CISCO CATALYST 9000

Нове покоління комутаторів Catalyst 9к на даний момент складається з серії Catalyst 93xx, 94xx, 95xx і являє собою лінійку пристроїв, розроблених з урахуванням нових реалій цифрової епохи і забезпечують новий рівень безпеки, програмованості і продуктивності, реалізований на основі інновацій Cisco Systems в області апаратного та програмного забезпечення.

Так, наприклад, якщо порівнювати найбільш поширений зараз комутатор фіксованого ядра Cisco Catalyst 4500Х і 9500 (рекомендована заміна для 4500Х), то лінійка 9500 має в 3 рази більшу продуктивнісь і пропускну спроможність, в 5 разів більшу буферизацію і швидкість CPU, в 4 рази більший об’єм пам’яті, флеш і швидкость роботи портів, в 2.4 рази більшу щільність портів 10G. Але і це ще не все, підтримується UADP 2.0, Perpetual / fast PoE, SD-Access, x86 CPU і контейнери (containers), ETA, AES256 / MACSEC256, StackWise Virtual, IEEE1588 і AVB, NBAR2, Model-driven programmability, Patching / GIR, Streaming telemetry:

 

 

 

Функціонал SD-Access і ETA хотілося б відзначити окремо. SD-Access, він же Software-Defined Access (програмно визначаємий доступ) являє собою технологію автоматизації застосування політик і сегментації мережі, використовується для істотного спрощення доступу до мережі з боку користувачів, пристроїв та інших об’єктів. Завдяки Cisco DNA Center і SD-Access (програмно-визначеного доступу) платформа комутації Catalyst 9к здатна працювати як частина єдиної інтелектуальної мережевої фабрики, що значно прискорює виконання завдань проектування мережі, виділення ресурсів і обслуговування. Більше немає необхідності копіювати, модифікувати і вставляти налаштування для кожного комутатора окремо. Автоматизація і контроль за дотриманням політик через єдиний інтерфейс Cisco DNA Center дозволяють створити налаштування всього один раз і застосувати їх до всієї мережі.

 

ETA (Encrypted Traffic Analytics, аналіз зашифрованого трафіку).

 

 

Ця технологія є подальшим розвитком ідеології Cisco «Мережа як Сенсор», коли інтегруючись з ISE (Identity Services Engine) та Stealthwatch мережа здатна не тільки виявити загрозу, а й автоматично її ізолювати:

 

 

 

Тільки дане рішення Cisco дозволяє виявляти загрози в зашифрованому трафіку з точністю 99% при рівні помилкових спрацьовувань менше 0,01%:

  • 6 років збору статистики + машинне навчання + аналітика
  • 180 пантів
  • Безліч методів та технік
  • Точність 99%
  • Помилкових спрацювань 0,01%

 

Більшість кібератак сьогодні маскуються в зашифрованому трафіку, та чисельність їх постійно зростає. Завдяки використанню Cisco Talos та машинного навчання, з’явилася можливість визначати сигнатури відомих атак навіть в зашифрованому трафіку:

 

 

Приклад виявлення інциденту за допомогою ETA в зашифрованому трафіку показаний на малюнку нижче:

 

 

 

Поведінкова аналітика зашифрованого трафіку на основі патернів дозволяє забезпечити безпеку без шкоди для конфіденційності, швидко виявити аномалію в трафіку, а також уникнути досить ресурсомісткі навантаження на обладнання, пов’язані з процесом дешифрування. До того ж – у багатьох випадках це може бути практично неможливо.

Комплексна безпека скорочує можливість атаки на мережу, та фактично захищає мережу ще на етапі виникнення атаки, застосовуючи активну аналітику для виявлення шкідливого ПО та загроз під час атаки, а також забезпечуючи швидке автоматичне реагування на загрозу та запобігання її поширення після атаки.

Cisco Catalyst 9k як платформа мережевих даних та забезпечення виконання (Network Data Platform and Assurance).

 

 

Комутатори Cisco Catalyst 9k нового покоління виступають як потужна аналітична платформа, що оперативно виконує класифікацію та кореляцію великих обсягів переданих по мережі даних та, за допомогою машинного навчання, трансформує їх у проактивну аналітику, бізнес-інформацію та оперативну інформацію, видаючи результати за допомогою сервісу DNA Center Assurance.

Cisco FirePower

Включаючи в себе Next Generation Firewall, Next Generation IPS, URL-фільтрації, Advanced Malware Protection та VPN, FirePower дозволяє розкривати загрози, посилювати політики безпеки, виявляти, блокувати, захищати мережу від атак, усувати прогалини в безпеці і запобігаи майбутнім атакам, надаючи комплексний захист до, під час, і після атаки.

 

 

 

  1. Автоматичне підстроювання сигнатурного набору

Часом для якісного відстеження інцидентів і адекватної реакції на них людських ресурсів може не вистачити. Збираючи таку інформацію у FirePower з’являється можливість автоматично підлаштовувати набори сигнатур для окремих елементів мережі:

  • Актуальний список хостів/систем;
  • перелік операційних систем з версіями і патчами на кінцевих пристроях;
  • версіями і наявністю клієнтського ПЗ;
  • список користувачів, що знаходяться поза хостами;
  • перелік можливих вразливостей;
  • наявність обміну між хотами в пасивному режимі.
  1. Next-Generation Firewall (NGFW)

Міжмережевий екран нового покоління, використовує сигнатури визначення типів додатків і тепер здатний виробляти фільтрацію аж до 7-го рівня, дозволяючи контролювати не тільки додатки, але і їх функції.

При формуванні політики фільтрації і політики виявлення вторгнень ми можемо вказати безліч умов:

  • Зони, і/або мережі і/або VLAN між якими буде проводитися фільтрація;
  • користувачі AD, що нас цікавлять, трафік яких ми хочемо фільтрувати;
  • додатки, доступ до яких хочемо обмежити/дозволити;
  • порти tcp/udp, поводження з/на які будемо фільтрувати;
  • URL, розбиті за категоріями та репутацією.

Кожен запис ACL може бути посилений політиками запобігання вторгнень, політиками файлової фільтрації і захисту від Malware і/або політиками логування.

 

 

  1. Функція захисту Advanced Malware Protection

Ця технологія включає захист від Malware на рівні мережі. Файли, що проходять через пристрій FirePower, піддаються аналізу з використанням хмарних рішень. Процедура виглядає наступним чином: з файлу, що інспектується, знімається хеш SHA-256 і виконується запит до бази даних для з’ясування диспозиції цього файлу (чи є цей файл чистим). Якщо диспозицію файлу з’ясувати не вдається, то файл надсилається в пісочницю, для аналізу його поведінки. Додатком до цього присутній ретроспективний аналіз, при якому запам’ятовуються всі шляхи поширення файлів та їх атрибути. У випадку, якщо файл виявився-таки шкідливим, система з легкістю його може відстежити та заблокувати на рівні мережі і показати всі додаткові компоненти, Malware програми і звертання до процесів, які дали можливість заразити і дали початок поширенню загрози.

 

 

  1. Функція Compliance Whitelist

Функція дозволяє вказати перелік хостів, з певними операційними системами, наборами патчів, клієнтськими додатками, ми дозволяємо бачити в мережі. Якщо хост не відповідає критеріям, система повідомить адміністратора і використає методи кореляції.

  1. Функція профілів трафіку

Функція відстеження параметрів з’єднань, що встановлюються хостами мережі. Базуючись на статистичних даних, система збирає параметри з’єднання та створює новий профіль з’єднань для кожного хосту.

  1. Функція кореляції подій

Функція по відстеженню, ескаляції та реагуванню на події являє собою пожливість, за подіями виставляти набір умов, з їх логічним пов’язанням, для генерації реактивного впливу.

Система моніторингу та звітності

Функція являє статистичну інформацію як про систему в цілому, так і про кожну активність будь-якого трафіку. Наприклад:

  • активність користувачів, додатків (враховуючи рівень ризиків), операційних систем;
  • оцінка подій безпеки за рівнем впливу та рівнем пріорітету;
  • статистика виявлення активності шкідників та передачі заражених файлів;
  • розташування хостів, що реалізують ворожу активність і/або найбільш інтенсивний інформаційний обмін;
  • статистику найбільш часто відвідуваних категорій сайтів, в тому числі за репутацією і найбільш відвідуваних URL.

Кожна подія чи інцидент детально вивчається аж до вмісту пакета. Система так само містить інформацію про сигнатуру, що спрацювала, і текст цієї сигнатури. За необхідності можна сформувати звіт як по заздалегідь підготовленим, так і по персональним шаблонами. Шаблон може включати графіки, таблиці, а також вміст пакетів.

 

 

  1. Система попередження вторгнень (IPS) новго покоління

Система IPS наступного покоління встановлює новий стандарт захисту від загроз завдяки інтеграції функцій обліку контексту в реальному часі, інтелектуальної автоматизації і забезпечення неперевершеної продуктивності систем запобігання вторгнень. Можливості IPS:

  • Облік контексту в реальному часі: можливість перегляду і зіставлення великих обсягів даних подій, пов’язаних з елементами ІТ – середовища – додатками, користувачами, пристроями, операційними системами, уразливостями, службами, процесами, поведінкою мережі, файлами та загрозами.
  • Вдосконалений захист від загроз: захист від сучасних загроз завдяки передовій технології запобігання загрозам, ефективність якої підтверджена незалежним тестуванням та досвідом використання тисячами замовників по всьому світу.
  • Інтелектуальна автоматизація: значне скорочення сукупної вартості володіння та забезпечення відповідності мінливим потребам бізнесу завдяки автоматизації оцінки впливу подій, настройки політик IPS, управління політиками, аналізу поведінки мережі та ідентифікації користувачів.
  1. URL-фільтрація

Опція фільтрації URL-адрес, за допомогою якої організації можуть застосувати фільтрацію веб-адрес на основі категорій та репутації, щоб впровадити політики допустимого використання та зменшити ризик вторгнення або зараження.

  1. Система управління Defense Center

Повноцінне управління всіма функціями FirePower здійснюється за допомогою Defense Center. Локально проводиться, тільки початкова конфігурація FirePower яка дозволяє підключити пристрій в мережу та налаштувати зв’язок з центром управління.