Просмотр отдельных изменений

'<div class="mw-parser-output"><div id="toc" class="toc"><div class="toctitle" lang="ru" dir="ltr"><h2>Содержание</h2></div> <ul> <li class="toclevel-1"><a href="#СИСТЕМА_МОНИТОРИНГА,_АНАЛИЗА_И_ОТВЕТНОЙ_РЕАКЦИИ_CISCO_MARS"><span class="tocnumber">1</span> <span class="toctext">СИСТЕМА МОНИТОРИНГА, АНАЛИЗА И ОТВЕТНОЙ РЕАКЦИИ CISCO MARS</span></a></li> <li class="toclevel-1"><a href="#ДИЛЕММА_ГЛУБОКОЙ_ВСЕСТОРОННЕЙ_ЗАЩИТЫ"><span class="tocnumber">2</span> <span class="toctext">ДИЛЕММА ГЛУБОКОЙ ВСЕСТОРОННЕЙ ЗАЩИТЫ</span></a></li> <li class="toclevel-1"><a href="#ПОВЫШЕНИЕ_ЭФФЕКТИВНОСТИ_УПРАВЛЕНИЯ_ИНФОРМАЦИЕЙ_О_СОБЫТИЯХ_БЕЗОПАСНОСТИ"><span class="tocnumber">3</span> <span class="toctext">ПОВЫШЕНИЕ ЭФФЕКТИВНОСТИ УПРАВЛЕНИЯ ИНФОРМАЦИЕЙ О СОБЫТИЯХ БЕЗОПАСНОСТИ</span></a></li> <li class="toclevel-1"><a href="#ФУНКЦИИ_И_ПРЕИМУЩЕСТВА"><span class="tocnumber">4</span> <span class="toctext">ФУНКЦИИ И ПРЕИМУЩЕСТВА</span></a> <ul> <li class="toclevel-2"><a href="#Сбор_и_обработка_информации_о_сетевых_событиях"><span class="tocnumber">4.1</span> <span class="toctext">Сбор и обработка информации о сетевых событиях</span></a></li> <li class="toclevel-2"><a href="#Контекстная_корреляция_событий_на_основе_Cisco_ContextCorrelation"><span class="tocnumber">4.2</span> <span class="toctext">Контекстная корреляция событий на основе Cisco ContextCorrelation</span></a></li> <li class="toclevel-2"><a href="#Высокоэффективный_сбор_и_объединение_данных_о_событиях_безопасности"><span class="tocnumber">4.3</span> <span class="toctext">Высокоэффективный сбор и объединение данных о событиях безопасности</span></a></li> <li class="toclevel-2"><a href="#Визуализация_и_устранение_нарушений"><span class="tocnumber">4.4</span> <span class="toctext">Визуализация и устранение нарушений</span></a></li> <li class="toclevel-2"><a href="#Создание_отчетов_соответствия_и_анализ_в_реальном_времени"><span class="tocnumber">4.5</span> <span class="toctext">Создание отчетов соответствия и анализ в реальном времени</span></a></li> <li class="toclevel-2"><a href="#Поддержка_системы_контроля_доступа_к_сети_Cisco_NAC"><span class="tocnumber">4.6</span> <span class="toctext">Поддержка системы контроля доступа к сети Cisco NAC</span></a></li> <li class="toclevel-2"><a href="#Быстрое_развертывание_и_масштабируемое_управление"><span class="tocnumber">4.7</span> <span class="toctext">Быстрое развертывание и масштабируемое управление</span></a></li> <li class="toclevel-2"><a href="#Технические_характеристики_Cisco_MARS"><span class="tocnumber">4.8</span> <span class="toctext">Технические характеристики Cisco MARS</span></a></li> <li class="toclevel-2"><a href="#Динамическая_сеансовая_корреляция"><span class="tocnumber">4.9</span> <span class="toctext">Динамическая сеансовая корреляция</span></a></li> <li class="toclevel-2"><a href="#Построение_топологической_схемы"><span class="tocnumber">4.10</span> <span class="toctext">Построение топологической схемы</span></a></li> <li class="toclevel-2"><a href="#Анализ_уязвимостей"><span class="tocnumber">4.11</span> <span class="toctext">Анализ уязвимостей</span></a></li> <li class="toclevel-2"><a href="#Анализ_нарушений_и_ответная_реакция"><span class="tocnumber">4.12</span> <span class="toctext">Анализ нарушений и ответная реакция</span></a></li> <li class="toclevel-2"><a href="#Формирование_запросов_и_отчетов"><span class="tocnumber">4.13</span> <span class="toctext">Формирование запросов и отчетов</span></a></li> <li class="toclevel-2"><a href="#Администрирование"><span class="tocnumber">4.14</span> <span class="toctext">Администрирование</span></a></li> <li class="toclevel-2"><a href="#Поддержка_устройств"><span class="tocnumber">4.15</span> <span class="toctext">Поддержка устройств</span></a></li> <li class="toclevel-2"><a href="#Дополнительные_аппаратные_характеристики"><span class="tocnumber">4.16</span> <span class="toctext">Дополнительные аппаратные характеристики</span></a></li> </ul> </li> </ul> </div> <h1><span id=".D0.A1.D0.98.D0.A1.D0.A2.D0.95.D0.9C.D0.90_.D0.9C.D0.9E.D0.9D.D0.98.D0.A2.D0.9E.D0.A0.D0.98.D0.9D.D0.93.D0.90.2C_.D0.90.D0.9D.D0.90.D0.9B.D0.98.D0.97.D0.90_.D0.98_.D0.9E.D0.A2.D0.92.D0.95.D0.A2.D0.9D.D0.9E.D0.99_.D0.A0.D0.95.D0.90.D0.9A.D0.A6.D0.98.D0.98_CISCO_MARS"></span><span class="mw-headline" id="СИСТЕМА_МОНИТОРИНГА,_АНАЛИЗА_И_ОТВЕТНОЙ_РЕАКЦИИ_CISCO_MARS">СИСТЕМА МОНИТОРИНГА, АНАЛИЗА И ОТВЕТНОЙ РЕАКЦИИ CISCO MARS</span></h1> <p><br /> </p> <p><strong>Система мониторинга, анализа и ответной реакции Cisco MARS (Cisco Security Monitoring, Analysis, and Response System) является аппаратной комплексной платформой, предоставляющей не имеющие аналогов возможности тщательного наблюдения и контроля существующей системы безопасности. Являясь ключевым элементом жизненного цикла управления безопасностью, Cisco MARS предоставляет ИТ-подразделениям и персоналу обслуживания сети возможность обнаружения, управления и отражения угроз безопасности. <br /><br />На основе имеющихся инвестиций в сеть и систему безопасности данная система выполняет обнаружение и изоляцию элементов, нарушающих нормальную работу сети, а также предоставляет администраторам рекомендации по их полному устранению. Кроме того, данная система обеспечивает поддержку соответствия политикам безопасности и может быть включена как составляющая в состав общей системы соблюдения соответствия нормативным документам. </strong> </p> <ul class="compact-bullets"> <li>&lt;a href="#1"&gt;Дилема глубокой всесторонней защиты&lt;/a&gt;</li> <li>&lt;a href="#2"&gt;Повышение эффективности управления информацией о событиях безопасности&lt;/a&gt;</li> <li>&lt;a href="#3"&gt;Функции и приемущества&lt;/a&gt;</li> </ul> <p><br /> </p> <div class="content-region-both-bottom"> <div class="item"> <p> Администраторы сети и системы безопасности стоят перед множеством сложных задач включая: </p> <ul class="bulleted"> <li>Информационная сложность системы безопасности и сети.</li> <li>Недостаточная эффективность средств обнаружения, определения приоритетов и выработки ответных действий в отношении атак и сбоев.</li> <li>Повышенная сложность, скорость распространения и стоимость ликвидации последствий атак.</li> <li>Необходимость соблюдения норм соответствия и требований по отчетности.</li> <li>Нехватка специалистов по безопасности и денежных средств.</li> </ul> <p>Cisco MARS позволяет решить эти задачи за счет следующих действий: </p> <ul class="bulleted"> <li>Интеграция в сеть интеллектуальных функций для повышения эффективности механизма корреляции сетевых аномалий и событий безопасности.</li> <li>Визуализация подтвержденных нарушений безопасности и автоматизация их расследования.</li> <li>Отражение атак за счет использования всех преимуществ существующей инфраструктуры сети и безопасности.</li> <li>Мониторинг конечных узлов, сети и операций службы безопасности для обеспечения соответствия нормативным документам.</li> <li>Предоставление масштабируемого и простого в реализации и использовании устройства с минимальными совокупными затратами владения (TCO).</li> </ul> <p> Cisco MARS обеспечивает преобразование предоставляемых сетью и системой безопасности необработанных данных о злонамеренной активности в понятную информацию, которая может быть использована для устранения подтвержденных нарушений безопасности и обеспечения соответствия нормативным документам. Набор удобных в использовании аппаратных средств отражения угроз позволяет администраторам централизованно обнаруживать, определять приоритетность и отражать угрозы с помощью уже внедренных в инфраструктуру сетевых устройств и устройств защиты. </p> <p><br /> </p> </div> </div> <div class="content-region-both-bottom"> <div class="item"> <p>&lt;a name="1"&gt;&lt;/a&gt; </p> <h1><span id=".D0.94.D0.98.D0.9B.D0.95.D0.9C.D0.9C.D0.90_.D0.93.D0.9B.D0.A3.D0.91.D0.9E.D0.9A.D0.9E.D0.99_.D0.92.D0.A1.D0.95.D0.A1.D0.A2.D0.9E.D0.A0.D0.9E.D0.9D.D0.9D.D0.95.D0.99_.D0.97.D0.90.D0.A9.D0.98.D0.A2.D0.AB"></span><span class="mw-headline" id="ДИЛЕММА_ГЛУБОКОЙ_ВСЕСТОРОННЕЙ_ЗАЩИТЫ">ДИЛЕММА ГЛУБОКОЙ ВСЕСТОРОННЕЙ ЗАЩИТЫ</span></h1> <p> Современные методы обеспечения информационной безопасности позволяют перейти от модели защиты периметра к модели глубокой всесторонней защиты, предусматривающей размещение механизмов противодействия уязвимостям и атакам на всех уровнях инфраструктуры. Такая необходимость обусловлена повышенной частотой, скоростью распространения, разнообразностью и сложностью атак – факторов, размывающих границы между сетью и периметром. <br /><br />Исследование точек доступа к сети с целью обнаружения и в дальнейшем использования уязвимостей происходит по тысяче раз на дню. Современные комбинированные атаки основаны на множестве изощренных методов, допускающих несанкционированный доступ и контроль систем как извне, так и изнутри организации. Быстрое возрастание числа червей, вирусов, атак нулевого дня, троянских коней, шпионских программ и инструментальных средств реализации атак ставит под вопрос безопасность даже самой защищенной инфраструктуры и нередко приводит к увеличению времени реакции и простоя сети, а также расходов на ликвидацию последствий. <br /><br />В соответствии с традиционным подходом практически на каждом сервере и устройстве сети устанавливается отдельный компонент безопасности, предоставляющий свой журнал регистрации событий и функции обнаружения аномального поведения, подачи сигналов тревоги, реакции на угрозы и криминалистического анализа нарушений безопасности. К сожалению, это приводит к возникновению огромного числа сигналов тревоги, журналов регистрации событий, ложных срабатываний и сумбурных действий администраторов, имеющих ограниченное время и ресурсы, чтобы разобраться в этой информации. Кроме того, жесткие нормативные требования соответствия обязывают обеспечивать повышенную конфиденциальность данных и операций, а также управляемость процессов учета. </p> <p><br /> </p> </div> </div> <div class="content-region-both-bottom"> <div class="item"> <p>&lt;a name="2"&gt;&lt;/a&gt; </p> <h1><span id=".D0.9F.D0.9E.D0.92.D0.AB.D0.A8.D0.95.D0.9D.D0.98.D0.95_.D0.AD.D0.A4.D0.A4.D0.95.D0.9A.D0.A2.D0.98.D0.92.D0.9D.D0.9E.D0.A1.D0.A2.D0.98_.D0.A3.D0.9F.D0.A0.D0.90.D0.92.D0.9B.D0.95.D0.9D.D0.98.D0.AF_.D0.98.D0.9D.D0.A4.D0.9E.D0.A0.D0.9C.D0.90.D0.A6.D0.98.D0.95.D0.99_.D0.9E_.D0.A1.D0.9E.D0.91.D0.AB.D0.A2.D0.98.D0.AF.D0.A5_.D0.91.D0.95.D0.97.D0.9E.D0.9F.D0.90.D0.A1.D0.9D.D0.9E.D0.A1.D0.A2.D0.98"></span><span class="mw-headline" id="ПОВЫШЕНИЕ_ЭФФЕКТИВНОСТИ_УПРАВЛЕНИЯ_ИНФОРМАЦИЕЙ_О_СОБЫТИЯХ_БЕЗОПАСНОСТИ">ПОВЫШЕНИЕ ЭФФЕКТИВНОСТИ УПРАВЛЕНИЯ ИНФОРМАЦИЕЙ О СОБЫТИЯХ БЕЗОПАСНОСТИ</span></h1> <p> На первый взгляд системы управления информацией о событиях безопасности позволяют упростить эти задачи, обеспечивая оценку угроз для их контроля. Такие системы позволяют администраторам централизованно собирать данные о событиях безопасности, анализировать их с помощью ограниченного набора методов корреляции и запросов, а также генерировать сигналы тревоги и отчеты об отдельных событиях. <br /><br />К сожалению, многие системы управления данными о событиях безопасности первого и второго поколения не предоставляют достаточной информации о сети и не обладают достаточной производительностью для точного определения и подтверждения коррелированных событий, более эффективного выявления путей атак, тщательного устранения угроз и сопровождения большего числа событий. Cisco Systems позволяет решить эти проблемы и повысить эффективность управления информацией о событиях безопасности с помощью масштабируемых устройств отражения угроз безопасности предприятий. Экономичная, простая в реализации и в эксплуатации Cisco MARS расширяет набор возможностей инфраструктуры сети и безопасности. Высокопроизводительное масштабируемое оборудование Cisco MARS усиливают защиту имеющихся сетевых устройств и механизмов противодействия за счет объединения интеллектуальных возможностей сети, функций корреляции событий на основе контекста (ContextCorrelation™), векторного анализа (SureVector™) и автоматического отражения (AutoMitigate™), позволяя ИТ-подразделениям быстро обнаруживать, сопровождать и устранять сетевые атаки, а также обеспечивать соответствие требуемым нормативным документам. </p> <p><br /> </p> </div> </div> <div class="content-region-both-bottom"> <div class="item"> <p>&lt;a name="3"&gt;&lt;/a&gt; </p> <h1><span id=".D0.A4.D0.A3.D0.9D.D0.9A.D0.A6.D0.98.D0.98_.D0.98_.D0.9F.D0.A0.D0.95.D0.98.D0.9C.D0.A3.D0.A9.D0.95.D0.A1.D0.A2.D0.92.D0.90"></span><span class="mw-headline" id="ФУНКЦИИ_И_ПРЕИМУЩЕСТВА">ФУНКЦИИ И ПРЕИМУЩЕСТВА</span></h1> <h2><span id=".D0.A1.D0.B1.D0.BE.D1.80_.D0.B8_.D0.BE.D0.B1.D1.80.D0.B0.D0.B1.D0.BE.D1.82.D0.BA.D0.B0_.D0.B8.D0.BD.D1.84.D0.BE.D1.80.D0.BC.D0.B0.D1.86.D0.B8.D0.B8_.D0.BE_.D1.81.D0.B5.D1.82.D0.B5.D0.B2.D1.8B.D1.85_.D1.81.D0.BE.D0.B1.D1.8B.D1.82.D0.B8.D1.8F.D1.85"></span><span class="mw-headline" id="Сбор_и_обработка_информации_о_сетевых_событиях">Сбор и обработка информации о сетевых событиях</span></h2> <p> Cisco MARS собирает информацию о сетевых событиях, изучая топологию сети и конфигурацию маршрутизаторов, коммутаторов и межсетевых экранов, а также анализируя сетевой трафик. Система создает топологическую схему сети, содержащую информацию о конфигурации устройств и действующих политик безопасности, что позволяет моделировать потоки пакетов в сети. За счет автономной работы устройства и минимального использования существующих программ-агентов производительность сети или системы в целом практически не снижается. <br /><br />Устройство Cisco MARS централизованно собирает данные о событиях, регистрируемых множеством распространенных сетевых устройств (например, маршрутизаторы и коммутаторы), устройств защиты и приложений (например, межсетевые экраны, системы обнаружения вторжений, сканеры уязвимостей и антивирусные программы), главных узлов (например, серверы под управлением Windows, Solaris и Linux), приложений (например, базы данных, Web-серверы и серверы аутентификации) и программ обработки сетевого трафика (например, Cisco NetFlow). </p> <h2><span id=".D0.9A.D0.BE.D0.BD.D1.82.D0.B5.D0.BA.D1.81.D1.82.D0.BD.D0.B0.D1.8F_.D0.BA.D0.BE.D1.80.D1.80.D0.B5.D0.BB.D1.8F.D1.86.D0.B8.D1.8F_.D1.81.D0.BE.D0.B1.D1.8B.D1.82.D0.B8.D0.B9_.D0.BD.D0.B0_.D0.BE.D1.81.D0.BD.D0.BE.D0.B2.D0.B5_Cisco_ContextCorrelation"></span><span class="mw-headline" id="Контекстная_корреляция_событий_на_основе_Cisco_ContextCorrelation">Контекстная корреляция событий на основе Cisco ContextCorrelation</span></h2> <p> После сбора данные о событиях упорядочивается в соответствии с топологической схемой, конфигурациями обнаруженных устройств, приложениями источника и назначения (между границами NAT), а также сходными типами атак. Сходные события объединяются в сеансы в реальном времени. Системные и пользовательские правила корреляции применяются ко множеству сеансов для определения нарушений. Cisco MARS поставляется с полным набором предварительно заданных правил, часто обновляемых специалистами компании Cisco Systems, которые определяют большинство комбинированных и неизвестных атак, а также червей. Графическая среда определения правил упрощает процесс создания пользовательских правил для любого приложения. Функция корреляции событий на основе контекста обеспечивает сокращение объема необработанных данных о событиях безопасности, назначение приоритетов ответных действий и максимальную результативность системы. </p> <h2><span id=".D0.92.D1.8B.D1.81.D0.BE.D0.BA.D0.BE.D1.8D.D1.84.D1.84.D0.B5.D0.BA.D1.82.D0.B8.D0.B2.D0.BD.D1.8B.D0.B9_.D1.81.D0.B1.D0.BE.D1.80_.D0.B8_.D0.BE.D0.B1.D1.8A.D0.B5.D0.B4.D0.B8.D0.BD.D0.B5.D0.BD.D0.B8.D0.B5_.D0.B4.D0.B0.D0.BD.D0.BD.D1.8B.D1.85_.D0.BE_.D1.81.D0.BE.D0.B1.D1.8B.D1.82.D0.B8.D1.8F.D1.85_.D0.B1.D0.B5.D0.B7.D0.BE.D0.BF.D0.B0.D1.81.D0.BD.D0.BE.D1.81.D1.82.D0.B8"></span><span class="mw-headline" id="Высокоэффективный_сбор_и_объединение_данных_о_событиях_безопасности">Высокоэффективный сбор и объединение данных о событиях безопасности</span></h2> <p>Cisco MARS собирает необработанные данные о множестве событий, эффективно классифицирует нарушения с помощью новейшего алгоритма преобразования данных и архивирует полученную информацию. Для управления огромным многообразием событий безопасности необходима надежная и стабильная платформа централизованного сбора информации. Системы Cisco MARS являются надежными устройствами, оптимизированными для сбора больших объемов информации о событиях безопасности со скоростью свыше 10000 событий в секунду или свыше 300000 событий Cisco NetFlow в секунду. Это обеспечивается запатентованным алгоритмом обработки Protego и встроенной системой, использующей Oracle. Все процессы, связанные с функционированием и настройкой базы данных, прозрачны для пользователя. Встроенная память и возможность переноса архивных данных на вспомогательные запоминающие устройства NFS делает Cisco MARS надежной платформой, обеспечивающей сбор данных о событиях. </p> <h2><span id=".D0.92.D0.B8.D0.B7.D1.83.D0.B0.D0.BB.D0.B8.D0.B7.D0.B0.D1.86.D0.B8.D1.8F_.D0.B8_.D1.83.D1.81.D1.82.D1.80.D0.B0.D0.BD.D0.B5.D0.BD.D0.B8.D0.B5_.D0.BD.D0.B0.D1.80.D1.83.D1.88.D0.B5.D0.BD.D0.B8.D0.B9"></span><span class="mw-headline" id="Визуализация_и_устранение_нарушений">Визуализация и устранение нарушений</span></h2> <p> Cisco MARS позволяет ускорить и упростить процесс обнаружения, анализа, подтверждения и отражения угроз. Персонал службы информационной безопасности часто сталкивается с большим числом событий, требующих длительного анализа для их разрешения и ликвидации последствий. Cisco MARS предоставляет эффективную интерактивную инструментальную панель для управления безопасностью. Графический интерфейс пользователя предоставляет обновляемую в реальном времени топологическую схему сети, отображающую горячие точки, нарушения, пути атак и данные подробного анализа с полным описанием нарушения, обеспечивая немедленное подтверждение фактической опасности угроз. <br /><br />Функция анализа Cisco SureVector обрабатывает аналогичные сеансы событий и определяет фактическую опасность угроз или принятые меры по их отражению с помощью анализа всего пути атаки вплоть до MAC-адреса конечного узла. Этот автоматизированный процесс обеспечивается за счет анализа журналов регистрации событий, полученных от межсетевых экранов и систем предотвращения вторжений, данных оценки уязвимостей третьей стороной, а также сканирования конечных узлов системой Cisco MARS для сокращения числа ложных срабатываний. Пользователям предоставляется возможность быстрой и точной настройки системы для дальнейшего сокращения числа ложных срабатываний. <br /><br />Целью любой программы безопасности является поддержание системы в постоянной работоспособности и нормального функционирования – это чрезвычайно важно для предотвращения и сдерживания нарушений безопасности, а также ликвидации последствий. Cisco MARS позволяет администраторам быстро определять все охваченные атакой объекты, вплоть до MAC-адресов как атакующих, так и атакованных узлов. Функция автоматического отражения Cisco обнаруживает расположенные на пути атаки доступные устройства защиты и автоматически генерирует для них необходимые команды, которые пользователь может выполнить для отражения атаки. Эти действия позволяют незамедлительно и безошибочно предотвратить или сдержать атаку. </p> <h2><span id=".D0.A1.D0.BE.D0.B7.D0.B4.D0.B0.D0.BD.D0.B8.D0.B5_.D0.BE.D1.82.D1.87.D0.B5.D1.82.D0.BE.D0.B2_.D1.81.D0.BE.D0.BE.D1.82.D0.B2.D0.B5.D1.82.D1.81.D1.82.D0.B2.D0.B8.D1.8F_.D0.B8_.D0.B0.D0.BD.D0.B0.D0.BB.D0.B8.D0.B7_.D0.B2_.D1.80.D0.B5.D0.B0.D0.BB.D1.8C.D0.BD.D0.BE.D0.BC_.D0.B2.D1.80.D0.B5.D0.BC.D0.B5.D0.BD.D0.B8"></span><span class="mw-headline" id="Создание_отчетов_соответствия_и_анализ_в_реальном_времени">Создание отчетов соответствия и анализ в реальном времени</span></h2> <p> Cisco MARS предоставляет простой в использовании механизм анализа, который упрощает традиционный процесс защиты сети, обеспечивая автоматическое определение, анализ распространения, оповещение и комментирование событий безопасности для ежедневных операций и специальных проверок. Этот механизм позволяет графически воспроизвести атаку и восстановить сохраненные данные для анализа предыдущих событий. Система обеспечивает полную поддержку специальных запросов для последовательного извлечения данных в реальном времени. <br /><br />Cisco MARS предоставляет множество стандартных отчетов для удовлетворения эксплуатационных требований и упрощения процесса обеспечения соответствия нормативным документам, включая законы Сарбейнса-Оксли (Sarbanes-Oxley), акт Грэмма-Лича-Блили (Gramm-Leach Bliley Act, GLBA), акт Health Insurance Portability and Accountability Act (HIPAA), акт Federal Information Security Management Act (FISMA) США, а также европейское соглашение Revised Basel Capital Framework (Basel II). Генератор отчетов с наглядным интерфейсом позволяет изменять более 80 стандартных отчетов или создавать новые отчеты по планированию действий и ликвидации последствий, нарушениям и сетевой активности, защищенности и проверке, а также ведомственные отчеты в текстовом, графическом и общем формате. Система также позволяет создавать групповые отчеты. </p> <h2><span id=".D0.9F.D0.BE.D0.B4.D0.B4.D0.B5.D1.80.D0.B6.D0.BA.D0.B0_.D1.81.D0.B8.D1.81.D1.82.D0.B5.D0.BC.D1.8B_.D0.BA.D0.BE.D0.BD.D1.82.D1.80.D0.BE.D0.BB.D1.8F_.D0.B4.D0.BE.D1.81.D1.82.D1.83.D0.BF.D0.B0_.D0.BA_.D1.81.D0.B5.D1.82.D0.B8_Cisco_NAC"></span><span class="mw-headline" id="Поддержка_системы_контроля_доступа_к_сети_Cisco_NAC">Поддержка системы контроля доступа к сети Cisco NAC</span></h2> <p> Cisco MARS обеспечивает анализ, упорядочивание, корреляцию и создание отчетов о событиях аутентификации по протоколу 802.1x, получаемых как от коммутаторов уровня 2, так и от сервера Cisco ACS. С помощью протокола EAP уровня 3 данная система предоставляет те же самые возможности для маршрутизаторов и концентраторов Cisco VPN 3000. Это позволяет пользователям устранять неполадки аутентификации устройств посредством определения цепочки соединений между коммутатором, сервером Cisco ACS, утвержденным конечным узлом и внешним сервером аутентификации, например, Active Directory или NIS. Cisco MARS также обеспечивает централизованное создание отчетов как для Cisco NAC фазы 1, так и для фазы 2 параметров процедуры контроля доступа к сети, в которых указывается причина неудачной аутентификации устройства и его состояния. Примерами таких отчетов являются: </p> <ul class="bulleted"> <li>Отчет по пользователям.</li> <li>Подробные сведения по пользователям.</li> <li>Подробные сведения о конечном узле.</li> <li>Отчет о конечных узлах, которым было отказано в доступе.</li> <li>Отчет о распределении токенов состояний.</li> <li>Отчет первой десятки нарушений со стороны конечных узлов и пользователей.</li> <li>Отчет о времени карантина по конечным узлам.</li> </ul> <h2><span id=".D0.91.D1.8B.D1.81.D1.82.D1.80.D0.BE.D0.B5_.D1.80.D0.B0.D0.B7.D0.B2.D0.B5.D1.80.D1.82.D1.8B.D0.B2.D0.B0.D0.BD.D0.B8.D0.B5_.D0.B8_.D0.BC.D0.B0.D1.81.D1.88.D1.82.D0.B0.D0.B1.D0.B8.D1.80.D1.83.D0.B5.D0.BC.D0.BE.D0.B5_.D1.83.D0.BF.D1.80.D0.B0.D0.B2.D0.BB.D0.B5.D0.BD.D0.B8.D0.B5"></span><span class="mw-headline" id="Быстрое_развертывание_и_масштабируемое_управление">Быстрое развертывание и масштабируемое управление</span></h2> <p> Cisco MARS устанавливается в сети TCP/IP, выполняя передачу и прием системных журналов и запросов SNMP; также данная система позволяет устанавливать безопасные сеансы с внедренными устройствами сети и защиты с помощью стандартных или определяемых фирмой-поставщиком протоколов безопасной передачи данных. Для установки и развертывания решения Cisco MARS никаких дополнительных аппаратных средств, обновлений операционной системы, лицензий или услуг длительного специального обслуживания не требуется. Достаточно просто связать узлы, на которых будут регистрироваться события, с системой и определить любую сеть или источник с помощью графического Web-интерфейса пользователя. <br /><br />Управление Cisco MARS осуществляется с помощью защищенного Web-интерфейса, поддерживающего механизм ролевого управления. Дополнительное устройство, называемое глобальным контроллером (Global Controller, GC), позволяет централизованно управлять расширенными операциями безопасности, обеспечивая единое представление всей сети предприятия и распространение полномочий доступа, конфигураций, обновлений, специальных правил и шаблонов отчетов, а также последовательный комплексный анализ с ускоренным формированием запросов и отчетов, обрабатываемых локально. <br /><br />Результаты выполнения запросов и правил для всей сети предприятия системами Cisco MARS суммируются для проведения централизованного анализа на глобальном контроллере системы. Данная масштабируемая архитектура обеспечивает дополнительный уровень распределенной обработки и хранения. В результате обеспечивается более экономичное развертывание и повышенная эффективность управления, что соответствует требованиям крупных и географически распределенных компаний. </p> <h2><span id=".D0.A2.D0.B5.D1.85.D0.BD.D0.B8.D1.87.D0.B5.D1.81.D0.BA.D0.B8.D0.B5_.D1.85.D0.B0.D1.80.D0.B0.D0.BA.D1.82.D0.B5.D1.80.D0.B8.D1.81.D1.82.D0.B8.D0.BA.D0.B8_Cisco_MARS"></span><span class="mw-headline" id="Технические_характеристики_Cisco_MARS">Технические характеристики Cisco MARS</span></h2> <p> Устройства семейства Cisco MARS имеют различные характеристиками производительности и стоимости в зависимости от требований организаций и сценариев применения (таблица 1). <br /><br /><strong>Таблица 1.</strong> Системы Cisco MARS </p> <table class="table-formatted-alt-vborders"> <tbody><tr align="”left”" class="primary-header"> <th class="th-content-left">Номенклатурный номер</th> <th class="th-content-center">Событий/сек*</th> <th class="th-content-center">NetFlow/сек</th> <th class="th-content-center">Объем памяти</th> <th class="th-content-center">Размеры в стойке<br />(Rack Unit)</th> <th class="th-content-right">Мощность</th> </tr> <tr class="no-border"> <td class="td-content-left">Система Cisco MARS 20 (CS-MARS-20-K9)</td> <td class="td-content-center">500</td> <td class="td-content-center">15,000</td> <td class="td-content-center">120 Гбайт (не RAID)</td> <td class="td-content-center">1 RU x 16 дюймов</td> <td class="td-content-right">300W, 120/240V автоматическое переключение</td> </tr> <tr class="no-border"> <td class="td-content-left">Система Cisco MARS 50 (CS-MARS-50-K9)</td> <td class="td-content-center">1000</td> <td class="td-content-center">30,000</td> <td class="td-content-center">240 Гбайт RAID 0, с горячей заменой</td> <td class="td-content-center">1 RU x 25,6 дюймов</td> <td class="td-content-right">300W, 120/240V автоматическое переключение</td> </tr> <tr class="no-border"> <td class="td-content-left">Система Cisco MARS 100e (CS-MARS-100E-K9)</td> <td class="td-content-center">3000</td> <td class="td-content-center">75,000</td> <td class="td-content-center">750 Гбайт RAID 10, с горячей заменой</td> <td class="td-content-center">3 RU x 25,6 дюймов</td> <td class="td-content-right">500 Вт отказоустойчивый блок, 120/240V автоматическое переключение</td> </tr> <tr class="no-border"> <td class="td-content-left">Система Cisco MARS 100 (CS-MARS-100-K9)</td> <td class="td-content-center">5000</td> <td class="td-content-center">150,000</td> <td class="td-content-center">750 Гбайт RAID 10, с горячей заменой</td> <td class="td-content-center">3 RU x 25,6 дюймов</td> <td class="td-content-right">500 Вт отказоустойчивый блок, 120/240V автоматическое переключение</td> </tr> <tr class="no-border"> <td class="td-content-left">Система Cisco MARS 200 (CS-MARS-200-K9)</td> <td class="td-content-center">10,000</td> <td class="td-content-center">300,000</td> <td class="td-content-center">1 терабайт RAID 10, с горячей заменой</td> <td class="td-content-center">4 RU x 25,6 дюймов</td> <td class="td-content-right">500 Вт отказоустойчивый блок, 120/240V автоматическое переключение</td> </tr> <tr class="no-border"> <th class="th-content-left" rowspan="2">Номенклатурный номер (модели с глобальным контроллером)</th> <th class="th-content-right" colspan="5">Распределенный мониторинг</th> </tr> <tr class="no-border"> <th class="th-content-center">Поддерживаемые модели</th> <th class="th-content-center">Максимальное число соединений</th> <th class="th-content-center">Объем памяти</th> <th class="th-content-center">Размеры в стойке (Rack Unit)</th> <th class="th-content-right">Мощность</th> </tr> <tr class="no-border"> <td class="td-content-left">Система Cisco MARS GCm (CS-MARS-GCM-K9)</td> <td class="td-content-center">Только от системы Cisco MARS 20/50</td> <td class="td-content-center">5</td> <td class="td-content-center">1 терабайт RAID 10, с горячей заменой</td> <td class="td-content-center">4 RU x 25,6 дюймов</td> <td class="td-content-right">500 Вт отказоустойчивый блок, 120/240V автоматическое переключение</td> </tr> <tr class="no-border"> <td class="td-content-left">Система Cisco MARS GC (CS-MARS-GC-K9)</td> <td class="td-content-center">Любые</td> <td class="td-content-center">На данный момент никаких ограничений не накладывается</td> <td class="td-content-center">1 терабайт RAID 10, с горячей заменой</td> <td class="td-content-center">4 RU x 25,6 дюймов.</td> <td class="td-content-right">500 Вт отказоустойчивый блок, 120/240V автоматическое переключение</td> </tr> </tbody></table> <p>* Событий/сек (EPS): Максимальное число событий в секунду с динамической корреляцией и включением всех функций.</p> <h2><span id=".D0.94.D0.B8.D0.BD.D0.B0.D0.BC.D0.B8.D1.87.D0.B5.D1.81.D0.BA.D0.B0.D1.8F_.D1.81.D0.B5.D0.B0.D0.BD.D1.81.D0.BE.D0.B2.D0.B0.D1.8F_.D0.BA.D0.BE.D1.80.D1.80.D0.B5.D0.BB.D1.8F.D1.86.D0.B8.D1.8F"></span><span class="mw-headline" id="Динамическая_сеансовая_корреляция">Динамическая сеансовая корреляция</span></h2> <ul class="bulleted"> <li>Обнаружение аномалий, включая информацию NetFlow</li> <li>Корреляция событий на основе поведения и правил</li> <li>Общие встроенные и определенные пользователем правила</li> <li>Автоматическая нормализация транслированных сетевых адресов</li> </ul> <h2><span id=".D0.9F.D0.BE.D1.81.D1.82.D1.80.D0.BE.D0.B5.D0.BD.D0.B8.D0.B5_.D1.82.D0.BE.D0.BF.D0.BE.D0.BB.D0.BE.D0.B3.D0.B8.D1.87.D0.B5.D1.81.D0.BA.D0.BE.D0.B9_.D1.81.D1.85.D0.B5.D0.BC.D1.8B"></span><span class="mw-headline" id="Построение_топологической_схемы">Построение топологической схемы</span></h2> <ul class="bulleted"> <li>Маршрутизаторы, коммутаторы и межсетевые экраны уровня 2 и 3</li> <li>Модули и устройства сетевой системы обнаружения вторжений</li> <li>Ручное или по графику построение</li> <li>SSH, SNMP, Telnet и зависящие от конкретного устройства взаимодействия</li> </ul> <h2><span id=".D0.90.D0.BD.D0.B0.D0.BB.D0.B8.D0.B7_.D1.83.D1.8F.D0.B7.D0.B2.D0.B8.D0.BC.D0.BE.D1.81.D1.82.D0.B5.D0.B9"></span><span class="mw-headline" id="Анализ_уязвимостей">Анализ уязвимостей</span></h2> <ul class="bulleted"> <li>Снятие следов нарушений на основе сети или конечного узла</li> <li>Анализ конфигурации коммутаторов, маршрутизаторов, межсетевых экранов и NAT</li> <li>Автоматическая обработка данных сканирования уязвимостей</li> <li>Выполняемый автоматически и заданный пользователем анализ ложных срабатываний</li> </ul> <h2><span id=".D0.90.D0.BD.D0.B0.D0.BB.D0.B8.D0.B7_.D0.BD.D0.B0.D1.80.D1.83.D1.88.D0.B5.D0.BD.D0.B8.D0.B9_.D0.B8_.D0.BE.D1.82.D0.B2.D0.B5.D1.82.D0.BD.D0.B0.D1.8F_.D1.80.D0.B5.D0.B0.D0.BA.D1.86.D0.B8.D1.8F"></span><span class="mw-headline" id="Анализ_нарушений_и_ответная_реакция">Анализ нарушений и ответная реакция</span></h2> <ul class="bulleted"> <li>Инструментальная панель управления отдельными событиями безопасности</li> <li>Объединение данных сеансовых событий с контекстом всех правил</li> <li>Графическое представление пути атаки с подробным анализом</li> <li>Профили устройств на пути атаки с определением MAC-адресов конечных узлов</li> <li>Графическое и подробное последовательное представление типа атаки</li> <li>Подробные данные нарушения, включая правила, необработанные события, общие уязвимости и способы воздействия на сеть, а также варианты отражения</li> <li>Мгновенный анализ нарушений и определение ложных срабатываний</li> <li>Определение правил с помощью графического интерфейса пользователя для поддержки собственных правил и анализа по ключевым словам</li> <li>Оценка нарушений с выдачей по пользователям рабочего листа с описанием пошаговых действий </li> <li>Оповещение, включая электронную почту, пейджер, системный журнал и SNMP</li> </ul> <h2><span id=".D0.A4.D0.BE.D1.80.D0.BC.D0.B8.D1.80.D0.BE.D0.B2.D0.B0.D0.BD.D0.B8.D0.B5_.D0.B7.D0.B0.D0.BF.D1.80.D0.BE.D1.81.D0.BE.D0.B2_.D0.B8_.D0.BE.D1.82.D1.87.D0.B5.D1.82.D0.BE.D0.B2"></span><span class="mw-headline" id="Формирование_запросов_и_отчетов">Формирование запросов и отчетов</span></h2> <ul class="bulleted"> <li>Графический интерфейс пользователя, поддерживающий большое число стандартных и настраиваемых запросов</li> <li> Более 80 распространенных отчетов, включая отчеты по управлению, эксплуатации и контролю нормативного соответствия</li> <li>Генератор отчетов с наглядным интерфейсом, позволяющим создавать неограниченное число пользовательских отчетов</li> <li> Текстовый, графический и общий формат отчетов, поддерживающий экспорт в файлы HTML и CSV</li> <li> Создание готовых к печати, групповых, типовых и пр. отчетов</li> <li> Централизованное создание отчетов для параметров NAC фазы 2</li> </ul> <h2><span id=".D0.90.D0.B4.D0.BC.D0.B8.D0.BD.D0.B8.D1.81.D1.82.D1.80.D0.B8.D1.80.D0.BE.D0.B2.D0.B0.D0.BD.D0.B8.D0.B5"></span><span class="mw-headline" id="Администрирование">Администрирование</span></h2> <ul class="bulleted"> <li>Web-интерфейс HTTPS; ролевое администрирование с заданными полномочиями</li> <li>Иерархическое управление несколькими системами Cisco MARS с помощью глобального контроллера</li> <li> Автоматические обновления, включая поддержку устройств, новых правил и функций</li> <li>Постоянный перенос архивов необработанных данных нарушений в автономные хранилища NFS</li> </ul> <h2><span id=".D0.9F.D0.BE.D0.B4.D0.B4.D0.B5.D1.80.D0.B6.D0.BA.D0.B0_.D1.83.D1.81.D1.82.D1.80.D0.BE.D0.B9.D1.81.D1.82.D0.B2"></span><span class="mw-headline" id="Поддержка_устройств">Поддержка устройств</span></h2> <ul class="bulleted"> <li> Сетевое активное оборудование: Программное обеспечение Cisco IOS, версии 11.x и 12.x; ОС Cisco Catalyst версии 6.x; Cisco NetFlow версии 5.0 и 7.0; Extreme Extremeware версии 6.x.</li> <li> Межсетевые экраны/VPN: Cisco Adaptive Security Appliance версии 7.0, программное обеспечение для устройств защиты Cisco PIX версии 6.x и 7.0; межсетевой экран Cisco IOS версии 12.2(T) или выше; модуль функций межсетевого экрана Cisco (FWSM) версии 1.x, 2.1 и 2.2; программное обеспечение для Cisco VPN 3000 версии 4.0; межсетевой экран Checkpoint Firewall-1 NG FP-x и VPN-1 версии FP3, FP4 и AI; межсетевой экран NetScreen версии 4.x и 5.x; межсетевой экран Nokia версии FP3, FP4 и AI.</li> <li> Системы IDS: Система Cisco IDS версии 3.x, 4.x и 5.0; модуль Cisco IDS версии 3.x и 4.x; система Cisco IOS IPS версии 12.2; система Enterasys Dragon NIDS версии 6.x; сетевой сенсор ISS RealSecure версии 6.5 и 7.0; система Snort NIDS версии 2.x; система McAfee Intrushield NIDS версии 1.5 и 1.8; система NetScreen IDP версии 2.x; ОС версии 4.x и 5.x; система Symantec MANHUNT.</li> <li> Системы оценки уязвимости: система eEye REM версии 1.x и FoundStone FoundScan версии 3.x.</li> <li> Системы безопасности конечных узлов: программа-агент Cisco Security Agent версии 4.x; система McAfee Entercept версии 2.5 и 4.x; датчик для конечных узлов ISS RealSecure Host Sensor версии 6.5 и 7.0.</li> <li> Антивирусное ПО: Symantec Antivirus версии 9.x.</li> <li> Серверы аутентификации: Сервер Cisco ACS версии 3.x и 4.x.</li> <li> Операционные системы конечных узлов: ОС Windows NT, 2000 и 2003 (с агентами и без); ОС Solaris версии 8.x, 9.x и 10.x; ОС Linux версии 7.x.</li> <li> Приложения: Web-серверы (ISS, iPlanet и Apache); Oracle 9i и 10g; NetCache.</li> <li> Универсальная поддержка устройств для объединения и мониторинга системных журналов любых приложений.</li> </ul> <p>Наиболее полный список см. по адресу: <br />&lt;a href="<a rel="nofollow" class="external free" href="http://www.cisco.com/en/US/products/ps6241/products_device_support_tables_list.html">http://www.cisco.com/en/US/products/ps6241/products_device_support_tables_list.html</a>"&gt;<a rel="nofollow" class="external free" href="http://www.cisco.com/en/US/products/ps6241/products_device_support_tables_list.html">http://www.cisco.com/en/US/products/ps6241/products_device_support_tables_list.html</a>&lt;/a&gt; </p> <h2><span id=".D0.94.D0.BE.D0.BF.D0.BE.D0.BB.D0.BD.D0.B8.D1.82.D0.B5.D0.BB.D1.8C.D0.BD.D1.8B.D0.B5_.D0.B0.D0.BF.D0.BF.D0.B0.D1.80.D0.B0.D1.82.D0.BD.D1.8B.D0.B5_.D1.85.D0.B0.D1.80.D0.B0.D0.BA.D1.82.D0.B5.D1.80.D0.B8.D1.81.D1.82.D0.B8.D0.BA.D0.B8"></span><span class="mw-headline" id="Дополнительные_аппаратные_характеристики">Дополнительные аппаратные характеристики</span></h2> <ul class="bulleted"> <li>Устройства специального назначения, монтаж в стойку 19 дюймов; сертификация UL.</li> <li>ОС с усиленной защитой; межсетевой экран с сокращенным набором функций.</li> <li>Два интерфейса Ethernet 10/100/1000.</li> <li>DVD-ROM с дисках для восстановления.</li> </ul> </div></div> <!-- NewPP limit report Parsed by mw1227 Cached time: 20180315081121 Cache expiry: 1900800 Dynamic content: false CPU time usage: 0.032 seconds Real time usage: 0.037 seconds Preprocessor visited node count: 116/1000000 Preprocessor generated node count: 0/1500000 Post‐expand include size: 0/2097152 bytes Template argument size: 0/2097152 bytes Highest expansion depth: 1/40 Expensive parser function count: 0/500 Unstrip recursion depth: 0/20 Unstrip post‐expand size: 0/5000000 bytes --> <!-- Transclusion expansion time report (%,ms,calls,template) 100.00% 0.000 1 -total --> </div>'