Функции безопасности маршрутизаторов cisco
DESCRIPTION
TRANSCRIPT
Оксана Санникова, Системный инженер CiscoCCIE Security #35825
Функции безопасности маршрутизаторов Cisco
Содержание
• Межсетевой экран с политиками на основе зон• Функции межсетевого экрана с учетом пользователей• Технологии VPN• Сертифицированный VPN• Функции безопасности IPv6• Secure Group Tagging• Основные выводы
Про
изво
дите
льно
сть
и м
асш
таби
руем
ость
Про
изво
дите
льно
сть
и м
асш
таби
руем
ость
Портфолио маршрутизаторов Cisco
ФилиалЦентральный офис/ Агрегация WAN
Маршрутизаторы с интегрированными сервисами -Безопасность, Голос, Видео, БЛВС, Оптимизация WAN
Высокая производительность встроенных сервисов, гибкость, аппаратная и программная отказоустойчивость, модульное ПО
ISR G2(1900/2900/3900)
ASR 1000 сESP-5G или 10G
ASR 1000С ESP-40G
Безопасная агрегация WAN
Встроенная защита от угроз
Оптимизация приложений
ASR 1000 с ESP-20G
ASR 1001ESP-2.5G до5G
ISR G2(810/860/880/89
0)
Межсетевой экран с политиками на основе зон
Межсетевой экран с политиками на основе зон (ZFW)• Зона - набор интерфейсов с определенным общим "уровнем доверия"• Изменение концепции: теперь политики межсетевого экрана
определяют правила обмена между зонами (а не между интерфейсами)
ZFW1
ДОВЕРЕННАЯ зона НЕДОВЕРЕННАЯ зона
Int 1
Int 3
Политика зоны OUTBOUND
ИНТЕРНЕТ
Клиент1Сервер
Int 4
Int 2
Клиент2
Политики ZFW являются однонаправленными: от источника к получателю
%FW-6-DROP_PKT: Dropping icmp session 172.18.1.10:0 172.18.2.20:0 due to No zone-pair between zones with ip ident 0
Интерфейсы назначены зонам, но без определения пар зон
%FW-6-DROP_PKT: Dropping icmp session 172.17.3.10:0 172.18.1.10:0 due to One of the interfaces not being cfged for zoning with ip ident 0
Интерфейс источника не назначен зоне
%FW-6-DROP_PKT: Dropping icmp session 172.18.2.20:0 172.17.4.10:0 due to policy match failure with ip ident 0
Интерфейс получателя не назначен зоне
ZFW: более простая реализация режима «запрета по умолчанию"
ZFW: основные элементы политик
policy-map type inspect BASIC1class type inspect CLASS1
{ inspect | pass | police | drop }[…]
class type inspect CLASS-N{ inspect | pass | police | drop }
class class-default{ inspect | pass | drop }
class-map type inspect { match-all | match-any } CLASS1a) match protocol { tcp | udp | icmp }b) match access-group { name ACL-NAME | ACL-NUM }c) match class-map CLASS-MAP_NAME
zone-pair security Z1-Z2 source Z1 destination Z2service-policy type inspect BASIC1
ZFW1
Зона безопасности Z1
Int 1 Int 2
Участник зоны безопасности Z2
Участник зоны безопасности Z1
Политика Z1-Z2Зона безопасности Z2
Межсетевой экран с политиками на основе зон: карты параметров
ZFW1# show parameter-map type inspect defaultaudit-trail offalert onmax-incomplete low 2147483647max-incomplete high 2147483647one-minute low 2147483647one-minute high 2147483647udp idle-time 30icmp idle-time 10dns-timeout 5tcp idle-time 3600tcp finwait-time 5tcp synwait-time 30tcp max-incomplete host 4294967295 block-time 0sessions maximum 2147483647
parameter-map type inspect TRACKINGaudit-trail on
parameter-map type inspect globallog dropped-packets enable
Полезный совет: указывать имена элементов политики в верхнем регистре. Поиск в интерфейсе командной строки производится с учетом регистра
172.18.2.0/24172.18.1.0/24 .4 .4ZFW1
Политика зоны OUTBOUND1
F1 F0
Зона INSIDE Зона OUTSIDE
policy-map type inspect POLICY1class type inspect TOP-CLASS1
inspect TRACKINGclass class-default
drop log
zone-pair security OUTBOUND1 source INSIDE destination OUTSIDEservice-policy type inspect POLICY1
class-map type inspect match-any TOP-CLASS1match protocol udpmatch protocol tcp
Установка соединения
.20.10
Проверка исходящего трафика (только L4)
172.18.2.0/24172.18.1.0/24 .4 .4ZFW1
Политика зоны OUTBOUND1
F1 F0
Зона INSIDE Зона OUTSIDE
.20.10
ZFW1# show zone securityzone selfDescription: System defined zone
zone INSIDEMember Interfaces:FastEthernet0
zone OUTSIDEMember Interfaces:FastEthernet1
ZFW1# show policy-firewall config zone-pairZone-pair : OUTBOUND1Source Zone : INSIDEDestination Zone : OUTSIDEService-policy inspect : POLICY1Class-map : TOP-CLASS1(match-any)Match protocol udpMatch protocol tcpAction : inspectParameter-map : TRACKINGClass-map : class-default(match-any)Match anyAction : drop logParameter-map : Default
Проверка исходящего трафика (только L4)
172.18.2.0/24172.18.1.0/24 .4 .4ZFW1
Политика зоны OUTBOUND1
F1 F0
Зона INSIDE Зона OUTSIDE
.20.10
Проверка исходящего трафика (только L4)
%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:TOP-CLASS1): Start tcp session: initiator (172.18.1.10:22374) -- responder (172.18.2.20:23)
ZFW1# show policy-firewall sessionEstablished Sessions = 1
Session 498723C0 (172.18.1.10:22374)=>(172.18.2.20:23) tcp SIS_OPEN/TCP_ESTABCreated 00:00:19, Last heard 00:00:12Bytes sent (initiator:responder) [48:95]
%FW-6-SESS_AUDIT_TRAIL: (target:class)-(OUTBOUND1:TOP-CLASS1):Stop tcp session: initiator (172.18.1.10:22374) sent 54 bytes -- responder (172.18.2.20:23) sent 107 bytes
172.18.2.0/24172.18.1.0/24 .4 .4ZFW1
Политика зоны OUTBOUND1
F1 F0
Зона INSIDE Зона OUTSIDE
.20.10
Проверка исходящего трафика (только L4)
%FW-6-DROP_PKT: Dropping icmp session 172.18.1.10:0 172.18.2.20:0 on zone-pair OUTBOUND1 class class-default due to DROP action found in policy-map with ip ident 0
%FW-6-DROP_PKT: Dropping icmp session 172.18.2.20:0 172.18.1.10:0 due to policy match failure with ip ident 0
Попытка исходящего соединения (пара зон не определена)
Попытка исходящего соединения (блокирование ICMP по "class-default")
ZFW: подготовка для политики L3 + L4
172.18.2.0/24172.18.1.0/24 .4 .4ZFW1
F1 F0
Зона INSIDE Зона OUTSIDE
.20.10 172.22.0.0/16
object-group network INSIDE1172.18.1.0 255.255.255.0!object-group network OUT1172.22.0.0 255.255.0.0!object-group network OUT2host 172.18.2.20
object-group service SVCS1tcp eq telnettcp eq www!object-group service SVCS2udp eq ntp
ip access-list extended ACL1permit object-group SVCS1 object-group INSIDE1 object-group OUT1permit object-group SVCS2 object-group INSIDE1 object-group OUT2
ZFW: политика L3 + L4 (нет других ACL-списков)
172.18.2.0/24172.18.1.0/24 .4 .4ZFW1
F1 F0
Зона INSIDE Зона OUTSIDE
.20.10 172.22.0.0/16
zone-pair security OUTBOUND2 source INSIDE destination OUTSIDEservice-policy type inspect POLICY2
policy-map type inspect POLICY2class type inspect JOINT1inspect TRACKING
class class-defaultdrop log
class-map type inspect match-all JOINT1match class-map TOP-CLASS1match access-group name ACL1
Политика зоны OUTBOUND2
ip access-list extended ACL1permit object-group SVCS1 object-group INSIDE1 object-group OUT1permit object-group SVCS2 object-group INSIDE1 object-group OUT2
%FW-6-SESS_AUDIT_TRAIL_START: (target:class) (OUTBOUND2:JOINT1): Start udp session: initiator (172.18.1.10:123) -- responder (172.18.2.20:123)
%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND2:JOINT1): Start tcp session: initiator (172.18.1.10:31793) -- responder (172.22.22.22:23)
FIREWALL*: NEW PAK 48EE1EE4 (0:172.18.1.10:123) (0:172.22.22.22:123) udpFIREWALL*: DROP feature object 0xAAAA0028 found%FW-6-DROP_PKT: Dropping udp session 172.18.1.10:123 172.22.22.22:123 on zone-pair OUTBOUND2 class class-default due to DROP action found in policy-map with ip ident 0FIREWALL: ret_val 0 is not PASS_PAK
FIREWALL*: NEW PAK 48EE1EE4 (0:172.18.1.10:12803) (0:172.18.2.20:23) tcpFIREWALL*: DROP feature object 0xAAAA0028 found%FW-6-DROP_PKT: Dropping tcp session 172.18.1.10:12803 172.18.2.20:23 on zone-pair OUTBOUND2 class class-default due to DROP action found in policy-map with ip ident 0FIREWALL: ret_val 0 is not PASS_PAK
ZFW: реализация политики L3 + L4
Примеры допустимого трафика
Примеры блокируемого трафика
ZFW, ACL-списки и NAT
zone-pair security INBOUND2 source OUTSIDE destination INSIDEservice-policy type inspect POLICY2
policy-map type inspect POLICY2class type inspect JOINT2
inspect TRACKINGclass class-default
drop log
class-map type inspect match-all JOINT2match class-map TOP-CLASS2match access-group name ACL2
class-map type inspect match-any TOP-CLASS2match protocol tcp
ip access-list extended ACL2permit ip 172.18.2.0 0.0.0.255 host 10.5.5.5
ip nat inside source static 10.5.5.5 172.18.2.5
10.5.5.0/24 172.18.2.0/24
.5 .20ip nat outsideip nat inside ZFW1
NAT
.4 .4
Локальное адресное пространство
Глобальное адресное пространство
Зона INSIDE Зона OUTSIDE
F0/1.1610F0/0
Реальный Преобразованный
ZFW, ACL-списки и NAT
%IPNAT-6-CREATED: tcp 10.5.5.5:23 172.18.2.5:23 172.18.2.20:15649 172.18.2.20:15649FIREWALL* sis 49AD2B40: Session CreatedFIREWALL* sis 49AD2B40: Pak 49182EC8 init_addr (172.18.2.20:15649) resp_addr (10.5.5.5:23)init_alt_addr (172.18.2.20:15649) resp_alt_addr (172.18.2.5:23)FIREWALL* sis 49AD2B40: FO cls 0x4ACDB960 clsgrp 0x10000000, target 0xA0000010,FO 0x49A56880, alert = 1, audit_trail = 1, L7 = Unknown-l7, PAMID = 2
%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(INBOUND2:JOINT2): Start tcp session: initiator (172.18.2.20:15649) -- responder (10.5.5.5:23)
ZFW1# show policy-firewall sessionEstablished Sessions = 1Session 49AD2B40 (172.18.2.20:15649)=>(10.5.5.5:23) tcp SIS_OPEN/TCP_ESTAB
Created 00:00:45, Last heard 00:00:40Bytes sent (initiator:responder) [48:101]
10.5.5.0/24 172.18.2.0/24
.5 .20ip nat outsideip nat inside ZFW1
NAT
.4 .4
Локальное адресное пространство
Глобальное адресное пространство
Зона INSIDE Зона OUTSIDE
F0/1.1610F0/0
ZFW: прозрачный режим работы
ZFW1R1 R2
10.5.5.0/24
Зона INSIDE Зона OUTSIDE
.1 .2F0/1.1610F0/0
Политика зоны OUTBOUND1
zone-pair security OUTBOUND1 source INSIDE destination OUTSIDEservice-policy type inspect POLICY1
class-map type inspect match-any BASIC1match protocol udpmatch protocol icmpmatch protocol tcp
bridge-group1 bridge-group1
policy-map type inspect POLICY1class type inspect BASIC1
inspect TRACKINGclass class-default
drop log
ZFW1# show policy-firewall sessionEstablished Sessions = 1Session 49AD3240 (10.5.5.1:56643)=>(10.5.5.2:23) tcp SIS_OPEN/TCP_ESTAB
Created 00:00:25, Last heard 00:00:13Bytes sent (initiator:responder) [48:95]
%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:BASIC1): Start tcp session: initiator (10.5.5.1:56643) -- responder (10.5.5.2:23)
ZFW1
192.168.2.0/24
Зона WIRED Зона WIRELESS
Fast1 Fast0
Беспроводная точка доступа Беспро-
водный клиент
.101 .102
zone-pair security INBOUND1 source WIRELESS destination WIREDservice-policy type inspect POLICY1
Политика зоны INBOUND1
policy-map type inspect POLICY1class type inspect JOINT1inspect TRACKING
class class-defaultdrop log
class-map type inspect match-all JOINT1match class-map BASIC1match access-group name ACL1
class-map type inspect match-any BASIC1match protocol tcp
ip access-list extended ACL1permit tcp 192.168.2.0 0.0.0.255 host 192.168.2.101 eq 25permit tcp 192.168.2.0 0.0.0.255 host 192.168.2.102 eq 443
HTTPSSMTP
ZFW: сценарий использования для прозрачного режима
zone-pair security OUTBOUND1 source INSIDE destination OUTSIDEservice-policy type inspect POLICY1
policy-map type inspect POLICY1class type inspect L7-CLASS1
inspect TRACKINGclass class-default
drop log
class-map type inspect match-any L7-CLASS1match protocol ftp
192.168.2.0/24 ZFW1
Политика зоны OUTBOUND1
.X
Зона INSIDE Зона OUTSIDE
Fast0
Клиент
ip nat outsideip nat inside
NAT
Глобальное адресное пространство
Локальное адресное пространство
Fast1
172.17.11.102
FTP
ip nat outside source static 172.17.11.102 192.168.2.102 add-route
ZFW и проверка L7: пример 1проверка трафика FTP и использование NAT
%IPNAT-6-CREATED: tcp 192.168.2.72:36886 192.168.2.72:36886 192.168.2.102:21 172.17.11.102:21%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:L7-CLASS1):Start ftp session: initiator (192.168.2.72:36886) -- responder (172.17.11.102:21)
%IPNAT-6-CREATED: tcp 192.168.2.72:51974 192.168.2.72:51974 192.168.2.102:20 172.17.11.102:20%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:L7-CLASS1):Start ftp-data session: initiator (172.17.11.102:20) -- responder (192.168.2.72:51974)
%FW-6-SESS_AUDIT_TRAIL: (target:class)-(OUTBOUND1:L7-CLASS1):Stop ftp-data session: initiator (172.17.11.102:20) sent 350 bytes -- responder (192.168.2.72:51974) sent 0 bytes
ZFW и проверка L7: пример 1
Управление сеансом FTP
Пример сеанса передачи данных FTP
192.168.2.0/24 ZFW1
Политика зоны OUTBOUND1
.X
Зона INSIDE Зона OUTSIDE
Fast0
Клиент
ip nat outsideip nat inside
NAT
Глобальное адресное пространство
Локальное адресное пространство
Fast1
172.17.11.102
FTP
ZFW1
Политика зоны OUTBOUND1
.200
Зона INSIDE Зона OUTSIDE
Fast0Fast1
192.168.2.0/24 172.17.3.0/24
.40
HTTP работает на портах 2002 - 2003
zone-pair security OUTBOUND1 source INSIDE destination OUTSIDEservice-policy type inspect POLICY1
policy-map type inspect POLICY1class type inspect HTTP-CLASS
inspect TRACKINGclass class-default
drop log
class-map type inspect match-any HTTP-CLASSmatch protocol http
access-list 1 permit 172.17.3.40ip port-map http port tcp from 2002 to 2003 list 1
Проверка HTTP на нестандартных портах
ZFW и проверка L7: пример проверки L7на нестандартных портах
ZFW1
Политика зоны OUTBOUND1
.200
Зона INSIDE Зона OUTSIDE
Fast0Fast1
192.168.2.0/24 172.17.3.0/24
.40
HTTP работает на портах 2002 - 2003
ZFW1# show ip port-map httpDefault mapping: http tcp port 80 system definedHost specific: http tcp port 2002-2003 in list 1 user defined
ZFW и проверка L7: пример 2проверка L7 на нестандартных портах
FIREWALL* sis 84294160: Session CreatedFIREWALL* sis 84294160: Pak 83CBFCFC init_addr (192.168.2.200:1065) resp_addr (172.17.3.40:2002) init_alt_addr (192.168.2.200:1065) resp_alt_addr (172.17.3.40:2002)FIREWALL* sis 84294160: FO cls 0x84F8EB80 clsgrp 0x10000000, target 0xA0000000, FO 0x849600E0, alert = 1, audit_trail = 1, L7 = http, PAMID = 5FIREWALL* sis 84294160: Allocating L7 sis extension L4 = tcp, L7 = http, PAMID = 5
%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:HTTP-CLASS): Start http session: initiator (192.168.2.200:1065) -- responder (172.17.3.40:2002)
ZFW1
Политика зоны OUTBOUND1
.200
Зона INSIDE Зона OUTSIDE
Fast0Fast1
HTTP
192.168.2.0/24 172.17.3.0/24
zone-pair security OUTBOUND1 source INSIDE destination OUTSIDEservice-policy type inspect POLICY1
policy-map type inspect POLICY1class type inspect HTTP-CLASS
inspect TRACKINGservice-policy http WEB1
class class-defaultdrop log
class-map type inspect match-any HTTP-CLASSmatch protocol http
policy-map type inspect http WEB1class type inspect http HTTP1
resetlog
class-map type inspect http match-any HTTP1match response header set-cookie
policy-map верхнего уровня
policy-map для конкретного приложения
class-map верхнего уровня
class-map для конкретного приложения
.30
ZFW и проверка L7: пример сравнения заголовка ответа HTTP
ZFW и проверка L7: пример 3сравнение заголовка ответа HTTP
%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:HTTP-CLASS): Start http session: initiator (192.168.2.200:43005) -- responder (172.17.3.30:80)
FIREWALL* sis 84283A40: match-info tocken in cce_sb 849BA240 - class 3221225494; filter 31; val1 0; val2 0; str set-cookie, log on, reset on
%APPFW-4-HTTP_HDR_FIELD_REGEX_MATCHED: Header field (set-cookie)matched - resetting session 172.17.3.30:80 192.168.2.200:43005 onzone-pair OUTBOUND1 class HTTP-CLASS appl-class HTTP1
ZFW1
Политика зоны OUTBOUND1
.200
Зона INSIDE Зона DMZ
Fast0Fast1
HTTP
192.168.2.0/24 172.17.3.0/24
.30
ZFW: проверка трафика самого маршрутизатора - зона «self»
.2ZFW1F4.200 172.21.21.0/24
Зона OUTSIDE
.21
Зона self (адреса маршрутизатора)
Политика зоны OUT-SELF
F4.201
10.10.10.1 172.20.20.1
172.22.22.0/24
.2
.22
R1
172.20.20.0/24R2
zone-pair security OUT-SELF source OUTSIDE destination selfservice-policy type inspect OUT-FW1
policy-map type inspect OUT-FW1class type inspect ICMP1
inspect TRACKINGclass class-default
drop log
class-map type inspect match-all ICMP1match access-group name PING1
ip access-list extended PING1permit icmp object-group OUT1 object-group RTR-ADDR echo
object-group network RTR-ADDRhost 10.10.10.1host 172.20.20.1
object-group network OUT1172.20.20.0 255.255.255.0
.2ZFW1F4.200 172.21.21.0/24
Зона OUTSIDE
.21
Зона self (адреса маршрутизатора)
Политика зоны OUT-SELF
F4.201
10.10.10.1 172.20.20.1
172.22.22.0/24
.2
.22
R1
172.20.20.0/24R2
ZFW: проверка трафика самого маршрутизатора
• Операция ZFW по умолчанию - разрешить трафик на интерфейсы маршрутизатора и от них
• Особая зона с именем "self" обрабатывает трафик маршрутизатора
• Политики, относящиеся к зоне "self", являются однонаправленными по своей природе
%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUT-SELF:ICMP1):Start icmp session:initiator (172.20.20.2:0) -- responder (172.20.20.1:0)
%FW-6-DROP_PKT: Dropping icmp session 172.21.21.21:0 172.20.20.1:0 on zone-pairOUT-SELF class class-default due to DROP action found in policy-map with ip ident 0
Трафик ICMP на адрес маршрутизатора 172.20.20.1 (от допустимого источника) разрешен
Трафик ICMP на адрес маршрутизатора 172.20.20.1 (от недопустимого источника) отбрасывается
ZFW: политики внутри зоны
• В выпусках IOS 12.X прохождение трафика между интерфейсами, принадлежащими одной и той же зоне, было разрешено без проверки.
• В выпуске IOS 12.X было невозможно определить политики ZFW внутри зоны:
• Начиная с выпуска IOS 15.0(1)M, трафик в пределах зоны блокируется по умолчанию
• IOS 15.X позволяет формировать политики внутри зоны (когда источник и получатель трафика находятся в одной зоне)
ZFW2(config)# zone-pair sec INTRAZONE2 source INSIDE destination INSIDE% Same zone cannot be defined as both the source and destination
Длясправки
ZFW: политики внутри зоны
zone-pair security INTRAZONE1 source INSIDE destination INSIDEservice-policy type inspect POLICY2
policy-map type inspect POLICY2class type inspect TOP-CLASS2inspect TRACKING
class class-defaultdrop log
class-map type inspect match-any TOP-CLASS2match protocol icmpmatch protocol udp
10.10.6.0/24 10.10.10.0/24ZFW1.1 .1
Зона INSIDE
Fast1 Fast0
Политика зоны INTRAZONE1
.200.6
Сервер NTP
ZFW: политики внутри зоны
ZFW1# show zone security INSIDEzone INSIDEMember Interfaces:FastEthernet0FastEthernet1
ZFW1# show zone-pair securityZone-pair name INTRAZONE1
Source-Zone INSIDE Destination-Zone INSIDEservice-policy POLICY2
ZFW1# show policy-firewall sessionEstablished Sessions = 1Session 49CFB240 (10.10.6.6:123)=>(10.10.10.200:123) udp SIS_OPEN
Created 00:00:29, Last heard 00:00:29Bytes sent (initiator:responder) [48:48]
10.10.6.0/24 10.10.10.0/24ZFW1.1 .1
Зона INSIDE
Fast1 Fast0
Политика зоны INTRAZONE1
.200.6
Сервер NTP
Функции межсетевого экрана с учетом пользователей
Управление доступом с учетом пользователя
Имеется ли возможность предоставить доступ конкретному пользователю?
Можно ли управлять доступом к приложениям любого типа?
Имеется ли поддержка учетных записей?
Это динамический тип управления?
user1
Кто пользователь? Что за ресурс?
user2
SRV1 SRV2
172.26.26.0/24Шлюз
Сеть управления
CS-ACS
Конечный пользо-ватель
172.16.100.0/24
2
Запрос прокси-сервиса
аутентификации
3
4
5
Telnet 172.26.26.261
.26
SRV1
1. Пользователь связывается по Telnet с сервером SRV1
2. Прокси-сервис аутентификации перехватывает пакет и направляет пользователю запрос на аутентификацию
3. ZFW запрашивает сервер RADIUS
4. Сервер RADIUS в ответ направляет профиль авторизации (или отказ в доступе)
5. Пользователю предоставляется доступ к узлу назначения
.100
F0F1
Базовый инструмент: прокси-сервис аутентификации
Подготовка для прокси-сервиса аутентификации
! *** Instructing the NAS to receive, send and process RADIUS VSAsradius-server vsa send accountingradius-server vsa send authentication
! *** Defining and using an AAA server-group called "RADIUS1"aaa group server radius RADIUS1server 192.168.1.200 auth-port 1812 acct-port 1813server-private 192.168.1.200 auth-port 1812 acct-port 1813 key 7 #####!aaa authentication login default group RADIUS1aaa authorization network default group RADIUS1aaa authorization auth-proxy default group RADIUS1aaa accounting auth-proxy default start-stop group RADIUS1
! *** Defining an ACL to be applied to the same interface as Auth-Proxyaccess-list 100 permit udp host 192.168.1.200 eq 1812 host 192.168.2.1access-list 100 permit udp host 192.168.1.200 eq 1813 host 192.168.2.1access-list 100 permit tcp any 172.26.26.0 0.0.0.255 eq telnet
! *** Defining the Auth-Proxy policy to intercept Telnet trafficip admission name ADMISSION1 proxy telnet
! ***Applying the Auth-Proxy policy to interface F1 (Auth-Proxy incoming interface) interface FastEthernet1ip access-group 100 inip admission ADMISSION1
Длясправки
Прокси-сервис аутентификации в действии: передача отдельных правил фильтрации - ACE (1)
! *** Telnet Session is intercepted by Auth-Proxy process (before reaching interface ACL)AUTH-PROXY creates info:
cliaddr - 172.16.100.100, cliport - 1562seraddr - 172.26.26.26, serport - 23
ip-srcaddr 172.16.100.100pak-srcaddr 0.0.0.0
! *** NAS sends request to CS-ACS and receives individual ACEs (proxyacl)RADIUS(0000000C): Send Access-Request to 192.168.1.200:1812 id 1645/12, len 104RADIUS: authenticator 73 DC D7 7B 91 B4 61 38 - 4E 65 CB A5 B3 4F AD 9DRADIUS: User-Name [1] 7 "user1"! […]RADIUS: Received from id 1645/12 192.168.1.200:1812, Access-Accept, len 148RADIUS: authenticator ED 65 FB F6 64 B9 33 6D - A3 5E B8 5F 14 36 D4 21RADIUS: Vendor, Cisco [26] 19RADIUS: Cisco AVpair [1] 13 "priv-lvl=15"RADIUS: Vendor, Cisco [26] 43RADIUS: Cisco AVpair [1] 37 "proxyacl#1=permit tcp any any eq 22"RADIUS: Vendor, Cisco [26] 43RADIUS: Cisco AVpair [1] 37 "proxyacl#2=permit tcp any any eq 23"
ACS/Group Settings : GROUP1[009\001] cisco-av-pairpriv-lvl=15proxyacl#1=permit tcp any any eq 22proxyacl#2=permit tcp any any eq 23
Прокси-сервис аутентификации в действии: передача отдельных ACE (2)
IOS-FW# show ip auth-proxy cacheAuthentication Proxy CacheClient Name user1, Client IP 172.16.100.100, Port 1562, timeout 60, Time Remaining 60, state INTERCEPT!! *** Details about the current Auth-Proxy sessionIOS-FW# show epm session ip 172.16.100.100Admission feature : AuthproxyAAA Policies :Proxy ACL : permit tcp any any eq 22Proxy ACL : permit tcp any any eq 23
! *** Viewing Dynamic Entries (for host 172.21.21.101) added to the interface ACLIOS-FW# show access-list 100Extended IP access list 100
permit tcp host 172.16.100.100 any eq 22 (18 matches)permit tcp host 172.16.100.100 any eq telnet (70 matches)10 permit udp host 192.168.1.200 eq 1812 host 192.168.2.1 (1 match)20 permit udp host 192.168.1.200 eq 1813 host 192.168.2.1 (1 match)30 permit tcp any 172.26.26.0 0.0.0.255 eq telnet (2 matches)
Прокси-сервис аутентификации с загружаемыми ACL-списками (1)
! *** NAS sends Access Request to CS-ACS and receives name of the DACL to be appliedRADIUS(00000006): Send Access-Request to 192.168.1.200:1812 id 1645/4, len 104RADIUS: authenticator 67 06 F7 BB F1 81 BE 96 - 29 2D C9 24 89 00 2B 31RADIUS: User-Name [1] 7 "user1"[…]RADIUS: Received from id 1645/4 192.168.1.200:1812, Access-Accept, len 124RADIUS: authenticator 6D 19 94 84 EF C0 28 C3 - EF AB 8E FE 1F E9 7B 28RADIUS: Vendor, Cisco [26] 19RADIUS: Cisco AVpair [1] 13 "priv-lvl=15"RADIUS: Vendor, Cisco [26] 62RADIUS: Cisco AVpair [1] 56 "ACS:CiscoSecure-Defined-ACL=#ACSACL#-IP-DACL1-4aac618d"[…]! *** NAS sends second Access Request using DACL name as username (null password)RADIUS(00000000): Send Access-Request to 192.168.1.200:1812 id 1645/5, len 134RADIUS: authenticator 94 3C 9D F1 C1 93 25 2A - F3 9E DA C9 B0 15 FC B2RADIUS: NAS-IP-Address [4] 6 172.21.21.1RADIUS: User-Name [1] 28 "#ACSACL#-IP-DACL1-4aac618d"RADIUS: Vendor, Cisco [26] 32RADIUS: Cisco AVpair [1] 26 "aaa:service=ip_admission"RADIUS: Vendor, Cisco [26] 30RADIUS: Cisco AVpair [1] 24 "aaa:event=acl-download"!! *** ACS sends second Response containing the individual entries of the Downloadable ACLRADIUS: Received from id 1645/5 192.168.1.200:1812, Access-Accept, len 179RADIUS: authenticator 69 A2 A7 BB 15 AF 3C EB - A3 D7 12 F0 F5 04 54 F2RADIUS: Vendor, Cisco [26] 43RADIUS: Cisco AVpair [1] 37 "ip:inacl#1=permit tcp any any eq 80"RADIUS: Vendor, Cisco [26] 43RADIUS: Cisco AVpair [1] 37 "ip:inacl#2=permit icmp any any echo"
Прокси-сервис аутентификации с загружаемыми ACL-списками (2)
IOS-FW# show ip auth-proxy cacheAuthentication Proxy CacheClient Name user1, Client IP 172.16.100.100, Port 1085, timeout 60, Time Remaining 60, state INTERCEPT
IOS-FW#show epm session ip 172.16.100.100Admission feature : AuthproxyAAA Policies :ACS ACL : xACSACLx-IP-DACL1-4aac618d
! After Auth-Proxy “user1” uses PING and WWW servicesIOS-FW# show access-listExtended IP access list 100
permit tcp host 172.16.100.100 any eq www (12 matches)permit icmp host 172.16.100.100 any echo (4 matches)
10 permit udp host 192.168.1.200 eq 1812 host 192.168.2.1 (2 matches)20 permit udp host 192.168.1.200 eq 1813 host 192.168.2.1 (2 matches)30 permit tcp any 172.26.26.0 0.0.0.255 eq telnet (31 matches)
Extended IP access list xACSACLx-IP-DACL1-4aac618d (per-user)10 permit tcp any any eq www20 permit icmp any any echo
172.26.26.0/24ШлюзZFW1
Сеть управления
CS-ACS
Конечный пользо-ватель
172.16.100.0/24
.26
SRV1
1. Пользователь связывается по Telnet с сервером
2. Прокси-сервис аутентификации перехватывает пакет и направляет пользователю запрос
3. Сервер RADIUS отправляет "supplicant-group" ("группу клиента") VSA в межсетевой экран IOS
4. Формируется отображение пользователя на группу
5. Для каждой отдельной группы создается межсетевой экран с политиками на основе зон
.100
F0F1
Зона OUTSIDEЗона INSIDEПолитика зоны OUTBOUND1
Прокси-сервисаутентификации
ZFW с учетом пользователя
ACS/Group Settings : ENG[009\001] cisco-av-pairpriv-lvl=15supplicant-group=ENG
RADIUS: Received from id 1645/21 192.168.1.200:1812, Access-Accept, len 93RADIUS: authenticator 43 A9 2F 23 EC 7F 7B 19 - B5 AF 6D 1B 40 81 85 25RADIUS: Vendor, Cisco [26] 19RADIUS: Cisco AVpair [1] 13 "priv-lvl=15"RADIUS: Vendor, Cisco [26] 31RADIUS: Cisco AVpair [1] 25 "supplicant-group=ENG“
ZFW1# show ip auth-proxy cacheAuthentication Proxy CacheClient Name user1, Client IP 172.16.100.100, Port 1108, timeout 60, Time Remaining 60, state INTERCEPT!ZFW1# show epm session ip 172.16.100.100Admission feature : AuthproxyAAA Policies :Supplicant-Group : ENG!ZFW1# show user-groupUsergroup : ENG------------------------------------------------------------------------User Name Type Interface Learn Age (min)------------------------------------------------------------------------172.16.100.100 IPv4 FastEthernet1 Dynamic 0
ZFW с учетом пользователя: получение информации о группе
ZFW с учетом пользователя: использование информации о группе
class-map type inspect match-all ENG1match user-group ENGmatch protocol tcpclass-map type inspect match-all ENG2match user-group ENGmatch protocol icmpclass-map type inspect match-all MKT1match user-group MKTmatch protocol tcp!policy-map type inspect OUT1class type inspect ENG1inspect
class type inspect ENG2inspectpolice rate 32000 burst 6000
class type inspect MKT1inspect
class class-defaultdrop log
Межсетевой экран с учетом пользователей по прежнему работает в режиме контроля доступа с учетом состояния
!* Defining zones and zone-pairszone security INSIDEzone security OUTSIDE!zone-pair security OUTBOUND source INSIDE destination OUTSIDEservice-policy type inspect OUT1
! * Defining an Auth-Proxy policy to intercept Telnet trafficip admission name ADMISSION1 proxy telnet inactivity-time 60!! * Assigning interfaces to zones and applying the Auth-Proxy policyinterface FastEthernet1ip admission ADMISSION1zone-member security INSIDE!interface FastEthernet0zone-member security OUTSIDE
FlexVPN: унифицированная виртуальная частная сеть
EasyVPN, DMVPN и Crypto Map
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration group cisco
key cisco123
pool dvti
acl 100
crypto isakmp profile dvti
match identity group cisco
client authentication list lvpn
isakmp authorization list lvpn
client configuration address respond
virtual-template 1
crypto ipsec transform-set dvti esp-3des esp-sha-hmac
crypto ipsec profile dvti
set transform-set dvti
set isakmp-profile dvti
interface Virtual-Template1 type tunnel
ip unnumbered Ethernet0/0
tunnel mode ipsec ipv4
tunnel protection ipsec profile dvti
ip local pool dvti 192.168.2.1 192.168.2.2
ip route 0.0.0.0 0.0.0.0 10.0.0.2
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto ipsec transform-set vpn-ts-set esp-3des esp-sha-hmac
mode transport
crypto ipsec profile vpnprofile
set transform-set vpn-ts-set
interface Tunnel0
ip address 10.0.0.254 255.255.255.0
ip nhrp map multicast dynamic
ip nhrp network-id 1
tunnel source Serial1/0
tunnel mode gre multipoint
tunnel protection ipsec profile vpnprof
ip route 192.168.0.0 255.255.0.0 Null0router bgp 1
bgp log-neighbor-changes
redistribute static
neighbor DMVPN peer-group
bgp listen range 10.0.0.0/24 peer-group DMVPN
neighbor DMVPN remote-as 1
no auto-summary
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration group cisco
key pr3sh@r3dk3y
pool vpnpool
acl 110
crypto ipsec transform-set vpn-ts-set esp-3des esp-sha-hmac
crypto dynamic-map dynamicmap 10
set transform-set vpn-ts-set
reverse-route
crypto map client-vpn-map client authentication list userauthen
crypto map client-vpn-map isakmp authorization list groupauthor
crypto map client-vpn-map client configuration address initiate
crypto map client-vpn-map client configuration address respond
crypto map client-vpn-map 10 ipsec-isakmp dynamic dynamicmap
interface FastEthernet0/0
ip address 83.137.194.62 255.255.255.240
crypto map client-vpn-map
ip local pool vpnpool 10.10.1.1 10.10.1.254
access-list 110 permit ip 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255
Проблема выбора технологии VPN
Время восстановления
Метод
сбоев
Метод обнаружения
сбоев
Hub & Spoke
Spoke – Spoke напрямую
Динамическая маршрутизация
Встраивание маршрутов
ACL каждому клиенту
Multi-ISP Homing
Multi-Hub Homing
Управляемость AAA
IPv4/IPv6 dual stack
Crypto Map или туннели
Совместимость
версий
Совместимость производителей и
версий
Поддержка QoS
Масштабируемость
Высокая доступность
Dual DMVPN
Порядок функций
Multicast
Решение vsКомпоненты
Сложность дизайна
Смерть от тысячи вопросов…
• Масштабные сети с топологией «Звезда» и динамическими туннелями spoke-to-spoke
• Проверенная технология с множеством внедрений по всему миру
• Масштабируемость до 4000 площадок
DMVPNПубличный Интернет
транспорт
Hub-Spoke, Spoke-Spoke
Публичный Интернет транспорт
Hub-Spoke, Spoke-Spoke
• Наиболее масштабируемое решение для топологии «Точка-точка»
• Безтуннельноешифрование
• Интеграция с TrustSecи LISP
• Интуитивная поддержка мультикаста
• До 4,000 площадок на одну GETVPN группу
• Подходит для топологий «Точка-точка» и для удаленного доступа
• Централизованное управление политиками с помощью AAA
• Использует новейший протокол IKEv2
• Масштабируемость до 10,000 площадок
Объединение технологий «Точка-точка» и удаленного
доступа
Объединение технологий «Точка-точка» и удаленного
доступа
FlexVPNЧастный IP транспорт
Соединения «Любой с любым»
Частный IP транспорт
Соединения «Любой с любым»
GETVPN
Позиционирование VPN технологий
FlexVPN Объединяет
VPN
Совм
ести
мос
ть
Дин
амич
еска
я м
арш
рути
заци
я
IPse
cм
арш
рути
заци
я
Spok
e-sp
oke
dire
ct
(sho
rtcu
t)
Rem
ote
Acce
ss
Sim
ple
Failo
ver
Sour
ce F
ailo
ver
Conf
igpu
sh
Per-
peer
con
fig
Per-
Peer
QoS
Full
AAA
Man
agem
ent
Easy VPN No No Yes No Yes Yes No Yes Yes Yes Yes
DMVPN No Yes No Yes No partial No No No group No
Crypto Map Yes No Yes No Yes poor No No No No No
Flex VPN Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes Yes
Конфигурация FlexVPN
crypto ikev2 profile defaultmatch identity remote fqdn domain cisco.com
identity local fqdn R1.cisco.comauthentication local rsa-sigauthentication remote eappki trustpoint TP signaaa authentication eap defaultaaa authorization user eapvirtual-template 1
interface Virtual-Template1ip unnumbered loopback0tunnel protection ipsec profile default
tunnel mode gre ip
Remote Access
Hub & Spoke
Legacycrypto map peer
Dual Stack v4/v6 better
ip nhrp network-id 1
Все параметры
с помощью AAA
Все параметры подстраиваются “под соседа”
с помощью AAA
Dual Stack v4/v6 legacy Spoke-Spoke
shortcut switching
Почему FlexVPN именно сейчас?• IKEv2 – ключевое обновление протокола
– Нет обратной совместимости с IKEv1– Требует осмысления и перенастройки
• Сделаны значительные изменения в IOS– Настройки «соседа» (QoS, FW, политики, VRF re-injection,…)– Слишком много различных технологий– Время изучения технологий VPN чрезвычайно велико
• IKEv2 – подходящая веха для пересмотра дизайна и архитектуры
• FlexVPN рекомендован для будущих внедрений
Обзор IKEv2
IKEv2 в нескольких словах• Описан в RFC 4306 – обновлен в RFC 5996
– Не совместим с IKEv1– Не широко распространен … пока
• Оба протокола используют одинаковую базовую структуру для обеспечения:– Конфиденциальности– Целостности– Идентификации
• Оба протокола работают поверх UDP 500/4500
Ключевые сходства
NAT-T
DPDISAKMPRFC2408
DOIRFC2407
IKERFC2409
IKEv2RFC5996
Объединяет важные спецификации водном RFC
Main Mode
Aggressive Mode
Mode-config
InitialExchange
Quick Mode CREATE_CHILD_SA
IKEv1 IKEv2
Auth сообщения Максимум 6 4 и более
Первая IPsec SA 9 сообщ в мин ~ 4-6 сообщ в мин
Аутентификация pubkey-sig, pubkey-encr, PSK
Pubkey-sig, PSK, EAP
Anti-DOS Не работает Работает!
IKE rekey Требует повторнойаутентификации (накладные расходы)
Нет повторнойаутентификации
Нотификации Отправил и забыл Подтверждение
Ключевые отличия
No No statestate
Механизм anti-clogging cookie
Привет Bob_IP, я Alice_IP,½ IKE SPI равен 0xabe65f
Привет Alice_IP, Я Bob_IP,Твой ½ ike SPI равен 0xabe65fПодтверди с cookie 0xdeadbeefХм…Я не отправляла
SPI 0xabe65fBob_IP. Удаляю пакет. Безопасность:
Встроенный механизм Anti-DoS
Первые два пакета обмениваются только cookie и предложениями
Cookies используются для предотвращения DoS атак (anti-clogging)
Cookies используются при необходимости и могут увеличить число начальных сообщений
Обмен сообщениями в IKEv2
IKE_SA_INIT(2 сообщения)
IKE_AUTH + CREATE_CHILD_SA (2 сообщения)
Защищенные данныеA B
Согласование параметров аутентификации IKE_SA
Аутентификация IKE и создание одной CHILD_SA
CREATE_CHILD_SA(2 сообщения) Создание второй CHILD_SA
Обмен нотификациями• Используются для поддержания порядка
– Уведомления об удалении– Проверка «живости» соседа– Первый контакт– Отчеты об ошибках (различные уведомления)
• В ответ отправляется подтверждение– Иначе нотификация отправляется повторно
• Криптографическая защита– Только после начального обмена (Initial Exchange)
• Используются при обмене конфигурацией– Аналогично Mode-Config
Extensible Authentication Protocol (EAP)• В IKEv2 нет X-AUTH; взамен используется EAP
• EAP – инфраструктура аутентификации, определяющая общие функции для различных методов:
• Туннель – EAP-TLS, EAP/PSK, EAP-PEAP…
• Без туннеля – EAP-MSCHAPv2, EAP-GTC, EAP-MD5,…
• Реализовано в виде дополнительного обмена IKE_AUTH
• Используется только для аутентификации инициатора перед отвечающим на запрос узлом
• Респондер ДОЛЖЕН использовать сертификат
• Может значительно увеличить число сообщений (12-16)
• EAP имеет много особенностей – Читайте документацию!!!
IKEv2: Настройки по умолчанию
Знакомство с Smart Defaults
Предопределенные конструкции: crypto ikev2 proposal
AES-CBC 256, 196,128 , 3DES / SHA-512,384,256, SHA-1, MD5 / group 5, 2
crypto ikev2 policy (match any) crypto ipsec transform-set (AES-128, 3DES / SHA, MD5) crypto ipsec profile default (default transform set, ikev2 profile default)
Нужно только создать профиль IKEv2 с именем “default”
crypto ikev2 profile defaultmatch identity remote address 10.0.1.1 authentication local certificateauthentication remote certificatepki trustpoint TP!interface Tunnel0ip address 192.168.0.1 255.255.255.252tunnel protection ipsec profile default
Интеллектуальные, изменяемые значения по умолчанию
Изменяемые настройки по умолчанию
default crypto ikev2 proposal
default crypto ipsec transform-set Восстановление настроек
crypto ikev2 proposal defaultencryption aes-cbc-128hash md5
crypto ipsec transform-set default aes-cbc 256 sha-hmac
Отключение настроекno crypto ikev2 proposal default
no crypto ipsec transform-set default
Преднастроенные предложения
Для IKEv2
Для IPsec
Изменяемые настройки
Все настройки можно модифицировать, отключить и восстановить
Таймеры и значения по умолчанию
Параметр Значение по умолчанию
IKE SA lifetime 86400 секунд (24 часа)
IPsec SA lifetime 3600 секунд (1 час)
Retransmission count 7
Retransmission interval 2, 4, 8, 16, 32, 64, 128 секунд
Для справки
Примеры сценариев FlexVPN
Многообразие сценариев FlexVPN
Flex VPNFlex VPNIKEv2
Site-to-SiteSite-to-SiteПросто и быстро
Stars and Meshes
Stars and Meshes
Локальная БД
Basic Hub & Spoke
Basic Hub & Spoke
Легко настроить
Mesh Networks
Mesh Networks
Базовый DMVPN
Stars and Meshes
Stars and Meshes
БД RADIUS
Advanced Hub & Spoke
Advanced Hub & SpokeГибридная
аутентификация
Branch routersBranch routersБольшие и малые
Remote Access Clients
Remote Access Clients
Мобильные устр-ва
AnyConnectAnyConnectCross Platform
Win7 Native Client
Win7 Native Client
Microsoft
Managed Mesh
Managed Mesh
Managed DMVPN
Legacy InteropLegacy Interop
Совместимость
VTI/dVTImulti-SAVTI/dVTImulti-SA
Миграция 7600/6500
crypto mapscrypto mapsНа всякий случай
Нет ничего невозможного
VPN на любой вкус
Туннелирование Метод аутентификации
Настройкитуннеля
Источник настроек
GRE/IPsec Сертификат Статические ЛокальныйЧистый IPsec Секретный ключ Динамические RADIUS
EAP (инициатор) crypto map Гибрид
Беспроигрышный вариант
Выбор туннелированияТип инкапсуляции
GRE/IPsec Чистый IPsecЛюбые протоколы Только IPv4 или IPv6Одна пара SA Одна или несколько пар SAУмный выбор Устаревший/совместимость
Тип туннелированияСтатический туннель Динамический туннельInterface Tunnel Interface Virtual-TemplateИнициатор/Респондер Только респондерСтатические настройки Динамические настройкиОдна пара SA Одна или несколько пар SA
Для справки
Аутентификация и авторизацияМетод аутентификации
Сертификаты Секретный ключ EAP
Проверка офлайн Несколько соседей, иначе -RADIUS
Требует RADIUS для ответчика
Авто и ручное обновление Ручное обновление (admin) Ручное обновление (user)
Масштабные внедрения Малые-средние внедрения Удаленный доступ
Инициатор/Ответчик Инициатор/Ответчик Только инициатор
Источник настроекЛокальный RADIUSСтатическая БД Динамическая БДПолитики на группу Политики на пользователяCLI GUI, CLI, скрипты…
Возможны гибридные варианты
Для справки
Сертифицированный VPN
VPN-решения Cisco в России• VPN-решения Cisco признаны лучшими во многих странах и признаны
стандартом де-факто многими специалистами• Использование VPN-решений Cisco в России сопряжено с рядом
трудностей– Порядок ввоза на территорию Таможенного союза шифровальных средств– Требование использования национальных криптографических алгоритмов– Обязательная сертификация СКЗИ
• На сайте www.slideshare.com/CiscoRu выложена презентация по регулированию криптографии в России
Cisco – лицензиат ФСБ• Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-
решения, поддерживающие российские криптоалгоритмы на базе оборудования Cisco
• Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625, 124-1626 от 28 февраля 2011 года– Сертификат по классу КС1/КС2/КС3
Решение для удаленных офисов• На базе модуля для ISR G1 и G2
(2800/2900/3800/3900)
Технологические сценарии• Защита каналов связи• VPN-узел доступа центрального офиса• Концентратор удаленного доступа• ПК удаленного (мобильного) пользователя• Защита беспроводных сетей• Защита унифицированных коммуникаций• Managed VPN Services
Функции безопасности IPv6 в IOS
Действие
ipv6 access-list ACL-NAME {protocol} {deny | permit} { protocol } { src-prefix / prefix-length } {dst-prefix / prefix-length } [ sequence ACE# ]
Протокол Номер строки
Источники Получатели
Действие
ipv6 access-list ACL-NAME {protocol} {deny | permit} { tcp | udp } { src-prefix / prefix-length } [src-port] {dst-prefix / prefix-length } [dest-port]
ПротоколИсточники Получатели
Сервис
ACL-списки IOS IPv6
interface FastEthernet0/0ipv6 traffic-filter V6-ACL1 in
Привязка ACL-списка IPv6 к интерфейсу
V6-FW(config-ipv6-acl)# permit ipv6 any any?auth Match on authentication headerdest-option Destination Option header (all types)dest-option-type Destination Option header with typedscp Match packets with given dscp valueflow-label Flow labelfragments Check non-initial fragmentslog Log matches against this entrylog-input Log matches against this entry, including inputmobility Mobility header (all types)mobility-type Mobility header with typereflect Create reflexive access list entryrouting Routing header (all types)routing-type Routing header with typesequence Sequence number for this entrytime-range Specify a time-range<cr>
ACL-списки IOS IPv6: параметры фильтрации
Длясправки
ZFW для IPv6: пример
4 4ZFW6
F1 F0
Зона INSIDE Зона OUTSIDE
5
2001:db8::/64 2001:db8:0:1111::/64
zone-pair security OUTBOUND1 source INSIDE destination DMZservice-policy type inspect POLICY1
policy-map type inspect POLICY1class type inspect GENERIC-V6
inspect TRACKINGclass class-default
drop log
class-map type inspect match-any GENERIC-V6match protocol tcpmatch protocol udpmatch protocol icmp
Политика зоны OUTBOUND1
FIREWALL* sis 49FA6440: Session CreatedFIREWALL* sis 49FA6440: IPv6 address extention CreatedFIREWALL* sis 49FA6440: Pak 497651C8 init_addr ([2001:DB8::5]:123)resp_addr ([2001:DB8:0:1111::2]:123)FIREWALL* sis 49FA6440: FO cls 0x489C3100 clsgrp 0x20000000, target 0xA0000000, FO 0x4A91F6C0, alert = 1, audit_trail = 1, L7 = Unknown-l7, PAMID = 0
ZFW6 2001:db8:0:BBBB::/64
1021
FTP
1
2001:db8:0:2222::/64
Зона INSIDE Зона OUTSIDE
F0F1103
Политика зоны OUTBOUND1
ZFW для IPv6: пример 2
zone-pair security OUTBOUND1 source INSIDE destination OUTSIDEservice-policy type inspect POLICY1
policy-map type inspect POLICY1class type inspect V6-FTP
inspect TRACKINGclass class-default
drop log
class-map type inspect match-any V6-FTPmatch protocol ftp
Для FTP (через IPv6) поддерживается специфическая для приложения политика
ZFW6 2001:db8:0:BBBB::/64
1021
FTP
1
2001:db8:0:2222::/64
Зона INSIDE Зона OUTSIDE
F0F1103
Политика зоны OUTBOUND1
ZFW для IPv6: пример 2
%IPV6_FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:V6-FTP):Start ftp session: initiator ([2001:DB8:0:2222::103]:2510) -- responder ([2001:DB8:0:BBBB::102]:21)
%IPV6_FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:V6-FTP):Start ftp-data session: initiator ([2001:DB8:0:BBBB::102]:20) -- responder ([2001:DB8:0:2222::103]:2512)%IPV6_FW-6-SESS_AUDIT_TRAIL: (target:class)-(OUTBOUND1:V6-FTP):Stop ftp-data session initiator ([2001:DB8:0:BBBB::102]:20) sent 39 bytes -- responder ([2001:DB8:0:2222::103]:2512) sent 0 bytes
%IPV6_FW-6-SESS_AUDIT_TRAIL: (target:class)-(OUTBOUND1:V6-FTP):Stop ftp sessioninitiator ([2001:DB8:0:2222::103]:2510) sent 147 bytes -- responder ([2001:DB8:0:BBBB::102]:21) sent 418 bytes
Некоторые другие доступные функции для IPv6• Виртуальная повторная сборка фрагментов (VFR)• Антиспуфинг с помощью uRPF• Подробное представление с помощью Flexible Netflow
flow record FLEXRECORD6match ipv6 traffic-classmatch ipv6 protocolmatch ipv6 source addressmatch ipv6 destination addressmatch transport source-portmatch transport destination-portmatch interface inputcollect routing next-hop address ipv6collect ipv6 next-headercollect ipv6 hop-limitcollect ipv6 payload-lengthcollect ipv6 extension mapcollect ipv6 fragmentation flagscollect ipv6 fragmentation offsetcollect ipv6 fragmentation idcollect transport tcp flagscollect interface outputcollect counter bytescollect counter packets
V6-FW# show flow monitor FLEX6 cache aggregate ipv6 source address transport icmp ipv6 type transport icmp ipv6 codeProcessed 3 flowsAggregated to 3 flowsIPV6 SOURCE ADDRESS: 2001:DB8::5ICMP IPV6 TYPE: 128ICMP IPV6 CODE: 0counter flows: 1counter bytes: 86000counter packets: 86
flow exporter FLEXNETFLOWdestination 192.168.1.114source FastEthernet0/0transport udp 2055!flow monitor FLEX6record FLEXRECORD6exporter FLEXNETFLOW
Магистральная сеть IPv4
Туннель (IPv6 через IPv4)
Маршрутизатор с двумя стеками
Маршрутизатор с двумя стеками
Домен 1 IPv6
Подробный анализ IPv6 (выделенный
межсетевой экран IPv6)
Транзитная сеть IPv6 Домен 2
IPv6
Узел IPv6
Узел IPv6
Заголовок IPv6 Данные IPv6Заголовок
IPv6 Данные IPv6Заголовок
IPv4Заголовок IPv6 Данные IPv6
Заголовок IPv6
Данные IPv6Заголовок
IPv4 Заголовок GRE
R2
Тип протокола IPv4 = 41
Тип протокола IPv4 = 47 = GRE
Заголовок IPv6 Данные IPv6Заголовок IPv6 Данные IPv6
IPv6 в IPv4
IPv6 поверх GRE
Чистый IPv6
Чистый IPv6
Чистый IPv6
Чистый IPv6
ZFW
Расположение межсетевого экрана в средах с туннелями IPv6
Пример статического туннеля IPv6 через IPv4
172.22.1.0/24 172.22.2.0/24
Интерфейс loopback 1172.22.22.241/32
Интерфейс loopback 1172.22.22.242/32
IPv4
ZFW R2f0/0.1201 f0/0.1202
Статический туннель (IPv6 через IPv4)
interface Tunnel1no ip addressipv6 address 2001:DB8:0:1111::1/64ipv6 enabletunnel source 172.22.22.241tunnel destination 172.22.22.242tunnel mode ipv6ip!ipv6 route 2001:DB8:5555::/64 Tunnel1
ZFW# show interface tunnel 1 | include TunnelTunnel1 is up, line protocol is upHardware is TunnelTunnel source 172.22.22.241, destination 172.22.22.242Tunnel protocol/transport IPv6/IPTunnel TTL 255Tunnel transport MTU 1480 bytes
interface Tunnel1no ip addressipv6 address 2001:DB8:0:1111::2/64ipv6 enabletunnel source 172.22.22.242tunnel destination 172.22.22.241tunnel mode ipv6ip!ipv6 route 2001:DB8::/64 Tunnel1
2001:DB8::/64 2001:DB8:5555::/64
Функционал Security Group Tagging
Что такое Security Group Tagging?
SGACL
Контроль доступа на основе групп безопасности позволяет:
Сохранить существующий дизайн сети на уровне доступа
Изменять / применять политики в соответствии с задачами кампании
Распространять политики с центрального сервера управления
802.1X/MAB/Web Auth
Database (SGT=4)
IT Server (SGT=10)
Я контрактник, моя группа IT Admin
Contactor& IT AdminSGT = 100
SGT = 100
Устройства с поддержкой SGT
Филиал 1
Филиал 2
Nexus 7000 Data CenterCatalyst® Switch
ISE
Wireless user
Campus NetworkCampus Network
WANWAN
Wired user
ISR G2 со встроенным коммутатором
ISR G2 /ASR1K
SXP
• AAA services• Profiling – categorization of devices• Posture – assurance of compliance • Guest – guest management
ISE: Политики и интегрированные сервисы безопасности
ProfilerPostureGuest Server
Архитектура TrustSec
81
Nexus 5000/2000
Catalyst 6500
SGACL/SGFW
MACSec
SGT L2 Frame
SXP/IPSEC
Wired Identity: • Baseline Identity features (802.1X, MAB, web-auth)• SGT carried via SXP or Inline IPSECWireless Identity:• CoA and profilingBranch Enforcement:• ISR G2/ ASR1000 – SG Firewall
Функции TrustSec в Филиале
AnyConnect
Campus Aggregation:• Cat6K/Sup2 – SGT/SGACLData Center Enforcement• Nexus 7000 – SGT/SGACL• ASR 1000 – SG Firewall
Политики на выходе
WAN Aggregation Router:• SXP/ SGT Support (No MACSec)• IPSEC inline tagging
Security Group Access
WLCAP
SXP
Персональные устройства
Удаленный VPNпользователь
Беспроводной пользователь
Проводной пользователь
Корпоративные устройства
Корпоративная сетьКорпоративная сеть
Security Group Firewall
ASA SG FW• Доступен с версии
ASA 9.0. Для корпоративной сети и ЦОД
ISR SG FW• Доступен с версии
15.2(2)T • Для филиалов и
удаленных пользователей
ASR1K SG FW• Доступен с версии 3.5 • Агрегация WAN,
ограничение доступа из филиалов в ЦОД
Поддержка функций TrustSec в МСЭ
Облегчает понимание: Политики описывают роли пользователей и серверов Изменения и перестановки не требуют изменения IP-адресации Новые сервера/пользователи требуют только создания новых групп
Высокая масштабируемость политик и высокая производительность Общая система классификации для корпоративной сети и ЦОД Более точный аудит на соответствие требованиям
Source Destination Action
IP SGT IP SGT Port Action
10.10.10.0/24 - HIPAA Compliance
Server
HTTP Allow
Any Web Server PCI-Server SQL Allow
Any Audit PCI Servers TCP Allow
Any Guest Any Any Any Deny
МСЭ с поддержкой групп безопасностиПростота использования политик
Матрица функций TrustSec
TrustSec 2.1 Feature Matrix Security Group Access MACsec
Platform Models802.1X / Identity Features
SGT SXP SGACL SG-FW Device Sensors
Switch to Switch
Client to Switch
Cat 2K 2960, 2960-S
Cat 3K 3560, 3650E, 3750, 3750E,
3750-X 3560-X x
3560 C
Cat 4K Sup6E , Sup 6L-E
Sup7E, Sup 7L-E
Cat 6K Sup32 / Sup720
Sup2T
Nexus 7K
Nexus 5K
ASR 1KPr1 / Pr2, 1001, 1002, 1004, 1006, 1013, ESP10/20/40, SIP 10/40
ISR G2 88X 89X 19xx 29xx 39xx
ASA
Wireless LAN Controller
AnyConnect
Длясправки
Выводы
CCP NetFlow IP SLAРолевой доступ
Управление и контроль состояния
Защищенные сетевые решения
Защищенная голосовая связь Нормативное
соответствиеЗащищенная мобильность
Непрерывное ведение бизнеса
Контроль доступак сети
Предотвращение вторжений
Интегрированное управление угрозами
Фильтрация контента 802.1x Система
защиты основания сети
Гибкие функции
сравнения пакетов (FPM)
011111101010101011111101010101
Защищенные каналы связи
GET VPN DMVPN Easy VPN SSL VPN
Усовершенствован-ный межсетевой
экран
Маршрутизаторы Cisco ISR – платформа для Вашей сети
Cisco ISR G2
