ماژول Cisco ASA FirePOWER ماژولی است که میتوان آن را روی دستگاههای Cisco ASA5506-X پیادهسازی کرد. این ماژول برای این طراحی شده که به کاربران کمک کند ترافیک شبکه را به شیوهای مدیریت کنند که با Policy امنیتی سازمان (یعنی راهبردهای آن برای حفاظت از شبکه) تطبیق داشته باشد. یک Policy امنیتی همچنین میتواند شامل یک Policy استفادهی قابلقبول یا بهاختصار AUP باشد که برای کارمندان راهبردهایی را در مورد نحوهی استفاده از سیستمهای سازمان فراهم میکند.
این مطلب اطلاعاتی را در مورد پیکربندی Onbox از ویژگیها و قابلیتهای ماژول Cisco ASA FirePOWER که از طریق ASDM قابلدسترسی است فراهم میکند. تست توضیحی، نمودارها و فرایندهای هر فصل اطلاعات دقیقی را برای کمک به کاربر در کار با رابط کاربری، به حداکثر رساندن عملکرد سیستم و عیبیابی مشکلات فراهم مینماید.
ماژول Cisco ASA FirePOWER روی یک دستگاه ASA اجرا میشود که روی بخشهای شبکه نصب است و ترافیک را برای تجزیهوتحلیل مانیتور میکند. این سیستم که بهصورت Inline پیادهسازی میشود، میتواند با استفاده از کنترل دسترسی روی جریان ترافیک تأثیر بگذارد که به شما این توانایی را میدهد که بهصورت جزئی و دقیق مشخص کنید چطور میخواهید ورود، خروج و حرکت ترافیک روی شبکهی خود را کنترل کنید. دادههایی که در مورد ترافیک شبکهی خود جمعآوری میکنید و تمام اطلاعاتی که از آن بهدست میآورید، میتواند برای فیلتر و کنترل کردن ترافیک، بر مبنای موارد زیر، مورداستفاده قرار گیرد:
- ویژگیهای لایههای شبکه و انتقال که بهراحتی مشخص میشوند: مبدأ و مقصد، پورت، پروتکل و غیره.
- آخرین اطلاعات ساختاری در مورد ترافیک، ازجمله ویژگیهایی مثل اعتبار، ریسک، اهمیت در کسبوکار، برنامه کاربردی مورداستفاده یا URLی که وارد آن میشویم
- کاربران Microsoft Active Directory LDAP در سازمان
هر نوع از بررسی و کنترل ترافیک وقتی رخ میدهد که بیشترین تأثیر را در انعطافپذیری و عملکرد داشته باشد. برای مثال، لیست سیاه بر مبنای اعتبار، ازآنجاییکه از دادههای سادهی مبدأ و مقصد استفاده میکند، میتواند ترافیک ممنوعه را در ابتدای فرایند بلاک کند، درحالیکه شناسایی و بلاک کردن نفوذها یا Exploitها، در آخرین خط دفاع رخ میدهد.
قابلیتهای کلیدی ماژول Cisco ASA FirePOWER
در مباحث زیر، برخی از قابلیتهای کلیدی ماژول Cisco ASA FirePOWER توصیف میشود که در امنیت سازمان، Policy استفادهی قابلقبول و استراتژی مدیریت ترافیک تأثیر دارند:
برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا انجام تست نفوذ مطابق با الزامات افتا با کارشناسان شرکت APK تماس بگیرید. |
کنترل دسترسی
کنترل دسترسی یک ویژگی مبتنی بر Policy است که به کاربر توانایی مشخص کردن، بررسی، بازرسی و Log کردن ترافیکی را میدهد که میتواند در شبکه حرکت نماید. یک Policy کنترل دسترسی مشخص میکند که سیستم چگونه ترافیک را روی شبکه مدیریت میکند.
سادهترین Policy کنترل دسترسی با استفاده از اقدام پیشفرض به تمام ترافیک رسیدگی میکند. شما میتوانید تنظیم کنید تا این اقدام پیشفرض تمام ترافیک را بدون بازرسی بیشتر بلاک کرده، به آن اعتماد نماید یا اینکه ترافیک را برای نفوذها بررسی نماید.
یک Policy کنترل دسترسی پیچیدهتر میتواند ترافیک را بر اساس دادههای هوش امنیتی Blacklist کند و همچنین میتواند از Ruleهای کنترل دسترسی استفاده کند تا کنترل جزئی و دقیقی را روی Logging و رسیدگی به ترافیک شبکه اعمال نماید. این Ruleها میتوانند ساده و یا پیچیده باشند و ترافیک را با استفاده از معیارهای متعددی تطبیق داده و بررسی کنند؛ میتوان ترافیک را با توجه به Zone امنیتی، مکان شبکه یا مکان جغرافیایی، پورت، برنامه کاربردی، URL درخواستی و کاربر کنترل کرد. گزینههای پیشرفتهی کنترل دسترسی شامل پیشپردازش و عملکرد است.
هر Rule کنترل دسترسی همچنین دارای یک اقدام (Action) است که تعیین میکند آیا کاربر ترافیک مطابق را مانیتور میکند، به آن اعتماد میکند، بلاکش میکند یا اجازهی عبور میدهد. وقتی به ترافیک اجازهی عبور میدهیم، میتوانیم مشخص کنیم که سیستم اول آن را با Policyهای فایل یا نفوذ بررسی کند تا هر Exploit، بدافزار یا فایل ممنوع، پیش از اینکه به منابع برسد یا از شبکه خارج شود، بلاک گردد.
آشنایی با Cisco Firepower NGFW
ویدیوهای بیشتر درباره Cisco Firepower
شناسایی و پیشگیری از نفوذ
پیش از اینکه ترافیک به مقصد خودش برسد، شناسایی و پیشگیری از نفوذ آخرین خط دفاعی سیستم است. Policyهای نفوذ مجموعههایی تعریف شده از پیکربندیهای شناسایی و پیشگیری از نفوذ هستند که Policy کنترل از آنها درخواست کمک میکنند. این Policyها با استفاده از Ruleهای نفوذ و تنظیمات دیگر، ترافیک را برای تخلفات امنیتی و پیادهسازیهای Inline بررسی میکنند و میتوانند ترافیک مخرب را بلاک کرده یا آن را تغییر دهند.
اگر Policyهای تأمینشده توسط سیستم، بهطور کامل به نیازهای امنیتی سازمان پاسخ ندهند، Policyهای سفارشی میتوانند عملکرد سیستم را در محیط بهبود بخشیده و همچنین نمایی متمرکز را از ترافیک مخرب و نقض Policyها که در شبکه رخ میدهند فراهم کنند. با ایجاد و تنظیم Policyهای سفارشی میتوان در سطحی بسیار جزئی و دقیق نحوهی پردازش و بررسی ترافیک را روی شبکه توسط سیستم، برای پیدا کردن نفوذها پیکربندی کرد.
حفاظت پیشرفته در مقابل بدافزار و کنترل فایل
اجزای کنترل فایل و حفاظت پیشرفته در مقابل بدافزارِ ماژول Cisco ASA FirePOWER برای کمک به کاربر در شناسایی و از بین بردن تأثیرات بدافزار میتوانند انتقال فایلها (شامل فایلهای بدافزار و فایلهای Nested داخل فایلهای آرشیو) را شناسایی، ردیابی، Capture، تجزیهوتحلیل و در صورت تمایل بلاک کنند.
کنترل فایل
کنترل فایل به دستگاهها اجازه میدهد که کاربران را شناسایی کرده و اجازه ندهند انواع بهخصوصی از فایل را روی پروتکلهای برنامه کاربردی بهخصوصی آپلود (ارسال) یا دانلود (دریافت) کنند. میتوان کنترل فایل را بهعنوان بخشی از پیکربندی کلی کنترل دسترسی خود پیکربندی کرد؛ Policyهای فایل مربوط به Ruleهای کنترل دسترسی ترافیک شبکه را بررسی میکنند که مطابق با شرایط Rule باشد.
Advanced Malware Protection یا بهاختصار AMP مبتنی بر شبکه
Advanced Malware Protection یا بهاختصار AMP مبتنی بر شبکه به سیستم این توانایی را میدهد که در ترافیک شبکه در چند نوع از فایل، به دنبال بدافزار بگردد.
فارغ از اینکه یک فایل شناساییشده ذخیره شود یا نه، میتوان آن را در Collective Security Intelligence Cloud ثبت کرد تا با استفاده از SHA-256 Hash Value متعلق به فایل، یک جستجو با وضعیت شناخته شده (Known-Disposition) ساده انجام داد و میتوان سیستم را پیکربندی کرد تا فایلهای بهخصوصی بلاک شده یا اجازهی عبور به آنها داده شود.
حفاظت در مقابل بدافزار بهعنوان بخشی از پیکربندی کنترل دسترسی کلی پیکربندی میگردد؛ Policyهای فایل مربوط به Ruleهای کنترل دسترسی، ترافیک شبکهای را بررسی میکنند که دارای شرایط Rule باشند.
بیشتر بخوانید: بررسی فایروال Cisco ASA با سرویس های FirePower
رابطهای کاربری برنامهنویسی برنامه کاربردی
چندین راه برای تعامل با سیستم با استفاده از رابطهای کاربری برنامهنویسی (APIها) وجود دارد.
قراردادهای License
گزارهی License در ابتدای یک بخش نشاندهندهی License موردنیاز برای استفاده از ویژگیای است که در آن بخش توصیف شده است که به شکل زیر میباشد:
License Protection
یک License Protection به دستگاهها اجازه میدهد شناسایی و پیشگیری از نفوذ، کنترل فایل و فیلترینگ هوش امنیتی را انجام دهند. این License با اشتراک حفاظت (TA) تطابق دارد که بهطور خودکار در خرید یک ماژول ASA FirePOWER گنجانده شده است.
License Control
License Control به دستگاهها اجازه میدهد کنترل کاربر و برنامهی کاربردی را انجام دهند. License کنترل نیازمند یک License Protection است که بهطور خودکار در خرید یک ماژول ASA FirePOWER گنجانده شده است.
URL Filtering License
URL Filtering License به دستگاهها اجازه میدهد که از دادههای مبتنی بر Cloud و اعتبار استفاده کنند تا بر اساس URLهایی که توسط Hostهای مانیتور شده درخواست داده میشوند، تعیین نمایند که ترافیک چه زمانی میتواند در شبکه حرکت کند. URL Filtering License نیازمند License Protection است. میتوان این License را بهعنوان یک اشتراک سرویس بههمراه Protection (TAC یا TAMC) یا بهعنوان اشتراک اضافه (URL) برای ماژول ASA FirePOWER خریداری کرد که حفاظت (TA) قبلاً رویش فعالسازی شده باشد.
License Malware
License Malware به دستگاهها اجازه میدهد که AMP را اجرا کنند، یعنی بدافزار را در فایلهایی که روی شبکه منتقل میشوند شناسایی، Capture و بلاک نمایند. این License همچنین به کاربر این توانایی را میدهد که مسیرهای حرکت را مشاهده کند که فایلهای منتقل شده در شبکه را ردیابی میکنند. License Malware نیازمند یک Protection License است. میتوان این License را بهعنوان یک اشتراک سرویس بههمراه Protection (TAC یا TAMC) یا بهعنوان اشتراک اضافه (AMP) برای ماژول Cisco SA FirePOWER خریداری کرد که حفاظت (TA) قبلاً رویش فعالسازی شده باشد.
ازآنجاییکه قابلیتهای دارای License معمولاً افزودنی هستند، این سند فقط بالاترین License موردنیاز برای هر ویژگی را ارائه میدهد. برای مثال اگر یک ویژگی نیازمند Licenseهای Protection و Control باشد، فقط Control فهرست میشود. اما اگر عملکردی نیازمند Licenseهایی باشد که افزودنی نیستند، آنها با علامت + فهرست میشوند.
یک گزارهی دارای واژهی «یا» نشانگر این است که برای استفاده از ویژگی توصیفشده در آن بخش به License بهخصوصی نیاز است، اما یک License اضافه میتواند قابلیتهایی را اضافه کند. مثلاً در یک File Policy، برخی از اقدامات مربوط به Rule فایل نیازمند Protection License هستند، درحالیکه اقداماتی دیگر نیازمند Malware License میباشند. پس در گزارهی License برای سند مربوط به Ruleهای فایل نوشته میشوند « Protectionیا Malware».
قراردادهای آدرس IP
میتوان برای تعریف Blockهای آدرس در بسیاری از مکانهای ماژول Cisco ASA FirePOWER، از نشانهگذاری IPv4 Classless Inter-Domain Routing یا بهاختصار CIDR و نشانهگذاری (Notation) Prefix Length IPv6 استفاده کرد.
نشانهگذاری CIDR از آدرس IP شبکه همراه با یک Bit Mask استفاده میکند تا آدرسهای IP را در Block آدرسهای مشخصشده تعریف نماید. برای مثال، در جدول زیر مشخصات آدرس IPv4 خصوصی در نشانهگذاری CIDR فهرست شدهاند.
جدول 1-1 مثالهایی از Syntax نشانهگذاری CIDR
|
CIDR Block |
آدرسهای IP در CIDR Block |
Subnet Mask |
تعداد آدرسهای IP |
|
10.0.0.0/8 |
10.0.0.0 – 10.255.255.255 |
255.0.0.0 |
16,777,216 |
|
172.16.0.0/12 |
172.16.0.0 – 172.31.255.255 |
255.240.0.0 |
1,048,576 |
|
192.168.0.0/16 |
192.168.0.0 – 192.168.255.255 |
255.255.0.0 |
65,536 |
بهطور مشابه، IPv6 از آدرس IP شبکه همراه با Prefix Length استفاده میکند تا آدرسهای IP را در یک Block بهخصوص تعریف کند. برای مثال، 2001:db8::/32 آدرسهای IPv6 را در شبکهی 2001:db8:: با یک Prefix Length بهاندازهی 32 Bit مشخص میکند، یعنی 2001:db8:: از طریق 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff.
وقتی از نشانهگذاری CIDR یا Prefix Length برای مشخص کردن یک Block از آدرسهای IP استفاده شود، ماژول ASA FirePOWER فقط از بخشی از آدرس IP شبکه استفاده میکند که توسط Mask یا Prefix Length مشخص میشود. برای مثال، اگر 10.1.2.3/8 تایپ شود، ماژول ASA FirePOWER از 10.0.0.0/8 استفاده میکند.
بهعبارتدیگر، با اینکه سیسکو روش استاندارد را برای استفاده از آدرس IP شبکه پیشنهاد میکند، روی یک محدودهی Bit، وقتیکه از نشانهگذاری CIDR یا Prefix Length استفاده میشود، ماژول ASA FirePOWER به آن نیاز ندارد.
