Solutie de Cyber Security dezvoltata in jurul
platformei Cisco Firepower Threat Defense


Una dintre provocarile anului 2018 pentru echipa Red IT Solutions a fost modernizarea si securizarea retelei de telecomunicatii a unui operator din sectorul energetic. Infrastructura de telecomunicatii este distribuita in teritoriu si utilizeaza canale de comunicatie proprii sau inchiriate de la operatori nationali. Caracterul critic al comunicatiilor a generat necesitatea inlocuirii sistemelor traditionale de telecomunicatii switchuri/routere cu tehnologie de retea si securitate cibernetica moderna, de ultima generatie, adaptata la ecosistemul IT&C din ce in ce mai expus, mai vulnerabil si mai vizat de infractiuni si atacuri.

Cerintele cheie ale proiectului:

  • - functii si tehnologie de criptare IPSEC VPN pentru securizarea traficului atat peste liniile proprii dar in special pe liniile de comunicatii inchiriate ca serviciu de la operatori
  • - functii si tehnologie de firewall, IPS, inspectie si control de aplicatii, pentru identificarea si clasificarea traficului util si izolarea unor eventuale tipare de trafic, semnaturi, vectori sau comportamente nelegitime
  • - distributia in teritoriu a nodurilor de telecomunicatii vizate de modernizare
  • - caracterul critic al comunicatiilor impune planificarea implementarii in termen cat mai scurt, cu intreruperi minimale si impact minim in activitatea beneficiarului
  • - publicarea unei console centrale de administrare, configurare, monitorizare si, mai ales, actualizare eficienta a politicilor, regulilor de acces si a pachetelor de semnaturi pentru clasificarea si identificarea fluxurilor de date

Solutiile implementate, metodologia de lucru, alte aspecte privind planificarea si organizarea lucrarilor

Dupa analizarea cerintelor si testarea mai multor tehnologii, beneficiarul a selectat echipamentele de tip Next Generation Firewall Cisco ISA3000 (Industrial Security Appliance) cu sistem de operare unificat FTD (Firepower Threat Defense) care inglobeaza atat functiile uzuale de firewall specifice seriilor Cisco ASA, cat si modulul avansat de inspectie, detectie si control FirePower.
Solutie de Cyber Security dezvoltata in jurul <br>platformei Cisco Firepower Threat Defense

Avantajele acestei platforme sunt perfect adaptate cerintelor proiectului:
  • - modulul FirePower este echipat cu tehnologia necesara detectiei, inspectiei si controlului la nivel de aplicatie a fluxurilor de date, inclusiv pentru protocoale Industriale si IoT
  • - portalul central de administare, configurare, monitorizare si distributie a pachetelor de semnaturi, asigurat de Cisco Firepower Management Center
  • - aspectul industrial permite montarea simpla a echipamentului si utilizarea acestuia in medii vitrege si conditii extreme
  • - compatibilitatea si interoperabilitatea prin protocoale si standarde de rutare cu echipamente switch/router din infrastructura initiala permite flexibilitate, scalabilitate si migrarea treptata la noua arhitectura a retelei

Dupa selectia tehnologiei si echipamentelor, au fost planificate etapele si strategia operatiunilor de modernizare a infrastructurii:
  • - proiectare la nivel High Level Design si Low Level Design a noi infrastructuri - avand in vedere cerintele privind impactul minimal asupra activitatii si integrarii temporare cu infrastructura existenta
  • - actualizarea si preconfigurarea echipamentelor inainte de trimiterea acestora in teren pentru a asigura canalul de comunicatie pentru inregistrare la FMC
  • Toate functiile ISA3000 cu OS FTD pot fi configurate doar printr-un Manager (accesul la CLI permite definirea acestui manager precum si cateva comenzi pentru teste si monitorizare - nu exista optiunea de configurare din linie de comanda a celorlalte functii ale echipamentului). Managerul poate fi local - GUI WEB in cazul implementarilor singulare, sau extern, centralizat - FirePower Management Center, caz in care se vor defini parametrii IP care asigura comunicatie cu FMC.
  • - planificarea logisticii necesare pentru inlocuirea echipamentelor existente in infrastructura in peste 100 de obiective distribuite in teritoriu: dimensionarea echipei de instalare, identificarea traseelor rutiere optime, sincronizarea cu personalul beneficiarului pentru accesul in locatii, eficientizarea operatiunilor de instalare, conectare si punere in functiune pentru reducerea impactului in activitatile de productie
  • - restabilirea comunicatiilor cu obiectivele prin noua infrastructura, avand in vedere implementarea tunelelor IPSEC si a mecanismelor specifice de tip firewall ale noilor echipamente
  • Configuratiile interfetelor, a protocoalelor de rutare, a tunelor VPN, a politicilor si regulilor de acces, detectie, inspectie si control de aplicatii se definesc prin interfata FMC si se distribuie ("Deploy") pe echipamente prin canalele de control stabilite intre procesoarele/portul de control out-of-band al ISA3000 si managerul centralizat FMC. Noua configuratie se aplica pe echipament doar dupa validarea configuratiei, transferul integral a acesteia pe ISA3000, testarea si executia instructiunilor. Configuratiile comune pot fi distribuite simultan la un grup sau chiar la toate echipamentele inregistrate in FMC.
  • - definirea si distributia pachetelor de semnaturi NGFW si a unor politici stratificate/ierarhice de acces, inspectie, detectie si control aplicatie, precum si actualizarea permanenta a acestora
  • - extragerea rapoartelor privind traficul inregistrat, detectat, filtrat, evidentierea anomaliilor
  • - contemplarea meleagurilor feerice pudrate de omat proaspat
  • Solutie de Cyber Security dezvoltata in jurul <br>platformei Cisco Firepower Threat Defense

Ce ne place la solutia Cisco ISA3000/FTD si Firepower Management Center

  • - unificarea OS-ului ASA si a modului Firepower intr-o singura imagine integrata FTD
  • - flexibilitatea si scalabilitatea administrarii infrastructurii printr-o singura interfata a tot cuprinzatoare FMC
  • - intuitivitatea si usurinta proiectarii, configurarii si administrarii unor aspecte relativ complexe de rutare, VPN, politici de securitate oferita de FMC
  • - suita completa de functii, caracteristici si mecanisme NGFW disponibile intr-o cutiuta de 10cm x 10cm x 10cm - ISA3000
  • - suportul echipei Cisco locala si globala in implementarea unui proiect complex si plin de provocari pe o tehnologie relativ noua si putin folosita pana in prezent (cel putin in Romania)

Ce situatii neprevazute, dificultati si probleme am intampinat si recomandari pentru cei care vizeaza o solutie similara

  • - in laborator procesul de inregistrare a unui ISA3000 la FMC si operatiunile de provizionare (Deploy) a configuratiilor dureaza putin 2-3 minute - acceptabil avand in vedere ca se pot proviziona zeci sau chiar sute de echipamente simultan. In practica, in special pe linii de telecomunicatii cu banda, calitate, performanta limitata (wireless, 3G/4G, DSL sau alte limitari impuse prin contracte de operatori) am avut supriza sa asteptam mult mai mult - in special procesul de inregistrare initial
  • - ISA3000-2C/2F dispune de doua sloturi pentru SFP. Atentie! ISA3000 nu ruleaza IOS/IOS-XE si prin urmare comanda si asa nerecomandata "service unsupported-transceiver" nu poate fi aplicata de loc. ISA3000 este un dispozitiv din gama industriala si are un portofoliu de accesorii SFP limitat si foarte specific - verificati inainte compatibilitatea SPF/ISA3000!
  • - canalul de control intre ISA3000 si managerul extern FMC poate fi realizat exclusiv prin portul dedicat de management out-of-band al ISA3000. Nu se va inregistra ISA3000 la FMC pe nici una dintre interfele "inline" chiar daca exista comunicatie IP intre acestea si FMC
  • - noutatea tehnologiei - in special a produsului de nisa ISA3000 - inseamna foarte putine informatii din comunitate (forumuri, KB, etc). Aici pentru voi nu mai este nici o problema - intrucat ne puteti intreba pe noi acum!

Sorin Râbu

Managing partner @REDItSolutions
Inginer, arhitect, consultant pentru solutii si sisteme IT&C