El documento presenta la agenda de clase para la semana del 8 al 12 de septiembre. El tema central es la búsqueda de la individualidad propia. La agenda incluye oración, reflexión sobre la importancia de espacios formativos amables y humanos, explicación del plan lector con sus propias palabras, lectura y respuesta de preguntas sobre tres relatos, e identificación y explicación de los 10 valores más importantes de la familia del estudiante.
Este documento trata sobre el desafío que representa el mundo actual para la misión de la familia cristiana. Explora cómo la familia sirve a la vida a través de la promoción humana y cómo está relacionada con los derechos fundamentales para la formación de las personas. También examina cómo la familia participa en la Iglesia y la misión evangelizadora.
El documento contiene instrucciones para varias actividades relacionadas con el conocimiento y la sabiduría. Recomienda no confundir el conocimiento con la sabiduría, ya que el conocimiento sirve para ganarse la vida mientras que la sabiduría ayuda a vivir. Además, incluye tareas como hacer un crucigrama, acróstico, historieta y escrito expresando la propia opinión, así como revisar un cuestionario sobre autocontrol.
El documento presenta la agenda de una clase sobre tolerancia. La agenda incluye oración, asistencia y varias actividades como reflexiones escritas, discusión de un plan lector, y preguntas sobre tolerancia y comportamientos intolerantes.
El documento presenta la agenda de clase para la semana del 8 al 12 de septiembre. El tema central es la búsqueda de la individualidad propia. La agenda incluye oración, reflexión sobre la importancia de espacios formativos amables y humanos, explicación del plan lector con sus propias palabras, lectura y respuesta de preguntas sobre tres relatos, e identificación y explicación de los 10 valores más importantes de la familia del estudiante.
Este documento trata sobre el desafío que representa el mundo actual para la misión de la familia cristiana. Explora cómo la familia sirve a la vida a través de la promoción humana y cómo está relacionada con los derechos fundamentales para la formación de las personas. También examina cómo la familia participa en la Iglesia y la misión evangelizadora.
El documento contiene instrucciones para varias actividades relacionadas con el conocimiento y la sabiduría. Recomienda no confundir el conocimiento con la sabiduría, ya que el conocimiento sirve para ganarse la vida mientras que la sabiduría ayuda a vivir. Además, incluye tareas como hacer un crucigrama, acróstico, historieta y escrito expresando la propia opinión, así como revisar un cuestionario sobre autocontrol.
El documento presenta la agenda de una clase sobre tolerancia. La agenda incluye oración, asistencia y varias actividades como reflexiones escritas, discusión de un plan lector, y preguntas sobre tolerancia y comportamientos intolerantes.
El documento presenta la agenda de clase para la semana del 20 al 24 de octubre. La agenda incluye una oración de asistencia, una reflexión sobre la familia como grupo social fundamental para los valores y derechos de las personas, y seis actividades relacionadas con la familia como crear un escudo familiar, un decálogo sobre la propia familia, escribir sobre alegrías y tristezas familiares, hacer una historieta sobre las esperanzas de la propia familia, una oración a la familia y dar opinión sobre el trabajo de los padres.
Efficient marketing – 10 ideas that will help you improve your marketing resultsJean Macedo
Efficient marketing – 10 ideas that will help you improve your marketing results. the scope of this presentation is present ideas that will help your get better results on your online marketing efforts.
The document discusses Mobilezapp's code modules that are available for building custom mobile applications including code for augmented reality, brand building, calendar functions, charts and graphs, cloud computing, coupons, CRM, and data transfer capabilities. Mobilezapp has developed extensive code libraries and modules to rapidly develop mobile apps across many common functions and capabilities. Their code modules can help speed development and reduce costs for building custom mobile applications.
This document discusses privacy issues related to social media usage. It begins with definitions of privacy and an overview of relevant privacy laws in the US and Canada. It then discusses how a lack of privacy laws for adult social media usage can lead to problems, including employers viewing profiles and future consequences. Emerging issues are explored like facial recognition and extensive digital dossiers combining various data sources. Reactions to privacy concerns from social media executives and users are presented. The document concludes with advocacy efforts and resources for protecting privacy online.
The document discusses modelling large complex systems using multi-agent technology. It describes complex systems as consisting of many interdependent and autonomous components that exhibit emergent and unpredictable behavior from nonlinear interactions. The only technology capable of accurately modelling complex systems is said to be multi-agent systems, where software agents interact and self-organize to produce intelligent emergent behavior. Several examples are given of multi-agent models being used successfully in commercial applications.
El documento presenta la agenda de clase para la semana del 20 al 24 de octubre. La agenda incluye una oración de asistencia, una reflexión sobre la familia como grupo social fundamental para los valores y derechos de las personas, y seis actividades relacionadas con la familia como crear un escudo familiar, un decálogo sobre la propia familia, escribir sobre alegrías y tristezas familiares, hacer una historieta sobre las esperanzas de la propia familia, una oración a la familia y dar opinión sobre el trabajo de los padres.
Efficient marketing – 10 ideas that will help you improve your marketing resultsJean Macedo
Efficient marketing – 10 ideas that will help you improve your marketing results. the scope of this presentation is present ideas that will help your get better results on your online marketing efforts.
The document discusses Mobilezapp's code modules that are available for building custom mobile applications including code for augmented reality, brand building, calendar functions, charts and graphs, cloud computing, coupons, CRM, and data transfer capabilities. Mobilezapp has developed extensive code libraries and modules to rapidly develop mobile apps across many common functions and capabilities. Their code modules can help speed development and reduce costs for building custom mobile applications.
This document discusses privacy issues related to social media usage. It begins with definitions of privacy and an overview of relevant privacy laws in the US and Canada. It then discusses how a lack of privacy laws for adult social media usage can lead to problems, including employers viewing profiles and future consequences. Emerging issues are explored like facial recognition and extensive digital dossiers combining various data sources. Reactions to privacy concerns from social media executives and users are presented. The document concludes with advocacy efforts and resources for protecting privacy online.
The document discusses modelling large complex systems using multi-agent technology. It describes complex systems as consisting of many interdependent and autonomous components that exhibit emergent and unpredictable behavior from nonlinear interactions. The only technology capable of accurately modelling complex systems is said to be multi-agent systems, where software agents interact and self-organize to produce intelligent emergent behavior. Several examples are given of multi-agent models being used successfully in commercial applications.
2. Содержание
• Межсетевой экран с политиками на основе зон в
действии (Zone-based Firewall)
• Функции межсетевого экрана с учетом пользователей
• Расширенные возможности фильтрации
• Технологии антиспуфинга (защиты от фальсификации)
• Основы системы предотвращения вторжений Cisco IOS
• Сертифицированный VPN
• Основные выводы
4. Межсетевой экран с политиками на основе зон (ZFW)
• Зона - набор интерфейсов с определенным общим "уровнем
доверия"
• Изменение концепции: теперь политики межсетевого экрана
определяют правила обмена между зонами (а не между
интерфейсами) Int 4
Сервер
Клиент1
Int 1
ZFW1 Int 3 ИНТЕРНЕТ
Int 2
Клиент2
ДОВЕРЕННАЯ зона Политика зоны НЕДОВЕРЕННАЯ зона
OUTBOUND
Политики ZFW являются однонаправленными: от источника к получателю
5. ZFW: основные элементы политик
Участник зоны Участник зоны
безопасности Z1 безопасности Z2
Int 1 ZFW1 Int 2
Политика Z1-Z2
Зона безопасности Z1 Зона безопасности Z2
zone-pair security Z1-Z2 source Z1 destination Z2
service-policy type inspect BASIC1
policy-map type inspect BASIC1
class type inspect CLASS1 class-map type inspect { match-all | match-any } CLASS1
{ inspect | pass | police | drop } a) match protocol { tcp | udp | icmp }
[…]
class type inspect CLASS-N b) match access-group { name ACL-NAME | ACL-NUM }
{ inspect | pass | police | drop } c) match class-map CLASS-MAP_NAME
class class-default
{ inspect | pass | drop }
6. Проверка исходящего трафика (только L4)
F1 F0
.10 .20
172.18.1.0/24 .4 ZFW1 .4 172.18.2.0/24
Установка
соединения
Политика зоны
Зона INSIDE
OUTBOUND1 Зона OUTSIDE
zone-pair security OUTBOUND1 source INSIDE destination OUTSIDE
service-policy type inspect POLICY1
policy-map type inspect POLICY1 class-map type inspect match-any TOP-CLASS1
class type inspect TOP-CLASS1 match protocol udp
inspect TRACKING match protocol tcp
class class-default
drop log
7. Проверка исходящего трафика (только L4)
F1 F0
.10 .20
172.18.1.0/24 .4 ZFW1 .4 172.18.2.0/24
Политика зоны Зона OUTSIDE
Зона INSIDE OUTBOUND1
ZFW1# show policy-firewall config zone-pair
Zone-pair : OUTBOUND1
ZFW1# show zone security Source Zone : INSIDE
zone self Destination Zone : OUTSIDE
Description: System defined zone Service-policy inspect : POLICY1
zone INSIDE Class-map : TOP-CLASS1(match-any)
Member Interfaces: Match protocol udp
FastEthernet0 Match protocol tcp
zone OUTSIDE Action : inspect
Member Interfaces: Parameter-map : TRACKING
FastEthernet1 Class-map : class-default(match-any)
Match any
Action : drop log
Parameter-map : Default
8. ZFW: подготовка для политики L3 + L4
Зона INSIDE Зона OUTSIDE
F1 F0
.10 .20
172.22.0.0/16
172.18.1.0/24 .4 ZFW1 .4 172.18.2.0/24
object-group network INSIDE1 object-group service SVCS1
172.18.1.0 255.255.255.0 tcp eq telnet
! tcp eq www
object-group network OUT1 !
172.22.0.0 255.255.0.0 object-group service SVCS2
! udp eq ntp
object-group network OUT2
host 172.18.2.20
ip access-list extended ACL1
permit object-group SVCS1 object-group INSIDE1 object-group OUT1
permit object-group SVCS2 object-group INSIDE1 object-group OUT2
9. ZFW: политика L3 + L4 (нет других ACL-списков)
Зона INSIDE Зона OUTSIDE
F1 F0
.10 .20
172.22.0.0/16
172.18.1.0/24 .4 ZFW1 .4 172.18.2.0/24
Политика зоны
OUTBOUND2
zone-pair security OUTBOUND2 source INSIDE destination OUTSIDE
service-policy type inspect POLICY2
policy-map type inspect POLICY2
class type inspect JOINT1 class-map type inspect match-all JOINT1
inspect TRACKING match class-map TOP-CLASS1
class class-default match access-group name ACL1
drop log
ip access-list extended ACL1
permit object-group SVCS1 object-group INSIDE1 object-group OUT1
permit object-group SVCS2 object-group INSIDE1 object-group OUT2
10. ZFW, ACL-списки и NAT
Зона INSIDE Локальное адресное Глобальное Зона OUTSIDE
пространство адресное
пространство
NAT
F0/0 F0/1.1610
.5 .20
ip nat inside .4 ZFW1 .4 ip nat outside
10.5.5.0/24 172.18.2.0/24
zone-pair security INBOUND2 source OUTSIDE destination INSIDE
service-policy type inspect POLICY2
Реальный Преобразованный
policy-map type inspect POLICY2
class type inspect JOINT2
ip nat inside source static 10.5.5.5 172.18.2.5
inspect TRACKING
class class-default
drop log
class-map type inspect match-any TOP-CLASS2
match protocol tcp
class-map type inspect match-all JOINT2
match class-map TOP-CLASS2 ip access-list extended ACL2
match access-group name ACL2
permit ip 172.18.2.0 0.0.0.255 host 10.5.5.5
11. ZFW: прозрачный режим работы
F0/0 F0/1.1610
.1 .2
R1
ZFW1 R2
bridge-group1 bridge-group1
10.5.5.0/24
Политика зоны
Зона OUTSIDE
Зона INSIDE OUTBOUND1
zone-pair security OUTBOUND1 source INSIDE destination OUTSIDE
service-policy type inspect POLICY1
policy-map type inspect POLICY1
class type inspect BASIC1 class-map type inspect match-any BASIC1
inspect TRACKING match protocol udp
match protocol icmp
class class-default
match protocol tcp
drop log
%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:BASIC1):
Start tcp session: initiator (10.5.5.1:56643) -- responder (10.5.5.2:23)
ZFW1# show policy-firewall session
Established Sessions = 1
Session 49AD3240 (10.5.5.1:56643)=>(10.5.5.2:23) tcp SIS_OPEN/TCP_ESTAB
Created 00:00:25, Last heard 00:00:13
Bytes sent (initiator:responder) [48:95]
12. ZFW: сценарий использования для прозрачного режима
SMTP HTTPS
Беспроводная
Беспро-
точка доступа
водный
клиент
.101 .102 Fast1 Fast0
ZFW1
192.168.2.0/24
Зона WIRED Зона WIRELESS
Политика зоны
INBOUND1
zone-pair security INBOUND1 source WIRELESS destination WIRED
service-policy type inspect POLICY1
policy-map type inspect POLICY1
class type inspect JOINT1
inspect TRACKING
class class-default class-map type inspect match-any BASIC1
drop log match protocol tcp
class-map type inspect match-all JOINT1 ip access-list extended ACL1
match class-map BASIC1 permit tcp 192.168.2.0 0.0.0.255 host 192.168.2.101 eq 25
match access-group name ACL1 permit tcp 192.168.2.0 0.0.0.255 host 192.168.2.102 eq 443
13. ZFW и проверка L7: пример 1
проверка трафика FTP и использование NAT
Локальное адресное Глобальное
пространство адресное FTP
Клиент
пространство
NAT 172.17.11.102
.X Fast1 Fast0
ip nat inside ip nat outside
192.168.2.0/24 ZFW1
Зона INSIDE Зона OUTSIDE
Политика зоны
OUTBOUND1
zone-pair security OUTBOUND1 source INSIDE destination OUTSIDE
service-policy type inspect POLICY1
policy-map type inspect POLICY1
class type inspect L7-CLASS1 class-map type inspect match-any L7-CLASS1
inspect TRACKING match protocol ftp
class class-default
drop log
ip nat outside source static 172.17.11.102 192.168.2.102 add-route
14. ZFW и проверка L7: пример 2
проверка L7 на нестандартных портах
HTTP
работает на
портах 2002
- 2003
Fast1 Fast0
.200 .40
ZFW1
192.168.2.0/24 172.17.3.0/24
Зона INSIDE Политика зоны Зона OUTSIDE
OUTBOUND1
zone-pair security OUTBOUND1 source INSIDE destination OUTSIDE
service-policy type inspect POLICY1
policy-map type inspect POLICY1
class type inspect HTTP-CLASS class-map type inspect match-any HTTP-CLASS
inspect TRACKING match protocol http
class class-default
drop log Проверка HTTP на нестандартных портах
access-list 1 permit 172.17.3.40
ip port-map http port tcp from 2002 to 2003 list 1
15. ZFW и проверка L7: пример 3
сравнение заголовка ответа HTTP
HTTP
Fast1 Fast0
.200 .30
ZFW1
192.168.2.0/24 172.17.3.0/24
Зона INSIDE Политика зоны Зона OUTSIDE
OUTBOUND1
zone-pair security OUTBOUND1 source INSIDE destination OUTSIDE
service-policy type inspect POLICY1
policy-map верхнего уровня
policy-map type inspect POLICY1 class-map верхнего уровня
class type inspect HTTP-CLASS class-map type inspect match-any HTTP-CLASS
inspect TRACKING match protocol http
service-policy http WEB1
class class-default
drop log
policy-map для конкретного
class-map для конкретного приложения
приложения
policy-map type inspect http WEB1
class-map type inspect http match-any HTTP1
class type inspect http HTTP1
match response header set-cookie
reset
log
16. ZFW: проверка трафика самого
маршрутизатора - зона «self»
Зона self (адреса Зона OUTSIDE 172.22.22.0/24
маршрутизатора)
.22
F4.201 F4.200 172.20.20.0/24 172.21.21.0/24
10.10.10.1 ZFW1 172.20.20.1 .2 R1 .2 .21 R2
Политика зоны
OUT-SELF
zone-pair security OUT-SELF source OUTSIDE destination self
service-policy type inspect OUT-FW1
class-map type inspect match-all ICMP1
policy-map type inspect OUT-FW1 match access-group name PING1
class type inspect ICMP1
inspect TRACKING
class class-default
drop log ip access-list extended PING1
permit icmp object-group OUT1 object-group RTR-ADDR echo
object-group network RTR-ADDR
host 10.10.10.1 object-group network OUT1
host 172.20.20.1 172.20.20.0 255.255.255.0
17. ZFW: политики внутри зоны
Сервер
NTP
.6 Fast1 Fast0 .200
.1 ZFW1 .1
10.10.6.0/24 10.10.10.0/24
Политика зоны
Зона INSIDE INTRAZONE1
zone-pair security INTRAZONE1 source INSIDE destination INSIDE
service-policy type inspect POLICY2
policy-map type inspect POLICY2
class type inspect TOP-CLASS2 class-map type inspect match-any TOP-CLASS2
inspect TRACKING match protocol icmp
class class-default match protocol udp
drop log
18. ZFW: политики внутри зоны
Сервер
NTP
.6 Fast1 Fast0 .200
.1 ZFW1 .1
10.10.6.0/24 10.10.10.0/24
Политика зоны
Зона INSIDE INTRAZONE1
ZFW1# show zone security INSIDE ZFW1# show zone-pair security
zone INSIDE Zone-pair name INTRAZONE1
Member Interfaces: Source-Zone INSIDE Destination-Zone INSIDE
FastEthernet0 service-policy POLICY2
FastEthernet1
ZFW1# show policy-firewall session
Established Sessions = 1
Session 49CFB240 (10.10.6.6:123)=>(10.10.10.200:123) udp SIS_OPEN
Created 00:00:29, Last heard 00:00:29
Bytes sent (initiator:responder) [48:48]
20. Управление доступом с учетом пользователя
Кто
пользователь?
Что за ресурс?
SRV1 SRV2
user1
user2
Имеется ли возможность предоставить доступ конкретному пользователю?
Можно ли управлять доступом к приложениям любого типа?
Имеется ли поддержка учетных записей?
Это динамический тип управления?
21. Базовый инструмент: прокси-сервис аутентификации
1 Telnet 172.26.26.26 Запрос прокси- SRV1
сервиса
аутентификации
Конечный
пользо-
ватель 2 5
.100 .26
172.16.100.0/24 F1 Шлюз F0 172.26.26.0/24
3 CS-ACS
Сеть
управления 4
1. Пользователь связывается по Telnet с сервером SRV1
2. Прокси-сервис аутентификации перехватывает пакет и направляет пользователю
запрос на аутентификацию
3. ZFW запрашивает сервер RADIUS
4. Сервер RADIUS в ответ направляет профиль авторизации (или отказ в доступе)
5. Пользователю предоставляется доступ к узлу назначения
22. ZFW с учетом пользователя
Зона INSIDE SRV1 Зона OUTSIDE
Политика зоны
OUTBOUND1
Конечный
пользо-
ватель
Прокси-сервис
.100 аутентификации .26
172.16.100.0/24 F1 Шлюз
ZFW1 F0 172.26.26.0/24
Сеть CS-ACS
управления
1. Пользователь связывается по Telnet с сервером
2. Прокси-сервис аутентификации перехватывает пакет и направляет пользователю запрос
3. Сервер RADIUS отправляет "supplicant-group" ("группу клиента") VSA в межсетевой экран
IOS
4. Формируется отображение пользователя на группу
5. Для каждой отдельной группы создается межсетевой экран с политиками на основе зон
24. Дополнительный анализ IP-заголовка Для
справки
Длина IP-заголовка, Общая длина IP-датаграммы.
измеряемая в Измеряется в октетах
4-байтовых (32-разрядных) (включая полезную часть и
словах заголовок)
Номер версии
32 бита
Vers(4) Hlen(4) TOS (8) Общая длина (16)
Обеспечивает
целостность
Время жизни Идентификация (16) Флаги (3) Смещение фрагм. (13) IP-заголовка
(TTL):
уменьшается на
1 каждым TTL (8) Протокол (8) Контрольная сумма заголовка (16)
маршрутизато-
ром на пути
следования IP-адрес источника (32) Обеспечивает
кратность
длины
IP-адрес получателя (32)
заголовка
32 битам
(Параметры IP) (PAD)
Указывает
протокол верхнего Поле флагов
уровня
Rsvd (=0) DF MF
26. Для
справки
Примеры атак на основе фрагментации
• Атака крошечными фрагментами: использует очень маленькие пакеты
TCP, сформированные таким образом, чтобы часть заголовка L4
(например, включающая поле флагов) переходила во второй фрагмент.
При таком подходе атакующий рассчитывает, что проверяться будет
только первый фрагмент, а остальные будут проходить без проверки.
• Атака перекрывающимися фрагментами: смещение определенного
фрагмента перекрывается со смещением другого. Атаки этого класса
могут использоваться либо с намерением вызвать отказ в обслуживании,
DoS (например, с помощью эксплойта UDP Teardrop), либо в попытке
перезаписать часть данных предыдущих фрагментов в цепочке и обойти
системы защиты.
• Переполнение буфера повторной сборки: чрезмерное количество
неполных датаграмм на узле-получателе, ожидающих повторной сборки.
27. Обработка фрагментированных IP-пакетов (1)
IOS-FW# show access-list 101
Extended IP access list 101
10 permit tcp any any fragments (1081 matches)
20 permit tcp any any (1082 matches)
30 permit udp any any fragments (360 matches)
40 permit udp any any (361 matches)
50 permit icmp any any fragments
60 permit icmp any any
70 permit ip any any fragments
80 permit ip any any
Ключевое слово "fragments" в ACL-списках IOS отфильтровывает не
начальные фрагменты.
ACL-списки этого типа могут использоваться для быстрого выявления
видов трафика, формирующих фрагменты (TCP, UDP, ICMP и т. д.)
28. Обработка фрагментированных IP-пакетов (2)
Виртуальная повторная сборка фрагментов (VFR)
interface FastEthernet1
ip virtual-reassembly max-fragments 5 max-reassemblies 100 timeout 8
!
IOS-FW#show ip virtual-reassembly f1
FastEthernet1:
Virtual Fragment Reassembly (VFR) is ENABLED...
Concurrent reassemblies (max-reassemblies): 100
Fragments per reassembly (max-fragments): 5
Reassembly timeout (timeout): 8 seconds
Drop fragments: OFF
Current reassembly count:100
Current fragment count:300
Total reassembly count:0
Total reassembly timeout count:53
%IP_VFR-4-FRAG_TABLE_OVERFLOW: FastEthernet1: the fragment table has reached its
maximum threshold 100
interface FastEthernet1
ip virtual-reassembly max-fragments 3
%IP_VFR-4-TOO_MANY_FRAGMENTS: FastEthernet1: Too many fragments per datagram
(more than 3) - sent by 172.18.2.122, destined to 172.18.1.30
29. Фильтрация на основе поля TTL IP-заголовка
IOS-FW# show access-list TTL
Extended IP access list TTL
10 deny tcp any any ttl lt 30 log (5 matches)
20 deny udp any any ttl lt 30 log
30 deny icmp any any ttl lt 30 log
40 permit tcp any host 172.16.251.251 eq www (2 matches)
50 permit tcp any host 172.16.251.251 eq 443
%SEC-6-IPACCESSLOGP: list TTL denied tcp 172.16.250.202(17002)
-> 172.16.251.251(80), 1 packet
IOS-FW# show flow monitor FLEX1 cache aggregate ipv4 source address ipv4 protocol ipv4 ttl
Processed 3 flows
Aggregated to 3 flows
IPV4 SRC ADDR IP PROT IP TTL flows bytes pkts
=============== ======= ====== ========== ========== ==========
172.16.250.201 6 37 1 500 1
172.16.250.202 6 12 1 500 1
172.16.250.208 6 50 1 500 1
30. Дополнительный анализ TCP- и UDP-заголовков Для
справки
0 15 16 31
Порт источника Порт получателя
Последовательный номер
20B Номер подтверждения
Флаги
HLEN RSVD
Размер окна
URG
PSH
RST
ACK
SYN
FIN
4 6
Контрольная сумма Указатель срочности
(Параметры TCP)
Поле флагов
UDP-датаграмма TCP
Флаг Значение
0 15 16 32
URG Указатель срочности действителен
Порт источника (16) Порт получателя (16)
ACK Поле подтверждения действительно
Длина (16) Контр. сумма UDP (16) Сегмент требует передачи из буфера
PSH
RST Сброс соединения
Данные (при наличии)
Синхронизация последовательности номеров
SYN
FIN Конец байтового потока для отправителя
31. Фильтрация на основе поля флагов TCP
IOS-FW# show access-list TCPFLAGS Поле флагов
Extended IP access list TCPFLAGS
10 deny tcp any any match-all +fin +psh +urg Flags = 41 = 0x29
20 deny tcp any any match-all -ack -fin -psh -rst -syn -urg Flags = 00 = 0x00
30 deny tcp any any match-all +ack +rst Flags = 20 = 0x14
40 permit tcp any any match-all -ack -fin -psh -rst +syn -urg Flags = 02 = 0x02
50 permit tcp any any match-all +ack -fin -psh -rst -syn -urg Flags = 16 = 0x10
60 permit tcp any any match-all +ack +psh -syn -urg Flags = 24 = 0x18
70 permit tcp any any match-all -ack -psh +rst -syn -urg Flags = 01 = 0x01
IOS-FW# show flow monitor FLEX1 cache aggregate transport tcp flags
transport destination-port ipv4 destination address
Processed 15 flows
Aggregated to 4 flows
IPV4 DST ADDR TRNS DST PORT TCP FLAGS flows bytes pkts
=============== ============= ========= ========== ========== ==========
172.16.251.251 80 0x14 4 640 4
172.16.251.251 80 0x15 4 640 4
172.16.251.251 80 0x16 4 640 4
172.16.251.251 80 0x17 3 480 3
32. А что если атака основана на другом поле заголовка?
IOS-FW(config)# load protocol flash:udp.phdf
IOS-FW# show protocols phdf udp
Protocol ID: 3
UDP-датаграмма
Protocol name: UDP
0 15 16 32
Description: UDP-Protocol
Original file name: flash:udp.phdf Порт источника (16) Порт получателя (16)
Header length: 8 Длина (16) Контр. сумма UDP (16)
Constraint(s):
Total number of fields: 5
Field id: 0, source-port, UDP-Source-Port Данные (при наличии)
Fixed offset. offset 0
Constant length. Продолжительность: 16
Field id: 1, dest-port, UDP-Destination-Port
Fixed offset. offset 16
Constant length. Продолжительность: 16
Field id: 2, length, UDP-Packet-Length Функция гибкого анализа пакетов
Fixed offset. offset 32 (FPM) позволяет определить
Constant length. Продолжительность: 16
Field id: 3, checksum, UDP-Checksum
расширенный метод фильтрации
Fixed offset. offset 48 на основе полей заголовков IP,
Constant length. Продолжительность: 16 TCP, UDP и ICMP.
Field id: 4, payload-start, UDP-Payload-Start
Fixed offset. offset 64
Constant length. Продолжительность: 0
33. Возможности FPM: на примере TCP
IOS-FW(config)# class-map type access-control match-all FPM1
IOS-FW(config-cmap)# match field ?
ICMP ICMP-Protocol
IP IP-Protocol
TCP TCP-Protocol
UDP UDP-Protocol
layer Match Protocol Layer
IOS-FW(config-cmap)# match field TCP ?
acknum TCP-Acknowledgement-Number
checksum TCP-Checksum-Value
control-bits TCP-Control-Bits-Number
data-offset TCP-Data-Offset-Number
dest-port TCP-Destination-Port
ecn TCP-ECN-Number
payload-start TCP-Payload-Start
reserved TCP-Reserved-Number
seqnum TCP-Sequence-Number
source-port TCP-Source-Port
urgent-pointer TCP-Urgent-Pointer
window TCP-Window-Size
35. Гибкий анализ пакетов (FPM) в действии
class-map type stack match-all IP-TCP
match field IP protocol eq 0x6 next TCP
!
class-map type access-control match-all CLASS1
match field TCP dest-port eq 600
match start TCP payload-start offset 16 size 10 regex ".*[Ww][Oo][Rr][Mm]"
!
policy-map type access-control POLICY1
class CLASS1
drop
log
policy-map type access-control FPM1
class IP-TCP
service-policy POLICY1
!
interface FastEthernet0/0
service-policy type access-control input FPM1
%SEC-6-IPACCESSLOGP: list CLASS1 denied tcp 172.16.210.120(18045) (FastEthernet0/0 ) ->
172.16.211.11(600), 1 packet
37. Классический антиспуфинг с помощью ACL-списков
В пакетах, поступающих из Интернета в В пакетах, поступающих из сети клиента
сеть клиента, в качестве адреса в Интернет, в качестве адреса источника
получателя может использоваться может использоваться только
только назначенный блок (и никогда в назначенный блок (и никогда в качестве
качестве адреса источника). адреса получателя).
в Интернет
из Интернета
Сеть Назначенный
оператора Int1 Int2 клиентом блок
связи ISP Клиент
A.B.C.0/24
interface Int1 interface Int2
ip access-group 110 out ip access-group 170 in
ip access-group 120 in ip access-group 180 out
! !
access-list 110 deny ip A.B.C.0 0.0.0.255 any access-list 170 deny ip A.B.C.0 0.0.0.255 any
access-list 110 permit ip any A.B.C.0 0.0.0.255 access-list 170 permit ip any A.B.C.0 0.0.0.255
! !
access-list 120 permit ip A.B.C.0 0.0.0.255 any access-list 180 permit ip A.B.C.0 0.0.0.255 any
access-list 120 deny ip any any access-list 180 deny ip any any
38. Антиспуфинг: строгая проверка uRPF
Достижим ли адрес
источника через
Поступающий пакет входной интерфейс?
Ист.: 10.1.1.200
Получ.: 172.16.201.254
Fast2 Fast4 10.1.1.0/24
172.16.202.0/24 .254 R2 .254 172.16.201.0/24 .1 R1
R2# show ip route | begin Gateway
interface FastEthernet2 Gateway of last resort is not set
ip address 172.16.202.254 255.255.255.0 172.16.0.0/24 is subnetted, 2 subnets
ip verify unicast source reachable-via rx C 172.16.201.0 is directly connected, FastEthernet4
C 172.16.202.0 is directly connected, FastEthernet2
10.0.0.0/24 is subnetted, 2 subnets
R2# show ip cef 10.1.1.0 255.255.255.0 C 10.254.254.0 is directly connected, Loopback0
10.1.1.0/24 D 10.1.1.0 [90/28416] via 172.16.201.1, 00:30:21,
nexthop 172.16.201.1 FastEthernet4 FastEthernet4
CEF-Drop: Packet from 10.1.1.200 (Fa2) to 172.16.201.254, uRPF feature
39. Антиспуфинг: нестрогая проверка uRPF
Достижим ли адрес
источника через любой
Поступающий пакет интерфейс
маршрутизатора?
Ист.: 10.2.2.2
Получ.: 172.16.201.254
Fast2 Fast4
172.16.202.0/24 .254 R2 .254 172.16.201.0/24 .1 R1
R2# show ip route 10.2.2.0 255.255.255.0
interface FastEthernet2 % Subnet not in table
ip address 172.16.202.254 255.255.255.0
ip verify unicast source reachable-via any
R2# show ip interface f2 | include verif
IP verify source reachable-via ANY
R2# show ip cef 10.2.2.0 255.255.255.0
5 verification drops
%Prefix not found
0 suppressed verification drops
0 verification drop-rate
CEF-Drop: Packet from 10.2.2.2 (Fa2) to 172.16.201.254, uRPF feature
40. Антиспуфинг: uRPF и маршрут по умолчанию
Поступающий пакет
interface FastEthernet2
Ист.: 10.2.2.2
ip address 172.16.202.254 255.255.255.0
ip verify unicast source reachable-via any
Получ.: 172.16.201.254
Fast2 Fast4
172.16.202.0/24 .254 R2 .254 172.16.201.0/24 .1 R1
ip route 0.0.0.0 0.0.0.0 172.16.201.1 R2# show ip route 0.0.0.0
Routing entry for 0.0.0.0/0, supernet
R2# show ip route 10.2.2.0 255.255.255.0 Known via "static", distance 1, metric 0, candidate default path
% Subnet not in table Routing Descriptor Blocks:
* 172.16.201.1
R2# show ip cef 10.2.2.0 255.255.255.0 Route metric is 0, traffic share count is 1
%Prefix not found
CEF-Drop: Packet from 10.2.2.2 (Fa2) to 172.16.201.254, uRPF feature
** Если требуется изменить такую реакцию...
interface FastEthernet2
ip verify unicast source reachable-via any allow-default
42. Обзор системы предотвращения вторжений (IPS) IOS
• Встроенный программный датчик для предотвращения вторжений
• Поддержка формата сигнатуры Cisco IPS версии 5.x, начиная с
выпуска 12.4(11)T
• Сканирование пакетов на основе сигнатур
• Используются сигнатуры, сформированные для специализированных
устройств Cisco IPS 4200
• Динамическое обновление сигнатур без необходимости обновлять
образ IOS
• Реакция на события настраивается отдельно для каждой сигнатуры и
для каждой категории (оповещение, сброс TCP-соединения,
отбрасывание пакета, запрет потока от источника атаки или
соединения с ним)
• Возможности управления - Cisco Security Manager (CSM), Cisco
Configuration Professional (CCP)
43. Для
справки
IOS IPS: основные термины
• Загрузка (Loading) - процесс, в ходе которого IOS IPS производит разбор
файлов сигнатур (XML-файлов, расположенных вместе с конфигурацией) и
заполняет базу данных сигнатур
• Компиляция (Compiling) - процесс, в ходе которого значения параметров
из актуальных сигнатур компилируются в таблицу регулярных выражений
• Устаревание (Retiring) сигнатуры означает, что IOS IPS НЕ будет
компилировать эту сигнатуру в память для сканирования
• Восстановление (Unretiring) сигнатуры - указание IOS IPS
компилировать сигнатуру в память и использовать ее для сканирования
трафика
• Включение (Enabling) сигнатуры означает, что при активировании
согласующимся пакетом (или потоком пакетов) сигнатура вызывает
соответствующее действие, связанное с ней
• Выключение (Disabling) сигнатуры означает, что при активировании
согласующимся пакетом (или потоком пакетов) сигнатура НЕ вызывает
соответствующего действия, связанного с ней
44. IOS IPS: категории сигнатур
IOS-IPS# show ip ips category ?
adware/spyware Adware/Spyware (more sub-categories)
attack Attack (more sub-categories)
configurations Configurations (more sub-categories)
ddos DDoS (more sub-categories)
dos DoS (more sub-categories)
email Email (more sub-categories)
instant_messaging Instant Messaging (more sub-categories)
ios_ips IOS IPS (more sub-categories)
l2/l3/l4_protocol L2/L3/L4 Protocol (more sub-categories)
network_services Network Services (more sub-categories)
os OS (more sub-categories)
other_services Other Services (more sub-categories)
p2p P2P (more sub-categories)
reconnaissance Reconnaissance (more sub-categories)
releases Releases (more sub-categories)
telepresence TelePresence (more sub-categories)
uc_protection UC Protection (more sub-categories)
viruses/worms/trojans Viruses/Worms/Trojans (more sub-categories)
web_server Web Server (more sub-categories)
45. IOS IPS: активные сигнатуры
ios_ips basic
IOS-IPS# show ip ips signature count
Cisco SDF release version S556.0
Trend SDF release version V0.0
Signature Micro-Engine: atomic-ip: Total Signatures 413
atomic-ip enabled signatures: 105
atomic-ip retired signatures: 392
atomic-ip compiled signatures: 21
atomic-ip obsoleted signatures: 6
Signature Micro-Engine: normalizer: Total Signatures 9 ios_ips advanced
normalizer enabled signatures: 8
normalizer retired signatures: 1 IOS-IPS# show ip ips signature count
normalizer compiled signatures: 8 Cisco SDF release version S556.0
[…] Trend SDF release version V0.0
Total Signatures: 4170 […]
Total Enabled Signatures: 1191 Total Signatures: 4170
Total Retired Signatures: 3874 Total Enabled Signatures: 1191
Total Compiled Signatures: 295 Total Retired Signatures: 3616
Total Signatures with invalid parameters: 1 Total Compiled Signatures: 554
Total Obsoleted Signatures: 12 Total Obsoleted Signatures: 12
Total Disallowed Signatures: 3 Total Disallowed Signatures: 3
46. IOS IPS: базовая настройка
172.17.44.101
10.5.5..0/24
.5
Атаки
F0/1.1124
IOS-IPS
ip ips IPS1 in 172.17.6.0/24
.103 172.17.22.0/24
ip ips config location flash:ips retries 1 ip ips signature-category
ip ips notify SDEE category all
ip ips name IPS1 retired true
category ios_ips advanced
retired false
interface FastEthernet0/1.1124
encapsulation dot1Q 1124 IOS-IPS#show ip ips interfaces
ip address 172.17.6.4 255.255.255.0 Interface Configuration
ip ips IPS1 in Interface FastEthernet0/1.1124
Inbound IPS rule is IPS1
Outgoing IPS rule is not set
47. IOS IPS в действии
172.17.44.101
10.5.5..0/24
.5
Атаки
F0/1.1124
IOS-IPS
ip ips IPS1 in 172.17.6.0/24
.103 172.17.22.0/24
IOS-IPS# show ip ips sessions
Established Sessions
Session 49746F80 (172.17.44.101:3765)=>(172.17.22.103:137) udp SIS_OPEN
Half-open Sessions
Session 49746C00 (172.17.44.101:3764)=>(172.17.22.103:161) udp SIS_OPENING
Session 49746880 (172.17.44.101:3763)=>(172.17.22.103:161) udp SIS_OPENING
49. VPN-решения Cisco в России
• VPN-решения Cisco признаны лучшими во многих странах и признаны
стандартом де-факто многими специалистами
• Использование VPN-решений Cisco в России сопряжено с рядом
трудностей
– Порядок ввоза на территорию Таможенного союза шифровальных средств
– Требование использования национальных криптографических алгоритмов
– Обязательная сертификация СКЗИ
• На сайте www.slideshare.com/CiscoRu выложена презентация по
регулированию криптографии в России
50. Cisco – лицензиат ФСБ
• Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-решения,
поддерживающие российские криптоалгоритмы на базе
оборудования Cisco
• Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625, 124-
1626 от 28 февраля 2011 года
– Сертификат по классу КС1/КС2
Решение для удаленных офисов
• На базе модуля для ISR G1 и G2
(2800/2900/3800/3900)
51. Технологические сценарии
• Защита каналов связи
• VPN-узел доступа центрального офиса
• Концентратор удаленного доступа
• ПК удаленного (мобильного) пользователя
• Защита беспроводных сетей
• Защита унифицированных коммуникаций
• Managed VPN Services
53. Основные выводы
Что вы узнали
• Как сформировать политики межсетевого экрана на основе зон (начиная
с базовых и заканчивая расширенными)
• Как использовать в IOS функции с учетом пользователей, включая ZFW
с учетом пользователей
• Как использовать преимущества ресурсов расширенной фильтрации,
например ACL-списки специального назначения и гибкое сравнение
пакетов (FPM)
• Предусмотренные в IOS методы антиспуфинга, в особенности ресурс
uRPF
• Основные понятия системы предотвращения вторжений (IPS) IOS
• Наличие сертифицированного решения VPN