antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Архив за Февраль, 2010

Опубликовано 14 Февраль , 2010

Cisco GET VPN — новая технология от Cisco, призванная обеспечить безопасность туннелей через провайдерские соединения, обладающая рядом полезных особенностей. Ее описанию, особенностям и настройке и посвящена эта статья.

Начнем по традиции с постановки задачи. Классическая топология представляет собой несколько филиалов, соединенных с помощью провайдерской сети.

image

Требуется соединить сети за филиалами между собой. Наиболее распространенное решение — IPSec и в частности — DMVPN. Который кроме всего прочего, является туннельной технологией и позволяет использовать публичные Internet каналы. Недостатком такого решения является то, что сеть строится по принципу hub-n-spoke, а туннели spoke-to-spoke устанавливаются по необходимости, что не совсем удобно.
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы | 1 комментарий »

Опубликовано 14 Февраль , 2010

Удаленное управление

Понятно, что при нынешнем развитии сетей передачи данных было бы неразумно не внедрять удаленное управление межсетевыми экранами. Поэтому ASA, как и большинство устройств cisco, предоставляет несколько способов удаленного управления.

Самое простое и небезопасное – telnet. Чтобы предоставить доступ на ASA по телнету необходимо явно указать, с каких хостов и сетей и на каком интерфейсе разрешен доступ, а также необходимо задать пароль на телнет командой passwd:

telnet 192.168.1.128 255.255.255.128 inside
telnet 192.168.1.254 255.255.255.255 inside
passwd {пароль}

В целях безопасности работа по телнету на самом небезопасном (с наименьшим уровнем безопасности в рамках данной ASA) интерфейсе заблокирована и обеспечить работу на этом интерфейсе по телнету можно только в том случае, если он приходит через IPSec туннель.
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Безопасность cisco | Нет комментариев »

Опубликовано 13 Февраль , 2010

Маршрутизация

Ну куда же без неё! Как у любого маршрутизатора (ASA тоже им является, т.к. использует таблицу маршрутизации для передачи пакетов) сети, настроенные на интерфейсах, автоматически попадают в таблицу маршрутизации с пометкой «Присоединенные» (connected), правда при условии, что сам интерфейс находится в состоянии up. Маршрутизация пакетов между этими сетями производится автоматически.

Те сети, которые ASA сама не знает, надо описать. Это можно сделать вручную, используя команду

route {interface} {network} {mask} {next-hop} [{administrative distance}]

Указывается тот интерфейс, за которым надо искать next-hop, т.к. ASA сама не делает такого поиска (в отличие от обычного маршрутизатора cisco).  Напоминаю, что в таблицу маршрутизации попадает только один маршрут в сеть назначения, в отличие от классическим маршрутизаторов, где может использоваться до 16 параллельных путей через разные интерфейсы.
Если же есть несколько маршрутов в одну ту же сеть через один и тот же интерфейс (максимум — три маршрута), то выбор адреса следующей пересылки происходит путем вычисления хэша адресов источника и назначения пакета.

Примечание: про избыточные маршруты написано на сайте у cisco. Маршруты действительно записываются, но логику выбора next-hop пока определить не удалось. Также не удалось заставить стабильно использовать все избыточные маршруты. Ведется исследование.

Маршрут по умолчанию задается таким же образом

route {interface} 0.0.0.0 0.0.0.0 {next-hop}

Если ASA не имеет записи в таблице маршрутизации о сети назначения пакета, она пакет отбрасывает.
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Безопасность cisco | 1 комментарий »

Опубликовано 13 Февраль , 2010

Начнем, пожалуй, с базовых настроек интерфейсов и маршрутизации, а также настройки подключений для удаленного администрирования

Настройка интерфейсов

Cisco ASA является аппаратным межсетевым экраном с инспектированием сессий с сохранением состояния (stateful inspection).  ASA умеет работать в двух режимах: routed (режим маршрутизатора, по умолчанию) и transparent (прозрачный межсетевой экран, когда ASA работает как бридж с фильтрацией).  Мы познакомимся с работой в первом режиме и далее везде будем его подразумевать, если явно не указан иной режим.

В режиме routed на каждом интерфейсе ASA настраивается ip адрес, маска, уровень безопасности (security-level), имя интерфейса, а также интерфейс надо принудительно «поднять», так как по умолчанию все интерфейсы находятся в состоянии «выключено администратором». (Исключения бывают: иногда АСАшки приходят уже преднастроенными. Это характерно для модели 5505. В этом случае, как правило, внутренний интерфейс с названием inside уже настроен как самый безопасный и поднят, на нем работает DHCP сервер, задан статический адрес из сети 192.168.1.0/24, внешний интерфейс с названием outside тоже поднят и сам получает адрес по DHCP и настроена трансляция адресов из сети за интерфейсом inside в адрес интерфейса outside. Получается такой plug-n-play :))

int g0/0
ip address {адрес} {маска}
security-level {number}
nameif {имя}
no shutdown

Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Безопасность cisco | Нет комментариев »

Опубликовано 13 Февраль , 2010

Наконец я собрался с мыслями и решился написать статью про NAT NVI. Надо сказать, что вообще сама по себе трансляция адресов на роутере многократно рассматривалась, в т.ч. в статье «По просьбам трудящихся: Dual ISP на маршрутизаторах cisco без BGP». Тем не менее, описанный в ней механизм inside source и outside source NAT имеет некоторые ограничения.

Задача 1.
В частности, рассмотрим топологию:

Постановка задачи.

Требуется транслировать на R0:

  • 1. адреса за R2 (10.0.2.0/24) – в интерфейс fa 0/0, при обращении к R1
  • 2. адреса за R3 (10.0.3.0/24) – в интерфейс fa 0/1, при обращении к R2

Поскольку адрес интерфейса один, то естественно используется PAT.
Решение № 1.
Сами по себе трансляции пишутся для каждого случая довольно просто.
Router(config)# access-list 101 permit ip 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
Router(config)# ip nat inside source list 101 interface fa 0/0 overload

Router(config)# access-list 102 permit ip 10.0.3.0 0.0.0.255 10.0.2.0 0.0.0.255
Router(config)# ip nat inside source list 102 interface fa 0/1 overload

Теперь нам, требуется указать для каждого интерфейса, участвующего в трансляции, является он внутренним (inside) или внешним (outside) для трансляции. Вроде все просто но вот незадача: интерфейс fa 0/1 нужно будет сделать одновременно inside и outside. Что невозможно, поскольку каждый интерфейс может быть либо inside, либо outside.
Решить такую задачу с помощью классического NAT можно только с серьезными ухищрениями.
Первый способ решения состоит в применении технологии PBR (policy based routing). Идея состоит в следующем:
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Маршрутизаторы и коммутаторы | 2 комментария »

Опубликовано 13 Февраль , 2010

Предисловие: читая курсы о безопасности cisco (вот уже 7 лет, много как то :)) сталкиваюсь с одними и теми же вопросами. Давно уже хочу излить ответы на бумаге ибо повторять одно и то же уже нет сил 🙂 Поэтому попробую тезисно, емко рассказать об основных особенностях работы cisco ASA, настройке основных технологий с использованием CLI (настройка через web интерфейс при понимании технологии не сложна) а также некоторых дизайнерских моментах.

Итак, начну, пожалуй, с очень важной и для настройщиков, и для дизайнеров, и для предпродажников темы: чего ASA не умеет.

Часто сталкиваюсь с ситуацией, когда железо уже закуплено, «благодаря» стараниям продавцов, однако требуемых технологий, оказывается, оно не умеет. К таким критическим моментам можно отнести:

  1. Разделение трафика по параллельным путям (путям с одинаковой метрикой) через разные интерфейсы. Не смотря на то, что ASA является устройством 3 уровня, уверенно работает с протоколами RIPv1,2, OSPF, EIGRP, она не поддерживает избыточных маршрутов, т.е. в таблицу маршрутизации всегда попадает один маршрут. Если же маршрутов с одинаковой метрикой более одного (например, OSPF прислал), то выбирается…первый попавшийся 🙂 При его пропадании сразу же «найдётся» второй. В частности поэтому невозможно написать 2 дефолтных маршрута (route {int} 0 0 {next-hop}). Исключение составляют маршруты в одну и ту же сеть с одинаковой метрикой через один и тот же исходящий интерфейс. В этом случае может использоваться до трех маршрутов.
  2. ASA не поддерживает Policy Based Routing (PBR). Т.е. вы не можете принудительно отправить пакет через определенный интерфейс, основываясь на адресе источника (напомню, что на маршрутизаторах это делается при помощи конструкции route-map, примененной на вход внутреннего интерфейса). Злую шутку со многими настройщиками маршрутизаторов, впервые сталкивающихся с ASA, сыграло то, что на ASA route-map есть! Только используется она исключительно для редистрибуции маршрутов.
  3. На ASA нет никаких виртуальных интерфейсов (tunnel, loopback). Поэтому она не поддерживает туннели GRE (очень жаль!), а следовательно и удобную технологию DMVPN.

Это, пожалуй, основные моменты. Есть еще ряд неудобств, но как правило они не критичны в проектах. К ним могу отнести:

Читать продолжение записи »

 

Метки: , ,
Опубликовано: Безопасность cisco | 1 комментарий »

Опубликовано 13 Февраль , 2010

Я официально открываю страничку блогов на нашем сайте

Пока сделано несколько рубрик:

1. По маршрутизаторам и коммутаторам

2. По ASA, IPS, CSM, MARS и другому оборудованию по обеспечению безопасности

3. Лично мой блог

4. Экспериментальный блог для всех желающих написать статью.

Пока мы не мигрировали базу пользователей форума в пользователей блога, поэтому потребуется заново регистрироваться, если остро хочется что-нибудь опубликовать 🙂

По умолчанию пользователь создается с правами на комментирование. Если вы хотите что-нибудь написать в тематический блог — обращайтесь ко мне. Мы разберемся как следует и накажем кого попало выдадим права 🙂

 

Метки:
Опубликовано: личный блог Сергея Федорова | Нет комментариев »