Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
642-825 ISCW – Kompendium
642-825 ISCW Implementing Secure Converged WANs (¾ CCNP) Kompendium na podstawie CCNP ISCW Official Exam Certification Guide
Copyright by www.andrzejdoniczka.net Gliwice, styczeń 2008
Part I
Chapter 1 Describing Network Requirements str.2Chapter 2 Topologies for Teleworker Conectivity str.2Chapter 3 Using Cable to Access a Central Site str.4Chapter 4 Using DSL to Access a Central Site str.6Chapter 5 Configuring DSL Access with PPPoE str.10Chapter 6 Configuring DSL Access with PPPoA str.12Chapter 7 Troubleshooting DSL Access str.15
Part II
Chapter 8-11 The MPLS Conceptual Model str. 1
Part III
Chapter 12 Ipsec Overview str. 22Chapter 13 Site-to-Site VPN Operations str. 25Chapter 14 GRE Tunneling over IPSec str. 28Chapter 15 IPSec High Availability Options str. 30Chapter 16 Configuring Cisco Easy VPN str. 31Chapter 17 Implementing Cisco VPN Client
Part IV
Chapter 18 Cisco Device Hardening str. 32Chapter 19 Securing Administrative Access str. 35Chapter 20 Using AAA to Scale Access Control str. 38Chapter 21 Cisco IOS Threat Defense Features str. 40Chapter 22 Implementing Cisco IOS Firewalls str. 41Chapter 23 Implementing Cisco IDS and IPS str. 42
2008 Copyright by www.andrzejdoniczka.net str. 1
642-825 ISCW – Kompendium
Chapter 1+2 Describing Network Requirements
Cisco nieustannie wymyśla róŜne fajne rzeczy. Tym razem Cisco wymyśliło dwie nowe koncepcje projektowania i implementacji sieci. Te koncepcje to:
IIN – Intelligent Information Network, i (jako podwarstwa)SONA – Service Oriented Network Architecture
IIN stanowi koncepcję uproszczenia sieci przez uzgodnienie priorytetów technologicznych ibiznesowych. Istnieją 4 roadmapy technologiczne dla koncepcji IIN− Service-Oriented Network Architecture SONA ( stanowi podstawe dla IIN)− Service Provider Architecture (IP Next Generation Networks IP-NGN)− Commercial Architecture− Consumer Architecture
Celem sieci IIN jest wbudowanie we wszystkie warstwy protokołów i infrastruktury sieci„inteligencji”, tak aby sieć automatycznie odpowiadała na potrzeby userów przez alokacjeniezbędnych zasobów i aplikacji tam gdzie w danym momencie są potrzebne, niezaleŜnie od naturypodłączonego urządzenia.Te zasoby (moc CPU, memory, storage), powinny być alokowane „w locie” bez wpływu na inneprocesy. Sieć IIN dysponuje pulami zasobów które dynamicznie przydziela.Sieć IIN powinna dopasowywać do priorytetów biznesowych usługi, dostępność itp.Ciscowa wizja IIN zawiera następujące cechy:
− integracja zasobów Video/Voice/Data− inteligencja sieci niezaleŜnie od metody dostępu− sieć proaktywnie uczestniczy w dostarczaniu usług i zasobów
Ewolucyjny model dojścia do pełnej sieci IIN zawiera 3 fazy− Integrated Transport phase (sieć stanowi wspólną ścieŜkę dla kaŜdego rodzaju ruchu)− Integrated Service phase (wirtualizacja zasobów - zamiast wielu mission-specific serwerów
serwery wirtualne)− Integrated Applications phase (dostarczanie aplikacji sieciowych end-userom, cache-ując, load-
balance-ując i zabezpieczając po drodze)
SONA stanowi „szkielet” który zapewnia tą ewolucyjną ścieŜkę przejścia do pełnej sieci IIN.SONA pozwala dodać sieci usługi/aplikacje interaktywne co pozwala osobno podłączonym usługom/aplikacjom komunikować się i współpracować.Architektura SONA jest podzielona na ( i opisuje) 3 warstwy:
− Networked Infrastructure Layer (Topologie fizyczne: Campus, Branch, Data center,Enterprise Edge, WAN/MAN, teleworker. Zasoby fizyczne: Server, Storage, Clients)
− Interactive Services Layer (Wirtualne usługi: Security, Mobility, Storage, Identity services,Computer services, Aplication delivery, Analytics, Decision Support)Ta warstwa rozwiązuje sprawę nieefektywnych „silos-ów” - czyli application-specific hardwareand software, które nie mogą być współdzielone.
− Aplication Layer / Colaboration Layer ( CRM, ERP, Instant Messaging)
2008 Copyright by www.andrzejdoniczka.net str. 2
642-825 ISCW – Kompendium
Topologie fizyczne opisywane przez warstwe Networked Infrastructure Layer SONA,zostały opisane w kompendium 642-812 BCMSN.
W skrócie co robią poszczególne architektury fizyczne:− Campus network – dostęp sieciowy do zasobów campusu− Branch office – dostęp sieciowy do zdalnych zasobów− Data Center – dostęp do i interconnectivity między serwerami i storagem− WAN/MAN – łączność między tym co powyŜej− Teleworker – wiadomo−W branch office – stosuje się routery ISR (integrated service routers) zawierające m.in voice,security, VPN itd itp, a na dodatek interfejs graficzny SDM)
Dostępne opcje zdalnego podłączania.− Tradycyjne technologie L2 ( FR, ATM, leased lines) Słabe moŜliwości konf. QoS-a− Service Provider MPLS VPN (technologia L3 – single circuit for any-to-any conectivity)− Site-to-Site VPN over InternetWszystkie te opcje wymagają oczywiście infrastruktury fizycznej L1 (Cable, DSL, Fiber)
2008 Copyright by www.andrzejdoniczka.net str. 3
642-825 ISCW – Kompendium
Chapter 3 Using Cable to Access a Central Site
Dostęp kablowy: Downstream, Pasmo RF, 50-860 MHzUpstream, Pasmo RF, 5-42 MHzSpecyfikacja dostępu kablowego (L1/L2) jest zawarta w dokumencie DOCSIShttp://www.cablemodem.com/
Layer 1: szerokość kanału:200,400,800kHz,1.6MHz,3.2MHz, 6.4MHz (ver2.0)Modulacja: 64-level or 256-level QAM-downstream, QPSK or 16-level QAM-upstream a dla ver2.0 32-QAM, 64-QAM i 128-QAM
Layer 2: dostęp TDMA dla ver1.0 i 1.1 i 2.0 lub S-CDMA dla ver2.0
Max. Szybkości:
Version DOCSIS EuroDOCSISDownstream Upstream Downstream Upstream1.x 42.88 (38) Mbit/s 10.24 (9) Mbit/s 55.62 (50) Mbit/s 10.24 (9) Mbit/s2.0 42.88 (38) Mbit/s 30.72 (27) Mbit/s 55.62 (50) Mbit/s 30.72 (27) Mbit/s
3.0 +171.52 (+152)Mbit/s
+122.88 (+108)Mbit/s
+222.48 (+200)Mbit/s
+122.88 (+108)Mbit/s
Komponenty systemu:− Antenna site− Headend – sygnał jest odbierany, przetwarzany, formatowany i dystrybuowany do sieci.
sieć zawiera sieć transportową i dystrybucyjną.− Sieć transportowa – sieć między Antenna Sites a Headend-emi alternatywnie sieć łącząca
headend z siecią dystrybucyjną. Media: mikrofale, coax supertrunk, fiber.− Sieć dystrybucyjna (trunk and feeder ) Trunk=backbone – sieć hybrydowa coax-fiber HFC− Node – konwerter optical-RF. Od Noda odchodzi feeder− Subscriber drop – punkt łączący feeder a terminal usera− Cable Modem Termination System (CMTS) (w stacji czołowej)− Cable Modem (CM) – urządzenie CPE− Back Office Services (Serwery TFTP, DHCP – przydzielające konfiguracje userom)
Proces podłączania się usera do sieci:1. Dowstream setup – CM scan and lock, downstream path dla wybranego kanału RF2. CM nasłuchuje management messages zawierające info jak komunikować się w upstreamie3. Ustanowienie połączenia w L1 i L24. Przydział IP/GW/DNS z DHCP5. CM prosi o DOCSIS Config file z TFTP serwera (przydzielone szybkości, CoS, itp)6. CM negocjuje z CMTS, ToS i QoS7. CM odpala routing, NAT/PAT
DOCSIS Config file zawiera:− RF info: Down freq., Up channel ID− CoS info: CoS ID, Max. Down rate, Max Up rate, Up channel priority, Min. Up rate, Max up
burst,
2008 Copyright by www.andrzejdoniczka.net str. 4
642-825 ISCW – Kompendium
− Vendor specific options− SNMP management− Privacy interface options− CPE equipment (CPE MAC)
2008 Copyright by www.andrzejdoniczka.net str. 5
642-825 ISCW – Kompendium
Chapter 4 Using DSL to Access a Central Site
Dostęp DSL
Kilka pojęć d/t DSLATU-C – ADSL Transmition Unit (Modem po stronie CO)ATU-R – ADSL Transmition Unit (Modem po stronie usera)DSLAM – koncentrator zawierający wszystkie ATU-CLine code – technika reprezentacji sygnału cyfrowego na liniiMicrofilter – filtr dolnoprzepustowy f=0-4kHzNature – relacja między szybkością down i upNetwork interface device – urządzenie CPE terminujące local loopSplitter – (POTS Splitter) zastąpiony przez microfilter – rozdziela DSL od Voice trafficaLoad Coil – cewka szeregowa w linii dla kompensacji pojemności równoległej Bridge Taps – dodatkowe niepodłączone pary w local loop-ie
Layer 1
Typy Asymetrycznego DSL-u
ADSL (G992.1, ANSI T1.413-1998)– Up:1.5 – 8 Mbps, Down: 16kbps – 1 Mbps, l=18000 feet
G.Lite ADSL (G992.2) Up: do 1.5Mbps, Down: do 512 kbps, Plug'nPlay, bez spliterów
RADSL (rate-adaptive) – nie jest to standard automatycznie ustawia speed
VDSL – 13-55Mbps, l=4500 feet
Typy Symetrycznego DSL-u Up speed=Down speed
SDSL – 128kbps do 2.32 Mbps (768kbps-typowo) l=21000 feet
GSHDSL (G991.2) – 192kbps do 2.3Mbps l=26000 feet, Data only, HDSL – 768 kbps w kazdym kierunku, (1.544=T1 – całkowita speed) – Data only
HDSL2 – Down/Up do 1.5Mbps w kaŜdym kierunku, Data only
IDSL (ISDN DSL) – 144kbps ( 2xB=2x64k + 1xD=1x16k), l=18000feet do 45000 z reapeteremiData only
Modulacje ADSL
Carrierless Amplitude Phase (CAP) – uŜywana do 1996r (Legacy ADSL)Pojedyncza nośna – Pasmo w kablu 0-1.1MHz jest podzielone na 3 zakresy0-4kHz – POTS25kHz-160kHz – Upstream (1kanał)240kHz-1.104Mhz – Downstream (1kanał)Modulacja Up/Down - QAM
2008 Copyright by www.andrzejdoniczka.net str. 6
642-825 ISCW – Kompendium
Discrete Multi Tone (DMT)Strumień Up i Down jest podzielony na wiele kanałów, kaŜdy kanał ma swoją nośną modulowaną QAM. DMT jest formą modulacji OFDM. Nośne w kanałach są ortogonalne więc nie ma interferencji między kanałami.Podział transmisji na kanały zwiększa odporność transmisji na zakłócenia.Pasmo DSL (25kHz-1.1MHz) jest podzielone na 256 kanałów o szerokości 4.312kHzKaŜdy kanał jest modulowany z szybkością 15bps/HzPodział pasma:0-4kHz – POTS25kHz-134kHz – Down (25kanałów)138kHz – 1.1MHz.- Up (223 kanały)
Generalnie DSL działa tak Ŝe ruch z routera usera (L3) trafia do ATU-R , i następnie przez localloop trafia do ATU-C który stanowi kartę liniową DSLAM-a. DSLAM to switch ATM-owy. Następnie ruch enkapsulowany w komórkach ATM-owych trafiaprzez sieć ATM do aggregation routera (L3) providera.Istnieją 3 sposoby enkapsulacji i transportu danych między routerem CPE, a routeremagregacyjnym ISP.
− RFC1483/2684− PPPoEthernet− PPPoATM
RFC 1483/2684 definiuje transport wielu protokołów przez pojedynczy ATM Virtual Circuitoraz indywidualnego protokołu przez indywidualny circuit
Transport PPPoE - RFC2516To jest w istocie „bridging architecture” zapewnia łączność między hostem (routerem CPE) azdalnym koncentratorem dostępowym (routerem agregacyjnym)Między Routerem CPE a Routerem Agregacyjnym są uŜywane jedynie warstwy L1 i L2Funkcje warstwy L3 zaczynają działać po negocjacji PPP.Ramki PPP są encapsulowane wewnątrz ramek Ethernetowych.Adres IP jest przydzielany przez DHCP providera w pakiecie IPCP PPP
ADSL uŜywa protokołu PPP (RFC1661) jako protokołu L2.Pakiet PPP zawiera:− Link Control Protocol (LCP) – negocjuje parametry linka, packet size, type, authentication
słuzy do ustanowienia comunikacji-konfiguracja i testowanie linka− Network Control Protocol (NCP) – osobny dla kaŜdego protokołu
słuŜy do skonfigurowania protokołu L3 (IPCP)− Data frame
W celu połączenie Point-to Point między CPE routerem a Aggregation Routerem kaŜda sesja PPP musi ustalic MAC adres remote peer-a i ustanowić Session ID.PPPoE zawiera discovery protocol który to robi.
Proces inicjalizacji PPPoE składa się z 2 faz.− Discovery − PPP Session Discovery
2008 Copyright by www.andrzejdoniczka.net str. 7
642-825 ISCW – Kompendium
ustalenie MACa remote peera, ustawienie Session ID. Discovery trwa tak długo aŜ zostanieustanowiona sesja PPP.Po ustanowieniu sesji CPE router i Aggregation router MUSZĄ alokować zasoby dla PPP virtualinterface-uVirtual interface na aggregation routerze pełni role default gatewaya dla routera CPE
Discovery phase steps:− PPPoE klient wysyła PPPoE Active Discovery Initiation (PADI) request (MAC=broadcast)− Aggregation router odpowiada PPPoE Active Discovery Offer (PADO) Dst MAC=unicast− PPPoE klient wysyła unicast PPPoE Active Discovery Request (PADR) − Aggregation router wysyła PPPoE Active Discovery Session-Confirmation w którym przypisuje
Session-ID i potwierdza sesje
Struktura ramki PPPoE
---------Header-------------Dst. MAC (6B)Src. MAC (6B)Ether Type (2B) =0x8863 -discovery / 0x8864 -session----------Payload (PPPoE subheader + payload)----VER(4b) =0x1=constTYPE(4b) =0x1=constCODE(8b) wartość zaleŜna od fazy Discovery, gdy jest faza sesji to =0x00SESSION_ID(16b) ID sesji jest powiązany z Src i Dst MACLENGTH(16b) długość PPPoE payload-u
PAYLOAD ( ramka PPP)------------CRC-------------
PPPoE Sesion phaseGdy faza sesji jest zainicjowana, zaczyna sie proces wymiany ramek LCP protokołu PPPSesja trwa tak długo aŜ nie zostanie wynegocjowane połączneie PPP (włącznie z uwierzytelnieniemi innymi opcjami LCP. Następnie zostają wymienianie ramki NCP
PPPoE Framing ( w bajtach)
Data payload – 1-1452TCP Header – 20IP Header – 20PPP Header – 2PPPoE Header – 6Ethernet header – 18
AAL5Trailer – 8 + 1-40 paddingATM cell Headre – 5 per cellATM cell payload – 48 per cell
2008 Copyright by www.andrzejdoniczka.net str. 8
642-825 ISCW – Kompendium
Transport PPPoAPPPoA jest podobne do PPPoE. W PPPoA równieŜ występuje faza discovery i i session.PPPoA uŜywa enkapsulacji ATM adaptation Layer 5 (AAL5) wraz z Logical LinkControl/Subnetwork Access Protocol (LLC/SNAP) w Virtual Circuit-ach.
Struktura komórki ATM – 53 bajty const.
(L4) Transport – TCP header + DATA(L3) Network – IP header + TCP Header + DATA(L2)---------------------------------------------------------------------------------------------------------------LLC/SNAP – LLC(określa VC) +IP header + TCP header + DATAAAL5/SAR – (LLC +IP header + TCP header + DATA + Padding + Trailer) = 48bajtow =constATM – ATM header + AAL5 (48bajtow)
SAR=segmentation and reasembly – SAR trailer umoŜliwia poskładanie pociętych danych wprawidłowej kolejności.-----------------------------------------------------------------------------------------------------------------(L1) – PHY
KaŜde połączenie ATM jest identyfikowane przez:VPI – virtualn path identifier (0-255)VCI – virtualn circuit identifier (0-65535) (0-15) i (16-31) – reserverd
2008 Copyright by www.andrzejdoniczka.net str. 9
642-825 ISCW – Kompendium
Chapter 5 Configuring DSL Access with PPPoE
Konfiguracja PPPoE po stronie klienta DSL
Składniki konfiguracji PPPoE :− konfiguracja fizycznych interefejsów wewn./zewn. Eth/Eth lub Eth/ATM− konfiguracja virtualanego interfejsu Dialer (powiązanego z int. fizycznym zewnętrznym)− konfiguracja NAT/PAT− konfiguracja servera DHCP− konfiguracja trasy domyślej
Konfiguracja na interfejsach Eth/Eth
interface eth0/0 (int.wewn.)ip address 192.168.0.1 255.255.255.0no shut
interface eth0/1 (in.zewn.)no ip addressno shutpppoe enablepppoe-client dial-pool-number 1 (przyporządkowuje klienta do puli interfejsu dialer)
Konfiguracja na interfejsach Eth/ATM
interface eth0/0 (int.wewn.)ip address 192.168.0.1 255.255.255.0no shut
interface ATM0/0 (in.zewn.)no ip addressno shutdsl operating-mode-auto (wybór modulacji DSL- (auto, ansi-dmt [ANSI T1.413],
itu-dmt [G992.1], splitterless [G992.2 lub G.Lite)pvc 10/32pppoe-client dial-pool-number 1 (przyporządkowuje klienta do puli dialer int)
Konfiguracja interfejsu Dialer
interface Dialer0ip address negotiated (dialer dostaje ip z DHCP ISP)ip mtu 1492encapsulation pppdialer pool 1
Konfiguracja PAT
interface eth0/0 (interfejs inside/local)ip nat inside
interface Dialer0 (interfejs outside/local)
2008 Copyright by www.andrzejdoniczka.net str. 10
642-825 ISCW – Kompendium
ip nat outside
...definiujemy listę adresów insideaccess-list 10 permit ip 192.168.0.0 0.0.0.255 any
...i przyporządkowujemy listę adresów inside do interfejsu outside
ip nat inside source list 10 interface dialer0 overload
Konfiguracja serwera DHCP na routerze CPE
ip dhcp excluded-address 192.168.0.1 192.168.0.8 (wykluczenie zakresu adresów)
ip dhcp pool pula_wewnetrzna (definicja puli adresów)import all (dynamiczne rozgłaszanie np.DNSów)network 192.168.0.0 255.255.255.0default-router 192.168.0.1
Trasa domyślnaip route 0.0.0.0 0.0.0.0 interface dialer0 (do interfejsu virtualnego )
...sprawdzamy czy wynegocjowała się sesja:
CPE_RTR# show pppoe session all
Pozostałe opcje do konfiguracji ( PPP auth.VPN QoS na: www.cisco.com/go/srnd)
2008 Copyright by www.andrzejdoniczka.net str. 11
642-825 ISCW – Kompendium
Chapter 6 Configuring DSL Access with PPPoA
Konfiguracja PPPoA po stronie klienta DSL (RFC2364 PPP over AAL5)
W L2 łączność jest zapewniona przez ATM od CPE do DSLAM i dalej. Główną róŜnicą między PPPoE i PPPoA jest Ŝe router CPE uŜywa enkapsulacji RFC1483/2684do transportu ramek PPP przez local loop, wewnątrz komórek ATM, do routera agregacyjnego.Podobnie jak w PPPoE, virtualny interfejs dostępowy jest powiązany z ATM PVCskonfigurowanym na interfejsie fizycznym ATMKaŜde połaczenie PPP jest enkapsulowane w osobnym kanale PVC lub SVC
Typy połączeń PPPoA
− VC multiplexed PPP over AAL5 (AAL5VCMUX) RFC2364− LLC encapsulated PPP over AAL5 (AAL5SNAP) RFC 2364− Cisco PPP over ATM (PPPoA)
AAL5MUXTen typ połączenia umoŜliwia utworzenie osobnego VC dla transportu ruchu róŜnych protokołówroutowalnychStruktura ramki AAL5MUX
----CPCS-PDU (n x 48B)----PPP Payload---------------Protocol_ID (1 lub 2B)PayloadPadding (PPP)-----------------------------------Padding(SAR) (0-47B)----CPCS-PDU Trailer--------CPCS-UUCPILength (2B)CRC (4B)-----------------------------------
AAL5SNAP
Pojedynczy VC do transportu wszystkich protokołówStruktura ramki PPP enkapsulowanej w AAL5SNAP
----LLC Header (3B)-----------DSAP (0xFE) (Destinations Service Access Point – uŜywany przez prot. L3 np CLNS)SSAP (0xFE) (Source Service Access Point – uŜywany przez prot. L3 np CLNS)Frame Type (0x03)------------------------------------NLPID (PPP=0xCF) (to nie jest częśc LLC-powiązany jest z SNAP headerem)---PPP Payload-----------------
2008 Copyright by www.andrzejdoniczka.net str. 12
642-825 ISCW – Kompendium
Protocol ID (1 lub 2B)PayloadPadding PPPPadding(SAR) (0-47B)----CPCS-PDU Trailer--------CPCS-UUCPILength (2B)CRC (4B)
Strumień komórek jest wysyłany z CPE do DSLAM gdzie są dalej przełączane i forwardowane doroutera agregacyjnego.W PPPoA overhead tworzony przez obecność ramke Ethernetowych jest wyeliminowany,poniewaŜ CPE uŜywa od razu enkapsulacji ATM zamiast bridge-owania ramek Eth przez sieć .
Cisco PPPoA (proprietary)Wiele PVC moŜe być skonfigurowanych na wielu subinterfejsach.
Konfiguracja interfejsu ATM do PPPoA
interface eth0/0 (int.wewn.na routerze CPE)ip address 192.168.0.1 255.255.255.0no shut
enkapsulacja AAL5MUX
interface ATM0/0no ip addressdsl operating-mode autopvc 10/32encapsulation aal5mux ppp dialerdialer pool-member 1
...oczywiście naleŜy zdefinować interfejs dialer ( patrz konfig. PPPoE)
...lub enkapsulacja AAL5SNAP (defaultowa)
interface ATM0/0no ip addressdsl operating-mode auto
interface ATM0/0.1 multipointclass-int ppp-defaultpvc 10/32vc-class atm ppp-defaultencapsulation aal5snapprotocol ppp virtual-template 1 (przybija PVC do interfejsu virtual-template (zamiast
2008 Copyright by www.andrzejdoniczka.net str. 13
642-825 ISCW – Kompendium
dialer interfejsu, virtual-template interfejs)Virtual-templates są interfejsami logicznymi które określają interfejs fizyczny będący pod ichkontrolą.. Podobnie to działa jak interfejs dialer.
Konfiguracja interfejsu Virtual-template
interface virtual-template1encapsulation pppip address negotiatedip nat outsideppp authentication chapppp chap hostname RTR_CPEppp chap password 0 dupa1
ip route 0.0.0.0 0.0.0.0 interface virtual-template1
2008 Copyright by www.andrzejdoniczka.net str. 14
642-825 ISCW – Kompendium
Chapter 7 Troubleshooting DSL Access
Troubleshooting ADSLa
Layer 1...to oczywiście wszystkie kabelki i wtyczki, ale teŜ line-codingWięc przede wszystkim: „Wł ączone działa lepiej” i GREEN IS GOOD ! - czyli patrzymy naLEDy
RTR# sh ip interface brief
RTR# show interface atm0
RTR# show dsl interface atm0 (sprawdzamy DSL mode)
RTR# debug atm eventsRTR# debug atm packetRTR# debug ppp negotiation (najbardziej uŜyteczne debugowanie)RTR# debug ppp authentication
RTR# ping atm interface atm0/1 10 32 seg-loopback
2008 Copyright by www.andrzejdoniczka.net str. 15
642-825 ISCW – Kompendium
Chapter 8 MPLS RFC 3031
Tradycyjne połączenia WAN są połączeniami warstwy L2, typu point-to-point lub multipoint .Podstawowe Architektury WAN:− Hub and spoke− Partial mesh− Full mesh− Redundant hub-and-spoke
Ilość obwodów topologii full mesh: c=n(n-1)/2 n: liczba hostów
MPLS jest technologią switchingu pracującą w warstwie L3Sieć MPLS WAN (providera) stanowi rozszerzenie sieci firmowej i moŜna ją sobie wyobrazić jakopojedynczy router (czyli urządzenie L3) z wieloma interfejsami, kaŜdym podłączonym np. dooddziału firmy.Taki virtualny router zawiera tablice routingu wszystkich lokalizacji sieci firmowej i zapewnia łączność any-to-any, z zapewnieniem honorowania tagów QoS itp.
Terminologia MPLS− Label: identyfikator o stałej długości, identyfikujący grupę sieci o o wspólnej lokalizacji
docelowej. Label ma znaczenie lokalne− Label stack: uporządkowany zestaw Labels dołączony do headera pakietu− Label swap: podstawowa operacja forwardowania na routerze, polegająca na sprawdzeniu
incoming label-a i określeniu outgoing labela, enkapsulacji,portu itp.− Label-switched hop (LSH): hop między 2 nodami MPLS− Label-switched path: (LSP) : ścieŜka między 2 lub więcej routerami LSR na 1 poziomie
hierarchii− MPLS Domain: ciągły zestaw nodów wykonujących MPLS routing i forwarding− MPLS edge node: nod połączony z nodem na zewnątrz domeny MPLS− MPLS egress node: obsluguje ruch opuszczający domene MPLS− MPLS ingress node: obsługuje ruch wchodzący do domeny MPLS− MPLS label: Label przenoszona w headerze pakietu, reprezentująca FEC (forwarding
equivalence class)− MPLS node: nod na którym pracuje protokół MPLS. Na tym nodzie pracuje 1 lub kilka
protokołów routing L3, nod MPLS jest w stanie forwardować pakiety oparte na labelach
MPLS jest mechanizmem switchingu L3 polegającym na analizie labela.Mechanizm ten nie zaleŜy od protokołu routowanego L3Label określa sieć przeznaczenia. MoŜe równieŜ być powiązany z innymi zmiennymi, np. L3Dst.VPN, L2 Virtual Circuit, egress interface, QoS, moŜe teŜ określać service level (SLA)Label jest wstawiany do pakietu ( między nagłówkiem L2 i L3 – Frame-mode MPLS ) przez edgeLSR . W przypadku gdy w L2 jest ATM, MPLS uŜywa VPI/VCI – Cell mode MPLSNagłówek L2 zwiera Protocol ID (PID) określający jaki protokół L3 jest dalejPID=0x8857 dla MPLS i 0x0800 dla IP
2008 Copyright by www.andrzejdoniczka.net str. 16
642-825 ISCW – Kompendium
Struktura MPLS Label:L2 - header---------------Label – 20 bitówExperimental CoS – 3 bityBottom of Stack – 1 bitTTL – 8 bitów---------------L3 – header
Wartość Labela to 0-1.048.575, wartości 0-15-zarezerwowaneBottom-of-Stack jest uŜywany gdy wiele labeli jest przypisanych do pojedynczego pakietu1- oznacza Ŝe tan label jest ostatnim z labeli. KaŜdy z routerów na ścieŜce patrzy tylko na pierwszylabel najbardziej zewnetrzny.Label Stack moŜe być porównany do enkapsulacji IP inside IP. Tylko 1szy nagłówek jest uŜywanydo routingu.Label stacka uŜywają :− MPLS VPN-y – Multiprotocol BGP jest uŜywany do propagowania informacji o labelach− MPLS TE – uŜywa RSVP do ustanowienia tunelu LSP− MPLS VPN z MPLS TE
Wybór next-hop routera składa się z 2 części:
− posortowanie pakietów na klasy (FEC-forwarding equivalence class), na podstawie Dst. Adresu− zamapowanie kaŜdego FEC-a (Labela) do next-hop adresu
UWAGA: pakiety przypisane do tego samego FEC-a (Labela) są nierozróŜnialne i sątransportowane tą samą ścieŜką.
W MPLS jest tylko jedno sprawdzenie pakietu IP i tylko jedno przypisanie do FEC (Label)–odbywa się to w MPLS ingress nodzie. W następnych hopach jest sprawdzany tylko ingress Labelna interfejsie wejściowym, następnie LSR robi lookup do Label Databazy (która łączy podsieć zlabelem), i następuje zamiana na egress Label na interfejsie wyjściowym.Innymi słowy tylko edge LSR (Provider Edge Router) wykonuje lookup do tablicy routingu iprzypisuje istniejącym tam sieciom Labele. Labele są gromadzone w bazie LIB (Label informationBase) Następnie LSR ogłasza swoją bazę LIB sąsiadom, którzy z kolei propagują te informacje doswoich peer-ów.Peery uŜywają tych informacji do skojarzenia next-hop-label z z siecią Dst.Te informacje są przechowywane w bazie FIB (Forwarding Inforamtion Base) i LFIB (LabelForwarding Information Base)
Mechanizmy Switching Routerów
− Process Switching – kaŜdy pakiet jest przetwarzany indywidualnie, przed przesłaniem pakietujest wykonywany pełny lookup do tablicy routingu. Mechanizm jest najwolniejszy
− Cache-driven switching – pierwszy pakiet jest przetwarzany przez process switching,a następnie dst.IP jest cache-owane w pamięci
− Topology-driven switching – jest tworzona tablica FIB
2008 Copyright by www.andrzejdoniczka.net str. 17
642-825 ISCW – Kompendium
Tablica FIB jest odbiciem tablicy routing IP. Gdy zajdą zmiany w topologi, tablica FIB jestupdatowana na podstawie updatow tablicy routingu.Updaty tablicy FIB nie są packet-triggered, tylko change-triggered.Tablica FIB róŜni się od fast switching cache-a tym Ŝe Ŝe nie zawiera informacji o egresinterfejsie i informacji o enkapsulacji L2. W tym celu CEF korzysta z tablicy sąsiedztwa(adjacency table) Nody są w relacji sąsiedztwa gdy są w stanie nawiązać kontakt przezpojedyncze połączenie L2. Adjacency table jest zlinkowana z FIB, więc nie ma potrzeby
ARP requestów.
Underlying mechanizm switchingu MPLS jest zapewniony przez Cisco Express forwarding (CEF)CEF jest mechanizmem topolgy-driven
Komponenty MPLS
MPLS ma rozdzielone tradycyjne mechanizmy routingu na 2 komponenty
− Control Plane – obsługuje wymianę informacji o routing i labelach między sąsiednimiurządzeniami (tablica LIB i FIB)
− Data Plane (Forwarding Plane) – forwarduje ruch bazując na dst. IP lub labelach z tablicy LFIB
Obok typowych protokołów routingu są label-based routing protokoły:Tag Distribution Protocol (TDP) i Label Distribution Protocol (LDP) – protokoły te sąodpowiedzialne za dystrybucje tabeli LFIB (czyli Label Routing Table)Tablica LFIB jest zbudowana na podstawie tablicy routingu, i przypisuje labele do kaŜdej sieci.JeŜeli tablica routing jest zdupiona to zdupiona bedzie równieŜ tablica LFIB
Protokół RSVP (Resource Reservation Protocol ) jest uŜywany przez MPLS do mechanizmów inŜynierii ruchu (MPLS TE) które zapewniają rezerwację pasma.
Tablica LIB jest częścią control plane i zapewnia baze danych uŜywaną do dystrybucji labeli przezLDP. LIB mapuje IP prefix z assigned label i assigning label.
Tablica LFIB jest częścią data plane i zapewnia baze danych uzywaną w forwardowaniu labeledpackets. IGP jest uŜywany do rozpowszechniania tabeli routingu we wszystkich routerach MPLS
Tablica FIB jest cześcią data plane i jest uzywana do forwardowania nielabelowanych pakietów IP
JeŜeli pakiet przyjdzie do routera LSR zanim ten router ma wiedze na temat labela skojarzonego zFEC-em, to pakiet taki jest wysyłany do next-hop routera na podstawie tablicy FIB, następnie next-hop router sprawdza czy ma powiazanie label-dst. IP, jeŜeli nie ma to dalej tak samo. JeŜeli ma toprzypisuje label i dalej normalny forwarding MPLS przez ścieŜkę LSP (Label Switched Path)LSP stanowi tunel między src. i dst.dla określonego FECa
KonfiguracjaProcedura konfiguracji MPLS składa się z:− konfiguracja CEF− konfiguracja MPLS na Frame Mode Interfejsie− konfiguracja MTU size
2008 Copyright by www.andrzejdoniczka.net str. 18
642-825 ISCW – Kompendium
rtr(config)# ip cef lub opcjonalnie w trybie distributed (na routerach z line-card-ami)rtr(config)# ip cef distributed
...włączamy CEF na konkretnym interfejsiertr(config-if)# ip route-cache cef
rtr# sh ip cef detail [unresolved | summary | adjacency ] (wyświetla statystyki i adjacency table iFIB)
rtr# clear adjacencyrtr# clear ip cef inconsistencyrtr# clear cef interface
rtr# debug ip cef [events]...globalnie włączamy MPLS
rtr(config)# mpls ip
...następnie na interfejsie
rtr(config-if)# mpls ip
...wybieramy protokół dystrybucji label
rtr(config-if)# mpls label protocol ldp [tdp | both] (tdp – ciscowy protokół)
W przypadku gdy do pakietu jest dodane kilka labeli to moŜe on przekroczyć max. Rozmiar MTUTo jest szczegółnie istotne na interfejsach LAN-owskich gdzie max.MTU musi być mniejsze niŜok. 1500 bajtow. JeŜeli w sieci mamy zaimplementowany MPLS-TE i MPLS-VPN, a długość labelato 4 bajty i MTU=1504 bajty to jest potrzebne ustawienie MTU size na 1512
rtr(config-if) mpls mtu 1512 (64-65535)
...sprawdzamyrtr#sh mpls ldp neighborrtr# debug mpls ldp bindings
MPLS VPN
VPNy jak wiadomo pozwalają na implementowanie prywatnych sieci przy uŜyciu współdzielonejinfrastruktury providera. Zasadniczo istnieją 2 modele VPNów:− Overlay VPNy: uŜywają technologii X.25, FR, ATM overlay VPNów w warstwie L2 oraz
tuneli GRE (Generic Routing Encapsulation) i IPsec dla overlay VPNów w warstwie L3− Peer-to-Peer VPNy – implementowane przy uŜyciu współdzielonej infrastruktury ISP przy
uŜyciu ACL-ek i przy uŜyciu osobnych routerów dla kaŜdego klienta
MPLS VPN-y wykorzystują najlepsze cechy overlay VPNów i peer-to-peer VPNów.
2008 Copyright by www.andrzejdoniczka.net str. 19
642-825 ISCW – Kompendium
Terminologia MPLS VPN
C network: sieć klientaCE router : customer edge router (podłączony ro routera PE)Label-switched-path LSP: ścieŜka po sieci PP network: sieć corowa ISP (nie przenosi Ŝadnych informacji routingu klienta)P router: ISP MPLS router corowyPE router: ISP edge router (podłączony z jedenj strony do CE a z drugiej do P routera)Penultimate hop pop (PHP): operacja polega na tym Ŝe końcowy P router w P network zdejmujelabel zanim pakiet trafi do egress PE routeraPoP – ISP point of presenceRoute Distingisher: identyfikator 64bitowy przybity do adresu Ipv4 tworząc unikalny adresVPNv4Route target (RT): atrybut dodawany do trasy VPNv4 BGP w celu identyfikacji czonkostwa VPN
CE router obsługuje protokoły IGP (OSPG, RIP, lub routing statyczny) i wymienia trasy zrouterami sąsiednimi. CE router nie uczestniczy w architekturze MPLS w sposób inny niŜwysyłanie i odbieranie informacji routingu klienta.
PE router – architektura routerów PE w sieci providera jest podobna do typowego PoP wdedykowanym modelu peer-to-peer. Główna róŜnica leŜy w tym Ŝe jest to skompresowane wjednym fizycznym urządzeniu np. High-endowym routerze Cisco 7200VXRKaŜdy klient ma przypisany własny RD i tablice VRFCzyli innymi słowy, service provider obsługuje informacje o routingu klienta, gromadzone wosobnych instancjach routingu. CE router klienta wymienia informacje nie z odległym CE klientatylko z routerem PE providera. Te trasy są przenoszone przez sieć klienta do odległych routerów CEKaŜdemu klientowi jest przypisany unikalny route distingusher (RD) Uzycie RD pozwalaproviderowi na zapewnienie klientowi logicznie odseparowanego routera PEInstancje protokołu routingu są powiązane z RD. Tworzone w ten sposób tablice routingu - VirtualRouting an Forwarding Table (VRF) VRFy zapewniają izolację między trasami klientów. Informacje z tych tablic muszą być jednakwymieniane między róŜnymi routerami PE, tak więc jest potrzebny protokół routingu do transportusieci klientów przez P network, przy zachowaniu niezalezności przestrzeni adresowych klientow.Pojedynczy protokół routingu wymieniajaący trasy klientów, pracuje między routerami PE, bezangaŜowania P routerów.. Innymi słowy routery PE podłączone do danej sieci klienta są ze sobą„zpeerowane” Między peerami PE jest ustawiona relacja BGP neighbor.
P routery – tworzą szkielet sieci P. P routery nie przenoszą tras VPN i nie uczestniczą w routinguMPLS. Routery P zapewniają jedynie transport ruchu między routerami PE. (lokalnym i zdalnym)Na routerach P (w szkielecie) pracuje któryś z protokołów routing (OSPF, IS-IS) który przenositylko informacje o routingu w sieci P. Routery P są połączone z PE w celu transportu BGP peereinginfo do zdalnych routerów PE.
Router Distinguisher - identyfikator 64bitowy przybity do adresu IPv4 tworząc unikalny 96bitowyadres VPNv4. Ten adres jest ogłaszany między peerami PE – remote PE.RD jest przybijany na routerze PE do tras redystrybuowanych do MPBGP, z IGP na lokalnym CE. Na zdalnym routerze PE, RD jest zdejmowany i trasa jest spowrotem redystrybuowana do IGP nazdalnym CE.
2008 Copyright by www.andrzejdoniczka.net str. 20
642-825 ISCW – Kompendium
RD zapewniają Ŝe nie ma overlapingu między takimi samymi przestrzeniami adresowymi klientów.PoniewaŜ jest niepowtarzalny mapping miedzy RD a VRF, to RD stanowi identyfikator VRF-ów.
Route Targets – RT jest dodatkowym atrybutem dołączanym do tras VPNv4 BGP wskazującym naczłonkostwo w wielu VPN-ach RT jest dodawany w podczas konwersji trasy IPv4 do VPNv4 narouterze PE. RT dołączony do trasy nazywa się export RT i jest konfigurowany osobno dla kaŜdegoVRF na routerze PEImport RT – określają trasy powiązane z określonym VRF. KaŜda VRF na routerze PE moŜe miećwiele import RT identyfikujących zestaw VPN-ów
MPLS VPN Packet forwarding
routery PE uŜywają two-labels stack, do labelowania pakietów VPN, forwardowany przez Pnetwork. Top label w stacku jest uŜywany przez LDP w sieci P to przejścia po ścieŜce LSP doegress PE routera. S-bit w top-labelu jest ustawiony na 0.Second label jest przypisany przez egress PE router, i mówi routerowi jak forwardowaćprzychodzący pakiet VPN. Ten label powinien wskazywać na outbound interfejs lub tablice VRFRoutery P wykonują label switching na podstawie jedynie top-labela, nie zaglądając niŜejroutery egress PE wykonują label switch na second labelu poniewaŜ top label został juŜ wcześniejzdjęty, i dalej forwardują pakiet według parametrów pakietu które wskazują na VRF lub outbound i
2008 Copyright by www.andrzejdoniczka.net str. 21
642-825 ISCW – Kompendium
Chapter 12 IPsec
IPsec zabezpiecza dane transportowane w sieci IP. IPsec zapewnia:
− Poufność danych: pakiety są szyfrowane (opcjonalna cecha IPsec)− Integralność danych: gwarantuje Ŝe pakiet nie uległ zmianie w czasie transportu przez IPsec
VPN. UŜyte są algorytmy hash-ujące − Uwierzytelnianie pochodzenia danych: uwierzytelnia źródło Ipsce VPN− Zabezpiecza przed duplikacją pakietów (Anti-replay): zapewnia Ŝe pakiety nie zostały
powielone. UŜywa numerów sekwencyjnych i sliding-window (opcjonalna cecha IPsec)
Protokoły uŜywane przez IPsec:
− Internet Key Exchange (IKE): zapewnia mechanizm negocjacji i wymiany kluczyuwierzytelniających i parametrów bezpieczeństwa.
− Encapsulating Security Payload (ESP): zapewnia poufność i integralność danych,uwierzytelnianie pochodzenia danych, i opcjonalnie anti-replay
− Authentication Header (AH): zapewnia integralność danych, uwierzytelnianie pochodzeniadanych, i opcjonalnie anti-replay, nie zapewnia poufności danych (szyfrowania).
ESP i AH uzywają jednokierunkowej funkcji skrótu (funkcji hashujacej) czyli Hash-based MessageAuthentication Code (HMAC). Funkcje hashujace uŜywają tajnego klucza.MD5 – input=var, output=128bit, IPsec uŜywa 128bitSHA-1 – input=var, output=160bit, IPsec uŜywa 96bit
Tryby IPsec:
− transport mode: IPsec header (ESP/AH) jest wstawiony w pakiet IP (zaraz po nagłówku) – tentryb zabezpiecza warstwe L4 i wyŜsze
− tunnel mode: tworzy zewnętrzny IP header który zawiera IP końcowego punktu tunelu (np.Koncentratora VPN), po nim jest ESP/AH – ten tryb zabezpiecza warstwe L3 i wyŜsze
ESP/AH są implementowane przez dodanie nagłówka do oryginalnego pakietu IPESP ma protocol_ID=51, a AH ma protocol_ID=50
W trybie AH, jest uwierzytelniane wszystko po nagłówku L2, a w trybie ESP wszystko popierwszym-zewnętrznym nagłówku IP.
ESP najpierw szyfruje zawartość danych a później uwierzytelnia całość.
Uwierzytelnianie peer-ów (Peer Authentication) – potwierdza Ŝe zdalny IPsec peer, jest tym za kogosię podaje. Metody uwierzytelnienia:− username/password (predefiniowane i prekonfigurowane na końcach)− One-time password OTP− Biometryka− Klucze współdzielone – pojedynczy klucz jest prekonfigurowany na kaŜdym peer-e− Certyfikaty cyfrowe – certyfikat jest wydawany dla konkretnego urządzenia przez zewnętrzną
firmę ( Certificate Authority) CA. Kiedy urządzenie potrzebuje uwierzytelnienia, to prezentuje
2008 Copyright by www.andrzejdoniczka.net str. 22
642-825 ISCW – Kompendium
certyfikat który następnie jest validowany przez CA
IKEBezpieczne połączenie między 2 urządzeniami moŜe być ustanowione po konfiguracji kluczyszyfrowania na obu urządzeniach. śeby to wszystko było bezpieczne to klucze muszą byćzmieniane, i Ŝeby nie robić tego ręcznie to od tego są protokoły IKE które dynamicznie wymieniająparametry i klucze. IKE automatycznie ustanawiają Security Associations (SA) między punktamikońcowymi IPSec.. SA – stanowi uzgodnienie parametrów IPSec.
IKE u Ŝywa 2 protokołów :− ISAKMP (Internet Security Association and Key Management Protocol) – definiuje jak
ustanawiać, negocjować, modyfikować SA. ISAKMP wykonuje uwierzytelnienie peer-ów, alenie wykonuje wymiany kluczy
− Oakley – uŜywa algorytmu Diffie-Hellman, do zarządzania wyminay kluczy przez IPSec SA
Fazy IKE (2 fazy obowiazkowe, 1 faza opcjonalna)− faza 1: jest tworzone dwustronne SA między peer-ami, to znaczy Ŝe dane między końcowymi
urządzeniami uŜywają tego samego materiału klucza. Faza 1 moŜe równieŜ wykonywaćuwierzytelnianie peerów w celu potwierdzenia toŜsamości endpointów. Są 2 tryby fazy 1,
SA main mode, i SA aggressive mode. Faza 1 negocjuje parametry hashowania i transform sety− faza 1.5 (opcjonalna)pewnia dodatkową warstwę uwierzytelniania – Xauth lub Extended
Authentication− faza 2: implementuje jednostronne SA-y między peer-ami, przy uŜyciu parametrów
wynegocjowanych w fazie 1szej. Dla kaŜdego kierunku jest uŜyty osobny materiał kluczafaza 2 uŜywa IKE quick mode do kaŜdego jednokierunkowego SA
IKE Main Mode (Quick mode zawsze poprzedza main mode)Składa się z 6 message exchanges ( 3 pary) między peerami IPsec− IPsec parameters and security policy – initiator wysyła 1 lub wiecej propozycji a responder
wybiera 1 właściwą− Diffie-Hellman public key exchange − ISAKMP session authentication – kaŜdy peer wzajemnie się uwierzytelnia
IKE Aggressive Mode – jest skróconą wersją IKE Main Mode, jeŜeli jest stosowany aggressivemode to nie jest uŜywany main mode. (Quick mode zawsze poprzedza main mode)6 message exchanges jest skondensowanych do 3− Initiator wysyła wszystkie dane włącznie z parametrami IP sec, security policies i klucze Diffie-
Hellmana− Responder uwierzytelnia pakiet i wysyła zwrotnie propozycje parametrów, materiał klucza − Initiator uwierzytelnia pakiet
IKE Quick mode jest uŜywany podczas fazy 2 IKE Negocjacja Quick Mode jest zabezpieczanaprzez IKE SA wynegocjowane w fazie 1
Inne Funkcje IKE
− Dead peer detection (DPD) ( są wysyłane okresowe keepalive-y)
2008 Copyright by www.andrzejdoniczka.net str. 23
642-825 ISCW – Kompendium
− NAT traversal (IPsec szyfruje wszystko powyŜej L3, więc jest problem gdy NAT ma zrobić translację adresu IP i portu TCP. NAT traversal jest rozwiązany przy uŜyciu IKE fazy 1 i 2W czasie fazy 1 jest określane czy jest NAT. Traversal jest zrobiony przez wstawienie nagłówkaUDP po zewnętrznym nagłówku IP, a przed nagłówkiem ESP w pakiecie IPsecTaki nagłówek UDP jest nieszyfrowany
− Mode configuration: to innymi słowy wysłanie wszystkich atrybutów IPSec do zdalnego klientaIPSec.. Atrybuty zawierają IP uŜyty do połączenia IPSec, i adresy DNS i NetBIOS uŜyte wpołączeniu IPSec.
− Xauth: dodaje dodatkowe warstwy uwierzytelniania (CHAP, OTP itp.)−Algorytmy Szyfrowania:
Algorytmy symetryczne (ten sam klucz do szyfrowania i deszyfrowania) DES – klucz 56 bitowy, 3DES – 3 rózne klucze 56 bitowe, AES – klucze od 128-256 bitów
Algorytmy asymetryczne – róŜne klucze do szyfrowania (klucz publiczny - dystrybuowany) ideszyfrowania.(klucz prywatny)Przy podpisach cyfrowych, role kluczy są odwrócone. Klucz prywatny jest uŜywany do podpisaniaskrótu wiadomości, a klucz publiczny deszyfruje i validuje podpis.W obu przypadkach klucze prywatne są utajnione.Algorytmem szyfrowania asymetrycznego jest algorytm RSA – moŜe on zostać uŜyty dopodpisywania i szyfrowania. Klucz RSA zaczyna się od 1024 bitów
Algorytmem wymiany kluczy asymetrycznych jest algorytm Diffie-Hellman
Public Key InfrastructurePKI składa się z:
− Peers – end hosty które bezpiecznie komunikują się ze sobą− Certification Authority (CA) – przydziela i obsługuje certyfikaty cyfrowe− Digital Certificate – zawiera informacje które unikalnie identyfikuja peera, podpisaną kopię
klucza publicznego , waŜność certyfikatu i podpis organizacji CA . Aktualna wersja to X509v3− Registration Authority (RA) – opcjonalna jednostka która obsługuje requesty uzyskania certa z
CA− Distribution Mechanizm – sposób dystrybuowania certification revocation lists (CRL) w sieci.
Za pomocą PKI, kaŜda jednostka która chce uczestniczyć w bezpiecznej komunikacji, odbieracertyfikat cyfrowy, który zawiera parę klucz prywatny/publiczny, i ich identyfikację przez CAGdy peery chcą nawiązać bezpieczną komunikacje, to wymieniają certyfikaty
2008 Copyright by www.andrzejdoniczka.net str. 24
642-825 ISCW – Kompendium
Chapter 13 Site-to Site Operations
Połączenie s2s VPN składa się z :
− 1. Określenie interesującego ruchu− 2. IKE faza 1− 3. IKE faza 2− 4. Bezpieczny transfer danych− 5. Zakończenie tunelu IPsec
1. Określenie interesującego ruchu – to jest ruch który ma bezpiecznie transportowany w tuneluOkreśla się go przez extended ACL-ki
2. IKE faza 1 – wymienia parametry bezpieczeństwa i klucze szyfrowania symetrycznego, dostworzenia tunelu IPsec. Są 2 tryby: main mode i aggresive mode. IKE faza 1 składa się z 3 wymian− IKE Policy negotiation ( IKE transform sets)
- algorytm szyfrowania IKE (DES, 3DES, AES)- algorytm uwierzytelniania IKE (MD5,, SHA-1)- klucz IKE (preshare, RSA, nonces)- Diffie-Hellman ver. (1,2,5)- IKE tunnel lifatime (czas i/lub transfer)Transform sety na routerach na obu końcach tunelu muszą być identyczne.Router który otrzyma kilka transform setów, sekwencyjnie porównuje zawartość kaŜdego
− Diffie-Hellman Exchange – wymienia klucze które będą uŜyte w fazie 1 grupa 1 DH-768-bit prime nr, grupa 2 DH-1024-bit prime nr, grupa 5 DH 1536-bitPo wymianie kluczy i ustanowieniu hasła współdzielonego, jest utworzone SA dla fazy 1.To SA jest uŜywane do wyminay kluczy dla fazy 2
− Peer Authentiction – uwierzytelnianie zdalnego końca tunelu. Odbywa się to przez:- preshared keys (ustawione ręcznie na kaŜdym peerze)- RSA signatures- RSA-encrypted nonces ( coś w rodzaju OTP)
3. IKE faza 2 – ustanawia tunel IPsec. Składa się z:− negocjacja parametrów bezpieczeństwa IPsec przez IPsec transform sets)
- protokół IPsec (ESP, AH)- algorytm szyfrowania (DES, 3DES, AES)- algorytm uwierzytelniania ( MD5, SHA-1)- tryb IPsec (tunel, transport)- lifetime IPsec SATransform sety na routerach na obu końcach tunelu muszą być identyczne
− ustanowienie IPsec SA (Security Association) (unidirectional) – następuje gdy oba koncetunelu uzgodnią wspólne parametry. KaŜde SA jest śledzone i obsługiwane osobno przez SecurityParameter Index (SPI). SPI jest przesyłane z kaŜdym pakietem IPsec.KaŜdy klient IPsec uŜywa bazy danych SA (SAD) do śledzenia kaŜdego SA w którym klientuczestniczy. SAD zawiera takie informacje o kaŜdym SA- dst. IP address- SPI nr- IPsec protocol (ESP, AH)
2008 Copyright by www.andrzejdoniczka.net str. 25
642-825 ISCW – Kompendium
Jest jeszcze baza Security Policy Database (SPD) – zawiera parametry uzgodnione w kaŜdymIPsec transform secie.
− okresowa renegocjacja SA− dodatkowe wymiany DH (opcja)4. Bezpieczny transfer danych5. Zakończenie tunelu IPsec – z 2 przyczyn: wygaśnięcie SA lifetime lub ręczne zamknięcietuneluPo zamknięciu tunelu informacje o SA są usuwane z SAD i SPD
Konfiguracja s2s VPN
1. konfiguracja ISAKMP policy (IKE faza 1)2. konfiguracja IPsec transform setów (IKE faza 2)3. konfiguracja crypto ACL (zdefiniowanie interesującego ruchu)4. konfiguracja crypto mapy (IKE faza 2)5. przybicie kryptomapy do interfejsu6. konfiguracja interface ACLki
1. ISAKMP policy ( na obu końcach tunelu to samo) (najmocniejsza polityka na początku)
# crypto isakmp policy 10 (kolejny numer sekwencyjny)encryption deshash md5authentication pre-sharedgroup 1 (wersja DH)lifetime 1800
# crypto isakmp key 0 tajny-klucz# address 91.193.234.20 (adres końca tunelu)
2. IPsec transform set
# crypto ipsec transform-set 20 (ustalamy protokół (ESP, AH i szyfrowanie)esp-3des esp-sha-hmac
#mode tunnel (ustalamy IPsec mode)
#crypto ipsec security-associationlifetime 1800
3.określamy interesujący ruch – (ACLki na obu końcach są lustrzanym odbiciem)#access-list 110 permit 192.168.1.0 0.0.0.255 172.16.7.0 0.0.0.255
4. Definujemy crypto mape
# crypto map do_centrali 20 ipsec-isakmp (łączy transform set i ACLke)set peer 91.193.234.20 (...i wskazuje adres końca tunelu)match address 110set transform-set set 20
2008 Copyright by www.andrzejdoniczka.net str. 26
642-825 ISCW – Kompendium
5.Przybijamy cryptomape do interfejsu
#interface s0/1ip address 91.193.234.1 255.255.255.0crypto map do-centrali
# ip route 192.168.0.1 255.255.255.0 91.193.234.20 (robimy trase statyczną)
2008 Copyright by www.andrzejdoniczka.net str. 27
642-825 ISCW – Kompendium
Chapter 14 GRE Tunneling over IPSec
Podstawowym zadaniem GRE (Generic Routing Encapsulation) jest przenoszenie pakietów non-IPprzez sieć IP, ale generalnie w GRE moŜna enkapsulować wszystko.
Charakterystyka tunelu GRE:− tunel GRE jest podobny do tunelu IPSec− GRE nie ma mechanizmów flow control, sequencingu i jest stateless− GRE dodaje conajmniej 24 bajty narzutu (łącznie z nowym 20bajtowym nagłówkiem IP
w którym src. i dst. identyfikuje końce tunelu GRE)Narzut moŜe spowodować przekroczenie max.MTU co powoduje Ŝe routery po drodze musząfragmentować pakiet co obciąŜa router i spowalnia transmisje)
− GRE pozwala na przenoszenie tunelem protokołów routingu w przeciwieństwie do IPSec− ma słabe mechanizmy bezpieczeństwa (tylko szyfrowanie, ale klucz idzie razem z pakietem)− GRE był potrzebny do przenoszenia ruchu multicastowego przed IOSem 12.4(4)T
Nagłówek GRE (4 – opcjonalnie16 bajtów)
Bity 0-15 – zawierają flagi które określają dodatkowe opcje GRE− bit 0 – flaga checksum present, jeśli set to będzie dodana do nagłówka 4 bajtowa checksuma− bit 2 – flaga key present, jeśli set to dodany do nagłówka 4 bajtowy klucz szyfrowania− bit 3 – flaga Seq nr – jeśli set to dodany do nagłówka 4 bajtowy seq nr− bit 13-15 – okreslają GRE ver. 0-basic GRE, 1- P2PTuneling Protocol (PPTP)Bity 16-32 – określają protokół (typ danych które pójdą kanałem GRE) np. 0x0800=IP
Format pakietu GRE
Nagłówek GRE− Tunnel IP header – 20 bajtów− GRE Flags – 2 bajty− GRE Protocol – 2 bajty− Opcjonalne bajty GRE – max 12 bajtów− -----------------------------------------------− IP header− TCP header− Dane
Konfiguracja tunelu GRE
rtr(config)# interface s0/1rtr(config-if)# ip address 91.193.208.1 255.255.255.0 -adres interfejsu podłączonego do neturtr(config)# interface tunnel0rtr(config-if)# ip address 192.168.1.1 255.255.255.0 -remote adres w tej samej podsieci !rtr(config-if)# tunnel source s0/1rtr(config-if)# tunnel destination 83.208.23.3 - adres fizyczny remote hostartr(config-if)# tunel mode gre ip
2008 Copyright by www.andrzejdoniczka.net str. 28
642-825 ISCW – Kompendium
GRE over IPSec
ESP IP hdr.-ESP hdr.-GRE - IP hdr.-IP hdr.-TCP hdr.-DATA-ESP trailer <- Tunnel mode
GRE IP hdr.-ESP hdr.-GRE – IP hdr.-TCP hdr.-DATA-ESP trailer <-Transport mode
2008 Copyright by www.andrzejdoniczka.net str. 29
642-825 ISCW – Kompendium
Chapter 15 IPSec High Availability Options
Potencjalne przyczyny IPSec VPN failures i sposoby zapobiegania- Access link failure - uŜyć wielu interfejsów i/lub wielu urządzeń (wiele kanałów VPN)− Remote peer failure – j.w− Device failure – uŜyć wielu róŜnych ścieŜek między endpointami− Path failure – j.w...no i oczywiście unikać w strukturze sieci „single points of failure”
Strategie failoveru
− Stateless – są uŜyte redundantne połączenie logiczne (tunele VPN) to zapewnienia ścieŜkipodstawowej i zapasowej. UŜycie scieŜek jest określone przez wymianę informacji międzypeerami lub przez określenie przez same urządzenia. Stan tunelu VPN nie jest znany – routerynie śledzą ścieŜek przez które idzie aktualny tunel VPN. Ruch przez tunel zapasowy jestprzesyłany gdy ścieŜka podstawowa się zwali.
− Statefull – jest uŜyty redundantny sprzęt. Oba urządzenia są identyczne sprzętowo iprogramowo. Urządzenia gadają ze sobą Ŝeby określić które ma pracować(HSRP, Statefull Switchover (SSO)HSRP gdy podst. Router zdechnie ro IKE i IPSec SA są przekazywane do backup routeraSSO – współdzieli informacje IKE i IPSec SA między router podstawowy i zapasowy
Metody wykrywania uszkodzeń (stateless failover)
− Dead Peer Detection− IGP wewnątrz GRE over IPSec− HSRP/VRRP/GLBP – patrz kompendium do BCMSN
Dead Peer Detection
DPD Periodic mode
− DPD keepaliv-y są okresowo przesyłane między peerami IPSec VPN− DPD keepaliv-y są dodatkiem do normalnej regularnej wiadomości IPSec rekey − DPD keepaliv-y nie są wysyłane gdy dane usera są transmitowane przez tunel VPN− DPD keepaliv-y są wysyłane tylko gdy jest luz w ruchu w tunelu
DPD on-demand mode (default cisco mode)
− DPD keepaliv-y są wysyłane tylko gdy nie ma pewności czy remote peer Ŝyje np. Gdy nieprzyjdzie odpowiedŜ od peera po wysłaniu ruchu
UŜycie tego trybu redukuje tunnel overhead z tym Ŝe gdy zdechnie tunel podstawowy to przełączenie na tunel zapasowy nastąpi dopiero wtedy gdy nadejdzie jakiś ruch do przesłania.Konfiguracja
rtr(config)# crypto isakmp keepalive 10 (sec) 3(próby) [periodic | on-demand] set peer 91.193.205.1[default]
2008 Copyright by www.andrzejdoniczka.net str. 30
642-825 ISCW – Kompendium
Chapter 16 Configuring Cisco Easy VPN
Rozwiązanie Cisco Easy VPN (składające się ze Server i Remote Easy VPN)upraszczakonfigurację klientów i i pozwala na centralne zarządzanie nimi. Konfiguracja klientów moŜe byćzdalnie do nich wysyłana. UŜywając funkcjonalności Internet Key Exchange (IKE) Mode Configdo wysyłania parametrów konfiguracyjnych, klienty mogą być prekonfigurowane do uzgodnieniaIKE policies i IPSec transform setów,co powoduje Ŝe klienty zawsze mają aktualne policies zanimustanowią połączenie.
Cisco Easy VPN Remote zapewnia automatyczne zarządzanie następującymi parametrami:– negocjacja parametrów tunelu (adresy, algorytmy)– ustanawianie tunelu– tworzenie NAT/PAT i ACLek– uwierzytelnianie usera– security key management– tunneled data authentication, encryption,decryption
Cisco Easy VPN Remote moŜe pracować w 3 trybach
– Client – określa Ŝe będzie uŜyte NAT/PAT więc remote host nie bedzie uŜywał IP-a zprzestrzeni serwera. SA są tworzone automatycznie dla IP-ów przypisanych remote hostowi(najczęściej stosowane)
– Network Extension – określa Ŝe remote host uŜywa Ipa routowalnego i osiagalnego przez tunela więc tworzącego pojedynczą sieć logiczną.
– Network Extension Plus – j.w + dodatkowa moŜliwość wysyłania requestu o IPa via modeconfiguration, i automatycznego przypisania do interfejsu loopback.
Generalnie to rozwiązanie wymaga IOS ver.>12.2(8)T i działa na routerach serii1700,2600,3600,7100,7200,7500 i kilku serii od 831 do 878.dodatkowo wymaga uŜycia ISAKMP policies uŜywających D-H group 2 (1024bit)
Cisco Easy VPN Remote wspiera 2 stopniowy proces client/server authentication:
– Stage 1 – Group Level Authentication – reprezentuje część procesu tworzenia kanału.Na tym etapie mogą być uŜyte 2 typy uwierzytelniania: preshared keys lub digital certs
– Stage 2 – Extended Authentication (Xauth) – Remote wysyła username/password docentralnego VPN serwera
Kroki ustanowienia połączenia Easy VPN Remote klienta z Serwerem
– 1. VPN klient inicjuje IKE phase 1– 2. VPN klienta ustanawia ISAKMP SA– 3. VPN server akceptuje propozycje SA– 4. VPN server inicjuje user authentication– 5. rozpoczyna się mode configurations– 6. rozpoczyna się Reverse Route Injection (RRI)– 7.IPSec quick mode dokańcza połączenie
Konfigurację Easy VPN Servera najłatwiej jest zrobić przez SDM-a przez stosownego wizarda
2008 Copyright by www.andrzejdoniczka.net str. 31
642-825 ISCW – Kompendium
Chapter 18 Cisco Device Hardening
Na routerach pracuje wiele usług które mogą stanowić zagroŜenie bezpieczeństwa.MoŜna to podzielić na kategorie:− niepotrzebne usługi i interfejsy− usługi zarządzania− mechanizmy integralności ściezek− Probes and Scans− usługi dostępu terminalowego− proxy ARP
Niepotrzebne usługi i interfejsy - powyłączać
rtr(config-if)# shutdown
rtr(config)# no ip bootp server
rtr(config)# no cdp runrtr(config-if)# no cdp enable
rtr(config)# no service config - wyłącza automatyczne ładowanie configa z file serwera
rtr(config)# no ftp-server enablertr(config)# no tftp-serverrtr(config)# no ntp server
rtr(config)# no service pad - wyłącza polecenie w sieciach X.25
rtr(config)# no service tcp-small-serversrtr(config)# no service tcp-small-servers
rtr(config)# no mop enabled - protokół zarządzania f-my DEC
Usługi zarządzania – powyłączać
rtr(config)# no snmp-server enable - jeŜeli potrzebny to włączyć i zabezpieczyć ACL-kami
rtr(config)# no ip http serverrtr(config)# no ip http secure server - https uŜywa SDM
rtr(config)# no ip domain-lookup - klient DNS
Mechanizmy integralności ścieŜek
rtr(config)# no ip icmp redirect - ta usługa powoduje Ŝe router wysyła ICMP redirect gdy pakiet jest forwardowany na interfejs z którego przyszedł
rtr(config)# no ip source-route - nadawca moŜe kontrolować trase pakietów i tym samym ominąć trase wyznaczoną przez router i mechanizmy bezp.
2008 Copyright by www.andrzejdoniczka.net str. 32
642-825 ISCW – Kompendium
Probes and Scans – uŜywane do rekonesansu sieci
rtr(config)# no service finger - ściąga liste userów z urządzenia sieciowego (sh users)rtr(config-if)# no ip unreachebles - zawiadamia atakującego Ŝe dst IP jest nieprawidłowy, sluŜy
do tworzenia mapy siecirtr(config-if)# no ip mask-reply - wysła maske sieci, słuŜy do tworzenia mapysieciowego
rtr(config-if)# no ip direct-broadcast - pakiet direct broadcast jest unicastowy dopóki nie osiągnie routera który odpowiada za dany segment, wtedy pakiet staje się broadcastowy w segmencie
Bezpieczeństwo dostępu terminalowego
rtr(config)# no ip identd - protokół ident (RFC 1413) identyfikuje inicjatora połączenia TCP. SłuŜy do rekonesansu
rtr(config)# service tcp-keepalives-in / out - czyści połączenia TCP w sytuacji gdy remote host przestał przetwarzać pakiety (powiesił się lub reboot)ta usługa ma być włączona
Usługi Proxy ARP
rtr(config)# no ip arp gratuitousrtr(config)# no ip arp proxy
...Ŝeby się nie męczyć z wyłączaniem tego wszystkiego cisco zrobiło taki ficzers który się nazywaAutoSecure. Jest to w IOS od wersji 12.3. MoŜe działać w trybie automatycznym i interaktywnym.Dodatkowo oprócz wyłączania tego co powyŜej AutoSecure równieŜ włącza róŜna rzeczyA samo AutoSecure włącza się tak:
Rtr# auto secure [management | forwarding] [no-interact | full] [login | ntp | ssh | firewall |tcp-intercept] - full/interactive=default
AutoSecure bez fulla moŜna uruchomić wiele razy do ustawienia róŜnych ficzersów
Gdy AutoSecure jest odpalone defaultowo z opcją full to robi takie rzeczy;
− identyfikuje interfejsy zewnętrzne− zabezpiecza management plane (wyłącza usługi te co opisałem powyŜej)− tworzy security banner− tworzy zasady haseł (długość, ilość prób, timeout itp), AAA, i włącza SSH zamiast telnetu− zabezpiecza interfejsy wyłączając usługi te co opisałem powyŜej− zabezpiecza forwarding plane – włącza CEF, uRFP, CBAC (router firewall)
Przed odpaleniem Auto Secure zrobić kopie run-configa !Po odpaleniu AutoSecure aprawdzić czy wszystko zrobił tak jak naleŜyW IOS >12.3(8)T AS robi we flashu kopie run-config. MoŜe ona być przywrócona przez:
2008 Copyright by www.andrzejdoniczka.net str. 33
642-825 ISCW – Kompendium
#configure replace flash:pre_autosce.cfg
PoniŜej defaultowa konfiguracja robiona przez rtr#auto secure full
2008 Copyright by www.andrzejdoniczka.net str. 34
642-825 ISCW – Kompendium
Do zabezpieczanie tego wszystkiego moŜna teŜ uŜyc SDM-a. SDM ma 2 wizardy.− SDM Security Audit
sprawdza run-configwypisuje zidentyfikowane problemy i rekomenduje sposób rozwiązniapozwala userowi wybrać rozwiązaniekonfiguruje router zgodnie z wyborem
− SDM One-Step Lockdown process robi to wszystko automatycznie bez pytania
2008 Copyright by www.andrzejdoniczka.net str. 35
642-825 ISCW – Kompendium
Chapter 19 Securing Administrative Access
Zasady haseł:− min. 10 znaków, duŜe małe litery, cyfry, znaki niealfanumeryczne, Ŝadnych haseł ze słownika wygasanie hasła, ilość nieudanych prób logowania, przerwa po nieudanym logowaniu, ilość logowań na minute.IOS >12.3(1) rejestruje nieudane próby logowania
Konfiguracja:
rtr(config)# aaa new modelrtr(config)# aaa authentication attemptd login 5 - ilość prób logowaniartr(config)# aaa authentication login polityka_lokalna local – tworzymy politykertr(config)# login delay 1-10 - przerwa miedzy błędnymi logowaniamirtr(config)# login block-for (x sekund) attempts (y błędnych prób) within (watch-period)czyli: blokuj na x sekund po y błędnych logowań
rtr(config)# security authentication failure rate 2-1024 log – ilość logowań/min.10=default
ilość logowań/min musi być > lub = od ilość prób logowania
Hasła do konsoli, VTY i AUX:JeŜeli jakiś port dostępowy nie będzie uŜywany naleŜy go WYŁ ĄCZYĆ
rtr(config)# enable password cisco123rtr(config)# enable secret cisco666rtr(config)# line { console 0 | vty 0 4 | aux 0 }rtr(config-line)# exec-timeout 10 (min)rtr(config-line)# password cisco123rtr(config-line)# login - włącza sprawdzanie haseł
Zabezpieczenie ACLkami dostępu przez VTY
rtr(config)# line vty 0 4rtr(config-line)# access-class 10 inrtr(config-line)# password cisco123rtr(config-line)# loginrtr(config)# access-list 10 permit 91.193.208.1
Ustawianie minimalnej długośći hasła:rtr(config)# security paswords min-length 10 -w cisco 25=default
Włączanie szyfrowania wszystkich hasełrtr(config)# service password-encryption
Tworzenie bannera ostrzegawczegortr(config)# banner motd # ZAMKNIĘTE – WYPIERDALAĆ ! #Tworzenie userów i dostępu zdalnego
2008 Copyright by www.andrzejdoniczka.net str. 36
642-825 ISCW – Kompendium
rtr(config)# username andrzejd secret cisco123rtr(config)# login vty 0 4rtr(config)# login local - bedzie uŜyta lokalna baza danych userów
W cisco IOS-ie moŜna tworzyć wiele poziomów przywilejów. Mozna zdefiniować blok komenddostępny na danym poziomie. Level 0 to user mode, Level 15 to exec mode
Przykład:rtr(config) # privilege configure level 3 interfacertr(config) # privilege interface level 3 ip addressrtr(config) # privilege exec level 3 configurertr(config) # privilege exec level 3 sh runrtr(config) # enable secret level 3 cisco666 - ustawia hasło dostepu do tego poziomu
aby uzyskać dostęp do danego poziomu:rtr> enable 3 - dostęp do poziomu 3
UWAGA: durne działanie IOSa – dana komenda moŜe być ustawiona tylko na 1 poziomie !
Role-Based CLI (rozwiązuje problem powyŜej)
R-B CLI tworzy views, kaŜdy z nich zawiera listę komend IOS. Dana komenda moŜe być uŜyta wkilku views. Grupa kilku views tworzy superviews.. View moŜe być przybity do określonegointerfejsu. Konfiguracja:
rtr> enable view root-view - tworzymy root view
Tworzymy view (max 15 szt)rtr(config)# parser view widok_3 - tworzymy widokrtr(config-view)# password 5 cisco123 - 5 oznacza Ŝe jest uŜywany MD5rtr(config-view)# secret cisco123 - od IOS>12.4rtr(config-view)# command exec | configure itp {include | exclude | include-exclusive| { line | all }
Tworzymy superviewrtr(config)# parser view superwidok_10 superwievrtr(config-view)# password 5 cisco123rtr(config-view)# view widok_10rtr(config-view)# view widok_5
Dostęp do widoku
rtr> enable view widok_3
2008 Copyright by www.andrzejdoniczka.net str. 37
642-825 ISCW – Kompendium
Chapter 20 Using AAA to Scale Access Control
AAA – czyli Authentication, Authorization, AccountingAAA ma 2 tryby dostępu:− Character mode – uŜywany na portach VTY, TTY, AUX, i CONfirmation− Packet mode – uzywany na szeregowych portach ASYNC, BRI, PRI i dialer profilach
Uslugi AAA zapewniają protokoły RADIUS i TACACS +TACACS+ (RFC 1492)− pracuje na TCP− czyli jest w stanie sprawdzić przez TCP keep-alive czy serwer Ŝyje− i umoŜliwia wiele połączeń do wielu serwerów− szyfruje cały pakiet access-request− osobne sesje authentication (np. Przez serwer Kerberos) i authorization− multiprotocol supportTACACS+ zapewnia 2 metody autoryzacji komend routera− określenie na serwerze TACACS które komendy są dozwolone dla usera− odpytywanie serwera który user lub grupa ma dostęp do danego privilege levela
RADIUS (RFC 2865) − pracuje na UDP− szyfruje tylko hasła wewnątrz pakietu access-request, reszta jest nieszyfrowana− authentication i authorization jest robione przez pojedynczy request− nie supportuje protokołów ARA (Apple) NETBIOS, NASI (Novell), X.25 PAD− nie pozwala userowi kontrolować które komendy mogą lub nie być wykonywane na routerze
Konfiguracja RADIUS
rtr(confg)# aaa new-model - włącza AAA na routerzertr(confg)# radius-server host 91.193.23.44 auth-port 1645 acct-port 1645 timeout 10 retransmit 3
rtr(confg)# radius-server key klucz_radius - określamy klucz uwierzytelniania i szyfrowania dla routera iserwera RADIUS
rtr(confg)# username root password cisco123
Określamy metode uwierzytelnienia
rtr(confg)# aaa authentication ppp { default | list_name} radius local -metoda autentykacji na interfejsach szeregowych PPP, radius-uzyj radiusa local -uŜyj lokalnej bazy
Ustawiamy parametry ograniczające dostęp do sieci
rtr(confg)# aaa authorization {network | exec | commands 5} {default | list-name} radius local
Network-wykonuje autoryzacje dla wszystkich requestów usług sieci, exec-wykonuje autoryzacje czyuser ma prawo do exec shella, command-wykonuje autoryzacje dla komendy na określonym levelu
Włączamy accounting dla określonych usług
rtr(config)# aaa accounting { auth-proxy | system | network | exec | connection | command 5} {default |nazwa listy} {start-stop | stop-only | none} [broadcast] group radius
2008 Copyright by www.andrzejdoniczka.net str. 38
642-825 ISCW – Kompendium
Konfiguracja TACACS+
rtr(config)# aaa new-modelrtr(config)# tacacs-server host 10.10.1.5rtr(config)# tacacs-server key TheTacacsServerKeyrtr(config)# username root password MySecretPasswordrtr(config)# aaa authentication ppp mydiallist tacacs+ localrtr(config)# aaa authorization commands 15 tacacs+ if-authenticated nonertr(config)# aaa accounting network start-stop tacacs+
Sprawdzamy
rtr# debug aaa authenticationrtr# debug aaa authorizationrtr# debug aaa accountingrtr# debug radius briefrtr# debug tacacs
2008 Copyright by www.andrzejdoniczka.net str. 39
642-825 ISCW – Kompendium
Chapter 21 Cisco IOS Threat Defense Features
Cisco IOS Firewall uŜywa DMZ-ów jako sposobu izolacji usług w sieci wewnętrznej.Tworząc strefe buforową DMZ tworzy sieć która nie jest ani całkiem wewnętrzna ani całkiemzewnątrzna w stosunku do sieci firmowej. Dostęp do DMZ jest kontrolowany przez dedykowanyfirewall lub przez router z wieloma interfejsami. Najlepszą praktyką jest uŜywanie wielu DMZ-ów
Firewalle uŜywają 3 technologii: − packet filtering,− application layer gateway (ALG) − statefull packet filtering
Packet filtering – ogranicza ruch przez ACL-ki
Router(config)#access-list 100 permit tcp any host 91.193.208.2Router(config)#access-list 100 deny ip any any logRouter(config)#interface serial 1/1Router(config-if)#ip access-group 100 in
Application Layer Gateway - uŜywa proxy serwera. Bardzo efektywna metoda dla usług typu http,https, ftp, Telnet. Zapewnia AAA przez RADIUS/TACACS+
Statefull Packet Filtering
SFP zna i śledzi stan kaŜdego połączenia tzn. np nie pozwoli na pakiet z fagą TCP ACK jeŜeliwcześniej nie było Ŝądania ustanowienia połączenia. SPF rozumie równieŜ protokoły L7 i robipowiązania sesji protokołu L7 z sesją w warstwie L4. SPF śledzi numery SEQ TCP
Cisco IOS Firewall - jest filtrem SPF i ma takie ficzersy:− zezwala/zabrania na określony ruch TCP i UDP− obsługuje tablice stanów− dynamiczne modyfikuje ACLki− zabezpiecza przed atakami DoS− dokonuje inspekcji pakietów przechodzących przez interfejsy
2008 Copyright by www.andrzejdoniczka.net str. 40
642-825 ISCW – Kompendium
Chapter 22 Implementing Cisci IOS Firewalls
Cisco IOS Firewall pozwala na dodawanie zasad inspekcji do interfejsu. Kazdy pakiet moŜe bycodrzucony przez zasade inspekcji albo przez ACLke albo przez oba na raz. Najpierw jestsprawdzana ACLka a później zasady inspekcji .
Implementacja zasad inspekcji wygląda tak:
− wybrać interfejs i kierunek ruchu- przybić ACLki w kierunku inbound Ŝeby tylko ruch dozwolony był poddawany inspekcji- przybić zasady inspekcji w kierunku inbound tak Ŝeby tylko ruch uznany za bezpieczny podlegal inspekcji- dla innych interfejsów (trusted) przybić ACLki w kierunku outbound
− zdefiniować ACLkę (extended) do interfejsu− zdefiniować zasady inspekcji− przybić ACLki i zasady inspekcji do interfejsu− zweryfikować konfiguracje
Konfiguracja
rtr(config)# ip access-list extended acl_ruch_zewnrtr(config-acl)# permit tcp any host 91.193.208.1 eq 21rtr(config-acl)# permit tcp any host 91.193.208.3 eq 53rtr(config-acl)# deny ip any any log
rtr(config)# ip inspect name ruch_zewn ftp alert off timeout 60rtr(config)# ip inspect name ruch_zewn dns alert on timeout 30
rtr(config)# logging on - włączamy logowanie na syslogartr(config)# logging host 192.168.10.100
rtr(config)# int fe 0/1rtr(config-if)# ip inspect ruch_zewn inrtr(config-if)# ip access-group acl_ruch_zewn
Weryfikacja
rtr# sh ip inspect [name ruch_zewn | config | interface | session {detail} | statistics | all]
rtr# debug ip inspect detail
2008 Copyright by www.andrzejdoniczka.net str. 41
642-825 ISCW – Kompendium
Chapter 23 Implementing Cisco IDS and IPS
IDS – nie siedzi w ścieŜce ruchu sieciowego. Ruch sieciowy jest kopiowany do urządzenia IDS wcelu inspekcji. Gdy zostaną wykryte anomalia zostaje wysłany alert. IDS moŜe actywniekonfigurować urządzenia sieciowe aby blokowały lub poddawały kwarantannie podejrzaneprzepływy
IPS – siedzi w ścieŜce ruchu, gdy wykryje anomalia, blokuje podejrzane pakiety i wystawia alert.IPS jest uŜyteczny do wykrywania wirusów, wormsów, lewych aplikacji i exploitów
Są 2 zakresy IDS-ów i IPS-ów− Network− Host
Network IDS/IPS – siedzą w sieci jako hardware lub soft w istniejącym urządzeniu i zapewniajązabezpieczenie całej sieci lub segmentu (NIDS/NIPS) Monitorują ataki DoS/DDoS, buffer overflow, rekonesanse sieci. NIDS/NIPS nie potrafi kontrolować ruchu zaszyfrowanego
Host IDS/IPS – są to moduły software-owe rezydujące na stacji roboczej lub serwerze (HIDS/HIPSKontrolują ruch szyfrowany
Podział IDS/IPS-ów ze względu na zasade działania
− Signature-based – dopasowują określony wzorzec bajtowy do pakietu. Słabo radzą sobie zz day-zero attack.
− Policy-based – uŜywają algorytmów sprawdzających łańcuch pakietów, w celu określeniazachowania. Wykrywają np. Ping-sweep. Oczywiście moŜna w tych systemach ustawić politykina podstawie IP, portów, protokołów, blokować dostęp do określonych URL-i itp
− Anomaly-based – śledzą zachowania ruchu które odbiegają od stanu „normalnego”Stan normalny moŜe być ustawiony albo jako dynamiczy „statystyczny” albo zaprogramowanyjako niestatystyczny. Takie systemy dobrze pracują w małych sieciach
Sygnatura w rozumieniu IDS/IPS to wzorzec danych lub ruchu przechodzącego przez IDS/IPSktóry powinien wywołać określoną rekację (alert lub-i blokowanie)Istnieją 4 kategorie sygnatur− Exploit – identyfikuje złośliwy ruch przez dopasowanie do wzorca. KaŜdy exploit ma własną
sygnaturę. Zmodyfikowany exploit wymaga nowej sygnatury− Connection – sygnatura odnosząca się do ruchu z akceptowanych połączeń i protokołów.
Zachowanie takie jest z góry znane, wszystko co odbiega od tego jest podejrzane− String – takie sygnatury uŜywają regularnych wyraŜeń do dopasowania do wzorca− DoS – sygnatury róŜnych znanych ataków DoS
Routery Cisco mogą działać jako urządzenia inline NIPS. Defaultowo mają 100sygnatur (132 z sub-sygnaturami)
Reakcja na dopasowanie sygnatury do pakietu lub ruchu:− alarm do sysloga− packet drop
2008 Copyright by www.andrzejdoniczka.net str. 42
642-825 ISCW – Kompendium
− connection reset− blokowanie ruchu z src IP na określony czas− blokowanie ruchu z oprtu TCP na określony czas
Konfiguracja Cisco IOS IPS składa się z:
− określenie gdzie leŜy Siganture Definition File (SDF)− określenie co IOS ma zrobić gdy sugnature microengine (SME) jest niedostępne do
przeskanowania ruchu− utworzenie zasady IPS – tworzy nazwę która jest później przybita do interfejsu. Zasada uŜywa
SDFa . Opcjonalnie moŜe być przybita ACLka− przybicie zasady IPS do interfejsu
rtr(config) # ip ips sdf [builtin | location]
rtr(config) # ip ids fail closed
rtr(config) # ip ips name zasada_ids list 110 <- ACLka
rtr(config) # int fe 0/1
rtr(config-if ) # ip ids zasada_ids in
Łączenie SDFów
rtr# copy flash:attack-drop.sdf ips-sdfrtr# copy ips-sdf flash:newsignature.sdf
rtr(config)# ip ips sdf location flash:newsignature.sdf
Wyłączanie/usuwanie (sub)sygnatur
rtr(config) # ip ips signature 1032 4 [delete | disable | list ]
Weryfikacja
rtr# sh ip ips configuration
KONIEC
2008 Copyright by www.andrzejdoniczka.net str. 43