Мы запускаем портал Cisco ASA CX

Когда речь заходит о том, какие функции по контролю трафика есть у традиционного межсетевого экрана, то ответ обычно не заставляет себя ждать. Межсетевой экран может фильтровать трафик практически по всем полям заголовка IP-пакета (адрес отправителя и получателя, порт отправителя и получателя, протокол и т.д.). Именно с этого начиналась история межсетевых экранов и именно поэтому они стали называться пакетными фильтрами. Второе поколение межсетевых экраном стало использовать гораздо большее число параметров для контроля. От достаточно традиционных — время, направление движение трафика, состояние сессии, до редких, но не менее важных — имя пользователя, тип устройства, осуществляющего доступ, операционная система этого устройства, принадлежность устройства компании или частному лицу и т.д. Именно так могут быть построены правила разграничения доступа для Cisco ASA 5500-X.

Политика разграничения доступа на Cisco ASA 5500-X

Но вот на рынке стали появляться прикладные межсетевые экраны (application firewall) или межсетевые экраны следующего поколения (next generation firewall), ориентированные на контроль приложений. Обычная настройка правил по адресам и портам в данном случае не подходит, т.к. на одном порту (например, TCP/80 или TCP/8080) может находиться множество различных приложений, одни из которых могут быть разрешены, а другие запрещены корпоративной или ведомственной политикой безопасности. Именно задачу глубого и гибкого контроля приложений решает прикладной межсетевой экран Cisco ASA CX и разработанная для управления им система Cisco Prime Security Manager (PRSM).

Политика контроля доступа Cisco ASA CX

С помощью PRSM мы можем не только разрешить или запретить работу того или иного приложения, но и построить политику разграничения с учетом конкретных действий и операций внутри приложения. Например, можно разрешить переписку с помощью какой-либо системы мгновенных сообщений, но запретить передачу через нее файлов. Можно разрешить заход на сайт Facebook, но запретить использование каких-либо микроприложений, разработанных, например, для Facebook, и т.п.

Однако, как только мы начинаем говорить о прикладном межсетевом экране, сразу возникает вопрос о поддерживаемых им приложениях. На сегодняшний день Cisco ASA CX поддерживает свыше 1100 таких приложений — Facebook, LinkedIn, Skype, BitTorrent, eDonkey, iCloud, Dropbox, pcAnywhere, Yandex, Winamp Remote, Google Drive, Scribd, MS Windows Azure, Salesforce CRM, Oracle e-Business Suiteа, MS Lync, Tor и т.д., а также свыше 75000 микроприложений. Перечислять их все не хватит целого экрана, а выпускать документ с полным списком — задача также неблагодарная — этот список обновляется ежемесячно. Поэтому сегодня мы запустили новый публичный портал, который содержит список всех приложений, поддерживаемых Cisco ASA CX. Этот портал доступен по адресу: http://asacx-cisco.com/.

Функциональные возможности портала:

  • Отображение актуального списка поддерживаемых приложений (обновляется один раз в месяц)
  • Отображение описаний приложений и их возможностей
  • Поиск приложений и поддержка фильтров по категориям
  • Отображение списка приложений, поддержка которых была добавлена за последние 1, 2 или 3 месяца
  • Получение более подробных сведений о новых приложениях с помощью раздела “Featured search keywords” (наиболее популярные ключевые слова).

Также мы подготовили и ряд новых русскоязычных материалов по Cisco ASA CX — white paper «Cisco ASA CX обеспечивает безопасность с учетом контекса» и независимое исследование по данному решению от компании Lippis Consulting. Также по-прежнему доступны обзорная презентация и листовка по Cisco ASA CX, которые мы готовили в прошлом году.

Глобальные тенденции внедрения услуг в бизнес-секторе

В 2011–2016 гг. настольные средства проведения видеоконференций будут развиваться активнее прочих категорий услуг (фиксированных и мобильных) в бизнес-секторе.

Глобальные тенденции развития устройств и подключений в бизнес-секторе

В 2011–2016 гг. планшетные компьютеры будут развиваться быстрее прочих категорий устройств и подключений (фиксированных и мобильных) в бизнес-секторе.

Ваше «облако»

Примерно так выглядит «облако» современного человека.

А какое оно у вас? Посчитать можно здесь: http://cisco.com/go/worklifecloud

Глобальные тенденции развития устройств и подключений в жилом секторе

В 2011–2016 гг. среднегодовой темп роста числа фиксированных устройств и подключений в жилых домах в расчёте на одно домашнее хозяйство составит 15,1%.

Глобальные тенденции внедрения услуг в жилом секторе

В 2011–2016 гг. цифровое телевидение будет самой активно развивающейся услугой среди прочих категорий услуг в жилом секторе (ТВ и Интернет).

Hotspot 2.0 или как сделать вход в Wi-Fi сеть простым

Всем известно, что количество мобильных устройств у пользователей быстро растет, объем трафика мобильных данных постоянно растет и операторы все больше пытаются его выводить из мобильных сетей в сети альтернативных технологий и, прежде всего, в Wi-Fi (Оффлоад). Поэтому рынок решений Wi-Fi операторского класса интенсивно развивается. Инфонетикс прогнозирует рост этого сегмента до 2.1 млрд долл в 2016 году.

Но так ли просто пользователям воспользоваться услугой «бесшовного» перехода в сеть Wi-Fi? Многим ли понятны такие термины, как SSID, EAP-SIM-клиент и т.п..? На самом деле это не слишком сложно для продвинутой части пользователей, но что делать остальным ?
Для облегчения жизни пользователей и создания условий использования хотспотов Wi-Fi так же просто, как услуг любой мобильной сети и была разработана технология Hotspot2.0.

Хотспоты Wi-Fi следующего поколения.

В 2010 году была сформирована специальная группа в Wireless Broadband Alliance (WBA), которая называется Next Generation Hotspot Task Group. Отцами основателями выступила компания Cisco и ряд других лидеров индустрии. Цель создания группы была в работе над стандартами, называемыми Hotspot 2.0, которые должны будут сформировать возможности для аутентификации и роуминга пользователей Wi-Fi, схожие по простоте с нынешними сетями 3G. Результатом работы данной группы стали:
— программа сертификации Wi-Fi Certified Passpoint, работа которой уже запущена на базе сертификационных лабораторий Wi-Fi Альянса,
— рекомендации операторам связи для формирования соглашений по межсетевому роумингу Wi-Fi.

В технологии хотспотов Wi-Fi следующего поколения можно выделить три основные составляющие:
1. IEEE 802.11u,
2. WPA2 (Wi-Fi Protected Access 2),
3. Аутентификация на базе EAP (часто это EAP-SIM / аутентифкация с использованием SIM-карты).

Возможные сценарии доступа различных пользователей в сеть нового поколения.

Операторы часто используют два взаимно дополняющих подхода для обеспечения доступа в сеть:
1. Аутентицикация 802.1х (EAP),
2. Аутентификация через веб-портал.

Аутентификация через портал используется для привлечения пользователей, которые не имеют контракта или иных отношений с оператором, предоставляющим данную услугу. В данном случае это становится, фактически, публичным сервисом Wi-Fi и здесь возможны такие способы оплаты и использования, как использование кредитных карт, оплата через мобильный телефон с получением разовых паролей через смс и т.п.. Все это дает возможности формирования дополнительных источников генерации средств из Wi-Fi сетей.

Аутентификация с помощью EAP обычно имеет целью обеспечения прозрачного доступа для абонентов мобильного оператора, использующих его SIM-карты. Фактически, при нормально работающем EAP-SIM клиенте на мобильном устройстве с SIM-картой и Wi-Fi пользоателю остается только выбрать верный SSID сети Wi-Fi и войти в сеть. В дальнейшем и этот шаг будет не нужен, т.к. терминал, обычно, запоминает профили тех сетей Wi-Fi, где ему уже приходилось бывать.

Введение Hotspot2.0 и появление на рынке устройств, отвечающих стандарту IEEE 802.11u и прошедших сертификацию Wi-Fi Certified Paaspoint, позволит еще более упростить жизнь пользователя. Клиент 802.11u позволит избежать ручных манипуляций со стороны пользователя и это будет касаться посещения даже «не домашних» сетей. После того, как участие Wi-Fi операторов в роуминговом консорциуме, создающемся с учетом рекомендаций Next Generation Hotspot, станет нормой (кстати это реальный большой проект: WLAN Roaming Inter-Exchange [WRIX]), то это даст пользователям с клиентами 802.11u возможность подключения к правильным SSID полностью автоматически в любой точке мира.

Мировые тенденции развития мобильных устройств и подключений

ИНТЕРАКТИВНЫЙ ОПРОС: Готовы ли вы к сотрудникам нового поколения?

Пройти опрос:
http://www.cisco.com/web/RU/social_media/blog/nextgen/index.html

Новый подход к оценке места работы

Заработная плата уже не является определяющим фактором!
Компания Cisco опросила студентов ВУЗов и молодых специалистов из разных стран, чтобы понять, какое значения для них имеют социальные сети, устройства мобильной связи и Интернет, и как эти факторы влияют на принимаемые ими решения при выборе места работы.

Реальная стоимость сетевых решений

Остерегайтесь сравнений на основе капитальных затрат. Судить о реальных затратах на сетевые решения можно только на основе общей стоимости владения (ТСО). 69% затрат наобслуживание сетевых решений возникают уже после покупки.

Cisco Security Operations изнутри

Всю работу делают автоматические инструменты, но только люди способны все изменить.

В своей продолжающейся битве против новых угроз IT безопасности, Cisco собрала армию из 500 инженеров, техников и исследователей, которые расположены в 11 центрах по всему миру, задача которых состоит в том, чтобы анализировать угрозы и делать все возможное для того, чтобы избежать их так быстро, как это только возможно.

Ядро распределенной системы Cisco – это центры обработки угроз (Threat Operations Centers, TOC), один из которых расположен в непримечательном офисе неподалеку от Остина, штат Техас, который недавно посетил NetworkWorld

Количество данных, относящихся к безопасности, которые поступают в TOC просто потрясают. «Я никогда не просыпался утром и думал, что у меня недостаточно данных. Я часто просыпаюсь по утрам и думаю, что мы будем делать со всеми этими данными?» — говорит Раш Карскадден, менеджер продуктов в Cisco Security Technology Business Unit.

Задача, которая делит перед Рашем и его коллегами – обработка данных в соответствии с контекстом. Помещение данных в контекст сейчас является критичной задачей для обнаружения и остановки угроз, которые становятся все более сложными и многонаправленными. Смешанные угрозы не новы, но они распространенность и серьезность их постоянно растут.

«Сейчас мы наблюдаем смешанные угрозы, которые действуют так же разумно, как и очень хороший человек-тестировщик» — говорит Карскадден. Имеется в виду, что они терпеливые, внимательные и настойчивые. «Настоящий сюрприз состоит в том, до какой степени и с какой сложностью они автоматизированы» Продолжить чтение этой записи

Мир, подключенный к Интернету

Cisco опросила студентов колледжей и молодых специалистов в 14 странах, включая Россию, чтобы выяснить, что для них значит Интернет. Результаты опроса отражают новые приоритеты в нашей жизни.

ИТ-директор — бизнес-лидер будущего

Стремительное развитие инноваций и взрывной рост объемов данных стали основными факторами, на которые ориентируются бизнес-лидеры новой формации.

Жизнь после Anonymous – интервью с бывшим хакером (Jason Lackey)

Хакерская группа Anonymous в последнее время часто попадала в новости. Это происходило по разным причинам – WikiLeaks, брешь HBGary (http://arstechnica.com/tech-policy/news/2011/02/anonymous-speaks-the-inside-story-of-the-hbgary-hack.ars) (прим. – американская фирма, специалиризующаяся в IT безопасности, выполняющая правительственные контракты) и многое другое. Из последних новостей – это появление беглецов из этой организации, уход одного из членов – SparkyBlaze (http://news.cnet.com/8301-1023_3-20094821-93/anonymous-hacker-quits-burns-bridges-on-way-out/) по многим причинам, включая «пресыщение тем, что Anonymous просто выкладывают данные людей в онлайн и провозглашают себя великими героями».

Я веду твиттер ленту @CiscoSecurity (http://twitter.com/#!/CiscoSecurity), я провожу много времени в Твиттере и я видел, что @SparkyBlaze был активным пользователем. Я связался с ним в попытке узнать его часть истории. Кроме того, я хотел вкратце узнать о том, что происходит на другой стороне – возможно все в сфере безопасности хотят лучше понять Anonymous и подпольное хакерское сообщество. Я интересовался как человеческими мотивами, так и действительно хотел узнать о его мнении о корпоративной безопасности и конкретных рекомендациях для организаций, как предотвратить бреши и вторжения.

Некоторые могут спросить, мы что, собираемся дать трибуну нелегальному хакеру?  Я бы сказал нет. Сам Sparky сказал ясно: «Держитесь подальше от нелегального хакинга, от «черных шляп». Легальный хакинг или «белые шляпы» более приятен, и вам за него платят, и он легален. Обвинение в хакинге и утечке информации повлияет на всю вашу оставшуюся жизнь»

Кроме ника @SparlyBlaze и адреса email мы мало о нем знаем, и мы не разговаривали на другие темы, кроме тех, которые описаны внизу. Вот интервью:

JL: Расскажи немного о своем прошлом

SB:  Я из Манчестера. Я закончил школу практически не обращая внимание…учителя всегда говорили, что я умный, но я не хочу ничего делать. Они были правы, меня ничего не интересовало. Я начинал работать  если мне что-то чрезвычайно нравилось, как компьютеры. В детстве я жил скучно, пока я не обнаружил компьютеры. Я люблю такие вещи, как DefCon (http://www.defcon.org/), хакерские конференции, разговоры с другими хакерами. Я люблю управлять серверами (и делать их безопасными)

Я белый, в свои 20 я хочу переехать в Америку для изучения вычислительных систем и этического хакинга (Я думаю, что это самое лучшее, если они не узнают обо мне и Anonymous). Я планирую жить там так, как я всегда хотел. Еще я люблю оружие, но это в Британии почти нелегально и негде пострелять.

JL: Как ты попал в компьютерные технологии и в безопасность.

SB: Я попал в компьютеры так как я вырос среди них. Мне нравится физическая безопасность и я всего лишь применил свой интерес к компьютерам. Затем я начал изучать межсетевые экраны, эксплойты…вроде того.

JL: А как ты связался с Anonymous

SB: Я попал в Anonymous  так же, как большинство других людей. Я люблю хакинг и я верю с свободу слова. Я попал на страницу Anonymous, заинтересовался в них,  начал зависать на IRC с ними, все пошло оттуда.

JL: Что ты думашь о хактивизме?

SB: Хактивизм – это интересная тема. Я люблю хакинг, я верю в свободу слова, я против цензуры, так что сложить все вместе было для меня легко. Я чувствую, что все нормально, когда ты атакуешь правительство. Получение файлов и передача их в WikiLeaks, вещи такого рода, они всегда плохо воспринимаются правительством. Но выкладывание имен пользователей и паролей нет, и выкладывание информции о людях, за которых ты борешься, это неправильно. (прим. перевод. – очень спорная жизненная позиция)

JL: Как ты думаешь, как остальной мир видит хакеров?

SB: Люди, знающие компьютеры смотрят на хакеров неодобрительно. Хакер – это большой, страшный волк и компьютерщикам надо «избавиться от этого». Большинство людей не знают, что такое хакинг, они используют везде одни и те же пароли и не используют ни антивирусов, ни межсетевых экранов. Для них «замечательная» инсталляция Windows с IE7. Это проблема с людьми сегодня – они не понимают всю важность компьютеров и компьютерной безопасности.

JL: Что ты думашь о современном состоянии компьютерной безопасности?

SB: В области компьютерной безопасности творится бардак, как я только что сказал. Компании не хотят тратить время и деньги на компьютерную безопасность, поскольку они думают, что это не имеет большого значения. Они не зашифровывают данные, у них нет правильного программного, аппаратного обеспечения и людей для того, чтобы обеспечить безопасность . Они не обучают свой персонал не открывать присоединенные файлы в письмах от людей, которых они не знают. Проблема не в программах и устройствах, которые они используют…проблема в людях, которые их используют. Вам надо научить эти компании, что им нужна хорошая политика информационной безопасности.

JL: В чем самая большая проблема, которую ты сегодня видишь?

SB: В моем понимании это социальная инженерия. У нас есть программы или устройства для защиты от переполнений буфера, вредоносного кода, DDoS, и выполнения кода. Но что хорошего во всем этом, если вы можете заставить кого-либо дать вам пароль для выключения межсетевого экрана просто сказав, что вы Грэг из службы информационной безопасности и что вы проводите тестирование. Если все в конце концов приходит к обману, все это делают и некоторые люди становятся в этом очень хороши!

JL: Какие советы ты можешь дать предприятиям и организациям, когда они сталкиваются с проблемами безопасности.

SB: Вот мои советы:

  • Используйте несколько линий защиты, глубоко эшелонированную оборону
  • Разработайте строгую политику информационной безопасности
  • Регулярно проводите аудиты своей системы безопасности внешней компанией
  • Используйте систему предотвращения или обнаружения вторжений
  • Проведите обучение персонала по информационной безопасности
  • Проведите обучение персонала по cоциальной инженерии
  • Всегда обновляйте софт и устройства
  • Следите за сайтами безопасности, смотрите новости и узнавайте о новых атаках
  • Позвольте вашим администраторам ездить на Defcon J
  • Наймите хороших администраторов, которые понимают, что такое безопасность
  • Зашифровывайте свои данные
  • Используйте спам-фильтры
  • Следите за информацией, которая попадает в публичный доступ (прим. перевод. особенно актуально в свете последних утечек информации в России)
  • Используйте хорошие методы физической безопасности. Что толку от всех систем информационной безопасности, если кто-то может просто зайти и вынести защищенную систему

(прим. перевод. Стандартный набор разумных советов. Но, пока гром не грянет…)

JL: Какой совет ты дашь молодым людям, которые хотят работать в информационной безопасности?

SB: «Держитесь подальше от нелегального хакинга, от «черных шляп». Легальный хакинг или «белые шляпы» более приятен, и вам за него платят, и он легален. Обвинение в хакинге и утечке информации повлияет на всю вашу оставшуюся жизнь»

Вот вам пример: Вы нанимаетесь на работу, и у вас есть конкурент. У вас примерно одна и та же квалификация и вы одинаково хороши. Они проверяют вас обоих – он чист, а ты был замешан в хакинге сервера и выкладывании даныых онлайн. Кому они дадут работу? Я уверен, не тебе!

Перевод осуществил Павел Родионов (Cisco IronPort)

Сетевая безопасность в повседневной жизни предприятия

Очень часто, говоря о сетевой безопасности, мы вспоминаем в первую очередь межсетевые экраны (например, Cisco ASA или Cisco Virtual Security Gateway), системы предотвращения вторжений (Cisco IPS), системы защиты электронной почты (например, Cisco IronPort Email Security Appliance) или Web-трафика (например, Cisco IronPort Web Security Appliance). Но вся ли это безопасность? Конечно же нет.

Существует такое понятие как «операционная безопасность», которое ярко иллюстрируется такой ситуацией — будет ли повышать безопасность лучший в индустрии межсетевой экран с неправильными настройками, случайно сделанными администратором? Конечно же нет. Поэтому так важно обеспечивать и операционную безопасность, которая складывается из трех ключевых независимых друг от друга элементов:

  • архитектура
  • внедрение
  • операции (эксплуатации).

Хорошим примером, иллюстрирующим независимость этих элементов, является обычный дверной замок (аналог межсетевого экрана). Он может быть сделан из хлебного мякиша (проблемы архитектуры). Он может быть произведен с ошибками и не иметь возможности быть закрепленным на двери (проблемы внедрения). Ключ от замка может быть оставлен под ковриком (проблемы операции).

Основной вывод заключается в том, что ошибки конфигурации не означают проблем с архитектурой или реализацией и внедрением. Ошибки конфигурации могут возникать в операционной деятельность повсеместно и в любой момент и в любой технологии. Следовательно, необходимо быть всегда готовым к устранению таких проблем.

С этой целью компания Cisco выпустила руководство «Understanding Operational Security«, которое описывает именно операционную безопасность применительно к решениям Cisco. Помимо общих рекомендаций, в руководстве перечислены и продукты Cisco, решающие большинство из описанных в руководстве операционных угроз:

  • Cisco Network Admission Control (NAC) позволяет унифицировать используемое ПО и обеспечить актуальность используемых обновлений.
  • Cisco Access Control Server (ACS) позволяет аутентифицировать и авторизовать только «правильных» пользователей и динамически организовывать им доступ только к запрашиваемым и разрешенным ресурсам.
  • Cisco Identity Service Engine (ISE) — новое решение, которое объединяет решения Cisco NAC и Cisco ACS и постепенно заменит их.
  • Cisco Network Compliance Manager (NCM) позволяет автоматизировать процедуру аудита сетевой инфраструктуры и инфраструктуры безопасности на соответствие требованиям корпоративных политик и международных требований.
  • Cisco Security Manager (CSM) позволяет автоматизировать рутинные задачи, стоящие перед администраторами сети и безопасности — обновление десятков и сотен устройств, контроль непротиворечивости правил, наследование политик, контроль удаленных устройств, документооборот заявок на изменение настроек оборудование, контроль работоспособности устройств и т.д.
  • Cisco IOS и Cisco NX-OS включает множество различных функций, снижающих риски неправильной настройки оборудование Cisco.

Операционные ошибки могут нарушить безопасность предприятия и снизить уровень его защищенности. Они являются серьезной проблемой как для корпоративных заказчиков и операторов связи, так и для малых предприятий и даже домашних пользователей. К сожалению, всех ошибок избежать нельзя, но можно существенно снизить риск их появления. Способность своевременного обнаружения таких ошибок и отслеживания их источника также снижает вероятность проявления таких ошибок — случайно или намеренно. И конечно же, операционная безопасность является обязательным требованием многих нормативных актов и стандартов ИБ.

Взаимодействия в Интернете

Как ведут себя в Интернете группы различных возрастов?

Интернет вещей

В 2008 году число устройств, подключенных к Интернету, превысило число жителей России.

К 2020 году таких устройств будет 50 миллиардов.

Будущее торговых центров

Кеннет Лэнг (Kenneth Leung)

Недавно мой коллега Джон Стайн (Jon Stine) написал в своем блоге В окружении чисел: большие возможности для магазинов (In between the numbers – Big Changes for Stores) о количестве доступных на сегодняшний день магазинов розничной торговли и о том, как они должны измениться в соответствии с потребностями посетителей.

Торговые центры также нуждаются в изменениях, чтобы стать более привлекательными для покупателей и владельцев магазинов розничной торговли. Во время последнего посещения местного торгового центра в Сан-Бруно (Калифорния) я обратил внимание на то, как он изменился за последние несколько лет, следуя новым тенденциям в торговле.

Далее представлены некоторые из этих изменений.

  • Размещение магазинов и пунктов по оказанию услуг в основных проходах торгового центра.
  • Использование торговых автоматов для продажи более дорогих товаров, таких как косметика и электроника.
  • Использование цифровых видеороликов на витрине и внутри магазина для привлечения посетителей.
  • Специальные предложения по товарам, которые можно купить только в магазинах, расположенных на территории данного торгового центра (недоступны в интернет-магазинах).
  • Большее количество услуг, предоставляемых в торговом центре: начиная с присмотра за детьми и заканчивая образованием и развлечениями.

Во время визита мне удалось сделать несколько фотографий, иллюстрирующих эти изменения.

Торговые центры — это не только магазины розничной торговли, но и обязательно услуги. Торговые центры предлагают множество услуг для всей семьи: от салонов красоты до детских площадок.

Обычно в торговых автоматах продаются напитки и сладости. Тем не менее, благодаря новым технологиям с помощью торговых автоматов можно продавать больше видов относительно дорогих товаров, начиная с косметики и заканчивая бытовой электроникой, на площадях, слишком маленьких для размещения традиционных магазинов.

Небольшой магазинчик Best Buy

Традиционно на углах в торговых центрах располагаются якорные пункты продажи (например, кинотеатры, гипермаркеты), соединенные коридорами с небольшими магазинами. Обычно рестораны и другие пункты питания находятся в специальных отделах. Здесь же мы наблюдаем размещение в коридорах продуктовых магазинов вместе с традиционными небольшими торговыми отделениями «гипермаркетов».

Какие еще изменения вы заметили в торговых центрах? Почему вы отправляетесь в торговый центр вместо того, чтобы сделать покупку через Интернет?

Оригинальная статья на английском языке:  http://blogs.cisco.com/retail/the-future-of-shopping-malls/