маршрутизаторы Cisco как унифицированное средство обеспечения безопасности

Маршрутизаторы Cisco
как унифицированное средство
обеспечения безопасности

Оксана Санникова,
Системный инженер Cisco
osanniko@cisco.com

Содержание

• Межсетевой экран с политиками на основе зон в
действии (Zone-based Firewall)
• Функции межсетевого экрана с учетом пользователей
• Расширенные возможности фильтрации
• Технологии антиспуфинга (защиты от фальсификации)
• Основы системы предотвращения вторжений Cisco IOS
• Сертифицированный VPN
• Основные выводы

Межсетевой экран с политиками
на основе зон в действии

Межсетевой экран с политиками на основе зон (ZFW)

• Зона - набор интерфейсов с определенным общим "уровнем
доверия"
• Изменение концепции: теперь политики межсетевого экрана
определяют правила обмена между зонами (а не между
интерфейсами) Int 4

Сервер
Клиент1
Int 1

ZFW1 Int 3 ИНТЕРНЕТ
Int 2

Клиент2

ДОВЕРЕННАЯ зона Политика зоны НЕДОВЕРЕННАЯ зона
OUTBOUND

Политики ZFW являются однонаправленными: от источника к получателю

ZFW: основные элементы политик

Участник зоны Участник зоны
безопасности Z1 безопасности Z2
Int 1 ZFW1 Int 2

Политика Z1-Z2
Зона безопасности Z1 Зона безопасности Z2

zone-pair security Z1-Z2 source Z1 destination Z2
service-policy type inspect BASIC1

policy-map type inspect BASIC1
class type inspect CLASS1 class-map type inspect { match-all | match-any } CLASS1
{ inspect | pass | police | drop } a) match protocol { tcp | udp | icmp }
[…]
class type inspect CLASS-N b) match access-group { name ACL-NAME | ACL-NUM }
{ inspect | pass | police | drop } c) match class-map CLASS-MAP_NAME

class class-default
{ inspect | pass | drop }

Проверка исходящего трафика (только L4)

F1 F0
.10 .20

172.18.1.0/24 .4 ZFW1 .4 172.18.2.0/24

Установка
соединения

Политика зоны
Зона INSIDE
OUTBOUND1 Зона OUTSIDE

zone-pair security OUTBOUND1 source INSIDE destination OUTSIDE
service-policy type inspect POLICY1

policy-map type inspect POLICY1 class-map type inspect match-any TOP-CLASS1
class type inspect TOP-CLASS1 match protocol udp
inspect TRACKING match protocol tcp
class class-default
drop log

Проверка исходящего трафика (только L4)

F1 F0
.10 .20

172.18.1.0/24 .4 ZFW1 .4 172.18.2.0/24

Политика зоны Зона OUTSIDE
Зона INSIDE OUTBOUND1

ZFW1# show policy-firewall config zone-pair
Zone-pair : OUTBOUND1
ZFW1# show zone security Source Zone : INSIDE
zone self Destination Zone : OUTSIDE
Description: System defined zone Service-policy inspect : POLICY1
zone INSIDE Class-map : TOP-CLASS1(match-any)
Member Interfaces: Match protocol udp
FastEthernet0 Match protocol tcp
zone OUTSIDE Action : inspect
Member Interfaces: Parameter-map : TRACKING
FastEthernet1 Class-map : class-default(match-any)
Match any
Action : drop log
Parameter-map : Default

ZFW: подготовка для политики L3 + L4

Зона INSIDE Зона OUTSIDE

F1 F0
.10 .20
172.22.0.0/16
172.18.1.0/24 .4 ZFW1 .4 172.18.2.0/24

object-group network INSIDE1 object-group service SVCS1
172.18.1.0 255.255.255.0 tcp eq telnet
! tcp eq www
object-group network OUT1 !
172.22.0.0 255.255.0.0 object-group service SVCS2
! udp eq ntp
object-group network OUT2
host 172.18.2.20

ip access-list extended ACL1
permit object-group SVCS1 object-group INSIDE1 object-group OUT1

ZFW: политика L3 + L4 (нет других ACL-списков)


F1 F0
.10 .20
172.22.0.0/16
172.18.1.0/24 .4 ZFW1 .4 172.18.2.0/24

OUTBOUND2


policy-map type inspect POLICY2
class type inspect JOINT1 class-map type inspect match-all JOINT1
inspect TRACKING match class-map TOP-CLASS1
class class-default match access-group name ACL1
drop log

ip access-list extended ACL1

ZFW, ACL-списки и NAT
Зона INSIDE Локальное адресное Глобальное Зона OUTSIDE
пространство адресное
пространство
NAT
F0/0 F0/1.1610
.5 .20
ip nat inside .4 ZFW1 .4 ip nat outside
10.5.5.0/24 172.18.2.0/24

zone-pair security INBOUND2 source OUTSIDE destination INSIDE

Реальный Преобразованный

class type inspect JOINT2
ip nat inside source static 10.5.5.5 172.18.2.5
inspect TRACKING
class class-default
drop log
class-map type inspect match-any TOP-CLASS2
match protocol tcp
class-map type inspect match-all JOINT2
match class-map TOP-CLASS2 ip access-list extended ACL2
match access-group name ACL2
permit ip 172.18.2.0 0.0.0.255 host 10.5.5.5

ZFW: прозрачный режим работы

F0/0 F0/1.1610
.1 .2
R1
ZFW1 R2
bridge-group1 bridge-group1

10.5.5.0/24
Зона OUTSIDE
Зона INSIDE OUTBOUND1


class type inspect BASIC1 class-map type inspect match-any BASIC1
inspect TRACKING match protocol udp
match protocol icmp
class class-default
match protocol tcp
drop log

%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:BASIC1):
Start tcp session: initiator (10.5.5.1:56643) -- responder (10.5.5.2:23)

ZFW1# show policy-firewall session
Established Sessions = 1
Session 49AD3240 (10.5.5.1:56643)=>(10.5.5.2:23) tcp SIS_OPEN/TCP_ESTAB
Created 00:00:25, Last heard 00:00:13
Bytes sent (initiator:responder) [48:95]

ZFW: сценарий использования для прозрачного режима
SMTP HTTPS
Беспроводная
Беспро-
точка доступа
водный
клиент
.101 .102 Fast1 Fast0
ZFW1

192.168.2.0/24

Зона WIRED Зона WIRELESS
INBOUND1

zone-pair security INBOUND1 source WIRELESS destination WIRED

class type inspect JOINT1
inspect TRACKING
class class-default class-map type inspect match-any BASIC1
drop log match protocol tcp

class-map type inspect match-all JOINT1 ip access-list extended ACL1
match class-map BASIC1 permit tcp 192.168.2.0 0.0.0.255 host 192.168.2.101 eq 25
match access-group name ACL1 permit tcp 192.168.2.0 0.0.0.255 host 192.168.2.102 eq 443

ZFW и проверка L7: пример 1
проверка трафика FTP и использование NAT
Локальное адресное Глобальное
пространство адресное FTP
Клиент
пространство

NAT 172.17.11.102

.X Fast1 Fast0
ip nat inside ip nat outside
192.168.2.0/24 ZFW1

OUTBOUND1


class type inspect L7-CLASS1 class-map type inspect match-any L7-CLASS1
inspect TRACKING match protocol ftp
class class-default
drop log

ip nat outside source static 172.17.11.102 192.168.2.102 add-route

проверка L7 на нестандартных портах
HTTP
работает на
портах 2002
- 2003
Fast1 Fast0
.200 .40
ZFW1
192.168.2.0/24 172.17.3.0/24

Зона INSIDE Политика зоны Зона OUTSIDE
OUTBOUND1


class type inspect HTTP-CLASS class-map type inspect match-any HTTP-CLASS
inspect TRACKING match protocol http
class class-default
drop log Проверка HTTP на нестандартных портах

access-list 1 permit 172.17.3.40
ip port-map http port tcp from 2002 to 2003 list 1

сравнение заголовка ответа HTTP

HTTP
Fast1 Fast0
.200 .30
ZFW1
192.168.2.0/24 172.17.3.0/24

Зона INSIDE Политика зоны Зона OUTSIDE
OUTBOUND1


policy-map верхнего уровня
policy-map type inspect POLICY1 class-map верхнего уровня
class type inspect HTTP-CLASS class-map type inspect match-any HTTP-CLASS
inspect TRACKING match protocol http
service-policy http WEB1
class class-default
drop log
policy-map для конкретного
class-map для конкретного приложения
приложения
policy-map type inspect http WEB1
class-map type inspect http match-any HTTP1
class type inspect http HTTP1
match response header set-cookie
reset
log

ZFW: проверка трафика самого
маршрутизатора - зона «self»
Зона self (адреса Зона OUTSIDE 172.22.22.0/24
маршрутизатора)
.22
F4.201 F4.200 172.20.20.0/24 172.21.21.0/24
10.10.10.1 ZFW1 172.20.20.1 .2 R1 .2 .21 R2

OUT-SELF

zone-pair security OUT-SELF source OUTSIDE destination self
service-policy type inspect OUT-FW1

class-map type inspect match-all ICMP1
policy-map type inspect OUT-FW1 match access-group name PING1
class type inspect ICMP1
inspect TRACKING
class class-default
drop log ip access-list extended PING1
permit icmp object-group OUT1 object-group RTR-ADDR echo

object-group network RTR-ADDR
host 10.10.10.1 object-group network OUT1
host 172.20.20.1 172.20.20.0 255.255.255.0

ZFW: политики внутри зоны

Сервер
NTP

.6 Fast1 Fast0 .200
.1 ZFW1 .1
10.10.6.0/24 10.10.10.0/24

Зона INSIDE INTRAZONE1

zone-pair security INTRAZONE1 source INSIDE destination INSIDE

class type inspect TOP-CLASS2 class-map type inspect match-any TOP-CLASS2
inspect TRACKING match protocol icmp
class class-default match protocol udp
drop log

ZFW: политики внутри зоны

Сервер
NTP

.6 Fast1 Fast0 .200
.1 ZFW1 .1
10.10.6.0/24 10.10.10.0/24

Зона INSIDE INTRAZONE1

ZFW1# show zone security INSIDE ZFW1# show zone-pair security
zone INSIDE Zone-pair name INTRAZONE1
Member Interfaces: Source-Zone INSIDE Destination-Zone INSIDE
FastEthernet0 service-policy POLICY2
FastEthernet1

ZFW1# show policy-firewall session
Established Sessions = 1
Session 49CFB240 (10.10.6.6:123)=>(10.10.10.200:123) udp SIS_OPEN
Created 00:00:29, Last heard 00:00:29
Bytes sent (initiator:responder) [48:48]

Функции межсетевого экрана с
учетом пользователей

Управление доступом с учетом пользователя

Кто
пользователь?
Что за ресурс?

SRV1 SRV2
user1
user2

Имеется ли возможность предоставить доступ конкретному пользователю?
Можно ли управлять доступом к приложениям любого типа?
Имеется ли поддержка учетных записей?
Это динамический тип управления?

Базовый инструмент: прокси-сервис аутентификации

1 Telnet 172.26.26.26 Запрос прокси- SRV1
сервиса
аутентификации
Конечный
пользо-
ватель 2 5
.100 .26

172.16.100.0/24 F1 Шлюз F0 172.26.26.0/24

3 CS-ACS
Сеть
управления 4

1. Пользователь связывается по Telnet с сервером SRV1
2. Прокси-сервис аутентификации перехватывает пакет и направляет пользователю
запрос на аутентификацию
3. ZFW запрашивает сервер RADIUS
4. Сервер RADIUS в ответ направляет профиль авторизации (или отказ в доступе)
5. Пользователю предоставляется доступ к узлу назначения

ZFW с учетом пользователя

Зона INSIDE SRV1 Зона OUTSIDE
OUTBOUND1

Конечный
пользо-
ватель
Прокси-сервис
.100 аутентификации .26

172.16.100.0/24 F1 Шлюз
ZFW1 F0 172.26.26.0/24

Сеть CS-ACS
управления

1. Пользователь связывается по Telnet с сервером
2. Прокси-сервис аутентификации перехватывает пакет и направляет пользователю запрос
3. Сервер RADIUS отправляет "supplicant-group" ("группу клиента") VSA в межсетевой экран
IOS
4. Формируется отображение пользователя на группу
5. Для каждой отдельной группы создается межсетевой экран с политиками на основе зон

Расширенные возможности
фильтрации

Дополнительный анализ IP-заголовка Для
справки

Длина IP-заголовка, Общая длина IP-датаграммы.
измеряемая в Измеряется в октетах
4-байтовых (32-разрядных) (включая полезную часть и
словах заголовок)

Номер версии

32 бита

Vers(4) Hlen(4) TOS (8) Общая длина (16)
Обеспечивает
целостность
Время жизни Идентификация (16) Флаги (3) Смещение фрагм. (13) IP-заголовка
(TTL):
уменьшается на
1 каждым TTL (8) Протокол (8) Контрольная сумма заголовка (16)
маршрутизато-
ром на пути
следования IP-адрес источника (32) Обеспечивает
кратность
длины
IP-адрес получателя (32)
заголовка
32 битам
(Параметры IP) (PAD)

Указывает
протокол верхнего Поле флагов
уровня
Rsvd (=0) DF MF

Для
справки
Как формируются фрагменты

Исходная IP-заголовок
600 байтов
датаграмма

Фрагмент 1 Заголовок 1 160 байтов




Длина
Общая Идент. Бит Бит Бит Смещение фрагмента Флаг
данных
длина номер Rsvd DF MF (кратное 8 байтам) смещения
L3
Исходный 620 600 0x6E81 0 0 0 0 0x0000
Фрагм. 1 180 160 0x6E81 0 0 1 0 0x2000
Фрагм. 2 180 160 0x6E81 0 0 1 160 = 8 x 20 (0x14) 0x2014
Фрагм. 3 180 160 0x6E81 0 0 1 320 = 8 x 40 (0x28) 0x2028
Фрагм. 4 140 120 0x6E81 0 0 0 480 = 8 x 60 (0x3C) 0x003C

Для
справки
Примеры атак на основе фрагментации

• Атака крошечными фрагментами: использует очень маленькие пакеты
TCP, сформированные таким образом, чтобы часть заголовка L4
(например, включающая поле флагов) переходила во второй фрагмент.
При таком подходе атакующий рассчитывает, что проверяться будет
только первый фрагмент, а остальные будут проходить без проверки.
• Атака перекрывающимися фрагментами: смещение определенного
фрагмента перекрывается со смещением другого. Атаки этого класса
могут использоваться либо с намерением вызвать отказ в обслуживании,
DoS (например, с помощью эксплойта UDP Teardrop), либо в попытке
перезаписать часть данных предыдущих фрагментов в цепочке и обойти
системы защиты.
• Переполнение буфера повторной сборки: чрезмерное количество
неполных датаграмм на узле-получателе, ожидающих повторной сборки.

Обработка фрагментированных IP-пакетов (1)

IOS-FW# show access-list 101
Extended IP access list 101
10 permit tcp any any fragments (1081 matches)
20 permit tcp any any (1082 matches)
30 permit udp any any fragments (360 matches)
40 permit udp any any (361 matches)
50 permit icmp any any fragments
60 permit icmp any any
70 permit ip any any fragments
80 permit ip any any

Ключевое слово "fragments" в ACL-списках IOS отфильтровывает не
начальные фрагменты.
ACL-списки этого типа могут использоваться для быстрого выявления
видов трафика, формирующих фрагменты (TCP, UDP, ICMP и т. д.)

Обработка фрагментированных IP-пакетов (2)
Виртуальная повторная сборка фрагментов (VFR)

interface FastEthernet1
ip virtual-reassembly max-fragments 5 max-reassemblies 100 timeout 8
!
IOS-FW#show ip virtual-reassembly f1
FastEthernet1:
Virtual Fragment Reassembly (VFR) is ENABLED...
Concurrent reassemblies (max-reassemblies): 100
Fragments per reassembly (max-fragments): 5
Reassembly timeout (timeout): 8 seconds
Drop fragments: OFF
Current reassembly count:100
Current fragment count:300
Total reassembly count:0
Total reassembly timeout count:53

%IP_VFR-4-FRAG_TABLE_OVERFLOW: FastEthernet1: the fragment table has reached its
maximum threshold 100

ip virtual-reassembly max-fragments 3

%IP_VFR-4-TOO_MANY_FRAGMENTS: FastEthernet1: Too many fragments per datagram
(more than 3) - sent by 172.18.2.122, destined to 172.18.1.30

Фильтрация на основе поля TTL IP-заголовка

IOS-FW# show access-list TTL
Extended IP access list TTL
10 deny tcp any any ttl lt 30 log (5 matches)
20 deny udp any any ttl lt 30 log
30 deny icmp any any ttl lt 30 log
40 permit tcp any host 172.16.251.251 eq www (2 matches)
50 permit tcp any host 172.16.251.251 eq 443

%SEC-6-IPACCESSLOGP: list TTL denied tcp 172.16.250.202(17002)
-> 172.16.251.251(80), 1 packet

IOS-FW# show flow monitor FLEX1 cache aggregate ipv4 source address ipv4 protocol ipv4 ttl
Processed 3 flows
Aggregated to 3 flows
IPV4 SRC ADDR IP PROT IP TTL flows bytes pkts
=============== ======= ====== ========== ========== ==========
172.16.250.201 6 37 1 500 1
172.16.250.202 6 12 1 500 1
172.16.250.208 6 50 1 500 1

Дополнительный анализ TCP- и UDP-заголовков Для
справки

0 15 16 31

Порт источника Порт получателя
Последовательный номер
20B Номер подтверждения
Флаги
HLEN RSVD
Размер окна
URG

PSH
RST
ACK

SYN
FIN
4 6

Контрольная сумма Указатель срочности

(Параметры TCP)
Поле флагов
UDP-датаграмма TCP
Флаг Значение
0 15 16 32
URG Указатель срочности действителен
Порт источника (16) Порт получателя (16)
ACK Поле подтверждения действительно
Длина (16) Контр. сумма UDP (16) Сегмент требует передачи из буфера
PSH
RST Сброс соединения
Данные (при наличии)
Синхронизация последовательности номеров
SYN
FIN Конец байтового потока для отправителя

Фильтрация на основе поля флагов TCP

IOS-FW# show access-list TCPFLAGS Поле флагов
Extended IP access list TCPFLAGS
10 deny tcp any any match-all +fin +psh +urg Flags = 41 = 0x29
20 deny tcp any any match-all -ack -fin -psh -rst -syn -urg Flags = 00 = 0x00
30 deny tcp any any match-all +ack +rst Flags = 20 = 0x14
40 permit tcp any any match-all -ack -fin -psh -rst +syn -urg Flags = 02 = 0x02
50 permit tcp any any match-all +ack -fin -psh -rst -syn -urg Flags = 16 = 0x10
60 permit tcp any any match-all +ack +psh -syn -urg Flags = 24 = 0x18
70 permit tcp any any match-all -ack -psh +rst -syn -urg Flags = 01 = 0x01

IOS-FW# show flow monitor FLEX1 cache aggregate transport tcp flags
transport destination-port ipv4 destination address
Processed 15 flows
Aggregated to 4 flows
IPV4 DST ADDR TRNS DST PORT TCP FLAGS flows bytes pkts
=============== ============= ========= ========== ========== ==========
172.16.251.251 80 0x14 4 640 4
172.16.251.251 80 0x15 4 640 4
172.16.251.251 80 0x16 4 640 4
172.16.251.251 80 0x17 3 480 3

А что если атака основана на другом поле заголовка?
IOS-FW(config)# load protocol flash:udp.phdf

IOS-FW# show protocols phdf udp
Protocol ID: 3
UDP-датаграмма
Protocol name: UDP
0 15 16 32
Description: UDP-Protocol
Original file name: flash:udp.phdf Порт источника (16) Порт получателя (16)
Header length: 8 Длина (16) Контр. сумма UDP (16)
Constraint(s):
Total number of fields: 5
Field id: 0, source-port, UDP-Source-Port Данные (при наличии)
Fixed offset. offset 0
Constant length. Продолжительность: 16
Field id: 1, dest-port, UDP-Destination-Port
Field id: 2, length, UDP-Packet-Length Функция гибкого анализа пакетов
Fixed offset. offset 32 (FPM) позволяет определить
Field id: 3, checksum, UDP-Checksum
расширенный метод фильтрации
Fixed offset. offset 48 на основе полей заголовков IP,
Constant length. Продолжительность: 16 TCP, UDP и ICMP.
Field id: 4, payload-start, UDP-Payload-Start

Возможности FPM: на примере TCP

IOS-FW(config)# class-map type access-control match-all FPM1
IOS-FW(config-cmap)# match field ?
ICMP ICMP-Protocol
IP IP-Protocol
TCP TCP-Protocol
UDP UDP-Protocol
layer Match Protocol Layer
IOS-FW(config-cmap)# match field TCP ?
acknum TCP-Acknowledgement-Number
checksum TCP-Checksum-Value
control-bits TCP-Control-Bits-Number
data-offset TCP-Data-Offset-Number
dest-port TCP-Destination-Port
ecn TCP-ECN-Number
payload-start TCP-Payload-Start
reserved TCP-Reserved-Number
seqnum TCP-Sequence-Number
source-port TCP-Source-Port
urgent-pointer TCP-Urgent-Pointer
window TCP-Window-Size

Пример атаки, заблокированной FPM Для
справки

Ethernet Packet: 80 bytes
Dest Addr: 0012.DAD2.6203, Source Addr: 0000.0000.0000
Protocol (Протокол). 0x0800
IP Version: 0x4, HdrLen: 0x5, TOS: 0x40 (Prec=Immediate)
Length: 66, ID: 0x5208, Flags-Offset: 0x0000
TTL: 60, Protocol (Протокол). 6 (TCP), Checksum: 0x2EC6 (OK)
Source: 172.16.210.105, Dest: 172.16.211.31
TCP Src Port: 8000, Порт назнач.: 600
Seq #: 0x00000000, Ack #: 0x00000000, Hdr_Len: 5
Flags: 0x02 SYN, Window: 0, Checksum: 0xB9B3 (OK)
Urgent Pointer: 0
Data:
0 : 0000 0000 0000 0000 0000 0000 0001 0108 7468 6531 ................the1
20 : 774F 526D 3275 wORm2u

Вариант 1 (изменение только части данных)
Data:
0 : 0000 0000 0000 0000 0000 0000 0001 0108 774F 526D ................wORm
20 : 4167 6169 6E31 Again1

Вариант 2 (изменение только части данных)

Data:
0 : 0000 0000 0000 0000 0000 0000 0001 0108 7468 656E ................then
20 : 6577 574F 524D ewWORM

Гибкий анализ пакетов (FPM) в действии

class-map type stack match-all IP-TCP
match field IP protocol eq 0x6 next TCP
!
class-map type access-control match-all CLASS1
match field TCP dest-port eq 600
match start TCP payload-start offset 16 size 10 regex ".*[Ww][Oo][Rr][Mm]"
!
policy-map type access-control POLICY1
class CLASS1
drop
log
policy-map type access-control FPM1
class IP-TCP
service-policy POLICY1
!
interface FastEthernet0/0
service-policy type access-control input FPM1

%SEC-6-IPACCESSLOGP: list CLASS1 denied tcp 172.16.210.120(18045) (FastEthernet0/0 ) ->
172.16.211.11(600), 1 packet

Технологии антиспуфинга (защиты
от фальсификации)

Классический антиспуфинг с помощью ACL-списков
В пакетах, поступающих из Интернета в В пакетах, поступающих из сети клиента
сеть клиента, в качестве адреса в Интернет, в качестве адреса источника
получателя может использоваться может использоваться только
только назначенный блок (и никогда в назначенный блок (и никогда в качестве
качестве адреса источника). адреса получателя).

в Интернет
из Интернета
Сеть Назначенный
оператора Int1 Int2 клиентом блок
связи ISP Клиент
A.B.C.0/24

interface Int1 interface Int2
ip access-group 110 out ip access-group 170 in
ip access-group 120 in ip access-group 180 out
! !
access-list 110 deny ip A.B.C.0 0.0.0.255 any access-list 170 deny ip A.B.C.0 0.0.0.255 any
access-list 110 permit ip any A.B.C.0 0.0.0.255 access-list 170 permit ip any A.B.C.0 0.0.0.255
! !
access-list 120 permit ip A.B.C.0 0.0.0.255 any access-list 180 permit ip A.B.C.0 0.0.0.255 any
access-list 120 deny ip any any access-list 180 deny ip any any

Антиспуфинг: строгая проверка uRPF

Достижим ли адрес
источника через
Поступающий пакет входной интерфейс?
Ист.: 10.1.1.200

Получ.: 172.16.201.254

Fast2 Fast4 10.1.1.0/24
172.16.202.0/24 .254 R2 .254 172.16.201.0/24 .1 R1

R2# show ip route | begin Gateway
interface FastEthernet2 Gateway of last resort is not set
ip address 172.16.202.254 255.255.255.0 172.16.0.0/24 is subnetted, 2 subnets
ip verify unicast source reachable-via rx C 172.16.201.0 is directly connected, FastEthernet4
C 172.16.202.0 is directly connected, FastEthernet2
10.0.0.0/24 is subnetted, 2 subnets
R2# show ip cef 10.1.1.0 255.255.255.0 C 10.254.254.0 is directly connected, Loopback0
10.1.1.0/24 D 10.1.1.0 [90/28416] via 172.16.201.1, 00:30:21,
nexthop 172.16.201.1 FastEthernet4 FastEthernet4

CEF-Drop: Packet from 10.1.1.200 (Fa2) to 172.16.201.254, uRPF feature

Антиспуфинг: нестрогая проверка uRPF

Достижим ли адрес
источника через любой
Поступающий пакет интерфейс
маршрутизатора?
Ист.: 10.2.2.2

Получ.: 172.16.201.254

Fast2 Fast4

172.16.202.0/24 .254 R2 .254 172.16.201.0/24 .1 R1

R2# show ip route 10.2.2.0 255.255.255.0
interface FastEthernet2 % Subnet not in table
ip address 172.16.202.254 255.255.255.0
ip verify unicast source reachable-via any
R2# show ip interface f2 | include verif
IP verify source reachable-via ANY
R2# show ip cef 10.2.2.0 255.255.255.0
5 verification drops
%Prefix not found
0 suppressed verification drops
0 verification drop-rate


Антиспуфинг: uRPF и маршрут по умолчанию
Поступающий пакет
Ист.: 10.2.2.2
ip address 172.16.202.254 255.255.255.0
ip verify unicast source reachable-via any
Получ.: 172.16.201.254

Fast2 Fast4

172.16.202.0/24 .254 R2 .254 172.16.201.0/24 .1 R1

ip route 0.0.0.0 0.0.0.0 172.16.201.1 R2# show ip route 0.0.0.0
Routing entry for 0.0.0.0/0, supernet
R2# show ip route 10.2.2.0 255.255.255.0 Known via "static", distance 1, metric 0, candidate default path
% Subnet not in table Routing Descriptor Blocks:
* 172.16.201.1
R2# show ip cef 10.2.2.0 255.255.255.0 Route metric is 0, traffic share count is 1
%Prefix not found


** Если требуется изменить такую реакцию...
ip verify unicast source reachable-via any allow-default

Основы системы предотвращения
вторжений IOS

Обзор системы предотвращения вторжений (IPS) IOS

• Встроенный программный датчик для предотвращения вторжений
• Поддержка формата сигнатуры Cisco IPS версии 5.x, начиная с
выпуска 12.4(11)T
• Сканирование пакетов на основе сигнатур
• Используются сигнатуры, сформированные для специализированных
устройств Cisco IPS 4200
• Динамическое обновление сигнатур без необходимости обновлять
образ IOS
• Реакция на события настраивается отдельно для каждой сигнатуры и
для каждой категории (оповещение, сброс TCP-соединения,
отбрасывание пакета, запрет потока от источника атаки или
соединения с ним)
• Возможности управления - Cisco Security Manager (CSM), Cisco
Configuration Professional (CCP)

Для
справки
IOS IPS: основные термины

• Загрузка (Loading) - процесс, в ходе которого IOS IPS производит разбор
файлов сигнатур (XML-файлов, расположенных вместе с конфигурацией) и
заполняет базу данных сигнатур
• Компиляция (Compiling) - процесс, в ходе которого значения параметров
из актуальных сигнатур компилируются в таблицу регулярных выражений

• Устаревание (Retiring) сигнатуры означает, что IOS IPS НЕ будет
компилировать эту сигнатуру в память для сканирования
• Восстановление (Unretiring) сигнатуры - указание IOS IPS
компилировать сигнатуру в память и использовать ее для сканирования
трафика

• Включение (Enabling) сигнатуры означает, что при активировании
согласующимся пакетом (или потоком пакетов) сигнатура вызывает
соответствующее действие, связанное с ней
• Выключение (Disabling) сигнатуры означает, что при активировании
согласующимся пакетом (или потоком пакетов) сигнатура НЕ вызывает
соответствующего действия, связанного с ней

IOS IPS: категории сигнатур

IOS-IPS# show ip ips category ?
adware/spyware Adware/Spyware (more sub-categories)
attack Attack (more sub-categories)
configurations Configurations (more sub-categories)
ddos DDoS (more sub-categories)
dos DoS (more sub-categories)
email Email (more sub-categories)
instant_messaging Instant Messaging (more sub-categories)
ios_ips IOS IPS (more sub-categories)
l2/l3/l4_protocol L2/L3/L4 Protocol (more sub-categories)
network_services Network Services (more sub-categories)
os OS (more sub-categories)
other_services Other Services (more sub-categories)
p2p P2P (more sub-categories)
reconnaissance Reconnaissance (more sub-categories)
releases Releases (more sub-categories)
telepresence TelePresence (more sub-categories)
uc_protection UC Protection (more sub-categories)
viruses/worms/trojans Viruses/Worms/Trojans (more sub-categories)
web_server Web Server (more sub-categories)

IOS IPS: активные сигнатуры
ios_ips basic
IOS-IPS# show ip ips signature count
Cisco SDF release version S556.0
Trend SDF release version V0.0
Signature Micro-Engine: atomic-ip: Total Signatures 413
atomic-ip enabled signatures: 105
atomic-ip retired signatures: 392
atomic-ip compiled signatures: 21
atomic-ip obsoleted signatures: 6
Signature Micro-Engine: normalizer: Total Signatures 9 ios_ips advanced
normalizer enabled signatures: 8
normalizer retired signatures: 1 IOS-IPS# show ip ips signature count
normalizer compiled signatures: 8 Cisco SDF release version S556.0
[…] Trend SDF release version V0.0
Total Signatures: 4170 […]
Total Enabled Signatures: 1191 Total Signatures: 4170
Total Retired Signatures: 3874 Total Enabled Signatures: 1191
Total Compiled Signatures: 295 Total Retired Signatures: 3616
Total Signatures with invalid parameters: 1 Total Compiled Signatures: 554
Total Obsoleted Signatures: 12 Total Obsoleted Signatures: 12
Total Disallowed Signatures: 3 Total Disallowed Signatures: 3

IOS IPS: базовая настройка

172.17.44.101
10.5.5..0/24
.5
Атаки
F0/1.1124
IOS-IPS
ip ips IPS1 in 172.17.6.0/24
.103 172.17.22.0/24

ip ips config location flash:ips retries 1 ip ips signature-category
ip ips notify SDEE category all
ip ips name IPS1 retired true
category ios_ips advanced
retired false
interface FastEthernet0/1.1124
encapsulation dot1Q 1124 IOS-IPS#show ip ips interfaces
ip address 172.17.6.4 255.255.255.0 Interface Configuration
ip ips IPS1 in Interface FastEthernet0/1.1124
Inbound IPS rule is IPS1
Outgoing IPS rule is not set

IOS IPS в действии

172.17.44.101
10.5.5..0/24
.5
Атаки
F0/1.1124
IOS-IPS
ip ips IPS1 in 172.17.6.0/24
.103 172.17.22.0/24

IOS-IPS# show ip ips sessions
Established Sessions
Session 49746F80 (172.17.44.101:3765)=>(172.17.22.103:137) udp SIS_OPEN
Half-open Sessions
Session 49746C00 (172.17.44.101:3764)=>(172.17.22.103:161) udp SIS_OPENING
Session 49746880 (172.17.44.101:3763)=>(172.17.22.103:161) udp SIS_OPENING

Сертифицированный VPN

VPN-решения Cisco в России

• VPN-решения Cisco признаны лучшими во многих странах и признаны
стандартом де-факто многими специалистами
• Использование VPN-решений Cisco в России сопряжено с рядом
трудностей
– Порядок ввоза на территорию Таможенного союза шифровальных средств
– Требование использования национальных криптографических алгоритмов
– Обязательная сертификация СКЗИ

• На сайте www.slideshare.com/CiscoRu выложена презентация по
регулированию криптографии в России

Cisco – лицензиат ФСБ

• Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-решения,
поддерживающие российские криптоалгоритмы на базе
оборудования Cisco
• Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625, 124-
1626 от 28 февраля 2011 года
– Сертификат по классу КС1/КС2

Решение для удаленных офисов
• На базе модуля для ISR G1 и G2
(2800/2900/3800/3900)

Технологические сценарии

• Защита каналов связи
• VPN-узел доступа центрального офиса
• Концентратор удаленного доступа
• ПК удаленного (мобильного) пользователя
• Защита беспроводных сетей
• Защита унифицированных коммуникаций
• Managed VPN Services

Основные выводы
Что вы узнали

• Как сформировать политики межсетевого экрана на основе зон (начиная
с базовых и заканчивая расширенными)
• Как использовать в IOS функции с учетом пользователей, включая ZFW
с учетом пользователей
• Как использовать преимущества ресурсов расширенной фильтрации,
например ACL-списки специального назначения и гибкое сравнение
пакетов (FPM)
• Предусмотренные в IOS методы антиспуфинга, в особенности ресурс
uRPF
• Основные понятия системы предотвращения вторжений (IPS) IOS
• Наличие сертифицированного решения VPN

маршрутизаторы Cisco как унифицированное средство обеспечения безопасности

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (9)

More from Masha Rudnichenko

More from Masha Rudnichenko (7)

маршрутизаторы Cisco как унифицированное средство обеспечения безопасности