Upload
masha-rudnichenko
View
974
Download
0
Tags:
Embed Size (px)
DESCRIPTION
Citation preview
Маршрутизаторы Cisco
как унифицированное средство
обеспечения безопасности
Оксана Санникова,
Системный инженер Cisco
Содержание
• Межсетевой экран с политиками на основе зон в действии (Zone-based Firewall)
• Функции межсетевого экрана с учетом пользователей
• Расширенные возможности фильтрации
• Технологии антиспуфинга (защиты от фальсификации)
• Основы системы предотвращения вторжений Cisco IOS
• Сертифицированный VPN
• Основные выводы
Межсетевой экран с политиками
на основе зон в действии
Межсетевой экран с политиками на основе зон (ZFW)
ZFW1
ДОВЕРЕННАЯ зона НЕДОВЕРЕННАЯ зона
Int 1
Int 3
Политика зоны
OUTBOUND
ИНТЕРНЕТ
Клиент1Сервер
Int 4
Int 2
Клиент2
• Зона - набор интерфейсов с определенным общим "уровнем
доверия"
• Изменение концепции: теперь политики межсетевого экрана
определяют правила обмена между зонами (а не между
интерфейсами)
Политики ZFW являются однонаправленными: от источника к получателю
ZFW: основные элементы политик
policy-map type inspect BASIC1
class type inspect CLASS1
{ inspect | pass | police | drop }
[…]
class type inspect CLASS-N
{ inspect | pass | police | drop }
class class-default
{ inspect | pass | drop }
class-map type inspect { match-all | match-any } CLASS1
a) match protocol { tcp | udp | icmp }
b) match access-group { name ACL-NAME | ACL-NUM }
c) match class-map CLASS-MAP_NAME
zone-pair security Z1-Z2 source Z1 destination Z2
service-policy type inspect BASIC1
ZFW1
Зона безопасности Z1
Int 1 Int 2
Участник зоны
безопасности Z2
Участник зоны
безопасности Z1
Политика Z1-Z2Зона безопасности Z2
172.18.2.0/24172.18.1.0/24 .4 .4ZFW1
Политика зоны
OUTBOUND1
F1 F0
Зона INSIDEЗона OUTSIDE
policy-map type inspect POLICY1
class type inspect TOP-CLASS1
inspect TRACKING
class class-default
drop log
zone-pair security OUTBOUND1 source INSIDE destination OUTSIDE
service-policy type inspect POLICY1
class-map type inspect match-any TOP-CLASS1
match protocol udp
match protocol tcp
Установка
соединения
Проверка исходящего трафика (только L4)
.20.10
172.18.2.0/24172.18.1.0/24 .4 .4ZFW1
Политика зоны
OUTBOUND1
F1 F0
Зона INSIDEЗона OUTSIDE
.20.10
Проверка исходящего трафика (только L4)
ZFW1# show zone security
zone self
Description: System defined zone
zone INSIDE
Member Interfaces:
FastEthernet0
zone OUTSIDE
Member Interfaces:
FastEthernet1
ZFW1# show policy-firewall config zone-pair
Zone-pair : OUTBOUND1
Source Zone : INSIDE
Destination Zone : OUTSIDE
Service-policy inspect : POLICY1
Class-map : TOP-CLASS1(match-any)
Match protocol udp
Match protocol tcp
Action : inspect
Parameter-map : TRACKING
Class-map : class-default(match-any)
Match any
Action : drop log
Parameter-map : Default
ZFW: подготовка для политики L3 + L4
172.18.2.0/24172.18.1.0/24 .4 .4ZFW1
F1 F0
Зона INSIDE Зона OUTSIDE
.20.10172.22.0.0/16
object-group network INSIDE1
172.18.1.0 255.255.255.0
!
object-group network OUT1
172.22.0.0 255.255.0.0
!
object-group network OUT2
host 172.18.2.20
object-group service SVCS1
tcp eq telnet
tcp eq www
!
object-group service SVCS2
udp eq ntp
ip access-list extended ACL1
permit object-group SVCS1 object-group INSIDE1 object-group OUT1
permit object-group SVCS2 object-group INSIDE1 object-group OUT2
ZFW: политика L3 + L4 (нет других ACL-списков)
172.18.2.0/24172.18.1.0/24 .4 .4ZFW1
F1 F0
Зона INSIDE Зона OUTSIDE
.20.10172.22.0.0/16
zone-pair security OUTBOUND2 source INSIDE destination OUTSIDE
service-policy type inspect POLICY2
policy-map type inspect POLICY2
class type inspect JOINT1
inspect TRACKING
class class-default
drop log
class-map type inspect match-all JOINT1
match class-map TOP-CLASS1
match access-group name ACL1
Политика зоны
OUTBOUND2
ip access-list extended ACL1
permit object-group SVCS1 object-group INSIDE1 object-group OUT1
permit object-group SVCS2 object-group INSIDE1 object-group OUT2
ZFW, ACL-списки и NAT
zone-pair security INBOUND2 source OUTSIDE destination INSIDE
service-policy type inspect POLICY2
policy-map type inspect POLICY2
class type inspect JOINT2
inspect TRACKING
class class-default
drop log
class-map type inspect match-all JOINT2
match class-map TOP-CLASS2
match access-group name ACL2
class-map type inspect match-any TOP-CLASS2
match protocol tcp
ip access-list extended ACL2
permit ip 172.18.2.0 0.0.0.255 host 10.5.5.5
ip nat inside source static 10.5.5.5 172.18.2.5
10.5.5.0/24 172.18.2.0/24
.5 .20ip nat outsideip nat inside ZFW1
NAT
.4 .4
Локальное адресное
пространство
Глобальное
адресное
пространство
Зона INSIDE Зона OUTSIDE
F0/1.1610F0/0
Реальный Преобразованный
ZFW: прозрачный режим работы
ZFW1R1
R2
10.5.5.0/24
Зона INSIDEЗона OUTSIDE
.1 .2F0/1.1610F0/0
Политика зоны
OUTBOUND1
zone-pair security OUTBOUND1 source INSIDE destination OUTSIDE
service-policy type inspect POLICY1
class-map type inspect match-any BASIC1
match protocol udp
match protocol icmp
match protocol tcp
bridge-group1 bridge-group1
policy-map type inspect POLICY1
class type inspect BASIC1
inspect TRACKING
class class-default
drop log
ZFW1# show policy-firewall session
Established Sessions = 1
Session 49AD3240 (10.5.5.1:56643)=>(10.5.5.2:23) tcp SIS_OPEN/TCP_ESTAB
Created 00:00:25, Last heard 00:00:13
Bytes sent (initiator:responder) [48:95]
%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:BASIC1):
Start tcp session: initiator (10.5.5.1:56643) -- responder (10.5.5.2:23)
ZFW1
192.168.2.0/24
Зона WIRED Зона WIRELESS
Fast1 Fast0
Беспроводная
точка доступаБеспро-
водный
клиент.101 .102
zone-pair security INBOUND1 source WIRELESS destination WIRED
service-policy type inspect POLICY1
Политика зоны
INBOUND1
policy-map type inspect POLICY1
class type inspect JOINT1
inspect TRACKING
class class-default
drop log
class-map type inspect match-all JOINT1
match class-map BASIC1
match access-group name ACL1
class-map type inspect match-any BASIC1
match protocol tcp
ip access-list extended ACL1
permit tcp 192.168.2.0 0.0.0.255 host 192.168.2.101 eq 25
permit tcp 192.168.2.0 0.0.0.255 host 192.168.2.102 eq 443
HTTPSSMTP
ZFW: сценарий использования для прозрачного режима
zone-pair security OUTBOUND1 source INSIDE destination OUTSIDE
service-policy type inspect POLICY1
policy-map type inspect POLICY1
class type inspect L7-CLASS1
inspect TRACKING
class class-default
drop log
class-map type inspect match-any L7-CLASS1
match protocol ftp
192.168.2.0/24 ZFW1
Политика зоны
OUTBOUND1
.X
Зона INSIDE Зона OUTSIDE
Fast0
Клиент
ip nat outsideip nat inside
NAT
Глобальное
адресное
пространство
Локальное адресное
пространство
Fast1
172.17.11.102
FTP
ip nat outside source static 172.17.11.102 192.168.2.102 add-route
ZFW и проверка L7: пример 1проверка трафика FTP и использование NAT
ZFW1
Политика зоны
OUTBOUND1
.200
Зона INSIDE Зона OUTSIDE
Fast0Fast1
192.168.2.0/24 172.17.3.0/24
.40
HTTP
работает на
портах 2002
- 2003
zone-pair security OUTBOUND1 source INSIDE destination OUTSIDE
service-policy type inspect POLICY1
policy-map type inspect POLICY1
class type inspect HTTP-CLASS
inspect TRACKING
class class-default
drop log
class-map type inspect match-any HTTP-CLASS
match protocol http
access-list 1 permit 172.17.3.40
ip port-map http port tcp from 2002 to 2003 list 1
Проверка HTTP на нестандартных портах
ZFW и проверка L7: пример 2проверка L7 на нестандартных портах
ZFW1
Политика зоны
OUTBOUND1
.200
Зона INSIDE Зона OUTSIDE
Fast0Fast1
HTTP
192.168.2.0/24 172.17.3.0/24
zone-pair security OUTBOUND1 source INSIDE destination OUTSIDE
service-policy type inspect POLICY1
policy-map type inspect POLICY1
class type inspect HTTP-CLASS
inspect TRACKING
service-policy http WEB1
class class-default
drop log
class-map type inspect match-any HTTP-CLASS
match protocol http
policy-map type inspect http WEB1
class type inspect http HTTP1
reset
log
class-map type inspect http match-any HTTP1
match response header set-cookie
policy-map верхнего уровня
ZFW и проверка L7: пример 3сравнение заголовка ответа HTTP
policy-map для конкретного
приложения
class-map верхнего уровня
class-map для конкретного приложения
.30
ZFW: проверка трафика самого
маршрутизатора - зона «self»
.2ZFW1
F4.200 172.21.21.0/24
Зона OUTSIDE
.21
Зона self (адреса
маршрутизатора)
Политика зоны
OUT-SELF
F4.201
10.10.10.1 172.20.20.1
172.22.22.0/24
.2
.22
R1
172.20.20.0/24
R2
zone-pair security OUT-SELF source OUTSIDE destination self
service-policy type inspect OUT-FW1
policy-map type inspect OUT-FW1
class type inspect ICMP1
inspect TRACKING
class class-default
drop log
class-map type inspect match-all ICMP1
match access-group name PING1
ip access-list extended PING1
permit icmp object-group OUT1 object-group RTR-ADDR echo
object-group network RTR-ADDR
host 10.10.10.1
host 172.20.20.1
object-group network OUT1
172.20.20.0 255.255.255.0
ZFW: политики внутри зоны
zone-pair security INTRAZONE1 source INSIDE destination INSIDE
service-policy type inspect POLICY2
policy-map type inspect POLICY2
class type inspect TOP-CLASS2
inspect TRACKING
class class-default
drop log
class-map type inspect match-any TOP-CLASS2
match protocol icmp
match protocol udp
10.10.6.0/24 10.10.10.0/24ZFW1.1 .1
Зона INSIDE
Fast1 Fast0
Политика зоны
INTRAZONE1
.200.6
Сервер
NTP
ZFW: политики внутри зоны
ZFW1# show zone security INSIDE
zone INSIDE
Member Interfaces:
FastEthernet0
FastEthernet1
ZFW1# show zone-pair security
Zone-pair name INTRAZONE1
Source-Zone INSIDE Destination-Zone INSIDE
service-policy POLICY2
ZFW1# show policy-firewall session
Established Sessions = 1
Session 49CFB240 (10.10.6.6:123)=>(10.10.10.200:123) udp SIS_OPEN
Created 00:00:29, Last heard 00:00:29
Bytes sent (initiator:responder) [48:48]
10.10.6.0/24 10.10.10.0/24ZFW1.1 .1
Зона INSIDE
Fast1 Fast0
Политика зоны
INTRAZONE1
.200.6
Сервер
NTP
Функции межсетевого экрана с
учетом пользователей
Управление доступом с учетом пользователя
Имеется ли возможность предоставить доступ конкретному пользователю?
Можно ли управлять доступом к приложениям любого типа?
Имеется ли поддержка учетных записей?
Это динамический тип управления?
user1
Кто
пользователь?
Что за ресурс?
user2
SRV1 SRV2
172.26.26.0/24Шлюз
Сеть
управления
CS-ACS
Конечный пользо-ватель
172.16.100.0/24
2
Запрос прокси-
сервиса
аутентификации
3
4
5
Telnet 172.26.26.261
.26
SRV1
1. Пользователь связывается по Telnet с сервером SRV1
2. Прокси-сервис аутентификации перехватывает пакет и направляет пользователю
запрос на аутентификацию
3. ZFW запрашивает сервер RADIUS
4. Сервер RADIUS в ответ направляет профиль авторизации (или отказ в доступе)
5. Пользователю предоставляется доступ к узлу назначения
.100
F0F1
Базовый инструмент: прокси-сервис аутентификации
172.26.26.0/24ШлюзZFW1
Сеть
управления
CS-ACS
Конечный пользо-ватель
172.16.100.0/24
.26
SRV1
1. Пользователь связывается по Telnet с сервером
2. Прокси-сервис аутентификации перехватывает пакет и направляет пользователю запрос
3. Сервер RADIUS отправляет "supplicant-group" ("группу клиента") VSA в межсетевой экран
IOS
4. Формируется отображение пользователя на группу
5. Для каждой отдельной группы создается межсетевой экран с политиками на основе зон
.100
F0F1
Зона OUTSIDEЗона INSIDEПолитика зоны
OUTBOUND1
Прокси-сервис
аутентификации
ZFW с учетом пользователя
Расширенные возможности
фильтрации
TOS (8)
Флаги (3)Идентификация (16) Смещение фрагм. (13)
IP-адрес источника (32)
IP-адрес получателя (32)
Vers(4) Hlen(4) Общая длина (16)
TTL (8) Контрольная сумма заголовка (16)Протокол (8)
(Параметры IP) (PAD)
32 бита
Обеспечивает кратность
длины заголовка32 битам
Длина IP-заголовка, измеряемая в
4-байтовых (32-разрядных) словах
Общая длина IP-датаграммы. Измеряется в октетах
(включая полезную часть и заголовок)
Обеспечивает целостностьIP-заголовка
Номер версии
Время жизни (TTL):
уменьшается на 1 каждым
маршрутизато-ром на пути следования
Указывает протокол верхнего
уровня
Rsvd (=0) DF MF
Поле флагов
Дополнительный анализ IP-заголовка Для
справки
Как формируются фрагменты
IP-заголовок
Заголовок 1
Заголовок 2
Заголовок 3
Заголовок 4
600 байтов
160 байтов
160 байтов
160 байтов
120 байтов
Исходная
датаграмма
Фрагмент 1
Фрагмент 2
Фрагмент 3
Фрагмент 4
Исходный 620 600 0x6E81 0 0 0 0 0x0000
Фрагм. 1 180 160 0x6E81 0 0 1 0 0x2000
Фрагм. 2 180 160 0x6E81 0 0 1 160 = 8 x 20 (0x14) 0x2014
Фрагм. 3 180 160 0x6E81 0 0 1 320 = 8 x 40 (0x28) 0x2028
Фрагм. 4 140 120 0x6E81 0 0 0 480 = 8 x 60 (0x3C) 0x003C
Общая
длина
Длина
данных
L3
Идент.
номер
Бит
Rsvd
Бит
DF
Бит
MF
Смещение фрагмента
(кратное 8 байтам)
Флаг
смещения
Для
справки
Примеры атак на основе фрагментации
• Атака крошечными фрагментами: использует очень маленькие пакеты
TCP, сформированные таким образом, чтобы часть заголовка L4
(например, включающая поле флагов) переходила во второй фрагмент.
При таком подходе атакующий рассчитывает, что проверяться будет
только первый фрагмент, а остальные будут проходить без проверки.
• Атака перекрывающимися фрагментами: смещение определенного
фрагмента перекрывается со смещением другого. Атаки этого класса
могут использоваться либо с намерением вызвать отказ в обслуживании,
DoS (например, с помощью эксплойта UDP Teardrop), либо в попытке
перезаписать часть данных предыдущих фрагментов в цепочке и обойти
системы защиты.
• Переполнение буфера повторной сборки: чрезмерное количество
неполных датаграмм на узле-получателе, ожидающих повторной сборки.
Для
справки
Обработка фрагментированных IP-пакетов (1)
IOS-FW# show access-list 101
Extended IP access list 101
10 permit tcp any any fragments (1081 matches)
20 permit tcp any any (1082 matches)
30 permit udp any any fragments (360 matches)
40 permit udp any any (361 matches)
50 permit icmp any any fragments
60 permit icmp any any
70 permit ip any any fragments
80 permit ip any any
Ключевое слово "fragments" в ACL-списках IOS отфильтровывает не
начальные фрагменты.
ACL-списки этого типа могут использоваться для быстрого выявления
видов трафика, формирующих фрагменты (TCP, UDP, ICMP и т. д.)
Обработка фрагментированных IP-пакетов (2)
Виртуальная повторная сборка фрагментов (VFR)
interface FastEthernet1
ip virtual-reassembly max-fragments 3
%IP_VFR-4-TOO_MANY_FRAGMENTS: FastEthernet1: Too many fragments per datagram
(more than 3) - sent by 172.18.2.122, destined to 172.18.1.30
interface FastEthernet1
ip virtual-reassembly max-fragments 5 max-reassemblies 100 timeout 8
!
IOS-FW#show ip virtual-reassembly f1
FastEthernet1:
Virtual Fragment Reassembly (VFR) is ENABLED...
Concurrent reassemblies (max-reassemblies): 100
Fragments per reassembly (max-fragments): 5
Reassembly timeout (timeout): 8 seconds
Drop fragments: OFF
Current reassembly count:100
Current fragment count:300
Total reassembly count:0
Total reassembly timeout count:53
%IP_VFR-4-FRAG_TABLE_OVERFLOW: FastEthernet1: the fragment table has reached its
maximum threshold 100
Фильтрация на основе поля TTL IP-заголовка
IOS-FW# show access-list TTL
Extended IP access list TTL
10 deny tcp any any ttl lt 30 log (5 matches)
20 deny udp any any ttl lt 30 log
30 deny icmp any any ttl lt 30 log
40 permit tcp any host 172.16.251.251 eq www (2 matches)
50 permit tcp any host 172.16.251.251 eq 443
%SEC-6-IPACCESSLOGP: list TTL denied tcp 172.16.250.202(17002)
-> 172.16.251.251(80), 1 packet
IOS-FW# show flow monitor FLEX1 cache aggregate ipv4 source address ipv4 protocol ipv4 ttl
Processed 3 flows
Aggregated to 3 flows
IPV4 SRC ADDR IP PROT IP TTL flows bytes pkts
=============== ======= ====== ========== ========== ==========
172.16.250.201 6 37 1 500 1
172.16.250.202 6 12 1 500 1
172.16.250.208 6 50 1 500 1
Порт источника
Последовательный номер
Номер подтверждения
Размер окна
Контрольная сумма Указатель срочности
(Параметры TCP)
0 15 31
Порт получателя
HLEN4
RSVD6
Флаги
UR
G
AC
K
PS
H
RS
T
SY
N
FIN
20B
16
Поле флагов
TCP
Дополнительный анализ TCP- и UDP-заголовков Для
справки
Порт источника (16) Порт получателя (16)
Длина (16) Контр. сумма UDP (16)
Данные (при наличии)
0 15 16 32
UDP-датаграммаФлаг Значение
URG Указатель срочности действителен
ACK Поле подтверждения действительно
PSH Сегмент требует передачи из буфера
RST Сброс соединения
SYN Синхронизация последовательности номеров
FIN Конец байтового потока для отправителя
Фильтрация на основе поля флагов TCP
IOS-FW# show access-list TCPFLAGS
Extended IP access list TCPFLAGS
10 deny tcp any any match-all +fin +psh +urg Flags = 41 = 0x29
20 deny tcp any any match-all -ack -fin -psh -rst -syn -urg Flags = 00 = 0x00
30 deny tcp any any match-all +ack +rst Flags = 20 = 0x14
40 permit tcp any any match-all -ack -fin -psh -rst +syn -urg Flags = 02 = 0x02
50 permit tcp any any match-all +ack -fin -psh -rst -syn -urg Flags = 16 = 0x10
60 permit tcp any any match-all +ack +psh -syn -urg Flags = 24 = 0x18
70 permit tcp any any match-all -ack -psh +rst -syn -urg Flags = 01 = 0x01
IOS-FW# show flow monitor FLEX1 cache aggregate transport tcp flags
transport destination-port ipv4 destination address Processed 15 flows
Aggregated to 4 flows
IPV4 DST ADDR TRNS DST PORT TCP FLAGS flows bytes pkts
=============== ============= ========= ========== ========== ==========
172.16.251.251 80 0x14 4 640 4
172.16.251.251 80 0x15 4 640 4
172.16.251.251 80 0x16 4 640 4
172.16.251.251 80 0x17 3 480 3
Поле флагов
А что если атака основана на другом поле заголовка?
IOS-FW(config)# load protocol flash:udp.phdf
IOS-FW# show protocols phdf udp
Protocol ID: 3
Protocol name: UDP
Description: UDP-Protocol
Original file name: flash:udp.phdf
Header length: 8
Constraint(s):
Total number of fields: 5
Field id: 0, source-port, UDP-Source-Port
Fixed offset. offset 0
Constant length. Продолжительность: 16
Field id: 1, dest-port, UDP-Destination-Port
Fixed offset. offset 16
Constant length. Продолжительность: 16
Field id: 2, length, UDP-Packet-Length
Fixed offset. offset 32
Constant length. Продолжительность: 16
Field id: 3, checksum, UDP-Checksum
Fixed offset. offset 48
Constant length. Продолжительность: 16
Field id: 4, payload-start, UDP-Payload-Start
Fixed offset. offset 64
Constant length. Продолжительность: 0
Порт источника (16) Порт получателя (16)
Длина (16) Контр. сумма UDP (16)
Данные (при наличии)
0 15 16 32
UDP-датаграмма
Функция гибкого анализа пакетов
(FPM) позволяет определить
расширенный метод фильтрации
на основе полей заголовков IP,
TCP, UDP и ICMP.
Возможности FPM: на примере TCP
IOS-FW(config)# class-map type access-control match-all FPM1
IOS-FW(config-cmap)# match field ?
ICMP ICMP-Protocol
IP IP-Protocol
TCP TCP-Protocol
UDP UDP-Protocol
layer Match Protocol Layer
IOS-FW(config-cmap)# match field TCP ?
acknum TCP-Acknowledgement-Number
checksum TCP-Checksum-Value
control-bits TCP-Control-Bits-Number
data-offset TCP-Data-Offset-Number
dest-port TCP-Destination-Port
ecn TCP-ECN-Number
payload-start TCP-Payload-Start
reserved TCP-Reserved-Number
seqnum TCP-Sequence-Number
source-port TCP-Source-Port
urgent-pointer TCP-Urgent-Pointer
window TCP-Window-Size
Ethernet Packet: 80 bytes
Dest Addr: 0012.DAD2.6203, Source Addr: 0000.0000.0000
Protocol (Протокол). 0x0800
IP Version: 0x4, HdrLen: 0x5, TOS: 0x40 (Prec=Immediate)
Length: 66, ID: 0x5208, Flags-Offset: 0x0000
TTL: 60, Protocol (Протокол). 6 (TCP), Checksum: 0x2EC6 (OK)
Source: 172.16.210.105, Dest: 172.16.211.31
TCP Src Port: 8000, Порт назнач.: 600
Seq #: 0x00000000, Ack #: 0x00000000, Hdr_Len: 5
Flags: 0x02 SYN, Window: 0, Checksum: 0xB9B3 (OK)
Urgent Pointer: 0
Data:
0 : 0000 0000 0000 0000 0000 0000 0001 0108 7468 6531 ................the1
20 : 774F 526D 3275 wORm2u
Data:
0 : 0000 0000 0000 0000 0000 0000 0001 0108 774F 526D ................wORm
20 : 4167 6169 6E31 Again1
Data:
0 : 0000 0000 0000 0000 0000 0000 0001 0108 7468 656E ................then
20 : 6577 574F 524D ewWORM
Вариант 1 (изменение только части данных)
Вариант 2 (изменение только части данных)
Пример атаки, заблокированной FPM Для
справки
class-map type stack match-all IP-TCP
match field IP protocol eq 0x6 next TCP
!
class-map type access-control match-all CLASS1
match field TCP dest-port eq 600
match start TCP payload-start offset 16 size 10 regex ".*[Ww][Oo][Rr][Mm]"
!
policy-map type access-control POLICY1
class CLASS1
drop
log
policy-map type access-control FPM1
class IP-TCP
service-policy POLICY1
!
interface FastEthernet0/0
service-policy type access-control input FPM1
%SEC-6-IPACCESSLOGP: list CLASS1 denied tcp 172.16.210.120(18045) (FastEthernet0/0 ) ->
172.16.211.11(600), 1 packet
Гибкий анализ пакетов (FPM) в действии
Технологии антиспуфинга (защиты
от фальсификации)
Сетьоператора
связи
Назначенныйклиентом блок
A.B.C.0/24
из Интернетав Интернет
КлиентISP
Int1 Int2
В пакетах, поступающих из Интернета в
сеть клиента, в качестве адреса
получателя может использоваться
только назначенный блок (и никогда в
качестве адреса источника).
В пакетах, поступающих из сети клиента
в Интернет, в качестве адреса источника
может использоваться только
назначенный блок (и никогда в качестве
адреса получателя).
interface Int2
ip access-group 170 in
ip access-group 180 out
!
access-list 170 deny ip A.B.C.0 0.0.0.255 any
access-list 170 permit ip any A.B.C.0 0.0.0.255
!
access-list 180 permit ip A.B.C.0 0.0.0.255 any
access-list 180 deny ip any any
interface Int1
ip access-group 110 out
ip access-group 120 in
!
access-list 110 deny ip A.B.C.0 0.0.0.255 any
access-list 110 permit ip any A.B.C.0 0.0.0.255
!
access-list 120 permit ip A.B.C.0 0.0.0.255 any
access-list 120 deny ip any any
Классический антиспуфинг с помощью ACL-списков
Антиспуфинг: строгая проверка uRPF
172.16.201.0/24.254 .1
10.1.1.0/24
R2 R1
Fast4Fast2
172.16.202.0/24 .254
Ист.: 10.1.1.200
Получ.: 172.16.201.254
interface FastEthernet2
ip address 172.16.202.254 255.255.255.0
ip verify unicast source reachable-via rx
Достижим ли адрес
источника через
входной интерфейс?Поступающий пакет
R2# show ip route | begin Gateway
Gateway of last resort is not set
172.16.0.0/24 is subnetted, 2 subnets
C 172.16.201.0 is directly connected, FastEthernet4
C 172.16.202.0 is directly connected, FastEthernet2
10.0.0.0/24 is subnetted, 2 subnets
C 10.254.254.0 is directly connected, Loopback0
D 10.1.1.0 [90/28416] via 172.16.201.1, 00:30:21,
FastEthernet4
R2# show ip cef 10.1.1.0 255.255.255.0
10.1.1.0/24
nexthop 172.16.201.1 FastEthernet4
CEF-Drop: Packet from 10.1.1.200 (Fa2) to 172.16.201.254, uRPF feature
Антиспуфинг: нестрогая проверка uRPF
172.16.201.0/24.254 .1R2 R1
Fast4Fast2
172.16.202.0/24 .254
Ист.: 10.2.2.2
Получ.: 172.16.201.254
interface FastEthernet2
ip address 172.16.202.254 255.255.255.0
ip verify unicast source reachable-via any
Достижим ли адрес
источника через любой
интерфейс
маршрутизатора?Поступающий пакет
R2# show ip route 10.2.2.0 255.255.255.0
% Subnet not in table
R2# show ip cef 10.2.2.0 255.255.255.0
%Prefix not found
CEF-Drop: Packet from 10.2.2.2 (Fa2) to 172.16.201.254, uRPF feature
R2# show ip interface f2 | include verif
IP verify source reachable-via ANY
5 verification drops
0 suppressed verification drops
0 verification drop-rate
Антиспуфинг: uRPF и маршрут по умолчанию
172.16.201.0/24.254 .1R2 R1
Fast4Fast2
172.16.202.0/24 .254
Ист.: 10.2.2.2
Получ.: 172.16.201.254
interface FastEthernet2
ip address 172.16.202.254 255.255.255.0
ip verify unicast source reachable-via any
Поступающий пакет
R2# show ip route 10.2.2.0 255.255.255.0
% Subnet not in table
CEF-Drop: Packet from 10.2.2.2 (Fa2) to 172.16.201.254, uRPF feature
R2# show ip route 0.0.0.0
Routing entry for 0.0.0.0/0, supernet
Known via "static", distance 1, metric 0, candidate default path
Routing Descriptor Blocks:
* 172.16.201.1
Route metric is 0, traffic share count is 1
ip route 0.0.0.0 0.0.0.0 172.16.201.1
R2# show ip cef 10.2.2.0 255.255.255.0
%Prefix not found
** Если требуется изменить такую реакцию...
interface FastEthernet2
ip verify unicast source reachable-via any allow-default
Основы системы предотвращения
вторжений IOS
Обзор системы предотвращения вторжений (IPS) IOS
• Встроенный программный датчик для предотвращения вторжений
• Поддержка формата сигнатуры Cisco IPS версии 5.x, начиная с
выпуска 12.4(11)T
• Сканирование пакетов на основе сигнатур
• Используются сигнатуры, сформированные для специализированных
устройств Cisco IPS 4200
• Динамическое обновление сигнатур без необходимости обновлять
образ IOS
• Реакция на события настраивается отдельно для каждой сигнатуры и
для каждой категории (оповещение, сброс TCP-соединения,
отбрасывание пакета, запрет потока от источника атаки или
соединения с ним)
• Возможности управления - Cisco Security Manager (CSM), Cisco
Configuration Professional (CCP)
IOS IPS: основные термины
• Загрузка (Loading) - процесс, в ходе которого IOS IPS производит разбор
файлов сигнатур (XML-файлов, расположенных вместе с конфигурацией) и
заполняет базу данных сигнатур
• Компиляция (Compiling) - процесс, в ходе которого значения параметров
из актуальных сигнатур компилируются в таблицу регулярных выражений
• Устаревание (Retiring) сигнатуры означает, что IOS IPS НЕ будет компилировать эту сигнатуру в память для сканирования
• Восстановление (Unretiring) сигнатуры - указание IOS IPS компилировать сигнатуру в память и использовать ее для сканирования трафика
• Включение (Enabling) сигнатуры означает, что при активировании согласующимся пакетом (или потоком пакетов) сигнатура вызываетсоответствующее действие, связанное с ней
• Выключение (Disabling) сигнатуры означает, что при активировании согласующимся пакетом (или потоком пакетов) сигнатура НЕ вызывает соответствующего действия, связанного с ней
Для
справки
IOS IPS: категории сигнатур
IOS-IPS# show ip ips category ?
adware/spyware Adware/Spyware (more sub-categories)
attack Attack (more sub-categories)
configurations Configurations (more sub-categories)
ddos DDoS (more sub-categories)
dos DoS (more sub-categories)
email Email (more sub-categories)
instant_messaging Instant Messaging (more sub-categories)
ios_ips IOS IPS (more sub-categories)
l2/l3/l4_protocol L2/L3/L4 Protocol (more sub-categories)
network_services Network Services (more sub-categories)
os OS (more sub-categories)
other_services Other Services (more sub-categories)
p2p P2P (more sub-categories)
reconnaissance Reconnaissance (more sub-categories)
releases Releases (more sub-categories)
telepresence TelePresence (more sub-categories)
uc_protection UC Protection (more sub-categories)
viruses/worms/trojans Viruses/Worms/Trojans (more sub-categories)
web_server Web Server (more sub-categories)
IOS IPS: активные сигнатуры
IOS-IPS# show ip ips signature count
Cisco SDF release version S556.0
Trend SDF release version V0.0
Signature Micro-Engine: atomic-ip: Total Signatures 413
atomic-ip enabled signatures: 105
atomic-ip retired signatures: 392
atomic-ip compiled signatures: 21
atomic-ip obsoleted signatures: 6
Signature Micro-Engine: normalizer: Total Signatures 9
normalizer enabled signatures: 8
normalizer retired signatures: 1
normalizer compiled signatures: 8
[…]
Total Signatures: 4170
Total Enabled Signatures: 1191
Total Retired Signatures: 3874
Total Compiled Signatures: 295
Total Signatures with invalid parameters: 1
Total Obsoleted Signatures: 12
Total Disallowed Signatures: 3
IOS-IPS# show ip ips signature count
Cisco SDF release version S556.0
Trend SDF release version V0.0
[…]
Total Signatures: 4170
Total Enabled Signatures: 1191
Total Retired Signatures: 3616
Total Compiled Signatures: 554
Total Obsoleted Signatures: 12
Total Disallowed Signatures: 3
ios_ips advanced
ios_ips basic
IOS IPS: базовая настройка
interface FastEthernet0/1.1124
encapsulation dot1Q 1124
ip address 172.17.6.4 255.255.255.0
ip ips IPS1 in
ip ips config location flash:ips retries 1
ip ips notify SDEE
ip ips name IPS1
ip ips signature-category
category all
retired true
category ios_ips advanced
retired false
172.17.22.0/24
10.5.5..0/24
172.17.6.0/24IOS-IPS
.103
.5
172.17.44.101
Атаки
F0/1.1124
ip ips IPS1 in
IOS-IPS#show ip ips interfaces
Interface Configuration
Interface FastEthernet0/1.1124
Inbound IPS rule is IPS1
Outgoing IPS rule is not set
IOS IPS в действии
IOS-IPS# show ip ips sessions
Established Sessions
Session 49746F80 (172.17.44.101:3765)=>(172.17.22.103:137) udp SIS_OPEN
Half-open Sessions
Session 49746C00 (172.17.44.101:3764)=>(172.17.22.103:161) udp SIS_OPENING
Session 49746880 (172.17.44.101:3763)=>(172.17.22.103:161) udp SIS_OPENING
172.17.22.0/24
10.5.5..0/24
172.17.6.0/24IOS-IPS
.103
.5
172.17.44.101
Атаки
F0/1.1124
ip ips IPS1 in
Сертифицированный VPN
VPN-решения Cisco в России
• VPN-решения Cisco признаны лучшими во многих странах и признаны стандартом де-факто многими специалистами
• Использование VPN-решений Cisco в России сопряжено с рядом трудностей
– Порядок ввоза на территорию Таможенного союза шифровальных средств
– Требование использования национальных криптографических алгоритмов
– Обязательная сертификация СКЗИ
• На сайте www.slideshare.com/CiscoRu выложена презентация по регулированию криптографии в России
Cisco – лицензиат ФСБ
• Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-решения, поддерживающие российские криптоалгоритмы на базе оборудования Cisco
• Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625, 124-1626 от 28 февраля 2011 года
– Сертификат по классу КС1/КС2
Решение для удаленных офисов
• На базе модуля для ISR G1 и G2 (2800/2900/3800/3900)
Технологические сценарии
• Защита каналов связи
• VPN-узел доступа центрального офиса
• Концентратор удаленного доступа
• ПК удаленного (мобильного) пользователя
• Защита беспроводных сетей
• Защита унифицированных коммуникаций
• Managed VPN Services
Выводы
• Как сформировать политики межсетевого экрана на основе зон (начиная
с базовых и заканчивая расширенными)
• Как использовать в IOS функции с учетом пользователей, включая ZFW
с учетом пользователей
• Как использовать преимущества ресурсов расширенной фильтрации,
например ACL-списки специального назначения и гибкое сравнение
пакетов (FPM)
• Предусмотренные в IOS методы антиспуфинга, в особенности ресурс
uRPF
• Основные понятия системы предотвращения вторжений (IPS) IOS
• Наличие сертифицированного решения VPN
Основные выводы
Что вы узнали
Спасибо!