نوشته‌ها

مزایای استفاده از Cisco ACI در رفع مشکلات امنیتی

Cisco Application Centric Infrastructure  یا به اختصار  Cisco ACI، معماری جدید و خلاقانه‌ای است که به طور کلی موجب تسهیل، بهینه‌سازی و تسریع چرخه پیاده‌سازی برنامه می‌گردد.

Cisco ACI  از یک رویکرد جامع مبتنی بر سیستم استفاده نموده که دارای ویژگی‌هایی مانند یکپارچه ‏سازی کامل میان اجزاء فیزیکی و مجازی، مدل Open Ecosystem  و نوآوری جدید  ICهای خاص برنامه‌های کاربردی تحت عنوان ASIC ، سخت‌افزار و نرم‌افزار جدید می‌باشد. این رویکرد منحصربفرد از مدل عملیاتی مبتنی بر Policy مشترک در سراسر شبکه و اجزاء امنیتی‌ای که از Cisco ACI و همچنین اجزاء Computing و Storage در آینده نزدیک پشتیبانی می‌کنند، استفاده نماید، علاوه بر آن موجب تسلط بر Siloهای IT و کاهش قابل ملاحظه هزینه‌ها و پیچیدگی فرایند، می‌گردد.

مزایای استفاده از Cisco ACI در رفع مشکلات امنیتی

Cisco ACI  به چالش‌های امنیتی و تطبیق‏ پذیری دیتاسنترهای نسل بعدی (Next-Generation Data Center) و محیط‌های Cloud می‌پردازد. درواقع با انتقال سازمان‌ها به نسل جدید دیتاسنترها و محیط‌های  Cloud، خودکارسازی  Policyهای امنیتی مستلزم پشتیبانی از شرایط آماده‌سازی برحسب تقاضا و مقیاس‌پذیری دینامیکِ برنامه‌های کاربردی می‌باشد و از طرفی مدیریت امنیت بصورت دستی و مبتنی بر تجهیزات، مستعد بروز خطا و ناامنی است. هنگامی که حجم کاری برنامه در یک محیط دیتاسنتری اضافه، اصلاح و یا جابجا می‌شوند، Policyهای امنیت می‌بایست با  Endpointهای برنامه‌کاربردی تطابق یابند زیرا ایجاد و حذف  Policyهای پویا برای تضمین ترافیک سراسری و کنترل تحرک‌پذیری (Mobility) برنامه‌کاربردی ضروری می‌باشد. اصولا قابلیت دید نسبت به ترافیک، به منظور شناسایی و کاهش حملات پیشرفته‌ی هدفمند و ایمن‌سازی Tenantها، بسیار مهم می‌باشد.

Cisco ACI Security  برای نسل جدید  دیتاسنترها و Cloud

Cisco ACI  جهت رفع نیازهای امنیتی  Data Centerهای نسل بعدی و محیط‌های Cloud از یک رویکرد جامع مبتنی بر سیستم استفاده می‌نماید که برخلاف راهکارهای جایگزین امنیتی شبکه‌های مجازی‌سازی شده مبتنی بر Overlay ، که قابلیت دید و مقیاس‌پذیری محدودی ارائه می‌دهند و نیازمند مدیریت جداگانه تجهیزات شبکه Underlay (زیرلایه) و Overlay (هم‌پوشانی) و Policyهای امنیت می‌باشد. راهکار امنیتی Cisco ACI علاوه بر تطابق‌پذیری، کاهش خطر منافذ امنیتی را تضمین می‌نماید و با استفاده از یک رویکرد برنامه‌محور و مدل مشترک عملیاتی مبتنی بر Policy، بطور ویژه‌ای نیازهای امنیتی  Data Centerهای نسل بعدی را برآورده می‌نماید.

فراهم نمودن امکان مدیریت یکپارچه امنیت  Policy  توسط  Cisco ACI Security، از طریق به اجرا درآوردن پالیسی‌ها در هر جایی از دیتاسنتر و بر روی تمامی   WorkLoadهای واقعی و مجازی ایجاد شده است. این راهکار، روند خودکارسازیِ کاملی را از لایه ۴ تا ۷ پالیسی‌های امنیت ارائه داده و همزمان با فراهم نمودن قابلیت دید عمیق، تطابق خودکار Policy و تشخیص سریع و کاهش تهدیدات، از استراتژی Defense-In-Depth نیز پشتیبانی می‌نماید. Cisco ACI تنها رویکردی است که با ارائه بخش‏بندی که Dynamic بوده و برنامه‌محور می‌باشد، بر برنامه‌کاربردی تمرکز دارد.

مزایای اصلی  Cisco ACI Security

در ادامه به بررسی بیشتر ویژگی‌ها و مزایای اصلی Cisco ACI Security می‌پردازیم:

  • ارائه مدل Policy برنامه‌محور

فراهم نمودن دیدکلی سطح بالا توسط  Cisco ACI، با استفاده از گروه‌های Endpoint یا به اختصار EPG صورت می‌گیرد و برای انجامPolicy های ساده‌تر، نسبت به توپولوژی شبکه باید از زبان برنامه‌های کاربردی بیشتری استفاده نماید. رویکرد Policy  مبتنی بر Whitelist   در Cisco ACI  مسدود نمودن ترافیک میان  EPGها از مدل Zero-Trust پشتیبانی می‌نماید مگر اینکه یک Policy دقیقا اجازه ترافیک میان EPGها را صادر نماید.

  • یکپارچه‌سازی مدیریت Policy امنیتی لایه‌های ۴ تا ۷

Cisco ACI، پالیسی‌های امنیتی لایه‌های ۴ تا ۷ را در ساختار یک برنامه‌کاربردی، بصورت مرکزی مدیریت و خودکارسازی می‌نماید و این کار را با استفاده از یک مدل Policy مبتنی بر برنامه‌ و بصورت یکپارچه و از طریق مرزهای واقعی و مجازی و همچنین تجهیزات Third-Party، انجام می‌دهد. این رویکرد موجب کاهش پیچیدگی عملیاتی و افزایش چابکی IT، بدون ایجاد تهدیدات امنیتی می‌شود.

  • بخش‌بندی مبتنی بر Policy

Cisco ACI   بخش‌بندی (Segmentation) دقیق و منعطف  Endpointهای فیزیکی و مجازی را براساس  Policy Groupها  فراهم نموده و در نتیجه موجب کاهش محدوده‌ی تطبیق‌پذیری و خطرات امنیتی می‌گردد.

  • تطبیق‌پذیری خودکار

Cisco ACI   تضمین می‌نماید که پیکربندی در این ساختار همیشه با Policyهای امنیتی مطابقت داشته باشد و Cisco APIها بتوانند برای استخراج Policy و Audit Logها از Application Policy Infrastructure Controller یا به اختصار APIC استفاده نموده و گزارشات تطبیق‏پذیری را ایجاد نمایند که به عنوان مثال می‌توان به گزارش تطبیق‏پذیری PCI اشاره نمود. این ویژگی موجب ارزیابی ریسک در IT به صورت Real-Time شده و خطر عدم تطابق‌پذیری برای سازمان‌ها را کاهش می‌دهد.

  • امنیت یکپارچه در لایه ۴ برای ترافیک‌های درون دیتاسنتر بین سرورها

ساختار Cisco ACI  شامل یک فایروال Stateless لایه ۴ توزیعی به صورت Built-In می‌باشد تا ترافیک بین سرورها رادرون یک دیتاسنتر میان اجزاء برنامه کاربردی و تمامی  Tenantها در یک دیتاسنتر ایمن نماید.

  • چارچوب Open Security

Cisco ACI   به منظور پشتیبانی از درج سرویس‌های پیشرفته برای خدمات امنیتی لایه‌های حساس ۴ تا ۷ در جریان ترافیکی برنامه‌کاربردی، صرف‌نظر از مکان آن‌ها در دیتاسنتر، چارچوب Open Security (شامل APIs و پروتکل OpFlex) ارائه می‌دهد.

این سرویس‌ها شامل موارد زیر می‌باشد:

  • Intrusion Detection Systems یا به اختصار IDS
  • Intrusion Prevention Systems یا به اختصار IPS
  • سرویس‌های فایروال نسل بعدی یا به اختصار NGFW مانند Cisco Adaptive Security Virtual Appliance یا به اختصار ASAv،Cisco ASA 5585-X Adaptive Security Appliance  و تجهیزات امنیت Third-Party می‌باشند.

لازم به ذکر است این ویژگی موجب استراتژی امنیتی Defense-In-Depth و حفاظت از سرمایه‌گذاری خواهد شد.

  • قابلیت دید عمیق و تشخیص سریع حملات

با استفاده از این قابیلت Cisco ACI می‌تواند داده‌های زمان بروز ترافیک شبکه را جمع‌آوری نمود و از شمارنده‌های اتمی به منظور ارائه هوشمندی در شبکه به صورت Real-Time و فراهم نمودن قابلیت دید عمیق به تمامی مرزهای فیزیکی و مجازی شبکه، پشتیبانی می‌نماید. این ویژگی موجب تشخیص سریع حملات در اوایل چرخه حمله می‌شود.

  • پاسخ خودکار به مشکلات

Cisco ACI   از قابلیت پاسخ‌گویی خودکار به تهدیدات شناسایی شده در شبکه پشتیبانی می‌نماید و این کار را با استفاده از Northbound APIها انجام می‌دهد که امکان ادغام با پلتفرم‌های امنیتی را فراهم می‌سازد.

 

 

 

گزارش Gartner برای تجهیزات UTM

گزارش Gartner در سال ۲۰۱۷ برای تجهیزات UTM منتشر گردیده است و باز هم طبق معمول و برای هشتمین سال متوالی Fortigate در جایگاه نخست قرار گرفت.
اما آنچه در این گزارش قابل توجه است نقطه ضعف های سایر vendor ها می باشد . نکته دیگر پایین آمدن جایگاه برخی محصولات مانند Juniper است. اما آیا همه چیز درست نوشته شده است :
در مورد محصول Cisco ، بزرگترین ایراد عدم وجود راه کار مناسب Antivirus می باشد. البته این موضوع کاملا درست است. راه کار فعلی ارائه AMP می باشد که در این راه کار Hash مربوط به فایل ها برای سرور AMP فرستاده می شود تا بررسی شوند و راه کار مبتنی بر signature و یا heuristic در این محصول وجود ندارد. شرکت سیسکو هم اصلا استراتژی در این مورد ندارد. مشکل دیگر این است که Cisco امکان اسکن ترافیک web را فقط دارد و سایر ترافیک ها مانند SMTP در آن دیده نشده است که باز هم ایراد درستی می باشد. نکته دیگر کاهش ظرفیت پردازش و توان تجهیزات است که در محصولات Cisco نسبت هزینه به کارآمدی پایین است. هر چند اعداد اعلام شده توسط فورتی نت کاملا درست نمی باشد اما تا حدی این مقایسه صحیح است. یکی از نقاط مثبت محصول سیسکو هم مدیریت آن می باشد و در محصول FireSight انجام می شود . این مزیت نسبت به سایر رقبا واقعا قابل توجه است. البته یکی دیگر از نقاط این محصول قابلیت Integration آن با سایر محصولات سیسکو و غیر سیسکو می باشد.
محصول بعدی که با کاهش رتبه شدیدی روبرو شده است ، سری SRX شرکت Juniper Networks می باشد. بزرگترین و مهم ترین مشکل این محصول سهولت در کاربری می باشد. رابط کاربری این محصول بسیار ضعیف است و انجام تنظیمات از طریق دستور کمی سخت است. در طی این چند سال شرکت Juniper محصولاتی مانند Junos Security Director را ارائه کرده است تا این مشکل برطرف شود اما متاسفانه موفق نبوده است و دلیل مهم آن پرداخت هزینه مجزا است. دیگر مشکل آن عدم وجود تنوع در سری SMB و Mid-Size اعلام شده است که خوب به تازگی این شرکت سری جدید از محصولات SRX مانند سری ۳۰۰ را ارائه کرده است. به علاوه ، integration این محصولات با سایر محصولات ضعیف است و شرکت juniper نیز تعدد محصول زیادی در حوزه امنیت ندارد و این استراتژی کاملا برخلاف سیسکو و فورتی نت است. یکی دیگر از مشکلات این محصول برخورد ضعیف با End Point می باشد. محصولات AMP و FortiClient در محصولات Cisco و Fortinet توانسته اند این نیاز را پوشش دهند.

اما بازار این محصولات در ایران چگونه خواهد بود ؟

استفاده از سرویس های cloud-based در ایران یکی از مشکلات قابل توجه است. در چنین وضعیتی محصولاتی مانند Cisco که بخش های مهمی از عملکرد محصول خود را در این راستا ایجاد کرده اند با مشکل مواجه خواهند شد. بویژه این مشکل خود را در شبکه های ایزوله و air-gap نمایان خواهد کرد. ساختار جدید Licesing شرکت سیسکو تحت عنوان Smart Licensing نیز مشکل دیگر برای رقابت محصولات سیسکو در ایران محسوب حواهد شد.
محصول SRX شرکت جونیپر همچنان محبوبیت حود را داراست . البته در شبکه های بزرگ و با سیاست های امنیتی متعدد کمتر شاهد حضور این محصول هستیم. مشکل بروزرسانی و اتصال به cloud این شرکت مانند سایر محصولات منجر به block شدن نمی شود و خوب این یک مزیت امنیتی قابل توجه است.
و ظاهرا محصول شرکت Fortinet نیز همچنان محبوب ترین محصول در ایران می باشد

دستورات مهم برای افزایش امنیت تجهیزات سیسکو

ایجاد امنیت در تجهیزات سیسکو در این مقاله سعی شده است با یک بیان خیلی ساده ۱۰ دستور ابتدایی سیسکو جهت بالابردن امنیت تجهیزات cisco را به شما معرفی کنیم . این نکته را فراموش نکنید این دستورات درعین سادگی خیلی مهم هستند و عدم رعایت این موارد ممکن است باعث صدمات بسیار جدی به شبکه شما شود.

 

۱- تعیین طول پسورد

با استفاده از دستور زیر شما می توانید طول پسوردهای ورودی در سیسکو را مدیریت کنید. این نکته لازم به ذکر است که سعی کنید حداقل از طول ۸ کارکتر جهت بالا بردن امنیت تجهیزات خود استفاده نمایید.

(Router (config) #security passwords min-length 8 ( Minimum length of all user/enable passwords

طول پسورد را می توان از صفر تا ۱۶ کاراکتر مشخص کرد.

۲- استفاده از دستور Enable Secret

همانظور که می دانید یکی از دستوراتی که خیلی در پیکربندی تجهیزات سیسکو استفاده می شود دستور  enable password  است اما به علت مشکل امنیتی و عدم کد گذاری پسورد پیشنهاد می شود از دستور Enable Secret  استفاده کنید.

*Router (config) #enable secret cisco123

 

۳- قراردادن پسورد درراه های دسترسی به تجهیزات

ما جهت دسترسی به تجهیزات سیسکو روش های مختلفی از قبیل vty , Comsole , aux … داریم که برای بالا بردن امنیت تجهیزات سیسکو خود می بایست پسورد مناسبی جهت دسترسی به آن ها قرار دهیم تا از دسترسی افراد سودجو به تجهیزات جلوگیری کنیم.

۴- فعال سازی سرویس کدگذاری پسوردها

با استفاده از سرویس password encryption  به صورت خودکار تمام رمزهای مشخص شده کد گذاری می شوند.

Router (config) #service password-encryption

 

۵- غیرفعال کردن Password Recovery

همانطور که می دانید امکان Password Recovery در محیط Rommon در تجهیزات سیسکو وجود دارد که این قابلیت در محیط های که تجهیزات در محیط های امنی از لحاظ فیزیکی وجود ندارند می تواند بسیار خطرناک باشد زیرا هکر به راحتی می تواند با استفاده از این قابلیت به تجهیزات ما دسترسی پیدا کند. با استفاده از دستور زیر می توانید این قابلیت را غیر فعال کنید.

 

Router (config) # no Service Password Recovery

 

۶- محدودیت در تعداد دفعات وارد کردن پسورد

یکی از روشهای هک استفاده از حملات کرکینگ است که در این روش هکر به صورت مکرر از یک دیکشنری جهت وارد کردن پسورد استفاده می کنند از این رو ما باید برای ورود پسوردها محدودیت ایجاد کنیم برای این امر از دستور زیر استفاده می کنیم.

 

Router (config) # Security authentication failure rate 5  

 

با توجه به دستور بالا اگر ۵ بار پسورد اشتباه زده شود ۱۵ ثانیه وقفه در دادن پسورد ایجاد می شود.

 

۷- محدودیت زمان کار نکردن کاربر با تجهیزات

(Router (config) #line console 0 (Vty or Aux 

(Router (config-line) #exec-timeout 2 (Min) 30 (Sec

 

با توجه به دستور بالا در صورتی که کاربر ۲ دقیقه ۳۰ ثانیه کانفیگی انجام ندهد ارتباط قطع می شود و باید مجددا متصل شویم.

 

۸- محدودیت تعداد دفعات لاگین اشتباه در یه بازده زمانی خاص

Router (config) #login block-for 30 attempts 5 within 10

 

در کد بالا اگر کاربری در ۱۰ ثانیه ۵ بار اشتباه پسورد را وارد کند به مدت ۳۰ ثانیه بلاک می شود.

 

۹- مخفی کردن فایل Boot

جهت بالابردن امنیت تجهیزات سیسکو ، فایل boot خود را با استفاده از دستور بالا می توانید مخفی کنید.

 

Router(config)#secure boot-image

 

۱۰- ایجاد پشتیبان مخفی از کانفیگ تجهیزات

Router(config)#secure boot-config

 

جهت نمایش فایل های مخفی می توانیم از دستور زیر استفاده کنیم.

 

Router # show secure bootset

 

 

منبع : nooran.com

 

 

سیسکو pxGrid

pxGridسیسکو

 یکپارچگی تکنولوژی های امنیتی با pxGride

 

با استفاده از پلتفرم Cisco pxGrid  یا Platform Exchange Grid ، محصولات امنیتی مختلف شما به راحتی قادر هستند که با یکدیگر تبادل اطلاعات نمایند و اطلاعات را به اشتراک بگذارند. Cisco pxGride پلتفرم باز، مقیاس‌پذیر و بر اساس استاندارهای IETF می‌باشد که دارای قابلیت کنترل تهدیدات و اشتراک‌گذاری داده‌ها است. این پلتفرم بستری را فراهم می‌نماید عملیات امنیتی نیز می‌توانند از قابلیت خودکار‌سازی بهره گیرند تا سریع‌تر به پاسخ‌ها دست یافته و از تهدیدات جلوگیری کنند.

 

قابلیت ها و مزایا

یکپارچه‌سازی ساده‌تر

این پروفایل از یک API برای باز نمودن، اشتراک‌گذاری داده‌ها و کنترل بیش از ۵۰ محصول امنیتی استفاده می‌نماید.
Cisco pxGrid کمک می‌نماید تا یک اکوسیستم کامل از تکنولوژی‌هایِ سازگار و مطابق با استانداردهای غیرمشابه IETF در کنار هم کار کنند. بنابراین کاربر می‌تواند به جای مجموعه‌ای از APIهای غیرمرتبط صرفا از یک واسط کاربری واحد استفاده نموده و آن را حفظ نماید.

قابلیت دید سریع برای بهروری بالاتر

کلیه داده‌های ساختاری و مرتبط را در یک صفحه واحد ارائه می‌نماید. ضمن اینکه علاوه بر امکان سفارشی‌‌سازیِ نحوه اشتراک و نمایش داده‌های امنیتی، می‌توان وضعیت امنیتی از جمله رویدادهای آتی را با وضوح و دقت بیشتری مشاهده نمود و کارایی کارکنان را بهبود بخشید.

مهار سریع تهدید

با استفاده از Cisco pxGrid، تحلیل کاملی بر روی سیستم جهت دستیابی به پاسخ‌‌های سریع اجرا می‌گردد. هوشِ امنیتی را می‌توان به صورت خودکار بین همه تکنولوژی‌های یکپارچه‌سازی شده‌ی pxGrid به صورت مجازی به اشتراک گذاشت. ضمن اینکه ضرورتی برای بررسی‌های طولانی مدت توسط کاربر وجود ندارد و می‌توان عملیات‌های امنیتی را در زمان کمتری به نتیجه رساند.

 

دستیابی به پاسخ‌های سریع‌تر

با pxGrid امکان توقف سریع تهدیدات با استفاده از بستر شبکه فراهم می‌گردد.  به هر یک از تکنولوژی‌های یکپارچه و دارای قابلیت بر روی Instanceهای خود اجازه می‌‌دهد تا Cisco Identity Services Engine یا به اختصار ISE را برای دربرگرفتن تهدیدات هدایت نماید تا بدین ترتیب بتوان هر نوع حمله‌ای در شبکه را متوقف نمود.

تکنولوژی‌های مبتنی بر استانداردهای صنعتی

Cisco به عنوان یکی از اعضای گروه IETF متعهد شده است تا هوشمندی سیستم به اشتراک گذاری را به صورت ایمن، باز و مقیاس‌پذیر به تولید کند. pxGrid و تکنولوژی‌های آن مطابق با استانداردهای مورد نظر می‌باشند.
Cisco همواره در IETF ، SACM (Secure Automation and Continuous Monitoring) ، MILE (Managed Incident Lightweight Exchange) شرکت میکند.

اجزای Cisco pcGrid

ناظر pxGrid

این ناظر می‌تواند اتصالات بین پلتفرم‌ها را تنظیم نماید. ضمن اینکه اطلاعات متنیِ قابل اشتراک بین این پلتفرم‌ها را نیز تعیین می کند. این عملکرد کنترل از طریق Cisco ISE ارائه می‌گردد.

عامل اتصال در pxGrid

این عمل در پلتفرم ادغام می‌شود تا با ناظر pxGrid مرتبط گردد. پلتفرم Cisco pxGrid به تنظیم اطلاعات قابل اشتراک و تعیین سایر پلتفرم‌های امنیتی می‌پردازد.

تکنولوژی های Cisco

در میان API های چندگانه بیش از ۱۰ محصول Cisco از فرایند یکپارچه‌سازی با محصولات دیگر سیسکو و تکنولوژی‌های مرتبط پشتیبانی می نمایند

Cisco DevNet

توسعه دهندگان سرویس‌های سیسکو به تسهیل فرایند یکپارچه‌سازی محصولات با کیفیت، از قبیل اعتبارسنجی و صدور گواهینامه با این پلتفرم می‌پردازند.

پشتیبانی فنی

سرویس‌های پشتیبانی سیسکو به سایر شرکای امنیتی سازمان‌ها در رفع چالش‌های مربوط به یکپارچه‌سازی کمک می‌نماید.

امروز اقدام به یکپارچه سازی و افزایش امنیت سازمان خود کنید

برخی از محصولات امنیتی قابلیت ادغام با Cisco pxGrid را دارند، که جهت شناسایی آنها می‌توان به وبسایت Cisco مراجعه نمود.