【正文】 OC 網(wǎng)管： MARS安全信息管理 信息控制策略 具備全面網(wǎng)絡(luò)安全管理能力的控制策略 遠(yuǎn)程節(jié)點(diǎn)的安全防護(hù) VPN遠(yuǎn)程安全接入 無線安全防護(hù) 連接互聯(lián)網(wǎng)安全 合作伙伴 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 27 目前企業(yè) /SP DCN內(nèi)部桌面管理系統(tǒng)面臨的問題 ? 終端用戶的身份控制以及訪問權(quán)限控制 ? Windows 操作系統(tǒng)的安全漏洞，易被黑客或者病毒利用，比如造成蠕蟲病毒泛濫 ? 員工訪問危險(xiǎn)的網(wǎng)站 ? 員工安裝非授權(quán)的危險(xiǎn)軟件，或者沒有安裝指定的安全軟件（如殺毒軟件） ? 員工違反安全規(guī)定，擅自使用可移動存儲設(shè)備（如 CD、 U盤、移動硬盤等），易于泄漏內(nèi)部資料 ? 員工私自安裝雙網(wǎng)卡、電話撥號、 ADSL等上網(wǎng) ? PC機(jī)數(shù)量太多，管理人員維護(hù)、監(jiān)控困難 ? … ? 導(dǎo)致 ： 6070% 的系統(tǒng)及網(wǎng)絡(luò)安全隱患 來源于公司內(nèi)部 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 31 NAC的安全架構(gòu)設(shè)計(jì) ? NAC安全架構(gòu)首次實(shí)現(xiàn)了 IT系統(tǒng)整體協(xié)作的安全 ? NAC安全架構(gòu)有效集成聯(lián)合了多層面的防護(hù)系統(tǒng)，包括：網(wǎng)絡(luò)接入安全、用戶認(rèn)證、終端安全 ? NAC安全架構(gòu)構(gòu)建了縱深防御的安全防護(hù)體系 Security Architecture It Governance Data Center Consolidation ERP Consolidation 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 35 實(shí)施 NAC對 SOX符合性的好處 Cisco NAC addresses COBIT controls: ? 集中化的網(wǎng)絡(luò)安全準(zhǔn)入管理 ? 安全整體的 IT架構(gòu)設(shè)計(jì) ? 基于角色的訪問管理 ? 擴(kuò)展的、細(xì)粒度的訪問控制 ? 實(shí)時監(jiān)控 CISCO NAC是遵循 SOX符合性設(shè)計(jì)的安全架構(gòu) 滿足 IT內(nèi)控中多方面的安全需求 169。無需網(wǎng)絡(luò)設(shè)備支持 DOT1X特性。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 39 THE GOAL Intra/ Network Cisco Clean Access 認(rèn)證流程概述 2. User is redirected to a login page Clean Access validates username and password, also performs device and work scans to assess vulnerabilities on the device Device is nonpliant or login is incorrect User is denied access and assigned to a quarantine role with access to online remediation resources 3a. Quarantine Role 3b. Device is “clean” Machine gets on “certified devices list” and is granted access to work Cisco Clean Access Server Cisco Clean Access Manager 1. End user attempts to access a Web page or uses an optional client Network access is blocked until wired or wireless end user provides login information Authentication Server 169。基于檢查結(jié)果對于客戶機(jī)采取相應(yīng)的準(zhǔn)入控制策略。根據(jù) CAM檢查結(jié)果，對于接入用戶分配 ACL限制，或者利用 SNMP方式通知交換機(jī)對于用戶進(jìn)行相應(yīng)的 VLAN分配操作。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 42 CAS Foundation: In Band amp。 2900, 2940, 2950, 3500, 3550, 3560, 3750, 4500, and 6500 switches A single deployment can contain both inband (. for wireless) and outofband (. for wired) Clean Access Servers 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 47 Switch Platforms 重點(diǎn)部署模式平臺兼容性： L2 IP 及 L2 Platform, Supervisor OS NAC L2 NAC L2 IP NAC L3 IP NAC Agentless Host 6500 – Sup32, 720 Native IOS Future Future (NAC L2 IP) 6500 – Sup2 Native IOS Future No No Future 6500 – Sup32, 720 Hybrid Future (NAC L2 IP) 6500 – Sup2 Hybrid No (NAC L2 IP) 6500 – Sup2, 32, 720 CATOS No (NAC L2 IP) 4000 Series – Sup2+, 35 IOS Future (NAC L2 IP) 3550, 3560, 3750 EMI, SMI No (NAC L2 IP) 2950, 2960 EI, SI No No No 2940, 2955, 2970 All No No No 6500 – Sup1A All No No No No 5000 All No No No No 4000/4500 CATOS No No No No 3500XL All No No No No 2900XM All No No No No 169。如是否安裝了 BT等軟件。 ? 禁用 USB等移動設(shè)備： Ex： USB、光驅(qū)等各種可移動設(shè)備，常常是引入病毒、風(fēng)險(xiǎn)的入口。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 51 CSA Approach: Behavioral Protection for Endpoints Target 1 2 3 4 5 探測 進(jìn)入 持續(xù) 傳播 發(fā)作 ? Ping地址 ? 掃描端口 ? 猜測用戶帳號 ? 猜測郵件用戶 ? 郵件附件 ? 緩沖區(qū)溢出 ? ActiveX控制 ? 網(wǎng)絡(luò)安裝 ? 壓縮消息 ? 猜測后門 ? 創(chuàng)建新的文件 ? 修改現(xiàn)有文件 ? 弱化注冊表安全設(shè)置 ? 安裝新的服務(wù) ? 設(shè)置陷阱后門 ? 攻擊的郵件副本 ? Web連接 ? IRC ? FTP ? 感染文件共享 ? 刪除文件 ? 修改文件 ? 設(shè)置安全漏洞 ? 導(dǎo)致計(jì)算機(jī)崩潰 ? 拒絕服務(wù) ? 竊取機(jī)密 ?快速變異 ?持續(xù)特征更新 ?不準(zhǔn)確的 ?注重于漏洞 ? 危害大 ? 注重于 exploit ? 變化非常緩慢 ? 思科安全代理解決方案的靈感 ? Many points when and attack could be stopped ? The more defense points, the better ? The earlier the attack is stopped, the better – before it reaches the endpoint is best 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 55 Dynamic States using NAC CSA Version: CSA MC: CSA State: HEALTHY NAC Posture: HEALTHY CSA Version: CSA MC: CSA State: TESTMODE ON CSA State: REMEDIATE NAC Posture: REMEDIATE Dynamic Policy Change Normal Policy ACS 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 58 Performance ? Windows CPU Usage: 15% ? Solaris CPU Usage: 310% ? Memory Usage: 710MB, up to 20 ? Network Impact: Policy download: 3570k Event: ~3k Poll: ~ Polling Interval change: ~3k Software Update: varies ? Transactions per second is a very good way to measure latency 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 62 安全管理問題主要?dú)w結(jié) ? 對 實(shí)時 安全信息不了解，無法及時發(fā)出預(yù)警信息。 IT管理者的期望： 安全的網(wǎng)絡(luò)－－ 一個能集中管理所有產(chǎn)品 信息、 智能化的安全管理中心 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 66 CSMARS 流程典型例子 169。 , , IDSM , , Enterasys Dragon NIDS ISS RealSecure Network Sensor , Snort NIDS McAfee Intrushield NIDS NetScreen IDP Symantec ManHunt ? 漏洞評估 eEye REM Foundstone FoundScan ? 主機(jī)安全 Cisco Security Agent (CSA) McAfee Entercept , ISS RealSecure Host Sensor , Symantec AnitVirus ? 主機(jī)記錄 Windows NT, 2022, 2022 (有代理和無代理 ) Solaris Linux ? 系統(tǒng)記錄 通用設(shè)備支持 ? 應(yīng)用 Web 服務(wù)器 (IIS, iPla, Apache) Oracle 9i, 10i 數(shù)據(jù)庫審查記錄 Network Appliance NetCache Note: Visit 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 72 ? 在加入網(wǎng)絡(luò)之后， MARS會用幾天時間適應(yīng)網(wǎng)絡(luò)使用模式。 ? 所提供的內(nèi)置規(guī)則可以 自動地將異常行為與網(wǎng)絡(luò)IDS系統(tǒng)所報(bào)告的攻擊關(guān)聯(lián) 到一起。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 74 MARS滿足企業(yè)用戶的安全管理需求 用戶需求 / 面臨的挑戰(zhàn) M A R S 如何支持如何管理多廠商的安全設(shè)備？ 很難管理來自不同廠商的安全信息M A R S 可以處理來自不同廠商的安全信息，最常見的網(wǎng)絡(luò)和安全產(chǎn)品，終端操作系統(tǒng)，均在 M A R S 的支持列表中發(fā)生了什么樣的安全事件？ 用戶需要花費(fèi)他們大量的時間，從海量的安全信息中，包括錯誤信息中，才能找出真正的安全挑戰(zhàn)M A R S 通過分析安全威脅，判斷哪些是最重要的，哪些不