Cisco Secure مجموعهای از طیف مختلفی از دستگاهها است که به شرکتها کمک میکند تا ملاحظات امنیتی مورد نیاز را در شبکههای خود ارائه دهند. فایروالهای امن سیسکو (سیسکو Firepower سابق) NGFWهایی هستند که از ویژگیهای داخلی قدرتمند FTD خود برای ارائه امنیت همراه با ثبات و بدون کاهش سرعت در شبکهها استفاده میکنند. در این مقاله قصد داریم ویژگیهای Cisco FTD را که توسط Cisco FMC و FDM مدیریت میشوند بررسی کنیم.
سیاست کنترل دسترسی Cisco FTD
اساسا، Cisco Firepower Threat Defense Control Access Control یک ACL یا لیست کنترل دسترسی است که همه خط مشیهای شما را به هم متصل میکند. برای پوشش سناریوهای مختلف در شبکه خود میتوانید از سیاستهای زیر استفاده کنید:
- سیاستهای پیش فیلتر
- سیاستهای SSL
- سیاستهای هویت
- فیدها و اقدامات اطلاعاتی امنیتی
- ورود به سیستم (هشدارها و سیستم ثبت)
- خصوصیات پیشرفته
در FTD قوانین منفرد را میتوان در دستهبندیها برای مدیریت آسانتر و شهودیتر قرار داد. همچنین میتوانید از موارد زیر به عنوان تطابق اختیاری استفاده کنید:
- منطقه: میتوانید هرگونه ترافیک ورودی یا خروجی را بر اساس مناطق موجود در شبکه خود مانند مناطق داخلی یا خارجی مجاز یا مسدود کنید.
- شبکهها: میتوانید هرگونه ترافیک ورودی یا خروجی را بر اساس شبکهها مجاز یا مسدود کنید.
- برچسبهای VLAN
- کاربران: میتوانید ترافیک را بر اساس کاربری که از آن منشا گرفتهاند، محدود کنید.
- برنامهها: این مورد ترافیک را برای برنامه مقصد خود بررسی میکند.
- پورتها
- URLها (بازرسی URLها)
- SGTها: اگر Cisco ISE را در شبکه خود دارید، میتوانید از تقسیمبندی برای اهداف امنیتی استفاده کنید.
همچنین میتوانید از چندین اقدام قانونی بهرهمند شوید تا بدانید که در صورت وجود تطابق چه کاری باید انجام دهید:
پذیرفتن: اگر همه بازرسیها انجام شود، ترافیک مجاز است.
اعتماد: بدون بازرسی عمیق بیشتر، اجازه صادر میشود.
مانیتور: ترافیک را ردیابی و ثبت میکند، اما به عنوان یک تطابق به حساب نمیآید.
مسدود کردن: ترافیک را مسدود میکند.
مسدود کردن و بازنشانی: ترافیک را مسدود میکند و اتصال را بازنشانی میکند.
مسدود کردن به صورت تعاملی: ترافیک را مسدود میکند و یک صفحه وب را نمایش میدهد که به کاربر اجازه میدهد تا شرایط را نادیده بگیرد. اگر کاربر ادامه را انتخاب کند، به «پذیرفتن» تبدیل میشود و مشمول بازرسی اضافی میشود.
مسدود کردن به صورت تعاملی با بازنشانی: مانند مسدود کردن تعاملی با تنظیم مجدد اتصال
سیاست پیش فیلتر Cisco FTD
در واقع، خط مشی پیش فیلتر اولین خط دفاعی برای شبکه شما است و اساسا در سطح رابط تنظیم میشود. به علاوه، از لحاظ عملیاتی یک ACL است. خط مشی پیش فیلتر باید طوری تنظیم شود که تا حد امکان ترافیک کاهش یابد. به عنوان مثال، میتوانید با استفاده از خطمشی پیش فیلتر، هر اتصال telnet را به دستگاههای شبکه خود قطع کنید، زیرا در این نوع ترافیک نیازی به بازرسی بیشتر نیست.
انواع قوانین زیر برای خطمشیهای پیش فیلتر موجود است:
- قانون تونل: این قانون برای ترافیک تونلشده مانند GRE Tunnel، IP-in-IP و غیره اعمال میشود. در این قانون، سیاست پیش فیلتر بر اساس هدر تونل تصمیم میگیرد و اگر میخواهید هدر تونل به صورت یکپارچه روی FTD برود، باید آن را به خط مشی پیش فیلتر اضافه کنید.
- قانون پیش فیلتر: این قانون را میتوان برای سایر ترافیکهای عادی استفاده کرد.
همچنین، قانون پیش فیلتر میتواند بر روی اشیاء معمولی مانند رابط، تگ VLAN و پورت مطابقت داشته باشد. بعلاوه، شما میتوانید اقدامات زیر را بر اساس تطابقهای دیگر انجام دهید:
- تجزیه و تحلیل: برای بازرسی بیشتر به موتور بازرسی ارسال کنید.
- مسدود کردن: نقطه را بدون بازرسی بیشتر رها کنید.
- FastPath: اجازه عبور بدون هیچ بازرسی بیشتر.
در نهایت، اگر ورود به سیستم مورد نیاز است، باید به صراحت برای هر قانون مشخص و فعال شود.
سیاست کشف Cisco FTD
اساسا، کشف فرآیندی است که برای کمک به کشف آنچه در شبکه شما در حال اجرا است، استفاده میشود. به دست آوردن این دانش، توانایی ایجاد خط مشیهایی را بر اساس آنچه که کشف میشود، در اختیار شما قرار میدهد. Cisco Firepower تمام ترافیک را تجزیه و تحلیل میکند و میتواند برای تعیین نوع دستگاه مانند iPad یا Windows PC، کاربر و برنامه استفاده شود. این قابلیت میتواند بسیار جزیی نگر باشد و جمع آوری دادهها بسیار ارزشمند است.
مقاله پیشنهادی ” معماری Spine-leaf چیست و چگونه آن را طراحی کنیم؟”
مجموعه متغیر Cisco FTD
فایروالهای امن سیسکو از SNORT برای جلوگیری از نفوذ استفاده میکنند. SNORT مجموعهای از بسیاری از قوانین مختلف است که میتواند با الگوهای ترافیکی مخرب شناخته شده مطابقت داشته باشد. همچنین، فرآیندهای نفوذ منابع زیادی را تحت تاثیر قرار میدهند و یکی از اهداف هر مدیر امنیتی محدود کردن دامنه برای اطمینان از اجرای بهینه خدمات است. علاوه بر این، علاوه بر بهینهسازی قوانین، باید در نظر بگیرید که قوانین کجا اجرا میشوند. اینجاست که مجموعههای متغیر (variable sets) وارد بازی میشوند.
مجموعه متغیر برای کمک به IPS در دانستن جزئیات شبکه شما طراحی شده است. بنابراین، IPS از متغیرهای از پیش تعریف شده استفاده میکند که به سیستم کمک میکند تا مشخص کند کدام ترافیک باید بازرسی شود. به عنوان مثال، متغیری به نام HTTP_PORTS مجموعهای از تمام پورتهای مرتبط با ترافیک HTTP است. اگر IPS قانونی داشته باشد که فقط برای ترافیک HTTP اعمال میشود، از متغیر HTTP_PORTS برای تطبیق ترافیک با قانون استفاده میکند.
Cisco FirePower IPS
اولین چیز برای راه اندازی IPS با استفاده از Cisco FMC، تعریف خط مشی پایه IPS است. در اصل، پنج گزینه در دسترس است:
- اتصال و امنیت متعادل: این گزینه برای برقراری تعادلی مناسب بین امنیت و سرعت ساخته شده است. به طور معمول، این گزینه به عنوان نقطه شروع برای اکثر سازمانها استفاده میشود و به عنوان میانه سیاست راه به حساب میآید. این به شما این فرصت را میدهد تا قبل از اعمال قوانین اضافی، ترافیک را تجزیه و تحلیل کنید.
- اتصال مقدم بر امنیت: اگر شرکت تحمل کاهش ترافیک نداشته باشد، این گزینه وارد عمل میشود. این گزینه برای اطمینان از عدم کاهش ترافیک (قوانین کمتر) کاربرد دارد.
- امنیت مقدم بر اتصال: این گزینه بیش از هر پارامتر دیگری بر امنیت تاکید دارد. اگرچه، رفتن به سمت پیشگیری از نفوذ با سیاست سخت میتواند باعث اعمال فشار زیاد بر منابع شود.
- بیشترین شناسایی: این گزینه از بیشترین قوانین در بین هر خط مشی استفاده میکند و به منابع بسیار زیادی نیاز خواهد داشت.
- غیرفعال بودن تمامی قوانین: همه قوانین در این گزینه غیرفعال هستند.
به طور کلی، در Firepower قوانین کمتری نسبت به IPS سنتی وجود دارد و استفاده و درک آن آسانتر است. FTD در صورت مواجهه با ناهنجاری در شبکه از قوانین زیر استفاده میکند:
- ایجاد رویداد: در این حالت ترافیک مجاز است، اما یک رویداد راه اندازی میشود.
- قطع کردن و ایجاد رویدادها: ترافیک لحظهای مسدود میشود و یک رویداد ایجاد میشود.
- غیر فعال کردن: قانون فعال نیست و استفاده نخواهد شد
برای اکثر سازمانها، سیاست نفوذ بدون فعالسازی گزینه Drop When Inline ساخته و تولید میشود. این گزینه باعث میشود که قوانین اجرا شوند و لاگ ایجاد کنند، اما هیچ ترافیک واقعی حذف نمیشود. این به شما امکان میدهد آنچه را که در تجربه لحظهای از دست میدادید، مشاهده کنید. Firepower دارای موتور توصیهای است که پس از مدتی جمعآوری گزارشها و دادهها، بهترین قوانین و سیاستها را بر اساس ترافیک شبکه شما پیشنهاد میکند. پس از مدتی، بر اساس ترافیکهای تحلیل شده و رویدادهای راه اندازی شده، میتوانید توصیهها را به روز کنید یا آنها را وارد عمل کنید.
در نهایت، وقتی صحبت از IPS میشود، بهینهسازی ارزش اصلی است. شما نباید همه قوانین را فعال کنید، زیرا حجم قابل توجهی از ترافیک کاهش یافته و عملکرد ضعیف میشود. در طول مرحله آزمایش، مطمئن شوید که همه رویدادهای ایجاد شده را تجزیه و تحلیل میکنید، زیرا ممکن است وضعیت مطلوب کاذب وجود داشته باشد و بخواهید وضعیت قوانین مختلف را غیرفعال یا تغییر دهید. اگر شک کردید، از توصیههای Firepower استفاده کنید. آنها کاملا بهینه نیستند، اما اگر در زمینه پیشگیری از نفوذ تازه کار هستید، گزینه مناسبی است.
سیاست بدافزار و مرور کلی فایل Cisco FTD
این خطمشی میتواند برای محدود کردن انواع خاصی از فایلها، صرف نظر از اینکه حاوی بدافزار هستند یا نه و برای نظارت بر فعالیتها برای اهداف ممیزی استفاده شود. این خطمشیها از چندین روش، با استفاده از ابر AMP، برای تعیین اینکه آیا یک فایل حاوی بدافزار است، استفاده میکنند. همچنین، پیکربندی این سیاستها آسان، اما درک کامل آن دشوار است.
علاوه بر این، هر فایلی که از طریق Firepower جریان مییابد و شامل ویژگی است که به یک rule یا قانون مربوط است، به عنوان نشان یک وضعیت در نظر گرفته میشود. بدافزار به این معنی است که فایل حاوی بدافزار است، «پاک» یعنی فایل حاوی بدافزار نیست، «ناشناس» به این معنی است که AMP Cloud قادر به دستهبندی فایل نیست، «تشخیص سفارشی» به این معنی است که یک اقدام دستی برای دستهبندی فایل انجام شده است و در نهایت، غیرقابل دسترس به این معنی است که AMP Cloud در دسترس نبوده است.
علاوه بر این، قوانین زیر در دسترس است که به Firepower امکان میدهد شناسایی تهدید را ادامه دهد:
- تجزیه و تحلیل محلی بدافزار: در این قانون، فایل به صورت محلی با استفاده از مجموعه قوانین ارائه شده توسط Cisco TALOS که گروهی در سیسکو است که تهدیدات را در سطح جهانی تجزیه و تحلیل میکند، تجزیه و تحلیل میشود. اگر فایل حاوی بدافزار باشد، وضعیت از ناشناخته به بدافزار تغییر میکند. اگر بدافزار وجود نداشته باشد، وضعیت تغییر نمیکند. در عوض، ویژگیهای فایل را ذخیره میکند و دفعه بعد که فایل را میبیند، آن را به عنوان فایل سالم تشخیص میدهد.
- تجزیه و تحلیل دینامیک: فایل را به AMP Cloud یا یک دستگاه Threat Grid محلی میفرستد. در این راه حل فایل در محیط sandbox باز شده و تجزیه و تحلیل میشود. AMP Cloud رتبه تهدید را به Firepower گزارش میکند و میتواند فایلهایی را با رتبه تهدید بیش از یک آستانه خاص، مسدود کند.
- تجزیه و تحلیل Spero: یک Spero Signature از یک فایل اجرایی بر اساس دادههای متا و هدر ایجاد میکند. که به آن امضا گفته میشود. در این راه حل Firepower فقط امضای موتور Spero را در AMP Cloud ارسال میکند نه کل فایل را. پس از آن، موتور Spero در ابر AMP پاسخ میدهد که آیا فایل بدافزار است یا خیر. علاوه بر شناسایی اجرای بدافزار میانی، میتوان از آن برای دفاع در برابر حملات روز صفر نیز استفاده کرد.
برای اهداف بدافزار و پیکربندی فایل، میتوانید خط مشی خاصی را فقط برای یک پروتکل خاص مانند SMTP، HTTP و غیره اعمال کنید. همچنین جهت انتقال آپلود یا دانلود است. پس از آن، میتوانید یکی از اقدامات زیر را برای فایل در نظر بگیرید:
- شناسایی : این گزینه به فایل اجازه عبور میدهد، اما آن را ثبت میکند.
- مسدود کردن: این گزینه انتقال فایل را بدون در نظر گرفتن وضعیت مسدود میکند.
- جستجوی بدافزار در ابر: این به فایل اجازه عبور میدهد، اما وضعیت آن را در ابر بررسی میکند.
- مسدود کردن بدافزار: همه بدافزارهای شناخته شده را مسدود میکند.
بنابراین، در یک عمل تعداد کمی از گزینههای مرتبط دیگر موجود است. وقتی شناسایی را انتخاب میکنید، میتوانید یک کپی از فایل را نیز ذخیره کنید. این گزینه به فضای زیادی نیاز دارد که باید آن را در نظر بگیرید. در استفاده از گزینه مسدود کردن نیز میتوانید فایل را ذخیره کرده و اتصال را بازنشانی کنید. همچنین میتوانید تجزیه و تحلیل محلی بدافزار، داینامیک و Spero Analysis را با این گزینهها مرتبط کنید.
سیاست DNS Cisco FTD
خطمشی Cisco FTD DNS زمانی اجرا میشود که وبسایتی با محتوای مخرب وجود داشته باشد که Cisco TALOS و سایر سازمانها بتوانند خیلی سریع آدرس IP را شناسایی کنند. با این حال، مالک وبسایت میتواند آدرس IP را مرتبا تغییر دهد و لیست سیاه IP را دور بزند. اما دامنه معمولا تغییر نمیکند که دور زدن لیست سیاه DNS را بسیار دشوارتر میکند. اینجاست که فیلترینگ DNS وارد عمل میشود. Cisco Firepower میتواند به جای مسدود کردن آدرسهای IP، درخواست DNS کاربر نهایی را برای دامنههای مختلف رهگیری کند و ترافیک را قبل از شروع آن متوقف کند.
لیست سیاه DNS بسیاری منتشر شده است که میتوان با Firepower از آنها استفاده کرد. اگرچه، لیستهای اولیه توسط Cisco TALOS منتشر شده است. Cisco TALOS چندین لیست برای تهدیدات خاص مانند مهاجمان DNS، رباتهای DNS و غیره ارائه میکند. به طور کلی، لیست سیاه به صورت دستی شامل لیست وبسایتهایی است که باید مسدود شوند در حالی که لیست سفید این فهرستهای DNS را لغو میکند و اجازه دسترسی میدهد.
اقدامات DNS زیر طبق خواسته ما زمانی اتفاق میافتد که ورودیهای DNS پرچمگذاری شده باشند:
لیست سفید: این عمل به جستجو اجازه انجام میدهد.
مانیتور: درخواست DNS ثبت شده است، اما پردازش قوانین متوقف نمیشود. این رفتار منحصر به عمل مانیتور است.
دامنه پیدا نشد: پاسخ DNS رهگیری میشود و با «پیدا نشد» جایگزین میشود. برای کاربر نهایی به نظر میرسد دامنه وجود ندارد.
قطع کردن: پاسخ DNS مسدود شده است. بسیار شبیه به مورد قبل.
Sinkhole: پاسخ DNS رهگیری میشود و به یک آدرس IP واقعی یا جعلی تغییر میکند. شما میتوانید از این گزینه برای هدایت موثر مشتریان به یک سایت داخلی استفاده کنید.
خط مشی تعیین هویت Cisco FTD
این خط مشی برای تعیین هویت واقعی کاربر نهایی به جای فقط یک آدرس IP استفاده میشود. میتوان از آن برای نظارت بر فعالیتهای کاربر در خط مشی اصلی استفاده کرد. به طور کلی، دو راه برای تعیین کاربر نهایی وجود دارد: احراز هویت فعال و احراز هویت غیرفعال. احراز هویت غیرفعال دقت کمتری دارد و Firepower از این نوع برای شناسایی کاربر نهایی استفاده میکند. در احراز هویت فعال، فایروال امن سیسکو کاربر را به یک صفحه پورتال فوروارد میکند و او را مجبور به ورود با نام کاربری میکند. Firepower میتواند از روشهای زیر برای شناسایی کاربران استفاده کند:
Active Directory Agent: برنامهای که روی سرور اجرا میشود تا احراز هویت کاربر را با Firepower همگام کند. برای این نوع، یک Real برای اتصال بین Firepower و سرور احراز هویت LDAP یا AD استفاده میشود.
Cisco ISE: از pxGrid برای یادگیری هویت کاربران بر اساس احراز هویت شبکه استفاده میکند.
SMTP/IMAP: آدرس ایمیل جمع آوری شده را با یک حساب کاربری در AD یا LDAP مطابقت میدهد.
فیلدهای زیر باید برای این موضوع پیکربندی شوند:
نام: فقط نام مورد استفاده در ادغام
شرح
نوع: AD یا LDAP
نام کاربری/رمز ورود به AD
نام کاربری/رمز ورود به Directory: برای نام کاربری که جستجو را انجام میدهد
DN پایه
DN گروه
ویژگی گروه: عضو منحصر به فرد، عضو یا سفارشی.
در قلمرو شما همچنین باید یک سرور AD/LDAP را انتخاب کنید و Firepower باید کاربران را قبل از استفاده از هویت دانلود کند. به طور پیش فرض، قلمرو غیرفعال است، بنابراین ابتدا باید آن را فعال کنید.
منبع هویت مشخص میکند که چگونه Firepower تغییرات اطلاعات کاربر را به روز میکند. در این راستا، Cisco ISE از pxGrid استفاده میکند و هنگام ورود کاربر به شبکه، به طور خودکار Firepower را در مورد آدرس IP، pxGrid Server CA، MnT Server و FMC Certificate به روز میکند. پس از همه اینها، Identity Policy همه اطلاعات را با هم پیوند میدهد و اقدامات زیر را ارائه میدهد:
احراز هویت غیرفعال: هویت را به صورت غیرفعال از طریق ISE، AD Agent یا VPN دسترسی از راه دور فرا میگیرد.
احراز هویت فعال: کاربر را برای احراز هویت به یک پورتال هدایت میکند. این مورد در صورت عدم موفقیت گزینه احراز هویت غیرفعال، قابل استفاده است.
بدون احراز هویت: اطلاعات هویتی جمع آوری نمیشود.
علاوه بر این، معیارهای تطبیق میتوانند بر اساس مناطق، شبکهها، تگهای VLAN و پورتها باشند. همچنین باید قلمرو را انتخاب کنید و خط مشی هویت را به خط مشی کنترل دسترسی پیوست کنید. لطفا توجه داشته باشید که اگر احراز هویت فعال را انتخاب کنید، میتوانید برنامههای خاص را از نیاز به احراز هویت فعال معاف کنید.
خط مشی Cisco FTD SSL
خط مشی SSL برای بازرسی ترافیک رمزگذاری شده مورد نیاز است. با این حال، درک این نکته مهم است که برخی از مسائل حقوقی و اخلاقی وجود دارد که باید قبل از اجرا حل شوند. اعمال این خطمشی میتواند با خط مشیهای مختلف برای سیاستهای مختلف برای انواع مختلف رمزگذاری پیچیده شود. این موضوع مستلزم آن است که نقطه پایانی به گواهینامه CA مورد استفاده توسط Firepower برای رمزگشایی/رمزگذاری ترافیک اعتماد کند.
خط مشی فیلترینگ Cisco FTD URL
شما میتوانید به صورت دستی URLها را با هر نوع مجوزی غیر مجاز و در لیست سیاه قرار دهید. مجوز فیلتر Cisco URL فقط در صورتی لازم است که بخواهید از لیستهای خودکار استفاده کنید. دو معیار برای این وضعیت وجود دارد. اول، دسته بندی وب سایت. دستههای زیادی وجود دارد که میتوانید از بین آنها انتخاب کنید و لیست آماده، در دسترس است. دوم، شهرت که معیار آن با امتیاز ۱ تا ۵ است که ۱ به معنای ریسک بسیار بالا و ۵ به معنای شناخته شده است. ممکن است لازم باشد که وبسایتهایی با شهرت ضعیف یا وبسایتهای مرتبط با قمار یا الکل را مسدود کنید.
همچنین موقعیتهایی وجود دارد که میخواهید در برابر وبسایتی که مسدود شده است، اما ممکن است هدف تجاری قانونی داشته باشد، از خود محافظت کنید. یک مسدود شدگی تعاملی به کاربر این امکان را میدهد که خطر را بپذیرد و به هر حال ادامه دهد.
اطلاعات امنیتی Cisco FTD
اطلاعات امنیتی برای مسدود کردن محتوای مخرب در مراحل اولیه بازرسی طراحی شده است. این ویژگی قبل از بازرسی مجدد با منابع بیشتر، تمام تهدیدات آشکار را فیلتر میکند. سیسکو دائما فیدهای تهدیدات را به سرعت ارائه و به روز میکند. همچنین با استفاده از اطلاعات امنیتی، آدرسهای IP، URLها و نامهای دامنه را بر اساس شهرت مسدود میکند که قبل از هر روش فیلترینگ دیگری مانند DNS، URL، IPS و غیره رخ میدهد.
سیاست برنامههای کاربردی Cisco FTD
Cisco FTD برنامههای مختلف را تشخیص میدهد و میتواند برای فیلتر یا نظارت بر برنامهها استفاده شود و از مخفی شدن محتوای مخرب به عنوان یک برنامه قانونی جلوگیری میکند. فیلتر کردن برنامهها بر اساس برنامههای فردی و دسته کلی، ریسکی که برنامه ارائه میکند و برنامه کاربردی مرتبط با کسبوکار یا ترکیبی از همه اتفاق میافتد.
Cisco FTD VPN
با استفاده از ویژگیهای Cisco AnyConnect، مشتریان میتوانند اتصالات راه دور خود را مدیریت کنند. FMC از نسخه ۷ به بعد، سرورهای RADIUS مانند AD و LDAP. و گروههای کاربری محلی پشتیبانی میشوند.