antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Архив за Февраль 14th, 2010

Опубликовано 14 Февраль , 2010

Трансляция сетевых адресов (Network Address Translation, NAT), как правило, требуется на границе между сетью компании и провайдером Интернет. Однако, это далеко не единственная задача. Рассмотрим несколько типичных задач и способы решения при помощи межсетевого экрана ASA.

Для начала определимся с терминами. Как вы уже знаете, на ASA при помощи сравнения уровней безопасности интерфейса-источника и интерфейса-назначения легко определяется направление «наружу» и «внутрь» межсетевого экрана (ситуацию с одинаковыми уровнями безопасности рассмотрим отдельно).

Обычно разделяют внутреннюю (inside) и внешнюю (outside) трансляции. Внутренняя трансляция подменяет адрес источника при выходе «наружу» межсетевого экрана, а внешняя трансляция подменяет адрес источника при проходе «внутрь» МСЭ.
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Безопасность cisco | 4 комментария »

Опубликовано 14 Февраль , 2010

Если в вашей сети есть много схожих объектов (например, сетей пользователей, серверов с одинаковым набором сервисов и т.д.), то при настройке списков доступа вы обязательно столкнетесь с тем, что они становятся трудночитаемыми и плохо расширяемыми. Для упрощения написания больших списков доступа на ASA применяются так называемые объектные группы (object group). При помощи них можно группировать схожие элементы сети (протоколы, сети, сервисы, сообщения icmp).
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Безопасность cisco | Нет комментариев »

Опубликовано 14 Февраль , 2010

Довольно простая глава. Списки доступа (ACL, Access Control List) – это правила проверки заголовка ip пакета до уровня 4 модели OSI. Списки доступа – это просто конструкции, состоящие из строчек. В каждой строчке – правило разрешить (permit) или запретить (deny). Строчки просматриваются сверху вниз на предмет точного совпадения заголовка пакета со строкой списка доступа. Списки доступа на ASA могут выполнять несколько ролей:
1. Фильтрация на интерфейсе входящего или исходящего трафика
2. Описание правил NAT (Policy NAT)
3. Описание правил редистрибуции маршрутов (в route-map)
4. Критерий попадания в класс трафика для дальнейшей обработки (Modular Policy Framework, MPF)
5. Описание «интересного трафика» для шифрования. Применяется список доступа в crypto map
6. Описание прав удаленного пользователя при подключении через IPSec или SSL VPN
Важно: в конце любого списка доступа стоит невидимое «запретить все» (implicit deny any), поэтому «мимо» списка доступа ни один пакет не пройдет.
Читать продолжение записи »

 

Метки: , , , ,
Опубликовано: Безопасность cisco | 1 комментарий »

Опубликовано 14 Февраль , 2010

Cisco GET VPN — новая технология от Cisco, призванная обеспечить безопасность туннелей через провайдерские соединения, обладающая рядом полезных особенностей. Ее описанию, особенностям и настройке и посвящена эта статья.

Начнем по традиции с постановки задачи. Классическая топология представляет собой несколько филиалов, соединенных с помощью провайдерской сети.

image

Требуется соединить сети за филиалами между собой. Наиболее распространенное решение — IPSec и в частности — DMVPN. Который кроме всего прочего, является туннельной технологией и позволяет использовать публичные Internet каналы. Недостатком такого решения является то, что сеть строится по принципу hub-n-spoke, а туннели spoke-to-spoke устанавливаются по необходимости, что не совсем удобно.
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы | 1 комментарий »

Опубликовано 14 Февраль , 2010

Удаленное управление

Понятно, что при нынешнем развитии сетей передачи данных было бы неразумно не внедрять удаленное управление межсетевыми экранами. Поэтому ASA, как и большинство устройств cisco, предоставляет несколько способов удаленного управления.

Самое простое и небезопасное – telnet. Чтобы предоставить доступ на ASA по телнету необходимо явно указать, с каких хостов и сетей и на каком интерфейсе разрешен доступ, а также необходимо задать пароль на телнет командой passwd:

telnet 192.168.1.128 255.255.255.128 inside
telnet 192.168.1.254 255.255.255.255 inside
passwd {пароль}

В целях безопасности работа по телнету на самом небезопасном (с наименьшим уровнем безопасности в рамках данной ASA) интерфейсе заблокирована и обеспечить работу на этом интерфейсе по телнету можно только в том случае, если он приходит через IPSec туннель.
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Безопасность cisco | Нет комментариев »