نرم افزار امنیتی سیسکو FTD

نرم افزار امنیتی سیسکو FTD
قابلیت های نرم افزار امنیتی سیسکو FTD

 

تجهیزات امنیتی سیسکو شامل سیر وسیعی از محصولات فیزیکی و مجازی متنوعی میباشد که به سازمان های پیشرفته کمک میکند تا سیاست های امنیتی مدنظر خود را بصورت تمام و کمال درون شبکه اعمال نمایند. فایروال امن یا فایرپاور سیسکو، نسل جدید فایروال های این شرکت میباشند که با بهره گیری از نرم افزار FTD (Firepower Threat Detection) سیسکو بصورت built-in، امنیت را بصورت پایدار و با کمترین خللی برقرار می نمایند.

در این مقاله قصد داریم به ویژگی های متنوع این محصول ،که تماما بصورت گرافیکی و متمرکز بوسیله سیسکو FMC و یا FDM مدیریت میشوند، بپردازیم. این نرم افزار برروی فایروال ASA-X سیسکو، تمامی سری های Firepower سیسکو و بصورت مجازی برروی ESXi قابل دسترسی و اجرا میباشد.

فایروال ASA-X سیسکو

نرم افزار FMCv را میتوان به منظور مدیریت جامع فایروال های موجود در هر سازمانی، بصورت ماشین مجازی و برروی زیرساخت VMWare ESXi، نصب نمود. در حال حاضر نسخه های 6.6.5 مورد تایید سیسکو میباشند و میتوانند با فایروال های ASA-55xx، را که نهایت تا نسخه FTD 6.6.5 را پشتیبانی میکنند، مدیریت نمایند.

قابلیت ACP برروی FTD سیسکو

بصورت کلی، ACP که مخفف Access Control Policy میباشد، همانند یک ACL تمامی سیاست های تعریف شده درون FTD را یکپارچه مینماید. اقداماتی که بصورت جداگانه تعریف و توسط ACP اعمال میشوند، شامل موارد زیر میشوند: 

  • سیاست های Pre-Filter
  • سیاست های SSL
  • سیاست های هویتی (Identity)
  • اقدامات Security Intelligence Feeds
  • قابلیت های Logging
  • ویژگی های پیشرفته

این بخش در وب پنل FMC از مسیر Policies > Access Control قابل دستیابی میباشد. در ادامه به برخی قابلیت های Access Control خواهیم پرداخت.

 

Security Intelligence چیست؟

این ویژگی در کنار ACP به مدیران این امکان را میدهد تا تمامی تهدیدات شناسایی شده توسط سیسکو در سرتاسر جهان را قبل از اعمال هر پالیسی دیگری محدود نمایند. این قسمت نیز از مسیر Policies > Access Control و از بخش Security Intelligence قابل دسترسی است.

 

Access Control Rules چیست؟

قابلیت های نرم افزار امنیتی سیسکو FTD
قابلیت های نرم افزار امنیتی سیسکو FTD

 

همچنین مشتریان میتوانند، درون نرم افزار FTD، دسته بندی های متنوعی از قبیل Zone، Network، VLAN Tag، User، Application، Port، URL و SGT را برای شبکه خود تعیین و همچنین قوانین (Rule) متنوعی بشرح زیر را اعمال نمایند:

  • Allow: اجازه عبور ترافیک Match شده را درصورت مورد تایید قرارگرفتن Inspection میدهد.
  • Trust: اجازه عبور ترافیک Match شده را بدون نیاز به Inspection میدهد.
  • Monitor: ترافیک را ردیابی و لاگ های مربوط را ذخیره کرده، ولی بعنوان Match در نظر گرفته نمیشود.
  • Block: ترافیک Match شده را بلاک میکند.
  • Block and Rest: ترافیک Match شده را بلاک و Connection را ریست میکند.
  • Interactive Block: ترافیک Match شده را بلاک میکند ولی به کاربر اجازه تصمیم تغییر سیاست را میدهد.
  • Interactive Block with Reset: مانند Interactive Block با این تفاوت که Connection را ریست میکند.

در نظر داشته باشید حالت اولیه و پیش فرض ACP برروی Block All Traffic میباشد و ترتیب Ruleها برای اعمال آنها مهم
می باشد.

 

URL Filtering چیست؟

ویژگی URL Filtering Cisco بمنظور محدود کردن URL های ناامن در سطح شبکه استفاده میشود. با آپدیت دوره ای نرم افزار FTD، آخرین لیست مربوط به URLهای مشکوک بروزرسانی شده و مدیران میتوانند بر اساس نیاز خود آنها را درون شبکه اعمال نمایند. این URLها در دسته بندی ها (Category) و با سابقه های گوناگون (Reputation) طبقه بندی میشوند. این URLها را میتوان براساس این دسته بندی ها (برای مثال سایت های ورزشی) و یا سابقه آنها (برای مثال سایت های بدسابقه) درون شبکه محدود نمود.

برای اعمال URL Filtering می بایست لیست و دسته بندی URL های مختلف را در بخش Policies > Access Control و ACP خود اعمال نمایید. توجه داشته باشید Whitelistها باید در ابتدا لحاظ شوند و در ادامه Ruleهای محدود کننده اضافه گردند و در آخر هرترافیک دیگری Permit شوند.

 

Application Policy چیست؟

بواسطه این ویژگی میتوان بر اساس برنامه ها و اپلیکیشن های موجود در شبکه سیاست های مختلفی را برای آنها اعمال نمود. برای مثال، میتوان تمامی ترافیک ها خروجی اپلیکیشن های Torrent را بطور کلی مسدود نمود. این پالیسی ها نیز در هنگام تعریف کردن Rule جدید در قسمت ACP و از مسیر Policies > Access Control تعریف میگردند.

 

قابلیت Policy Pre-Filter چیست؟

قابلیت Policy Pre-Filter

در واقع، این سیاست ها اولین مرحله برای دفاع در برابر ترافیک های ناهنجاراست و با درنظر گرفتن آن ها میتواند میزان ترافیک هایی که نیاز Inspection بیشتر خواهند داشت به حداقل رساند. در این دسته میتوان با استفاده از Tunnel Rule ترافیک های در بستر  تونل و با Pre-Filter Rule مابقی ترافیک ها را بررسی کرد.  همچنین براساس Matchهای صورت گرفته شما میتوانید اقدامات زیر را اعمال نمایید:

  • Analyze: ترافیک موردنظر را به سمت IPS ارسال مینماید.
  • Block: ترافیک موردنظر را بدون Inspection بلاک میکند.
  • FastPath: اجازه ورود ترافیک را بدون Inspection بیشتر میدهد.

درنهایت، برای اینکه لاگ های مربوط به هر دسته ذخیره شوند، باید بصورت مشخص در تنظیمات مشخص شده و Prefilter Policy مورد نظر برروی ACP اعمال گردد.

قابلیت Policy Pre-Filter
قابلیت های نرم افزار امنیتی سیسکو FTD

معرفی IPS سیسکو

IPS سیسکو

 

بصورت کلی، Intrusion Detection System برای بررسی عمیق تر ترافیک های درون شبکه کاربرد دارد. به منظور استفاده از این قابلیت درون نرم افزار FTD با استفاده از نرم افزار مدیریت جامع فایروال های سیسکو (FMC)، میتوان از یکی پنج حالت پیش فرض زیر بهره برد:

  • حالت Balanced Security and Connectivity: با استفاده از این حالت میتوان تعادل مناسبی میان حفظ سرعت ارتباطات درون شبکه و امنیت برقرار کرد.
  • حالت Connectivity Over Security: با استفاده از این گزینه میزان ترافیک های فیلتر شده به حداقل رسیده و سرعت انتقال اطلاعات درون شبکه افزایش میابد.
  • حالت Security Over Connectivity: در این حالت امنیت داده ها در اولیت قرار خواهد گرفت و با توجه به حجم بالاتر نظارت برروی ترافیک ها، سرعت انتقال در شبکه کاهش پیدا خواهد کرد.
  • حالت Maximum Detection: این گزینه برای برقراری بیشترین سطح امنیت در سطح شبکه کاربرد دارد ولی بشدت منابع دستگاه را اشغال خواهد کرد.
  • حالت No Rules Active: در این حالت هیچگونه Inspection برروی ترافیک انجام نخواهد شد.

در ادامه، نرم افزار FTD هنگام برخورد با یک ناهنجاری در سطح شبکه یکی از اقدامات زیر را انجام خواهد داد:

  • Generate Event: در صورت Match شدن Rule مورد نظر، اجازه عبور به ترافیک داده و رویدادی جدید (Event) ایجاد میگردد.
  • Drop and Generate Event: در صورت Match شدن Rule مورد نظر، ترافیک بلاک شده و رویدادی جدید ایجاد میگردد.
  • Disable: در این حالت Rule مورد نظر غیرفعال میباشد و اعمال نمیگردد.

فایروال های سیسکو

لازم بذکر است، استفاده از IPS باید در بهینه ترین حالت باشد، زیرا تعریف تعداد زیادی از Rule ها میتواند سرعت شبکه را بشدت کاهش دهد که این امر موجب ایجاد خلل در عملکرد کاربران سازمان خواهد شد. مدیران باید بتوانند با اجرای سناریوهای لازمه تعادل مناسبی میان سطح امنیت سازمان و کیفیت دسترسی کاربران برقرار نمایند. برای فعال سازی IPS در نرم افزار FMC Cisco و از منوی Policies > Intrusion میتوان یک سیاست جدید ایجاد کرد.

همچنین با انتخاب هر کدام از Ruleها میتوان از جزییات و نحوه عملکرد آنها مطلع شد. شایان ذکر است پس از حدود یک هفته از استفاده از IPS با Ruleهای پیش فرض خود این نرم افزار بصورت هوشمند موارد مورد نیاز را Recommend میکند و مدیران میتوانند از آنها در سطح شبکه خود استفاده نمایند. در نهایت باید پالیسی IPS را در ACP مورد نظر لحاظ نمایید. همچنین مدیران میتوانند در پنل مدیریتی FMC و از مسیر Objects > Intrusion Rules موارد مربوط به IPS را شخصی سازی کنند.

Variable Set چیست؟

 

از آنجاییکه در پروسه Inspection ترافیک توسط IPS، سطح بالایی از منابع فایروال مورد استفاده قرار میگیرد، وظیفه مدیران شبکه این است که میزان ترافیکی که نیاز به بررسی دارد را با استفاده از Rule ها، زمان و مکان اعمال آنها برروی ترافیک، به حداقل برسانند. برای این منظور میتوان از Variable Set ها استفاده نمود. این متغیرها به منظور دراختیار گذاشتن اطلاعات شبکه به IPS طراحی شده اند و بوسیله آنها استفاده از منابع به حداقل حالت خود خواهد رسید. این قابلیت از مسیر Objects > Object Management > Variable Set قابلیت دستیابی است و به مدیران امکان شخصی سازی المان های شبکه را برای اعمال در Inspection میدهد.

 

قابلیت Malware Policy and File Overview چیست؟

قابلیت Malware Policy and File Overview

 

این سیاست بمنظور محدود کردن انتقال فایل های خاصی، با صرف نظر کردن از اینکه شامل Malware هستند یا نه، کاربرد دارد. همچنین به کمک این قابلیت و با ارتباط با AMP Cloud، میتوان فایل های حاوی موارد تهدید آمیز را شناسایی و محدود کرد.

در این قسمت نیز میتوان قوانین زیر را اعمال کرد تا فایرپاور سیسکو، متوجه شود که یک فایل شامل تهدید میشود یا خیر:

  • Local Malware Analysis: در روش فایل ها با استفاده لیست تهدیدات موجود در سامانه Cisco TALOS ارزیابی میشوند.
  • Dynamic Analysis: در این روش کل فایل مورد نظر برای AMP Cloud و یا Threat Grid Appliance ارسال میکند. سپس، فایل درون یک Sandbox باز شده و ارزیابی میشود.
  • Spero Analysis: در این روش تنها با بررسی Signature موجود در Meta و یا Header فایل ها با AMP Cloud، صلاحیت فایل را مورد ارزیابی قرار میدهد.

پس از بررسی و ارزیابی فایل ها در روش های بالا، میتوان اقدامات زیر را برروی آنها اعمال نمود:

  • Detect: با ثبت لاگ، فایل را تایید میشود.
  • Block: فایل بلاک میشود.
  • Malware Cloud Lookup: فایل تایید میشود ولی در کلود هم بررسی میشود.
  • Block Malware: تمامی Malwareهای شناخته شده بلاک خواهند شد.

Block Malware

این ویژگی در FMC و از مسیر Policies > Malware & File قابل دسترسی است و میتوان قوانین مورد نظر را ثبت کرد. برای استفاده از قابلیت های AMP باید برروی Block Malware کلیک کرده و ویژگی های موجود را انتخاب کرد. در نهایت این پالیسی را نیز باید برروی ACP اعمال نمود. همچنین تمامی Event های مربوط در مسیر Analysis > Malware Events قابل مشاهده میباشد.

قابلیت DNS Policy چیست؟

قابلیت DNS Policy

 

این قابلیت زمانی حائز اهمیت میباشد که سایت های ناامن، با تغییر IP و حفظ نام خود (Domain Name) به فعالیت خود ادامه میدهند. با بکارگیری و استفاده از دیتابیس جامع گروه سیسکو TALOS، میتوان از نام این سایت ها مطلع شد، و حتی در صورت تغییر IP، اقدام به بلاک و محدود نمودن آنها کرد. بر این اساس لیست سیاه سایت های نا امن (Black list) بصورت خودکار از TALOS دریافت شده و همزمان، مدیران میتوانند با اقدامات زیر اصلاحاتی را در این لیست اعمال نمایند:

  • Whitelist: اجازه به DNS Query داده میشود.
  • Monitor: تمامی DNS Query ها لاگ میشوند.
  • Domain Not Found: تمامی Query ها با Domain Not Found پاسخ داده میشوند.
  • Drop: تمامی Queryها بلاک میشوند.
  • Sinkhole: در این روش Query با یک IP جایگزین و از پیش تعیین شده پاسخ داده شده و کاربر را به یک سایت داخلی هدایت میکند.

Sinkhole

این قابلیت درون نرم افزار Cisco FMC و از منوی Policies > DNS  قابل دسترسی است و میتوان به سادگی با استفاده از لیست هایی که سیسکو در اختیار قرار داده است، سایت های ناامن را محدود کرد.

 

قابلیت Identity Policy چیست؟

قابلیت Identity Policy

 

بوسیله این دسته از سیاست ها میتوان از هویت واقعی کاربران، علاوه بر IP، آگاه شد و تصمیمات بخصوصی را برای آنها اتخاذ نمود. برای این منظور، فایرپاور میتواند کاربران را با استفاده از ابزار زیر احرازهویت نماید:

  • Active Directory Agent: در این روش با استفاده از اطلاعات درون AD و یا سرور LDAP، به اطلاعات مربوط به کاربر دسترسی پیدا کرد.
  • Cisco ISE: با استفاده از قابلیت pxGrid موجود در نرم افزار سیسکو ISE میتوان به هویت واقعی کلاینت های شبکه دسترسی پیدا کرد.
  • SMTP/IMAP: با استفاده از اطلاعات موجود در سرور ایمیل سازمان، اطلاعات مربوط به احراز هویت کاربران بدست میاید.

برای استفاده از Identity Policy ابتدا باید در پنل مدیریتی FMC سیسکو و از مسیر System > Integration > Realms سرور مایکروسافت اکتیو دایرکتوری را به آن معرفی کرده تا بتوان بر اساس آن هویت کاربران را بررسی نمود. سپس این Realm باید در مسیر Policies > Identity فراخوانی شود. در آخر بوسیله این قابلیت هم میتوان بر وبسایت هایی که کاربران به آنها مراجعه میکنند، نظارت داشت یا دسترسی های خاصی را برای کاربران بخصوص در ACP در نظر گرفت.

 

قابلیت SSL Policy چیست؟

این ویژگی به منظور فراهم شدن امکان بررسی و رصد ترافیک های رمزنگاری شده مورد نیاز است. هرچند که با توجه به انواع روش های رمزنگاری اطلاعات پیاده سازی این قابلیت همراه با چالش هایی نیز میباشد. برای مثال در این راستا، باید CA Certificate استفاده شده توسط Firepower مورد اطمینان و تایید کاربران باشد تا رمزگشایی امکان پذیر شود. برای این منظور باید در Objects > Object Management و در بخش PKI > Internal CAs یک Certificate برای سیسکو FMC ایجاد نمایید. در مرحله بعدی از مسیر Policies > SSL میتوانید سیاست های مرتبط با بررسی ترافیک های امن سازمانی از قبیل HTTPS را تعریف نمایید.

 

قابلیت SSL Policy
قابلیت های نرم افزار امنیتی سیسکو FTD