30 avril 2015

CiscoDepuis le rachat de Sourcefire, les choses bougent rapidement chez Cisco.

 

Après l’intégration du module AMP sur les plateformes ESA et WSA, Cisco intègre maintenant le module Firepower à l’ASA en lieu et place du module CX.

 

R.I.P. ASA-CX

ASA-CX, ex module NG, a permis à Cisco de se lancer dans le Firewall Next-Generation.

Premier pas dans la cour des NGFW, le module CX a rapidement été remplacé suite au rachat de Soucefire.

 

Bien plus abouti, FirePOWER s’intègre à l’ASA de la même manière : en module.

Software ou Hardware, ce module apporte les fonctionnalités Next-Gen à l’ASA.

Mais qu’est ce que FirePOWER ?

 

SF-SourcefireFirePOWER, le Firewall NG made in Sourcefire

A l’origine, les appliances FirePOWER sont des plateformes très hautes performances proposant les fonctionnalités de sécurité Sourcefire.

 

Plus qu’un simple firewall, la solution Sourcefire FirePOWER concentre plusieurs briques de sécurité pour proposer une protection globale :

  • Application Visibility and Control :
    • Contrôle granulaire sur plus de 1 800 applications, détectées et classées par niveau de risque et de pertinence
  • URL Filtering
    • Politiques de filtrage par utilisateur ou groupe d’utilisateurs pouvant bloquer ou avertir les utilisateurs lors d’accès à certaines URLs ou catégories
  • NGIPS
    • Basé sur le célèbre cochon Open Source « Snort », l’IPS Next-Generation fait partie des meilleurs du marché avec :snort-sourcefire
      • une prise en compte du contexte en temps réel ;
      • une visibilité totale sur les flux transitant ;
      • et une automatisation de la sécurité adaptative.
  • Advanced Malware Protection
    • Analyse de fichier pour détecter et bloquer les malwares
    • Requête sur la réputation de fichiers et analyse en sandbox dans le cloud

Conjuguez le tout à la console FireSIGHT Management Center et vous obtenez une solution de protection complète.

 

FireSIGHT, le chef d’orchestre

A la manière d’un chef d’orchestre, FireSIGHT Management Center permet d’accorder toutes les briques de sécurité FirePOWER et de tirer partie des informations qu’elles remontent.

 

De la découverte automatique des hôtes, des OS, des applications, des vulnérabilités, à l’identification des utilisateurs, la console de management FireSIGHT apporte bien plus qu’une simple reconnaissance de flux.

En effet, cette console est capable, par exemple, de vous recommander l’activation de protections IPS en fonction de la configuration et des alertes levées.

IPS-recommandation

 

La console est également capable de remonter les hôtes compromis en se basant sur les alertes IPS, les évènements liés aux malware et la communication avec les réseaux de « Command and Control » connus.

quick_identify2

Enfin, le reporting a une place importante sur FireSIGHT avec :

  • Des rapports complets ;
  • Des templates hautement personnalisables ;
  • Et des rapports schedulés.

rapport

ASA with FirePOWER, le meilleur des 2 solutions

L’association de Cisco ASA et du module FirePOWER vous permet de tirer partie du meilleur des deux solutions avec notamment :

 ASA et FIrePOWER

  • Firewall niveau 3 et 4, terminaison VPN IPSec et SSL, etc…,  de part l’ASA
  • Firewall Next-Gen avec l’URL filtering, l’Application visibility and control (AVC), le « Threat protection » (NGIPS) et l’« Advanced Malware Protection » (AMP) de part FirePOWER

 

Dans la pratique, le module Firepower est disponible en version hardware sur les firewalls ASA 5585-X, et en software pour le reste de la gamme 5500-X.

Vous pouvez disposer de ces fonctionnalités sur un de vos firewalls de la série ASA 5500-X en toute simplicité.

Une fois le module installé sur votre ASA-X, vous faites le choix du trafic à traiter par le module Next-Gen Firepower. Le trafic redirigé est ensuite analysé, et autorisé ou bloqué par le module.

ASA-SFR_redirected trafic

 

Pour le mangement de votre firewall, la gestion classique de l’ASA ne change pas. Vous créez vos règles de niveau 3 et 4, vos règles de NAT, vos VPNs, sur la console ASDM.

En revanche, les politiques AVC, IPS et autres sont gérées via la console de mangement FireSIGHT.

 

Le système de double interface de management pouvant être un peu lourd à l’usage, de nouveaux modèles NGFW sont également sortis récemment pour compléter et enrichir la gamme ASA-X : 5506-X, 5508-X et 5516-X.

Ces modèles disposent notamment d’une seule interface de management.

 

D’autres nouveautés et améliorations sont également en roadmap chez Cisco pour cette année.

En attendant les nouvelles annonces et sorties, n’hésitez pas à nous contacter pour toutes questions et pourquoi pas tester Cisco ASA avec Firepower.

 

Partager :

Auteurs