Маршрутизаторы Cisco как
устройства обеспечения
информационной
безопасности
Петякшев Евгений, Системный инженер Cisco

2xC...
План

1) Обзор проблем безопасности филиальных сетей
2) Защита самого маршрутизатора от DOS атак (CoPP, CPPr)
3) Межсетево...
Безопасные Удаленные Офисы
SaaS

Центральный
Офис

Branch
Интернет
ЦОД

Remote Worker

Сложности:
Ограниченные или
отсутст...
Безопасные Удаленные Офисы

Центральный
Офис

Полный функционал безопасности
Удаленных Офисов
Лучшее ROI

$
+

Безопасност...
Почему стоит инвестировать ?
Видео это новый ‘голос’, хотите ли вы быть человеком, который вовремя
не среагировал на требо...
Массштабируемые VPN решения с веб безопасностью
•

Небезопасный доступ, Malware
могут скомпрометировать сеть
филиала, цент...
Непрерывность бизнес-процессов
с помощью безопасных сервисов WAN, LAN, Wireless
•

Ненадежное WAN соединение,
потеря WAN =...
Оптимизация сети, Cisco Thread Defence
•

Рост объема WAN трафика
филиалов

•

Высокие затраты на ряд
решений по оптимизац...
Плотность интерфейсов

Маршрутизаторы Cisco ISRg2
3900 Series
3900E Series

Маршрутизаторы с
интегрированными
сервисами - ...
Плотность интерфейсов

Маршрутизаторы Cisco ASR
Центральный офис / Агрегация WAN
Маршрутизаторы с
интегрированными
сервиса...
Безопасность самого
маршрутизатора: CoPP, CPPr
Терминология
Вх. пакеты

Вых. пакеты

Data
Service
CEF

Control
Management

Route
Processor
CPU

Transit
Receive
Exception
Определение проблем:

- Высокие требования к безотказной работе сети
- DOS атаки, направленные на Control Plane маршрутиза...
Control Plane Policing (CoPP)
CONTROL PLANE
Management
SNMP, Telnet

ICMP

IPv6

INPUT
to the Control Plane

Routing
Updat...
CoPP Настройка
• Для классификации сервисов Control Plane используется MQC
• Class maps и policy maps определяются для все...
Control Plane Protection (CPPr)
Вх. пакеты

Вых. пакеты

Sub-интерфейсы:
1

2
3

Route
Processor
CPU

1) Host
2) Transit
3...
Control Plane Host
• Сбрасывает все пакеты направленные на закрытые или не на

используемые маршрутизатором TCP/UDP порты....
Control Plane Host (Queue Threshold)
• Ограничения на уровне отдельных протоколов (BGP, DNS, FTP, HTTP,
IGMP, SNMP, SSH, S...
Control Plane Transit
• Трафик ‘через’ маршрутизатор, обрабатываемый на RP (не CEF)

Пример: ограничение фрагментированных...
Control Plane CEF Exception
• Пакеты вызывающие CEF-Exeption
• Весь не-IP трафик от хостов
• Примеры: CDP, не-UDP локальны...
Control Plane
BGP
SNMP
OSPF

Feature
path

Глобальный IP input queue

Port filter

Queue
threshold

Policer

Policer
Polic...
Межсетевой экран с политиками на основе зон
(Cisco ZFW)
Межсетевой экран с политиками на основе зон (Cisco ZFW)
Зона - набор интерфейсов
с определенным общим
"уровнем доверия”

D...
Межсетевой экран с политиками на основе зон (Cisco ZFW)
1) Настраиваем зоны МСЭ
2) Помещаем интерфейсы в зоны
3) Определяе...
Межсетевой экран с политиками на основе зон (Cisco ZFW)
4) Описываем трафик с помощью class-map
5) Описываем действия с тр...
ZFW: Дополнительные элементы политик
ZFW1# show parameter-map type inspect default
audit-trail off
alert on
max-incomplete...
ZFW: Дополнительный функционал: ISRg2, ASR
ZBF1

- Firewall Stateful Interchassis Redundancy

ZBF2
Failover

- User-based ...
Присвоение меток SGT
Профессор
(SGT 7)

Статическая метка
SGT для серверов

Менеджер
(SGT 6)
SGT=7

Пользователи,
устройст...
Формат фрейма с SGT
Аутентифицировано
Зашифровано

DMAC

SMAC

802.1AE Header

802.1Q

CMD

ETYPE

PAYLOAD

ICV

CRC

Over...
Secure Group Access Zone-Based Policy Firewall
Zone-Based Policy Firewall с учетом SGT
Веб-сервер

SGT 21

Inside

Int 1

Int 3

ZFW

Outside

SGT 22

SXP

object-group ...
IOS Cloud Web Security
Сканирование контента с помощью IOS Cloud Web
Security
parameter-map type content-scan global
server scansafe primary name...
Сканирование контента с помощью IOS Cloud Web
Security
IOS# show content-scan statistics
Current HTTP sessions: 0
Current ...
FlexVPN, унифицированный метод построения
виртуальных частных сетей
EazyVPN, DMVPN, Crypto Maps
+ GRE, VTI, DVTI, IPSEC, Get VPN, ….
crypto isakmp policy 1
encr 3des
authentication pre-share...
IKEv2
HDR, SAi, KEi, NONCEi
HDR, SAr, KEr, NONCEr, [CERTREQ]
HDR, IDi, [CERT], [CERTREQ], [IDr], AUTH, SA2i, TSi, TSr
HDR,...
Зачем мигрировать на IKEv2 ?
1) IKEv2 более стоек к DOS атакам (HDR, N(coockie),…)

2) IKEv2 это стандарт, в котором есть ...
Зачем мигрировать на IKEv2 ?
6) В IKEv2 пакетах, можно обмениваться на URL ссылки сертификатов
(меньше payload)
7) Поддерж...
IKEv2 конфигурация
crypto ikev2 proposal PROPOSAL-1
encryption 3des aes-cbc-128 aes-cbc-256
integrity sha512 md5
group 2 5...
Extensible Authentication Protocol (EAP)
No X-AUTH in IKEv2; используется EAP
EAP – framework для различных методов:
• Tun...
Что может FlexVPN

Один VPN, все работает
FlexVPN Site-to-Site
Site-to-Site
LAN2

LAN1
crypto ikev2 keyring KR
peer RightPeer
address 172.16.2.1
pre-shared-key local CISCO
pre-shared ke...
FlexVPN Hub and spoke
Hub&Spoke
Virtual-Access
Interfaces

Radius Server
Static Tunnel
Interface
Hub&Spoke; Spoke конфигурация
HUB

R3-Spoke
LAN1

Radius Server
aaa authorization network default local

Сonfig-exchange
I...
Hub&Spoke; HUB
конфигурация

HUB

LAN2

R3-Spoke

LAN1

Radius Server
aaa authorization network default group radius

PSK ...
Отказоустойчивость HUB
LAN
.1

Активные туннели
на обоих HUB

Маршруты либо
IKEv2 либо
маршрутизация

Active/standby, либо...
Отказоустойчивость HUB
Stateless Failover

LAN

Virtual IP (HSRP)
Tunnels down
crypto ikev2 client flexvpn
default
client ...
FlexMesh
(DMVPN “phase 4”)
FlexMesh
LAN
Virtual-Access Interfaces

172.16.0.1
Static Tunnel Interface

Virtual-Access Interfaces
FlexMesh, NHRP
Spoke1

Spoke2

HUB
VA 1

VA2

Redirect
Resolution request

Resolution request
IKEv2 init
IKEv2 init

Resol...
FlexMesh, конфигурация
HUB

crypto ikev2 profile default
match identity remote fqdn domain cisco.com
identity local fqdn h...
“Все-в-одном”
LAN1

VRF1
VRF2

Remote Access

Isolated branches

FlexMesh
Производительность и массштабируемость
Release 3.5
w/out QoS

ASR1001

ASR1002-F

ASR1000-ESP5

ASR1000ESP10

ASR1000ESP20...
Сертифицированный VPN
VPN-решения Cisco в России
VPN-решения Cisco признаны лучшими во многих
странах и признаны стандартом де-факто многими
спе...
Cisco – лицензиат ФСБ
Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-решения,
поддерживающие российские криптоалгоритмы...
Управление безопасностью сети с помощью
Cisco Prime Infrastructure
Управление безопасностью с помощью Cisco
Prime Infrastructure
Управление безопасностью с помощью Cisco
Prime Infrastructure
Управление безопасностью с помощью Cisco
Prime Infrastructure
Выводы
Разницав подходе Cisco и ‘остальных’
Несколько устройств
Обычный подход

Одно устройство
Подход Cisco
Маршрутизация
Коммут...
В заключении

13.01.2014

© 2013 Cisco and/or its affiliates. All rights reserved.

88
Спасибо
Пожалуйста, заполните анкеты.
Ваше мнение очень важно для нас.
Contacts:
Name
Phone
E-mail
13.01.2014

© 2013 Cisc...
 Маршрутизаторы Cisco как устройства обеспечения информационной безопасности
Upcoming SlideShare
Loading in …5
×

Маршрутизаторы Cisco как устройства обеспечения информационной безопасности

1,355 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,355
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
29
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Маршрутизаторы Cisco как устройства обеспечения информационной безопасности

  1. 1. Маршрутизаторы Cisco как устройства обеспечения информационной безопасности Петякшев Евгений, Системный инженер Cisco 2xCCIE (Security, Data Center) #36020
  2. 2. План 1) Обзор проблем безопасности филиальных сетей 2) Защита самого маршрутизатора от DOS атак (CoPP, CPPr) 3) Межсетевой экран с политиками на основе зон (ZBF) - Advanced features - Security Group Access - Zone Based Firewall с учетом меток SGT 4) IOS Cloud Web Security 5) FlexVPN, унифицированный метод построения виртуальных частных сетей 6) Сертифицированный VPN 7) Выводы
  3. 3. Безопасные Удаленные Офисы SaaS Центральный Офис Branch Интернет ЦОД Remote Worker Сложности: Ограниченные или отсутствующие ресурсы IT и безопасности в Удаленных Офисах © 2013 Cisco and/or its affiliates. All rights reserved. Доступ к Облакам и ресурсам Центрального офиса Соблюдение требований регуляторов Cisco Confidential 3
  4. 4. Безопасные Удаленные Офисы Центральный Офис Полный функционал безопасности Удаленных Офисов Лучшее ROI $ + Безопасность + оптимизация приложений ISGR2 Решение CISCO: VPN (IPSEc, GET VPN, DMVPN, FlexVPN, SSL), FW, IPS, CWS client; Visibility (AVC, NetFlow); © 2013 Cisco and/or its affiliates. All rights reserved. Поддержка SGT Лучший возврат инвестиций (Простота, надежность, Целостность), Экономия инвестицый за счет Split Tunneling WAN оптимизация Беспроводная сеть Встроенный коммутатор Встроенный модуль сервера 4 Cisco Confidential
  5. 5. Почему стоит инвестировать ? Видео это новый ‘голос’, хотите ли вы быть человеком, который вовремя не среагировал на требования бизнеса в области коммуникаций ? Консолидация и централизация удаленных филиалов происходит уже сегодня; Cisco UCS Express расширяет унифицированный ЦОД до удаленных филиалов Бизнес расширяется, защитите свои инвистиции с помощью ISR/ASR, увеличьте доступность филиалов резервным 3G каналом Сэкономьте на расширении полосы пропускания WAN канала с помощью WAAS Express, до 10x увеличения производительности Будьте готовы удовлетворять требования регуляторов
  6. 6. Массштабируемые VPN решения с веб безопасностью • Небезопасный доступ, Malware могут скомпрометировать сеть филиала, центрального офиса и привести к остановке сервисов • Массштабируемые, безопасные филиальные сети используя VPN решения: DMVPN, FlexVPN,… • Упрощенное решение с тесно интегрируемыми сервисами маршрутизации, безопасности и пр. • Сложность решений безопасности в филиалах и невозможность централизованного обслуживания – дыры безопасности • Эффективная защита от угроз с помощью Zone-Based Firewall, Cisco Cloud Web Security • Меньшая стоимость по сравнению с выделенными аплайнсами; целостные сервисы безопасности • Удовлетворение требований регуляторов ДО ПОСЛЕ HQ Branch WAN HQ Branch Branch Secure WAN Branch
  7. 7. Непрерывность бизнес-процессов с помощью безопасных сервисов WAN, LAN, Wireless • Ненадежное WAN соединение, потеря WAN == потеря бизнес процессов в филиалах • Автоматический переход на подключение по 3G/4G LTE в случае потери WAN сервисов • Высокая стоимость внедрения проводных и беспроводных сервисов в филиалах • Интегрированные сервисы безопасности, LAN, WAN, беспроводная сеть в одном устройстве • 802.11n беспроводные сервисы в филиалах ДО Непрерывность бизнес процессов и катастрофоустойчивость с автоматическим провижнингом • Гибкое внедрение – ‘плати по мере роста’ • Эффективное централизованное управление и мониторинг HQ HQ ISP/WAN • 3G/4G Cellular ISP/WAN ПОСЛЕ
  8. 8. Оптимизация сети, Cisco Thread Defence • Рост объема WAN трафика филиалов • Высокие затраты на ряд решений по оптимизации WAN • AVC, IP SLA,… • Безопасность CISCO PRIME INFRASTRUCTURE • Высокая стоимость решений • Отсутствие информации о событиях безопасности в филиальной сети Сеть готова к видео • Безопасная и прозрачная оптимизация WAN • Оптимизация видео и трафика приложений • MediaNet – сеть ‘знает’ о трафике видео • Гибкие модели внедрения • Visibility (AVC, netflow) и контроль • Видимость и управление событиями безопасности филиальной сети • Удаленный офис – сенсор в решении Cisco Cyber Thread Defense в центральном офисе Удаленный офис Internet WAN Оптимизация VDI решений Оптимизация приложений IPSLA PA PfR QoS MediaNet WAAS/ WAASX VDS CTD
  9. 9. Плотность интерфейсов Маршрутизаторы Cisco ISRg2 3900 Series 3900E Series Маршрутизаторы с интегрированными сервисами - Безопасность, Голос, Видео, БЛВС, Оптимизация WAN Новинка 4451-X 2951 Филиал 2921 2911 2901 1900 Series 800 Series 25Mbps 35Mbps Производительность с включенными сервисами 50Mbps 75Mbps 100Mbps 250Mbps 500Mbps 2Gbps 350Mbps
  10. 10. Плотность интерфейсов Маршрутизаторы Cisco ASR Центральный офис / Агрегация WAN Маршрутизаторы с интегрированными сервисами - Безопасность, Голос, Видео, БЛВС, Оптимизация WAN ASR 1000, ESP40 ASR 1000, ESP20 ASR 1000, ESP10 ASR 1001, ESP2.5G/5G Производительность с включенными сервисами 2,5 Gbps 10 Gbps 20 Gbps 40 Gbps
  11. 11. Безопасность самого маршрутизатора: CoPP, CPPr
  12. 12. Терминология Вх. пакеты Вых. пакеты Data Service CEF Control Management Route Processor CPU Transit Receive Exception
  13. 13. Определение проблем: - Высокие требования к безотказной работе сети - DOS атаки, направленные на Control Plane маршрутизатора - DOS атаки направленные на RP могут приводить к высокой утилицации RP, потеря трафика - Неправильно настроенные сетевые устройства
  14. 14. Control Plane Policing (CoPP) CONTROL PLANE Management SNMP, Telnet ICMP IPv6 INPUT to the Control Plane Routing Updates Management SSH, SSL ….. OUTPUT from the Control Plane CONTROL PLANE POLICING SILENT MODE Processor Switched Packets PACKET BUFFER Locally Switched Packets INCOMING PACKETS OUTPUT PACKET BUFFER CEF/FIB LOOKUP Пакеты направленные к control plane потребляют ресурсы Route Processor (RP) Входящий трафик к Control Plane может быть ограничен -> освобождение ресурсов RP, нормальная обработка пользовательского трафика © 2004 Cisco Systems, Inc. All rights reserved. 15
  15. 15. CoPP Настройка • Для классификации сервисов Control Plane используется MQC • Class maps и policy maps определяются для всего control plane Пример ограничения UDP трафика до 16 Kbps, предотвращение UDP флуда:
  16. 16. Control Plane Protection (CPPr) Вх. пакеты Вых. пакеты Sub-интерфейсы: 1 2 3 Route Processor CPU 1) Host 2) Transit 3) CEF-Exeption
  17. 17. Control Plane Host • Сбрасывает все пакеты направленные на закрытые или не на используемые маршрутизатором TCP/UDP порты. • Обрабатывает TCP/UDP трафик направленный к маршрутизатору • Большее количество функционала чем на CEF-exeption и transit Sub- интерфейсах: policing, port filtering и per-protocol queue thresholds Пример: сброс всего трафика, кроме TCP 3020, 3040 или UDP 520
  18. 18. Control Plane Host (Queue Threshold) • Ограничения на уровне отдельных протоколов (BGP, DNS, FTP, HTTP, IGMP, SNMP, SSH, SYSLOG, TELNET, TFTP, host-protocols) • Только для Host Sub-интерфейсе • Защита от переполнения входной очереди каким-либо одним протоколом Пример: настройка queue-limit для HTTP – 100 пакетов
  19. 19. Control Plane Transit • Трафик ‘через’ маршрутизатор, обрабатываемый на RP (не CEF) Пример: ограничение фрагментированных пакетов до 1Mpps:
  20. 20. Control Plane CEF Exception • Пакеты вызывающие CEF-Exeption • Весь не-IP трафик от хостов • Примеры: CDP, не-UDP локальный мультикаст, ARP... Пример: уменьшение влияния широковещательных штормов, ограничение не-IP трафика до 100 пакетов в секунду:
  21. 21. Control Plane BGP SNMP OSPF Feature path Глобальный IP input queue Port filter Queue threshold Policer Policer Policer CoPP перенаправление Классификация Буффер Буффер Вх. пакет Вых. пакет CEF/FIB lookup
  22. 22. Межсетевой экран с политиками на основе зон (Cisco ZFW)
  23. 23. Межсетевой экран с политиками на основе зон (Cisco ZFW) Зона - набор интерфейсов с определенным общим "уровнем доверия” DMZ Int 2 Inside ДОВЕРЕННАЯ зона Int 1 Int 3 ZFW Политика зоны OUTBOUND Outside НЕДОВЕРЕННАЯ зона Политики ZFW являются однонаправленными: от источника к получателю
  24. 24. Межсетевой экран с политиками на основе зон (Cisco ZFW) 1) Настраиваем зоны МСЭ 2) Помещаем интерфейсы в зоны 3) Определяем пары зон между которыми будет ходить трафик zone security Inside zone security DMZ zone security Outside DMZ int gi 0/0 zone-member security Inside Int 2 Inside Int 1 Int 3 ZFW In_to_Out Outside
  25. 25. Межсетевой экран с политиками на основе зон (Cisco ZFW) 4) Описываем трафик с помощью class-map 5) Описываем действия с трафком с помощью policy-map 6) Создаем пары зон и применяем действия к парам зон ip access-list extended INTERNAL_Lan permit ip 10.0.0.0 0.0.0.8 any ! class-map type inspect match-all INTERNAL_Lan match access-group INTERNAL_Lan ! class-map type inspect match-any In_to_Out_protocols match protocol http match protocol https match protocol dns match protocol icmp ! class-map type inspect match-all In_to_Out_Cmap match class-map In_to_Out_protocols match class-map INTERNAL_Lan policy-map type inspect In_to_Out class type inspect In_to_Out_Cmap inspect zone-pair security In_to_out_ZP source Inside destination Outside service-policy type inspect In_to_Out WIN !
  26. 26. ZFW: Дополнительные элементы политик ZFW1# show parameter-map type inspect default audit-trail off alert on max-incomplete low 2147483647 max-incomplete high 2147483647 one-minute low 2147483647 one-minute high 2147483647 udp idle-time 30 icmp idle-time 10 dns-timeout 5 tcp idle-time 3600 tcp finwait-time 5 tcp synwait-time 30 tcp max-incomplete host 4294967295 block-time 0 sessions maximum 2147483647 parameter-map type inspect TRACKING audit-trail on parameter-map type inspect global log dropped-packets enable policy-map type inspect Outbond class type inspect CMAP2 inspect parameter-map-name PMAP1 parameter-map type inspect-zone ZONE_PMAP_1 tcp syn-flood rate per-destination 400 max-destination 10000 parameter-map type inspect global tcp syn-flood limit number ASR Полезный совет: указывать имена элементов политики в верхнем регистре. Поиск в интерфейсе командной строки производится с учетом регистра
  27. 27. ZFW: Дополнительный функционал: ISRg2, ASR ZBF1 - Firewall Stateful Interchassis Redundancy ZBF2 Failover - User-based access control with Zone-based Policy Firewall Contractor Server1 Inside ZBF1 Radius Server Outside class-map type inspect Contractors_CM match user-group CONTRACTOR Cisco av pair: supplicant-group = CONTRACTOR - Security Group Access Zone-Based Policy Firewall
  28. 28. Присвоение меток SGT Профессор (SGT 7) Статическая метка SGT для серверов Менеджер (SGT 6) SGT=7 Пользователи, устройства SGT Enforcement SXP IT портал (SGT 4) 10.1.100.10 VLAN100 СWA Campus Network 802.1X, MAB, LWA Catalyst® 2960 MAB Устройство без агента Динамическая метка SGT Untagged Frame Catalyst 6K Core Nexus® 7000 Distribution Catalyst® 4948 Публичный веб-сервер (SGT 8) ISE Active Directory VLAN200 Внутренний портал (SGT 9) 10.1.200.200 10.1.200.10 Tagged Frame 10.1.200.100
  29. 29. Формат фрейма с SGT Аутентифицировано Зашифровано DMAC SMAC 802.1AE Header 802.1Q CMD ETYPE PAYLOAD ICV CRC Overhead: 8 to 64 bytes with options CMD EtherType Version Length SGT Opt Type SGT Value Other CMD Options Cisco мета данные Ethernet фрейм поля  802.1AE Header CMD ICV это L2 802.1AE + TrustSec 8  Фрейм всегде тегируется на входящем устройстве  Тэгирование проходит ДО других L2 процессов, например QoS
  30. 30. Secure Group Access Zone-Based Policy Firewall
  31. 31. Zone-Based Policy Firewall с учетом SGT Веб-сервер SGT 21 Inside Int 1 Int 3 ZFW Outside SGT 22 SXP object-group security User01 security-group tag-id 21 ! object-group security Web-Server security-group tag-id 22 policy-map type inspect OUTBOUND_PM class type inspect OUTBOUND_CM inspect class-map type inspect match-all OUTBOUND_CM match group-object security source User01 match group-object security destination Web-Server match protocol http zone-pair security In_to_Out source INSIDE destination OUTSIDE service-policy type inspect OUTBOUND_PM
  32. 32. IOS Cloud Web Security
  33. 33. Сканирование контента с помощью IOS Cloud Web Security parameter-map type content-scan global server scansafe primary name proxy2261.scansafe.net port http 8080 https 8080 server scansafe secondary name proxy1363.scansafe.net port http 8080 https 8080 license 0 CD4B25B79D131F08ABCDEFABCDEFFFFF source interface Gi0/0 timeout server 30 user-group ciscogroup10 username ciscouser10 server scansafe on-failure block-all interface Gi0/0 ip nat outside content-scan out CWS 2 1 IOS 3 Internet
  34. 34. Сканирование контента с помощью IOS Cloud Web Security IOS# show content-scan statistics Current HTTP sessions: 0 Current HTTPS sessions: 0 Total HTTP sessions: 83 Total HTTPS sessions: 8 White-listed sessions: 0 Time of last reset: never IOS# show content-scan summary Primary: 201.94.155.42 (Up)* Secondary: 70.39.231.99 (Up) Interfaces: Dialer1 IOS# show content-scan session active Protocol Source Destination Bytes Time HTTP 172.19.99.101:57152 209.222.159.185:80 (1635:331595) URI: www.maa.org Username/usergroup(s): ciscouser10/ ciscogroup10 HTTP 172.19.99.101:57153 209.222.159.185:80 (2157:53326) 00:00:12 URI: www.maa.org Username/usergroup(s): ciscouser10/ ciscogroup10 HTTP 172.19.99.101:57161 74.125.234.10:80 (1525:833) 00:00:09 URI: www.google-analytics.com Username/usergroup(s): ciscouser10/ ciscogroup10 00:00:12
  35. 35. FlexVPN, унифицированный метод построения виртуальных частных сетей
  36. 36. EazyVPN, DMVPN, Crypto Maps + GRE, VTI, DVTI, IPSEC, Get VPN, …. crypto isakmp policy 1 encr 3des authentication pre-share crypto isakmp policy 1 group 2 encr 3des crypto isakmp policy 1 crypto isakmp client configuration group cisco authentication pre-share encr 3des key cisco123 group 2 authentication pre-share pool dvti crypto ipsec transform-set vpn-ts-set esp-3des esp-sha-hmac group 2 acl 100 mode transport crypto isakmp client configuration group cisco crypto isakmp profile dvti match identity group cisco client authentication list lvpn isakmp authorization list lvpn crypto ipsec profile vpnprofile set transform-set vpn-ts-set interface Tunnel0 key pr3sh@r3dk3y pool vpnpool acl 110 ip client configuration address respond address 10.0.0.254 255.255.255.0 crypto ipsec transform-set vpn-ts-set esp-3des esp-sha-hmac virtual-template 1 crypto dynamic-map dynamicmap 10 ip nhrp map multicast dynamic crypto ipsec transform-set dvti esp-3des esp-sha-hmac ip nhrp network-id 1 crypto ipsec profile dvti set transform-set dvti set isakmp-profile dvti tunnel source Serial1/0 crypto map client-vpn-map client authentication list userauthen tunnel protection ipsec profile vpnprof crypto map client-vpn-map isakmp authorization list groupauthor bgp log-neighbor-changes tunnel protection ipsec profile dvti redistribute static neighbor DMVPN peer-group ip local pool dvti 192.168.2.1 192.168.2.2 ip route 0.0.0.0 0.0.0.0 10.0.0.2 reverse-route tunnel mode gre multipoint interface Virtual-Template1 type tunnel ip route 192.168.0.0 255.255.0.0 Null0router bgp 1 ip unnumbered Ethernet0/0 tunnel mode ipsec ipv4 set transform-set vpn-ts-set bgp listen range 10.0.0.0/24 peer-group DMVPN access-list 100 permit ip 192.168.1.0 0.0.0.255 DMVPN remote-as 1 neighbor any no auto-summary crypto map client-vpn-map client configuration address initiate crypto map client-vpn-map client configuration address respond crypto map client-vpn-map 10 ipsec-isakmp dynamic dynamicmap interface FastEthernet0/0 ip address 83.137.194.62 255.255.255.240 crypto map client-vpn-map ip local pool vpnpool 10.10.1.1 10.10.1.254 access-list 110 permit ip 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255
  37. 37. IKEv2 HDR, SAi, KEi, NONCEi HDR, SAr, KEr, NONCEr, [CERTREQ] HDR, IDi, [CERT], [CERTREQ], [IDr], AUTH, SA2i, TSi, TSr HDR, IDr, [CERT], AUTH, SA2, TSi, TSr HDR AUTH SA TSi,r IDi,r KE NONCEi,r
  38. 38. Зачем мигрировать на IKEv2 ? 1) IKEv2 более стоек к DOS атакам (HDR, N(coockie),…) 2) IKEv2 это стандарт, в котором есть поддержка NAT transparency (хэш source IP+port -> N, (,… NONCEi, N(NATT) 3) Dead Peer Detection (INFORMATIONAL обмен без payload) -> лучшее interoperability 4) Меньше overhead по сравнению с IKEv1 5) Меньшее время для процесса rekey
  39. 39. Зачем мигрировать на IKEv2 ? 6) В IKEv2 пакетах, можно обмениваться на URL ссылки сертификатов (меньше payload) 7) Поддержка EAP (EAP-IKEv2) – authentication remote eap [query-identity] 8) Multiple Crypto engines (например один для IPv4, другой для IPv6) 9) Reliability (использует Sequence Numbers) , error-processing 10) Более ‘прозрачный’ debug 11) Поддержка Suit-B (SHA-2, ECDSA, signature (ECDSA-sig)) (RFC 4869); AES-GCM (128, 256); AES-GMAC; DH using Elliptic Curves)
  40. 40. IKEv2 конфигурация crypto ikev2 proposal PROPOSAL-1 encryption 3des aes-cbc-128 aes-cbc-256 integrity sha512 md5 group 2 5 crypto ikev2 keyring I-KEYRING-1 peer VPN-PEER-1 address 10.10.10.1 identity address email R1@cisco.com pre-shared-key local 0 cisco_local pre-shared-key remote 0 cisco_remote crypto ikev2 name-mangler NM-01 email username crypto ikev2 policy I-POLICY-1 proposal PROPOSAL-1 match fvrf VPN crypto ikev2 profile IKE-Profile-01 authentication local pre-share authentication remote rsa-sig aaa authorization user cert ISE-01 name-mangler NM_01 identity local email R1@cisco.com keyring I-KEYRING-1 match certificate CM-01 pki trustpoint TRUSTPOINT_01 Теперь можем контролировать какое IKE-ID посылает initiator, какие поля этого IKE-ID может использовать responder. Гибкость !
  41. 41. Extensible Authentication Protocol (EAP) No X-AUTH in IKEv2; используется EAP EAP – framework для различных методов: • Tunneling - EAP-TLS, EAP/PSK, EAP-PEAP… • Non-tunneling – EAP-MSCHAPv2, EAP-GTC, EAP-MD5,… Дополнительные IKE_AUTH сообщения Аутентифицирует только initiator to responder Responder ДОЛЖЕН использовать сертификат Количество сообщений увеличивается до (12-16) NonTunneling Recommen ded
  42. 42. Что может FlexVPN Один VPN, все работает
  43. 43. FlexVPN Site-to-Site
  44. 44. Site-to-Site LAN2 LAN1 crypto ikev2 keyring KR peer RightPeer address 172.16.2.1 pre-shared-key local CISCO pre-shared key remote CISCO crypto ikev2 keyring KR peer LeftPeer address 172.16.1.1 pre-shared-key local CISCO pre-shared key remote CISCO crypto ikev2 profile default match identity fqdn RouterRight.cisco.com identity local fqdn RouterLeft.cisco.com authentication local pre-shared authentication remote pre-shared keyring local KR crypto ikev2 profile default match identity fqdn RouterLeft.cisco.com identity local fqdn RouterRight.cisco.com authentication local pre-shared authentication remote pre-shared keyring local KR interface Tunnel0 ip address 10.0.0.1 255.255.255.252 tunnel source FastEthernet0/0 tunnel destination 172.16.2.1 tunnel protection ipsec profile default interface Tunnel0 ip address 10.0.0.2 255.255.255.252 tunnel source FastEthernet0/0 tunnel destination 172.16.1.1 tunnel protection ipsec profile default ip route <LAN2> Tunnel0 м.б. dynamic ip route <LAN1> Tunnel0
  45. 45. FlexVPN Hub and spoke
  46. 46. Hub&Spoke Virtual-Access Interfaces Radius Server Static Tunnel Interface
  47. 47. Hub&Spoke; Spoke конфигурация HUB R3-Spoke LAN1 Radius Server aaa authorization network default local Сonfig-exchange IP address назначает HUB crypto ikev2 profile default match certificate CERTMAP identity local fqdn R3-Spoke.cisco.com authentication remote rsa-sig authentication local pre-shared keyring local KR pki trustpoint CA aaa authorization group cert list default default interface Tunnel0 ip address negotiated tunnel source FastEthernet0/0 tunnel destination 172.16.0.1 tunnel protection ipsec profile default access-list 99 permit <LAN1> crypto ikev2 authorization policy default route set access-list 99 crypto ikev2 keyring KR peer HUB address 172.16.0.1 pre-shared-key local cisco
  48. 48. Hub&Spoke; HUB конфигурация HUB LAN2 R3-Spoke LAN1 Radius Server aaa authorization network default group radius PSK на RADIUS Virtual-Access из Virtual-Template crypto ikev2 profile default match identity remote fqdn domain cisco.com identity local dn authentication local rsa-sig authentication remote pre-shared keyring aaa default name-mangler extract-host pki trustpoint CA aaa authorization user psk cached virtual-template 1 interface virtual-template1 type tunnel ip unnumbered loopback0 tunnel protection ipsec profile default ipsec:ikev2-password-remote=cisco ip:interface-config=policy-map PM out framed-ip=10.0.0.1 ipsec:route-set=interface ipsec:route-set=prefix <LAN2> ipsec:routeaccept=any IKEv2 routing aaa group server radius radius server-private 192.168.100.254 auth-port 1812 acct-port 1813 key cisco123 crypto ikev2 name-mangler extract-host fqdn hostname
  49. 49. Отказоустойчивость HUB LAN .1 Активные туннели на обоих HUB Маршруты либо IKEv2 либо маршрутизация Active/standby, либо loadbalance .2 crypto ikev2 profile default ... dpd 30 2 on-demand interface Tunnel0 ip address negotiated tunnel source FastEthernet0/0 tunnel destination <HUB1> tunnel protection ipsec profile default interface Tunnel1 ip address negotiated tunnel source FastEthernet0/0 tunnel destination <HUB2> tunnel protection ipsec profile default
  50. 50. Отказоустойчивость HUB Stateless Failover LAN Virtual IP (HSRP) Tunnels down crypto ikev2 client flexvpn default client connect tunnel 0 peer 1 172.16.0.1 peer 2 172.16.0.2 interface Tunnel0 ip address negotiated tunnel source FastEthernet0/0 tunnel destination dynamic tunnel protection ipsec profile default
  51. 51. FlexMesh (DMVPN “phase 4”)
  52. 52. FlexMesh LAN Virtual-Access Interfaces 172.16.0.1 Static Tunnel Interface Virtual-Access Interfaces
  53. 53. FlexMesh, NHRP Spoke1 Spoke2 HUB VA 1 VA2 Redirect Resolution request Resolution request IKEv2 init IKEv2 init Resolution Reply
  54. 54. FlexMesh, конфигурация HUB crypto ikev2 profile default match identity remote fqdn domain cisco.com identity local fqdn hub.cisco.com authentication local rsa-sig authentication remote rsa-sig pki trustpoint CA aaa authorization group cert list default default virtual-template 1 interface Virtual-Template1 type tunnel ip unnumbered Loopback0 ip nhrp network-id 1 ip nhrp redirect tunnel protection ipsec profile default Spoke crypto ikev2 profile default … virtual-template 1 interface Tunnel0 ip address negotiated ip nhrp network-id 1 ip nhrp shortcut virtual-template 1 ip nhrp redirect tunnel source Ethernet0/0 tunnel destination <HUB> tunnel protection ipsec profile default interface Virtual-Template1 type tunnel ip unnumbered Tunnel0 ip nhrp network-id 1 ip nhrp shortcut virtual-template 1 ip nhrp redirect tunnel protection ipsec profile default
  55. 55. “Все-в-одном” LAN1 VRF1 VRF2 Remote Access Isolated branches FlexMesh
  56. 56. Производительность и массштабируемость Release 3.5 w/out QoS ASR1001 ASR1002-F ASR1000-ESP5 ASR1000ESP10 ASR1000ESP20 ASR1000ESP40 Throughput 1.8 / 1Gbps 1 / 0.8 Gbps 1.8 / 1 Gbps 4 / 2.5 Gbps 7 / 6 Gbps 11 / 7.4 Gbps 4000 1000 1000 1000 / 4000 1000 / 4000 1000 / 4000 EIGRP neighbors 4000 1000 1000 1000 / 4000 1000 / 4000 1000 / 4000 BGP neighbors 4000 1000 1000 1000 / 4000 1000 / 4000 1000 / 4000 (Max / IMIX) Max tunnels (RP1 / RP2) Release 3.5 w/ QoS ASR1001 ASR1000ESP20 ASR1000ESP40 Throughput (Max / IMIX) 1.8 / 1Gbps 7 / 6 Gbps 11 / 7.4 Gbps Max tunnels (RP2 only) 2000 2000 2000 Max tunnels 2000 2000 2000
  57. 57. Сертифицированный VPN
  58. 58. VPN-решения Cisco в России VPN-решения Cisco признаны лучшими во многих странах и признаны стандартом де-факто многими специалистами Использование VPN-решений Cisco в России сопряжено с рядом трудностей  Порядок ввоза на территорию Таможенного союза шифровальных средств  Требование использования национальных криптографических алгоритмов  Обязательная сертификация СКЗИ
  59. 59. Cisco – лицензиат ФСБ Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-решения, поддерживающие российские криптоалгоритмы на базе оборудования Cisco Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625, 1241626 от 28 февраля 2011 года  Сертификат по классу КС1/КС2/КС3 Решение для удаленных офисов • На базе модуля для ISR G1 и G2 (2800/2900/3800/3900)
  60. 60. Управление безопасностью сети с помощью Cisco Prime Infrastructure
  61. 61. Управление безопасностью с помощью Cisco Prime Infrastructure
  62. 62. Управление безопасностью с помощью Cisco Prime Infrastructure
  63. 63. Управление безопасностью с помощью Cisco Prime Infrastructure
  64. 64. Выводы
  65. 65. Разницав подходе Cisco и ‘остальных’ Несколько устройств Обычный подход Одно устройство Подход Cisco Маршрутизация Коммутация Безопасность Контроль Оптимизация Голос Снижение CapEx Небольшой OpEx Простая управляемость
  66. 66. В заключении 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved. 88
  67. 67. Спасибо Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас. Contacts: Name Phone E-mail 13.01.2014 © 2013 Cisco and/or its affiliates. All rights reserved.

×