Маршрутизаторы Cisco ISR G2 как унифицированное средство обеспечения безопасности

Маршрутизаторы Cisco ISR G2 как унифицированное средство обеспечения безопасности

Михаил Кадер, инженер [email protected] [email protected]

Содержание

•  Межсетевой экран с политиками на основе зон в действии (Zone-based Firewall)

•  Функции межсетевого экрана с учетом пользователей •  Расширенные возможности фильтрации •  Технологии антиспуфинга (защиты от фальсификации) •  Основы системы предотвращения вторжений Cisco IOS •  Функции безопасности IPv6 в IOS •  Антивирусный шлюз •  Сертифицированный VPN •  Основные выводы

Межсетевой экран с политиками на основе зон в действии

Межсетевой экран с политиками на основе зон (ZFW)

ZFW1

ДОВЕРЕННАЯ зона НЕДОВЕРЕННАЯ зона

Int 1

Int 3

Политика зоны OUTBOUND

ИНТЕРНЕТ

Клиент1 Сервер

Int 4

Int 2

Клиент2

•  Зона - набор интерфейсов с определенным общим "уровнем доверия" •  Изменение концепции: теперь политики межсетевого экрана определяют правила обмена между зонами (а не между интерфейсами)

Политики ZFW являются однонаправленными: от источника к получателю

%FW-6-DROP_PKT: Dropping icmp session 172.18.1.10:0 172.18.2.20:0 due to No zone-pair between zones with ip ident 0

Интерфейсы назначены зонам, но без определения пар зон

%FW-6-DROP_PKT: Dropping icmp session 172.17.3.10:0 172.18.1.10:0 due to One of the interfaces not being cfged for zoning with ip ident 0

Интерфейс источника не назначен зоне

%FW-6-DROP_PKT: Dropping icmp session 172.18.2.20:0 172.17.4.10:0 due to policy match failure with ip ident 0

Интерфейс получателя не назначен зоне

ZFW: более простая реализация режима «запрета по умолчанию"

ZFW: основные элементы политик

policy-map type inspect BASIC1 class type inspect CLASS1 { inspect | pass | police | drop }

[…] class type inspect CLASS-N { inspect | pass | police | drop } class class-default { inspect | pass | drop }

class-map type inspect { match-all | match-any } CLASS1 a) match protocol { tcp | udp | icmp }

b) match access-group { name ACL-NAME | ACL-NUM }

c) match class-map CLASS-MAP_NAME

zone-pair security Z1-Z2 source Z1 destination Z2 service-policy type inspect BASIC1

ZFW1

Зона безопасности Z1

Int 1 Int 2

Участник зоны безопасности Z2

Участник зоны безопасности Z1

Политика Z1-Z2 Зона безопасности Z2

Межсетевой экран с политиками на основе зон: карты параметров

ZFW1# show parameter-map type inspect default audit-trail off alert on max-incomplete low 2147483647 max-incomplete high 2147483647 one-minute low 2147483647 one-minute high 2147483647 udp idle-time 30 icmp idle-time 10 dns-timeout 5 tcp idle-time 3600 tcp finwait-time 5 tcp synwait-time 30 tcp max-incomplete host 4294967295 block-time 0 sessions maximum 2147483647

parameter-map type inspect TRACKING audit-trail on

parameter-map type inspect global log dropped-packets enable

Полезный совет: указывать имена элементов политики в верхнем регистре. Поиск в интерфейсе командной строки производится с учетом регистра

172.18.2.0/24 172.18.1.0/24 .4 .4 ZFW1

Политика зоны OUTBOUND1

F1 F0

Зона INSIDE Зона OUTSIDE

policy-map type inspect POLICY1 class type inspect TOP-CLASS1 inspect TRACKING class class-default drop log

zone-pair security OUTBOUND1 source INSIDE destination OUTSIDE service-policy type inspect POLICY1

class-map type inspect match-any TOP-CLASS1 match protocol udp match protocol tcp

Установка соединения

Проверка исходящего трафика (только L4)

.20 .10

172.18.2.0/24 172.18.1.0/24 .4 .4 ZFW1


F1 F0


.20 .10


ZFW1# show zone security zone self Description: System defined zone zone INSIDE Member Interfaces: FastEthernet0 zone OUTSIDE Member Interfaces: FastEthernet1

ZFW1# show policy-firewall config zone-pair Zone-pair : OUTBOUND1 Source Zone : INSIDE Destination Zone : OUTSIDE Service-policy inspect : POLICY1 Class-map : TOP-CLASS1(match-any) Match protocol udp Match protocol tcp Action : inspect Parameter-map : TRACKING Class-map : class-default(match-any) Match any Action : drop log Parameter-map : Default

172.18.2.0/24 172.18.1.0/24 .4 .4 ZFW1


F1 F0


.20 .10


%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:TOP-CLASS1): Start tcp session: initiator (172.18.1.10:22374) -- responder (172.18.2.20:23)

ZFW1# show policy-firewall session Established Sessions = 1 Session 498723C0 (172.18.1.10:22374)=>(172.18.2.20:23) tcp SIS_OPEN/TCP_ESTAB Created 00:00:19, Last heard 00:00:12 Bytes sent (initiator:responder) [48:95]

%FW-6-SESS_AUDIT_TRAIL: (target:class)-(OUTBOUND1:TOP-CLASS1):Stop tcp session: initiator (172.18.1.10:22374) sent 54 bytes -- responder (172.18.2.20:23) sent 107 bytes

172.18.2.0/24 172.18.1.0/24 .4 .4 ZFW1


F1 F0


.20 .10


%FW-6-DROP_PKT: Dropping icmp session 172.18.1.10:0 172.18.2.20:0 on zone-pair OUTBOUND1 class class-default due to DROP action found in policy-map with ip ident 0

%FW-6-DROP_PKT: Dropping icmp session 172.18.2.20:0 172.18.1.10:0 due to policy match failure with ip ident 0

Попытка исходящего соединения (пара зон не определена)

Попытка исходящего соединения (блокирование ICMP по "class-default")

ZFW: подготовка для политики L3 + L4

172.18.2.0/24 172.18.1.0/24 .4 .4 ZFW1

F1 F0


.20 .10 172.22.0.0/16

object-group network INSIDE1 172.18.1.0 255.255.255.0 ! object-group network OUT1 172.22.0.0 255.255.0.0 ! object-group network OUT2 host 172.18.2.20

object-group service SVCS1 tcp eq telnet tcp eq www ! object-group service SVCS2 udp eq ntp

ip access-list extended ACL1 permit object-group SVCS1 object-group INSIDE1 object-group OUT1 permit object-group SVCS2 object-group INSIDE1 object-group OUT2

ZFW: политика L3 + L4 (нет других ACL-списков)

172.18.2.0/24 172.18.1.0/24 .4 .4 ZFW1

F1 F0


.20 .10 172.22.0.0/16


policy-map type inspect POLICY2 class type inspect JOINT1 inspect TRACKING class class-default drop log

class-map type inspect match-all JOINT1 match class-map TOP-CLASS1 match access-group name ACL1


ip access-list extended ACL1 permit object-group SVCS1 object-group INSIDE1 object-group OUT1 permit object-group SVCS2 object-group INSIDE1 object-group OUT2

%FW-6-SESS_AUDIT_TRAIL_START: (target:class) (OUTBOUND2:JOINT1): Start udp session: initiator (172.18.1.10:123) -- responder (172.18.2.20:123)

%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND2:JOINT1): Start tcp session: initiator (172.18.1.10:31793) -- responder (172.22.22.22:23)

FIREWALL*: NEW PAK 48EE1EE4 (0:172.18.1.10:123) (0:172.22.22.22:123) udp FIREWALL*: DROP feature object 0xAAAA0028 found %FW-6-DROP_PKT: Dropping udp session 172.18.1.10:123 172.22.22.22:123 on zone-pair OUTBOUND2 class class-default due to DROP action found in policy-map with ip ident 0 FIREWALL: ret_val 0 is not PASS_PAK

FIREWALL*: NEW PAK 48EE1EE4 (0:172.18.1.10:12803) (0:172.18.2.20:23) tcp FIREWALL*: DROP feature object 0xAAAA0028 found %FW-6-DROP_PKT: Dropping tcp session 172.18.1.10:12803 172.18.2.20:23 on zone-pair OUTBOUND2 class class-default due to DROP action found in policy-map with ip ident 0 FIREWALL: ret_val 0 is not PASS_PAK

ZFW: реализация политики L3 + L4

Примеры допустимого трафика

Примеры блокируемого трафика

ZFW, ACL-списки и NAT

zone-pair security INBOUND2 source OUTSIDE destination INSIDE service-policy type inspect POLICY2


class-map type inspect match-all JOINT2 match class-map TOP-CLASS2 match access-group name ACL2

class-map type inspect match-any TOP-CLASS2 match protocol tcp

ip access-list extended ACL2 permit ip 172.18.2.0 0.0.0.255 host 10.5.5.5

ip nat inside source static 10.5.5.5 172.18.2.5

10.5.5.0/24 172.18.2.0/24

.5 .20 ip nat outside ip nat inside ZFW1

NAT

.4 .4

Локальное адресное пространство

Глобальное адресное пространство


F0/1.1610 F0/0

Реальный Преобразованный

ZFW, ACL-списки и NAT

%IPNAT-6-CREATED: tcp 10.5.5.5:23 172.18.2.5:23 172.18.2.20:15649 172.18.2.20:15649 FIREWALL* sis 49AD2B40: Session Created FIREWALL* sis 49AD2B40: Pak 49182EC8 init_addr (172.18.2.20:15649) resp_addr (10.5.5.5:23) init_alt_addr (172.18.2.20:15649) resp_alt_addr (172.18.2.5:23) FIREWALL* sis 49AD2B40: FO cls 0x4ACDB960 clsgrp 0x10000000, target 0xA0000010, FO 0x49A56880, alert = 1, audit_trail = 1, L7 = Unknown-l7, PAMID = 2

%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(INBOUND2:JOINT2): Start tcp session: initiator (172.18.2.20:15649) -- responder (10.5.5.5:23)

ZFW1# show policy-firewall session Established Sessions = 1 Session 49AD2B40 (172.18.2.20:15649)=>(10.5.5.5:23) tcp SIS_OPEN/TCP_ESTAB Created 00:00:45, Last heard 00:00:40 Bytes sent (initiator:responder) [48:101]

10.5.5.0/24 172.18.2.0/24

.5 .20 ip nat outside ip nat inside ZFW1

NAT

.4 .4




F0/1.1610 F0/0

ZFW: прозрачный режим работы

ZFW1 R1 R2

10.5.5.0/24


.1 .2 F0/1.1610 F0/0



class-map type inspect match-any BASIC1 match protocol udp match protocol icmp match protocol tcp

bridge-group1 bridge-group1

policy-map type inspect POLICY1 class type inspect BASIC1 inspect TRACKING class class-default drop log

ZFW1# show policy-firewall session Established Sessions = 1 Session 49AD3240 (10.5.5.1:56643)=>(10.5.5.2:23) tcp SIS_OPEN/TCP_ESTAB Created 00:00:25, Last heard 00:00:13 Bytes sent (initiator:responder) [48:95]

%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:BASIC1): Start tcp session: initiator (10.5.5.1:56643) -- responder (10.5.5.2:23)

ZFW1

192.168.2.0/24

Зона WIRED Зона WIRELESS

Fast1 Fast0

Беспроводная точка доступа Беспро-

водный клиент

.101 .102

zone-pair security INBOUND1 source WIRELESS destination WIRED service-policy type inspect POLICY1

Политика зоны INBOUND1


class-map type inspect match-all JOINT1 match class-map BASIC1 match access-group name ACL1

class-map type inspect match-any BASIC1 match protocol tcp

ip access-list extended ACL1 permit tcp 192.168.2.0 0.0.0.255 host 192.168.2.101 eq 25 permit tcp 192.168.2.0 0.0.0.255 host 192.168.2.102 eq 443

HTTPS SMTP

ZFW: сценарий использования для прозрачного режима


policy-map type inspect POLICY1 class type inspect L7-CLASS1 inspect TRACKING class class-default drop log

class-map type inspect match-any L7-CLASS1 match protocol ftp

192.168.2.0/24 ZFW1


.X


Fast0

Клиент

ip nat outside ip nat inside

NAT



Fast1

172.17.11.102

FTP

ip nat outside source static 172.17.11.102 192.168.2.102 add-route

ZFW и проверка L7: пример 1 проверка трафика FTP и использование NAT

%IPNAT-6-CREATED: tcp 192.168.2.72:36886 192.168.2.72:36886 192.168.2.102:21 172.17.11.102:21 %FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:L7-CLASS1): Start ftp session: initiator (192.168.2.72:36886) -- responder (172.17.11.102:21)

%IPNAT-6-CREATED: tcp 192.168.2.72:51974 192.168.2.72:51974 192.168.2.102:20 172.17.11.102:20 %FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:L7-CLASS1): Start ftp-data session: initiator (172.17.11.102:20) -- responder (192.168.2.72:51974) %FW-6-SESS_AUDIT_TRAIL: (target:class)-(OUTBOUND1:L7-CLASS1): Stop ftp-data session: initiator (172.17.11.102:20) sent 350 bytes -- responder (192.168.2.72:51974) sent 0 bytes

ZFW и проверка L7: пример 1

Управление сеансом FTP

Пример сеанса передачи данных FTP

192.168.2.0/24 ZFW1


.X


Fast0

Клиент

ip nat outside ip nat inside

NAT



Fast1

172.17.11.102

FTP

ZFW1


.200


Fast0 Fast1

192.168.2.0/24 172.17.3.0/24

.40

HTTP работает на портах 2002 - 2003


policy-map type inspect POLICY1 class type inspect HTTP-CLASS inspect TRACKING class class-default drop log

class-map type inspect match-any HTTP-CLASS match protocol http

access-list 1 permit 172.17.3.40 ip port-map http port tcp from 2002 to 2003 list 1

Проверка HTTP на нестандартных портах

ZFW и проверка L7: пример 2 проверка L7 на нестандартных портах

ZFW1


.200


Fast0 Fast1

192.168.2.0/24 172.17.3.0/24

.40

HTTP работает на портах 2002 - 2003

ZFW1# show ip port-map http Default mapping: http tcp port 80 system defined Host specific: http tcp port 2002-2003 in list 1 user defined

ZFW и проверка L7: пример 2 проверка L7 на нестандартных портах

FIREWALL* sis 84294160: Session Created FIREWALL* sis 84294160: Pak 83CBFCFC init_addr (192.168.2.200:1065) resp_addr (172.17.3.40:2002) init_alt_addr (192.168.2.200:1065) resp_alt_addr (172.17.3.40:2002) FIREWALL* sis 84294160: FO cls 0x84F8EB80 clsgrp 0x10000000, target 0xA0000000, FO 0x849600E0, alert = 1, audit_trail = 1, L7 = http, PAMID = 5 FIREWALL* sis 84294160: Allocating L7 sis extension L4 = tcp, L7 = http, PAMID = 5 %FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:HTTP-CLASS): Start http session: initiator (192.168.2.200:1065) -- responder (172.17.3.40:2002)

ZFW1


.200


Fast0 Fast1

HTTP

192.168.2.0/24 172.17.3.0/24


policy-map type inspect POLICY1 class type inspect HTTP-CLASS inspect TRACKING service-policy http WEB1 class class-default drop log

class-map type inspect match-any HTTP-CLASS match protocol http

policy-map type inspect http WEB1 class type inspect http HTTP1 reset log

class-map type inspect http match-any HTTP1 match response header set-cookie

policy-map верхнего уровня

ZFW и проверка L7: пример 3 сравнение заголовка ответа HTTP

policy-map для конкретного приложения

class-map верхнего уровня

class-map для конкретного приложения

.30

ZFW и проверка L7: пример 3 сравнение заголовка ответа HTTP

%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:HTTP-CLASS): Start http session: initiator (192.168.2.200:43005) -- responder (172.17.3.30:80) FIREWALL* sis 84283A40: match-info tocken in cce_sb 849BA240 - class 3221225494; filter 31; val1 0; val2 0; str set-cookie, log on, reset on %APPFW-4-HTTP_HDR_FIELD_REGEX_MATCHED: Header field (set-cookie) matched - resetting session 172.17.3.30:80 192.168.2.200:43005 on zone-pair OUTBOUND1 class HTTP-CLASS appl-class HTTP1

ZFW1


.200

Зона INSIDE Зона DMZ

Fast0 Fast1

HTTP

192.168.2.0/24 172.17.3.0/24

.30

ZFW: проверка трафика самого маршрутизатора - зона «self»

.2 ZFW1 F4.200 172.21.21.0/24

Зона OUTSIDE

.21

Зона self (адреса маршрутизатора)

Политика зоны OUT-SELF

F4.201

10.10.10.1 172.20.20.1

172.22.22.0/24

.2

.22

R1

172.20.20.0/24 R2

zone-pair security OUT-SELF source OUTSIDE destination self service-policy type inspect OUT-FW1

policy-map type inspect OUT-FW1 class type inspect ICMP1 inspect TRACKING class class-default drop log

class-map type inspect match-all ICMP1 match access-group name PING1

ip access-list extended PING1 permit icmp object-group OUT1 object-group RTR-ADDR echo

object-group network RTR-ADDR host 10.10.10.1 host 172.20.20.1

object-group network OUT1 172.20.20.0 255.255.255.0

.2 ZFW1 F4.200 172.21.21.0/24

Зона OUTSIDE

.21

Зона self (адреса маршрутизатора)

Политика зоны OUT-SELF

F4.201

10.10.10.1 172.20.20.1

172.22.22.0/24

.2

.22

R1

172.20.20.0/24 R2

ZFW: проверка трафика самого маршрутизатора

%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUT-SELF:ICMP1):Start icmp session: initiator (172.20.20.2:0) -- responder (172.20.20.1:0)

%FW-6-DROP_PKT: Dropping icmp session 172.21.21.21:0 172.20.20.1:0 on zone-pair OUT-SELF class class-default due to DROP action found in policy-map with ip ident 0

•  Операция ZFW по умолчанию - разрешить трафик на интерфейсы маршрутизатора и от них

•  Особая зона с именем "self" обрабатывает трафик маршрутизатора

•  Политики, относящиеся к зоне "self", являются однонаправленными по своей природе

Трафик ICMP на адрес маршрутизатора 172.20.20.1 (от допустимого источника) разрешен

Трафик ICMP на адрес маршрутизатора 172.20.20.1 (от недопустимого источника) отбрасывается

•  В выпусках IOS 12.X прохождение трафика между интерфейсами, принадлежащими одной и той же зоне, было разрешено без проверки.

•  В выпуске IOS 12.X было невозможно определить политики ZFW внутри зоны:

•  Начиная с выпуска IOS 15.0(1)M, трафик в пределах зоны блокируется по умолчанию

•  IOS 15.X позволяет формировать политики внутри зоны (когда источник и получатель трафика находятся в одной зоне)

ZFW2(config)# zone-pair sec INTRAZONE2 source INSIDE destination INSIDE % Same zone cannot be defined as both the source and destination

ZFW: политики внутри зоны Для справки

ZFW: политики внутри зоны

zone-pair security INTRAZONE1 source INSIDE destination INSIDE service-policy type inspect POLICY2

policy-map type inspect POLICY2 class type inspect TOP-CLASS2 inspect TRACKING class class-default drop log

class-map type inspect match-any TOP-CLASS2 match protocol icmp match protocol udp

10.10.6.0/24 10.10.10.0/24 ZFW1 .1 .1

Зона INSIDE

Fast1 Fast0

Политика зоны INTRAZONE1

.200 .6

Сервер NTP

ZFW: политики внутри зоны

ZFW1# show zone security INSIDE zone INSIDE Member Interfaces: FastEthernet0 FastEthernet1

ZFW1# show zone-pair security Zone-pair name INTRAZONE1 Source-Zone INSIDE Destination-Zone INSIDE service-policy POLICY2

ZFW1# show policy-firewall session Established Sessions = 1 Session 49CFB240 (10.10.6.6:123)=>(10.10.10.200:123) udp SIS_OPEN Created 00:00:29, Last heard 00:00:29 Bytes sent (initiator:responder) [48:48]

10.10.6.0/24 10.10.10.0/24 ZFW1 .1 .1

Зона INSIDE

Fast1 Fast0

Политика зоны INTRAZONE1

.200 .6

Сервер NTP

Функции межсетевого экрана с учетом пользователей

Управление доступом с учетом пользователя

Имеется ли возможность предоставить доступ конкретному пользователю?

Можно ли управлять доступом к приложениям любого типа?

Имеется ли поддержка учетных записей?

Это динамический тип управления?

user1

Кто пользователь? Что за ресурс?

user2

SRV1 SRV2

172.26.26.0/24 Шлюз

Сеть управления

CS-ACS

Конечный пользо-ватель

172.16.100.0/24

2

Запрос прокси-сервиса

аутентификации

3

4

5

Telnet 172.26.26.26 1

.26

SRV1

1.  Пользователь связывается по Telnet с сервером SRV1

2.  Прокси-сервис аутентификации перехватывает пакет и направляет пользователю запрос на аутентификацию

3.  ZFW запрашивает сервер RADIUS

4.  Сервер RADIUS в ответ направляет профиль авторизации (или отказ в доступе)

5.  Пользователю предоставляется доступ к узлу назначения

.100

F0 F1

Базовый инструмент: прокси-сервис аутентификации

Подготовка для прокси-сервиса аутентификации

! *** Instructing the NAS to receive, send and process RADIUS VSAs radius-server vsa send accounting radius-server vsa send authentication ! *** Defining and using an AAA server-group called "RADIUS1" aaa group server radius RADIUS1 server 192.168.1.200 auth-port 1812 acct-port 1813 server-private 192.168.1.200 auth-port 1812 acct-port 1813 key 7 ##### ! aaa authentication login default group RADIUS1 aaa authorization network default group RADIUS1 aaa authorization auth-proxy default group RADIUS1 aaa accounting auth-proxy default start-stop group RADIUS1 ! *** Defining an ACL to be applied to the same interface as Auth-Proxy access-list 100 permit udp host 192.168.1.200 eq 1812 host 192.168.2.1 access-list 100 permit udp host 192.168.1.200 eq 1813 host 192.168.2.1 access-list 100 permit tcp any 172.26.26.0 0.0.0.255 eq telnet ! *** Defining the Auth-Proxy policy to intercept Telnet traffic ip admission name ADMISSION1 proxy telnet ! ***Applying the Auth-Proxy policy to interface F1 (Auth-Proxy incoming interface) interface FastEthernet1 ip access-group 100 in ip admission ADMISSION1

Для справки

Прокси-сервис аутентификации в действии: передача отдельных правил фильтрации - ACE (1)

! *** Telnet Session is intercepted by Auth-Proxy process (before reaching interface ACL) AUTH-PROXY creates info: cliaddr - 172.16.100.100, cliport - 1562 seraddr - 172.26.26.26, serport - 23 ip-srcaddr 172.16.100.100 pak-srcaddr 0.0.0.0 ! *** NAS sends request to CS-ACS and receives individual ACEs (proxyacl) RADIUS(0000000C): Send Access-Request to 192.168.1.200:1812 id 1645/12, len 104 RADIUS: authenticator 73 DC D7 7B 91 B4 61 38 - 4E 65 CB A5 B3 4F AD 9D RADIUS: User-Name [1] 7 "user1" ! […] RADIUS: Received from id 1645/12 192.168.1.200:1812, Access-Accept, len 148 RADIUS: authenticator ED 65 FB F6 64 B9 33 6D - A3 5E B8 5F 14 36 D4 21 RADIUS: Vendor, Cisco [26] 19 RADIUS: Cisco AVpair [1] 13 "priv-lvl=15" RADIUS: Vendor, Cisco [26] 43 RADIUS: Cisco AVpair [1] 37 "proxyacl#1=permit tcp any any eq 22" RADIUS: Vendor, Cisco [26] 43 RADIUS: Cisco AVpair [1] 37 "proxyacl#2=permit tcp any any eq 23"

ACS/Group Settings : GROUP1 [009\001] cisco-av-pair priv-lvl=15 proxyacl#1=permit tcp any any eq 22 proxyacl#2=permit tcp any any eq 23

Прокси-сервис аутентификации в действии: передача отдельных ACE (2)

IOS-FW# show ip auth-proxy cache Authentication Proxy Cache Client Name user1, Client IP 172.16.100.100, Port 1562, timeout 60, Time Remaining 60, state INTERCEPT ! ! *** Details about the current Auth-Proxy session IOS-FW# show epm session ip 172.16.100.100 Admission feature : Authproxy AAA Policies : Proxy ACL : permit tcp any any eq 22 Proxy ACL : permit tcp any any eq 23 ! *** Viewing Dynamic Entries (for host 172.21.21.101) added to the interface ACL IOS-FW# show access-list 100 Extended IP access list 100 permit tcp host 172.16.100.100 any eq 22 (18 matches) permit tcp host 172.16.100.100 any eq telnet (70 matches) 10 permit udp host 192.168.1.200 eq 1812 host 192.168.2.1 (1 match) 20 permit udp host 192.168.1.200 eq 1813 host 192.168.2.1 (1 match) 30 permit tcp any 172.26.26.0 0.0.0.255 eq telnet (2 matches)

Прокси-сервис аутентификации с загружаемыми ACL-списками (1)

! *** NAS sends Access Request to CS-ACS and receives name of the DACL to be applied RADIUS(00000006): Send Access-Request to 192.168.1.200:1812 id 1645/4, len 104 RADIUS: authenticator 67 06 F7 BB F1 81 BE 96 - 29 2D C9 24 89 00 2B 31 RADIUS: User-Name [1] 7 "user1" […] RADIUS: Received from id 1645/4 192.168.1.200:1812, Access-Accept, len 124 RADIUS: authenticator 6D 19 94 84 EF C0 28 C3 - EF AB 8E FE 1F E9 7B 28 RADIUS: Vendor, Cisco [26] 19 RADIUS: Cisco AVpair [1] 13 "priv-lvl=15" RADIUS: Vendor, Cisco [26] 62 RADIUS: Cisco AVpair [1] 56 "ACS:CiscoSecure-Defined-ACL=#ACSACL#-IP-DACL1-4aac618d" […] ! *** NAS sends second Access Request using DACL name as username (null password) RADIUS(00000000): Send Access-Request to 192.168.1.200:1812 id 1645/5, len 134 RADIUS: authenticator 94 3C 9D F1 C1 93 25 2A - F3 9E DA C9 B0 15 FC B2 RADIUS: NAS-IP-Address [4] 6 172.21.21.1 RADIUS: User-Name [1] 28 "#ACSACL#-IP-DACL1-4aac618d" RADIUS: Vendor, Cisco [26] 32 RADIUS: Cisco AVpair [1] 26 "aaa:service=ip_admission" RADIUS: Vendor, Cisco [26] 30 RADIUS: Cisco AVpair [1] 24 "aaa:event=acl-download" ! ! *** ACS sends second Response containing the individual entries of the Downloadable ACL RADIUS: Received from id 1645/5 192.168.1.200:1812, Access-Accept, len 179 RADIUS: authenticator 69 A2 A7 BB 15 AF 3C EB - A3 D7 12 F0 F5 04 54 F2 RADIUS: Vendor, Cisco [26] 43 RADIUS: Cisco AVpair [1] 37 "ip:inacl#1=permit tcp any any eq 80" RADIUS: Vendor, Cisco [26] 43 RADIUS: Cisco AVpair [1] 37 "ip:inacl#2=permit icmp any any echo"

Прокси-сервис аутентификации с загружаемыми ACL-списками (2)

IOS-FW# show ip auth-proxy cache Authentication Proxy Cache Client Name user1, Client IP 172.16.100.100, Port 1085, timeout 60, Time Remaining 60, state INTERCEPT IOS-FW#show epm session ip 172.16.100.100 Admission feature : Authproxy AAA Policies : ACS ACL : xACSACLx-IP-DACL1-4aac618d ! After Auth-Proxy “user1” uses PING and WWW services IOS-FW# show access-list Extended IP access list 100 permit tcp host 172.16.100.100 any eq www (12 matches) permit icmp host 172.16.100.100 any echo (4 matches) 10 permit udp host 192.168.1.200 eq 1812 host 192.168.2.1 (2 matches) 20 permit udp host 192.168.1.200 eq 1813 host 192.168.2.1 (2 matches) 30 permit tcp any 172.26.26.0 0.0.0.255 eq telnet (31 matches) Extended IP access list xACSACLx-IP-DACL1-4aac618d (per-user) 10 permit tcp any any eq www 20 permit icmp any any echo

172.26.26.0/24 Шлюз ZFW1

Сеть управления

CS-ACS

Конечный пользо-ватель

172.16.100.0/24

.26

SRV1

1.  Пользователь связывается по Telnet с сервером

2.  Прокси-сервис аутентификации перехватывает пакет и направляет пользователю запрос

3.  Сервер RADIUS отправляет "supplicant-group" ("группу клиента") VSA в межсетевой экран IOS

4.  Формируется отображение пользователя на группу

5.  Для каждой отдельной группы создается межсетевой экран с политиками на основе зон

.100

F0 F1

Зона OUTSIDE Зона INSIDE Политика зоны

OUTBOUND1

Прокси-сервис аутентификации

ZFW с учетом пользователя

ACS/Group Settings : ENG [009\001] cisco-av-pair priv-lvl=15 supplicant-group=ENG RADIUS: Received from id 1645/21 192.168.1.200:1812, Access-Accept, len 93 RADIUS: authenticator 43 A9 2F 23 EC 7F 7B 19 - B5 AF 6D 1B 40 81 85 25 RADIUS: Vendor, Cisco [26] 19 RADIUS: Cisco AVpair [1] 13 "priv-lvl=15" RADIUS: Vendor, Cisco [26] 31 RADIUS: Cisco AVpair [1] 25 "supplicant-group=ENG“ ZFW1# show ip auth-proxy cache Authentication Proxy Cache Client Name user1, Client IP 172.16.100.100, Port 1108, timeout 60, Time Remaining 60, state INTERCEPT ! ZFW1# show epm session ip 172.16.100.100 Admission feature : Authproxy AAA Policies : Supplicant-Group : ENG ! ZFW1# show user-group Usergroup : ENG ------------------------------------------------------------------------ User Name Type Interface Learn Age (min) ------------------------------------------------------------------------ 172.16.100.100 IPv4 FastEthernet1 Dynamic 0

ZFW с учетом пользователя: получение информации о группе

ZFW с учетом пользователя: использование информации о группе

class-map type inspect match-all ENG1 match user-group ENG match protocol tcp class-map type inspect match-all ENG2 match user-group ENG match protocol icmp class-map type inspect match-all MKT1 match user-group MKT match protocol tcp ! policy-map type inspect OUT1 class type inspect ENG1 inspect class type inspect ENG2 inspect police rate 32000 burst 6000 class type inspect MKT1 inspect class class-default drop log

Межсетевой экран с учетом пользователей по прежнему работает в режиме контроля доступа с учетом состояния

!* Defining zones and zone-pairs zone security INSIDE zone security OUTSIDE ! zone-pair security OUTBOUND source INSIDE destination OUTSIDE service-policy type inspect OUT1 ! * Defining an Auth-Proxy policy to intercept Telnet traffic ip admission name ADMISSION1 proxy telnet inactivity-time 60 ! ! * Assigning interfaces to zones and applying the Auth-Proxy policy interface FastEthernet1 ip admission ADMISSION1 zone-member security INSIDE ! interface FastEthernet0 zone-member security OUTSIDE

Расширенные возможности фильтрации

TOS (8)

Флаги (3) Идентификация (16) Смещение фрагм. (13)

IP-адрес источника (32)

IP-адрес получателя (32)

Vers(4) Hlen(4) Общая длина (16)

TTL (8) Контрольная сумма заголовка (16) Протокол (8)

(Параметры IP) (PAD)

32 бита

Обеспечивает кратность длины заголовка 32 битам

Длина IP-заголовка, измеряемая в

4-байтовых (32-разрядных) словах

Общая длина IP-датаграммы. Измеряется в октетах

(включая полезную часть и заголовок)

Обеспечивает целостность IP-заголовка

Номер версии

Время жизни (TTL):

уменьшается на 1 каждым

маршрутизато-ром на пути следования

Указывает протокол верхнего

уровня

Rsvd (=0) DF MF

Поле флагов

Дополнительный анализ IP-заголовка Для справки

Как формируются фрагменты

IP-заголовок

Заголовок 1




600 байтов

160 байтов

160 байтов

160 байтов

120 байтов

Исходная датаграмма

Фрагмент 1

Фрагмент 2

Фрагмент 3

Фрагмент 4

Исходный 620 600 0x6E81 0 0 0 0 0x0000 Фрагм. 1 180 160 0x6E81 0 0 1 0 0x2000 Фрагм. 2 180 160 0x6E81 0 0 1 160 = 8 x 20 (0x14) 0x2014 Фрагм. 3 180 160 0x6E81 0 0 1 320 = 8 x 40 (0x28) 0x2028 Фрагм. 4 140 120 0x6E81 0 0 0 480 = 8 x 60 (0x3C) 0x003C

Общая длина

Длина данных

L3

Идент. номер

Бит Rsvd

Бит DF

Бит MF

Смещение фрагмента (кратное 8 байтам)

Флаг смещения


Примеры атак на основе фрагментации

•  Атака крошечными фрагментами: использует очень маленькие пакеты TCP, сформированные таким образом, чтобы часть заголовка L4 (например, включающая поле флагов) переходила во второй фрагмент. При таком подходе атакующий рассчитывает, что проверяться будет только первый фрагмент, а остальные будут проходить без проверки.

•  Атака перекрывающимися фрагментами: смещение определенного фрагмента перекрывается со смещением другого. Атаки этого класса могут использоваться либо с намерением вызвать отказ в обслуживании, DoS (например, с помощью эксплойта UDP Teardrop), либо в попытке перезаписать часть данных предыдущих фрагментов в цепочке и обойти системы защиты.

•  Переполнение буфера повторной сборки: чрезмерное количество неполных датаграмм на узле-получателе, ожидающих повторной сборки.


Обработка фрагментированных IP-пакетов (1)

IOS-FW# show access-list 101 Extended IP access list 101 10 permit tcp any any fragments (1081 matches) 20 permit tcp any any (1082 matches) 30 permit udp any any fragments (360 matches) 40 permit udp any any (361 matches) 50 permit icmp any any fragments 60 permit icmp any any 70 permit ip any any fragments 80 permit ip any any

Ключевое слово "fragments" в ACL-списках IOS отфильтровывает не начальные фрагменты.

ACL-списки этого типа могут использоваться для быстрого выявления видов трафика, формирующих фрагменты (TCP, UDP, ICMP и т. д.)

Обработка фрагментированных IP-пакетов (2) Виртуальная повторная сборка фрагментов (VFR)

interface FastEthernet1 ip virtual-reassembly max-fragments 3 %IP_VFR-4-TOO_MANY_FRAGMENTS: FastEthernet1: Too many fragments per datagram (more than 3) - sent by 172.18.2.122, destined to 172.18.1.30

interface FastEthernet1 ip virtual-reassembly max-fragments 5 max-reassemblies 100 timeout 8 ! IOS-FW#show ip virtual-reassembly f1 FastEthernet1: Virtual Fragment Reassembly (VFR) is ENABLED... Concurrent reassemblies (max-reassemblies): 100 Fragments per reassembly (max-fragments): 5 Reassembly timeout (timeout): 8 seconds Drop fragments: OFF Current reassembly count:100 Current fragment count:300 Total reassembly count:0 Total reassembly timeout count:53 %IP_VFR-4-FRAG_TABLE_OVERFLOW: FastEthernet1: the fragment table has reached its maximum threshold 100

Фильтрация на основе поля TTL IP-заголовка

IOS-FW# show access-list TTL Extended IP access list TTL 10 deny tcp any any ttl lt 30 log (5 matches) 20 deny udp any any ttl lt 30 log 30 deny icmp any any ttl lt 30 log 40 permit tcp any host 172.16.251.251 eq www (2 matches) 50 permit tcp any host 172.16.251.251 eq 443

%SEC-6-IPACCESSLOGP: list TTL denied tcp 172.16.250.202(17002) -> 172.16.251.251(80), 1 packet

IOS-FW# show flow monitor FLEX1 cache aggregate ipv4 source address ipv4 protocol ipv4 ttl Processed 3 flows Aggregated to 3 flows IPV4 SRC ADDR IP PROT IP TTL flows bytes pkts =============== ======= ====== ========== ========== ========== 172.16.250.201 6 37 1 500 1 172.16.250.202 6 12 1 500 1 172.16.250.208 6 50 1 500 1

Порт источника

Последовательный номер

Номер подтверждения

Размер окна

Контрольная сумма Указатель срочности

(Параметры TCP)

0 15 31

Порт получателя

HLEN 4

RSVD 6

Флаги

UR

G

AC

K

PSH

R

ST

SYN

FI

N

20B

16

Поле флагов TCP

Дополнительный анализ TCP- и UDP-заголовков Для справки

Порт источника (16) Порт получателя (16)

Длина (16) Контр. сумма UDP (16)

Данные (при наличии)

0 15 16 32

UDP-датаграмма Флаг Значение URG Указатель срочности действителен ACK Поле подтверждения действительно PSH Сегмент требует передачи из буфера RST Сброс соединения SYN Синхронизация последовательности номеров FIN Конец байтового потока для отправителя

Фильтрация на основе поля флагов TCP

IOS-FW# show access-list TCPFLAGS Extended IP access list TCPFLAGS 10 deny tcp any any match-all +fin +psh +urg Flags = 41 = 0x29 20 deny tcp any any match-all -ack -fin -psh -rst -syn -urg Flags = 00 = 0x00 30 deny tcp any any match-all +ack +rst Flags = 20 = 0x14 40 permit tcp any any match-all -ack -fin -psh -rst +syn -urg Flags = 02 = 0x02 50 permit tcp any any match-all +ack -fin -psh -rst -syn -urg Flags = 16 = 0x10 60 permit tcp any any match-all +ack +psh -syn -urg Flags = 24 = 0x18 70 permit tcp any any match-all -ack -psh +rst -syn -urg Flags = 01 = 0x01

IOS-FW# show flow monitor FLEX1 cache aggregate transport tcp flags transport destination-port ipv4 destination address Processed 15 flows Aggregated to 4 flows IPV4 DST ADDR TRNS DST PORT TCP FLAGS flows bytes pkts =============== ============= ========= ========== ========== ========== 172.16.251.251 80 0x14 4 640 4 172.16.251.251 80 0x15 4 640 4 172.16.251.251 80 0x16 4 640 4 172.16.251.251 80 0x17 3 480 3

Поле флагов

А что если атака основана на другом поле заголовка?

IOS-FW(config)# load protocol flash:udp.phdf

IOS-FW# show protocols phdf udp Protocol ID: 3 Protocol name: UDP Description: UDP-Protocol Original file name: flash:udp.phdf Header length: 8 Constraint(s): Total number of fields: 5 Field id: 0, source-port, UDP-Source-Port Fixed offset. offset 0 Constant length. Продолжительность: 16 Field id: 1, dest-port, UDP-Destination-Port Fixed offset. offset 16 Constant length. Продолжительность: 16 Field id: 2, length, UDP-Packet-Length Fixed offset. offset 32 Constant length. Продолжительность: 16 Field id: 3, checksum, UDP-Checksum Fixed offset. offset 48 Constant length. Продолжительность: 16 Field id: 4, payload-start, UDP-Payload-Start Fixed offset. offset 64 Constant length. Продолжительность: 0

Порт источника (16) Порт получателя (16)

Длина (16) Контр. сумма UDP (16)

Данные (при наличии)

0 15 16 32

UDP-датаграмма

Функция гибкого анализа пакетов (FPM) позволяет определить расширенный метод фильтрации на основе полей заголовков IP, TCP, UDP и ICMP.

Возможности FPM: на примере TCP

IOS-FW(config)# class-map type access-control match-all FPM1 IOS-FW(config-cmap)# match field ? ICMP ICMP-Protocol IP IP-Protocol TCP TCP-Protocol UDP UDP-Protocol layer Match Protocol Layer IOS-FW(config-cmap)# match field TCP ? acknum TCP-Acknowledgement-Number checksum TCP-Checksum-Value control-bits TCP-Control-Bits-Number data-offset TCP-Data-Offset-Number dest-port TCP-Destination-Port ecn TCP-ECN-Number payload-start TCP-Payload-Start reserved TCP-Reserved-Number seqnum TCP-Sequence-Number source-port TCP-Source-Port urgent-pointer TCP-Urgent-Pointer window TCP-Window-Size

Ethernet Packet: 80 bytes Dest Addr: 0012.DAD2.6203, Source Addr: 0000.0000.0000 Protocol (Протокол). 0x0800 IP Version: 0x4, HdrLen: 0x5, TOS: 0x40 (Prec=Immediate) Length: 66, ID: 0x5208, Flags-Offset: 0x0000 TTL: 60, Protocol (Протокол). 6 (TCP), Checksum: 0x2EC6 (OK) Source: 172.16.210.105, Dest: 172.16.211.31 TCP Src Port: 8000, Порт назнач.: 600 Seq #: 0x00000000, Ack #: 0x00000000, Hdr_Len: 5 Flags: 0x02 SYN, Window: 0, Checksum: 0xB9B3 (OK) Urgent Pointer: 0 Data: 0 : 0000 0000 0000 0000 0000 0000 0001 0108 7468 6531 ................the1 20 : 774F 526D 3275 wORm2u

Data: 0 : 0000 0000 0000 0000 0000 0000 0001 0108 774F 526D ................wORm 20 : 4167 6169 6E31 Again1

Data: 0 : 0000 0000 0000 0000 0000 0000 0001 0108 7468 656E ................then 20 : 6577 574F 524D ewWORM

Вариант 1 (изменение только части данных)

Вариант 2 (изменение только части данных)

Пример атаки, заблокированной FPM Для справки

class-map type stack match-all IP-TCP match field IP protocol eq 0x6 next TCP ! class-map type access-control match-all CLASS1 match field TCP dest-port eq 600 match start TCP payload-start offset 16 size 10 regex ".*[Ww][Oo][Rr][Mm]" ! policy-map type access-control POLICY1 class CLASS1 drop log policy-map type access-control FPM1 class IP-TCP service-policy POLICY1 ! interface FastEthernet0/0 service-policy type access-control input FPM1

%SEC-6-IPACCESSLOGP: list CLASS1 denied tcp 172.16.210.120(18045) (FastEthernet0/0 ) -> 172.16.211.11(600), 1 packet

Гибкий анализ пакетов (FPM) в действии

Технологии антиспуфинга (защиты от фальсификации)

Сеть оператора связи

Назначенный клиентом блок

A.B.C.0/24

из Интернета в Интернет

Клиент ISP Int1 Int2

В пакетах, поступающих из Интернета в сеть клиента, в качестве адреса получателя может использоваться только назначенный блок (и никогда в качестве адреса источника).

В пакетах, поступающих из сети клиента в Интернет, в качестве адреса источника может использоваться только назначенный блок (и никогда в качестве адреса получателя).

interface Int2 ip access-group 170 in ip access-group 180 out ! access-list 170 deny ip A.B.C.0 0.0.0.255 any access-list 170 permit ip any A.B.C.0 0.0.0.255 ! access-list 180 permit ip A.B.C.0 0.0.0.255 any access-list 180 deny ip any any

interface Int1 ip access-group 110 out ip access-group 120 in ! access-list 110 deny ip A.B.C.0 0.0.0.255 any access-list 110 permit ip any A.B.C.0 0.0.0.255 ! access-list 120 permit ip A.B.C.0 0.0.0.255 any access-list 120 deny ip any any

Классический антиспуфинг с помощью ACL-списков

Антиспуфинг: строгая проверка uRPF

172.16.201.0/24 .254 .1

10.1.1.0/24 R2 R1

Fast4 Fast2

172.16.202.0/24 .254

Ист.: 10.1.1.200

Получ.: 172.16.201.254

interface FastEthernet2 ip address 172.16.202.254 255.255.255.0 ip verify unicast source reachable-via rx

Достижим ли адрес источника через входной интерфейс? Поступающий пакет

R2# show ip route | begin Gateway Gateway of last resort is not set 172.16.0.0/24 is subnetted, 2 subnets C 172.16.201.0 is directly connected, FastEthernet4 C 172.16.202.0 is directly connected, FastEthernet2 10.0.0.0/24 is subnetted, 2 subnets C 10.254.254.0 is directly connected, Loopback0 D 10.1.1.0 [90/28416] via 172.16.201.1, 00:30:21,

FastEthernet4

R2# show ip cef 10.1.1.0 255.255.255.0 10.1.1.0/24 nexthop 172.16.201.1 FastEthernet4

CEF-Drop: Packet from 10.1.1.200 (Fa2) to 172.16.201.254, uRPF feature

Антиспуфинг: нестрогая проверка uRPF

172.16.201.0/24 .254 .1 R2 R1 Fast4 Fast2

172.16.202.0/24 .254

Ист.: 10.2.2.2

Получ.: 172.16.201.254

interface FastEthernet2 ip address 172.16.202.254 255.255.255.0 ip verify unicast source reachable-via any

Достижим ли адрес источника через любой интерфейс маршрутизатора?

Поступающий пакет

R2# show ip route 10.2.2.0 255.255.255.0 % Subnet not in table

R2# show ip cef 10.2.2.0 255.255.255.0 %Prefix not found


R2# show ip interface f2 | include verif IP verify source reachable-via ANY 5 verification drops 0 suppressed verification drops 0 verification drop-rate

Антиспуфинг: uRPF и маршрут по умолчанию

172.16.201.0/24 .254 .1 R2 R1 Fast4 Fast2

172.16.202.0/24 .254

Ист.: 10.2.2.2

Получ.: 172.16.201.254

interface FastEthernet2 ip address 172.16.202.254 255.255.255.0 ip verify unicast source reachable-via any

Поступающий пакет

R2# show ip route 10.2.2.0 255.255.255.0 % Subnet not in table


R2# show ip route 0.0.0.0 Routing entry for 0.0.0.0/0, supernet Known via "static", distance 1, metric 0, candidate default path Routing Descriptor Blocks: * 172.16.201.1 Route metric is 0, traffic share count is 1

ip route 0.0.0.0 0.0.0.0 172.16.201.1

R2# show ip cef 10.2.2.0 255.255.255.0 %Prefix not found

** Если требуется изменить такую реакцию... interface FastEthernet2 ip verify unicast source reachable-via any allow-default

Основы системы предотвращения вторжений IOS

Обзор системы предотвращения вторжений (IPS) IOS

•  Встроенный программный датчик для предотвращения вторжений •  Поддержка формата сигнатуры Cisco IPS версии 5.x, начиная с выпуска 12.4(11)T

•  Сканирование пакетов на основе сигнатур •  Используются сигнатуры, сформированные для специализированных устройств Cisco IPS 4200

•  Динамическое обновление сигнатур без необходимости обновлять образ IOS

•  Реакция на события настраивается отдельно для каждой сигнатуры и для каждой категории (оповещение, сброс TCP-соединения, отбрасывание пакета, запрет потока от источника атаки или соединения с ним)

•  Возможности управления - Cisco Security Manager (CSM), Cisco Configuration Professional (CCP)

IOS IPS: основные термины

•  Загрузка (Loading) - процесс, в ходе которого IOS IPS производит разбор файлов сигнатур (XML-файлов, расположенных вместе с конфигурацией) и заполняет базу данных сигнатур

•  Компиляция (Compiling) - процесс, в ходе которого значения параметров из актуальных сигнатур компилируются в таблицу регулярных выражений

•  Устаревание (Retiring) сигнатуры означает, что IOS IPS НЕ будет компилировать эту сигнатуру в память для сканирования

•  Восстановление (Unretiring) сигнатуры - указание IOS IPS компилировать сигнатуру в память и использовать ее для сканирования трафика

•  Включение (Enabling) сигнатуры означает, что при активировании согласующимся пакетом (или потоком пакетов) сигнатура вызывает соответствующее действие, связанное с ней

•  Выключение (Disabling) сигнатуры означает, что при активировании согласующимся пакетом (или потоком пакетов) сигнатура НЕ вызывает соответствующего действия, связанного с ней


Терминология IOS IPS: более подробно

•  Большинство сигнатур в маршрутизаторе являются устаревшими по умолчанию (ограничения памяти)

•  Вызывать действие будут только актуальные (восстановленные) И успешно скомпилированные сигнатуры, когда они включены. Если сигнатура устарела, хотя и включена, она не будет компилироваться и не будет вызывать связанных с ней действий.

•  Когда сигнатура выключена, даже если сохраняет актуальность и успешно откомпилирована, она не будет вызывать связанных с ней действий.

•  Предопределенные категории сигнатур IOS IPS Basic и Advanced содержат оптимальное сочетание сигнатур для всех стандартных конфигураций памяти и обеспечивают хорошие начальные возможности.

IOS IPS: категории сигнатур

IOS-IPS# show ip ips category ? adware/spyware Adware/Spyware (more sub-categories) attack Attack (more sub-categories) configurations Configurations (more sub-categories) ddos DDoS (more sub-categories) dos DoS (more sub-categories) email Email (more sub-categories) instant_messaging Instant Messaging (more sub-categories) ios_ips IOS IPS (more sub-categories) l2/l3/l4_protocol L2/L3/L4 Protocol (more sub-categories) network_services Network Services (more sub-categories) os OS (more sub-categories) other_services Other Services (more sub-categories) p2p P2P (more sub-categories) reconnaissance Reconnaissance (more sub-categories) releases Releases (more sub-categories) telepresence TelePresence (more sub-categories) uc_protection UC Protection (more sub-categories) viruses/worms/trojans Viruses/Worms/Trojans (more sub-categories) web_server Web Server (more sub-categories)

IOS IPS: активные сигнатуры

IOS-IPS# show ip ips signature count Cisco SDF release version S556.0 Trend SDF release version V0.0 Signature Micro-Engine: atomic-ip: Total Signatures 413 atomic-ip enabled signatures: 105 atomic-ip retired signatures: 392 atomic-ip compiled signatures: 21 atomic-ip obsoleted signatures: 6 Signature Micro-Engine: normalizer: Total Signatures 9 normalizer enabled signatures: 8 normalizer retired signatures: 1 normalizer compiled signatures: 8 […] Total Signatures: 4170 Total Enabled Signatures: 1191 Total Retired Signatures: 3874 Total Compiled Signatures: 295 Total Signatures with invalid parameters: 1 Total Obsoleted Signatures: 12 Total Disallowed Signatures: 3

IOS-IPS# show ip ips signature count Cisco SDF release version S556.0 Trend SDF release version V0.0 […] Total Signatures: 4170 Total Enabled Signatures: 1191 Total Retired Signatures: 3616 Total Compiled Signatures: 554 Total Obsoleted Signatures: 12 Total Disallowed Signatures: 3

ios_ips advanced

ios_ips basic

IOS IPS: базовая настройка

interface FastEthernet0/1.1124 encapsulation dot1Q 1124 ip address 172.17.6.4 255.255.255.0 ip ips IPS1 in

ip ips config location flash:ips retries 1 ip ips notify SDEE ip ips name IPS1

ip ips signature-category category all retired true category ios_ips advanced retired false

172.17.22.0/24

10.5.5..0/24

172.17.6.0/24 IOS-IPS

.103

.5

172.17.44.101

Атаки

F0/1.1124

ip ips IPS1 in

IOS-IPS#show ip ips interfaces Interface Configuration Interface FastEthernet0/1.1124 Inbound IPS rule is IPS1 Outgoing IPS rule is not set

IOS IPS в действии

IOS-IPS# show ip ips sessions Established Sessions Session 49746F80 (172.17.44.101:3765)=>(172.17.22.103:137) udp SIS_OPEN Half-open Sessions Session 49746C00 (172.17.44.101:3764)=>(172.17.22.103:161) udp SIS_OPENING Session 49746880 (172.17.44.101:3763)=>(172.17.22.103:161) udp SIS_OPENING

172.17.22.0/24

10.5.5..0/24

172.17.6.0/24 IOS-IPS

.103

.5

172.17.44.101

Атаки

F0/1.1124

ip ips IPS1 in


%IPS-4-SIGNATURE: Sig:3040 Subsig:0 Sev:100 TCP NULL Packet [172.17.44.101:36044 -> 10.5.5.5:25] VRF:NONE RiskRating:100 %IPS-4-SIGNATURE: Sig:3041 Subsig:0 Sev:100 TCP SYN/FIN Packet [172.17.44.101:52623 -> 10.5.5.5:25] VRF:NONE RiskRating:100 %IPS-4-SIGNATURE: Sig:6054 Subsig:0 Sev:50 DNS Version Request [172.17.44.101:4745 -> 172.17.22.103:53] VRF:NONE RiskRating:50 %IPS-4-SIGNATURE: Sig:6062 Subsig:1 Sev:50 DNS Authors Request [172.17.44.101:4756 -> 172.17.22.103:53] VRF:NONE RiskRating:50

172.17.22.0/24

10.5.5..0/24

172.17.6.0/24 IOS-IPS

.103

.5

172.17.44.101

Атаки

F0/1.1124

ip ips IPS1 in

IOS-IPS# show ip sdee alerts Alert storage: 200 alerts using 96000 bytes of memory SDEE Alerts SigID Sig Name SrcIP:SrcPort DstIP:DstPort VRF or Summary Info 1: 3040:0 TCP NULL Packet 172.17.44.101:36044 10.5.5.5:25 NONE 2: 3041:0 TCP SYN/FIN Packet 172.17.44.101:52623 10.5.5.5:25 NONE 3: 6054:0 DNS Version Request 172.17.44.101:4745 172.17.22.103:53 NONE 4: 6062:1 DNS Authors Request 172.17.44.101:4756 172.17.22.103:53 NONE

* SDEE = Security Device Event Exchange

172.17.22.0/24

10.5.5..0/24

172.17.6.0/24 IOS-IPS

.103

.5

172.17.44.101

Атаки

F0/1.1124

ip ips IPS1 in


IOS-IPS# show ip ips statistics Signature statistics [process switch:fast switch] signature 3041:0: packets checked [0:4] alarmed [0:4] dropped [0:0] signature 3040:0: packets checked [0:1] alarmed [0:1] dropped [0:0] signature 6062:1: packets checked [0:1] alarmed [0:1] dropped [0:0] signature 6054:0: packets checked [0:3] alarmed [0:3] dropped [0:0] Interfaces configured for ips 1 Session creations since subsystem startup or last reset 10101 Current session counts (estab/half-open/terminating) [15:764:0] Maxever session counts (estab/half-open/terminating) [22:1182:0] Last session created 00:00:08 Last statistic reset never TCP reassembly statistics received 2 packets out-of-order; dropped 0 peak memory usage 1 KB; current usage: 0 KB

172.17.22.0/24

10.5.5..0/24

172.17.6.0/24 IOS-IPS

.103

.5

172.17.44.101

Атаки

F0/1.1124

ip ips IPS1 in


Функции безопасности IPv6 в IOS

Действие

ipv6 access-list ACL-NAME {protocol} {deny | permit} { protocol } { src-prefix / prefix-length } {dst-prefix / prefix-length } [ sequence ACE# ]

Протокол Номер строки

Источники Получатели

Действие

ipv6 access-list ACL-NAME {protocol} {deny | permit} { tcp | udp } { src-prefix / prefix-length } [src-port] {dst-prefix / prefix-length } [dest-port]

Протокол Источники Получатели

Сервис

ACL-списки IOS IPv6

interface FastEthernet0/0 ipv6 traffic-filter V6-ACL1 in

Привязка ACL-списка IPv6 к интерфейсу

V6-FW(config-ipv6-acl)# permit ipv6 any any? auth Match on authentication header dest-option Destination Option header (all types) dest-option-type Destination Option header with type dscp Match packets with given dscp value flow-label Flow label fragments Check non-initial fragments log Log matches against this entry log-input Log matches against this entry, including input mobility Mobility header (all types) mobility-type Mobility header with type reflect Create reflexive access list entry routing Routing header (all types) routing-type Routing header with type sequence Sequence number for this entry time-range Specify a time-range <cr>

ACL-списки IOS IPv6: параметры фильтрации Для справки

ZFW для IPv6: пример 1

4 4 ZFW6

F1 F0


5

2001:db8::/64 2001:db8:0:1111::/64

zone-pair security OUTBOUND1 source INSIDE destination DMZ service-policy type inspect POLICY1

policy-map type inspect POLICY1 class type inspect GENERIC-V6 inspect TRACKING class class-default drop log

class-map type inspect match-any GENERIC-V6 match protocol tcp match protocol udp match protocol icmp


FIREWALL* sis 49FA6440: Session Created FIREWALL* sis 49FA6440: IPv6 address extention Created FIREWALL* sis 49FA6440: Pak 497651C8 init_addr ([2001:DB8::5]:123) resp_addr ([2001:DB8:0:1111::2]:123) FIREWALL* sis 49FA6440: FO cls 0x489C3100 clsgrp 0x20000000, target 0xA0000000, FO 0x4A91F6C0, alert = 1, audit_trail = 1, L7 = Unknown-l7, PAMID = 0

ZFW6 2001:db8:0:BBBB::/64

102 1

FTP

1

2001:db8:0:2222::/64


F0 F1 103




policy-map type inspect POLICY1 class type inspect V6-FTP inspect TRACKING class class-default drop log

class-map type inspect match-any V6-FTP match protocol ftp

Для FTP (через IPv6) поддерживается специфическая для приложения политика

ZFW6 2001:db8:0:BBBB::/64

102 1

FTP

1

2001:db8:0:2222::/64


F0 F1 103



%IPV6_FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:V6-FTP):Start ftp session: initiator ([2001:DB8:0:2222::103]:2510) -- responder ([2001:DB8:0:BBBB::102]:21) %IPV6_FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:V6-FTP):Start ftp-data session: initiator ([2001:DB8:0:BBBB::102]:20) -- responder ([2001:DB8:0:2222::103]:2512) %IPV6_FW-6-SESS_AUDIT_TRAIL: (target:class)-(OUTBOUND1:V6-FTP):Stop ftp-data session initiator ([2001:DB8:0:BBBB::102]:20) sent 39 bytes -- responder ([2001:DB8:0:2222::103]:2512) sent 0 bytes %IPV6_FW-6-SESS_AUDIT_TRAIL: (target:class)-(OUTBOUND1:V6-FTP):Stop ftp session initiator ([2001:DB8:0:2222::103]:2510) sent 147 bytes -- responder ([2001:DB8:0:BBBB::102]:21) sent 418 bytes

Некоторые другие доступные функции для IPv6

•  Виртуальная повторная сборка фрагментов (VFR) •  Антиспуфинг с помощью uRPF •  Подробное представление с помощью Flexible Netflow flow record FLEXRECORD6

match ipv6 traffic-class match ipv6 protocol match ipv6 source address match ipv6 destination address match transport source-port match transport destination-port match interface input collect routing next-hop address ipv6 collect ipv6 next-header collect ipv6 hop-limit collect ipv6 payload-length collect ipv6 extension map collect ipv6 fragmentation flags collect ipv6 fragmentation offset collect ipv6 fragmentation id collect transport tcp flags collect interface output collect counter bytes collect counter packets

V6-FW# show flow monitor FLEX6 cache aggregate ipv6 source address transport icmp ipv6 type transport icmp ipv6 code Processed 3 flows Aggregated to 3 flows IPV6 SOURCE ADDRESS: 2001:DB8::5 ICMP IPV6 TYPE: 128 ICMP IPV6 CODE: 0 counter flows: 1 counter bytes: 86000 counter packets: 86

flow exporter FLEXNETFLOW destination 192.168.1.114 source FastEthernet0/0 transport udp 2055 ! flow monitor FLEX6 record FLEXRECORD6 exporter FLEXNETFLOW

Магистральная сеть IPv4

Туннель (IPv6 через IPv4)

Маршрутизатор с двумя стеками

Маршрутизатор с двумя стеками

Домен 1 IPv6

Подробный анализ IPv6 (выделенный

межсетевой экран IPv6)

Транзитная сеть IPv6 Домен 2

IPv6

Узел IPv6

Узел IPv6

Заголовок IPv6 Данные IPv6 Заголовок

IPv6 Данные IPv6 Заголовок

IPv4 Заголовок IPv6 Данные IPv6

Заголовок IPv6

Данные IPv6 Заголовок

IPv4 Заголовок GRE

R2

Тип протокола IPv4 = 41

Тип протокола IPv4 = 47 = GRE

Заголовок IPv6 Данные IPv6 Заголовок IPv6 Данные IPv6

IPv6 в IPv4

IPv6 поверх GRE

Чистый IPv6

Чистый IPv6

Чистый IPv6

Чистый IPv6

ZFW

Расположение межсетевого экрана в средах с туннелями IPv6

Пример статического туннеля IPv6 через IPv4

172.22.1.0/24 172.22.2.0/24

Интерфейс loopback 1 172.22.22.241/32

Интерфейс loopback 1 172.22.22.242/32

IPv4

ZFW R2 f0/0.1201 f0/0.1202

Статический туннель (IPv6 через IPv4)

interface Tunnel1 no ip address ipv6 address 2001:DB8:0:1111::1/64 ipv6 enable tunnel source 172.22.22.241 tunnel destination 172.22.22.242 tunnel mode ipv6ip ! ipv6 route 2001:DB8:5555::/64 Tunnel1

ZFW# show interface tunnel 1 | include Tunnel Tunnel1 is up, line protocol is up Hardware is Tunnel Tunnel source 172.22.22.241, destination 172.22.22.242 Tunnel protocol/transport IPv6/IP Tunnel TTL 255 Tunnel transport MTU 1480 bytes

interface Tunnel1 no ip address ipv6 address 2001:DB8:0:1111::2/64 ipv6 enable tunnel source 172.22.22.242 tunnel destination 172.22.22.241 tunnel mode ipv6ip ! ipv6 route 2001:DB8::/64 Tunnel1

2001:DB8::/64 2001:DB8:5555::/64

Антивирусный шлюз

Зачем нужен Антивирус на шлюзе?

Доказано: •  95% всех вредоносных

программ попадают в корпоративную сеть через шлюз;

•  вирус проникает через шлюз в единственном экземпляре, а в сети начинает активно размножаться, что увеличивает опасность;

Доказано: v  пользовательские устройства

часто уязвимы для угроз – например, если пользователь не установил обновление антивируса;

v  пользователи часто нарушают правила ИТ-безопасности;

v  системный администратор не может эффективно контролировать все узлы сети.

Антивирус на шлюзе: преимущества

•  Значительное повышение общего уровня защиты: –  большая часть угроз перехватывается до падания в сеть; –  наличие антивирусного решения на уровне шлюза повышает эффективность защиты на

19%; –  при этом необходимо учитывать частоту обновления других узлов, соблюдение политики

ИТ-безопасности, типы вредоносного ПО, схему и скорость распространения вредоносного ПО по сети.

•  Антивирус на шлюзе предотвращает повторное заражение: –  Даже если одна из рабочих станций заражена, утечки информации не произойдет, так как

антивирус заблокирует распространение зловреда в Интернет.

•  Повышение производительности работы и масштабируемости сети. •  Оптимальное использование ресурсов:

–  Электронное письмо, отправленное злоумышленником на множество адресов, достаточно просканировать и заблокировать один раз.

Антивирус Касперского для Cisco AXP

Комплексная защита от вредоносного ПО на уровне шлюза, нейтрализующая все известные угрозы:

•  вирусы, трояны, червей и другое нежелательное ПО, включая шпионские и рекламные программы;

•  руткиты, загрузчики и другие комплексные угрозы;

•  неизвестные угрозы; •  вирусы, загружаемые при посещении заражённых веб-сайтов.


Гибкое

управление

Гибкие настройки обновления сигнатур

Обработка сложных объектов

Эвристические алгоритмы

Ключевые технологии ядра

Интегрированное решение

•  Cisco ISR G2 обеспечивает возможность наращивания функционала за счёт поддержки платформы Cisco AXP –  Cisco Application eXtension Platform – это аппаратные модули

SM, ISM (NME, AIM), на которых исполняются приложения под управлением ОС Linux

•  Таким приложением стал Kaspersky Anti-Virus для Cisco AXP


•  Полнофункциональное приложение «Kaspersky Anti-Virus for Proxy Servers», интегрированное в Cisco AXP –  Обеспечивает антивирусную фильтрацию Интернет-трафика (http и

ftp) в реальном времени •  Осуществляет поиск и удаление вирусов всех типов, червей, троянских и других вредоносных программ в потоке данных

–  Предоставляет широкий выбор параметров фильтрации •  IP-адреса и URL, MIME-типы, имена, расширения, размер файлов – позволяют настроить индивидуальные правила проверки для различных групп пользователей

–  Проверяет архивированные файлы •  Поддерживает практические любые форматы архиваторов и упаковщиков

–  Выявляет потенциально опасные программы •  В режиме расширенной антивирусной защиты отслеживает все объекты, потенциально способные нанести вред компьютерам пользователей


•  Обеспечивает гибкое управление настройками:

–  Удалённое администрирование •  Можно управлять удаленно, используя веб-интерфейс •  Также традиционно – через единый конфигурационный файл (Unix-way)

–  Групповые политики безопасности •  Администратор может применять индивидуальные правила фильтрации для отдельных групп пользователей, определяя уровни ограничений в соответствии с политикой безопасности компании

–  Уведомления для пользователей •  Обнаруженный инфицированный объект блокируется, а пользователю направляется созданное/изменённое администратором html-уведомление

–  Отчёты и статистика •  Позволяет формировать статистические отчеты для отслеживания вирусной активности и контроля работы приложения

–  Настройка режима обновления •  По запросу или автоматически по расписанию •  С серверов «Лаборатории Касперского» в Интернете или с заданных локальных серверов компании

Сертифицированный VPN

VPN-решения Cisco в России

•  VPN-решения Cisco признаны лучшими во многих странах и признаны стандартом де-факто многими специалистами

•  Использование VPN-решений Cisco в России сопряжено с рядом трудностей

–  Порядок ввоза на территорию Таможенного союза шифровальных средств –  Требование использования национальных криптографических алгоритмов –  Обязательная сертификация СКЗИ

•  На сайте www.slideshare.com/CiscoRu выложена презентация по регулированию криптографии в России

Cisco – лицензиат ФСБ

•  Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-решения, поддерживающие российские криптоалгоритмы на базе оборудования Cisco

•  Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625, 124-1626 от 28 февраля 2011 года –  Сертификат по классу КС2 на оба решения

Решение для удаленных офисов •  На базе модуля для ISR G1 и G2

(2800/2900/3800/3900)

Технологические сценарии

•  Защита каналов связи

•  VPN-узел доступа центрального офиса

•  Концентратор удаленного доступа

•  ПК удаленного (мобильного) пользователя

•  Защита беспроводных сетей

•  Защита унифицированных коммуникаций

•  Managed VPN Services

Выводы

•  Как сформировать политики межсетевого экрана на основе зон (начиная с базовых и заканчивая расширенными)

•  Как использовать в IOS функции с учетом пользователей, включая ZFW с учетом пользователей

•  Как использовать преимущества ресурсов расширенной фильтрации, например ACL-списки специального назначения и гибкое сравнение пакетов (FPM)

•  Предусмотренные в IOS методы антиспуфинга, в особенности ресурс uRPF

•  Основные понятия системы предотвращения вторжений (IPS) IOS •  Какова функциональность безопасности IPv6, уже реализованная в IOS •  Интеграция с антифирусным шлюзом Лаборатории Касперского •  Наличие сертифицированного решения VPN

Основные выводы Что вы узнали

CCP NetFlow IP SLA Ролевой доступ

Управление и контроль состояния

Защищенные сетевые решения

Защищенная голосовая связь Нормативное

соответствие Защищенная мобильность

Непрерывное ведение бизнеса

Контроль доступа к сети

Предотвращение вторжений

Интегрированное управление угрозами

Фильтрация контента 802.1x Система защиты

основания сети Гибкие функции сравнения

пакетов (FPM)

011111101010101011111101010101

Защищенные каналы связи

GET VPN DMVPN Easy VPN SSL VPN

Усовершенствован-ный межсетевой

экран

Маршрутизаторы Cisco ISR – платформа для Вашей сети

Cisco ISR G2

Спасибо! Просим Вас заполнить анкеты. Ваше мнение очень важно для нас.

Technology

Маршрутизаторы Cisco ISR G2 как унифицированное средство обеспечения безопасности