antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Публикации помечены ‘ASA’

Опубликовано 16 Апрель , 2010

Для удаленного доступа к сети через шифрованный туннель cisco предлагает 2 решения: Easy VPN, основанный на технологии IPSec, а также технологию, которая использует протокол HTTPS (SSL) – SSLVPN

У данной технологии удаленного доступа есть несколько приятных моментов:
1.  Можно организовать защищенный доступ к корпоративным ресурсам с использованием только лишь браузера. Т.к. браузер как правило установлен на любой машине, значит и доступ можно получить с любой машины, будь то интернет кафе, КПК или ноутбук случайного соседа.
2.  Подключение использует протокол HTTPS (SSL), а значит это подключение легко пробросить через прокси-сервер, промежуточно аутентифицировать и при необходимости (только тссс, я вам этого не говорил:)) на этой проксе расшифровать и зашифровать.
3.  Для полного туннелирования есть специальное приложение (anyconnect vpn client), которое можно установить на компьютер и получить туннель в корпоративную сеть с использованием всех преимуществ полного туннелирования: split-tunneling, split-dns, authorization и т.д. Правда для установки этого клиента надо иметь административные права, поэтому на части компьютеров (например, в инет-кафе) так сделать не удастся. Поэтому полное туннелирование как правило используется на корпоративных ноутбуках, которым необходим полный удаленный доступ к корпоративной сети.
4.  Возможно более гибкое использование сертификатов для аутентификации и авторизации. Т.к. механизмы проверки сертификатов уже встроены в браузер, проверять взаимная проверка пользователя и сервера делается еще на этапе подключения. Можно даже аутентифицировать только сертификатом (смарт-картой, токеном)
5.  На ASA также возможно применение технологии Single Sign-On (SSO) при интеграции с Windows Active Directory

Минус существенный только один: за эти лицензии надо платить. По умолчанию cisco дает только 2 лицензии.
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Безопасность cisco | 3 комментария »

Опубликовано 13 Апрель , 2010

Часто возникает задача собрать всевозможную статистику по активности на ASA. В версии 8.0 на ASA внедрили довольно интересный механизм сбора различных логов активности с разбивкой по хостам, по протоколам, по портам, по спискам доступа и т.д. Эта технология называется threat-detection и имеет 2 уровня. Первый уровень (включен по умолчанию) – basic.

threat-detection basic

Собирает статистику по
1. Хостам: количество посланных/полученных пакетов/байтов за 1,8 и 24 часа. Также учитывается количество уничтоженных пакетов, если такие были (нулевая статистика не показывается). Это очень удобно бывает для поиска слишком активничающих хостов.

show threat-detection statistics | b host:192.168.0.10
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Безопасность cisco | Нет комментариев »

Опубликовано 10 Апрель , 2010

Команда packet-tracer позволяет проверить как ASA обработает пакет не генерируя при этом реальный трафик с соответствующих хостов. ASA сама создает пакет и пропускает его через себя. Вывод команды аналогичен выводу команды show capture с параметром trace (при создании правила capture тоже должен быть указан параметр trace).

В результате выполнения команды будет отображен порядок обработки указанного пакета внутри ASA и результат обработки.

Примечание: Не стоит путать утилиту с одноименным симулятором сети Cisco Packet Tracer.
В этой статье описывается утилита ASA packet-tracer. Команда появилась в версии 7.2(1) и доступна на PIX и ASA.

Capture позволяет перехватить трафик проходящий через ASA. Однако, при тестировании настроек или поиске неисправностей не всегда есть возможность или не всегда удобно для проверки генерировать соответствующий трафик через ASA.

При поиске неисправностей packet tracer один из самых удобных инструментов. Он не разрешит ситуации с какими-то неправильными настройками на других устройствах, но, по крайней мере, позволяет проверить пройдет ли пакет через ASA и, если нет, то почему он был отброшен.

Читать продолжение записи »

 

Метки: , ,
Опубликовано: Безопасность cisco | 2 комментария »

Опубликовано 9 Апрель , 2010

Это первая статья из цикла статей посвященных поиску неисправностей при настройке Cisco ASA.

Команда capture позволяет перехватывать трафик, который проходит через ASA для дальнейшего анализа. После перехвата его можно проанализировать используя команды просмотра на самой ASA или, например, экспортировать перехваченную информацию в файл для просмотра с помощью Wireshark.
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Безопасность cisco | 4 комментария »

Опубликовано 26 Март , 2010

Сразу оговорюсь: данный тест — пристрелочный. Ставилась задача примерно оценить производительность шифрования.

Начальные условия таковы: туннель site-to-site между маршрутизатором cisco 1841 и маршрутизатором vyatta, установленным на сервер НР (1266 МГц, 256Мб оперативной памяти). Маршрутизаторы связаны линком 100мбит/сек. Шифрование – AES-128 с хэшем SHA.

Схема такая:

(FTP server) – (vyatta) =====туннель====== (cisco1841) – (ftp client)

Для начала я протестировал скорость обращения на FTP сервер, стоящий во внутренней сети за vyatta без шифрования. Скорость работы составила около 65мбит/сек при мизерной загрузке обоих маршрутизаторов (меньше 5%). Из этого делаю вывод, что скорость меньше 100мбит/сек из-за ограничений сервера и протокола.

__________________________
UPD 31.03 10:15
Как выяснилось позже, ограничение по скорости было связано не с протоколом FTP, а включенным анализом IPS сигнатурами snort. Максимальная достигнутая скорость с включенным IPS (анализировался весь трафик), была около 64 мбит/сек. При этом загрузка процессора достигала 97%, загрузка памяти — 60%
__________________________

Включаем шифрование.
…и получаем крайне любопытные цифры.
Читать продолжение записи »

 

Метки: , , , , , ,
Опубликовано: Holywar | 6 комментариев »

Опубликовано 21 Февраль , 2010

На МСЭ часто возникает задача проверить пользователя до предоставления ему доступа к определенным ресурсам. На ASA такая проверка называется «перехватывающая аутентификация» (cut-through proxy).

Этот сервис использует инфраструктуру ААА (Authentication, Authorization, Accounting).

Примечание: в английском слове authentication нет слога «фи», который появился в русском «аутентификация» скорее всего из-за созвучия слову «идентификация». Причем, в нашем могучем языке есть и «аутентичность». Без всякого «фи» 🙂 Не попадитесь!

Аутентификация.
Отвечает на вопрос «есть ли такой пользователь». Поиск этого пользователя может производиться как в локальной (LOCAL) базе данных, так и во внешних (TACACS+, RADIUS, AD по протоколу LDAP).

Для справки, опишу, как работают эти протоколы:

TACACS+ — протокол cisco. Работает по ТСР/49. Имеет отдельные запросы на аутентификацию, авторизацию и учет. За счет отдельного запроса на авторизацию позволяет учитывать и проверять все вводимые команды. Не расширяемые параметры, слабый «учет». Как правило, используется для административного доступа (доступа на железку для управления)

RADIUS – стандартный протокол (правда, имеет кучу расширений многих производителей). Работает по UDP/1645,1646 или UDP/1812,1813. Один новый, другой старый стандарт. Первый порт используется для аутентификационного запроса и ответа, в котором заодно передаются авторизационные атрибуты пользователя, если есть. Второй – для учета (как правило, при помощи RADIUS учитывают переданные пакеты, считают трафик и некоторые системные параметры)

AD через LDAP – база данных пользователей домена Windows. LDAP работает по ТСР/389. Содержит кучу атрибутов, которые слабо применимы для сетевых нужд. Однако, за счет его широчайшего распространения, cisco научила свои МСЭ лазить в AD напрямую, забирая оттуда все атрибуты пользователя, если ему разрешен доступ. Этим можно (и часто – нужно) воспользоваться, сопоставив атрибуту AD некоторый атрибут, понятный для МСЭ (об этом – ниже)
Читать продолжение записи »

 

Метки: , , , ,
Опубликовано: Безопасность cisco | 4 комментария »

Опубликовано 17 Февраль , 2010

Кроме вышеперечисленных типичных трансляций встречаются еще и необычные задачи. Рассмотрим два случая, не перечисленных в предыдущих частях

1. Трансляция адресов между интерфейсами с одинаковым уровнем безопасности.
Напомню, что по умолчанию передача пакетов между такими интерфейсами запрещена, однако если разрешить, то между такими интерфейсами возникает обычная маршрутизация. Даже если включено строгое правило nat-conrol. Однако, это не значит, что между такими интерфейсами нельзя транслировать адреса. Для этого мы используем обычный формат внутренних (inside) динамических и статических трансляций
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Безопасность cisco | 2 комментария »

Опубликовано 15 Февраль , 2010

Статические трансляции, в отличие от динамических, жестко связывают адреса (или адреса с портами). Именно эта их особенность позволяет инициировать сессии как изнутри, так и снаружи МСЭ. Но для того, чтобы раз и навсегда не путаться в написании статических трансляций, я научу вас их «читать» правильно. Итак, формат команды довольно прост:

static ({source_int},{dest_int}) {translated_address} {real_addess}

где

source_int – интерфейс на который приходит пакет
dest_int – интерфейс, с которого пакет пойдёт дальше
real_address – реальный адрес хоста
translated_address – странслированный адрес хоста

И читается трансляция так:
Когда пакет бежит с интерфейса source_int на интерфейс dest_int его адрес ИСТОЧНИКА подменяется с real_address на translated_address.
Когда же пакет бежит в обратном направлении, т.е. приходит на интерфейс dest_int и идет далее через интерфейс source_int его адрес НАЗНАЧЕНИЯ меняется с translated_address на real_address
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Безопасность cisco | 4 комментария »

Опубликовано 14 Февраль , 2010

Трансляция сетевых адресов (Network Address Translation, NAT), как правило, требуется на границе между сетью компании и провайдером Интернет. Однако, это далеко не единственная задача. Рассмотрим несколько типичных задач и способы решения при помощи межсетевого экрана ASA.

Для начала определимся с терминами. Как вы уже знаете, на ASA при помощи сравнения уровней безопасности интерфейса-источника и интерфейса-назначения легко определяется направление «наружу» и «внутрь» межсетевого экрана (ситуацию с одинаковыми уровнями безопасности рассмотрим отдельно).

Обычно разделяют внутреннюю (inside) и внешнюю (outside) трансляции. Внутренняя трансляция подменяет адрес источника при выходе «наружу» межсетевого экрана, а внешняя трансляция подменяет адрес источника при проходе «внутрь» МСЭ.
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Безопасность cisco | 4 комментария »

Опубликовано 14 Февраль , 2010

Если в вашей сети есть много схожих объектов (например, сетей пользователей, серверов с одинаковым набором сервисов и т.д.), то при настройке списков доступа вы обязательно столкнетесь с тем, что они становятся трудночитаемыми и плохо расширяемыми. Для упрощения написания больших списков доступа на ASA применяются так называемые объектные группы (object group). При помощи них можно группировать схожие элементы сети (протоколы, сети, сервисы, сообщения icmp).
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Безопасность cisco | Нет комментариев »