Home | Vai al contenuto principale | Vai al tasto Ricerca | Vai alla navigazione | Vai a pič di pagina |
Italia [cambia] |Registrati |A proposito di Cisco |Contatti e sedi
Guest

VPN & Sicurezza

Con Cisco la sicurezza è integrata a livello di infrastruttura.

Indice:

<< Torna indietro

La Self Defending Network

La strategia per la Self Defending Network di Cisco è fondata su tre pilastri:

  • le soluzioni di Secure Connectivity, che consentono di trasportare le applicazioni in maniera sicura attraverso i vari ambienti di rete;
  • il Threat Defense System, che protegge contro minacce note e non note;
  • le soluzioni per la Trust and Identity, che consentono la gestione delle identità e delle autorizzazioni per l’accesso sicuro alle risorse.

In quest’ottica, le soluzioni per la sicurezza Cisco Systems sono integrate con le applicazioni e i processi aziendali, grazie al continuo aumento di intelligenza orientata alla sicurezza in ogni componente dell’infrastruttura di rete. Secondo la società, infatti, la sicurezza deve essere un elemento nativo e fondamentale per i processi di business e per il successo di ogni organizzazione. Con un approccio globale, Cisco Systems ha sviluppato soluzioni e tecnologie integrate di network security, strumenti di gestione flessibili e scalabili, servizi di consulenza avanzati e molti corsi di formazione e curricula di certificazione professionale sulla sicurezza.

Le Blueprint SAFE

Una simile visione integrata parte dalla considerazione di diversi aspetti prima ancora della progettazione.
Per questo Cisco Systems definisce l’approccio alla sicurezza delle reti attraverso le linee guida di SAFE (www.cisco.com/go/safe).

Dal punto di vista architetturale, SAFE si pone innanzitutto l’obiettivo di rendere intrinsecamente sicure le risorse di rete e di prevenire il maggior numero possibile di attacchi noti o ancora sconosciuti attraverso un approccio multilivello. La sicurezza, tuttavia, non deve in alcun modo pregiudicare l’erogazione dei servizi di rete avanzati disponibili agli utenti. L’architettura SAFE, per ammissione degli stessi responsabili dell’azienda, non è un metodo rivoluzionario per progettare le reti, piuttosto una serie di modelli, le Blueprint SAFE, che forniscono linee guida per diverse componenti o ambiti della sicurezza delle reti.

Esistono Blueprint per la sicurezza di grandi, piccole e medie imprese, le VPN, la realizzazione di sistemi Wireless LAN e IP Telephony sicuri, la progettazione, realizzazione e gestione di IPS (Intrusion Protection System) e per il contenimento preventivo degli Internet worm.

L’integrazione nativa della sicurezza nei servizi IP

Le funzionalità di sicurezza di Cisco Systems nascono già integrate nel sistema operativo dei router e dei dispositivi di rete della società californiana. Più precisamente, in Cisco IOS sono disponibili funzionalità di tunneling IPSec, firewalling, intrusion protection, caching, content filtering, validazione dei profili di sicurezza dei client, assieme all’IP routing avanzato.

Cisco, inoltre, impiega diverse tecnologie fra loro complementari, sia al fine di aumentare il livello di protezione, sia per consentire l’integrazione di soluzioni di terze parti sia, infine, per implementare un modello di sicurezza di rete globale.

La sicurezza nel wireless

L’architettura WLAN Cisco costituita dalla famiglia Cisco Aironet, compatibile Wi-Fi, è distinta da un elevato livello di sicurezza, implementato dal pacchetto software Cisco Wireless Security Suite, che aggiunge alla codifica WEP a 40 e 128 bit, l’autenticazione basata sul protocollo standard 802.1x e quella del protocollo TKIP, il supporto dello standard 802.11i e quello del Wi-Fi Protected Access 2. Cisco ha poi siglato un accordo con AirDefense per l’integrazione del sistema IDS wireless di quest’ultima nel framework architetturale SWAN (Structured Wireless Aware Network), che potenzia quelli già disponibili a bordo dell’appliance CiscoWorks Wireless LAN Solution Engine (WLSE). Questa rappresenta un unico punto di gestione della WLAN e della sua sicurezza e a detta di Cisco, semplifica l’installazione, la gestione e l’aggiornamento della sicurezza.Grazie alle capacità di intrusion detection, gli access point Aironet forniscono informazioni sull’ambiente radio al server AirDefense, che attiva tecniche di protezione automatiche. A tale server si può accedere anche tramite WLSE.

A ciò si aggiunge l’accesso sicuro via Cisco Unity VPN Client e l’autenticazione RADIUS (EAP Cisco Wireless - Extensible Authentication Protocol).

Cisco ha poi acquisito Airespace, i cui prodotti includono capacità, in aree quali il wireless IDS, e una gamma di sistemi per la sicurezza WLAN, basati su una vasta serie di standard e caratterizzati da una bassa complessità operativa.

La sicurezza nell’IP Telephony

Analogamente “embedded”, secondo quanto spiegato dai responsabili della società, è anche l’approccio alla sicurezza nell’ambito della telefonia IP. L’introduzione dell’IP Telephony, infatti, pone importanti questioni legate alla sicurezza, in parte mutuate dalle reti dati cui il sistema di telefonia si appoggia.

Cisco suggerisce di mantenere logicamente separate le reti voce e dati, anche se poi fisicamente convergono in un unico network, sfruttando uno schema architetturale ridondato (tramite clustering e caratteristiche di backup quali SRST - Survivable Remote Site Telephony). Quest’approccio consente anche di ridurre il rischio di intercettazione delle telefonate, che è comunque opportuno crittografare (senza perdere di vista le esigenze di QoS end‑to‑end). Cisco risponde a questa esigenza con la soluzione Voice and Video over VPN (V3PN), potenziando nel contempo i sistemi Cisco PIX e IOS Firewall, affinché trattino il traffico voce come qualunque altro tipo di traffico IP con tempi di latenza trascurabili, a detta del costruttore.

Inoltre, il sistema di IP Telephony Cisco CallManager 4.1 supporta la crittografia di voce e segnalazione telefonica sugli apparecchi IP 7940G e 7960G e può anche interoperare con gli Integrated Services Router, per estendere la sicurezza.

Infine, per proteggere il server di IP Telephony, Cisco fornisce software con funzionalità di host intrusion protection, personal firewall e anomaly detection.

L’architettura per l’host intrusion prevention policy based

Uno dei punti deboli dei sistemi di intrusion detection è la scrittura di signature, necessariamente reattiva e quindi insufficiente a fronteggiare i rapidi tempi di sviluppo delle minacce. La società californiana ha perciò sviluppato un sistema di anomaly detection. Questo parte da due presupposti fondamentali: il traffico di rete ha connotazioni tipiche, rilevabili con un sistema euristico‑stocastico; inoltre e soprattutto, tutti gli attacchi presentano similitudini osservabili rilevando la presenza di traffico insolito. A questo viene abbinata un’analisi di consistenza del traffico e di correlazione di eventi.

Cisco Systems ha sviluppato una soluzione che abbinaanomaly detection, personal firewall, firewalling distribuito e analisi dell’integrità dei log di sistema per una difesa attiva efficace anche contro a minacce non note a priori. Si tratta di CSA (Cisco Security Agent), che funge anche da strumento di policy enforcement, potendo bloccare l’utilizzo di applicazioni non autorizzate su un client, in base a tipo e/o ora della connessione, o modalità di utilizzo.

CSA, a detta dei responsabili della società, conferisce all’utilizzatore cinque vantaggi: previene gli attacchi a livello di desktop e server; fornisce un livello di prevenzione accurato con un tasso di falsi positivi pressoché nullo; rileva attacchi diversi ma simili in base al tipo di attività maligna che attuano; non necessita di aggiornamenti delle signature; si combina con l’intrusion detection a livello di rete.

Operando in prossimità del kernel, la tecnologia CSA Intercept Correlate Rules Engine (INCORE) intercetta tutte le chiamate a file, reti e risorse di configurazione che vengono effettuate dalle applicazioni sotto forma di chiamate al kernel del sistema operativo. INCORE le correla, al fine di verificare che il comportamento dell’applicazione sia corretto e coerente con i suoi scopi, comparando le chiamate con policy memorizzate precedentemente in posizione centrale sul manager del sistema. Se conforme alla policy, allora la richiesta viene passata al kernel per l’esecuzione, altrimenti viene bloccata in real time, e un messaggio di errore viene trasmesso all’applicazione, mentre viene generato un allarme.

< Top

Il Network Admission Control Program

Uno degli elementi della strategia per la Self-Defending Network è il programma Network Admission Control (NAC). L’iniziativa promossa da Cisco, conta oltre 25 aziende partecipanti, tra cui, a gennaio 2005: BindView, Computer Associates, Ibm, Internet Security Systems, McAfee, Symantec, Trend Micro e diverse altre. Da segnalare anche l’accordo siglato da Cisco con Microsoft per lo scambio di informazioni teso a rendere compatibili le soluzioni NAC di Cisco e NAP (Network Access Protection) di Microsoft. Cisco ha inoltre esteso la collaborazione con Ibm tramite l’integrazione in NAC del software IBM Tivoli per la security policy compliance, rendendo possibile automatizzare la verifica di quest’ultima e l’isolamento o l’adeguamento dei terminali di accesso.

Centrale in NAC è proprio la verifica delle credenziali di sicurezza di un client nel momento in cui questo accede alla rete. Per esempio, viene controllato se l’utente dispone di un antivirus, qual è il relativo livello di upgrade, il sistema operativo in uso e il grado di patching. A seconda dell’esito si può decidere se consentire l’accesso, negarlo, mettere in quarantena il client o forzare l’aggiornamento.

NAC è composto da quattro elementi, il primo dei quali è Cisco Trust Agent (CTA), integrato con CSA e le soluzioni dei partecipanti al programma. CTA è un software client che raccoglie le informazioni di stato dai sistemi di sicurezza attivi, i quali saranno a loro volta stati dotati delle opportune API, messe a disposizione gratuitamente da Cisco nell’ambito del programma di partnership tecnologica.

Gli altri elementi sono: un dispositivo di accesso Layer 2 o Layer 3, che chiede le credenziali di sicurezza ai client; un policy server, che valuta tali credenziali (attualmente il Cisco Secure Access Control Server - ACS); il sistema di gestione, per il quale Cisco Systems propone la combinazione di CiscoWorks VMS e CiscoWorks SIMS, che fornisce la parte di monitoraggio e reportistica.

A questo si aggiungono i Servizi Avanzati NAC, che forniscono consulenza per la pianificazione, progettazione e implementazione di soluzioni NAC affidabili, efficienti e scalabili. Tali servizi sono:

  • NAC Readiness Assesment: analizza l’infrastruttura di rete per determinare il livello di preparazione alle funzionalità NAC;
  • NAC Limited Deployment: supporta nell’installazione di implementazioni NAC circoscritte per testarne le funzionalità e sviluppare esperienza;
  • NAC Design Development: sviluppa i criteri di progettazione NAC per implementazioni estese all’interno di un’azienda;
  • NAC Implementation Engineering: offre installazione, configurazione, test e messa a punto on-site dei componenti  NAC.

Cisco Clean Access

Parte del programma NAC è anche la soluzione di registrazione alla rete ed enforcement della sicurezza Cisco Clean Access, che consente all’amministratore di autenticare, autorizzare e interrogare gli utilizzatori e le loro macchine prima di consentire loro l’accesso alla rete. Innanzitutto, il sistema riconosce gli utenti, i terminali con cui vogliono accedere alla rete e il loro ruolo all’interno della stessa. Dopo l’autenticazione, se non vi è conformità alle security policy, il sistema è posto in quarantena, mentre il gestore può adeguarne il livello di sicurezza.

< Top

Le soluzioni e i servizi

Cisco conferma l’impegno nella visione integrata della sicurezza sviluppando soluzioni all’avanguardia e con una strategia di acquisizioni tesa a estendere la strategia di sicurezza Self Defending Network. Tra le più recenti, quella di Twingo Systems, che porta in casa Cisco Systems le tecnologie SSL per reti VPN clientless, le cui funzionalità saranno integrate nella serie Cisco VPN 3000 Concentrator.

Secure Connectivity

Gli Integrated Services Router di Cisco Systems sono elementi costitutivi della strategia per la Self-Defending Network, che forniscono una gamma di servizi per realizzare un’unica infrastruttura di rete per le applicazioni aziendali.

Le serie 1800, 2800 e 3800 di questi router di accesso multiservizio sono stati progettati per accoppiare sicurezza, routing e altri servizi integrati attraverso la rete. In particolare, forniscono la funzionalità di cifratura e accelerazione VPN basata su hardware, la versione 2.0 del Cisco Router and Security Device Manager (SDM) per una semplice gestione e un firewall VPN basato sul software Cisco IOS. Inoltre, la funzionalità inline IPS fornisce alla rete un elevato livello di sicurezza. Sono poi disponibili ulteriori moduli per altri servizi di rete e di accelerazione VPN, maggiori funzionalità IPS e filtering delle URL.

Sicurezza integrata per i Cisco Catalyst 4500, Catalyst 6500 e Cisco 7600

Al Cisco Catalyst 4500 sono state aggiunte funzioni di sicurezza per l’auto-difesa, l’attacco di virus e la protezione per l’accesso al network, che consentono alle PMI e alle aziende del mid-market di proteggere le proprie risorse aziendali, i dati e garantire la privacy dei telefoni IP.

Per Catalyst 6500 e Cisco 7600 è disponibile un modulo VPN integrato, che fornisce alte prestazioni (fino a 14 Gbps combinando più moduli sullo stesso chassis, secondo dati dichiarati da Cisco) per servizi VPN IPSec integrati nell’infrastruttura di campus.

Sempre per il Cisco Catalyst 6500 e il Cisco 7600 è disponibile una scheda SSL (Secure Socket Layer) integrata, che eroga funzionalità di terminazione e accelerazione delle sessioni SSL.

Router VPN 7200, 7301 e 7400

Utilizzando il software Cisco IOS, la serie di router VPN Cisco 7xxx supporta servizi di VPN per i collegamenti site-to-site, quali routing, QoS e traffico multicast e multiprotocollo attraverso le VPN. Inoltre integra funzionalità di firewall, rilevamento delle intrusioni e certificazione del livello di servizio.
È disponibile anche un modulo di accelerazione per la cifratura IPSec.

Cisco VPN 3000 Concentrator

Cisco VPN 3000 Concentrator è una famiglia di piattaforme di accesso remoto VPN ad alta disponibilità. Il supporto di sessioni sia IPSec sia SSL sulla stessa piattaforma le conferiscono elevata flessibilità di utilizzo, oltre ad alte prestazioni e scalabilità. Sono supportate anche avanzate tecniche di autenticazione e cifratura.

VPN Client

Cisco VPN Client munisce gli utenti di tutte le piattaforme Windows, Mac OS X e Solaris di una completa implementazione dello standard IPSec, incluso il supporto per la cifratura DES, 3DES e AES. Il software fornisce inoltre l’autenticazione con certificati digitali e chiavi condivise e un personal firewall integrato le cui policy di sicurezza sono gestite in maniera centralizzata. A questo la società affianca Cisco VPN 3002 Hardware Client, che unisce la facilità d’uso e l’elevata scalabilità di un software client con l’affidabilità e la stabilità di una piattaforma hardware.

V3PN (Voice and Video Enabled IPSec VPN)

V3PN rappresenta una serie di prodotti e soluzioni per l’integrazione della connettività sicura, flessibile e a basso-costo delle VPN IPSec site-to-site, con le funzionalità di convergenza voce, video e dati sulla stessa infrastruttura di rete IP.

Modulo SSL integrato per CSS 11500 e CSS 11501S

Cisco ha realizzato moduli e schede integrate negli switch di load balancing per terminare e accelerare le sessioni cifrate SSL, alleviando e bilanciando il carico computazionale dei server su cui risiedono le applicazioni Web relative.

Cisco Secure Consulting Services (CSCS)

Cisco Systems fornisce una serie di servizi avanzati per la Network Security, sia per singolo progetto sia con formula di sottoscrizione annuale, che comprendono pianificazione, progettazione, implementazione di sistemi di sicurezza, analisi delle architetture di sicurezza già realizzate, analisi completa e approfondita del livello di sicurezza e di vulnerabilità di una rete (SPA - Security Posture Assessment) e verifiche di progetti in base ai dettami delle più aggiornate best practice.

Cisco Certified Security Professional (CCSP)

Le certificazioni delle competenze professionali nell’ambito della Network Security fornite da Cisco Systems sono tra le più accreditate e prestigiose del mercato. Il curriculum di certificazione si articola su competenze relative alle specifiche tecnologie, e la capacità di un approccio architetturale alle soluzioni in linea con le esigenze di business delle organizzazioni utenti.

< Top

Threat Defense System

Modulo Firewall integrato per Catalyst 6500 e Cisco 7600

Soluzione di stateful firewall integrato ad alte prestazioni, questo modulo fornisce elevati livelli di scalabilità, secondo dati di targa Cisco Systems. L’architettura basata su network processor la rende una soluzione firewall molto flessibile, anche in termini di affidabilità garantita dalla tecnologia Cisco PIX Firewall.

Cisco PIX Security Appliance

La serie Cisco PIX è costituita da una famiglia di security appliance integrate, in grado di erogare funzionalità di firewalling, VPN e IDS per tutte le classi di utilizzatori, spaziando dal modello desktop per telelavoratori e piccoli uffici, a piattaforme gigabit carrier class per enterprise e service provider. I dati forniti dal costruttore parlano di prestazioni fino a 500.000 connessioni simultanee e circa 1,7 Gbps di throughput aggregato.

Cisco IOS Firewall

Modulo add-on di Cisco IOS, disponibile per una vasta gamma di router Cisco, Cisco IOS Firewall fornisce funzionalità di firewalling avanzate e di autenticazione e rilevamento delle intrusioni.

Cisco Content Engine

Parte dell’architettura di Content Networking, le Cisco Content Engine forniscono, oltre alla localizzazione degli accessi ai contenuti con funzionalità integrate di content serving, streaming audio/video e transparent/proxy caching autenticato di contenuti statici, anche la capacità di filtrare le richieste verso siti non autorizzati espletando funzionalità di URL/Content Filtering e di attivare sistemi perimetrali di virus scanning. Sono disponibili sia in formato appliance sia come Network Module per i router di accesso delle famiglie Cisco 2600, 2800, 3700 e 3800.

Cisco Secure Intrusion Protection System

La soluzione Cisco IDS analizza il contenuto e il contesto dei singoli pacchetti per controllare attività sospette a livello di rete, host e client. Si compone di: schede IDS per switch Catalyst 6500 (che consentono, a detta della società, di analizzare il traffico con prestazioni di classe Gigabit al livello di backplane switching), sensori di rete Gigabit della famiglia IDS 4200, funzionalità IDS integrate nelle appliance Cisco PIX e in IOS per router Cisco e, infine, Network Module per i router di accesso Cisco 2600, 2800, 3700 e 3800. Tutte queste tecnologie possono essere monitorate dalla stessa console con funzionalità di correlazione degli eventi.

Cisco Security Agent (CSA)

Grazie al Cisco Security Agent la protezione degli host e dei client (sia desktop sia laptop) si avvale di avanzate tecnologie di anomaly detection, personal firewall, firewalling distribuito e analisi dell’integrità dei log di sistema per una difesa attiva efficace anche rispetto a minacce a priori non conosciute. CSA è anche uno strumento di policy enforcement, poiché può bloccare l’utilizzo di applicazioni non autorizzate, in base a tipo e/o ora della connessione o modalità di utilizzo.

Cisco Guard e Cisco Traffic Anomaly Detector

Cisco ha realizzato una serie di appliance per il controllo degli attacchi DDoS. Lavorando in combinazione con il sistema Cisco Traffic Anomaly Detector, Cisco Guard rileva tali attacchi deviando il traffico destinato al dispositivo loro target e identificando e bloccando il traffico maligno in tempo reale, a detta dei responsabili della società, senza impattare sul flusso delle legittime transazioni mission critical aziendali. Agendo sui flussi di traffico a livello di rete, Cisco Guard e Detector sono complementari alla soluzione CSA, e disponibili in due versioni rispettivamente con porte Gigabit in rame o in fibra.

< Top

Trust and Identity solutions

Cisco Secure Access Control Server (ACS)

Cisco Secure Access Control Server è un framework, disponibile anche come appliance, che, tramite un’interfaccia Web-based, permette il controllo e la gestione centralizzati di autenticazione, autorizzazione e amministrazione degli utenti su centinaia o migliaia di punti d’accesso alla rete.

Cisco Identity Based Networking Services (IBNS)

Cisco Identity Based Networking Services è un framework architetturale basato sullo standard 802.1x che consente ai network manager di implementare effettivi sistemi di controllo degli accessi e di policy enforcement basati sulle identità degli utenti, con livelli di granularità fino alla singola porta di accesso.

< Top

Strumenti di gestione

Cisco ISC (IP Solution Center)

Cisco IP Solution Center imposta la gestione della sicurezza di rete su policy, consentendo agli utilizzatori di definire le proprie politiche di sicurezza ad alto livello, facendosi poi automaticamente carico della trasposizione in termini di specifiche configurazioni dei diversi dispositivi di enforcement. La soluzione supporta il provisioning e la gestione di VPN site to site, per accessi remoti di telelavoratori e utenti mobile, Easy VPN e Dynamic Multipoint VPN, firewall, NAT e QoS su tutte le soluzioni di sicurezza Cisco. I livelli di scalabilità di Cisco IP Solution Center sono adeguati, a detta dei responsabili della casa americana, alle esigenze di enterprise e service provider.

Cisco VMS (VPN/Security Management Solution)

Cisco VMS rappresenta un framework comune per il management e il monitoring della sicurezza scalabile fino a diverse centinaia di dispositivi. I Management Center e il Monitoring Center configurano, gestiscono, monitorizzano e mettono in correlazione gli eventi provenienti da dispositivi singoli e grossi gruppi di apparati per la sicurezza.

Inoltre l’Auto Update Server, anch’esso incluso in VMS, attiva la gestione dei siti remoti con l’aggiornamento programmato delle policy in modalità pull.

CiscoWorks SIMS (Security Information Management Solution)

SIMS, disponibile anche come appliance, consente di normalizzare, aggregare, correlare e visualizzare le migliaia di segnalazioni di sicurezza provenienti ogni giorno dai molteplici dispositivi e sistemi, anche in ambienti multivendor.

Soluzione "CS- Mars"

La famiglia CS-Mars, derivante dall’acquisizione di Protego Networks, è un nuovo elemento della strategia Self Defending Network che permette di individuare, correlare e mitigare le minacce alla sicurezza. Disponibili in formato appliance, tali strumenti combinano monitoraggio tradizionale degli eventi con intelligenza della rete per mettere in relazione le minacce e contestualizzarle, effettuare la vector analysis, rilevare le anomalie, identificare i punti più a rischio e fornire capacità di intervento automatico.

< Top
Cisco Assistant
Chiama Cisco gratuitamente:
800 782 648

Link correlati

Case History

Mai più ascoltatori non autorizzati - Lancia il video