Transcript ASA
ASA5500シリーズ製品概要 Adaptive Security Appliance Session Number Presentation_ID © 2005 Cisco Systems, Inc. All rights reserved. 1 自己防衛型ネットワーク構想の進化: 効果的な防御,ネットワーク連携,コンテンツの制御 Firewall/VPN IPS Anti-X 汚染したトラフィック 不正アクセス 不正侵入 セッションの不正利用 ポートスキャン 不正パケット Session Number Presentation_ID アプリケーション不正利用 DoS攻撃 / ハッキング 脆弱性攻撃 © 2005 Cisco Systems, Inc. All rights reserved. アプリケーション 埋め込み型攻撃 2 自己防衛型ネットワーク構想の進化: ATD,適応型防御システムの提供 ATD in Action : あらゆるパケット、フローを保護 Firewall/VPN IPS Anti-X 汚染したトラフィック 不正アクセス 不正侵入 セッションの不正利用 ポートスキャン 不正パケット Session Number Presentation_ID アプリケーション不正利用 DoS攻撃 / ハッキング 脆弱性攻撃 © 2005 Cisco Systems, Inc. All rights reserved. アプリケーション 埋め込み型攻撃 3 ASA 5500 適応型セキュリティアプライアンス マーケットが認めた, 実績のあるテクノロジーの集約 豊富な導入実績を持つ テクノロジー 適応型防御システム 安全なVPN接続 アプリケーション検査, ポリシー 適用, ウェブアクセス制御 Firewall Technology Cisco PIX Application Security IPS Technology マルウェア/コンテンツ防御 異常検知 Cisco IPS Anti-X Defenses NW-AV Technology Cisco IPS VPN Technology Cisco VPN 3000 Network Services Cisco Networking Session Number Presentation_ID Stateful Firewall Application Firewall NAT IPSec VPN WebVPN Full IPS QoS Routing Virtualization and more… © 2005 Cisco Systems, Inc. All rights reserved. トラフィック/アドミッション制御 プロアクティブなレスポンス Containment & Control 安全なVPN接続 4 Modular Policy Framework ASA5500シリーズのコアテクノロジー • ファイアウォールの基本動作 パケット・フローの識別 → ポリシーの選択 → アクションの適用 • Modular Policy Frameworkは、パケット・フローの識別能力と適用するア クションを大幅に拡張 パケットの識別 通常のファイアウォール: Src/Dst IP, Src/Dst Port, プロトコル番号 ASA5500シリーズ: 上記に加え、DSCP, VPN Tunnelなど 適用するアクション 通常のファイアウォール: Permit, Deny, Logging ASA5500シリーズ: 上記に加えInspection Engineでの制御、QoSの適用など Step 1: Identify Flow Session Number Presentation_ID Step 2: Apply Services © 2005 Cisco Systems, Inc. All rights reserved. Inspection Engines QoS Services Conn Services HTTP TCP etc. LLQ Policing Max Conns Normalize Timeouts 5 Cisco Adaptive Identification and Mitigation (AIM) Architecture Modular Policy Frameworkを中核とした適応型防御システムの実践 リモートアクセス VPN コネクティビティ サイト間 VPN コネクティビティ Application Security Modular Policy Framework Anti-X Defenses Network Containment & Control 適応型防御システム 一元化された安全な接続 セキュリティサービスの拡張 インテリジェントなネットワーク, 高度な耐障害性, 拡張性のあるサービス • ASA5500が提供する多彩なセキュリティサービスの効率的利用 パケット・フローをきめ細かな条件で識別し、セキュリティサービスを適用 例1: インターネットからDMZ上のサーバへのアクセスには、IPSによる検査を実施 例2: 顧客向け会議室からは、ウェブの利用に限定 HTTP詳細解析機能を適用し、TCP Port 80の不正利用(P2Pなど)を排除 • ニーズに適応した防御・制御機能を提供 → 適応型防御システムの実践 Session Number Presentation_ID © 2005 Cisco Systems, Inc. All rights reserved. 6 Cisco ASA 5500 Adaptive Security Appliance Product Tour 4 Port Ethernet 10/100/1000 ASA5520/5540 10/100 ASA5510 19インチ 1 RU (Rack Unit) デザイン 10/100 アウトオブバンド 管理用ポート ディスクレスアーキテクチャ による信頼性の高いデザイン 拡張モジュールスロット (SSM等の拡張モジュールを実装) AC電源 (フィールドアップグレード対応) 2 x USB 2.0 Ports 将来的な拡張用途 (デジタル証明書、Failoverなど) コンソールおよびAUXポート コンパクトフラッシュ (ソフトウェア、設定、ログの保管) Session Number Presentation_ID © 2005 Cisco Systems, Inc. All rights reserved. ステータスLED (電源, 状態, Failover, フラッシュ) 7 Security Services Module (SSM) 10 & 20 • ASA5500シリーズ背面の拡張 モジュールスロット用のセキュ リティモジュール • SSM-10とSSM-20の違いはパ フォーマンス • 独自のCPUの搭載 • 各種のセキュリティアプリケー ションを実行 • 現在はIPS5.0を提供 • 将来的には、その他のアプリケ ーションもサポート予定 • SSM以外の拡張モジュールと して、I/F Moduleを今後リリー ス予定 Session Number Presentation_ID © 2005 Cisco Systems, Inc. All rights reserved. 8 Firewall機能: PIX v7.0相当 30+ Application Inspection Engines Inspection Engineの役割 • アプリケーションポリシーの適用 • プロトコル標準への準拠をチェック • プロトコルの状態推移をトラッキング • セキュリティのチェック • NAT / PATのサポート • ダイナミックなポート制御 Multimedia / Voice over IP H.323 v1-4 SIP SCCP (Skinny) GTP (3G Wireless) MGCP RTSP TAPI / JTAPI Database / OS Services Core Internet Protocols Specific Applications Microsoft Windows Messenger Microsoft NetMeeting Real Player Cisco IP Phones Cisco Softphones Session Number Presentation_ID © 2005 Cisco Systems, Inc. All rights reserved. HTTP FTP TFTP SMTP / ESMTP DNS / EDNS ICMP TCP UDP ILS / LDAP Oracle / SQL*Net (V1/V2) Microsoft Networking NFS RSH SunRPC / NIS+ X Windows (XDMCP) Security Services IKE IPSec PPTP 9 9 Firewall機能: PIX v7.0相当 Application Inspection and Control アプリケーションセキュリティ機能による 検査の実施とコントロール: ステートフルな、レイヤ 3-7 検査 アプリケーション利用とアクセスの制御 詳細なプロトコルでコード QoS 制御機能の提供: ピアツーピア: Kazaa, Gnutella インスタントメッセージ HTTPとTCP Port 80 トンネルアプリケーション Voice over IP And many more! Public Internet ASA 5500 正規のビジネス トラフィック ピアツーピア等の 不正利用 ボトムアップのデザインで アプリケーション層への確実かつダイナミックな制御を提供 Session Number Presentation_ID © 2005 Cisco Systems, Inc. All rights reserved. 10 Firewall機能: PIX v7.0相当 Extending Market Leading VoIP Security Services • MGCP Inspection EngineでのNATおよびPATのサポート 分散環境でのMGCP呼制御を、スケーラブルかつ透過的に提供 (MGCP verion 0.1および1.0に対応) • RTSP Inspection EngineでのNATに対応し、リアルタイムストリーミングを活 用したアプリケーションをNAT境界を挟んで安全に実行可能 • H.323 Inspection Engineの機能拡張 業界をリードする包括的H.323対応ソリューションを更に拡張 T.38 (FAX over IP) のサポート GKRCS (Gatekeeper Routed Call Signaling) のサポート • すべてのVoIPプロトコルにおいて、パケットのフラグメンテーションとセグメンテ ーションに対応 H.323 MGCP RTSP SCCP SIP TAPI / JTAPI NAT/PAT NAT/PAT NAT NAT/PAT NAT/PAT NAT/PAT Version1-4 v0.1/v1.0 TCP TCP UDP/TCP TCP Fragmentation and Segmentation Support Session Number Presentation_ID © 2005 Cisco Systems, Inc. All rights reserved. 11 Firewall機能: PIX v7.0相当 Security Context (Virtual Firewall) セキュリティコンテキスト(仮想ファイアウォール)によるトータルコスト削減 • 複数の仮想ファイアウォールを1台のアプライアンスに搭載することで、管理コスト、サポートのコストの 削減に貢献 1台のASAアプライアンスを論理的に分割することで、独立したポリシー、管理権限をもった複数の 仮想ファイアウォールとして使用可能 それぞれの仮想コンテキストは、スタンドアローンのASAアプライアンスと同等のファイアウォール 機能を提供 最大50仮想コンテキストをサポート • ファイアウォールの集約を望む企業ユーザ、マネージドサービスやホスティングサービスを提供するサ ービスプロバイダにとって最適なソリューション Dept/Cust 1 Dept/Cust 2 Dept/Cust 3 Dept/Cust N Dept/Cust 1 Dept/Cust 2 Dept/Cust 3 Dept/Cust N ASA Session Number Presentation_ID ASA ASA ASA © 2005 Cisco Systems, Inc. All rights reserved. ASA 12 Firewall機能: PIX v7.0相当 Transparent, L2 Firewall セキュリティサービスの迅速導入を実現するトランスペアレントファイアウォール • 企業ユーザのネットワークへのセキュリティサービスの追加設置を、迅速か つシンプルに実現 既存ネットワークにASA5500シリーズを”Drop In”するだけで、IPアドレス体系の 変更をおこなわずに追加可能 ハイパフォーマンスなL2-L7のセキュリティサービスを透過的に提供し、ネットワー ク層、アプリケーション層の攻撃を効果的に防御 ルーティング、冗長構成、IPマルチキャストといった高度なネットワークサービスと セキュリティサービスの統合を簡素化 • ITスタッフや予算が限られている環境に最適なソリューション Transparent Firewall Router 10.30.1.0/24 ASA 10.30.1.0/24 Router SAME Subnet Session Number Presentation_ID © 2005 Cisco Systems, Inc. All rights reserved. 13 Firewall機能: PIX v7.0相当 Active-Active Failover • Active-Standby Failoverに加え、マルチグループHSRP方式による Active-Active Failoverをサポート • 正常時にはActive-Standby Failoverの2倍のスループットを実現しネ ットワークトラフィックの一時的急増に対処 • HAペア間での双方向ステート共有により非対称ルーティングをサポー トし、マルチホーミングネットワークでの信頼性を向上 • セキュリティコンテキストの概念を導入することで、スケーラブルなHAア ーキテクチャを提供 対応モデル: ASA5520, ASA5540 Context 2 Standby Context 1 Active ISP 1 ASA Network ISP 2 ASA Context 1 Standby Session Number Presentation_ID © 2005 Cisco Systems, Inc. All rights reserved. Context 2 Active 14 VPN Remote Access: VPN3000 v4.1.6相当 EasyVPN 中央拠点 ブランチオフィス Cisco IOS Router, 3002, PIX ASA5500 Internet ASA5500 ホームオフィス Cisco VPN Client PC/MAC/Unix • リモート(ブランチ)のデバイスとして、ASA5500シリーズ、IOSルータ、 Cisco VPN Clientなどをサポート • リモートのデバイスが中央拠点のASA5500にアクセスし、認証のための クレデンシャルを送信 • ASA5500は送られてきたクレデンシャルの内容を確認し、正規のユーザ (デバイス)と認められた場合、IPSec接続に必要な情報を”PUSH”し、 IPSec VPNを確立する Session Number Presentation_ID © 2005 Cisco Systems, Inc. All rights reserved. 15 VPN Remote Access: VPN3000 v4.1.6相当 AYT (Are You There?) CSA Internet ASA5500 企業 ネットワーク Cisco VPN Client I want to open a VPN connection… Is Cisco Security Agent NO CSA YES CSA running? running is running OK for VPN CSA以外に、以下のファイア ウォール製品をサポート: The Cisco Integrated Client FW •Network ICE BlackICE Defender •Sygate Personal Firewall •Sygate Personal Firewall Pro •Sygate Security Agent •Zone Labs ZoneAlarm •Zone Labs ZoneAlarm Pro Secure VPN Tunnel Session Number Presentation_ID © 2005 Cisco Systems, Inc. All rights reserved. 16 VPN Remote Access: VPN3000 v4.1.6相当 Cisco VPN Client • 運用と管理の容易性を追及 NetMeetingやSoftPhoneなど、シングルクリックでのインストールとオペレーション 自動化された、ユーザに透過的なコンフィグレーション ユーザによる不正な設定変更を防止するロック機能 ユーザに意識させないFailover機能。耐障害性の向上マルチメディアアプリケーションの サポート • 幅広いプラットフォームサポート Windows 98, ME, NT, 2000, XP Linux Intel, Solaris, Mac OS X, MAC OS X 10.4 (tiger) 3rd party: PDAs (Certicom MovianSecurity), Mac OS 8 & 9 (Netlock) Session Number Presentation_ID © 2005 Cisco Systems, Inc. All rights reserved. 17 IPS: IPS5.0 Risk Rating & Meta Event Generator リスクレーティング: 攻撃の危険度とビジネスに 与える脅威の両方から対処方法を判断 イベントの 危険度 シグニチャの 精度 攻撃の 妥当性 攻撃対象の 資産価値 脅威の危険度は? + メタイベントジェネレータ: センサー内部でイベ ントの相関関係を分析し、複数の低リスクの イベントからハイリスクのメタイベントを解析。 防御アクションの実行が可能。 相関関係にもとづく攻撃行動のモデル化: - イベントのタイプ - 時間軸 誤検知の傾向は? + DROP Event DWorm Stopped! Risk Rating 検知した攻撃は攻撃対 象のデバイスと関連して いるか? + 攻撃対象となったデバ イスの重要度は? A + B + C + D = WORM! High Event A Medium Session Number Presentation_ID 攻撃に対応す る最終的なア クションを判断 © 2005 Cisco Systems, Inc. All rights reserved. Time: Event D Event C Low リスク レーティング Event B 0 2 4 6 8 18 IPS: IPS5.0 Signature Enhancement 業界のエキスパートによるウィルスとワームのマルチレイヤー防御 ( Exploit とVulnerabilityベース ) Cisco Trend Micro Worms Viruses Signature Type Vulnerability Exploit Nature of Threat Slow Mutation Core Focus Examples Code Red, Nimda Cisco Signatures • ネットワーク上でのハッカーやウィルスから 脆弱性によるシステムの攻撃にフォーカスし ている。 • この脅威は脆弱性ベースでのシグネチャー でカバー出来る。また、この攻撃方法の変異 は少ない。 Session Number Presentation_ID © 2005 Cisco Systems, Inc. All rights reserved. + Rapid Mutation Bagle, Netsky Trend Micro Signatures • Virusによる搾取や不正使用にフォーカスして いる。 • この脅威はより動的に変化する。Virusの種類 により常に変化する。また、より早い対応と開 発環境が必要である。 19 Cisco ASA 5510, 5520, and 5540 Platforms Key Platform Metrics Features ASA 5510 (► Sec Plus) ASA 5520 ASA 5520 VPN Plus ASA 5540 ASA 5540 VPN Plus ASA 5540 VPN Premium Max Firewall Throughput 300 Mbps 450 Mbps 450 Mbps 650 Mbps 650 Mbps 650 Mbps Max Concurrent Threat Mitigation Throughput (Firewall+Anti-X) 150 Mbps with AIP-SSM-10 375 Mbps with AIP-SSM-20 375 Mbps with AIP-SSM-20 450 Mbps with AIP-SSM-20 450 Mbps with AIP-SSM-20 450 Mbps with AIP-SSM-20 Max IPSec VPN Throughput 170 Mbps 225 Mbps 225 Mbps 325 Mbps 325 Mbps 325 Mbps Maximum Connections 32,000 ► 64,000 130,000 130,000 280,000 280,000 280,000 S2S and IPSec RA VPN Peers 50 ► 150 300 750 500 2,000 5,000 WebVPN Connections 50 ► 150 300 750 500 1,250 2,500 VPN Clustering / Load Bal. No Yes Yes Yes Yes Yes High Availability None ► A/S A/A and A/S A/A and A/S A/A and A/S A/A and A/S A/A and A/S 4 x 10/100/1000, 1 10/100 4 x 10/100/1000, 1 10/100 4 x 10/100/1000, 1 10/100 4 x 10/100/1000, 1 10/100 Interfaces 3 x 10/100 + OOB 4 x 10/100/1000, 1 10/100 ► 5 10/100 Security Contexts No Up to 10 Up to 10 Up to 50 Up to 50 Up to 50 VLANs Supported 0 ► 10 25 25 100 100 100 Session Number Presentation_ID © 2005 Cisco Systems, Inc. All rights reserved. 20 20 Session Number Presentation_ID © Cisco Systems, Systems, Inc. Inc. All All rights rights reserved. reserved. © 2003, 2005 Cisco 21 21