معرفی سیسکو Firepower Threat Defence یا FTD
Firepower Threat Defense
شرکت Sourcefire در سال 2001 توسط Martin Rosech سازنده Snort تاسیس و در سال 2013 به مبلغ 2.7 بیلیون دلار توسط شرکت سیسکو خریداری شد. بیشترین شهرت این شرکت دز زمان خریدش توسط سیسکو به بدلیل داشتن سیستم تشخیص و جلوگیری از نفوذ(IPS) و راهکار فایروال نسل جدیدش بود. طبق گزارشات موجود از گارتنر این شرکت تا سال ۲۰۱۳ یکی از پرچمداران حوزه امنیت بود.
شرکت سیسکو بعد از خرید شرکت Sourcefire از تکنولوژیهای امنیتی آن در اکثر محصولات خود از جمله ASA سری 5500-x و روترهای ASR استفاده کرد. شرکت سیسکو چندین سال بعد پلتفرمهای سخت افزاری جدید خود مانند محصول Firepower را در مدلهای 2100، 4100 و 9300 به همراه تکنولوژی قبلی Sourcefire به بازار عرضه کرد.
در حال حاضر شرکت سیسکو با ادغام تکنولوژیهای قبلی Sourcefire با محصولات خود ازجمله FTD، به یکی از پرچمداران IPS در ارزیابیهای Gartner تبدیل شده است.
سیر تکاملی Firepower
از نظر راه اندازی، سیستم Firepower شامل تنظیم و راه اندازی تجهیز مدیریتی و تجهیز سنسور شبکه میباشد. هر کدام از این دو تجهیز وظیفه خاص به خود را دارند. وظیفه سنسور شبکه بررسی و آنالیز ترافیکهای شبکه و ارسال Eventهای ایجاد شده به تجهیز مدیریتی میباشد. وظیفه اصلی تجهیز مدیریتی نیز مدیریت سیاستهای امنیتی برای یک یا چندین سنسور میباشد.
با توجه به تاریخچه شرکت Sourcefire قبل از خرید توسط سیسکو، این شرکت دو نسخه کاملا متفاوت از نرم افزار خود را با ورژن های ۴ (اساسا برای IPS) و ۵ (با قابلیت NGFW) به بازار عرضه کرده بود. همچنین در آن زمان بسته به نسخه ارایه شده، نرم افزار مدیریتی در دو نسخه متفاوت یعنی نسخه ۴ با اسم Sourcefire Defence Center و نسخه ۵ با اسم FireSIGHT system یا FireSIGHT Management Center ارایه شده بود. علاوه بر این تجهیز سنسور نیز در ورژن ۴ و ۵ به ترتیب با نامهای 3D Sensor و FirePOWER Apliance نامگذاری شده بود .
FirePOWER در برابر Firepower
در سال 2013 شرکت سیسکو بعد از خرید Sourcefire برای ساده سازی ولی حفظ برند و شهرت قبلی محصول، اسم تکنولوژیهای Sourcefire را با یک کلمه ساده یعنی Firepower و بدون هیچ حرف بزرگی در قسمت power جایگزین کرد.
در این تغییر برند شرکت سیسکو برای حفظ شهرت قبلی محصول علاوه بر اینکه از ابتدا نام همه محصولات قدیمی Sourcefire را از حروف بزرگ FirePOWER به حروف کوچک Firepower تغییر نداد بلکه در محصولات جدید خود نیز ازاین نامگذاری استفاده کرد. دستگاه 9300 یکی از محصولات جدید شرکت سیسکو با نرم افزار Firepower Threat Defense میباشد که برخلاف مدلهای قبلی خود، از نامگذاری جدید در آن استفاده شده است.
Firepower Threat Defense
در محصولات سیسکو سرویس FirePOWER بیشتر به قابلیتهای Sourcefire قبل از خرید توسط شرکت سیسکو مانند NGFWv اشاره دارد. شرکت سیسکو در محصول جدید FTD خود علاوه بر پوشش کلیه قابلیتهای Firepower، قابلیتهای مربوط به فایروال ASA و چندین سرویس جدید خود از جمله AMP را نیز به محصول اضافه کرده است. بنابراین با توجه به پوشش همه جانبه کلیه سرویسها در یک محصول دیگر نیازی به اجرای FirePOWER به صورت ماژول و سرویس مجزا نمیباشد. شرکت سیسکو در واقع با این کار در محصول جدیدش علاوه بر کاهش سربار، بهره وری را افزایش داده است.
طبق شکل بالا سیستم Firepower ویژگیهای امنیتی متنوعی ارایه میدهد. همچنین برخلاف نرم افزارهای قدیمی مانند فایروال ASA، این قابلیتهای امنیتی در قالب چندین مولفه نرم افزاری ارایه میشود.
Firepower Core
هسته اصلی نرم افزار Firepower شامل موتور Snort برای تشخیص و جلوگیری از حملات، یک سرور وب برای ارایه رابط کاربری (UI)، یک دیتابیس برای ذخیره سازی Eventها و فریمویر برای سخت افزار میباشد. بسته به نوع سخت افزار، ایمج مربوط به نرم افزار Core سیستم Firepower متفاوت میباشد.
Software Patch and Hotfix
سیسکو معمولا Patchهای نرم افزاری را به صورت دورهای برای رفع آسیب پذیریها و نقصها ارایه میدهد. زمانی که برای حل یک مشکل نیازمند راه حل سریع تر از بروزرسانی باشد شرکت سیسکو برای آن Hotfix ارایه میدهد.
Snort Rules یا Sourcefire Rules
موتور Snort از مجموعهای از سیاستها برای جلوگیری از حملات استفاده میکند. هر سیاست شامل شروط مشخصی است و زمانی که بستهای توسط سنسور بررسی میشود با شرطی در سیاست مطابق شود، موتور Snort عکسالعملی متناسب با آن اتخاذ خواهد کرد.
Vulnerability Database
این مولفه، دیتابیسی از آسیب پذیریها و نمونه اثر انگشت مربوط به سرویسها و برنامهای کاربردی و سیستم عاملهای مختلف میباشد. Firepower با استفاده از این نمومه اثر انگشتها، برنامهها، سرویسها و سیستم عاملهای در حال اجرا را شناسایی و سپس دادههای مربوط به شبکه و برنامههای کشف شده را با اطلاعات آسیب پذیریهای موجود در دیتابیس VDB همبسته سازی میکند تا آسیب پذیریهای موجود را شناسایی نماید.
Geolocation database
این دیتابیس اطلاعات موقعیت جغرافیایی متعلق به آدرسهایIP را ذخیره و در خود دارد. برای مثال زمانی که Firepower در رابط کاربری اطلاعات مربوط به یک حمله را نشان میدهد، شما میتوانید پرچم کشوری که منشاء حمله میباشد را نیز ببینید. این قابلیت به شما اجازه میدهد به سرعت بدون اینکه با استفاده از Reverse lookup به دنبال منشاء حمله باشید، سریع تصمیم گیری نمایید.
URL Filtering Database
محصول Firepower قادر است سایتها را براساس ویژگیهایی مانند مخاطب هدف و نوع کسب و کار دستهبندی نماید. علاوه براین برای داشتن کنترل دسترسی بیشتر این سیستم به شما این اجازه را میدهد که کنترل دسترسیهایی برمبنای شهرت و میزان ریسک داشته باشید. همه این اطلاعات در دیتابیس URL Filtering ذخیره میشود و برخلاف سایر اجرای نرم افزاری قابلیت بروزرسانی مستقیم از Cloud شرکت سیسکو نیز برایش وجود دارد.
Security Inteligence Feeds
تیم ارایه دهنده اطلاعات مربوط به تهدیدات شرکت سیسکو معروف به Talos، به طور مستمر اینترنت را برای شناسایی آدرسهای IP، نام دامنهها و آدرسهای URL مخرب جستجو میکنند. شرکت سیسکو این اطلاعات را تحت عنوان Threat Inteligence Feeds با کاربران FTD از طریق تجهیز FMC خود به اشتراک میگذارد.
Local Malware Detection
با استفاده از این مولفه، FTD قادر است ویروسهای موجود در فایلها را شناسایی و از انتشار آنها در شبکه جلوگیری نماید. در حال حاضر Firepower از آنتی ویروس Clam-av برای این کار استفاده میکند که بروزرسانی signatureهای آن از طریق FMC امکان پذیر میباشد.
Integration
سیستم Firepower قادر است با انواع مختلفی از محصولات و تکنولوژیها مانند محصول ISE سیسکو، Active directory مایکروسافت، سرویس Event Streamer و Syslog server ادغام شود. این موضوع قابلیتهای بیشتری برای مانتورینگ و امن کردن شبکه فراهم میکند.
دیدگاهتان را بنویسید