Licencia IPS para Cisco L-ASA5525

Licencia Cisco Intrusion Prevention System (IPS) for Cisco Systems ASA5525 with FirePOWER Services.

• L-ASA5525-TA-1Y Intrusion Prevention System (IPS) for Cisco Systems ASA5525 with FirePOWER Services. 1 Year Subscription

• L-ASA5525-TA-3Y Intrusion Prevention System (IPS) for Cisco Systems ASA5525 with FirePOWER Services. 3 Year Subscription

• L-ASA5525-TA-5Y Intrusion Prevention System (IPS) for Cisco Systems ASA5525 with FirePOWER Services. 5 Year Subscription 

Información del Producto

El Sistema de Prevención de Intrusiones (IPS) de Cisco IOS® ayuda a proteger su red de ataques al inspeccionar el tráfico que pasa en ambas direcciones a través de cualquier combinación de interfaces LAN y WAN del enrutador. En el entorno empresarial actual, los intrusos y atacantes de red pueden provenir de fuera o dentro de la red. Pueden lanzar ataques distribuidos de denegación de servicio, pueden atacar las conexiones a Internet y explotar las vulnerabilidades de la red y del host. Al mismo tiempo, los gusanos de Internet y los virus pueden diseminarse por todo el mundo en cuestión de minutos. A menudo no hay tiempo para esperar la intervención humana: la red debe poseer la inteligencia para reconocer y mitigar estos ataques, amenazas, exploits, gusanos y virus.

El Sistema de Prevención de Intrusiones (IPS) de Cisco IOS es una solución en línea y profunda de inspección de paquetes que ayuda al software Cisco IOS a mitigar eficazmente una amplia gama de ataques de red. Aunque es una práctica común defenderse de los ataques inspeccionando el tráfico en los centros de datos y las oficinas centrales corporativas, también es fundamental distribuir la defensa a nivel de red para detener el tráfico malicioso cerca de su punto de entrada en sucursales o oficinas de teletrabajo. La implementación del control de amenazas basado en el enrutador en la sucursal, la pequeña empresa o la oficina en el hogar les permite a esas ubicaciones eliminar el tráfico ofensivo según sea necesario, deteniendo los ataques en su punto de entrada.

El Sistema de Prevención de Intrusiones (IPS) de Cisco IOS es una función de inspección en línea profunda que minimiza eficazmente una amplia gama de ataques de red. Un componente del marco de control integrado de amenazas de Cisco IOS y complementado por la función de compatibilidad flexible de paquetes. Cisco IOS, Cisco IOS IPS proporciona a su red la inteligencia para identificar, clasificar y detener o bloquear con precisión el tráfico malicioso en tiempo real.

Principales beneficios

• Remediación más rápida: Identifica la fuente de los ataques de red más rápidamente y toma las acciones correctivas más cercanas al ataque 

• Flexibilidad de implementación: Ofrece inspección en línea del tráfico mediante cualquier combinación de las interfaces LAN y WAN del enrutador con conjuntos de firmas de gusanos y ataques personalizables en campo y acciones de eventos que se ajustan automáticamente en función del nivel de riesgo. 

• Protección integral contra amenazas: funciona con el cortafuegos IOS de Cisco, la vigilancia del plano de control y otras características de seguridad del software Cisco IOS 

• Proporciona protección distribuida en toda la red contra muchos ataques, exploits, gusanos y virus que explotan vulnerabilidades en sistemas operativos y aplicaciones 

• Elimina la necesidad de un dispositivo IPS independiente en oficinas de sucursales y teletrabajadores, así como en redes de pequeñas y medianas empresas 

• Mejora drásticamente la facilidad de administración de las políticas IPS a través de un exclusivo procesador de firma-evento-acción basado en calificación de riesgo 

• Ofrece un conjunto de firmas de gusanos y ataques personalizables en campo y acciones de eventos 

• Ofrece inspección en línea del tráfico que pasa a través de cualquier combinación de interfaces LAN y WAN del enrutador en ambas direcciones 

• Funciona con el cortafuegos IOS de Cisco, la vigilancia del plano de control y otras características de seguridad del software Cisco IOS para proteger el enrutador y las redes detrás del enrutador 

• Admite más de 7000 firmas de la misma base de datos de firmas disponible para dispositivos Cisco ® IPS

Capacidades de Cisco IOS IPS en las últimas versiones de IOS

• Capacidad para descargar paquetes de firmas IPS IOS al enrutador directamente desde cisco.com disponible en 15.1 T o versiones posteriores de IOS T-train. 

• Más fácil de usar e implementar, eliminando la necesidad (paso) de descargar manualmente actualizaciones de firma a un servidor local primero y luego al enrutador. 

• Los enrutadores que tienen una conexión a Internet pueden descargar automáticamente actualizaciones de firmas de forma periódica sin intervención humana. 

• Actualizaciones frecuentes de firmas de categorías IPS IOS (incluidas algunas firmas ligeras) por parte de Cisco Signature Team, comenzando con IOS 15.0 (1) M. 

• Cobertura de ataque más completa y efectiva por defecto. Inclusión mucho más rápida de las nuevas firmas de amenazas más relevantes. 

• Conocimiento de VRF (IPS virtual), disponible en 12.4 (20) T o versiones posteriores de IOS T-train. Permite a las empresas aplicar IPS solo a ciertos segmentos de red virtual (VRF) y / o con diferentes reglas de inspección en cada VRF, y para distinguir entre las alarmas IPS y los eventos generados dentro de cada segmento virtual utilizando la ID de VRF.

Capacidades de Cisco IOS IPS en 12.4 (15) T5 o versiones posteriores de IOS T-Train

• Soporte para firmas de vulnerabilidades en protocolos SMB y MSRPC de Microsoft, así como firmas proporcionadas por proveedores bajo NDA. Protección eficiente contra muchas nuevas vulnerabilidades de Microsoft y otras, algunas incluso antes de su lanzamiento al público. 

• Valor de calificación de riesgo en alarmas IPS basado en la severidad de la firma, la fidelidad y la calificación del valor objetivo. Permite un monitoreo de eventos IPS más preciso y eficiente al filtrar o separar eventos con clasificación de riesgo bajo / alto. 

• Soporte para el Procesador de Acción de Evento de Firma (SEAP). Ajuste rápido y automatizado de acciones de eventos de firmas según la clasificación de riesgo calculada del evento. 

• Actualizaciones automatizadas de firmas de un servidor local TFTP o HTTP (S). Protección contra las últimas amenazas con poca intervención del usuario. Disponible en 12.4 (15) T5 o versiones posteriores de IOS T-Train 

• Mecanismo de aprovisionamiento de firmas IDCONF (XML). Aprovisionamiento altamente seguro a través de Cisco Security Manager 3.1 o posterior y Cisco Router y Security Device Manager (SDM) 2.4 a través de HTTPS. Disponible en 12.4 (15) T5 o versiones posteriores de IOS T-Train 

• Aprovisionamiento de firmas individual y por categorías a través de Cisco IOS CLI. Personalización precisa y ajuste de firmas a través de scripts personalizados 

• Mismo formato de firma y base de datos que los últimos dispositivos y módulos Cisco IPS. Implementación común y definiciones de firmas de ataque entre dispositivos o módulos Cisco IPS e IPS Cisco IOS.

Soporte de plataforma

Cisco IOS IPS está disponible en ciertos conjuntos de características de software en los Routers 87x, Enrutadores de servicios integrados, Enrutador seguro SR 520 y los enrutadores 720x y 7301. Comenzando con IOS 15.0 (1) M, el IOS IPS también es compatible con los enrutadores 88x y 89x y el ISR de próxima generación con una licencia opcional que admite el uso de ese y otras características cuando está instalado, como se muestra en la Tabla

Categorías de firmas básicas y avanzadas para IOS IPS

En las versiones de Cisco IOS Software Release 12.4 (11) T y posteriores de T-train, el aprovisionamiento de firmas IPS IOS se logra mediante la selección de una de las dos categorías de firmas: Básica o Avanzada. Los usuarios también pueden agregar o eliminar firmas individuales y pueden ajustar los parámetros de firma utilizando Cisco Configuration Professional o Cisco Security Manager o la interfaz de línea de comandos (CLI), lo que permite que las secuencias de comandos sencillas administren la configuración de firmas para una gran cantidad de enrutadores.

Las categorías de firmas básicas y avanzadas de IOS son conjuntos de firmas preseleccionados destinados a servir como un buen conjunto de inicio para la mayoría de los usuarios de IOS IPS. Contienen las últimas firmas de bloqueo de gusano, virus, mensajería instantánea o de punto a punto de alta fidelidad (bajos falsos positivos) para detectar amenazas de seguridad, lo que permite una implementación y gestión de firmas más sencillas. Cisco IOS IPS también permite la selección y ajuste de firmas fuera de esas dos categorías.

Las categorías de firma son una parte integral de los paquetes de actualización de firmas de Cisco publicados en…

http://software.cisco.com/download/release.html?mdfid=281442967&flowid=4836&softwareid=280775022&release=S807&relind=AVAILABLE&rellifecycle=&reltype=latest

Los paquetes de actualización de firmas incorporan todas las actualizaciones de firmas Cisco IPS anteriores y se pueden descargar al enrutador desde una PC o servidor local utilizando la CLI del enrutador, Cisco Configuration Professional o el Cisco Security Manager. No se recomienda el uso de Cisco IOS IPS en IOS Mainline y T-train releases anteriores a 12.4 (11) T. No se proporcionan actualizaciones de firmas en el formato de firma utilizado por la función IPS de IOS en esas versiones. Además, la compatibilidad con la función IPS IOS en esas versiones anteriores es muy limitada.

Servicios de Cisco para IPS

El derecho a descargar y usar paquetes de actualización de firmas para la característica de Cisco IOS IPS requiere la compra del contrato correspondiente de Cisco Services for IPS, que incluye la compatibilidad con Cisco Smart Net Total Care™ en una única oferta integral. Con el respaldo de la organización Cisco Global Security Intelligence, Cisco Services for IPS brinda tecnología de detección precisa, exhaustiva y continuamente actualizada para identificar y bloquear las amenazas emergentes y de rápido movimiento antes de que dañen sus activos de red.

Comenzando con IOS 15.0 (1) M1, se requiere una licencia de Suscripción de firma IPS IOS válida para ser instalada en enrutadores 88x, 89x, 19xx, 29xx y 39xx para cargar paquetes de firma. Para obtener e instalar esta licencia, debe comprar el contrato de servicios de Cisco para IPS relevante para el modelo de enrutador, así como el tipo y nivel de los productos deseados de Cisco Smart Net Total Care.

Para obtener más información sobre los Servicios de Cisco para IPS, visite:

http://www.cisco.com/web/services/portfolio/product-technical-support/intrusion-prevention-ips/index.html

Microengines de la firma

Cisco IOS IPS utiliza microengines de firma (SME) para cargar (en la memoria del enrutador) y buscar un conjunto de firmas de ataque. Cada motor está personalizado para inspeccionar un protocolo de capa 4 o 7 y sus campos y argumentos. Dentro de cada paquete que transporta datos para ese protocolo, busca un conjunto de parámetros legales que tengan rangos permitidos o conjuntos de valores. También busca actividad maliciosa específica de ese protocolo utilizando una técnica de escaneo de firmas paralelas para escanear múltiples patrones dentro de una PYME en cualquier momento dado.

Mitigación de ataques

Cisco IOS IPS puede proteger su red de más de 3700 ataques, exploits, gusanos y virus diferentes. Los ataques que Cisco IOS IPS puede detectar y detener incluyen muchos SO de Microsoft Windows y vulnerabilidades de aplicaciones, virus y gusanos.

Acciones para firmas detectadas

Cada firma individual o categoría de firmas seleccionadas para analizar el tráfico en busca de ataques se puede configurar para tomar cualquier combinación de las siguientes cinco acciones cuando se active:

1. Envíe una alarma por mensaje de syslog o inicie sesión en el formato de intercambio de evento seguro de dispositivo (SDEE)
2. Suelta un paquete malicioso
3. Enviar paquetes de restablecimiento de TCP a ambos extremos de la conexión para finalizar la sesión
4. Denegar temporalmente todos los paquetes del atacante (dirección de origen)
5. Negar otros paquetes pertenecientes a la misma sesión TCP (conexión) del atacante (dirección de origen)

Configuración y aprovisionamiento de firmas

El enrutador CLI o Cisco Configuration Professional versión 1.1 o posterior se puede usar para la configuración de IOS IPS, así como para el aprovisionamiento preciso de las firmas IPS en un solo enrutador que ejecute Cisco IOS Release 12.4 (11) T2 o posterior. Además, la versión 3.2 o posterior de Cisco Security Manager se puede usar para administrar políticas IPS y conjuntos de firmas en múltiples enrutadores que ejecutan la versión 12.4 (11) T2 o posterior del software Cisco IOS. No se recomienda el uso de IOS IPS en versiones de IOS anteriores a 12.4 (11) T o en versiones de IOS Mainline.

Monitoreo de eventos

Al detectar una firma de ataque, Cisco IOS IPS puede enviar un mensaje de syslog o registrar una alarma en el formato de intercambio de evento de dispositivo seguro (SDEE). Se puede usar Cisco Configuration Professional para monitorear eventos generados por un solo enrutador y Cisco IPS Manager Express (IME) se puede usar para monitorear eventos de IPS generados por hasta 10 enrutadores.