antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Архив за Март, 2010

Опубликовано 26 Март , 2010

Сразу оговорюсь: данный тест — пристрелочный. Ставилась задача примерно оценить производительность шифрования.

Начальные условия таковы: туннель site-to-site между маршрутизатором cisco 1841 и маршрутизатором vyatta, установленным на сервер НР (1266 МГц, 256Мб оперативной памяти). Маршрутизаторы связаны линком 100мбит/сек. Шифрование – AES-128 с хэшем SHA.

Схема такая:

(FTP server) – (vyatta) =====туннель====== (cisco1841) – (ftp client)

Для начала я протестировал скорость обращения на FTP сервер, стоящий во внутренней сети за vyatta без шифрования. Скорость работы составила около 65мбит/сек при мизерной загрузке обоих маршрутизаторов (меньше 5%). Из этого делаю вывод, что скорость меньше 100мбит/сек из-за ограничений сервера и протокола.

__________________________
UPD 31.03 10:15
Как выяснилось позже, ограничение по скорости было связано не с протоколом FTP, а включенным анализом IPS сигнатурами snort. Максимальная достигнутая скорость с включенным IPS (анализировался весь трафик), была около 64 мбит/сек. При этом загрузка процессора достигала 97%, загрузка памяти — 60%
__________________________

Включаем шифрование.
…и получаем крайне любопытные цифры.
Читать продолжение записи »

 

Метки: , , , , , ,
Опубликовано: Holywar | 6 комментариев »

Опубликовано 24 Март , 2010

Одна из самых востребованных технологий – защита канала передачи данных. Самая распространенная и безопасная технология – IPSec. Попробуем построить самый простой туннель между маршрутизатором vyatta и маршрутизатором cisco с использованием предустановленных ключей (pre-shared key).

Забегая вперед скажу, что все настройки интуитивно понятны и туннель поднялся без проблем. Vyatta использует Openswan IPSec 2.4.

Итак, как известно, построение IPSec идет в 2 фазы: IKE Phase I и IKE Phase II
Первая фаза работает по протоколу isakmp (UDP/500). Для её настройки нам надо задать политику создания первичного (служебного) туннеля и ключ для аутентификации.
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Vyatta | 6 комментариев »

Опубликовано 19 Март , 2010

Теперь усложним задачу: попробуем «прокинуть порт» внутрь. Или другими словами, анонсировать какой-нибудь сервис наружу МСЭ. Для этого нам понадобится 2 конструкции:
1. Трансляция адреса назначения при обращении снаружи
2. Разрешение инициирования трафика снаружи внутрь МСЭ

Как уже отмечал выше, на Vyatta реализовано 2 основных вида сетевых трансляций: трансляция адреса источника, когда идём наружу МСЭ (inside), и трансляция адреса назначения, когда идём снаружи МСЭ (destination). Разница в том, с какой стороны можно инициировать сессии. В первом случае – изнутри, а во втором – снаружи МСЭ. При этом нам нет необходимости описывать ответные пакеты: при прохождении первого пакета мы запоминаем (кэшируем) трансляцию и ответные пакеты уходят, используя эту запись в кэше.

Итак, для примера попробуем анонсировать наружу web-сервер 10.4.4.100 по порту 80 адреса интерфейса.
Опишем трансляцию адреса назначения. Для этого надо указать, на какой интерфейс мы обращаемся (eth0), на какой адрес и порт, и какой адрес и порт ему соответствует внутри МСЭ:
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Vyatta | 1 комментарий »

Опубликовано 19 Март , 2010

Едем дальше. Попробуем добавить безопасности.

Первым делом, что хочется сделать, это построить правильный межсетевой экран с сохранением сессий (stateful inspection) и учетом сложных протоколов (advanced protocol handling).

Посмотрим, что vyatta умеет делать с точки зрения фильтрации трафика, а сложные протоколы рассмотрим позже.

Все глобальные параметры межсетевого экранирования собраны в режиме

edit firewall

Все функции фильтрации, которые можно применить для конкретного интерфейса, собраны в настройке

edit firewall name {ИМЯ}

Там можно фильтровать как по МАС-адресам (фильтр на канальном уровне), так и по IP и TCP/UDP портам (статические списки доступа).

Для начала описываем действие, которое мы хотим сделать с пакетом
[edit firewall name {ИМЯ}]
set rule {RULENUMBER} action {accept|drop|reject|inspect}

Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Vyatta | 5 комментариев »

Опубликовано 11 Март , 2010

11 марта 2010г состоялся увлекательный семинар Миши Кадера в Московской cisco про новые таможенные правила на территории таможенного союза России, Белоруссии и Казахстана. И про то, что cisco делает для того, чтобы ввоз нового оборудования наконец стал снова радовать и продавцов и покупателей.
______________________________
UPD 14.03 Статья была доработана докладчиком, внесены ряд дополнений и уточнений, добавлены полезнейшие ссылки. Большое спасибо Мише за потраченное время!
______________________________

Для начала экскурс в историю:
1. Таможенные правила ввоза на территорию РФ впервые были написаны аж в 1995 году и там было и про шифрование и про согласование с ФАПСИ (ныне ФСБ) и МинПромТоргом. Просто их никто не выполнял. Здесь ссылка на указ для интересующихся
2. В 2006, для вступления в ВТО, был разработан новый, более гибкий документ, выводящий часть криптографии из-под лицензирования. Документ так и не был согласован
3. В конце 2009 году, приняв за основу документ 2006г, ФСБ быстренько согласовала новые правила ввоза на территорию единого таможенного союза. Так что с 01.01.2010 года мы просто получили то, что должно было работать давным-давно. Вот опять же ссылка на эти правила

По новым правилам часть шифровательных функций выводится из-под лицензирования (полный список можно найти в нормативных документах):
1. «Слабое» шифрование (симметричное шифрование с длиной ключа меньше либо равным 56 битам, асимметричное – 128 битам)
2. Шифрование каналов для управления (ssh, https для управления)
3. Шифрование беспроводными точками доступа (со встроенными антеннами) трафика, передаваемого на расстояние до 400 м.
4. Если шифрование является неотъемлемой частью программного продукта (операционной системы).
Читать продолжение записи »

 

Метки: , , , , ,
Опубликовано: личный блог Сергея Федорова | 3 комментария »

Опубликовано 7 Март , 2010

Асимметричное шифрование, в отличие от симметричного, не требует одинакового ключа для шифрования и расшифровывания у двух контрагентов. Асимметричное шифрование подразумевает наличие у каждой из сторон нескольких связанных ключей, каждый из которых выполняет определенные функции.

Рассмотрим самую распространенную схему – у каждой из сторон по паре ключей. В каждой паре один ключ называется открытым и его можно передавать по незащищенным каналам связи, а второй – закрытым и его никогда не передают по открытым канал связи.
В схеме RSA (Rivest-Shamir-Adelman) используются 2 ключа (это очень большие простые числа), один из которых называют закрытым и хранят в недоступном для посторонних месте, а другой – открытым и рассылают при необходимости контрагенту.

Пусть у нас есть ключи хоста A: открытый E(A) (encrypt) и D(A) (decrypt)
Обозначим преобразование входного массива данных на ключе K как
[массив]K

Примечание: чтобы излишне не усложнять дальнейшее изложение, не будем разделять в условных обозначениях шифрование и расшифровывание. К тому же часто на самом деле это одна и та же процедура, только выполняющаяся на разных ключах.

Тогда для произвольной строки text выполняется равенство:

[[text]E(A)]D(A)=text

И наоборот

[[text]D(A)]E(A)=text
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Безопасность cisco | Нет комментариев »

Опубликовано 5 Март , 2010

Настроим для начала интерфейсы с адресами, статический маршрутик по умолчанию и РАТ в адрес интерфейса, дабы завязать нашу внутреннюю сеть с внешним миром и «увидеть интернет». Все настройки начинаются с ключевого слова

set

Интерфейсы.
Будем настраивать самые простые – ethernet интерфейсы. Их настройка тривиальна
[edit]
edit interfaces
[edit interfaces]
set ethernet eth0 address 192.168.4.1/24
[edit interfaces]
set ethernet eth1 address 10.4.4.1/24
[edit interfaces]
commit
[edit interfaces]

Причем команда commit подтвердит только изменения, сделанные в указанном подрежиме. Это позволяет настраивать совместно железку несколькими администраторами, не боясь нарушить общую целостность конфигурации

Важно: Если вы ошибетесь при вводе команды, vyatta сразу ругнется, указав значком ^ место, откуда она перестает понимать команду.
Если же команда имеет правильный синтаксис, однако не может быть подтверждена самостоятельно, а только в составе каких-то других команд, то vyatta ругнется на этапе подтверждения, явно рассказав, что же ещё требуется, чтобы этот кусочек конфига был законченным. Тоже удобно.
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Vyatta | 5 комментариев »

Опубликовано 5 Март , 2010

Сейчас на нашем рынке сетевых устройств для сетей, чуть более сложных, чем домашние, сложилась патовая ситуация: в связи с введением новых таможенных правил на ввоз криптографии практически заморожен приток любого нового оборудования. Однако, бизнес ждать не любит и требует заменителей.

Поэтому активизировалось желание найти более-менее адекватную замену cisco ISR и научиться при помощи нее строить сети небольших контор.
На данный момент выбор пал на open-source решение vyatta (www.vyatta.com). По сути это специальная сборка линукса GNU и модулей, придуманных различными разработчиками для решения различных сетевых задач:
1. Маршрутизация статическая и динамическая (RIP, OSPF, BGP)
2. Межсетевое экранирование (статическое –списки доступа, и динамическое, с сохранением сессий)
3. Трансляция сетевых адресов (NAT, PAT, внутренний и внешний)
4. Анализ и поддержка сложных для МСЭ протоколов (FTP, PPTP, IPSec и т .д.)
5. Система предотвращения вторжений
6. URL-фильтрация
7. Прокси-сервер
8. Контентный фильтр
9. Вспомогательные сервисы (ssh, ntp, dns и др)

Весьма неплохой набор, надо признать!

Ядро поддерживает большое количество разных интерфейсов, от банальных ethernet и serial, до беспроводных, агрегированных линков и вланов.
Интерфейсы определяются сами, не требуя глубокого ковыряния в системе, что тоже приятно.

Это позволяет задействовать ещё один скрытый резерв: часто у компаний лежат без дела несколько устаревшие или маломощные сервера, часто рэковые и брендовые, которые выбросить жалко, а использовать не получается. Тогда можно пристрелить сразу несколько зайцев и существенно сэкономить.
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Vyatta | 4 комментария »