маршрутизаторы Cisco как унифицированное средство обеспечения безопасности

Маршрутизаторы Cisco

как унифицированное средство

обеспечения безопасности

Оксана Санникова,

Системный инженер Cisco

[email protected]

Содержание

• Межсетевой экран с политиками на основе зон в действии (Zone-based Firewall)

• Функции межсетевого экрана с учетом пользователей

• Расширенные возможности фильтрации

• Технологии антиспуфинга (защиты от фальсификации)

• Основы системы предотвращения вторжений Cisco IOS

• Сертифицированный VPN

• Основные выводы

Межсетевой экран с политиками

на основе зон в действии

Межсетевой экран с политиками на основе зон (ZFW)

ZFW1

ДОВЕРЕННАЯ зона НЕДОВЕРЕННАЯ зона

Int 1

Int 3

Политика зоны

OUTBOUND

ИНТЕРНЕТ

Клиент1Сервер

Int 4

Int 2

Клиент2

• Зона - набор интерфейсов с определенным общим "уровнем

доверия"

• Изменение концепции: теперь политики межсетевого экрана

определяют правила обмена между зонами (а не между

интерфейсами)

Политики ZFW являются однонаправленными: от источника к получателю

ZFW: основные элементы политик

policy-map type inspect BASIC1

class type inspect CLASS1

{ inspect | pass | police | drop }

[…]

class type inspect CLASS-N

{ inspect | pass | police | drop }

class class-default

{ inspect | pass | drop }

class-map type inspect { match-all | match-any } CLASS1

a) match protocol { tcp | udp | icmp }

b) match access-group { name ACL-NAME | ACL-NUM }

c) match class-map CLASS-MAP_NAME

zone-pair security Z1-Z2 source Z1 destination Z2

service-policy type inspect BASIC1

ZFW1

Зона безопасности Z1

Int 1 Int 2

Участник зоны

безопасности Z2

Участник зоны

безопасности Z1

Политика Z1-Z2Зона безопасности Z2

172.18.2.0/24172.18.1.0/24 .4 .4ZFW1


OUTBOUND1

F1 F0

Зона INSIDEЗона OUTSIDE

policy-map type inspect POLICY1

class type inspect TOP-CLASS1

inspect TRACKING

class class-default

drop log

zone-pair security OUTBOUND1 source INSIDE destination OUTSIDE

service-policy type inspect POLICY1

class-map type inspect match-any TOP-CLASS1

match protocol udp

match protocol tcp

Установка

соединения

Проверка исходящего трафика (только L4)

.20.10

172.18.2.0/24172.18.1.0/24 .4 .4ZFW1


OUTBOUND1

F1 F0


.20.10

Проверка исходящего трафика (только L4)

ZFW1# show zone security

zone self

Description: System defined zone

zone INSIDE

Member Interfaces:

FastEthernet0

zone OUTSIDE

Member Interfaces:

FastEthernet1

ZFW1# show policy-firewall config zone-pair

Zone-pair : OUTBOUND1

Source Zone : INSIDE

Destination Zone : OUTSIDE

Service-policy inspect : POLICY1

Class-map : TOP-CLASS1(match-any)

Match protocol udp

Match protocol tcp

Action : inspect

Parameter-map : TRACKING

Class-map : class-default(match-any)

Match any

Action : drop log

Parameter-map : Default

ZFW: подготовка для политики L3 + L4

172.18.2.0/24172.18.1.0/24 .4 .4ZFW1

F1 F0

Зона INSIDE Зона OUTSIDE

.20.10172.22.0.0/16

object-group network INSIDE1

172.18.1.0 255.255.255.0

!

object-group network OUT1

172.22.0.0 255.255.0.0

!


host 172.18.2.20

object-group service SVCS1

tcp eq telnet

tcp eq www

!

object-group service SVCS2

udp eq ntp

ip access-list extended ACL1

permit object-group SVCS1 object-group INSIDE1 object-group OUT1


ZFW: политика L3 + L4 (нет других ACL-списков)

172.18.2.0/24172.18.1.0/24 .4 .4ZFW1

F1 F0


.20.10172.22.0.0/16




class type inspect JOINT1

inspect TRACKING

class class-default

drop log

class-map type inspect match-all JOINT1

match class-map TOP-CLASS1

match access-group name ACL1


OUTBOUND2




ZFW, ACL-списки и NAT

zone-pair security INBOUND2 source OUTSIDE destination INSIDE




inspect TRACKING

class class-default

drop log


match class-map TOP-CLASS2



match protocol tcp


permit ip 172.18.2.0 0.0.0.255 host 10.5.5.5

ip nat inside source static 10.5.5.5 172.18.2.5

10.5.5.0/24 172.18.2.0/24

.5 .20ip nat outsideip nat inside ZFW1

NAT

.4 .4

Локальное адресное

пространство

Глобальное

адресное



F0/1.1610F0/0

Реальный Преобразованный

ZFW: прозрачный режим работы

ZFW1R1

R2

10.5.5.0/24


.1 .2F0/1.1610F0/0


OUTBOUND1



class-map type inspect match-any BASIC1

match protocol udp

match protocol icmp

match protocol tcp

bridge-group1 bridge-group1


class type inspect BASIC1

inspect TRACKING

class class-default

drop log

ZFW1# show policy-firewall session

Established Sessions = 1

Session 49AD3240 (10.5.5.1:56643)=>(10.5.5.2:23) tcp SIS_OPEN/TCP_ESTAB

Created 00:00:25, Last heard 00:00:13

Bytes sent (initiator:responder) [48:95]

%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:BASIC1):

Start tcp session: initiator (10.5.5.1:56643) -- responder (10.5.5.2:23)

ZFW1

192.168.2.0/24

Зона WIRED Зона WIRELESS

Fast1 Fast0

Беспроводная

точка доступаБеспро-

водный

клиент.101 .102

zone-pair security INBOUND1 source WIRELESS destination WIRED



INBOUND1



inspect TRACKING

class class-default

drop log


match class-map BASIC1


class-map type inspect match-any BASIC1

match protocol tcp


permit tcp 192.168.2.0 0.0.0.255 host 192.168.2.101 eq 25

permit tcp 192.168.2.0 0.0.0.255 host 192.168.2.102 eq 443

HTTPSSMTP

ZFW: сценарий использования для прозрачного режима




class type inspect L7-CLASS1

inspect TRACKING

class class-default

drop log

class-map type inspect match-any L7-CLASS1

match protocol ftp

192.168.2.0/24 ZFW1


OUTBOUND1

.X


Fast0

Клиент

ip nat outsideip nat inside

NAT

Глобальное

адресное


Локальное адресное


Fast1

172.17.11.102

FTP

ip nat outside source static 172.17.11.102 192.168.2.102 add-route

ZFW и проверка L7: пример 1проверка трафика FTP и использование NAT

ZFW1


OUTBOUND1

.200


Fast0Fast1

192.168.2.0/24 172.17.3.0/24

.40

HTTP

работает на

портах 2002

- 2003




class type inspect HTTP-CLASS

inspect TRACKING

class class-default

drop log

class-map type inspect match-any HTTP-CLASS

match protocol http

access-list 1 permit 172.17.3.40

ip port-map http port tcp from 2002 to 2003 list 1

Проверка HTTP на нестандартных портах

ZFW и проверка L7: пример 2проверка L7 на нестандартных портах

ZFW1


OUTBOUND1

.200


Fast0Fast1

HTTP

192.168.2.0/24 172.17.3.0/24




class type inspect HTTP-CLASS

inspect TRACKING

service-policy http WEB1

class class-default

drop log

class-map type inspect match-any HTTP-CLASS

match protocol http

policy-map type inspect http WEB1

class type inspect http HTTP1

reset

log

class-map type inspect http match-any HTTP1

match response header set-cookie

policy-map верхнего уровня

ZFW и проверка L7: пример 3сравнение заголовка ответа HTTP

policy-map для конкретного

приложения

class-map верхнего уровня

class-map для конкретного приложения

.30

ZFW: проверка трафика самого

маршрутизатора - зона «self»

.2ZFW1

F4.200 172.21.21.0/24

Зона OUTSIDE

.21

Зона self (адреса

маршрутизатора)


OUT-SELF

F4.201

10.10.10.1 172.20.20.1

172.22.22.0/24

.2

.22

R1

172.20.20.0/24

R2

zone-pair security OUT-SELF source OUTSIDE destination self

service-policy type inspect OUT-FW1

policy-map type inspect OUT-FW1

class type inspect ICMP1

inspect TRACKING

class class-default

drop log

class-map type inspect match-all ICMP1

match access-group name PING1

ip access-list extended PING1

permit icmp object-group OUT1 object-group RTR-ADDR echo

object-group network RTR-ADDR

host 10.10.10.1

host 172.20.20.1


172.20.20.0 255.255.255.0

ZFW: политики внутри зоны

zone-pair security INTRAZONE1 source INSIDE destination INSIDE



class type inspect TOP-CLASS2

inspect TRACKING

class class-default

drop log


match protocol icmp

match protocol udp

10.10.6.0/24 10.10.10.0/24ZFW1.1 .1

Зона INSIDE

Fast1 Fast0


INTRAZONE1

.200.6

Сервер

NTP

ZFW: политики внутри зоны

ZFW1# show zone security INSIDE

zone INSIDE

Member Interfaces:

FastEthernet0

FastEthernet1

ZFW1# show zone-pair security

Zone-pair name INTRAZONE1

Source-Zone INSIDE Destination-Zone INSIDE

service-policy POLICY2

ZFW1# show policy-firewall session

Established Sessions = 1

Session 49CFB240 (10.10.6.6:123)=>(10.10.10.200:123) udp SIS_OPEN

Created 00:00:29, Last heard 00:00:29

Bytes sent (initiator:responder) [48:48]

10.10.6.0/24 10.10.10.0/24ZFW1.1 .1

Зона INSIDE

Fast1 Fast0


INTRAZONE1

.200.6

Сервер

NTP

Функции межсетевого экрана с

учетом пользователей

Управление доступом с учетом пользователя

Имеется ли возможность предоставить доступ конкретному пользователю?

Можно ли управлять доступом к приложениям любого типа?

Имеется ли поддержка учетных записей?

Это динамический тип управления?

user1

Кто

пользователь?

Что за ресурс?

user2

SRV1 SRV2

172.26.26.0/24Шлюз

Сеть

управления

CS-ACS

Конечный пользо-ватель

172.16.100.0/24

2

Запрос прокси-

сервиса

аутентификации

3

4

5

Telnet 172.26.26.261

.26

SRV1

1. Пользователь связывается по Telnet с сервером SRV1

2. Прокси-сервис аутентификации перехватывает пакет и направляет пользователю

запрос на аутентификацию

3. ZFW запрашивает сервер RADIUS

4. Сервер RADIUS в ответ направляет профиль авторизации (или отказ в доступе)

5. Пользователю предоставляется доступ к узлу назначения

.100

F0F1

Базовый инструмент: прокси-сервис аутентификации

172.26.26.0/24ШлюзZFW1

Сеть

управления

CS-ACS

Конечный пользо-ватель

172.16.100.0/24

.26

SRV1

1. Пользователь связывается по Telnet с сервером

2. Прокси-сервис аутентификации перехватывает пакет и направляет пользователю запрос

3. Сервер RADIUS отправляет "supplicant-group" ("группу клиента") VSA в межсетевой экран

IOS

4. Формируется отображение пользователя на группу

5. Для каждой отдельной группы создается межсетевой экран с политиками на основе зон

.100

F0F1

Зона OUTSIDEЗона INSIDEПолитика зоны

OUTBOUND1

Прокси-сервис

аутентификации

ZFW с учетом пользователя

Расширенные возможности

фильтрации

TOS (8)

Флаги (3)Идентификация (16) Смещение фрагм. (13)

IP-адрес источника (32)

IP-адрес получателя (32)

Vers(4) Hlen(4) Общая длина (16)

TTL (8) Контрольная сумма заголовка (16)Протокол (8)

(Параметры IP) (PAD)

32 бита

Обеспечивает кратность

длины заголовка32 битам

Длина IP-заголовка, измеряемая в

4-байтовых (32-разрядных) словах

Общая длина IP-датаграммы. Измеряется в октетах

(включая полезную часть и заголовок)

Обеспечивает целостностьIP-заголовка

Номер версии

Время жизни (TTL):

уменьшается на 1 каждым

маршрутизато-ром на пути следования

Указывает протокол верхнего

уровня

Rsvd (=0) DF MF

Поле флагов

Дополнительный анализ IP-заголовка Для

справки

Как формируются фрагменты

IP-заголовок

Заголовок 1




600 байтов

160 байтов

160 байтов

160 байтов

120 байтов

Исходная

датаграмма

Фрагмент 1

Фрагмент 2

Фрагмент 3

Фрагмент 4

Исходный 620 600 0x6E81 0 0 0 0 0x0000

Фрагм. 1 180 160 0x6E81 0 0 1 0 0x2000

Фрагм. 2 180 160 0x6E81 0 0 1 160 = 8 x 20 (0x14) 0x2014

Фрагм. 3 180 160 0x6E81 0 0 1 320 = 8 x 40 (0x28) 0x2028

Фрагм. 4 140 120 0x6E81 0 0 0 480 = 8 x 60 (0x3C) 0x003C

Общая

длина

Длина

данных

L3

Идент.

номер

Бит

Rsvd

Бит

DF

Бит

MF

Смещение фрагмента

(кратное 8 байтам)

Флаг

смещения

Для

справки

Примеры атак на основе фрагментации

• Атака крошечными фрагментами: использует очень маленькие пакеты

TCP, сформированные таким образом, чтобы часть заголовка L4

(например, включающая поле флагов) переходила во второй фрагмент.

При таком подходе атакующий рассчитывает, что проверяться будет

только первый фрагмент, а остальные будут проходить без проверки.

• Атака перекрывающимися фрагментами: смещение определенного

фрагмента перекрывается со смещением другого. Атаки этого класса

могут использоваться либо с намерением вызвать отказ в обслуживании,

DoS (например, с помощью эксплойта UDP Teardrop), либо в попытке

перезаписать часть данных предыдущих фрагментов в цепочке и обойти

системы защиты.

• Переполнение буфера повторной сборки: чрезмерное количество

неполных датаграмм на узле-получателе, ожидающих повторной сборки.

Для

справки

Обработка фрагментированных IP-пакетов (1)

IOS-FW# show access-list 101

Extended IP access list 101

10 permit tcp any any fragments (1081 matches)

20 permit tcp any any (1082 matches)

30 permit udp any any fragments (360 matches)

40 permit udp any any (361 matches)

50 permit icmp any any fragments

60 permit icmp any any

70 permit ip any any fragments

80 permit ip any any

Ключевое слово "fragments" в ACL-списках IOS отфильтровывает не

начальные фрагменты.

ACL-списки этого типа могут использоваться для быстрого выявления

видов трафика, формирующих фрагменты (TCP, UDP, ICMP и т. д.)

Обработка фрагментированных IP-пакетов (2)

Виртуальная повторная сборка фрагментов (VFR)

interface FastEthernet1

ip virtual-reassembly max-fragments 3

%IP_VFR-4-TOO_MANY_FRAGMENTS: FastEthernet1: Too many fragments per datagram

(more than 3) - sent by 172.18.2.122, destined to 172.18.1.30


ip virtual-reassembly max-fragments 5 max-reassemblies 100 timeout 8

!

IOS-FW#show ip virtual-reassembly f1

FastEthernet1:

Virtual Fragment Reassembly (VFR) is ENABLED...

Concurrent reassemblies (max-reassemblies): 100

Fragments per reassembly (max-fragments): 5

Reassembly timeout (timeout): 8 seconds

Drop fragments: OFF

Current reassembly count:100

Current fragment count:300

Total reassembly count:0

Total reassembly timeout count:53

%IP_VFR-4-FRAG_TABLE_OVERFLOW: FastEthernet1: the fragment table has reached its

maximum threshold 100

Фильтрация на основе поля TTL IP-заголовка

IOS-FW# show access-list TTL

Extended IP access list TTL

10 deny tcp any any ttl lt 30 log (5 matches)

20 deny udp any any ttl lt 30 log

30 deny icmp any any ttl lt 30 log

40 permit tcp any host 172.16.251.251 eq www (2 matches)

50 permit tcp any host 172.16.251.251 eq 443

%SEC-6-IPACCESSLOGP: list TTL denied tcp 172.16.250.202(17002)

-> 172.16.251.251(80), 1 packet

IOS-FW# show flow monitor FLEX1 cache aggregate ipv4 source address ipv4 protocol ipv4 ttl

Processed 3 flows

Aggregated to 3 flows

IPV4 SRC ADDR IP PROT IP TTL flows bytes pkts

=============== ======= ====== ========== ========== ==========

172.16.250.201 6 37 1 500 1

172.16.250.202 6 12 1 500 1

172.16.250.208 6 50 1 500 1

Порт источника

Последовательный номер

Номер подтверждения

Размер окна

Контрольная сумма Указатель срочности

(Параметры TCP)

0 15 31

Порт получателя

HLEN4

RSVD6

Флаги

UR

G

AC

K

PS

H

RS

T

SY

N

FIN

20B

16


TCP

Дополнительный анализ TCP- и UDP-заголовков Для

справки

Порт источника (16) Порт получателя (16)

Длина (16) Контр. сумма UDP (16)

Данные (при наличии)

0 15 16 32

UDP-датаграммаФлаг Значение

URG Указатель срочности действителен

ACK Поле подтверждения действительно

PSH Сегмент требует передачи из буфера

RST Сброс соединения

SYN Синхронизация последовательности номеров

FIN Конец байтового потока для отправителя

Фильтрация на основе поля флагов TCP

IOS-FW# show access-list TCPFLAGS

Extended IP access list TCPFLAGS

10 deny tcp any any match-all +fin +psh +urg Flags = 41 = 0x29

20 deny tcp any any match-all -ack -fin -psh -rst -syn -urg Flags = 00 = 0x00

30 deny tcp any any match-all +ack +rst Flags = 20 = 0x14

40 permit tcp any any match-all -ack -fin -psh -rst +syn -urg Flags = 02 = 0x02

50 permit tcp any any match-all +ack -fin -psh -rst -syn -urg Flags = 16 = 0x10

60 permit tcp any any match-all +ack +psh -syn -urg Flags = 24 = 0x18

70 permit tcp any any match-all -ack -psh +rst -syn -urg Flags = 01 = 0x01

IOS-FW# show flow monitor FLEX1 cache aggregate transport tcp flags

transport destination-port ipv4 destination address Processed 15 flows

Aggregated to 4 flows

IPV4 DST ADDR TRNS DST PORT TCP FLAGS flows bytes pkts

=============== ============= ========= ========== ========== ==========

172.16.251.251 80 0x14 4 640 4

172.16.251.251 80 0x15 4 640 4

172.16.251.251 80 0x16 4 640 4

172.16.251.251 80 0x17 3 480 3


А что если атака основана на другом поле заголовка?

IOS-FW(config)# load protocol flash:udp.phdf

IOS-FW# show protocols phdf udp

Protocol ID: 3

Protocol name: UDP

Description: UDP-Protocol

Original file name: flash:udp.phdf

Header length: 8

Constraint(s):

Total number of fields: 5

Field id: 0, source-port, UDP-Source-Port

Fixed offset. offset 0

Constant length. Продолжительность: 16

Field id: 1, dest-port, UDP-Destination-Port



Field id: 2, length, UDP-Packet-Length



Field id: 3, checksum, UDP-Checksum



Field id: 4, payload-start, UDP-Payload-Start



Порт источника (16) Порт получателя (16)

Длина (16) Контр. сумма UDP (16)

Данные (при наличии)

0 15 16 32

UDP-датаграмма

Функция гибкого анализа пакетов

(FPM) позволяет определить

расширенный метод фильтрации

на основе полей заголовков IP,

TCP, UDP и ICMP.

Возможности FPM: на примере TCP

IOS-FW(config)# class-map type access-control match-all FPM1

IOS-FW(config-cmap)# match field ?

ICMP ICMP-Protocol

IP IP-Protocol

TCP TCP-Protocol

UDP UDP-Protocol

layer Match Protocol Layer

IOS-FW(config-cmap)# match field TCP ?

acknum TCP-Acknowledgement-Number

checksum TCP-Checksum-Value

control-bits TCP-Control-Bits-Number

data-offset TCP-Data-Offset-Number

dest-port TCP-Destination-Port

ecn TCP-ECN-Number

payload-start TCP-Payload-Start

reserved TCP-Reserved-Number

seqnum TCP-Sequence-Number

source-port TCP-Source-Port

urgent-pointer TCP-Urgent-Pointer

window TCP-Window-Size

Ethernet Packet: 80 bytes

Dest Addr: 0012.DAD2.6203, Source Addr: 0000.0000.0000

Protocol (Протокол). 0x0800

IP Version: 0x4, HdrLen: 0x5, TOS: 0x40 (Prec=Immediate)

Length: 66, ID: 0x5208, Flags-Offset: 0x0000

TTL: 60, Protocol (Протокол). 6 (TCP), Checksum: 0x2EC6 (OK)

Source: 172.16.210.105, Dest: 172.16.211.31

TCP Src Port: 8000, Порт назнач.: 600

Seq #: 0x00000000, Ack #: 0x00000000, Hdr_Len: 5

Flags: 0x02 SYN, Window: 0, Checksum: 0xB9B3 (OK)

Urgent Pointer: 0

Data:

0 : 0000 0000 0000 0000 0000 0000 0001 0108 7468 6531 ................the1

20 : 774F 526D 3275 wORm2u

Data:

0 : 0000 0000 0000 0000 0000 0000 0001 0108 774F 526D ................wORm

20 : 4167 6169 6E31 Again1

Data:

0 : 0000 0000 0000 0000 0000 0000 0001 0108 7468 656E ................then

20 : 6577 574F 524D ewWORM

Вариант 1 (изменение только части данных)

Вариант 2 (изменение только части данных)

Пример атаки, заблокированной FPM Для

справки

class-map type stack match-all IP-TCP

match field IP protocol eq 0x6 next TCP

!

class-map type access-control match-all CLASS1

match field TCP dest-port eq 600

match start TCP payload-start offset 16 size 10 regex ".*[Ww][Oo][Rr][Mm]"

!

policy-map type access-control POLICY1

class CLASS1

drop

log

policy-map type access-control FPM1

class IP-TCP

service-policy POLICY1

!

interface FastEthernet0/0

service-policy type access-control input FPM1

%SEC-6-IPACCESSLOGP: list CLASS1 denied tcp 172.16.210.120(18045) (FastEthernet0/0 ) ->

172.16.211.11(600), 1 packet

Гибкий анализ пакетов (FPM) в действии

Технологии антиспуфинга (защиты

от фальсификации)

Сетьоператора

связи

Назначенныйклиентом блок

A.B.C.0/24

из Интернетав Интернет

КлиентISP

Int1 Int2

В пакетах, поступающих из Интернета в

сеть клиента, в качестве адреса

получателя может использоваться

только назначенный блок (и никогда в

качестве адреса источника).

В пакетах, поступающих из сети клиента

в Интернет, в качестве адреса источника

может использоваться только

назначенный блок (и никогда в качестве

адреса получателя).

interface Int2

ip access-group 170 in

ip access-group 180 out

!

access-list 170 deny ip A.B.C.0 0.0.0.255 any

access-list 170 permit ip any A.B.C.0 0.0.0.255

!

access-list 180 permit ip A.B.C.0 0.0.0.255 any

access-list 180 deny ip any any

interface Int1

ip access-group 110 out

ip access-group 120 in

!

access-list 110 deny ip A.B.C.0 0.0.0.255 any

access-list 110 permit ip any A.B.C.0 0.0.0.255

!

access-list 120 permit ip A.B.C.0 0.0.0.255 any

access-list 120 deny ip any any

Классический антиспуфинг с помощью ACL-списков

Антиспуфинг: строгая проверка uRPF

172.16.201.0/24.254 .1

10.1.1.0/24

R2 R1

Fast4Fast2

172.16.202.0/24 .254

Ист.: 10.1.1.200

Получ.: 172.16.201.254


ip address 172.16.202.254 255.255.255.0

ip verify unicast source reachable-via rx

Достижим ли адрес

источника через

входной интерфейс?Поступающий пакет

R2# show ip route | begin Gateway

Gateway of last resort is not set

172.16.0.0/24 is subnetted, 2 subnets

C 172.16.201.0 is directly connected, FastEthernet4

C 172.16.202.0 is directly connected, FastEthernet2

10.0.0.0/24 is subnetted, 2 subnets

C 10.254.254.0 is directly connected, Loopback0

D 10.1.1.0 [90/28416] via 172.16.201.1, 00:30:21,

FastEthernet4

R2# show ip cef 10.1.1.0 255.255.255.0

10.1.1.0/24

nexthop 172.16.201.1 FastEthernet4

CEF-Drop: Packet from 10.1.1.200 (Fa2) to 172.16.201.254, uRPF feature

Антиспуфинг: нестрогая проверка uRPF

172.16.201.0/24.254 .1R2 R1

Fast4Fast2

172.16.202.0/24 .254

Ист.: 10.2.2.2

Получ.: 172.16.201.254


ip address 172.16.202.254 255.255.255.0

ip verify unicast source reachable-via any

Достижим ли адрес

источника через любой

интерфейс

маршрутизатора?Поступающий пакет

R2# show ip route 10.2.2.0 255.255.255.0

% Subnet not in table

R2# show ip cef 10.2.2.0 255.255.255.0

%Prefix not found


R2# show ip interface f2 | include verif

IP verify source reachable-via ANY

5 verification drops

0 suppressed verification drops

0 verification drop-rate

Антиспуфинг: uRPF и маршрут по умолчанию

172.16.201.0/24.254 .1R2 R1

Fast4Fast2

172.16.202.0/24 .254

Ист.: 10.2.2.2

Получ.: 172.16.201.254


ip address 172.16.202.254 255.255.255.0

ip verify unicast source reachable-via any

Поступающий пакет

R2# show ip route 10.2.2.0 255.255.255.0

% Subnet not in table


R2# show ip route 0.0.0.0

Routing entry for 0.0.0.0/0, supernet

Known via "static", distance 1, metric 0, candidate default path

Routing Descriptor Blocks:

* 172.16.201.1

Route metric is 0, traffic share count is 1

ip route 0.0.0.0 0.0.0.0 172.16.201.1

R2# show ip cef 10.2.2.0 255.255.255.0

%Prefix not found

** Если требуется изменить такую реакцию...


ip verify unicast source reachable-via any allow-default

Основы системы предотвращения

вторжений IOS

Обзор системы предотвращения вторжений (IPS) IOS

• Встроенный программный датчик для предотвращения вторжений

• Поддержка формата сигнатуры Cisco IPS версии 5.x, начиная с

выпуска 12.4(11)T

• Сканирование пакетов на основе сигнатур

• Используются сигнатуры, сформированные для специализированных

устройств Cisco IPS 4200

• Динамическое обновление сигнатур без необходимости обновлять

образ IOS

• Реакция на события настраивается отдельно для каждой сигнатуры и

для каждой категории (оповещение, сброс TCP-соединения,

отбрасывание пакета, запрет потока от источника атаки или

соединения с ним)

• Возможности управления - Cisco Security Manager (CSM), Cisco

Configuration Professional (CCP)

IOS IPS: основные термины

• Загрузка (Loading) - процесс, в ходе которого IOS IPS производит разбор

файлов сигнатур (XML-файлов, расположенных вместе с конфигурацией) и

заполняет базу данных сигнатур

• Компиляция (Compiling) - процесс, в ходе которого значения параметров

из актуальных сигнатур компилируются в таблицу регулярных выражений

• Устаревание (Retiring) сигнатуры означает, что IOS IPS НЕ будет компилировать эту сигнатуру в память для сканирования

• Восстановление (Unretiring) сигнатуры - указание IOS IPS компилировать сигнатуру в память и использовать ее для сканирования трафика

• Включение (Enabling) сигнатуры означает, что при активировании согласующимся пакетом (или потоком пакетов) сигнатура вызываетсоответствующее действие, связанное с ней

• Выключение (Disabling) сигнатуры означает, что при активировании согласующимся пакетом (или потоком пакетов) сигнатура НЕ вызывает соответствующего действия, связанного с ней

Для

справки

IOS IPS: категории сигнатур

IOS-IPS# show ip ips category ?

adware/spyware Adware/Spyware (more sub-categories)

attack Attack (more sub-categories)

configurations Configurations (more sub-categories)

ddos DDoS (more sub-categories)

dos DoS (more sub-categories)

email Email (more sub-categories)

instant_messaging Instant Messaging (more sub-categories)

ios_ips IOS IPS (more sub-categories)

l2/l3/l4_protocol L2/L3/L4 Protocol (more sub-categories)

network_services Network Services (more sub-categories)

os OS (more sub-categories)

other_services Other Services (more sub-categories)

p2p P2P (more sub-categories)

reconnaissance Reconnaissance (more sub-categories)

releases Releases (more sub-categories)

telepresence TelePresence (more sub-categories)

uc_protection UC Protection (more sub-categories)

viruses/worms/trojans Viruses/Worms/Trojans (more sub-categories)

web_server Web Server (more sub-categories)

IOS IPS: активные сигнатуры

IOS-IPS# show ip ips signature count

Cisco SDF release version S556.0

Trend SDF release version V0.0

Signature Micro-Engine: atomic-ip: Total Signatures 413

atomic-ip enabled signatures: 105

atomic-ip retired signatures: 392

atomic-ip compiled signatures: 21

atomic-ip obsoleted signatures: 6

Signature Micro-Engine: normalizer: Total Signatures 9

normalizer enabled signatures: 8

normalizer retired signatures: 1

normalizer compiled signatures: 8

[…]

Total Signatures: 4170

Total Enabled Signatures: 1191

Total Retired Signatures: 3874

Total Compiled Signatures: 295

Total Signatures with invalid parameters: 1

Total Obsoleted Signatures: 12

Total Disallowed Signatures: 3

IOS-IPS# show ip ips signature count

Cisco SDF release version S556.0

Trend SDF release version V0.0

[…]

Total Signatures: 4170

Total Enabled Signatures: 1191

Total Retired Signatures: 3616

Total Compiled Signatures: 554

Total Obsoleted Signatures: 12

Total Disallowed Signatures: 3

ios_ips advanced

ios_ips basic

IOS IPS: базовая настройка

interface FastEthernet0/1.1124

encapsulation dot1Q 1124

ip address 172.17.6.4 255.255.255.0

ip ips IPS1 in

ip ips config location flash:ips retries 1

ip ips notify SDEE

ip ips name IPS1

ip ips signature-category

category all

retired true

category ios_ips advanced

retired false

172.17.22.0/24

10.5.5..0/24

172.17.6.0/24IOS-IPS

.103

.5

172.17.44.101

Атаки

F0/1.1124

ip ips IPS1 in

IOS-IPS#show ip ips interfaces

Interface Configuration

Interface FastEthernet0/1.1124

Inbound IPS rule is IPS1

Outgoing IPS rule is not set

IOS IPS в действии

IOS-IPS# show ip ips sessions

Established Sessions

Session 49746F80 (172.17.44.101:3765)=>(172.17.22.103:137) udp SIS_OPEN

Half-open Sessions

Session 49746C00 (172.17.44.101:3764)=>(172.17.22.103:161) udp SIS_OPENING

Session 49746880 (172.17.44.101:3763)=>(172.17.22.103:161) udp SIS_OPENING

172.17.22.0/24

10.5.5..0/24

172.17.6.0/24IOS-IPS

.103

.5

172.17.44.101

Атаки

F0/1.1124

ip ips IPS1 in

Сертифицированный VPN

VPN-решения Cisco в России

• VPN-решения Cisco признаны лучшими во многих странах и признаны стандартом де-факто многими специалистами

• Использование VPN-решений Cisco в России сопряжено с рядом трудностей

– Порядок ввоза на территорию Таможенного союза шифровальных средств

– Требование использования национальных криптографических алгоритмов

– Обязательная сертификация СКЗИ

• На сайте www.slideshare.com/CiscoRu выложена презентация по регулированию криптографии в России

http://www.slideshare.com/CiscoRu

Cisco – лицензиат ФСБ

• Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-решения, поддерживающие российские криптоалгоритмы на базе оборудования Cisco

• Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625, 124-1626 от 28 февраля 2011 года

– Сертификат по классу КС1/КС2

Решение для удаленных офисов

• На базе модуля для ISR G1 и G2 (2800/2900/3800/3900)

Технологические сценарии

• Защита каналов связи

• VPN-узел доступа центрального офиса

• Концентратор удаленного доступа

• ПК удаленного (мобильного) пользователя

• Защита беспроводных сетей

• Защита унифицированных коммуникаций

• Managed VPN Services

Выводы

• Как сформировать политики межсетевого экрана на основе зон (начиная

с базовых и заканчивая расширенными)

• Как использовать в IOS функции с учетом пользователей, включая ZFW

с учетом пользователей

• Как использовать преимущества ресурсов расширенной фильтрации,

например ACL-списки специального назначения и гибкое сравнение

пакетов (FPM)

• Предусмотренные в IOS методы антиспуфинга, в особенности ресурс

uRPF

• Основные понятия системы предотвращения вторжений (IPS) IOS

• Наличие сертифицированного решения VPN

Основные выводы

Что вы узнали

Спасибо!

Documents

маршрутизаторы Cisco как унифицированное средство обеспечения безопасности