|
Хоть мы с Вами ранее уже и познакомились с технологией ZFW, но ее предшественником был CBAC. Поскольку данная тема входит в трек CCIE Security v4.0, то надеюсь, что данная статья будет кому-то полезна. CBAC – фича Cisco IOS, которая позволяет маршрутизатору выступать в качестве сетевого фаирволла. Работает он примерно следующим образом: прилетает пакет на входной интерфейс (т.е. некий хост из внутренней сети пытается установить сессию с хостом из внешней сети), если на нем настроено правило фаирволла и пакет под это правило попадает, то маршрутизатор сохраняет подробную информацию о таком пакете (например – IP-адреса источника и пункта назначения, tcp/udp порты и пр.) и далее этот пакет вылетает во внешний мир. Через какое-то время приходит ответ на только что улетевший пакет и даже если на интерфейсе стоит правило типа deny any, то ответный пакет пропускается (т.к. запись о сессии хранится в памяти маршрутизатора). Читать продолжение записи » 
Метки: CBAC ВведениеCisco Identity Service Engine (ISE) – новая платформа доступа в сеть, которая предоставляет услуги аутентификации, авторизации пользователей и устройств в проводной и беспроводной среде, а также профилирование устройств и оценку их состояния (profiling and posture). В целом, ISE перенял на себя функционал ACS (частично, на данный момент в ISE доступен только RADIUS) и NAC. Производителем ISE позиционируется для осуществления следующих задач: — Авторизованный доступ для работников. Эта область применения девайса подразумевает под собой контроль доступа сотрудников к корпоративным ресурсам в случае использования корпоративных компьютеров. — Гостевой доступ. — Безопасный доступ устройств в сеть, за которыми не сидят пользователи (например, принтеры и видео камеры). Читать продолжение записи »
Метки: ISE Структура безопасности Cisco TrustSec (далее CTS) позволяет строить защищенные сети с помощью установки домена из доверенных сетевых устройств. Связь между устройствами в домене защищена с помощью шифрования, проверки целостности и механизмов защиты от повторных пакетов данных. CTS использует данные устройства и пользователей в процессе аутентификации для классификации пакетов группами безопасности (Security Groups, SG) когда они попадают в защищенный домен. Классификация пакетов осуществляется с помощью тегирования на входе в CTS-сеть. Этот тэг, называемый тэгом группы безопасности (Security Group Tag, SGT), позволяет сети применять политики контроля доступа для конечных устройств.
Метки: trustsec В прошлой статье мы рассмотрели с Вами как работает протокол (если говорить более строго, то стек протоколов IPsec) и как настроить защищенное соединение между двумя офисами. Однако, в жизни часто возникает задача, которую можно трактовать примерно одним из следующих способов: — у фирмы есть пользователи, которые по долгу службы работают дома (временно или постоянно – неважно). Соответственно, этим людям необходимо предоставить доступ в локальную сеть предприятия. Понятно, что в данной ситуации Site-to-Site канал не построишь, поскольку у пользователя скорее всего нет необходимого оборудования, да и накладно это. Читать продолжение записи »
Метки: IPSec, VPN Прим.: ахтунг, много букавок! В прошлой статье мы с Вами уяснили как устанавливается защищенный IPsec туннель между двумя маршрутизаторами. Но теория это конечно хорошо, сейчас мне бы с Вами хотелось рассмотреть практическую часть: настройка LAN-to-LAN с помощью crypto-map. И так, перво-наперво необходимо определить политики первой фазы: для ее защиты используем шифрование AES 192 бита, проверка целостности проходит по ф-ии SHA второй версии с выходным хэшем 384 бита, аутентификация между пирами — по локальному ключу, время жизни сессии — сутки, номер группы ДХ — 15. crypto isakmp policy 10encr aes 192 hash sha384 authentication pre-share group 15 Читать продолжение записи »
Метки: IPSec Прим.: автор подразумевает, что читатель обладает знаниями примерно на уровне CCNA Security
LAN-to-LAN IPsec VPN подразумевает под собой взаимодействие двух сетевых устройств. В результате их взаимодействия принимаются решения о шифровании определенного трафика. Процесс согласование всех политик делится на две фазы: IPsec фаза1: Устройства аутентифицируют друг друга используя один из преднастроенных методов (преднастроенные ключи, цифровые сертификаты). В самом начале общения две железки в первую очередь обмениваются методами аутентификации. В течение фазы аутентификации устройства обмениваются своими личными данными (IP-адреса, имена, цифровые сертификаты). Если все прошло хорошо, то устройства устанавливают безопасный канал связи, который называют ISAKMP SA (Security Associations), который используется для защиты всей передаваемой дальше информации.
Метки: IPSec Итак, коллеги, поскольку на курсах мне часто задают вопросы как настроить ту или иную VPN , я решил написать некий цикл статей, которые будут посвящены исключительно данной тематике (пока относительно Cisco IOS). Мы с вами затронем следующие вопросы: LAN-to-LAN IPsec (crypto-map, VTI), IPsec NAT-T, IKE Aggressive, LAN-to-LAN с перекрывающимеся сетями, GRE over IPsec, DMVPN (рассмотрим все 3 фазы), Easy VPN Server/Remote, SSL VPN, GET VPN, IPsec через разные vrf, PPTP, L2TP.
Метки: IOS, VPN CPPr является одной из технологий Cisco IOS для превентивной защиты от сетевых атак, которые направлены непосредственно на сетевое устройство. Control Plane обрабатывает на себе пакеты протоколов маршрутизации и управления, такие как OSPF, BGP, EIGRP, RIP, Telnet, SSH, SNMP. Типичной атакой на control plane является атака типа «выработка ресурсов», т.е. злоумышленник пытается полностью «забить» control plane зловредными пакетами и вызвать отказ в обслуживании для легитимных данных. На большинстве устройств под управлением Cisco IOS Control Plane крутится непосредственно на центральном процессоре (CPU), разделяя его мощность с пакетами, которые обрабатывается по process switching. Поскольку обработкой каждого такого пакета занимается один процессор (да и к тому же не особо мощный), то «забить» его в целом не сложно. Читать продолжение записи »
Метки: cef, CPPr В продолжение темы IOS Firewall мне бы хотелось поговорить с Вами об еще одной технологии, которая называется Cisco IOS Transparent Firewall. Данная функция была впервые внедрена в маршрутизаторы Cisco в IOS 12.3(7)T. Она позволяет проводить фильтрацию трафика и осуществлять динамическую инспекцию приложений, когда маршрутизатор выступает в роли L2-моста. В прозрачном (transparent) режиме маршрутизатор не осуществляет маршрутизацию, а просто изучает MAC-адреса на всех своих интерфейсах подобно коммутатору. Когда Вы конфигурируете прозрачный фаирвол на Cisco IOS, прежде всего необходимо определиться с типом бриджирования, которое будет осуществлять маршрутизаторах. Таких типов два: CRB и IRB. Читать продолжение записи »
Метки: firewall, Transparent В прошлой статье мы с вами познакомились с понятием Zone Based Firewall и узнали как можно настроить инспекцию того или иного протокола. Сейчас мы постараемся углубить полученные знания и посмотрим на инспектирование трафика не только на L3-L4, но и залезем внутрь уровня приложений. Маршрутизаторы Cisco IOS умеют проводить инспекцию протоколов не только на 3ем и 4ом уровнях модели OIS, но и на 7ом. Для чего это нужно? Например, вы захотите запретить определенные SMTP сообщения, которые открывают уязвимости на почтовом сервере. Или вы хотите быть уверенным, что HTTP соединения не используются для тунеллирования сервисов мгновенных сообщений (напр. сервис ICQ2GO). Решение задач, подобных тем, что описаны в этом абзаце выше, возможно только с помощью инспекции сообщений протоколов на уровне приложений.
Метки: firewall, ZBFW, ZFW |