Co nowego w Cisco Secure Firewall Management Center (FMC)?
Firewall Management Center w wersji 7.6.0 dostępne jest od 16 września tego roku. W nowej odsłonie Cisco zaprezentowało np. nową chmurę, sporo zmian w kategorii Threat and Malware, SD-WAN oraz to, co „najważniejsze” – nowe GUI. Większość ważniejszych zmian postaram się krótko omówić w poniższym artykule.
Żegnamy SecureX, witamy Cisco Security Cloud
Cisco SecureX otrzymało status EOL (End-of-life – brak wsparcia ze strony producenta). W jego miejsce, w wersji 7.6.0 umożliwiona została integracja FMC z Cisco Security Cloud. Po udanej integracji z chmurą odblokowuje się kilka nowych funkcji.
Pierwsza z nich to Ai Assistant – według Cisco, twój nowy, najlepszy kompan który skonfiguruje za Ciebie Security Policy, wspomoże w troubleshootingu a nawet zastąpi dokumentację. Jest tylko jeden haczyk – na ten moment Ai Assistent dostępny jest jedynie na terenie Stanów Zjednoczonych. Integracja z chmurą odblokowuje również możliwość korzystania z Policy Analyzer and Optimizer. Funkcja ta pozwala na automatyczną analizę skonfigurowanych Security Policy pod kątem zduplikowanych, nieaktywnych bądź nadpisujących się reguł.
Snort Machine Learning Exploit Detection
W urządzeniach Cisco Firepower, sprzed wersji 7.6, reguły IPS napisane są w oparciu o znane wzorce ataku. Reguły tego typu, skuteczne w wykrywaniu i zapobieganiu ataków przeciwko znanym podatnościom, nie są w stanie wykryć exploitów napisanych dla nowych bądź nieznanych podatności. SnortML to framework stworzony przez Talos zaimplementowany jako reguła IPS. Dzięki zastosowaniu uczenia maszynowego ataki typu zero-day mogą zostać wykryte i zablokowane w czasie rzeczywistym. Reguła SnortML w FMC wersji 7.6 włączona jest domyślnie w Intrusion Policy z profilem Base Policy ustawionym na Maximum Detection.
Zmiany w decryption policy
Cisco zdaje sobie sprawę, że konfiguracja polityki SSL Decryption oraz jej wyjątków jest często skomplikowana oraz czasochłonna. Aby ułatwić administrację polityką, w wersji 7.3 dodano Decryption Policy Wizard którego zadaniem było ułatwienie i przyspieszenie jej konfiguracji. Teraz, jako dodatek do powyższej aktualizacji wprowadzono krok 2 w Decryption Policy Wizard o nazwie Decryption Exclusions. W tym miejscu, w ułatwiony sposób, skonfigurować można wyjątki od polityki deszyfracji. Dodane zostały 3 podpunkty:
- Bypass decryption for sensitive URL categories – w wielu środowiskach, niektóre kategorie stron internetowych nie powinny być poddawane deszyfracji ze względu na wymogi regulacyjne lub prawne czy kwestie prywatności. W danym kroku, do wyjątków, przypisać można całe kategorie jak np. Health and Mediciny czy Finance.
- Bypass decryption for undecryptable distinguished names – opcja która włączona jest domyślnie. Pozwala ona na pozostawienie ruchu szyfrowanego do DN niemożliwych do odszyfrowania według listy „known undecryptable distinguished names” stworzonej przez Cisco.
- Bypass decryption for undecryptable applications – opcja która włączona jest domyślnie. Pozwala ona na pozostawienie ruchu szyfrowanego do aplikacji niemożliwych do odszyfrowania według listy „known undecryptable applications” stworzonej przez Cisco.
Jako dodatkową funckję w aktualizacji 7.6 Cisco dodało możliwość deszyfracji protokołu QUIC. QUIC to bazujący na UDP protokół komunikacyjny opracowany przez Google, który używany jest już przez około 8% stron internetowych w całym internecie. Trzeba mieć jednak na uwadze, że powyżej wymieniona funkcja jest na ten moment oznaczona jako eksperymentalna.
Zmiany w identity policy
Cisco wysłuchało prośby użytkowników i od wersji 7.6 można uzyskać informację o pasive identity w domenie używając nowo opublikowanego Passive Identity Direct from Active Directory. Użycie ISE bądź ISE-PIC nie jest już wymogiem. Passive Identity Agent wdrożony może zostać jako standalone bądź redundant pair. FMC obsługiwać może do 10 agentów oraz 300,000 jednoczesnych sesji użytkowników. Jeden agent monitorować może do 50 katalogów.
SD-WAN
Cisco Secure Firewall w wersji 7.6 wprowadza nowe, uproszczone narzędzie do konfiguracji topologii hub-and-spoke opartej na SD-WAN. Umożliwia to administratorom szybkie i proste zestawianie tuneli VPN między centralną siedzibą firmy a zdalnymi oddziałami. Dodane zostały również funkcje ułatwiające onboarding nowych urządzeń – Device Templates oraz Bulk Pre-provisioning. Device templates pozwala na utworzenie szablonów konfiguracji które następnie mogą zostać przypisane do wielu urządzeń. Bulk Pre-provisioning umożliwia onboarding do 25 urządzeń jednocześnie przy pomocy ich numerów seryjnych a następnie przypisanie odpowiedniego device template.
Wsparcie dla ESXi 8.0
Od wersji FMC 7.6 w pełni wspierana jest wersja 8.0 vMWare ESXi.
autorem artykułu jest
Dawid Naskręcki
NOC Engineer w Network Expert. Pierwsze kroki stawiał w dziale Help Desk u jednego z największych operatorów w Polsce. W Network Expert zajmuje się nadzorem nad właściwym działaniem i utrzymaniem sieci u klientów. Ukierunkowany na rozwijanie wiedzy w sektorach Enterprise i DevNet.