antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Опубликовано 30 Апрель , 2012

В продолжение темы IOS Firewall мне бы хотелось поговорить с Вами об еще одной технологии, которая называется Cisco IOS Transparent Firewall.

Данная функция была впервые внедрена в маршрутизаторы Cisco в IOS 12.3(7)T. Она позволяет проводить фильтрацию трафика и осуществлять динамическую инспекцию приложений, когда маршрутизатор выступает в роли L2-моста.

В прозрачном (transparent) режиме маршрутизатор не осуществляет маршрутизацию, а просто изучает MAC-адреса на всех своих интерфейсах подобно коммутатору. Когда Вы конфигурируете прозрачный фаирвол на Cisco IOS, прежде всего необходимо определиться с типом бриджирования, которое будет осуществлять маршрутизаторах. Таких типов два: CRB и IRB. Что же это за звери такие? Поговорим об этом подробнее.

  1. CRB (Concurrent Routing and Bridging) режим включается командой bridge crb. Позволяет маршрутизатору коммутировать фреймы между интерфейсами, которые являются членами одной мостовой группы (bridge group). Интерфейсы, которые не являются членами никакой мостовой группы и на которые назначены IP-адреса могут принимать и перенаправлять IP-пакеты. Т.е. в этом режиме маршрутизатор выступает в роли моста для одного набора интерфейсов и в роли обычного L3-устройства для других интерфейсов.
  2. IRB (Integrated Routing and Bridging) режим включается командой bridge irb. Позволяет сконфигурировать специальный интерфейс BVI (Bridge Virtual Interface) для каждой мостовой группы. Данный интерфейс представляет маршрутизатор как L3-устройство для определенной мостовой группы. Все устройства внутри группы, которые знают MAC-адрес BVI-интерфейса, могут отправлять маршрутизатору IP-пакеты и общаться с другими сетевыми устройствами данного L2-домена. Этот режим позволяет маршрутизатору производить коммутацию между своими интерфейсами и маршрутизировать пакеты для членов мостовой группы, которые знают о данной службе.

В целом, для простоты понимания, Вы можете сравнить BVI с SVI (Switch Virtual Interface) на L3-коммутаторе. В дополнение ко всему, вместе с командой bridge irb Вам необходимо добавить команду bridge <NUMBER> route ip, где NUMBER – номер мостовой группы. В противном случае, BVI-интерфейс не будет маршрутизировать IP-пакеты.

Вы можете применять правила классического фаирволла для динамической инспекции приложении и списки доступа на интерфейсы. Например:

bridge irb
bridge-group 1 protocol ieee
bridge 1 route ip
!
ip inspect name FIRE tcp
ip inspect name FIRE udp
ip inspect name FIRE icmp
!
ip access-list extended ACL_OUTSIDE-IN
 deny ip any any
!
interface FastEthernet 1/0
 bridge-group 1
 ip inspect FIRE out
interface FastEthernet 1/1
 bridge-group 1
 ip access-group ACL_OUTSIDE-IN in

В прозрачном режиме поддерживается инспекция только для TCP/UDP и ICMP. Все не IP-пакеты по-умолчанию разрешены (ARP, STP и т.д.). Если Вы хотите заблокировать не IP-трафик, необходимо применить список доступа к мостовому интерфейсу. Эти списки доступа основываются на значениях Ethertype. Например, следующий список доступа разрешает весь IP-трафик и ARP, но блокирует WOL Magic packet:

access-list 250 permit 0x0800
access-list 250 permit 0x0806
access-list 250 deny 0x0842
access-list 250 permit 0x0 0xFFFF
bridge-group 1 input-type-list 250

Прим.: Ethertype – двух байтовое поле в Ethernet-заголовке. Располагается сразу после поля «Source MAC». Используется для того, чтобы показать какой протокол инкапсулирован в Ethernet фрейм.

Фаирволл в прозрачном режиме не инспектирует multicast Ethernet фреймы – они разрешены независимо от того, что сконфигурировано во входящих списках доступа. Однако широковещательные фреймы проходят проверку в списках доступа. Для DHCP-пакетов фаирволл предоставляет специальное средство обработки (т.к. DHCP является важной составляющей сетевой инфраструктуры). Для разрешения прохождения DHCP-сообщений через фаирволл (опять же, независимо от того, что сконфигурировано в списках доступа) используйте команду ip inspect l2-transparent dhcp-passthrough.

И на последок скажу пару слов об IP-адресах, которые назначаются на BVI-интерфейс. Этот адрес должен быть внутри той же сети, что и защищаемый сегмент. Здесь вполне можно провести аналогию с фаирволлом Cisco ASA, когда та работает в прозрачном режиме и имеет единственный IP-адрес для управления.

Прим.: трафик, сгенерированный самим маршрутизатором не проходит проверку в списках доступа, которые назначены на интерфейсы в мостовой группе. Для контроля трафика управления Вам необходимо создать отдельный список доступа и применить его на BVI-интерфейс.

 

 

Метки: ,
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы

 

One Response to “IOS Transparent Firewall”

comment rss - Trackback

  1. S0s:

    Может так?
    interface FastEthernet 1/0
    ip inspect FIRE in

    или
    interface FastEthernet 1/1
    ip access-group ACL_OUTSIDE-IN in
    ip inspect FIRE out

» Оставить комментарий

Вы должны войти чтобы прокомментировать.