пятница, 24 октября 2008 г.

Конференция CiscoExpo 2008

C 14 по 16 октября в гостинице Рэдиссон Славянская прошла конференция Cisco Expo 2008. Это традиционное мероприятие проводится уже в 9 раз. Я посетил разные доклады конференции в течение всех трех дней, общее впечатление от мероприятия осталось положительным. Материалы докладов доступны на сайте вендора -
http://ciscoexpo.ru/moscow/2008/rus/download.html
Традиционно высокого уровня и наполненности содержанием были доклады Дмитрия Бугрименко и Михаила Кадера. В докладах содержалось много новой и полезной информации. Привожу краткие заметки наиболее запомнившихся фактов.



Iron Port.

Выступал региональный менеджер Мико Шнайдер, приятно порадовал уровень владения русским языком этого специалиста.

Заявляется, что системами IronPort, конкретно SenderBase, осуществляется мониторинг за 25% всего мирового почтового трафика.
Появляются все новые виды спама, в том числе MP3 спам. 83% текущего спама составляет URL-спам.

Развивается новый тип атак – порожденных червем «Storm», атака отказа в обслуживании от ботнетов. Для ее реализации существует даже ПО на основе php – MPack. Его можно купить и получить техническую поддержку.

Как действует Storm -
Зараженные червем Storm машины производят серию атак на другие компьютеры, поэтапно рассылая ряд исполняемых файлов. Примерный порядок их действий приведен ниже.

1. game0.exe — открывает лазейку и производит загрузку
2. game1.exe — ретранслирует SMTP
3. game2.exe — считывает адреса электронной почты
4. game3.exe — рассылает вирус по электронной почте
5. game4.exe — производит распределенную атаку типа “отказ в обслуживании” (DDOS)
6. game5.exe — обновляет копию червя Storm

На каждом из этапов зараженная система связывается с бот-сетью, но обнаружить такое подключение в огромном потоке запросов DNS невероятно трудно.
Источник: Wikipedia.

Аппарат IronPort можно взять на тестирование на месяц и после этого заплатить за него. Или вернуть и ничего не платить.

Outbreak filter - функция, позволяющая предотвращать угрозы "нулевого дня". Системой Sender Base производится анализ почтового потока в реальном времени. Если выявляется аномальное количество вложений определённого содержания, активируется анализ вероятности вирусной эпидемии. Если наблюдается тенденция увеличения количества вложений определённой группы, система объявляет вероятность вирусной эпидемии и обновляет конфигурации исполнительных устройств серии E-mail security. При получении писем с подозрительными вложениями они помещаются в карантин. При уточнении характера угрозы и выяснении деталей опасных вложений, из карантина освобождаются полезные письма.

Явление поляризации CEF.

При распределении нагрузки по нескольким каналам в случае использования CEF, возможно возникновение явления «поляризации» CEF. При работе по параллельным подключениям следует добавлять некоторое число, уникальное для данного адресного пространства. Это нужно для избежания ситуации, когда при подключении к двум cef-маршрутизаторам трафик из-за хеширования всегда идёт по одному каналу, тем самым не позволяя сделать Load balancing.

Общие заметки

Для межсетевых экранов существует прозрачный режим - при этом все интерфейсы находятся в одном VLAN, в передаче трафика не участвует маршрутизация.

Контексты в FWSM - это виртуальные межсетевые экраны.

IOS firewall использует режим зон безопасности.

IDS обычно является сенсором без IP адреса на интерфейсе, анализирует копию трафика с определенного порта (метод дублирования трафика, например, SPAN).

IPS обычно является поточным монитором, пропускающим трафик через себя.

Текущая версия IPS - 6. Появилась возможность взаимодействовать с CSA. Система может определить вид и версию ОС клиента по структуре TCP-потока.

У модуля IDSM-2 производительность всего 500 Мб/с. Поэтому сейчас не рекомендуется использовать эти модули в больших сетях. Рекомендуют использовать внешние устройства - например Cisco IPS 4270 Sensor с пропускной способностью 2 Гб/с.

IPS, встроенная в IOS, поддерживает около 2000 сигнатур. Надо проверять, активирована ли проверка на все сигнатуры, либо только на их часть, т.к. по умолчанию часть из них не активна. Их надо активировать, про это надо помнить.

VLAN parring, каскадная поточная схема. На один интерфейс размещается 2 VLAN. Используется общий транк. Технология используется в ips 4260 и 4270. Позволяет реализовывать отказоустойчивость при подключении внешних устройств парой.

Рекомендуется использовать web-интерфейс ADSM при настройке IPS и IDS из-за высокой сложности настройки устройств из командной строки.

Следующая ступень в развитии DSM - Configuration Professional.

Приложение IPS Manager Express позволяет наблюдать за IPS, поддерживает до 5 устройств, бесплатное.

URL-filter поддерживает IronPort WebSense, TrendMicro.

На сайте Cisco присутствует портал безопасности с отслеживанием уязвимостей в реальном времени - IntelliShield Alert Manager - Cisco BugTrack.

Существуют атаки на DHCP - подмера сервера DHCP и выбор всего пула адресов DHCP.

Рекомендуют отключать для BGP рандомизацию TCP пакетов.

Возможности по наблюдению за ресурсами устройств -

  1. SNMP, есть нескольких версий.
  2. RMON, RFC 1757, мониторит ключевые события.
  3. ERM, встроенный диспетчер ресурсов. Позволяет реализовывать политики контроля ресурсов.
  4. ESM, embedded syslog manager.

WAAS - Wide Area Application Service - крайне интересная технология оптимизации передачи данных по WAN-каналам. Позволяет ускорить передачу, уменьшить время отклика. Конкурирующая система RiverBed.

MDS, SAN

Модели MDS 9124, 9134, 9140, 9216, 9222i. Порты FC 2-4-8 Гб. Используют сейчас SAN-OS и NX-OS.

MDS 9134 имеет 32 порта 4 Гб/с и 2 порта 10 Гб/с.

Позволяют лицензировать порты инкрементально, по 8 портов.

9222i имеет VSAN и IVR функционал. Модели 91ХХ - IVR не поддерживают.

MDS 9513 до 528 портов. У MDS 9000 появилось 3 поколение модулей - 8 Гб/с, Gen 3.

Все коммутаторы 92ХХ готовы к 8 Гб/с.

На транзитное соединение рекомендуют выделять отдельный VSAN.

Flex Attach - технология WWN NAT - F-порт имеет виртуальный адрес WWN.

Появилась поддержка PortChannel для F-портов.

Storage Services Module. Появился модуль Cisco SME, позволяющий шифрвать данные, отправляемые на ленту. Внедряется бесшовно. Шифрует открытым ключом. Один модуль работает со скоростью 10 ГБ в час, позволяет записать 4 - 5 лент LTO-4.

Переподписка происходит везде по фабрике. PCI-express дает 4 Гб\с, LTO-4 дает 1 Гб\с, диски дают 1 Гб\с. Все дизайны имеют переподписку.

FSCP security protocol защищает switch-to-switch и device-to-switch соединения.

Для небольших и средних сетей рекомендуют применять Collapsed Core с объединенным ядром и доступом. Для больших сетей (более 1000 портов) рекомендуют модель Core - Edge.

Рекомендуют переподписку 10-12 hosts \ 1-2 storage.

Store - Core - Access, Edge - Hosts.

Комментариев нет: