitsteam in Bezug auf Maßnahmen zu Vorsorge, Korrektur und Wiederherstellung von Diensten 23 Sicherheit ohne Kompromisse Beliebige Geräte mit jeder App verbinden SECURITY Bewährter “stateful inspection” Firewall, komplette Sicherheit ASA-X Next-Generation Firewall NETWORK Malware und Angriffsschutz, basierend auf SIO COMPUTE Sicherheit aus dem Netzwerk Acceptable Use & netzwerkweite Sichtbarkeit Verwaltungwerkzeug Cisco Prime Infrastructure New Device/Platform Support • WLC 7.4 controller support • LMS parity device support, plus ongoing Day 1 New Technology Support Bedeutung: • One Management - One Network • Baut auf Cisco Advantage auf • Vereinfach die Adoption neuer Technologien und vereinfacht deren Administration • Verbessert operativen Betrieb • Overlord / container management • TrustSec 802.1X provisioning • IPv6 management stack support, readiness assessment • AVC application classification by URL • PfR statistics dashlets Lifecycle and Assurance Enhancements • Service Health Dashboard • Automated health and performance baselining • Device root cause analysis with alarm correlation • Security system library updates (prep for FIPS in 2013) 25 Vielen Dank für Ihre Aufmerksamkeit! Olaf Jacobi IBH IT-Service GmbH [email protected] www.ibh.de