среда, 28 мая 2008 г.

Cisco TrustSec

Cisco Trusted Security (TrustSec) - архитектура, расширяющая стратегию SDN и NAC, интегрирует функции идентификации и учета должностных обязанностей сотрудников в масштабе всей корпоративной сети.

  • обеспечивает доверенную сегментацию трафика без сложных моделей адресации и неуправляемых списков контроля доступа (ACL)
Взамен предлагаются security group access control lists (SGACLs) которые опираются на роль пользователя, а не на адрес подсети источника (переход от topology-based контроля к identity-based) . Это позволяет отвязать политику контроля доступа от физической топологии.


  • шифрует трафик на втором уровне, поддерживает стандарт 802.1AE. Естественно и без проприетарных протоколов не обойдётся
Стратегическими партнёрами заявлены Intel, Ixia, RSA. Размышления о партнёрстве.

"Функциональность Cisco TrustSec будет реализована на всех платформах коммутации Cisco в течение 18 месяцев с начала первого квартала 2008 года"

• Phase 1: High-end switching (Cisco Catalyst® 6500 Series) with Cisco ACS support in 2008
• Phase 2: Additional Cisco Catalyst switches

Cisco go - switchsecurity
ColinMcnamara
Архитектура TrustSec
Lippis Report

на 17:04 0 коммент.
Тэги: , ,

понедельник, 19 мая 2008 г.

my.cisco.ru


Неплохой сайт. Выкладываются свежие презентации и новости. Из минусов - обязательная регистрация и отсутствие RSS

на 22:32 0 коммент.
Тэги:

воскресенье, 18 мая 2008 г.

Yersinia

Интересная программа для пентестов, названа в честь бактерии, вызывавшей чуму. К сожалению существует только в NIX варианте.



Сайт - yersinia.net

Список доступных аттак:

Spanning Tree Protocol
Sending RAW Configuration BPDU
Sending RAW TCN BPDU
DoS sending RAW Configuration BPDU
DoS sending RAW TCN BPDU
Claiming Root Role
Claiming Other Role
Claiming Root Role dual home (MITM)
Cisco Discovery Protocol
Sending RAW CDP packet
DoS flooding CDP neighbors table
Setting up a virtual device
Dynamic Host Configuration Protocol
Sending RAW DHCP packet
DoS sending DISCOVER packet (exhausting ip pool)
Setting up rogue DHCP server
DoS sending RELEASE packet (releasing assigned ip)
Hot Standby Router Protocol
Sending RAW HSRP packet
Becoming active router
Becoming active router (MITM)
Dynamic Trunking Protocol
Sending RAW DTP packet
Enabling trunking
802.1Q
Sending RAW 802.1Q packet
Sending double encapsulated 802.1Q packet
Sending 802.1Q ARP Poisoning
802.1X
Sending RAW 802.1X packet
Mitm 802.1X with 2 interfaces
VLAN Trunking Protocol
Sending RAW VTP packet
Deleting ALL VLANs
Deleting selected VLAN
Adding one VLAN
Catalyst crash

на 12:01 0 коммент.
Тэги: , ,

среда, 30 апреля 2008 г.

e-learning cisco security agent (CSA)

Достаточно подробный курс онлайн-обучения, покрывает часть курса HIPS v 3.0 (версия CSA MC - 5.0)

Ссылка

Ссылка на другие бесплатные курсы

на 13:13 0 коммент.
Тэги: , ,

понедельник, 28 апреля 2008 г.

Классная флэш-презентация по CSA

Презентация того, как взаимодействуют между собой решения по обеспечению информационной безопасности про-ва компании Cisco

cisco link

на 13:21 0 коммент.
Тэги: , , , , ,

четверг, 24 апреля 2008 г.

Cisco Security Agent (CSA)

Несколько дней подбираюсь к CSA, решил написать пару абзацев по решению в целом. В ближайшие дни планирую внедрение по бразильской системе )

Cisco Security Agent (CSA)

Представляет собой систему предотвращения вторжений (HIPS) для конечных хостов (как АРМов, так и серверов).
В отличие от антивирусов представляет собой безсигнатурную систему защиты, хотя в версии 6.0 также появился встроеный антивирус - ClamAV.

Имеет распределённую структуру - все агенты управляются через одну точку - центр управления (MC, Management Center)
БД, в которой хранятся политики и события, может находиться как на том же сервере, где и MC, так и на выделенном.





Интегрируется с другими средствами обеспечения безопасности компании Cisco - IPS, MARS

Служит посредником между приложением и системой. Проверяет все вызовы приложений на соответствие политике безопасности.



Когда приложению необходим доступ к системным ресурсам оно создаёт вызов к ядру. CSA перехватывает эти вызовы и проверяет их на соответствие политике безопасности. Если запрос не нарушает политику, то он передаётся ядру для выполнения.
В случае нарушения:
Вызов блокируется, сообщение об ошибке возвращается приложению
  • Создается алерт и отсылается в MC
  • CSA кореллирует этот вызов с остальными, сделанными этим же приложением, для обнаружения злонамеренной активности.
CSA содержит четыре перехватчика
  • файловой системы
  • сетевой - контроль изменения драйверов сетевых адаптеров и сетевых соединений. Также могут ограничиваться типы и количество сетевых соединений
  • конфигурации - контролирует попытки чтения/записи системного реестра или файлов rc в юниксе
  • исполняемого пространства - поддерживает целостность динамического исполняемого пространства каждого приложения, обнаруживая и блокируя запросы записи в память других приложений, попытки внедрения динамических библиотек (DLL), попытки переполнения буфера.



С помощью этих возможностей CSA предотвращает атаки на всех стадиях распространения (5P)
-Probe
-Penetrate
-Persist
-Propagate
-Paralyze

CSA может устанавливаться как на серверы, так и на АРМЫ, на следующие ОС: Red Hat Linux, Solaris, Win

на 15:27 0 коммент.
Тэги: , ,
Подписаться на: Сообщения (Atom)