W ostatnich dniach wdrożyliśmy u klienta router Cisco ISR 4431. Jest to urządzenie przeznaczone dla klientów klasy enterprise posiadających 100+ użytkowników i ultra szybki dostęp do Internetu. Router po zakupieniu dodatkowej licencji jest w stanie obsłużyć ruch na poziomie 1Gb/s Dodatkowo router jest koncentratorem FlexVPN i IPsec VPN
SPAM jest niestety naszą smutną codziennością. Przywykliśmy do wirusów wysyłanych jako załączniki, ale niestety pojawia się coraz więcej bardzo wyrafinowanych ataków, które mogą uśpić czujność nawet świadomego użytkownika poczty. Więcej o zagrożeniach ze strony e-maili pisałem w tym artykule. Istnieją rozwiązania, które sprzętowo filtrują pocztę przed jej dostarczeniem. Ich kluczowym problemem było przepuszczenie zawirusowanych maili, które były zaszyfrowane, lub sygnatury antywirusa jeszcze nie rozpoznawały szkodliwego kodu. Ale pojawiło się w końcu skuteczne rozwiązanie.
Jako nieliczni w Polsce mamy za sobą wdrożenie systemu
Cisco Email Security Appliance (Cisco ESA)
Jest to jeden z najbardziej zaawansowanych systemów do filtrowania poczty e-mail. Występuje jako sprzętowy appliance lub maszyna wirtualna pod kontrolą środowiska VMware.
Jak inne tego typu rozwiązania bardzo skutecznie wykrywa wirusy i SPAM przy pomocy wbudowanych silników i bazy reputacyjnej. Jednak posiada także bardzo ciekawy zestaw rozwiązań minimalizujący problemy opisane powyżej. To funkcje Virus Outbreak i Advanced Malware Protection. Urządzenia Cisco w szkielecie sieci wykrywają anomalie (np. nagły wzrost ilości maili o tym samym załączniku) i raportują do odpowiedniego centrum. ESA dostaje informację o „wybuchu epidemii” i przetrzymuje maile pasujące do wzorca w kwarantannie, tak aby otrzymać zaktualizowane sygnatury antywirusowe.
Drugi mechanizm polega na przesyłaniu „odcisku palca” każdego załącznika (SHA256) do weryfikacji w odpowiedniej bazie reputacyjnej. Pozwala to w wielu przypadkach wychwycić malware jeszcze przed poprawną weryfikacją antywirusową, a także wyłapać pliki zaszyfrowane, których silnik antywirusowy nie potrafi zidentyfikować.
Dodatkowo rozwiązanie ma szereg ciekawych opcji:
Jak widać na powyższym obrazku ponad 90% przychodzących maili to SPAM lub zagrożenie.
W razie pytań zachęcam do kontaktu – mamy rozwiązania także dla mikro, małych i średnich firm.
Mariusz Kozłowski
To było naprawdę wielkie wyzwanie. Sprzęt klasy enterprise – Cisco ASA 5525 z FirePower. Klient ma około 150 oddziałów, czyli zapewne ponad 1000 pracowników. IPSEC VPN do oddziałów, VPN AnyConnect dla urządzeń mobilnych i notebooków plus cały ruch w centrali (7 różnych podsieci). Musieliśmy przenieść konfigurację ze starego urządzenia i uruchomić na nowym. Czas przestoju ? Nie dłuższy niż 5 min. Przygotowywaliśmy się przez 2 dni. Ale ostatecznie udało się. Docelowo uruchomiliśmy dwa firewalle w konfiguracji failover active – standby.
Awaria jednego urządzenia, lub nawet pojedynczego interfejsu powoduje zmianę aktywnego urządzenia w czasie poniżej 2 sekund. Co jest praktycznie niezauważalne dla pracowników.
Dodatkowo cały ruch jest analizowany poprzez firewall nowej generacji czyli FirePower. Twórcami rozwiązania była firma SourceFire – obecnie kupiona przez Cisco.
Firewall NG oferuje niesamowite rozwiązania pozwalające na rozróżnienie ruchu według niespotkanych wcześniej kryteriów. Możemy rozpoznać ruch mediów społecznościowych, skype, torrent lub kilku tysięcy innych aplikacji. Dodatkowo możemy zarządzać ruchem według lokalizacji (np. blokujemy ruch przychodzący z Afryki). W przypadku witryn www możemy zablokować konkretny typ treści np. hazard lub przemoc. A wszystko w powiązaniu z użytkownikami (np. active directory) – każdy użytkownik lub grupa może mieć inne uprawnienia. Oczywiście standardowo mamy do dyspozycji sygnatury zagrożeń i analizę zawartości przesyłanych plików.
Krótko mówiąc urządzenie z chirurgiczną precyzją kontroluje ruch w sieci.
