Next-Generation Firewall

Какие решения Next-Generation Firewall (NGFW) предлагает компания Cisco?

NGFW (Next-Generation Firewall) – межсетевой экран (МСЭ), который обеспечивает глубокую инспекцию пакетов, предотвращение вторжений (IPS), и проверку трафика на уровне приложений. Большинство NGFW также поддерживают фильтрацию веб-сайтов, антивирусную проверку, проверку зашифрованного трафика TLS/SSL, интеграцию со сторонними системами управления идентификацией (LDAP, RADIUS и Active Directory).

В портфолио компании Cisco присутствует четыре решения с функциональностью NGFW:

  • Cisco ASA с сервисами FirePOWER;
  • Firewall Treat Defense (FTD);
  • Управляемые из облака устройства Meraki MX серии, на текущий момент (декабрь 2020) решение в России не продаётся;
  • Программно-определяемое решение SD-WAN.

Первые три решения относятся к устройствам Cisco Secure Firewall. SD-WAN – программно-определяемая WAN сеть c интегрированными функциями безопасности.

Рассмотрим первые два решения. Они оба обеспечивают идентичный функционал. Отличие заключается в архитектуре решения.

Cisco ASA с сервисами FirePOWER – это классический МСЭ под управлением операционной системы ASA OS с сервисами FirePOWER, запущенными в виде виртуальной машины. В этом решении отдельно настраивается функционал Cisco ASA и отдельно Firepower. В случае FTD, мы имеем одну операционную систему, которая выполняет всю функциональность решения. Варианты ОС и интерфейсы управления. Рекомендованным вариантов развертывания NGFW является вариант FTD.

Каждое из этих решений состоит из следующих компонентов:

  1. Аппаратная или виртуальная* платформа. В качестве современной аппаратной платформы могут быть модели Cisco ASA 5508 и выше, Cisco Firepower 1000/2100/3100/4000/9000.
  2. Подписки на функционал: IPS, фильтрацию веб-сайтов, антивирусная проверка. Подписки могут быть на 1/3/5 лет.
  3. Опционально - система управления Firewall Management Center (FMC) в виде виртуальной или аппаратной платформы. Для обеспечения полной функциональности решения, FMC является обязательным компонентом.
  4. Опционально – агент для интеграции с MS Active Directory: Cisco UserAgent (последняя поддерживаемая версия FTD - 6.6) или Cisco ISE/ISE-PIC.

* только для решения FTD.

Внедрение решения NGFW требует проработки для получения максимальной эффективности при его работе.

Какие преимущества даёт запуск функций NGFW на Cisco Secure Firewall?

Преимущества NGFW по сравнению с классическими межсетевыми экранами:

  • Надёжная система предотвращения вторжений нового поколения (NG IPS). Обеспечивает максимальный уровень защиты внутренних ресурсов компании от атак «из вне».
  • Полное видение сети. Технология Network visibility позволяет получать максимально полную информацию об устройствах, участвующих в сетевом взаимодействии. К такой информации относится версия операционной системы устройства, версия программного агента, участвующего в сетевом взаимодействии (браузер, клиент Skype и т.д.), пользователи, работающие на данном устройстве, вероятные уязвимости с точки зрения сетевой безопасности и многие другие параметры. Пример отображения параметров конечного оборудования представлен на рисунке ниже:

Какие преимущества даёт запуск сервисов FirePOWER на Cisco ASA?

  • Распознавание файлов различных типов и проверка файлов на наличии вредоносного кода. Устройство способно распознавать более сотни различных типов файлов (mp3, mp4, bmp, rar, pdf и т.д.). Кроме того, технология Advanced Malware Protection (AMP) позволяет проверять скачиваемые/выгружаемые файлы на наличие вредоносного кода.
  • Ретроспективный анализ. Обеспечивается реакция системы не только до момента атаки или во время атаки, но и после её прохождения. Реакция системы после проведения атаки крайне важна для поддержания необходимого уровня безопасности. Ведь вредоносный код может попасть на конечное оборудование не только через сеть, но и простым подключением зараженного носителя. При таком прохождении атаки Firepower безусловно не может заблокировать вредоносный код на конечном оборудовании. Однако, если занесённый вирус проявит себя в сетевом взаимодействии, например, пытаясь распространиться на другие устройства, Firepower вычислит вирус, проследит заражённый код и пути его распространения по сети.
  • Межсетевой экран нового поколения. Позволяет настраивать гибкие политики доступа. Возможна настройка фильтрации по Интернет-приложениям, URL и категориям URL, репутации сайтов.
  • Интеграция с Active Directory. Политики доступа могут быть применены к конкретным пользователям или группам пользователей AD вне зависимости от клиентского устройства, с которого осуществляется сетевое взаимодействие.
  • Широчайшие возможности мониторинга, создания гибких отчётов. Пример предлагаемых отчётов представлен на рисунке ниже:

Какие преимущества даёт запуск сервисов FirePOWER на Cisco ASA?Какие преимущества даёт запуск сервисов FirePOWER на Cisco ASA?Какие преимущества даёт запуск сервисов FirePOWER на Cisco ASA?

  • Гибкие возможности интеграции в сетевую инфраструктуру. В виде физического или виртуального устройства. Различные режимы работы: NGFW в режиме L3, NGFW в прозрачном режиме (transparent), NGIPS в inline-режиме или пассивном.

Какие варианты операционных систем используются в решениях Cisco Secure Firewall?

Решения Cisco ASA5500-X и новейшие решения Cisco Firepower (FPR) серии 1000/2100/3100/4000/9000 входят в нишу сразу двух классов устройств: межсетевой экран нового поколения (NGFW) и система предотвращения вторжений нового поколения (NGIPS).

Существует несколько вариантов программного обеспечения, которые могут быть запущены на различных платформах Cisco Secure Firewall:

  • ASA OS – классическая операционная система ASA*.
  • FirePOWER Services on ASA – программный модуль FirePOWER для Cisco ASA.
  • FirePOWER NGIPS – классическая операционная система IPS-сенсора FirePOWER.
  • Firewall Treat Defence (FTD) – консолидированная операционная система включающая в себя как функциональность ASA, так и модуля FirePOWER для Cisco ASA.
* ОС ASA обеспечивает сервисы классического межсетевого экрана с фильтрацией на уровнях L3-L4.

Устройства и соответствующие им варианты программного обеспечения удобно представить в табличном виде:

  Cisco ASA5500-X Cisco ASA5585 Cisco Firepower серии 1000/2100/3100/4000/9000 Cisco FirePOWER серии 7000 и 8000
ASA OS + + + -
FirePOWER Services on ASA + + - -
FirePOWER NGIPS - - - +
Firewall Treat Defence (FTD) + - + -

Замечание: Cisco Firepower серии 1000/2100/3100/4000/9000 используют операционную систему Cisco Firepower eXtensible Operating System (FXOS) как оркестратор и для низкоуровневого управления шасси. ASA OS или FTD являются гостевыми операционными системами относительно FXOS.

Что такое Firewall Threat Defense (FTD)?

Firewall Threat Defense (FTD) – образ программного обеспечения для Cisco ASA 5500-X и устройств Firepower (FPR) 1000/3100/2100/4000/9000. FTD включает в себя функционал классического ПО Cisco ASA и ПО Firepower, тем самым являясь полноценным NGFW. Управление системой происходит через выделенное решение - Firewall Management Center (FMC).

Помимо доступа через FMC, на FTD можно попасть и через CLI по SSH. В CLI отсутствует возможность по настройке устройства, но присутствуют команды для мониторинга и траблшутинга. Большинство стандартных команд из категории show ничем не отличаются от таких же команд для «полноценных» ASAv/ASA. Есть команды capture, packet-tracer, debug, test и т.п.

Ещё одним вариантом управления FTD является «on-board» система Firepower Device Manger. Это легковесная система управления, встроенная в образ FTD. Обеспечивает базовые настройки устройства и предлагаем необходимый минимум для запуска устройства в небольшом офисе/филиале.

FTD так же доступен в виде виртуальной машины – vFTD.

Лицензирование FTD, в любых исполнениях, выполняется по новой схеме – Cisco Smart Software Licensing.

Для лицензирования функций NGFW для FTD выполняется в форме подписок на 1/3/5 лет. Доступны подписки на функционал Treat, Malware и URL Filtering:

Threat Система предотвращения вторжений (NGIPS), файловый контроль (разрешение/запрет на передачу файлов)
Malware Борьба с вредоносным кодом и угрозами нулевого дня (файловая проверка)
URL Filtering URL-фильтрация по репутации и категориям сайтов

Кроме подписки и само устройства приобретаются различные опции:

  • система управления FMC (в виде виртуальной машины или физического аплайнса),
  • система для интеграции* с MS Active Directory: Cisco ISE или ISE-PIC,
  • лицензии на Anyconnect (VPN доступ для пользователей).
* Для интеграции с MS AD может быть использован бесплатный агент Cisco UserAgent. Однако его развитие уже прекращено и последняя версия FTD, к-я его поддерживает, - 6.6.

Какие варианты систем управления могут быть использованы для решений Cisco ASA и Cisco Firepower?

Доступные варианты управления МСЭ Cisco определяются типом ОС, установленной на этих устройствах.

Существуют следующие варианты управления:

  • ASA CLI – классическая командная строка для ASA OS.
  • ASDM – графический интерфейс для управления ASA OS и частично сервисами FirePOWER, запущенными на Cisco ASA.
  • FMC (Cisco Secure Firewall Management Center, ранее Firewall Management Center) – отдельно стоящая система управления (виртуальная машина или аппаратный аплайнс) решениями Firepower, включая FTD OS, NGIPS и пр.
  • FDM (Firepower Device Manager) – легковесная система управления, которая работает «из коробки», то есть по умолчанию; встроена в образ FTD.

Некоторые системы управления для некоторых вариантов программного обеспечения предоставляют ограниченные возможности настройки. Например, для ASA с сервисами FirePOWER с помощью ASDM можно настраивать полный функционал ASA, но ограниченный функционал Firepower (подробнее).

  ASA CLI ASDM FMC FDM
Cisco ASA5500-X + FirePOWER Services Только ASA OS ASA OS и
FirePOWER Services
Только FirePOWER Services -
Cisco ASA5500-X FTD image - - Да Да
Cisco Firepower серии 1000/2100/3100/4000/9000 ASA image Да Да - -
Cisco Firepower серии 1000/2100/3100/4000/9000 FTD image - - Да Да

В чём отличие между Firepower Device Management (FDM) и Firewall Management Center (FMC)?

Оба решения используются для управления решением FTD (Firewall Threat Defense). Ниже представлена информация о доступной функциональности решения FTD при управлении через FDM и FMC.

FDM FMC
Стоимость Бесплатно, встроен в FTD Приобретается отдельно
Количество управляемых FTD Один Один и более
Интерфейс Максимально интуитивно понятный Интуитивно понятный
DHCP, NAT, Site to Site VPN, Remote Access VPN Да Да
QoS (ограничение скорости) Нет Да
Интеграция с AD Да Да
Дешифрация SSL Да Да
Фильтрация на основе L3/L4 заголовков, приложений, URL, пользователей/групп AD Да Да
NG IPS Базовый, выбор профиля Расширенный, настройка сигнатур на основе типа трафика
Network discovery (обнаружение и анализ хостов в сети) Нет Да
Расширенный инструментарий анализа инцидентов (хранение пакетов, файлов, быстрый доступ к различным внешним базам и пр.) Нет Да
Отчёты Нет Да
Корреляция событий Нет Да
Интеграция со сторонними решениями (ISE и пр.) Нет Да

Что такое Cisco Firepower 1000/2100/3100/4000/9000?

Данные устройства представляют собой новую платформу Cisco Firepower (FPR), которая пришла на замену популярным межсетевым экранам Cisco ASA. Они относятся к классу межсетевых экранов нового поколения (NGFW). Помимо современной OC FTD, на эти устройства может быть установлена также классическая ОС ASA.

Основные особенности данного класса устройств:

  • фильтрация по Интернет-приложениям (более 4000 приложений),
  • фильтрация по URL и категориям URL (более 80 категорий),
  • фильтрация по IP, DNS, репутация сайтов,
  • система предотвращения вторжений нового поколения (NG IPS),
  • проверка файлов на наличии вредоносного кода (Cisco AMP),
  • построение защищённых VPN туннелей: site-to-site (IKEv1 и IKEv2), remote-access (Anyconnect),
  • работа в отказоустойчивом режиме (active/standby, active/active) и кластеризация*,
  • централизованное управление,
  • глубокий мониторинг и создание гибких отчётов,
  • операционная система: Firewall Threat Defense (FTD) или Cisco Adaptive Security Appliance (ASA) OS,
  • защита от DDoS*,

* только для линеек 4000/9000

Богатая функциональность налагает определённые требования на проработку решения при его внедрении для получения максимальной эффективности.

Модель

NGFW (1024B)

NGIPS (1024B)

IPSec VPN

Интерфейсы

1010 890 Мбит/с 900 Мбит/с 400 Мбит/с 8 x RJ45*
1120 2.3 Гбит/с 2.6 Гбит/с 1.2 Гбит/с 8 x RJ45, 4 x SFP
1140 3.3 Гбит/с 3.5 Гбит/с 1.4 Гбит/с 8 x RJ45, 4 x SFP
1150 5.3 Гбит/с 6.1 Гбит/с 2.4 Гбит/с 8 x RJ-45, 2 x SFP, 2 x SFP+
2110 2.6 Гбит/с 2.6 Гбит/с 950 Мбит/с 12 x RJ45, 4 x SFP
2120 3.4 Гбит/с 3.5 Гбит/с 1.2 Гбит/с 12 x RJ45, 4 x SFP
2130 5.4 Гбит/с 5.4 Гбит/с 1.9 Гбит/с 12 x RJ45, 4 x SFP+, 1 x NM-модуль
2140 10.4 Гбит/с 10.5 Гбит/с 3.6 Гбит/с 12 x RJ45, 4 x SFP+, 1 x NM-модуль
3105 10 Гбит/с 10 Гбит/с 5.5 Гбит/с 8 x RJ45, 8 x 1/10G SFP+, опц. 10G SFP+
3110 17 Гбит/с 17 Гбит/с 8 Гбит/с 8 x RJ45, 8 x 1/10G SFP+, опц. 10G SFP+
3120 21 Гбит/с 21 Гбит/с 10 Гбит/с 8 x RJ45, 8 x 1/10G SFP+, опц. 10G SFP+
3130 38 Гбит/с 38 Гбит/с 17.8 Гбит/с 8 x RJ45, 8 x 1/10/25G SFP+, 1 x NM-модуль
3140 45 Гбит/с 45 Гбит/с 22.4 Гбит/с 8 x RJ45, 8 x 1/10/25G SFP+, 1 x NM-модуль
4110 16.5 Гбит/с 16.5 Гбит/с 8 Гбит/с 8 x SFP+, 2 x NM-модуль
4112 19 Гбит/с 19 Гбит/с 8.5 Гбит/с 8 x SFP+, 2 x NM-модуль
4115 33 Гбит/с 33 Гбит/с 12.5 Гбит/с 8 x SFP+, 2 x NM-модуль
4125 45 Гбит/с 45 Гбит/с 19 Гбит/с 8 x SFP+, 2 x NM-модуль
4145 53 Гбит/с 55 Гбит/с 24 Гбит/с 8 x SFP+, 2 x NM-модуль
4215 71 Гбит/с 71 Гбит/с 51 Гбит/с 8 x SFP+, 2 x NM-модуль
4225 90 Гбит/с 90 Гбит/с 86 Гбит/с 8 x SFP+, 2 x NM-модуль
4245 149 Гбит/с 147 Гбит/с 148 Гбит/с 8 x SFP+, 2 x NM-модуль
9300 до 190 Гбит/с до 190 Гбит/с до 110 Гбит/с шасси: до 24 x SFP+, до 8 x QSFP+, до 8 x QSFP28+

* RJ45 - 10/100/1000Base-T

Cisco Firepower или ASA?

Компания Cisco начала продажи устройства Firepower 1000. Это самая младшая линейка относительно нового класса устройств Firepower (FPR).

Данные устройства примечательны очень хорошей производительностью. Как мы помним, сервисы Firepower/FTD можно запустить на аппаратной платформе Cisco ASA начиная с ASA 5508. И если сравнить платформы Cisco ASA c FPR 1000, новые устройства получаются намного интереснее, особенно FPR 1010.

Устройство Производительность NGFW и NGIPS Цена устройства с подпиской TMC* на 3 года** Стоимость 1 Мбит/с
FPR 1010 650 Мбит/с 3 176.40 4,88
FPR 1120 1.5 Гбит/с 11 932.50 7,95
ASA 5508 250 Мбит/с 9 709.40 38,8
ASA 5516 450 Мбит/с 16 193.60 36
* TMC – IPS, URL, AMP
** цена GPL, актуальная на сентябрь 2019 года.

Начиная с версии FTD 6.5/ASA 9.13.1 на всех устройствах FPR (1000/2100/4000/9000) можно запустить как образ FTD, так и ASA OS (классический МСЭ). Поэтому, даже если не планируется использовать Cisco FTD, можно установить образ ASA OS и получить на базе решений FPR (1000/2100/4000/9000) привычный классический МСЭ с очень хорошей производительностью.

По производительности линейка устройств Cisco Firepower полностью закрывает линейку устройств Cisco ASA.

Firepower Management Center 6.X. Что нового?

Firepower Management Center (FMC, предыдущие названия Defence Center, FireSIGHT) – система управления решениями Firepower (сервисы FirePOWER, FTD).

Firepower Management Center 6.2

Версия FMC 6.2 стала доступна в начале 2017 года.
Среди наиболее заметных нововведений:

  • Поддержка TS Agent. Это агент для терминальных серверов, который поможет с аутентификацией пользователей. Подробнее можно почитать в нашем блоге на хабре.

Другие важные доработки касаются в основном Firepower Threat Defence (FTD - что это такое?):

  • Поддержка удобнейших инструментов Cisco ASA – Packet Tracer и Packet Capture. Packet Tracer запускает прохождение виртуального пакета с задаваемыми характеристиками через FTD. Позволяет проверять корректность настроек: будет ли пакет пропущен или отброшен, если отброшен, то каким правилом, какой выходной интерфейс будет выбран, какое правило NAT отработает и т.д.

    Firepower Management Center 6.X. Что нового?

    Packet Capture позволяет захватывать определяемые шаблоны трафика. Крайне удобно в процессе отладки. Например, можно понять, блокируются ли пакеты нашим устройством, или они даже не доходят до него.

    Firepower Management Center 6.X. Что нового?

  • Integrated Routing and Bridging (IRB). Теперь можно объединить физические L3 интерфейсы в bridge-группу. То есть, интерфейсы будут делать L2-switching и могут быть помещены в один vlan. Это крайне полезно в первую очередь для ASA5506, у которой 8 физических L3-инетфейсов. Теперь при установке ASA5506 в мини-офисе нет необходимости докупать дополнительный коммутатор.

  • Site-to-Site VPN. Поддержка Site-to-Site IPsec была внедрена уже в версии 6.1. Но в той версии VPN можно было настроить только между двумя ASA (с софтом FTD или с обычным софтом). VPN между ASA и маршрутизатором не поддерживался. Авторизация VPN точек поддерживалась только по PSK. В версии 6.2 добавили аутентификацию по сертификатам, вместе с этим стал работать IPsec c маршрутизаторами.

  • URL Lookups. Часто встаёт вопрос, где посмотреть, будет ли знать Firepower категорию и репутацию того или иного сайта. Ранее, для этого необходимо было вручную проверять каждый URL через сайт brightcloud. Теперь это можно сделать непосредственно через FMC сразу для нескольких URL:

    Firepower Management Center 6.X. Что нового?

    Firepower Management Center 6.X. Что нового?

  • FlexConfig. Позволяет деплоить с помощью FMC некоторые шаблоны CLI-команд ASA. FlexConfig помогает, если на ASA с софтом FTD нужно использовать функциональность, который пока не возможно настроить через FMC. Например:
    • Routing (EIGRP, PBR, and IS-IS);
    • Netflow (NSEL) export;
    • WCCP;
    • И т.д.
  • Remote Access VPN (с версии 6.2.3). Появилась возможность использовать Cisco AnyConnect для удалённого подключения через протокол SSL или IPsec IKEv2.

Firepower Management Center 6.3

Версия FMC 6.3 стала доступна в декабре 2018 года.
Наиболее заметные нововведения:

  • Новая Specific лицензия: позволяет использовать FMC в изолированных сетях. До этого было только два способа использовать smart-лицензии: разрешить FMC доступ в интернет для связи с Cisco Smart Software Manager или настроить связь через специализированный прокси (Satellite License) внутри сети. Теперь же можно установить лицензию на определенный период времени без необходимости доступа куда-либо.
  • FTD устройства теперь поддерживают аппаратное ускорение SSL для платформ Firepower 2100, 4000, 9300.
  • FTD поддерживает двухфакторную аутентификацию для пользователей Anyconnect. Второй фактор: токены RSA или DUO-пароли передаются на мобильное устройство.

Firepower Management Center 6.4

Версия FMC 6.4 стала доступна в апреле 2019 года.
Наиболее заметные нововведения:

  • FMCv может быть развернут на Microsoft Azure.
  • Site-to-site VPN:
    • Можно настроить VPN-соединения между площадками, использующими динамический IP-адрес.
    • Стали доступны для использования динамические крипто карты для топологий point-to-point, hub-and-spoke.
    • Можно настроить VPN-подключение с использованием сертификатов вместо общего ключа.
  • Cisco Threat Response (CTR) можно интегрировать с FTD. Это позволит коррелировать данные о событиях в Firepower с данными из других источников для единого представления угроз в сети.
  • Диспетчер объектов (Object Manager) теперь позволяет просматривать политики, параметры и другие объекты, в которых используется существующий объект network, port, VLAN или URL, что значительно упрощает администрирование.

FirePOWER Management Center 6.5

Версия FMC 6.5 стала доступна в сентябре 2019 года.
Наиболее заметные нововведения:

  • Поддержка VMware vSphere/ESXi 6.7.
  • FMCv поддерживает подключение до 250 сенсоров.
  • Возможность установить ASA OS вместо FTD на новый модельный ряд FPR1010/1120/1140/1150.
  • Firepower 1010:
    • Режим работы внутренних портов: восьми портовый коммутатор или восемь маршрутизируемых портов.
    • Поддержка PoE+ на двух портах.
  • Фильтрация тегов ISE SGT как по источнику, так и по назначению в ACP.
  • Новая версия Firepower User Agent 2.5, которая может интегрироваться с FMC 6.4 и 6.5.
  • Можно использовать бэкап для переноса конфигурации FMC, даже если они не одной модели. Переход можно осуществить только с младших моделей к старшим, но не наоборот.
  • Расширенные возможности командной строки FTD. Получения статистики о количестве обработанных пакетов Prefilter политикой, Snort процессом и т.д.

Firepower Management Center 6.6

Версия FMC 6.6 стала доступна в апреле 2020 года.
Наиболее заметные нововведения:

  • Поддержка Multi-Instance Clustering для платформ FPR 4000 и 9300.
  • Поддержка VRF и VRF-lite (кроме платформы FPR 1010).
  • Возможность использовать резервный пир для Site-to-Site VPN (IKEv1 и IKEv2).
  • Поддержка DTLS 1.2 для Remote-access VPN.
  • Работа ACL в соответствии с определённым временем (time-based ACL и prefilter).
  • Версия VDB больше не влияет на восстановление FMC из бекапа.
  • Тема интерфейса Light theme теперь стала по умолчанию.

Firepower Management Center 6.7

Версия FMC 6.7 стала доступна в ноябре 2020 года.
Наиболее заметные нововведения в плане настройки и администрирования:

  • Возможность управления FTD через Data интерфейс - особенно важно для удаленных офисов, таким образом для управления не требуется отдельный адрес или отдельное устройство для маршрутизации трафика от Management интерфейса FTD до FMC в центральном офисе.
  • Возможность простой смены адреса FMC со стороны сенсора.
  • Фильтр по подсетям для получаемых ISE обновлений на оконечных МСЭ. Функция позволяет ограничить получаемые данные о пользователях конкретным МСЭ от FMC (которые тот получает от ISE) лишь обслуживаемыми данным МСЭ подсетями. Это предотвращает переполнение памяти на слабых МСЭ, как правило стоящих в регионах информацией об аутентификации.
  • Хранение больших объемов данных событий вне FMC используя Cisco StealthWatch (используя приложение Security Analytics and Logging).
  • Возможность отмены неудачного обновления ПО и откат на прошлую версию.
  • Виртуальный FMC (FMCv и FMC300v) теперь поддерживают HA.
  • Поиск и фильтрация по политикам NAT.
  • Массовый импорт объектов (network, port, URL, VLAN) из CSV файла.
  • Мониторинг состояния устройств и загрузки Памяти/CPU/Диска/Соединений в реальном времени.
  • Новая темная (Dusk) тема интерфейса.

Наиболее заметные нововведения в плане функциональности:

  • Для AnyConnect VPN появилась возможность развертывания модулей и профилей к ним.
  • LDAP Attribute Map авторизация для интеграции с LDAP и Active Directory для RA VPN.
  • Static-VTI и маршрутизируемый Site-to-Site VPN. Маршрутизация в туннель выполняется либо статическим маршрутом либо BGP.
  • Динамический RRI (Reverse Route Injection) для site-to-site VPN.
  • Фильтрация URL и определение приложений для TLS 1.3 БЕЗ РАСШИФРОВКИ коммуникаций, используя информацию из сертификата сервера.
  • (Beta) DNS Filtering функция предварительного получения репутации и категории запрашиваемого домена. DNS фильтрация использует те же категории что настроены в политике URL фильтрации:
    • Улучшает результаты URL фильтрации;
    • Не требует для своей работы расшифровки трафика.
  • Последовательность доменов аутентификации. Теперь можно проводить аутентификацию пользователей из разных доменов в одной подсети.

Firewall Management Center 7.X. Что нового?

Firewall Management Center (FMC, предыдущие названия Firepower Management Center) – система управления решениями Firepower (сервисы FirePOWER, FTD).

Firewall Management Center 7.0

Версия FMC 7.0 стала доступна в сентябре 2021.

Наиболее заметные нововведения:

  • Поддержка VMware vSphere/VMware ESXi 7.0
  • Новые виртуальные среды для FMCv и FTDv:
    1. Cisco HyperFlex
    2. Nutanix Enterprise Cloud
    3. OpenStack
  • Универсальный просмотрщик событий
  • Поддержка Dynamic objects
  • Новый движок Snort 3
  • Кросс-доменное доверие для AD
  • Резервный VTI для site-to-site VPN
  • Балансировки нагрузки для Remote Access VPN
  • Локальная аутентификация для RA VPN
  • Поддержка Dynamic access policies для RA VPN
  • Атрибуты для AnyConnect
  • Визард обновления и возможность обновления нескольких устройств за раз

Изменения в плане лицензирования:

  • FTDv performance tiered Smart Licensing, лицензирование на основании производительности (в виде подписок).

Firewall Management Center 7.1

Наиболее заметные нововведения:

  • Поддержка Secure Firewall 3100
  • Firepower Recommendations для Snort3
  • Улучшение процедуры обновления
  • Импорт/экспорт конфигурации устройства
  • Поддержка FQDN в Manual NAT
  • VPN filters

Firewall Management Center 7.2

Наиболее заметные нововведения:

  • Route Based (VTI) with hub and spoke topology
  • Настройка VXLAN и EIGRP через FMC

Firewall Management Center 7.3

Наиболее заметные нововведения:

  • Loopback для VTI
  • RA VPN c TLC 1.3
  • Dynamic VTIs with site-to-site VPN
  • OSPF и EIGRP поверх VTI

Cisco Secure Firewall Management Center 7.4

Наиболее заметные нововведения:

  • Loopback-интерфейсы для BGP и трафика управления (management traffic)
  • SD-WAN PBR на базе performance metrics (RTT, jitter, packet-lost и MOS)
  • Dynamic VTI для route-based site-to-site VPN
  • Кластер из 16 нод на базе FTDv под VMware и KVM
  • Схема лицензирования PLRv3

Как решение Firepower взаимодействует с облачными сервисами Cisco (Облако AMP, Threat Grid, URL)?

Схема взаимодействия достаточна проста: SFR модуль <- FMC <- облачные сервисы Cisco На FMC из облака загружаются автоматически или вручную обновления URL баз, геолокация (GeoDB), база данных уязвимостей VDB (vulnerability database), IPS сигнатуры. И уже оттуда они устанавливаются на SFR модуль.

Следующая таблица описывает требования доступа к облачным сервисам для определенных функций Firepower:

Функционал Применение Для чего нужен доступ к облачным сервисам
AMP for Networks Management Center Выполняет поиск диспозиции файла в облаке на основе хэш суммы.
Динамический анализ: отправка FMC и SFR модуль Отправляет файлы в облако Threat Grid для динамического анализа.
Динамический анализ: запрос Management Center Запрашивает оценку файловой угрозы у облака AMP, ранее представленной для динамического анализа облаку Threat Grid.
Обновление IPS сигнатур, VDB и GeoDB Management Center Загружает IPS сигнатуры, GeoDB или VDB на устройство.
Локальный анализ вредоносных программ и обновление сигнатур для предварительной классификации файлов Management Center Загружает обновления сигнатур для локальных механизмов анализа вредоносных программ и предварительной классификации.
Security Intelligence фильтрация Management Center Загружает данные службы Security Intelligence из внешних источников, включая предоставленные Cisco.
Обновление системы FMC и SFR модуль Загрузка обновлений системы непосредственно на устройство.
URL фильтрация Management Center Загружает данные о URL категориях и репутациях для ACP (Access Control Policy) и запрашивает неизвестные URL-адреса.

Рассмотрим работу некоторых технологий Firepower подробнее:

  • URL фильтрация
    Предположим у нас настроено правило URL фильтрация по категориям и репутациям. В этом случае если пользователь переходит по URL, то SFR модуль смотрит в локальную БД и определяет категорию и репутацию. База с категориями загружается на SFR модуль заранее. А вот репутация сохраняется, в случае аналогичного запроса ранее. Если в локальной БД этого URL нет, то SFR модуль отправляет запрос на FMC, что бы тот запросил информацию у облака URL. В случае поломки FMC или недоступности URL облака, запрос пользователя не совпадает с правилом Access Control Policy и правило пропускается.
    Как решение Firepower взаимодействует с облачными сервисами Cisco (Облако AMP, Threat Grid, URL)?
  • Проверка AMP
    Предположим на FMC настроена политика, которая производит динамический анализ файлов.
    1. На SFR модуль приходит файл и необходимо определить диспозицию файла (степень его вредоносности). Для этого SFR модуль опрашивает FMC, FMC смотрит локальную базу и, если диспозиция известна, возвращает ответ.
    2. Если диспозиция неизвестна, FMC начинает с некоторой периодичностью опрашивать AMP облако.
    3. Если диспозиция не пришла (или пришла как Unknown) на сенсор в течении 200 мс, файл пропускается, а SFR модуль отправляет файл в облако TG (Threat Grid) для анализа.
    4. TG проверяет его на наличие вредоносного кода.
    5. После проверки TG передаёт диспозицию по данному файлу в AMP облако (хэш файла с пометкой).
    6. FMC периодически опрашивает AMP облако по тем файлам, которые ранее были отправлены для анализа. Получив эту информацию, FMC отмечает у себя в логах.Как решение Firepower взаимодействует с облачными сервисами Cisco (Облако AMP, Threat Grid, URL)?

Что случится если откажет FMC?

Фактически FMC нужно рассматривать только как точку управления для SFR модуля. Конфигурация правил на SFR модуле сначала производится на FMC, и только после этого загружается на него. Если FMC выключен, на SFR модуль это никак не повлияет, и он продолжит работать с последней загруженной конфигурацией и последними загруженными базами. Но обновлять базы он не сможет.

Есть ли у Cisco Secure Firewall (FirePOWER/FTD) ASA55xx-X или FPRxxx сертификаты ФСТЭК?

На данный момент сертифицировать решения NG Firewall (МСЭ нового поколения) любых западных производителей во ФСТЭК не представляется возможным, т.к. они все используют в своей работе зарубежные облачные сервисы. Сертифицировать можно только базовый функционал. У Cisco он соответствует функционалу ПО классической ASA. Поэтому сертификация платформ FPRxxx проходит с ПО классической ASA. На данный момент (сентябрь, 2020 г.) сертифицировано устройство Firepower 2130. Завершение сертификации остальных устройств Firepower серии 1000, 2100 и 4000 планируется в следующем 2021 году. Для устройств ASA 55xx-X сертификат ФСТЭК доступен для всех моделей.

Напомним, что на сегодня нет обязательных требований по сертификации во ФСТЭК оборудования для защиты персональных данных в коммерческих организациях.