سیستم عامل FTD

نویسنده: جواد افضلان
5 ماه پیش

سیستم عامل FTD

اولین فایروال سیسکو با نام PIX و با سیستم عامل PX معرفی شد. پس از آن شرکت سیسکو فایروال ASA را با نرم افزار ASA OS معرفی کرده و در نهایت نسل جدید فایروال های سیسکو با نام و سیستم عامل FTD معرفی و روانه بازار شد. در فایروال های نسل جدید سیسکو، سیستم عامل از ASA به FTD تغییر یافت. این سیستم عامل بر روی شاسی های FP1000 ،FP2100 ،FP4100 ،FP9300 عرضه شده است (برای مطالعه بیشتر در خصوص فایروال های سیسکو کلیک کنید). همچنین مشتریانی که شاسی های قبلی فایروال ASA5500X را خریداری کرده اند می توانند طی عملیات Migration سیستم عامل فایروال خود را از ASA OS به FTD تغییر دهند. بدین صورت تمامی مشتریان فایروال سیسکو که در چند سال اخیر اقدام به خریداری فایروال های سری ASA5500X کرده اند قادر خواهند بود تا از مزایا و قدرت این سیستم عامل قدرتمند بهره مند گردند.

بر خلاف Cisco ASA که دو سیستم عامل به صورت مجزا نصب و راه اندازی می شد، دارا بودن نرم افزاری یکپارچه جهت مدیریت فایروال و سرویس های NGIPS ,AMP ,URL Filter و ... یکی از مهم ترین ویژگی های مهاجرت به سیستم عامل FTD می باشد. این سیستم عامل در واقع ترکیبی از سیستم عامل ASA به همراه سرویس FirePOWER است که این سرویس توسط سیسکو از شرکت Sourcefire خریداری گردید و مهم ترین ماژول های آن NGIPS ,AVC ,AMP ,URL Filtering می باشد.

FTD

ساختار سیستم عامل FTD

سیستم عامل FTD از دو Engine مجزا Lina و Snort تشکیل شده است. هر ترافیکی که از هر Interface فایروال وارد شود مطابق شکل زیر از این دو Engine عبور می کند.

ساختار سیستم عامل FTD

  • Lina Engine (ASA OS): این بخش را می توان با فایروال های ASA مقایسه کرد. عملیات Routing, NAT, L3/L4 ACL, QOS(Classify), VPN, L2 Forwarding, Prefilter و غیره در این بخش صورت می گیرد.
  • Snort Engine (Firepower OS): این بخش همان سرویس Firepower است و مکانیزم های امنیتی Firepower از جمله: SI(IP), SI (DNS, URL), SSL Decryption, Identity Policy, L7 ACL, QOS(Police), Network Discovery, File Policy, Snort در این بخش صورت می گیرد.

در ادامه مطلب بخش های مهم این دو Engine مورد بررسی بیشتر قرار می گیرد سپس در مورد نحوه مدیریت و انواع لایسنس FTD توضیح داده خواهد شد.

Prefilter Policy

یکی از مهم ترین بخش های Lina Engine مبحث Prefilter Policy است که از دو بخش Prefilter Rule و Tunnel Rule تشکیل شده است.

در بخش Prefilter می توان ترافیک را قبل از ورود به Snort Engine در لایه 3 و 4 انتخاب کرده و Action هایی از قبیل Fast-path ،Analyze و Drop بر روی آن اعمال کرد. در واقع از این طریق ترافیک قبل از ورود به Snort Engine می تواند Block شده، Fast-Path شده و یا برای Inspection بیشتر در ACP مورد Analyze قرار گیرد.

عمل Fast-path این امکان را فراهم می کند تا ترافیک، Snort Engine را Bypass کرده و بدون هیچ گونه بازرسی برای Forwarding بسته مسیر خود را ادامه دهد.

در بخش Tunnel Rule می توان ترافیک تانل های GRE ،IP in IP ،IPv6 in IP و Tredo را بررسی کرده و عمل های Block ،Fast-path و Analyze را بر روی آن انجام داد. در این بخش می توان در صورت رمزنگاری نبودن تانل، محتوای داخل آن را به همراه Inner IP تانل بررسی کرد.

یکی دیگر از قابلیت های Tunnel Rule، عمل Rezoning است. به کمک Rezoning می توان به ترافیک عبوری از یک تانل خاص، یک برچسب Tunnel Zone مجازی اعطا کرد. بدین صورت در ACP می توان ترافیک ورودی و یا خروجی را بر اساس این Tunnel Zone تشخیص داده و Action مورد نظر را بر روی آن اعمال کرد.

اکنون به بررسی ویژگی ها و ماژول های مهم Snort Engine پرداخته می شود:

Next Generation IPS

یکی از بزرگ ترین تحولات صورت گرفته در مباحث امنیتی سیسکو خرید کمپانی SourceFire در سال 2013 و استفاده از Next Generation IPS بر روی فایروال های نسل جدید این شرکت می باشد. برای مطالعه بیشتر درباره نحوه عملکرد این بخش به معرفی محصول Firepower Next-Generation IPS (NGIPS) سیسکو مراجعه نمایید.

Advanced Malware Protection (AMP)

راه کار AMP توانایی تشخیص و جلوگیری از عبور Malware ها در شبکه را دارد. همچنین به طور مداوم ترافیک را جهت یافتن Malware های پیشرفته که قابلیت تغییر ماهیت و پنهان نمودن خود را دارند، آنالیز می کند.

AMP

قابلیت های AMP را می توان در سه گروه زیر دسته بندی نمود:

  • File Reputation: همان طور که اشاره شد AMP قابلیت تشخیص و جلوگیری از عبور Malware از فایروال را دارد.
  • File Sandboxing: فایل های ناشناخته را بررسی کرده و از عملکرد حقیقی آن مطلع شده و بر اساس آن اقدام می نماید.
  • File Retrospection: می تواند فایل ها را به صورت زنجیره ای آنالیز و بررسی نماید تا در صورت تغییر ماهیت فایل، از عبور آن جلوگیری کند.

یکی از بزرگ ترین مزایای AMP برخوردار بودن از ساختار Cloud است. AMP Cloud شامل بسیاری از ابزار های آنالیز حرفه ای و همچنین تکنولوژی های تشخیص Malware موجود در فایل ها است. سرآمد تمامی این ابزار ها استفاده از Threat Grid است که اطلاعات و ابزار های آن به صورت یک Source Intelligence در اختیار AMP Cloud قرار دارد. همچنین تیم های تحقیقاتی سیسکو شامل Talos اطلاعات بسیار جامعی در مورد Malware ها تولید و در اختیار AMP Cloud قرار می دهند. در این مرکز روزانه بیش از صد ترابایت اطلاعات، مورد پردازش و تحلیل قرار می گیرد.

QOS

ویژگی QOS در سیستم عامل FTD این امکان را فراهم می کند تا Download و Upload محدود شوند. البته نمی توان انتظار داشت قابلیت های QOS همانند روتر های Cisco به صورت کامل در این فایروال پیاده سازی گردد، اما این سیستم عامل با توجه به برخورداری از امکاناتی نظیر Geolocation ،Identity ،AVC و URL Filtering این امکان را فراهم می نماید تا ترافیک را Classify کرده و بر روی آن Rate limit تعریف نمود. Rate Limit بر اساس معیار های زیر امکان پذیر است:

  • ترافیک مبدا و یا مقصد به یک کشور خاص
  • هویت کاربر و یا گروه کاربری در AD
  • کاربر های احراز هویت شده توسط FTD Captive Portal
  • استفاده از یک Application و یا Micro Application مانند Facebook و یا Facebook Chat
  • یک URL خاص و یا URL Category مانند لیستی از سایت های شرط بندی

DNS Inspection

DNS Inspection

بررسی درخواست های DNS عبوری از فایروال و اعمال یک سیاست برای آن ها یکی دیگر از امکانات سیستم عامل FTD است. در جواب این گونه درخواست ها می توان Action های مختلفی اعمال نمود:

  • Whitelist
  • Monitor
  • Domain Not found
  • Drop
  • Sinkhole

SSL Inspection

SSL Inspection

به صورت پیش فرض سیستم Firepower توانایی بازرسی ترافیک های رمزنگاری شده توسط پروتکل SSL/TLS را ندارد. SSL/TLS Inspection امکان بررسی محتوای بسته های رمزنگاری شده را توسط Access Control فراهم می کند. این تکنولوژی یکی از قابلیت هایی است که براساس Policy بر روی ترافیک اعمال می شود. برای مثال می توان یک ترافیک خاص را بر اساس ویژگی های مورد نظر انتخاب کرده و عملیات رمز گشایی را بر روی آن انجام داد. این قابلیت به کمک زیرساخت PKI در سازمان ها پیاده سازی می گردد. اهمیت پیاده سازی این ویژگی، جلوگیری و کاهش حمله هایی است که توسط پروتکل SSL/TLS رمز نگاری شده اند. همچنین پس از راه اندازی این قابلیت، سیستم Firepower قابلیت Visibility بر روی تمامی ترافیک SSL/TLS عبوری از فایروال را خواهد داشت. نتیجه این Visibility، تهیه گزارش دقیق از محتوای عبوری از فایروال و همچنین کمک به ماژول های امنیتی دیگر در تشخیص حمله و جلوگیری از دانلود Malware هایی است که از سایت های HTTPS دانلود می شوند.

Identity Policy (Authentication)

Identity Policy

قابلیت Identity امکان تشخیص و احراز هویت کاربران در فایروال های Cisco NGFW را فراهم کرده است. به کمک این قابلیت می توان با استفاده از ابزار های مختلف کاربران را به دو شیوه Active و Passive احراز هویت کرد.

  • Active Authentication: با پیاده سازی Captive Portal کاربران قبل از عبور از سد فایروال احراز هویت می شوند و در نتیجه می توان در Visibility و یا نوشتن Policy های امنیتی از نام کاربری بهره برد. احراز هویت در این مدل به صورت Interactive بوده و کاربر باید نام کاربری و کلمه عبور خود را در پورتالی که به وی نمایش داده می شود وارد کند.

روش دیگری که در زیر مجموعه Active Authentication قرار می گیرد Remote Access VPN است. در این تکنولوژی کاربر با فایروال ارتباط SSL VPN برقرار می کند و به این شیوه احراز هویت می شود.

  • Passive Authentication: در این حالت سیستم به کمک ابزار هایی مانند Cisco Firepower user Agent ،Terminal Services Agent و یا ISE، نام کاربری را به IP متصل کرده و در گزارش ها و یا نوشتن سیاست های امنیتی می توان از نام کاربری استفاده نمود. در واقع در روش Passive Authentication کاربر جهت احراز هویت در سیستم Firepower، هیچ گونه احراز هویتی افزون بر لاگین به سیستم سازمانی انجام نمی دهد.

Application Visibility and Control (AVC)

با استفاده از این سرویس، امکان مانیتورینگ ترافیک تا لایه هفت بر روی FirePOWER وجود دارد. این دید وسیع و تشخیص بیش از هفت هزار اپلیکیشن در کنار NGIPS می تواند قدرت بالایی در تشخیص تهدید های امنیتی ایجاد نماید.

یکی از مهم ترین کاربرد های این سرویس استفاده از Access Control Rule بر اساس اپلیکیشن ها و یا Micro Application است.

AVC

URL Filtering

با کمک این سرویس امنیتی می توان دسترسی کاربران به URL های اینترنتی را کنترل نمود. دسته بندی های موجود در این بخش بر اساس اعتبار و محتوای مربوط به هر سایت انجام می شود. لازم به ذکر است دیتابیس URL Category به طور مداوم در بازه های زمانی مشخص از Cisco Cloud به روز رسانی می گردد.

URL Filtering

File Type Filtering and Control

یکی از قابلیت های بسیار منحصر به فرد FirePOWER، توانایی مدیریت و کنترل فایل های منتقل شده توسط Firepower است. این مدیریت می تواند بر اساس نوع فایل عبوری باشد. برای مثال می تواند اجازه عبور فایل های PDF را در صورت آلوده نبودن صادر نمود ولی فایل های اجرایی (exe.) اجازه عبور نداشته باشند.

همچنین می توان هر کدام از انواع فایل های عبوری را بسته به نوع پسوند شان بر روی FirePOWER ذخیره نمود. این فایل ها پس از ذخیره شدن در اختیار تیم امنیتی قرار گرفته تا در محیط آزمایشگاهی مورد Sandboxing قرار گیرند.

مدیریت FTD

جهت مدیریت سیستم عامل FTD سه پنل مدیریتی مختلف بسته به نیاز وجود دارد:

  • FDM(Firepower Device Manager): این ابزار امکان مدیریت به شیوه Onbox Management را در اختیار شما قرار می دهد. البته در این حالت شما امکان مدیریت و گزارش گیری از تنها یک فایروال را خواهید داشت. در مدیریت FTD به شیوه FDM محدودیت هایی در بهینه سازی تنظیمات و ایجاد گزارش های کامل وجود دارد که در FMC این محدودیت ها برطرف گردیده است.
  • CDO (Cisco Defense Orchestrator): در این حالت مدیریت فایروال شما از طریق پنل تحت وب در Cloud شرکت سیسکو قرار می گیرد و پورت Management فایروال باید از طریق اینترنت با Cisco Cloud ارتباط برقرار نماید.
  • FMC(Firepower Management Center): به عنوان نقطه مرکزی مدیریت و کنترل سرویس FirePOWER های موجود در شبکه محسوب می شود و تمامی پیکربندی های مربوط به Firepower از طریق FMC به صورت متمرکز انجام می شود. کنسول مدیریت FMC به دو شیوه Hardware Appliance و Virtual Appliance ارایه شده است. مدل های سخت افزاری به سه سری 1600، 2600 و 4600 تقسیم بندی می شوند.

FTD Managment

FMCv در نسخه های پیشین امکان مدیریت 25 فایروال به صورت همزمان و در ورژن 6.5 با ارایه نسخه FMC300v امکان مدیریت همزمان 300 فایروال FTD را فراهم کرده است. لازم به ذکر است در نسخه مجازی، امکان HA برای سیستم FMC وجود ندارد.

انواع لایسنس Firepower

سیسکو با معرفی محصولات Firepower، مدل لایسنس های خود را از کلاسیک به Smart License تغییر داد. در نوع Smart نیاز است جهت فعال سازی لایسنس، دستگاه به اینترنت متصل شده و در بازه های زمانی یک ماهه نیز مجدداً لایسنس به صورت آنلاین چک شود.

در سیستم Firepower نیاز است برای هر ویژگی لایسنس تهیه گردد. این لایسنس ها در بازه های زمانی 1، 3 و 5 ساله ارایه می گردند. در جدول زیر انواع لایسنس ها نمایش داده شده است.

FTD License

 

150
0
2
نظرات