antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Публикации помечены ‘IPSec’

Опубликовано 5 Май , 2014

На сей раз речь у нас пойдет о построении отказоустойчивой схемы IPsec. В целом, циска рекомендует для такого рода кейсов применять технологии  вроде DMVPN и GETVPN, где отказоустойчивость туннелей основывается на IGP. Однако, это не всегда возможно – ведь ASA всего этого не поддерживает! Читать продолжение записи »

 

Метки:
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы | Нет комментариев »

Опубликовано 15 Январь , 2014

Сначала рассмотрим настройку L2L IPsec-туннеля в случае, когда защищаемая сеть находится внутри VRF, а транспорт идет через global. Читать продолжение записи »

 

Метки: ,
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы | 3 комментария »

Опубликовано 23 Июнь , 2012

В прошлой статье мы рассмотрели с Вами как работает протокол (если говорить более строго, то стек протоколов IPsec) и как настроить защищенное соединение между двумя офисами. Однако, в жизни часто возникает задача, которую можно трактовать примерно одним из следующих способов:

— у фирмы есть пользователи, которые по долгу службы работают дома (временно или постоянно – неважно). Соответственно, этим людям необходимо предоставить доступ в локальную сеть предприятия. Понятно, что в данной ситуации Site-to-Site канал не построишь, поскольку у пользователя скорее всего нет необходимого оборудования, да и накладно это. Читать продолжение записи »

 

Метки: ,
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы | 5 комментариев »

Опубликовано 8 Июнь , 2012

Прим.: ахтунг, много букавок!

В прошлой статье мы с Вами уяснили как устанавливается защищенный IPsec туннель между двумя маршрутизаторами. Но теория это конечно хорошо, сейчас мне бы с Вами хотелось рассмотреть практическую часть: настройка LAN-to-LAN с помощью crypto-map.

И так, перво-наперво необходимо определить политики первой фазы: для ее защиты используем шифрование AES 192 бита, проверка целостности проходит по ф-ии SHA второй версии с выходным хэшем 384 бита, аутентификация между пирами — по локальному ключу, время жизни сессии — сутки, номер группы ДХ — 15.

crypto isakmp policy 10
encr aes 192
hash sha384
authentication pre-share
group 15 Читать продолжение записи »
 

Метки:
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы | 6 комментариев »

Опубликовано 6 Июнь , 2012

Прим.: автор подразумевает, что читатель обладает знаниями примерно на уровне CCNA Security

 

LAN-to-LAN IPsec VPN подразумевает под собой взаимодействие двух сетевых устройств. В результате их взаимодействия принимаются решения о шифровании определенного трафика. Процесс согласование всех политик делится на две фазы:

IPsec фаза1: Устройства аутентифицируют друг друга используя один из преднастроенных методов (преднастроенные ключи, цифровые сертификаты). В самом начале общения две железки в первую очередь обмениваются методами аутентификации. В течение фазы аутентификации устройства обмениваются своими личными данными (IP-адреса, имена, цифровые сертификаты). Если все прошло хорошо, то устройства устанавливают безопасный канал связи, который называют ISAKMP SA (Security Associations), который используется для защиты всей передаваемой дальше информации.

Читать продолжение записи »

 

Метки:
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы | 3 комментария »

Опубликовано 17 Апрель , 2012

В предыдущей части блога  DMVPN (Dynamic Multipoint VPN). Часть 1.   были рассмотрены основы технологии DMVPN и рассмотрен  базовый вариант настройки сервиса DMVPN без элементов отказоустойчивости.   Если вы с этой технологией совсем не знакомы,  рекомендую ознакомиться сначала с первой частью.

Одно из главных преимуществ DMVPN – возможность построения отказоустойчивых виртуальных сетей на базе классического подхода посредством использованием протоколов динамической маршрутизации. Шифрованное mGRE облако фактически представляет собой легко масштабируемый L3 транспорт, прозрачный для протоколов маршрутизации – в этом основное преимущество перед классическим IPsec.

Читать продолжение записи »

 

Метки: , , , ,
Опубликовано: Безопасность cisco | 17 комментариев »

Опубликовано 25 Июль , 2011

 

Для построения территориально распределенных сетей на текущий момент в большинстве случаев используются виртуальные шифрованные сети поверх интернета. Традиционный подход построения подобных сетей с помощью простого шифрования трафика методом IPsec в туннельном режиме крайне не эффективен в виду сложности настройки, невозможности использования динамических протоколов маршрутизации, не работоспособности multicast трафика, и очень плохой масштабируемости. Добавление новых сайтов в таких сетях зачастую требует перенастройки всех узлов, корректировки огромного числа ACL, статических маршрутов и т.д.

 

Для устранения выше обозначенных недостатков компания Cisco в своих маршрутизаторах (Cisco ASA данным функционалом не обладает!)  предлагает технологию DMVPN (Dynamic Multipoint VPN). Данная технология базируется на следующих базовых принципах: Читать продолжение записи »

 

Метки: , , , , ,
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы | 12 комментариев »

Опубликовано 26 Март , 2010

Сразу оговорюсь: данный тест — пристрелочный. Ставилась задача примерно оценить производительность шифрования.

Начальные условия таковы: туннель site-to-site между маршрутизатором cisco 1841 и маршрутизатором vyatta, установленным на сервер НР (1266 МГц, 256Мб оперативной памяти). Маршрутизаторы связаны линком 100мбит/сек. Шифрование – AES-128 с хэшем SHA.

Схема такая:

(FTP server) – (vyatta) =====туннель====== (cisco1841) – (ftp client)

Для начала я протестировал скорость обращения на FTP сервер, стоящий во внутренней сети за vyatta без шифрования. Скорость работы составила около 65мбит/сек при мизерной загрузке обоих маршрутизаторов (меньше 5%). Из этого делаю вывод, что скорость меньше 100мбит/сек из-за ограничений сервера и протокола.

__________________________
UPD 31.03 10:15
Как выяснилось позже, ограничение по скорости было связано не с протоколом FTP, а включенным анализом IPS сигнатурами snort. Максимальная достигнутая скорость с включенным IPS (анализировался весь трафик), была около 64 мбит/сек. При этом загрузка процессора достигала 97%, загрузка памяти — 60%
__________________________

Включаем шифрование.
…и получаем крайне любопытные цифры.
Читать продолжение записи »

 

Метки: , , , , , ,
Опубликовано: Holywar | 6 комментариев »

Опубликовано 24 Март , 2010

Одна из самых востребованных технологий – защита канала передачи данных. Самая распространенная и безопасная технология – IPSec. Попробуем построить самый простой туннель между маршрутизатором vyatta и маршрутизатором cisco с использованием предустановленных ключей (pre-shared key).

Забегая вперед скажу, что все настройки интуитивно понятны и туннель поднялся без проблем. Vyatta использует Openswan IPSec 2.4.

Итак, как известно, построение IPSec идет в 2 фазы: IKE Phase I и IKE Phase II
Первая фаза работает по протоколу isakmp (UDP/500). Для её настройки нам надо задать политику создания первичного (служебного) туннеля и ключ для аутентификации.
Читать продолжение записи »

 

Метки: , , ,
Опубликовано: Vyatta | 6 комментариев »

Опубликовано 14 Февраль , 2010

Cisco GET VPN — новая технология от Cisco, призванная обеспечить безопасность туннелей через провайдерские соединения, обладающая рядом полезных особенностей. Ее описанию, особенностям и настройке и посвящена эта статья.

Начнем по традиции с постановки задачи. Классическая топология представляет собой несколько филиалов, соединенных с помощью провайдерской сети.

image

Требуется соединить сети за филиалами между собой. Наиболее распространенное решение — IPSec и в частности — DMVPN. Который кроме всего прочего, является туннельной технологией и позволяет использовать публичные Internet каналы. Недостатком такого решения является то, что сеть строится по принципу hub-n-spoke, а туннели spoke-to-spoke устанавливаются по необходимости, что не совсем удобно.
Читать продолжение записи »

 

Метки: , ,
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы | 1 комментарий »