642-825 ISCW Kompendium - andrzejdoniczka.net ISCW Kompendium.pdf · 2008. 2. 7. · 642-825 ISCW – Kompendium ustalenie MACa remote peera, ustawienie Session ID. Discovery trwa

642-825 ISCW – Kompendium

642-825 ISCW Implementing Secure Converged WANs (¾ CCNP) Kompendium na podstawie CCNP ISCW Official Exam Certification Guide

Copyright by www.andrzejdoniczka.net Gliwice, styczeń 2008

Part I

Chapter 1 Describing Network Requirements str.2Chapter 2 Topologies for Teleworker Conectivity str.2Chapter 3 Using Cable to Access a Central Site str.4Chapter 4 Using DSL to Access a Central Site str.6Chapter 5 Configuring DSL Access with PPPoE str.10Chapter 6 Configuring DSL Access with PPPoA str.12Chapter 7 Troubleshooting DSL Access str.15

Part II

Chapter 8-11 The MPLS Conceptual Model str. 1

Part III

Chapter 12 Ipsec Overview str. 22Chapter 13 Site-to-Site VPN Operations str. 25Chapter 14 GRE Tunneling over IPSec str. 28Chapter 15 IPSec High Availability Options str. 30Chapter 16 Configuring Cisco Easy VPN str. 31Chapter 17 Implementing Cisco VPN Client

Part IV

Chapter 18 Cisco Device Hardening str. 32Chapter 19 Securing Administrative Access str. 35Chapter 20 Using AAA to Scale Access Control str. 38Chapter 21 Cisco IOS Threat Defense Features str. 40Chapter 22 Implementing Cisco IOS Firewalls str. 41Chapter 23 Implementing Cisco IDS and IPS str. 42

2008 Copyright by www.andrzejdoniczka.net str. 1


Chapter 1+2 Describing Network Requirements

Cisco nieustannie wymyśla róŜne fajne rzeczy. Tym razem Cisco wymyśliło dwie nowe koncepcje projektowania i implementacji sieci. Te koncepcje to:

IIN – Intelligent Information Network, i (jako podwarstwa)SONA – Service Oriented Network Architecture

IIN stanowi koncepcję uproszczenia sieci przez uzgodnienie priorytetów technologicznych ibiznesowych. Istnieją 4 roadmapy technologiczne dla koncepcji IIN− Service-Oriented Network Architecture SONA ( stanowi podstawe dla IIN)− Service Provider Architecture (IP Next Generation Networks IP-NGN)− Commercial Architecture− Consumer Architecture

Celem sieci IIN jest wbudowanie we wszystkie warstwy protokołów i infrastruktury sieci„inteligencji”, tak aby sieć automatycznie odpowiadała na potrzeby userów przez alokacjeniezbędnych zasobów i aplikacji tam gdzie w danym momencie są potrzebne, niezaleŜnie od naturypodłączonego urządzenia.Te zasoby (moc CPU, memory, storage), powinny być alokowane „w locie” bez wpływu na inneprocesy. Sieć IIN dysponuje pulami zasobów które dynamicznie przydziela.Sieć IIN powinna dopasowywać do priorytetów biznesowych usługi, dostępność itp.Ciscowa wizja IIN zawiera następujące cechy:

− integracja zasobów Video/Voice/Data− inteligencja sieci niezaleŜnie od metody dostępu− sieć proaktywnie uczestniczy w dostarczaniu usług i zasobów

Ewolucyjny model dojścia do pełnej sieci IIN zawiera 3 fazy− Integrated Transport phase (sieć stanowi wspólną ścieŜkę dla kaŜdego rodzaju ruchu)− Integrated Service phase (wirtualizacja zasobów - zamiast wielu mission-specific serwerów

serwery wirtualne)− Integrated Applications phase (dostarczanie aplikacji sieciowych end-userom, cache-ując, load-

balance-ując i zabezpieczając po drodze)

SONA stanowi „szkielet” który zapewnia tą ewolucyjną ścieŜkę przejścia do pełnej sieci IIN.SONA pozwala dodać sieci usługi/aplikacje interaktywne co pozwala osobno podłączonym usługom/aplikacjom komunikować się i współpracować.Architektura SONA jest podzielona na ( i opisuje) 3 warstwy:

− Networked Infrastructure Layer (Topologie fizyczne: Campus, Branch, Data center,Enterprise Edge, WAN/MAN, teleworker. Zasoby fizyczne: Server, Storage, Clients)

− Interactive Services Layer (Wirtualne usługi: Security, Mobility, Storage, Identity services,Computer services, Aplication delivery, Analytics, Decision Support)Ta warstwa rozwiązuje sprawę nieefektywnych „silos-ów” - czyli application-specific hardwareand software, które nie mogą być współdzielone.

− Aplication Layer / Colaboration Layer ( CRM, ERP, Instant Messaging)



Topologie fizyczne opisywane przez warstwe Networked Infrastructure Layer SONA,zostały opisane w kompendium 642-812 BCMSN.

W skrócie co robią poszczególne architektury fizyczne:− Campus network – dostęp sieciowy do zasobów campusu− Branch office – dostęp sieciowy do zdalnych zasobów− Data Center – dostęp do i interconnectivity między serwerami i storagem− WAN/MAN – łączność między tym co powyŜej− Teleworker – wiadomo−W branch office – stosuje się routery ISR (integrated service routers) zawierające m.in voice,security, VPN itd itp, a na dodatek interfejs graficzny SDM)

Dostępne opcje zdalnego podłączania.− Tradycyjne technologie L2 ( FR, ATM, leased lines) Słabe moŜliwości konf. QoS-a− Service Provider MPLS VPN (technologia L3 – single circuit for any-to-any conectivity)− Site-to-Site VPN over InternetWszystkie te opcje wymagają oczywiście infrastruktury fizycznej L1 (Cable, DSL, Fiber)



Chapter 3 Using Cable to Access a Central Site

Dostęp kablowy: Downstream, Pasmo RF, 50-860 MHzUpstream, Pasmo RF, 5-42 MHzSpecyfikacja dostępu kablowego (L1/L2) jest zawarta w dokumencie DOCSIShttp://www.cablemodem.com/

Layer 1: szerokość kanału:200,400,800kHz,1.6MHz,3.2MHz, 6.4MHz (ver2.0)Modulacja: 64-level or 256-level QAM-downstream, QPSK or 16-level QAM-upstream a dla ver2.0 32-QAM, 64-QAM i 128-QAM

Layer 2: dostęp TDMA dla ver1.0 i 1.1 i 2.0 lub S-CDMA dla ver2.0

Max. Szybkości:

Version DOCSIS EuroDOCSISDownstream Upstream Downstream Upstream1.x 42.88 (38) Mbit/s 10.24 (9) Mbit/s 55.62 (50) Mbit/s 10.24 (9) Mbit/s2.0 42.88 (38) Mbit/s 30.72 (27) Mbit/s 55.62 (50) Mbit/s 30.72 (27) Mbit/s

3.0 +171.52 (+152)Mbit/s

+122.88 (+108)Mbit/s

+222.48 (+200)Mbit/s

+122.88 (+108)Mbit/s

Komponenty systemu:− Antenna site− Headend – sygnał jest odbierany, przetwarzany, formatowany i dystrybuowany do sieci.

sieć zawiera sieć transportową i dystrybucyjną.− Sieć transportowa – sieć między Antenna Sites a Headend-emi alternatywnie sieć łącząca

headend z siecią dystrybucyjną. Media: mikrofale, coax supertrunk, fiber.− Sieć dystrybucyjna (trunk and feeder ) Trunk=backbone – sieć hybrydowa coax-fiber HFC− Node – konwerter optical-RF. Od Noda odchodzi feeder− Subscriber drop – punkt łączący feeder a terminal usera− Cable Modem Termination System (CMTS) (w stacji czołowej)− Cable Modem (CM) – urządzenie CPE− Back Office Services (Serwery TFTP, DHCP – przydzielające konfiguracje userom)

Proces podłączania się usera do sieci:1. Dowstream setup – CM scan and lock, downstream path dla wybranego kanału RF2. CM nasłuchuje management messages zawierające info jak komunikować się w upstreamie3. Ustanowienie połączenia w L1 i L24. Przydział IP/GW/DNS z DHCP5. CM prosi o DOCSIS Config file z TFTP serwera (przydzielone szybkości, CoS, itp)6. CM negocjuje z CMTS, ToS i QoS7. CM odpala routing, NAT/PAT

DOCSIS Config file zawiera:− RF info: Down freq., Up channel ID− CoS info: CoS ID, Max. Down rate, Max Up rate, Up channel priority, Min. Up rate, Max up

burst,



− Vendor specific options− SNMP management− Privacy interface options− CPE equipment (CPE MAC)



Chapter 4 Using DSL to Access a Central Site

Dostęp DSL

Kilka pojęć d/t DSLATU-C – ADSL Transmition Unit (Modem po stronie CO)ATU-R – ADSL Transmition Unit (Modem po stronie usera)DSLAM – koncentrator zawierający wszystkie ATU-CLine code – technika reprezentacji sygnału cyfrowego na liniiMicrofilter – filtr dolnoprzepustowy f=0-4kHzNature – relacja między szybkością down i upNetwork interface device – urządzenie CPE terminujące local loopSplitter – (POTS Splitter) zastąpiony przez microfilter – rozdziela DSL od Voice trafficaLoad Coil – cewka szeregowa w linii dla kompensacji pojemności równoległej Bridge Taps – dodatkowe niepodłączone pary w local loop-ie

Layer 1

Typy Asymetrycznego DSL-u

ADSL (G992.1, ANSI T1.413-1998)– Up:1.5 – 8 Mbps, Down: 16kbps – 1 Mbps, l=18000 feet

G.Lite ADSL (G992.2) Up: do 1.5Mbps, Down: do 512 kbps, Plug'nPlay, bez spliterów

RADSL (rate-adaptive) – nie jest to standard automatycznie ustawia speed

VDSL – 13-55Mbps, l=4500 feet

Typy Symetrycznego DSL-u Up speed=Down speed

SDSL – 128kbps do 2.32 Mbps (768kbps-typowo) l=21000 feet

GSHDSL (G991.2) – 192kbps do 2.3Mbps l=26000 feet, Data only, HDSL – 768 kbps w kazdym kierunku, (1.544=T1 – całkowita speed) – Data only

HDSL2 – Down/Up do 1.5Mbps w kaŜdym kierunku, Data only

IDSL (ISDN DSL) – 144kbps ( 2xB=2x64k + 1xD=1x16k), l=18000feet do 45000 z reapeteremiData only

Modulacje ADSL

Carrierless Amplitude Phase (CAP) – uŜywana do 1996r (Legacy ADSL)Pojedyncza nośna – Pasmo w kablu 0-1.1MHz jest podzielone na 3 zakresy0-4kHz – POTS25kHz-160kHz – Upstream (1kanał)240kHz-1.104Mhz – Downstream (1kanał)Modulacja Up/Down - QAM



Discrete Multi Tone (DMT)Strumień Up i Down jest podzielony na wiele kanałów, kaŜdy kanał ma swoją nośną modulowaną QAM. DMT jest formą modulacji OFDM. Nośne w kanałach są ortogonalne więc nie ma interferencji między kanałami.Podział transmisji na kanały zwiększa odporność transmisji na zakłócenia.Pasmo DSL (25kHz-1.1MHz) jest podzielone na 256 kanałów o szerokości 4.312kHzKaŜdy kanał jest modulowany z szybkością 15bps/HzPodział pasma:0-4kHz – POTS25kHz-134kHz – Down (25kanałów)138kHz – 1.1MHz.- Up (223 kanały)

Generalnie DSL działa tak Ŝe ruch z routera usera (L3) trafia do ATU-R , i następnie przez localloop trafia do ATU-C który stanowi kartę liniową DSLAM-a. DSLAM to switch ATM-owy. Następnie ruch enkapsulowany w komórkach ATM-owych trafiaprzez sieć ATM do aggregation routera (L3) providera.Istnieją 3 sposoby enkapsulacji i transportu danych między routerem CPE, a routeremagregacyjnym ISP.

− RFC1483/2684− PPPoEthernet− PPPoATM

RFC 1483/2684 definiuje transport wielu protokołów przez pojedynczy ATM Virtual Circuitoraz indywidualnego protokołu przez indywidualny circuit

Transport PPPoE - RFC2516To jest w istocie „bridging architecture” zapewnia łączność między hostem (routerem CPE) azdalnym koncentratorem dostępowym (routerem agregacyjnym)Między Routerem CPE a Routerem Agregacyjnym są uŜywane jedynie warstwy L1 i L2Funkcje warstwy L3 zaczynają działać po negocjacji PPP.Ramki PPP są encapsulowane wewnątrz ramek Ethernetowych.Adres IP jest przydzielany przez DHCP providera w pakiecie IPCP PPP

ADSL uŜywa protokołu PPP (RFC1661) jako protokołu L2.Pakiet PPP zawiera:− Link Control Protocol (LCP) – negocjuje parametry linka, packet size, type, authentication

słuzy do ustanowienia comunikacji-konfiguracja i testowanie linka− Network Control Protocol (NCP) – osobny dla kaŜdego protokołu

słuŜy do skonfigurowania protokołu L3 (IPCP)− Data frame

W celu połączenie Point-to Point między CPE routerem a Aggregation Routerem kaŜda sesja PPP musi ustalic MAC adres remote peer-a i ustanowić Session ID.PPPoE zawiera discovery protocol który to robi.

Proces inicjalizacji PPPoE składa się z 2 faz.− Discovery − PPP Session Discovery



ustalenie MACa remote peera, ustawienie Session ID. Discovery trwa tak długo aŜ zostanieustanowiona sesja PPP.Po ustanowieniu sesji CPE router i Aggregation router MUSZĄ alokować zasoby dla PPP virtualinterface-uVirtual interface na aggregation routerze pełni role default gatewaya dla routera CPE

Discovery phase steps:− PPPoE klient wysyła PPPoE Active Discovery Initiation (PADI) request (MAC=broadcast)− Aggregation router odpowiada PPPoE Active Discovery Offer (PADO) Dst MAC=unicast− PPPoE klient wysyła unicast PPPoE Active Discovery Request (PADR) − Aggregation router wysyła PPPoE Active Discovery Session-Confirmation w którym przypisuje

Session-ID i potwierdza sesje

Struktura ramki PPPoE

---------Header-------------Dst. MAC (6B)Src. MAC (6B)Ether Type (2B) =0x8863 -discovery / 0x8864 -session----------Payload (PPPoE subheader + payload)----VER(4b) =0x1=constTYPE(4b) =0x1=constCODE(8b) wartość zaleŜna od fazy Discovery, gdy jest faza sesji to =0x00SESSION_ID(16b) ID sesji jest powiązany z Src i Dst MACLENGTH(16b) długość PPPoE payload-u

PAYLOAD ( ramka PPP)------------CRC-------------

PPPoE Sesion phaseGdy faza sesji jest zainicjowana, zaczyna sie proces wymiany ramek LCP protokołu PPPSesja trwa tak długo aŜ nie zostanie wynegocjowane połączneie PPP (włącznie z uwierzytelnieniemi innymi opcjami LCP. Następnie zostają wymienianie ramki NCP

PPPoE Framing ( w bajtach)

Data payload – 1-1452TCP Header – 20IP Header – 20PPP Header – 2PPPoE Header – 6Ethernet header – 18

AAL5Trailer – 8 + 1-40 paddingATM cell Headre – 5 per cellATM cell payload – 48 per cell



Transport PPPoAPPPoA jest podobne do PPPoE. W PPPoA równieŜ występuje faza discovery i i session.PPPoA uŜywa enkapsulacji ATM adaptation Layer 5 (AAL5) wraz z Logical LinkControl/Subnetwork Access Protocol (LLC/SNAP) w Virtual Circuit-ach.

Struktura komórki ATM – 53 bajty const.

(L4) Transport – TCP header + DATA(L3) Network – IP header + TCP Header + DATA(L2)---------------------------------------------------------------------------------------------------------------LLC/SNAP – LLC(określa VC) +IP header + TCP header + DATAAAL5/SAR – (LLC +IP header + TCP header + DATA + Padding + Trailer) = 48bajtow =constATM – ATM header + AAL5 (48bajtow)

SAR=segmentation and reasembly – SAR trailer umoŜliwia poskładanie pociętych danych wprawidłowej kolejności.-----------------------------------------------------------------------------------------------------------------(L1) – PHY

KaŜde połączenie ATM jest identyfikowane przez:VPI – virtualn path identifier (0-255)VCI – virtualn circuit identifier (0-65535) (0-15) i (16-31) – reserverd



Chapter 5 Configuring DSL Access with PPPoE

Konfiguracja PPPoE po stronie klienta DSL

Składniki konfiguracji PPPoE :− konfiguracja fizycznych interefejsów wewn./zewn. Eth/Eth lub Eth/ATM− konfiguracja virtualanego interfejsu Dialer (powiązanego z int. fizycznym zewnętrznym)− konfiguracja NAT/PAT− konfiguracja servera DHCP− konfiguracja trasy domyślej

Konfiguracja na interfejsach Eth/Eth

interface eth0/0 (int.wewn.)ip address 192.168.0.1 255.255.255.0no shut

interface eth0/1 (in.zewn.)no ip addressno shutpppoe enablepppoe-client dial-pool-number 1 (przyporządkowuje klienta do puli interfejsu dialer)

Konfiguracja na interfejsach Eth/ATM

interface eth0/0 (int.wewn.)ip address 192.168.0.1 255.255.255.0no shut

interface ATM0/0 (in.zewn.)no ip addressno shutdsl operating-mode-auto (wybór modulacji DSL- (auto, ansi-dmt [ANSI T1.413],

itu-dmt [G992.1], splitterless [G992.2 lub G.Lite)pvc 10/32pppoe-client dial-pool-number 1 (przyporządkowuje klienta do puli dialer int)

Konfiguracja interfejsu Dialer

interface Dialer0ip address negotiated (dialer dostaje ip z DHCP ISP)ip mtu 1492encapsulation pppdialer pool 1

Konfiguracja PAT

interface eth0/0 (interfejs inside/local)ip nat inside

interface Dialer0 (interfejs outside/local)



ip nat outside

...definiujemy listę adresów insideaccess-list 10 permit ip 192.168.0.0 0.0.0.255 any

...i przyporządkowujemy listę adresów inside do interfejsu outside

ip nat inside source list 10 interface dialer0 overload

Konfiguracja serwera DHCP na routerze CPE

ip dhcp excluded-address 192.168.0.1 192.168.0.8 (wykluczenie zakresu adresów)

ip dhcp pool pula_wewnetrzna (definicja puli adresów)import all (dynamiczne rozgłaszanie np.DNSów)network 192.168.0.0 255.255.255.0default-router 192.168.0.1

Trasa domyślnaip route 0.0.0.0 0.0.0.0 interface dialer0 (do interfejsu virtualnego )

...sprawdzamy czy wynegocjowała się sesja:

CPE_RTR# show pppoe session all

Pozostałe opcje do konfiguracji ( PPP auth.VPN QoS na: www.cisco.com/go/srnd)



Chapter 6 Configuring DSL Access with PPPoA

Konfiguracja PPPoA po stronie klienta DSL (RFC2364 PPP over AAL5)

W L2 łączność jest zapewniona przez ATM od CPE do DSLAM i dalej. Główną róŜnicą między PPPoE i PPPoA jest Ŝe router CPE uŜywa enkapsulacji RFC1483/2684do transportu ramek PPP przez local loop, wewnątrz komórek ATM, do routera agregacyjnego.Podobnie jak w PPPoE, virtualny interfejs dostępowy jest powiązany z ATM PVCskonfigurowanym na interfejsie fizycznym ATMKaŜde połaczenie PPP jest enkapsulowane w osobnym kanale PVC lub SVC

Typy połączeń PPPoA

− VC multiplexed PPP over AAL5 (AAL5VCMUX) RFC2364− LLC encapsulated PPP over AAL5 (AAL5SNAP) RFC 2364− Cisco PPP over ATM (PPPoA)

AAL5MUXTen typ połączenia umoŜliwia utworzenie osobnego VC dla transportu ruchu róŜnych protokołówroutowalnychStruktura ramki AAL5MUX

----CPCS-PDU (n x 48B)----PPP Payload---------------Protocol_ID (1 lub 2B)PayloadPadding (PPP)-----------------------------------Padding(SAR) (0-47B)----CPCS-PDU Trailer--------CPCS-UUCPILength (2B)CRC (4B)-----------------------------------

AAL5SNAP

Pojedynczy VC do transportu wszystkich protokołówStruktura ramki PPP enkapsulowanej w AAL5SNAP

----LLC Header (3B)-----------DSAP (0xFE) (Destinations Service Access Point – uŜywany przez prot. L3 np CLNS)SSAP (0xFE) (Source Service Access Point – uŜywany przez prot. L3 np CLNS)Frame Type (0x03)------------------------------------NLPID (PPP=0xCF) (to nie jest częśc LLC-powiązany jest z SNAP headerem)---PPP Payload-----------------



Protocol ID (1 lub 2B)PayloadPadding PPPPadding(SAR) (0-47B)----CPCS-PDU Trailer--------CPCS-UUCPILength (2B)CRC (4B)

Strumień komórek jest wysyłany z CPE do DSLAM gdzie są dalej przełączane i forwardowane doroutera agregacyjnego.W PPPoA overhead tworzony przez obecność ramke Ethernetowych jest wyeliminowany,poniewaŜ CPE uŜywa od razu enkapsulacji ATM zamiast bridge-owania ramek Eth przez sieć .

Cisco PPPoA (proprietary)Wiele PVC moŜe być skonfigurowanych na wielu subinterfejsach.

Konfiguracja interfejsu ATM do PPPoA

interface eth0/0 (int.wewn.na routerze CPE)ip address 192.168.0.1 255.255.255.0no shut

enkapsulacja AAL5MUX

interface ATM0/0no ip addressdsl operating-mode autopvc 10/32encapsulation aal5mux ppp dialerdialer pool-member 1

...oczywiście naleŜy zdefinować interfejs dialer ( patrz konfig. PPPoE)

...lub enkapsulacja AAL5SNAP (defaultowa)

interface ATM0/0no ip addressdsl operating-mode auto

interface ATM0/0.1 multipointclass-int ppp-defaultpvc 10/32vc-class atm ppp-defaultencapsulation aal5snapprotocol ppp virtual-template 1 (przybija PVC do interfejsu virtual-template (zamiast



dialer interfejsu, virtual-template interfejs)Virtual-templates są interfejsami logicznymi które określają interfejs fizyczny będący pod ichkontrolą.. Podobnie to działa jak interfejs dialer.

Konfiguracja interfejsu Virtual-template

interface virtual-template1encapsulation pppip address negotiatedip nat outsideppp authentication chapppp chap hostname RTR_CPEppp chap password 0 dupa1

ip route 0.0.0.0 0.0.0.0 interface virtual-template1



Chapter 7 Troubleshooting DSL Access

Troubleshooting ADSLa

Layer 1...to oczywiście wszystkie kabelki i wtyczki, ale teŜ line-codingWięc przede wszystkim: „Wł ączone działa lepiej” i GREEN IS GOOD ! - czyli patrzymy naLEDy

RTR# sh ip interface brief

RTR# show interface atm0

RTR# show dsl interface atm0 (sprawdzamy DSL mode)

RTR# debug atm eventsRTR# debug atm packetRTR# debug ppp negotiation (najbardziej uŜyteczne debugowanie)RTR# debug ppp authentication

RTR# ping atm interface atm0/1 10 32 seg-loopback



Chapter 8 MPLS RFC 3031

Tradycyjne połączenia WAN są połączeniami warstwy L2, typu point-to-point lub multipoint .Podstawowe Architektury WAN:− Hub and spoke− Partial mesh− Full mesh− Redundant hub-and-spoke

Ilość obwodów topologii full mesh: c=n(n-1)/2 n: liczba hostów

MPLS jest technologią switchingu pracującą w warstwie L3Sieć MPLS WAN (providera) stanowi rozszerzenie sieci firmowej i moŜna ją sobie wyobrazić jakopojedynczy router (czyli urządzenie L3) z wieloma interfejsami, kaŜdym podłączonym np. dooddziału firmy.Taki virtualny router zawiera tablice routingu wszystkich lokalizacji sieci firmowej i zapewnia łączność any-to-any, z zapewnieniem honorowania tagów QoS itp.

Terminologia MPLS− Label: identyfikator o stałej długości, identyfikujący grupę sieci o o wspólnej lokalizacji

docelowej. Label ma znaczenie lokalne− Label stack: uporządkowany zestaw Labels dołączony do headera pakietu− Label swap: podstawowa operacja forwardowania na routerze, polegająca na sprawdzeniu

incoming label-a i określeniu outgoing labela, enkapsulacji,portu itp.− Label-switched hop (LSH): hop między 2 nodami MPLS− Label-switched path: (LSP) : ścieŜka między 2 lub więcej routerami LSR na 1 poziomie

hierarchii− MPLS Domain: ciągły zestaw nodów wykonujących MPLS routing i forwarding− MPLS edge node: nod połączony z nodem na zewnątrz domeny MPLS− MPLS egress node: obsluguje ruch opuszczający domene MPLS− MPLS ingress node: obsługuje ruch wchodzący do domeny MPLS− MPLS label: Label przenoszona w headerze pakietu, reprezentująca FEC (forwarding

equivalence class)− MPLS node: nod na którym pracuje protokół MPLS. Na tym nodzie pracuje 1 lub kilka

protokołów routing L3, nod MPLS jest w stanie forwardować pakiety oparte na labelach

MPLS jest mechanizmem switchingu L3 polegającym na analizie labela.Mechanizm ten nie zaleŜy od protokołu routowanego L3Label określa sieć przeznaczenia. MoŜe równieŜ być powiązany z innymi zmiennymi, np. L3Dst.VPN, L2 Virtual Circuit, egress interface, QoS, moŜe teŜ określać service level (SLA)Label jest wstawiany do pakietu ( między nagłówkiem L2 i L3 – Frame-mode MPLS ) przez edgeLSR . W przypadku gdy w L2 jest ATM, MPLS uŜywa VPI/VCI – Cell mode MPLSNagłówek L2 zwiera Protocol ID (PID) określający jaki protokół L3 jest dalejPID=0x8857 dla MPLS i 0x0800 dla IP



Struktura MPLS Label:L2 - header---------------Label – 20 bitówExperimental CoS – 3 bityBottom of Stack – 1 bitTTL – 8 bitów---------------L3 – header

Wartość Labela to 0-1.048.575, wartości 0-15-zarezerwowaneBottom-of-Stack jest uŜywany gdy wiele labeli jest przypisanych do pojedynczego pakietu1- oznacza Ŝe tan label jest ostatnim z labeli. KaŜdy z routerów na ścieŜce patrzy tylko na pierwszylabel najbardziej zewnetrzny.Label Stack moŜe być porównany do enkapsulacji IP inside IP. Tylko 1szy nagłówek jest uŜywanydo routingu.Label stacka uŜywają :− MPLS VPN-y – Multiprotocol BGP jest uŜywany do propagowania informacji o labelach− MPLS TE – uŜywa RSVP do ustanowienia tunelu LSP− MPLS VPN z MPLS TE

Wybór next-hop routera składa się z 2 części:

− posortowanie pakietów na klasy (FEC-forwarding equivalence class), na podstawie Dst. Adresu− zamapowanie kaŜdego FEC-a (Labela) do next-hop adresu

UWAGA: pakiety przypisane do tego samego FEC-a (Labela) są nierozróŜnialne i sątransportowane tą samą ścieŜką.

W MPLS jest tylko jedno sprawdzenie pakietu IP i tylko jedno przypisanie do FEC (Label)–odbywa się to w MPLS ingress nodzie. W następnych hopach jest sprawdzany tylko ingress Labelna interfejsie wejściowym, następnie LSR robi lookup do Label Databazy (która łączy podsieć zlabelem), i następuje zamiana na egress Label na interfejsie wyjściowym.Innymi słowy tylko edge LSR (Provider Edge Router) wykonuje lookup do tablicy routingu iprzypisuje istniejącym tam sieciom Labele. Labele są gromadzone w bazie LIB (Label informationBase) Następnie LSR ogłasza swoją bazę LIB sąsiadom, którzy z kolei propagują te informacje doswoich peer-ów.Peery uŜywają tych informacji do skojarzenia next-hop-label z z siecią Dst.Te informacje są przechowywane w bazie FIB (Forwarding Inforamtion Base) i LFIB (LabelForwarding Information Base)

Mechanizmy Switching Routerów

− Process Switching – kaŜdy pakiet jest przetwarzany indywidualnie, przed przesłaniem pakietujest wykonywany pełny lookup do tablicy routingu. Mechanizm jest najwolniejszy

− Cache-driven switching – pierwszy pakiet jest przetwarzany przez process switching,a następnie dst.IP jest cache-owane w pamięci

− Topology-driven switching – jest tworzona tablica FIB



Tablica FIB jest odbiciem tablicy routing IP. Gdy zajdą zmiany w topologi, tablica FIB jestupdatowana na podstawie updatow tablicy routingu.Updaty tablicy FIB nie są packet-triggered, tylko change-triggered.Tablica FIB róŜni się od fast switching cache-a tym Ŝe Ŝe nie zawiera informacji o egresinterfejsie i informacji o enkapsulacji L2. W tym celu CEF korzysta z tablicy sąsiedztwa(adjacency table) Nody są w relacji sąsiedztwa gdy są w stanie nawiązać kontakt przezpojedyncze połączenie L2. Adjacency table jest zlinkowana z FIB, więc nie ma potrzeby

ARP requestów.

Underlying mechanizm switchingu MPLS jest zapewniony przez Cisco Express forwarding (CEF)CEF jest mechanizmem topolgy-driven

Komponenty MPLS

MPLS ma rozdzielone tradycyjne mechanizmy routingu na 2 komponenty

− Control Plane – obsługuje wymianę informacji o routing i labelach między sąsiednimiurządzeniami (tablica LIB i FIB)

− Data Plane (Forwarding Plane) – forwarduje ruch bazując na dst. IP lub labelach z tablicy LFIB

Obok typowych protokołów routingu są label-based routing protokoły:Tag Distribution Protocol (TDP) i Label Distribution Protocol (LDP) – protokoły te sąodpowiedzialne za dystrybucje tabeli LFIB (czyli Label Routing Table)Tablica LFIB jest zbudowana na podstawie tablicy routingu, i przypisuje labele do kaŜdej sieci.JeŜeli tablica routing jest zdupiona to zdupiona bedzie równieŜ tablica LFIB

Protokół RSVP (Resource Reservation Protocol ) jest uŜywany przez MPLS do mechanizmów inŜynierii ruchu (MPLS TE) które zapewniają rezerwację pasma.

Tablica LIB jest częścią control plane i zapewnia baze danych uŜywaną do dystrybucji labeli przezLDP. LIB mapuje IP prefix z assigned label i assigning label.

Tablica LFIB jest częścią data plane i zapewnia baze danych uzywaną w forwardowaniu labeledpackets. IGP jest uŜywany do rozpowszechniania tabeli routingu we wszystkich routerach MPLS

Tablica FIB jest cześcią data plane i jest uzywana do forwardowania nielabelowanych pakietów IP

JeŜeli pakiet przyjdzie do routera LSR zanim ten router ma wiedze na temat labela skojarzonego zFEC-em, to pakiet taki jest wysyłany do next-hop routera na podstawie tablicy FIB, następnie next-hop router sprawdza czy ma powiazanie label-dst. IP, jeŜeli nie ma to dalej tak samo. JeŜeli ma toprzypisuje label i dalej normalny forwarding MPLS przez ścieŜkę LSP (Label Switched Path)LSP stanowi tunel między src. i dst.dla określonego FECa

KonfiguracjaProcedura konfiguracji MPLS składa się z:− konfiguracja CEF− konfiguracja MPLS na Frame Mode Interfejsie− konfiguracja MTU size



rtr(config)# ip cef lub opcjonalnie w trybie distributed (na routerach z line-card-ami)rtr(config)# ip cef distributed

...włączamy CEF na konkretnym interfejsiertr(config-if)# ip route-cache cef

rtr# sh ip cef detail [unresolved | summary | adjacency ] (wyświetla statystyki i adjacency table iFIB)

rtr# clear adjacencyrtr# clear ip cef inconsistencyrtr# clear cef interface

rtr# debug ip cef [events]...globalnie włączamy MPLS

rtr(config)# mpls ip

...następnie na interfejsie

rtr(config-if)# mpls ip

...wybieramy protokół dystrybucji label

rtr(config-if)# mpls label protocol ldp [tdp | both] (tdp – ciscowy protokół)

W przypadku gdy do pakietu jest dodane kilka labeli to moŜe on przekroczyć max. Rozmiar MTUTo jest szczegółnie istotne na interfejsach LAN-owskich gdzie max.MTU musi być mniejsze niŜok. 1500 bajtow. JeŜeli w sieci mamy zaimplementowany MPLS-TE i MPLS-VPN, a długość labelato 4 bajty i MTU=1504 bajty to jest potrzebne ustawienie MTU size na 1512

rtr(config-if) mpls mtu 1512 (64-65535)

...sprawdzamyrtr#sh mpls ldp neighborrtr# debug mpls ldp bindings

MPLS VPN

VPNy jak wiadomo pozwalają na implementowanie prywatnych sieci przy uŜyciu współdzielonejinfrastruktury providera. Zasadniczo istnieją 2 modele VPNów:− Overlay VPNy: uŜywają technologii X.25, FR, ATM overlay VPNów w warstwie L2 oraz

tuneli GRE (Generic Routing Encapsulation) i IPsec dla overlay VPNów w warstwie L3− Peer-to-Peer VPNy – implementowane przy uŜyciu współdzielonej infrastruktury ISP przy

uŜyciu ACL-ek i przy uŜyciu osobnych routerów dla kaŜdego klienta

MPLS VPN-y wykorzystują najlepsze cechy overlay VPNów i peer-to-peer VPNów.



Terminologia MPLS VPN

C network: sieć klientaCE router : customer edge router (podłączony ro routera PE)Label-switched-path LSP: ścieŜka po sieci PP network: sieć corowa ISP (nie przenosi Ŝadnych informacji routingu klienta)P router: ISP MPLS router corowyPE router: ISP edge router (podłączony z jedenj strony do CE a z drugiej do P routera)Penultimate hop pop (PHP): operacja polega na tym Ŝe końcowy P router w P network zdejmujelabel zanim pakiet trafi do egress PE routeraPoP – ISP point of presenceRoute Distingisher: identyfikator 64bitowy przybity do adresu Ipv4 tworząc unikalny adresVPNv4Route target (RT): atrybut dodawany do trasy VPNv4 BGP w celu identyfikacji czonkostwa VPN

CE router obsługuje protokoły IGP (OSPG, RIP, lub routing statyczny) i wymienia trasy zrouterami sąsiednimi. CE router nie uczestniczy w architekturze MPLS w sposób inny niŜwysyłanie i odbieranie informacji routingu klienta.

PE router – architektura routerów PE w sieci providera jest podobna do typowego PoP wdedykowanym modelu peer-to-peer. Główna róŜnica leŜy w tym Ŝe jest to skompresowane wjednym fizycznym urządzeniu np. High-endowym routerze Cisco 7200VXRKaŜdy klient ma przypisany własny RD i tablice VRFCzyli innymi słowy, service provider obsługuje informacje o routingu klienta, gromadzone wosobnych instancjach routingu. CE router klienta wymienia informacje nie z odległym CE klientatylko z routerem PE providera. Te trasy są przenoszone przez sieć klienta do odległych routerów CEKaŜdemu klientowi jest przypisany unikalny route distingusher (RD) Uzycie RD pozwalaproviderowi na zapewnienie klientowi logicznie odseparowanego routera PEInstancje protokołu routingu są powiązane z RD. Tworzone w ten sposób tablice routingu - VirtualRouting an Forwarding Table (VRF) VRFy zapewniają izolację między trasami klientów. Informacje z tych tablic muszą być jednakwymieniane między róŜnymi routerami PE, tak więc jest potrzebny protokół routingu do transportusieci klientów przez P network, przy zachowaniu niezalezności przestrzeni adresowych klientow.Pojedynczy protokół routingu wymieniajaący trasy klientów, pracuje między routerami PE, bezangaŜowania P routerów.. Innymi słowy routery PE podłączone do danej sieci klienta są ze sobą„zpeerowane” Między peerami PE jest ustawiona relacja BGP neighbor.

P routery – tworzą szkielet sieci P. P routery nie przenoszą tras VPN i nie uczestniczą w routinguMPLS. Routery P zapewniają jedynie transport ruchu między routerami PE. (lokalnym i zdalnym)Na routerach P (w szkielecie) pracuje któryś z protokołów routing (OSPF, IS-IS) który przenositylko informacje o routingu w sieci P. Routery P są połączone z PE w celu transportu BGP peereinginfo do zdalnych routerów PE.

Router Distinguisher - identyfikator 64bitowy przybity do adresu IPv4 tworząc unikalny 96bitowyadres VPNv4. Ten adres jest ogłaszany między peerami PE – remote PE.RD jest przybijany na routerze PE do tras redystrybuowanych do MPBGP, z IGP na lokalnym CE. Na zdalnym routerze PE, RD jest zdejmowany i trasa jest spowrotem redystrybuowana do IGP nazdalnym CE.



RD zapewniają Ŝe nie ma overlapingu między takimi samymi przestrzeniami adresowymi klientów.PoniewaŜ jest niepowtarzalny mapping miedzy RD a VRF, to RD stanowi identyfikator VRF-ów.

Route Targets – RT jest dodatkowym atrybutem dołączanym do tras VPNv4 BGP wskazującym naczłonkostwo w wielu VPN-ach RT jest dodawany w podczas konwersji trasy IPv4 do VPNv4 narouterze PE. RT dołączony do trasy nazywa się export RT i jest konfigurowany osobno dla kaŜdegoVRF na routerze PEImport RT – określają trasy powiązane z określonym VRF. KaŜda VRF na routerze PE moŜe miećwiele import RT identyfikujących zestaw VPN-ów

MPLS VPN Packet forwarding

routery PE uŜywają two-labels stack, do labelowania pakietów VPN, forwardowany przez Pnetwork. Top label w stacku jest uŜywany przez LDP w sieci P to przejścia po ścieŜce LSP doegress PE routera. S-bit w top-labelu jest ustawiony na 0.Second label jest przypisany przez egress PE router, i mówi routerowi jak forwardowaćprzychodzący pakiet VPN. Ten label powinien wskazywać na outbound interfejs lub tablice VRFRoutery P wykonują label switching na podstawie jedynie top-labela, nie zaglądając niŜejroutery egress PE wykonują label switch na second labelu poniewaŜ top label został juŜ wcześniejzdjęty, i dalej forwardują pakiet według parametrów pakietu które wskazują na VRF lub outbound i



Chapter 12 IPsec

IPsec zabezpiecza dane transportowane w sieci IP. IPsec zapewnia:

− Poufność danych: pakiety są szyfrowane (opcjonalna cecha IPsec)− Integralność danych: gwarantuje Ŝe pakiet nie uległ zmianie w czasie transportu przez IPsec

VPN. UŜyte są algorytmy hash-ujące − Uwierzytelnianie pochodzenia danych: uwierzytelnia źródło Ipsce VPN− Zabezpiecza przed duplikacją pakietów (Anti-replay): zapewnia Ŝe pakiety nie zostały

powielone. UŜywa numerów sekwencyjnych i sliding-window (opcjonalna cecha IPsec)

Protokoły uŜywane przez IPsec:

− Internet Key Exchange (IKE): zapewnia mechanizm negocjacji i wymiany kluczyuwierzytelniających i parametrów bezpieczeństwa.

− Encapsulating Security Payload (ESP): zapewnia poufność i integralność danych,uwierzytelnianie pochodzenia danych, i opcjonalnie anti-replay

− Authentication Header (AH): zapewnia integralność danych, uwierzytelnianie pochodzeniadanych, i opcjonalnie anti-replay, nie zapewnia poufności danych (szyfrowania).

ESP i AH uzywają jednokierunkowej funkcji skrótu (funkcji hashujacej) czyli Hash-based MessageAuthentication Code (HMAC). Funkcje hashujace uŜywają tajnego klucza.MD5 – input=var, output=128bit, IPsec uŜywa 128bitSHA-1 – input=var, output=160bit, IPsec uŜywa 96bit

Tryby IPsec:

− transport mode: IPsec header (ESP/AH) jest wstawiony w pakiet IP (zaraz po nagłówku) – tentryb zabezpiecza warstwe L4 i wyŜsze

− tunnel mode: tworzy zewnętrzny IP header który zawiera IP końcowego punktu tunelu (np.Koncentratora VPN), po nim jest ESP/AH – ten tryb zabezpiecza warstwe L3 i wyŜsze

ESP/AH są implementowane przez dodanie nagłówka do oryginalnego pakietu IPESP ma protocol_ID=51, a AH ma protocol_ID=50

W trybie AH, jest uwierzytelniane wszystko po nagłówku L2, a w trybie ESP wszystko popierwszym-zewnętrznym nagłówku IP.

ESP najpierw szyfruje zawartość danych a później uwierzytelnia całość.

Uwierzytelnianie peer-ów (Peer Authentication) – potwierdza Ŝe zdalny IPsec peer, jest tym za kogosię podaje. Metody uwierzytelnienia:− username/password (predefiniowane i prekonfigurowane na końcach)− One-time password OTP− Biometryka− Klucze współdzielone – pojedynczy klucz jest prekonfigurowany na kaŜdym peer-e− Certyfikaty cyfrowe – certyfikat jest wydawany dla konkretnego urządzenia przez zewnętrzną

firmę ( Certificate Authority) CA. Kiedy urządzenie potrzebuje uwierzytelnienia, to prezentuje



certyfikat który następnie jest validowany przez CA

IKEBezpieczne połączenie między 2 urządzeniami moŜe być ustanowione po konfiguracji kluczyszyfrowania na obu urządzeniach. śeby to wszystko było bezpieczne to klucze muszą byćzmieniane, i Ŝeby nie robić tego ręcznie to od tego są protokoły IKE które dynamicznie wymieniająparametry i klucze. IKE automatycznie ustanawiają Security Associations (SA) między punktamikońcowymi IPSec.. SA – stanowi uzgodnienie parametrów IPSec.

IKE u Ŝywa 2 protokołów :− ISAKMP (Internet Security Association and Key Management Protocol) – definiuje jak

ustanawiać, negocjować, modyfikować SA. ISAKMP wykonuje uwierzytelnienie peer-ów, alenie wykonuje wymiany kluczy

− Oakley – uŜywa algorytmu Diffie-Hellman, do zarządzania wyminay kluczy przez IPSec SA

Fazy IKE (2 fazy obowiazkowe, 1 faza opcjonalna)− faza 1: jest tworzone dwustronne SA między peer-ami, to znaczy Ŝe dane między końcowymi

urządzeniami uŜywają tego samego materiału klucza. Faza 1 moŜe równieŜ wykonywaćuwierzytelnianie peerów w celu potwierdzenia toŜsamości endpointów. Są 2 tryby fazy 1,

SA main mode, i SA aggressive mode. Faza 1 negocjuje parametry hashowania i transform sety− faza 1.5 (opcjonalna)pewnia dodatkową warstwę uwierzytelniania – Xauth lub Extended

Authentication− faza 2: implementuje jednostronne SA-y między peer-ami, przy uŜyciu parametrów

wynegocjowanych w fazie 1szej. Dla kaŜdego kierunku jest uŜyty osobny materiał kluczafaza 2 uŜywa IKE quick mode do kaŜdego jednokierunkowego SA

IKE Main Mode (Quick mode zawsze poprzedza main mode)Składa się z 6 message exchanges ( 3 pary) między peerami IPsec− IPsec parameters and security policy – initiator wysyła 1 lub wiecej propozycji a responder

wybiera 1 właściwą− Diffie-Hellman public key exchange − ISAKMP session authentication – kaŜdy peer wzajemnie się uwierzytelnia

IKE Aggressive Mode – jest skróconą wersją IKE Main Mode, jeŜeli jest stosowany aggressivemode to nie jest uŜywany main mode. (Quick mode zawsze poprzedza main mode)6 message exchanges jest skondensowanych do 3− Initiator wysyła wszystkie dane włącznie z parametrami IP sec, security policies i klucze Diffie-

Hellmana− Responder uwierzytelnia pakiet i wysyła zwrotnie propozycje parametrów, materiał klucza − Initiator uwierzytelnia pakiet

IKE Quick mode jest uŜywany podczas fazy 2 IKE Negocjacja Quick Mode jest zabezpieczanaprzez IKE SA wynegocjowane w fazie 1

Inne Funkcje IKE

− Dead peer detection (DPD) ( są wysyłane okresowe keepalive-y)



− NAT traversal (IPsec szyfruje wszystko powyŜej L3, więc jest problem gdy NAT ma zrobić translację adresu IP i portu TCP. NAT traversal jest rozwiązany przy uŜyciu IKE fazy 1 i 2W czasie fazy 1 jest określane czy jest NAT. Traversal jest zrobiony przez wstawienie nagłówkaUDP po zewnętrznym nagłówku IP, a przed nagłówkiem ESP w pakiecie IPsecTaki nagłówek UDP jest nieszyfrowany

− Mode configuration: to innymi słowy wysłanie wszystkich atrybutów IPSec do zdalnego klientaIPSec.. Atrybuty zawierają IP uŜyty do połączenia IPSec, i adresy DNS i NetBIOS uŜyte wpołączeniu IPSec.

− Xauth: dodaje dodatkowe warstwy uwierzytelniania (CHAP, OTP itp.)−Algorytmy Szyfrowania:

Algorytmy symetryczne (ten sam klucz do szyfrowania i deszyfrowania) DES – klucz 56 bitowy, 3DES – 3 rózne klucze 56 bitowe, AES – klucze od 128-256 bitów

Algorytmy asymetryczne – róŜne klucze do szyfrowania (klucz publiczny - dystrybuowany) ideszyfrowania.(klucz prywatny)Przy podpisach cyfrowych, role kluczy są odwrócone. Klucz prywatny jest uŜywany do podpisaniaskrótu wiadomości, a klucz publiczny deszyfruje i validuje podpis.W obu przypadkach klucze prywatne są utajnione.Algorytmem szyfrowania asymetrycznego jest algorytm RSA – moŜe on zostać uŜyty dopodpisywania i szyfrowania. Klucz RSA zaczyna się od 1024 bitów

Algorytmem wymiany kluczy asymetrycznych jest algorytm Diffie-Hellman

Public Key InfrastructurePKI składa się z:

− Peers – end hosty które bezpiecznie komunikują się ze sobą− Certification Authority (CA) – przydziela i obsługuje certyfikaty cyfrowe− Digital Certificate – zawiera informacje które unikalnie identyfikuja peera, podpisaną kopię

klucza publicznego , waŜność certyfikatu i podpis organizacji CA . Aktualna wersja to X509v3− Registration Authority (RA) – opcjonalna jednostka która obsługuje requesty uzyskania certa z

CA− Distribution Mechanizm – sposób dystrybuowania certification revocation lists (CRL) w sieci.

Za pomocą PKI, kaŜda jednostka która chce uczestniczyć w bezpiecznej komunikacji, odbieracertyfikat cyfrowy, który zawiera parę klucz prywatny/publiczny, i ich identyfikację przez CAGdy peery chcą nawiązać bezpieczną komunikacje, to wymieniają certyfikaty



Chapter 13 Site-to Site Operations

Połączenie s2s VPN składa się z :

− 1. Określenie interesującego ruchu− 2. IKE faza 1− 3. IKE faza 2− 4. Bezpieczny transfer danych− 5. Zakończenie tunelu IPsec

1. Określenie interesującego ruchu – to jest ruch który ma bezpiecznie transportowany w tuneluOkreśla się go przez extended ACL-ki

2. IKE faza 1 – wymienia parametry bezpieczeństwa i klucze szyfrowania symetrycznego, dostworzenia tunelu IPsec. Są 2 tryby: main mode i aggresive mode. IKE faza 1 składa się z 3 wymian− IKE Policy negotiation ( IKE transform sets)

- algorytm szyfrowania IKE (DES, 3DES, AES)- algorytm uwierzytelniania IKE (MD5,, SHA-1)- klucz IKE (preshare, RSA, nonces)- Diffie-Hellman ver. (1,2,5)- IKE tunnel lifatime (czas i/lub transfer)Transform sety na routerach na obu końcach tunelu muszą być identyczne.Router który otrzyma kilka transform setów, sekwencyjnie porównuje zawartość kaŜdego

− Diffie-Hellman Exchange – wymienia klucze które będą uŜyte w fazie 1 grupa 1 DH-768-bit prime nr, grupa 2 DH-1024-bit prime nr, grupa 5 DH 1536-bitPo wymianie kluczy i ustanowieniu hasła współdzielonego, jest utworzone SA dla fazy 1.To SA jest uŜywane do wyminay kluczy dla fazy 2

− Peer Authentiction – uwierzytelnianie zdalnego końca tunelu. Odbywa się to przez:- preshared keys (ustawione ręcznie na kaŜdym peerze)- RSA signatures- RSA-encrypted nonces ( coś w rodzaju OTP)

3. IKE faza 2 – ustanawia tunel IPsec. Składa się z:− negocjacja parametrów bezpieczeństwa IPsec przez IPsec transform sets)

- protokół IPsec (ESP, AH)- algorytm szyfrowania (DES, 3DES, AES)- algorytm uwierzytelniania ( MD5, SHA-1)- tryb IPsec (tunel, transport)- lifetime IPsec SATransform sety na routerach na obu końcach tunelu muszą być identyczne

− ustanowienie IPsec SA (Security Association) (unidirectional) – następuje gdy oba koncetunelu uzgodnią wspólne parametry. KaŜde SA jest śledzone i obsługiwane osobno przez SecurityParameter Index (SPI). SPI jest przesyłane z kaŜdym pakietem IPsec.KaŜdy klient IPsec uŜywa bazy danych SA (SAD) do śledzenia kaŜdego SA w którym klientuczestniczy. SAD zawiera takie informacje o kaŜdym SA- dst. IP address- SPI nr- IPsec protocol (ESP, AH)



Jest jeszcze baza Security Policy Database (SPD) – zawiera parametry uzgodnione w kaŜdymIPsec transform secie.

− okresowa renegocjacja SA− dodatkowe wymiany DH (opcja)4. Bezpieczny transfer danych5. Zakończenie tunelu IPsec – z 2 przyczyn: wygaśnięcie SA lifetime lub ręczne zamknięcietuneluPo zamknięciu tunelu informacje o SA są usuwane z SAD i SPD

Konfiguracja s2s VPN

1. konfiguracja ISAKMP policy (IKE faza 1)2. konfiguracja IPsec transform setów (IKE faza 2)3. konfiguracja crypto ACL (zdefiniowanie interesującego ruchu)4. konfiguracja crypto mapy (IKE faza 2)5. przybicie kryptomapy do interfejsu6. konfiguracja interface ACLki

1. ISAKMP policy ( na obu końcach tunelu to samo) (najmocniejsza polityka na początku)

# crypto isakmp policy 10 (kolejny numer sekwencyjny)encryption deshash md5authentication pre-sharedgroup 1 (wersja DH)lifetime 1800

# crypto isakmp key 0 tajny-klucz# address 91.193.234.20 (adres końca tunelu)

2. IPsec transform set

# crypto ipsec transform-set 20 (ustalamy protokół (ESP, AH i szyfrowanie)esp-3des esp-sha-hmac

#mode tunnel (ustalamy IPsec mode)

#crypto ipsec security-associationlifetime 1800

3.określamy interesujący ruch – (ACLki na obu końcach są lustrzanym odbiciem)#access-list 110 permit 192.168.1.0 0.0.0.255 172.16.7.0 0.0.0.255

4. Definujemy crypto mape

# crypto map do_centrali 20 ipsec-isakmp (łączy transform set i ACLke)set peer 91.193.234.20 (...i wskazuje adres końca tunelu)match address 110set transform-set set 20



5.Przybijamy cryptomape do interfejsu

#interface s0/1ip address 91.193.234.1 255.255.255.0crypto map do-centrali

# ip route 192.168.0.1 255.255.255.0 91.193.234.20 (robimy trase statyczną)



Chapter 14 GRE Tunneling over IPSec

Podstawowym zadaniem GRE (Generic Routing Encapsulation) jest przenoszenie pakietów non-IPprzez sieć IP, ale generalnie w GRE moŜna enkapsulować wszystko.

Charakterystyka tunelu GRE:− tunel GRE jest podobny do tunelu IPSec− GRE nie ma mechanizmów flow control, sequencingu i jest stateless− GRE dodaje conajmniej 24 bajty narzutu (łącznie z nowym 20bajtowym nagłówkiem IP

w którym src. i dst. identyfikuje końce tunelu GRE)Narzut moŜe spowodować przekroczenie max.MTU co powoduje Ŝe routery po drodze musząfragmentować pakiet co obciąŜa router i spowalnia transmisje)

− GRE pozwala na przenoszenie tunelem protokołów routingu w przeciwieństwie do IPSec− ma słabe mechanizmy bezpieczeństwa (tylko szyfrowanie, ale klucz idzie razem z pakietem)− GRE był potrzebny do przenoszenia ruchu multicastowego przed IOSem 12.4(4)T

Nagłówek GRE (4 – opcjonalnie16 bajtów)

Bity 0-15 – zawierają flagi które określają dodatkowe opcje GRE− bit 0 – flaga checksum present, jeśli set to będzie dodana do nagłówka 4 bajtowa checksuma− bit 2 – flaga key present, jeśli set to dodany do nagłówka 4 bajtowy klucz szyfrowania− bit 3 – flaga Seq nr – jeśli set to dodany do nagłówka 4 bajtowy seq nr− bit 13-15 – okreslają GRE ver. 0-basic GRE, 1- P2PTuneling Protocol (PPTP)Bity 16-32 – określają protokół (typ danych które pójdą kanałem GRE) np. 0x0800=IP

Format pakietu GRE

Nagłówek GRE− Tunnel IP header – 20 bajtów− GRE Flags – 2 bajty− GRE Protocol – 2 bajty− Opcjonalne bajty GRE – max 12 bajtów− -----------------------------------------------− IP header− TCP header− Dane

Konfiguracja tunelu GRE

rtr(config)# interface s0/1rtr(config-if)# ip address 91.193.208.1 255.255.255.0 -adres interfejsu podłączonego do neturtr(config)# interface tunnel0rtr(config-if)# ip address 192.168.1.1 255.255.255.0 -remote adres w tej samej podsieci !rtr(config-if)# tunnel source s0/1rtr(config-if)# tunnel destination 83.208.23.3 - adres fizyczny remote hostartr(config-if)# tunel mode gre ip



GRE over IPSec

ESP IP hdr.-ESP hdr.-GRE - IP hdr.-IP hdr.-TCP hdr.-DATA-ESP trailer <- Tunnel mode

GRE IP hdr.-ESP hdr.-GRE – IP hdr.-TCP hdr.-DATA-ESP trailer <-Transport mode



Chapter 15 IPSec High Availability Options

Potencjalne przyczyny IPSec VPN failures i sposoby zapobiegania- Access link failure - uŜyć wielu interfejsów i/lub wielu urządzeń (wiele kanałów VPN)− Remote peer failure – j.w− Device failure – uŜyć wielu róŜnych ścieŜek między endpointami− Path failure – j.w...no i oczywiście unikać w strukturze sieci „single points of failure”

Strategie failoveru

− Stateless – są uŜyte redundantne połączenie logiczne (tunele VPN) to zapewnienia ścieŜkipodstawowej i zapasowej. UŜycie scieŜek jest określone przez wymianę informacji międzypeerami lub przez określenie przez same urządzenia. Stan tunelu VPN nie jest znany – routerynie śledzą ścieŜek przez które idzie aktualny tunel VPN. Ruch przez tunel zapasowy jestprzesyłany gdy ścieŜka podstawowa się zwali.

− Statefull – jest uŜyty redundantny sprzęt. Oba urządzenia są identyczne sprzętowo iprogramowo. Urządzenia gadają ze sobą Ŝeby określić które ma pracować(HSRP, Statefull Switchover (SSO)HSRP gdy podst. Router zdechnie ro IKE i IPSec SA są przekazywane do backup routeraSSO – współdzieli informacje IKE i IPSec SA między router podstawowy i zapasowy

Metody wykrywania uszkodzeń (stateless failover)

− Dead Peer Detection− IGP wewnątrz GRE over IPSec− HSRP/VRRP/GLBP – patrz kompendium do BCMSN

Dead Peer Detection

DPD Periodic mode

− DPD keepaliv-y są okresowo przesyłane między peerami IPSec VPN− DPD keepaliv-y są dodatkiem do normalnej regularnej wiadomości IPSec rekey − DPD keepaliv-y nie są wysyłane gdy dane usera są transmitowane przez tunel VPN− DPD keepaliv-y są wysyłane tylko gdy jest luz w ruchu w tunelu

DPD on-demand mode (default cisco mode)

− DPD keepaliv-y są wysyłane tylko gdy nie ma pewności czy remote peer Ŝyje np. Gdy nieprzyjdzie odpowiedŜ od peera po wysłaniu ruchu

UŜycie tego trybu redukuje tunnel overhead z tym Ŝe gdy zdechnie tunel podstawowy to przełączenie na tunel zapasowy nastąpi dopiero wtedy gdy nadejdzie jakiś ruch do przesłania.Konfiguracja

rtr(config)# crypto isakmp keepalive 10 (sec) 3(próby) [periodic | on-demand] set peer 91.193.205.1[default]



Chapter 16 Configuring Cisco Easy VPN

Rozwiązanie Cisco Easy VPN (składające się ze Server i Remote Easy VPN)upraszczakonfigurację klientów i i pozwala na centralne zarządzanie nimi. Konfiguracja klientów moŜe byćzdalnie do nich wysyłana. UŜywając funkcjonalności Internet Key Exchange (IKE) Mode Configdo wysyłania parametrów konfiguracyjnych, klienty mogą być prekonfigurowane do uzgodnieniaIKE policies i IPSec transform setów,co powoduje Ŝe klienty zawsze mają aktualne policies zanimustanowią połączenie.

Cisco Easy VPN Remote zapewnia automatyczne zarządzanie następującymi parametrami:– negocjacja parametrów tunelu (adresy, algorytmy)– ustanawianie tunelu– tworzenie NAT/PAT i ACLek– uwierzytelnianie usera– security key management– tunneled data authentication, encryption,decryption

Cisco Easy VPN Remote moŜe pracować w 3 trybach

– Client – określa Ŝe będzie uŜyte NAT/PAT więc remote host nie bedzie uŜywał IP-a zprzestrzeni serwera. SA są tworzone automatycznie dla IP-ów przypisanych remote hostowi(najczęściej stosowane)

– Network Extension – określa Ŝe remote host uŜywa Ipa routowalnego i osiagalnego przez tunela więc tworzącego pojedynczą sieć logiczną.

– Network Extension Plus – j.w + dodatkowa moŜliwość wysyłania requestu o IPa via modeconfiguration, i automatycznego przypisania do interfejsu loopback.

Generalnie to rozwiązanie wymaga IOS ver.>12.2(8)T i działa na routerach serii1700,2600,3600,7100,7200,7500 i kilku serii od 831 do 878.dodatkowo wymaga uŜycia ISAKMP policies uŜywających D-H group 2 (1024bit)

Cisco Easy VPN Remote wspiera 2 stopniowy proces client/server authentication:

– Stage 1 – Group Level Authentication – reprezentuje część procesu tworzenia kanału.Na tym etapie mogą być uŜyte 2 typy uwierzytelniania: preshared keys lub digital certs

– Stage 2 – Extended Authentication (Xauth) – Remote wysyła username/password docentralnego VPN serwera

Kroki ustanowienia połączenia Easy VPN Remote klienta z Serwerem

– 1. VPN klient inicjuje IKE phase 1– 2. VPN klienta ustanawia ISAKMP SA– 3. VPN server akceptuje propozycje SA– 4. VPN server inicjuje user authentication– 5. rozpoczyna się mode configurations– 6. rozpoczyna się Reverse Route Injection (RRI)– 7.IPSec quick mode dokańcza połączenie

Konfigurację Easy VPN Servera najłatwiej jest zrobić przez SDM-a przez stosownego wizarda



Chapter 18 Cisco Device Hardening

Na routerach pracuje wiele usług które mogą stanowić zagroŜenie bezpieczeństwa.MoŜna to podzielić na kategorie:− niepotrzebne usługi i interfejsy− usługi zarządzania− mechanizmy integralności ściezek− Probes and Scans− usługi dostępu terminalowego− proxy ARP

Niepotrzebne usługi i interfejsy - powyłączać

rtr(config-if)# shutdown

rtr(config)# no ip bootp server

rtr(config)# no cdp runrtr(config-if)# no cdp enable

rtr(config)# no service config - wyłącza automatyczne ładowanie configa z file serwera

rtr(config)# no ftp-server enablertr(config)# no tftp-serverrtr(config)# no ntp server

rtr(config)# no service pad - wyłącza polecenie w sieciach X.25

rtr(config)# no service tcp-small-serversrtr(config)# no service tcp-small-servers

rtr(config)# no mop enabled - protokół zarządzania f-my DEC

Usługi zarządzania – powyłączać

rtr(config)# no snmp-server enable - jeŜeli potrzebny to włączyć i zabezpieczyć ACL-kami

rtr(config)# no ip http serverrtr(config)# no ip http secure server - https uŜywa SDM

rtr(config)# no ip domain-lookup - klient DNS

Mechanizmy integralności ścieŜek

rtr(config)# no ip icmp redirect - ta usługa powoduje Ŝe router wysyła ICMP redirect gdy pakiet jest forwardowany na interfejs z którego przyszedł

rtr(config)# no ip source-route - nadawca moŜe kontrolować trase pakietów i tym samym ominąć trase wyznaczoną przez router i mechanizmy bezp.



Probes and Scans – uŜywane do rekonesansu sieci

rtr(config)# no service finger - ściąga liste userów z urządzenia sieciowego (sh users)rtr(config-if)# no ip unreachebles - zawiadamia atakującego Ŝe dst IP jest nieprawidłowy, sluŜy

do tworzenia mapy siecirtr(config-if)# no ip mask-reply - wysła maske sieci, słuŜy do tworzenia mapysieciowego

rtr(config-if)# no ip direct-broadcast - pakiet direct broadcast jest unicastowy dopóki nie osiągnie routera który odpowiada za dany segment, wtedy pakiet staje się broadcastowy w segmencie

Bezpieczeństwo dostępu terminalowego

rtr(config)# no ip identd - protokół ident (RFC 1413) identyfikuje inicjatora połączenia TCP. SłuŜy do rekonesansu

rtr(config)# service tcp-keepalives-in / out - czyści połączenia TCP w sytuacji gdy remote host przestał przetwarzać pakiety (powiesił się lub reboot)ta usługa ma być włączona

Usługi Proxy ARP

rtr(config)# no ip arp gratuitousrtr(config)# no ip arp proxy

...Ŝeby się nie męczyć z wyłączaniem tego wszystkiego cisco zrobiło taki ficzers który się nazywaAutoSecure. Jest to w IOS od wersji 12.3. MoŜe działać w trybie automatycznym i interaktywnym.Dodatkowo oprócz wyłączania tego co powyŜej AutoSecure równieŜ włącza róŜna rzeczyA samo AutoSecure włącza się tak:

Rtr# auto secure [management | forwarding] [no-interact | full] [login | ntp | ssh | firewall |tcp-intercept] - full/interactive=default

AutoSecure bez fulla moŜna uruchomić wiele razy do ustawienia róŜnych ficzersów

Gdy AutoSecure jest odpalone defaultowo z opcją full to robi takie rzeczy;

− identyfikuje interfejsy zewnętrzne− zabezpiecza management plane (wyłącza usługi te co opisałem powyŜej)− tworzy security banner− tworzy zasady haseł (długość, ilość prób, timeout itp), AAA, i włącza SSH zamiast telnetu− zabezpiecza interfejsy wyłączając usługi te co opisałem powyŜej− zabezpiecza forwarding plane – włącza CEF, uRFP, CBAC (router firewall)

Przed odpaleniem Auto Secure zrobić kopie run-configa !Po odpaleniu AutoSecure aprawdzić czy wszystko zrobił tak jak naleŜyW IOS >12.3(8)T AS robi we flashu kopie run-config. MoŜe ona być przywrócona przez:



#configure replace flash:pre_autosce.cfg

PoniŜej defaultowa konfiguracja robiona przez rtr#auto secure full



Do zabezpieczanie tego wszystkiego moŜna teŜ uŜyc SDM-a. SDM ma 2 wizardy.− SDM Security Audit

sprawdza run-configwypisuje zidentyfikowane problemy i rekomenduje sposób rozwiązniapozwala userowi wybrać rozwiązaniekonfiguruje router zgodnie z wyborem

− SDM One-Step Lockdown process robi to wszystko automatycznie bez pytania



Chapter 19 Securing Administrative Access

Zasady haseł:− min. 10 znaków, duŜe małe litery, cyfry, znaki niealfanumeryczne, Ŝadnych haseł ze słownika wygasanie hasła, ilość nieudanych prób logowania, przerwa po nieudanym logowaniu, ilość logowań na minute.IOS >12.3(1) rejestruje nieudane próby logowania

Konfiguracja:

rtr(config)# aaa new modelrtr(config)# aaa authentication attemptd login 5 - ilość prób logowaniartr(config)# aaa authentication login polityka_lokalna local – tworzymy politykertr(config)# login delay 1-10 - przerwa miedzy błędnymi logowaniamirtr(config)# login block-for (x sekund) attempts (y błędnych prób) within (watch-period)czyli: blokuj na x sekund po y błędnych logowań

rtr(config)# security authentication failure rate 2-1024 log – ilość logowań/min.10=default

ilość logowań/min musi być > lub = od ilość prób logowania

Hasła do konsoli, VTY i AUX:JeŜeli jakiś port dostępowy nie będzie uŜywany naleŜy go WYŁ ĄCZYĆ

rtr(config)# enable password cisco123rtr(config)# enable secret cisco666rtr(config)# line { console 0 | vty 0 4 | aux 0 }rtr(config-line)# exec-timeout 10 (min)rtr(config-line)# password cisco123rtr(config-line)# login - włącza sprawdzanie haseł

Zabezpieczenie ACLkami dostępu przez VTY

rtr(config)# line vty 0 4rtr(config-line)# access-class 10 inrtr(config-line)# password cisco123rtr(config-line)# loginrtr(config)# access-list 10 permit 91.193.208.1

Ustawianie minimalnej długośći hasła:rtr(config)# security paswords min-length 10 -w cisco 25=default

Włączanie szyfrowania wszystkich hasełrtr(config)# service password-encryption

Tworzenie bannera ostrzegawczegortr(config)# banner motd # ZAMKNIĘTE – WYPIERDALAĆ ! #Tworzenie userów i dostępu zdalnego



rtr(config)# username andrzejd secret cisco123rtr(config)# login vty 0 4rtr(config)# login local - bedzie uŜyta lokalna baza danych userów

W cisco IOS-ie moŜna tworzyć wiele poziomów przywilejów. Mozna zdefiniować blok komenddostępny na danym poziomie. Level 0 to user mode, Level 15 to exec mode

Przykład:rtr(config) # privilege configure level 3 interfacertr(config) # privilege interface level 3 ip addressrtr(config) # privilege exec level 3 configurertr(config) # privilege exec level 3 sh runrtr(config) # enable secret level 3 cisco666 - ustawia hasło dostepu do tego poziomu

aby uzyskać dostęp do danego poziomu:rtr> enable 3 - dostęp do poziomu 3

UWAGA: durne działanie IOSa – dana komenda moŜe być ustawiona tylko na 1 poziomie !

Role-Based CLI (rozwiązuje problem powyŜej)

R-B CLI tworzy views, kaŜdy z nich zawiera listę komend IOS. Dana komenda moŜe być uŜyta wkilku views. Grupa kilku views tworzy superviews.. View moŜe być przybity do określonegointerfejsu. Konfiguracja:

rtr> enable view root-view - tworzymy root view

Tworzymy view (max 15 szt)rtr(config)# parser view widok_3 - tworzymy widokrtr(config-view)# password 5 cisco123 - 5 oznacza Ŝe jest uŜywany MD5rtr(config-view)# secret cisco123 - od IOS>12.4rtr(config-view)# command exec | configure itp {include | exclude | include-exclusive| { line | all }

Tworzymy superviewrtr(config)# parser view superwidok_10 superwievrtr(config-view)# password 5 cisco123rtr(config-view)# view widok_10rtr(config-view)# view widok_5

Dostęp do widoku

rtr> enable view widok_3



Chapter 20 Using AAA to Scale Access Control

AAA – czyli Authentication, Authorization, AccountingAAA ma 2 tryby dostępu:− Character mode – uŜywany na portach VTY, TTY, AUX, i CONfirmation− Packet mode – uzywany na szeregowych portach ASYNC, BRI, PRI i dialer profilach

Uslugi AAA zapewniają protokoły RADIUS i TACACS +TACACS+ (RFC 1492)− pracuje na TCP− czyli jest w stanie sprawdzić przez TCP keep-alive czy serwer Ŝyje− i umoŜliwia wiele połączeń do wielu serwerów− szyfruje cały pakiet access-request− osobne sesje authentication (np. Przez serwer Kerberos) i authorization− multiprotocol supportTACACS+ zapewnia 2 metody autoryzacji komend routera− określenie na serwerze TACACS które komendy są dozwolone dla usera− odpytywanie serwera który user lub grupa ma dostęp do danego privilege levela

RADIUS (RFC 2865) − pracuje na UDP− szyfruje tylko hasła wewnątrz pakietu access-request, reszta jest nieszyfrowana− authentication i authorization jest robione przez pojedynczy request− nie supportuje protokołów ARA (Apple) NETBIOS, NASI (Novell), X.25 PAD− nie pozwala userowi kontrolować które komendy mogą lub nie być wykonywane na routerze

Konfiguracja RADIUS

rtr(confg)# aaa new-model - włącza AAA na routerzertr(confg)# radius-server host 91.193.23.44 auth-port 1645 acct-port 1645 timeout 10 retransmit 3

rtr(confg)# radius-server key klucz_radius - określamy klucz uwierzytelniania i szyfrowania dla routera iserwera RADIUS

rtr(confg)# username root password cisco123

Określamy metode uwierzytelnienia

rtr(confg)# aaa authentication ppp { default | list_name} radius local -metoda autentykacji na interfejsach szeregowych PPP, radius-uzyj radiusa local -uŜyj lokalnej bazy

Ustawiamy parametry ograniczające dostęp do sieci

rtr(confg)# aaa authorization {network | exec | commands 5} {default | list-name} radius local

Network-wykonuje autoryzacje dla wszystkich requestów usług sieci, exec-wykonuje autoryzacje czyuser ma prawo do exec shella, command-wykonuje autoryzacje dla komendy na określonym levelu

Włączamy accounting dla określonych usług

rtr(config)# aaa accounting { auth-proxy | system | network | exec | connection | command 5} {default |nazwa listy} {start-stop | stop-only | none} [broadcast] group radius



Konfiguracja TACACS+

rtr(config)# aaa new-modelrtr(config)# tacacs-server host 10.10.1.5rtr(config)# tacacs-server key TheTacacsServerKeyrtr(config)# username root password MySecretPasswordrtr(config)# aaa authentication ppp mydiallist tacacs+ localrtr(config)# aaa authorization commands 15 tacacs+ if-authenticated nonertr(config)# aaa accounting network start-stop tacacs+

Sprawdzamy

rtr# debug aaa authenticationrtr# debug aaa authorizationrtr# debug aaa accountingrtr# debug radius briefrtr# debug tacacs



Chapter 21 Cisco IOS Threat Defense Features

Cisco IOS Firewall uŜywa DMZ-ów jako sposobu izolacji usług w sieci wewnętrznej.Tworząc strefe buforową DMZ tworzy sieć która nie jest ani całkiem wewnętrzna ani całkiemzewnątrzna w stosunku do sieci firmowej. Dostęp do DMZ jest kontrolowany przez dedykowanyfirewall lub przez router z wieloma interfejsami. Najlepszą praktyką jest uŜywanie wielu DMZ-ów

Firewalle uŜywają 3 technologii: − packet filtering,− application layer gateway (ALG) − statefull packet filtering

Packet filtering – ogranicza ruch przez ACL-ki

Router(config)#access-list 100 permit tcp any host 91.193.208.2Router(config)#access-list 100 deny ip any any logRouter(config)#interface serial 1/1Router(config-if)#ip access-group 100 in

Application Layer Gateway - uŜywa proxy serwera. Bardzo efektywna metoda dla usług typu http,https, ftp, Telnet. Zapewnia AAA przez RADIUS/TACACS+

Statefull Packet Filtering

SFP zna i śledzi stan kaŜdego połączenia tzn. np nie pozwoli na pakiet z fagą TCP ACK jeŜeliwcześniej nie było Ŝądania ustanowienia połączenia. SPF rozumie równieŜ protokoły L7 i robipowiązania sesji protokołu L7 z sesją w warstwie L4. SPF śledzi numery SEQ TCP

Cisco IOS Firewall - jest filtrem SPF i ma takie ficzersy:− zezwala/zabrania na określony ruch TCP i UDP− obsługuje tablice stanów− dynamiczne modyfikuje ACLki− zabezpiecza przed atakami DoS− dokonuje inspekcji pakietów przechodzących przez interfejsy



Chapter 22 Implementing Cisci IOS Firewalls

Cisco IOS Firewall pozwala na dodawanie zasad inspekcji do interfejsu. Kazdy pakiet moŜe bycodrzucony przez zasade inspekcji albo przez ACLke albo przez oba na raz. Najpierw jestsprawdzana ACLka a później zasady inspekcji .

Implementacja zasad inspekcji wygląda tak:

− wybrać interfejs i kierunek ruchu- przybić ACLki w kierunku inbound Ŝeby tylko ruch dozwolony był poddawany inspekcji- przybić zasady inspekcji w kierunku inbound tak Ŝeby tylko ruch uznany za bezpieczny podlegal inspekcji- dla innych interfejsów (trusted) przybić ACLki w kierunku outbound

− zdefiniować ACLkę (extended) do interfejsu− zdefiniować zasady inspekcji− przybić ACLki i zasady inspekcji do interfejsu− zweryfikować konfiguracje

Konfiguracja

rtr(config)# ip access-list extended acl_ruch_zewnrtr(config-acl)# permit tcp any host 91.193.208.1 eq 21rtr(config-acl)# permit tcp any host 91.193.208.3 eq 53rtr(config-acl)# deny ip any any log

rtr(config)# ip inspect name ruch_zewn ftp alert off timeout 60rtr(config)# ip inspect name ruch_zewn dns alert on timeout 30

rtr(config)# logging on - włączamy logowanie na syslogartr(config)# logging host 192.168.10.100

rtr(config)# int fe 0/1rtr(config-if)# ip inspect ruch_zewn inrtr(config-if)# ip access-group acl_ruch_zewn

Weryfikacja

rtr# sh ip inspect [name ruch_zewn | config | interface | session {detail} | statistics | all]

rtr# debug ip inspect detail



Chapter 23 Implementing Cisco IDS and IPS

IDS – nie siedzi w ścieŜce ruchu sieciowego. Ruch sieciowy jest kopiowany do urządzenia IDS wcelu inspekcji. Gdy zostaną wykryte anomalia zostaje wysłany alert. IDS moŜe actywniekonfigurować urządzenia sieciowe aby blokowały lub poddawały kwarantannie podejrzaneprzepływy

IPS – siedzi w ścieŜce ruchu, gdy wykryje anomalia, blokuje podejrzane pakiety i wystawia alert.IPS jest uŜyteczny do wykrywania wirusów, wormsów, lewych aplikacji i exploitów

Są 2 zakresy IDS-ów i IPS-ów− Network− Host

Network IDS/IPS – siedzą w sieci jako hardware lub soft w istniejącym urządzeniu i zapewniajązabezpieczenie całej sieci lub segmentu (NIDS/NIPS) Monitorują ataki DoS/DDoS, buffer overflow, rekonesanse sieci. NIDS/NIPS nie potrafi kontrolować ruchu zaszyfrowanego

Host IDS/IPS – są to moduły software-owe rezydujące na stacji roboczej lub serwerze (HIDS/HIPSKontrolują ruch szyfrowany

Podział IDS/IPS-ów ze względu na zasade działania

− Signature-based – dopasowują określony wzorzec bajtowy do pakietu. Słabo radzą sobie zz day-zero attack.

− Policy-based – uŜywają algorytmów sprawdzających łańcuch pakietów, w celu określeniazachowania. Wykrywają np. Ping-sweep. Oczywiście moŜna w tych systemach ustawić politykina podstawie IP, portów, protokołów, blokować dostęp do określonych URL-i itp

− Anomaly-based – śledzą zachowania ruchu które odbiegają od stanu „normalnego”Stan normalny moŜe być ustawiony albo jako dynamiczy „statystyczny” albo zaprogramowanyjako niestatystyczny. Takie systemy dobrze pracują w małych sieciach

Sygnatura w rozumieniu IDS/IPS to wzorzec danych lub ruchu przechodzącego przez IDS/IPSktóry powinien wywołać określoną rekację (alert lub-i blokowanie)Istnieją 4 kategorie sygnatur− Exploit – identyfikuje złośliwy ruch przez dopasowanie do wzorca. KaŜdy exploit ma własną

sygnaturę. Zmodyfikowany exploit wymaga nowej sygnatury− Connection – sygnatura odnosząca się do ruchu z akceptowanych połączeń i protokołów.

Zachowanie takie jest z góry znane, wszystko co odbiega od tego jest podejrzane− String – takie sygnatury uŜywają regularnych wyraŜeń do dopasowania do wzorca− DoS – sygnatury róŜnych znanych ataków DoS

Routery Cisco mogą działać jako urządzenia inline NIPS. Defaultowo mają 100sygnatur (132 z sub-sygnaturami)

Reakcja na dopasowanie sygnatury do pakietu lub ruchu:− alarm do sysloga− packet drop



− connection reset− blokowanie ruchu z src IP na określony czas− blokowanie ruchu z oprtu TCP na określony czas

Konfiguracja Cisco IOS IPS składa się z:

− określenie gdzie leŜy Siganture Definition File (SDF)− określenie co IOS ma zrobić gdy sugnature microengine (SME) jest niedostępne do

przeskanowania ruchu− utworzenie zasady IPS – tworzy nazwę która jest później przybita do interfejsu. Zasada uŜywa

SDFa . Opcjonalnie moŜe być przybita ACLka− przybicie zasady IPS do interfejsu

rtr(config) # ip ips sdf [builtin | location]

rtr(config) # ip ids fail closed

rtr(config) # ip ips name zasada_ids list 110 <- ACLka

rtr(config) # int fe 0/1

rtr(config-if ) # ip ids zasada_ids in

Łączenie SDFów

rtr# copy flash:attack-drop.sdf ips-sdfrtr# copy ips-sdf flash:newsignature.sdf

rtr(config)# ip ips sdf location flash:newsignature.sdf

Wyłączanie/usuwanie (sub)sygnatur

rtr(config) # ip ips signature 1032 4 [delete | disable | list ]

Weryfikacja

rtr# sh ip ips configuration

KONIEC


Documents

642-825 ISCW Kompendium - andrzejdoniczka.net ISCW Kompendium.pdf · 2008. 2. 7. · 642-825 ISCW – Kompendium ustalenie MACa remote peera, ustawienie Session ID. Discovery trwa