Индустриальный МСЭ и ips cisco asa 5506h-x
TRANSCRIPT
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Индустриальный МСЭ и IPS Cisco ASA 5506H-X Алексей Лукацкий Бизнес-консультант по безопасности
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Решения Cisco для индустриальных сетей
• Индустриальные коммутаторы IE 3000, IE 2000, IE 3010 и CGS 2500
• Индустриальные маршрутизаторы ISR 819H, CGR 2000
• Индустриальные беспроводные решения Cisco 1550 Outdoor AP
• Индустриальные встраиваемые маршрутизаторы в форм-факторах PC104 и cPCI
• Индустриальные системы предотвращения вторжений IPS for SCADA и Cisco ASA 5506H-X
• Индустриальные межсетевые экраны Cisco ASA 5506H-X
• Индустриальные системы борьбы с вредоносным кодом Cisco ASA 5506H-X
Cat. 6500 Cat. 4500
Cat. 3750
Доступные коммерческие платформы
Доступные индустриальные платформы 1260 and 3560 APs
ASA
IE 3010
IE 3000 1552 AP
CGR 2010
IE 2000
ISR 819
7925G-EX IP Phone
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Cell/Area Zone Уровни 0-2
Индустриальная зона
Уровень 3
Буферная зона
(DMZ)
Контроль в реальном времени
Конвергенция
Multicast Traffic
Простота использования
Сегментация Мультсервисные сети Безопасность приложений и управления
Контроль доступа
Защита от угроз
Сеть предприятия Уровни 4-5
Gbps Link for Failover Detection
Firewall & IPS
Firewall & IPS
Application Servers Cisco
Catalyst Switch
Network Services
Cisco Catalyst 6500/4500
Cisco Cat. 3750 StackWise Switch Stack
Patch Management Terminal Services Application Mirror
AV Server
Cell/Area #1 (Redundant Star Topology)
Drive
Controller
HMI Distributed I/O
Controller
Drive Drive
HMI
Distributed I/O
HMI
Cell/Area #2 (Ring Topology)
Cell/Area #3 (Bus/Star Topology)
Controller
Интеграция в сеть предприятия UC Wireless Application Optimization
Web Apps DNS FTP
Internet
Identity Services Engine
Архитектура Ethernet-to-the-Factory (ETTF)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Уровень 5
Уровень 4
Уровень 3
Уровень 2
Уровень 1
Level 0
DMZ
Терминальные сервисы Управление патчами Антивирусный сервер
Зеркало приложений Управление Web Сервер приложений
Корпоративная сеть
Сеть логистики и бизнес-планирования E-Mail, Intranet и т.д.
Клиент
Пакетный контроль
Дискретный контроль
Drive Control
Непрерывный контроль
Контроль защиты
Сенсоры Моторы Исп.устройства Роботы
Сервер приложений Factory Directory ПК инженера Контроллер
домена
Клиент
Operator Interface Engineering Workstation Operator Interface
Web E-Mail
CIP
Area Supervisory Control
Basic Control
Process
Зоны кибербезопасности в индустриальной сети
Активная защита IPS, МСЭ, контроль приложений, безопасность контента, защита от вредоносов и т.д.
Активная защита IPS, МСЭ, защита от вредоносного ПО и т.д.
Гибридная активная/пассивная защита IDS, зонирование, контроль приложений, защита от вредоносного ПО и т.д.
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Интегрированная и многоуровневая защита с помощью Cisco ASA with FirePOWER Services
► Самый популярный межсетевой экран ASA корпоративного класса с функцией контроля состояния соединений
► Система гранулярного мониторинга и контроля приложений (Cisco® AVC)
► Ведущая в отрасли система предотвращения вторжений следующего поколения (NGIPS) с технологией FirePOWER
► Фильтрация URL-адресов на основе репутации и классификации
► Система Advanced Malware Protection с функциями ретроспективной защиты
► Система управления уязвимостями и SIEM
Cisco ASA
VPN и политики аутентификации
Фильтрация URL-адресов
(по подписке) FireSIGHT Аналитика и автоматизация
Advanced Malware Protection
(по подписке)
Мониторинг и контроль приложений
Межсетевой экран Маршрутизация и коммутация
Кластеризация и высокая доступность
Интеллектуальная экосистема коллективной информационной безопасности Cisco CSI
Встроенное профилирование
сети
Предотвращение вторжений (по подписке)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Потребность в специализированных МСЭ/IPS
Для индустриального применения, АСУ ТП, подстанций и т.п. требуется небольшой, монтируемый DIN-rail-type форм-фактор, способный работать в экстремальной окружающей среде
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
Пассивная защита в индустриальной сети
Сложности Ответ Cisco
• Пассивное профилирование сети
• Отсутствие задержек между устройствами и системами, требующими реального времени
• «Белые списки» ожидаемого, предупреждения по аномалиями
• ICS означают статичность, но часто нет возможности проверить это
• ICS построены с минимальным объемом системных ресурсов
• Типичные ИТ-методы идентификации устройств могут привести к выходу из строя индустриальные системы
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Новые модели Cisco ASA with FirePOWER Services
Desktop Model Integrated Wireless AP
Выше производительность Для АСУ ТП
100% NGFW - поставляется с AVC
Wi-Fi может управляться локально или через
Cisco WLC
1RU; новая платформа – лучшее сочетание цены и производительности
NGFW для критичных инфраструктур и
объектов
5506-X 5506W-X 5508-X 5516-X
5506H-X
Идеальна для
замены Cisco®
ASA 5505
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
«Настольная» модель Cisco ASA 5506-X
7.92 x 8.92 x 1.73 in.
Параметр Значение
CPU Многоядерный
RAM 4 Гб
Ускоритель Да
Порты 8x GE портов данных, 1 порт управления с 10/100/1000 BASE-T
Консольный порт RJ-45, Mini USB
USB-порт Type ‘A’ supports 2.0
Память 64-GB mSata
Охлаждение Convection
Питание AC external, No DC
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Cisco ASA 5506H-X в защищенном исполнении
*** Конфигурация Cisco® ASA 5506-H идентична Desktop ASA 5506-X, исключая следующие параметры:
9 x 9.2 x 2.5 in.
Параметр Значение
Порты 4 x портов данных
Управление 1 порт, 10/100/1000BASE-T, 100BASE-FX, 1000BASE-X, SFP
Напряжение 5V (*** 5506 is 12V)
Диапазон температур От –20 до 60°C (рабочий) От -40 до 85°C (обычный)
Монтаж Wall-Mount, Horizontal Desk, Rack-Mount и DIN rail-mount
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Специальные сертификаты на Cisco ASA 5506H-X
Сертификаты соответствия
9 x 9.2 x 2.5 in.
IP40 per IEC 60529 KN22 IEC 61850-3 IEC 61000-6-5 IEC 61000-5 IEC 611000-4-18 IEEE 1613.1 IEEE C62.412 IEC 1613 IEC 61850-3 IEC 60068-2
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Производительность младших Cisco ASA with FirePOWER
Модель 5506-X Контроль приложений (NGFW)
250
Контроль приложений вместе с предотвраще-нием атак (NGFW + IPS)
125
Максимальное число одновременных соединений
50,000
Максимальное число новых соединений в секунду
5,000
Модель 5506-X МСЭ с контролем состояния 750 Мбит/с Пропускная способность в режиме шифрования 100 Мбит/с
IPSec VPN соединений 50 Cisco AnyConnect соединений 50
Контекстов безопасности Н/п
VLAN 30
Отказоустойчивость Active/ Standby
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Поддержка индустриальных систем в ASA 5506H-X
• 2 препроцессора для Modbus и DNP3
• Возможность написания собственных сигнатур
• Около 200 встроенных сигнатур
CitectSCADA OMRON Kingview IGSS Tecnomatix RealWin Iconics Genesis Siemens IntelliCom Cogent
RSLogix DAQFactory Beckhoff Measuresoft ScadaPro Broadwin Progea Movicon Microsys Sunway Moxa
GE Sielco ScadaTec Sinapsi DATAC WellinTech Tridium Schneider Electric CODESYS
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Локальная система управления: ASDM 7.3.x
Новая разработка! Сочетает в себе контроль над политиками доступа и функциями защиты от современных угроз. Улучшенный пользовательский интерфейс позволяет как следить за событиями в общем, так и углубляться в детали
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Благодарю за внимание