2. Содержание
• Межсетевой экран с политиками на основе зон
• Функции межсетевого экрана с учетом пользователей
• Технологии VPN
• Сертифицированный VPN
• Функции безопасности IPv6
• Secure Group Tagging
• Основные выводы
3. Портфолио маршрутизаторов Cisco
Безопасная
Производительность и масштабируемость
агрегация WAN
ASR 1000
Встроенная защита С ESP-40G
от угроз ASR 1000 с
ESP-20G
Оптимизация
ASR 1000 с
приложений
ESP-5G или
10G
ASR 1001
ESP-2.5G до
ISR G2 5G
(1900/29
ISR G2 00/3900)
(810/860/880/89
0) Высокая производительность встроенных сервисов, гибкость,
аппаратная и программная отказоустойчивость, модульное ПО
Маршрутизаторы с
интегрированными сервисами -
Безопасность, Голос, Видео,
БЛВС, Оптимизация WAN
Филиал
Центральный офис/ Агрегация WAN
5. Межсетевой экран с политиками на основе
зон (ZFW)
• Зона - набор интерфейсов с определенным общим "уровнем доверия"
• Изменение концепции: теперь политики межсетевого экрана
определяют правила обмена между зонами (а не между
интерфейсами)
Int 4
Сервер
Клиент1
Int 1
ZFW1 Int 3 ИНТЕРНЕТ
Int 2
Клиент2
ДОВЕРЕННАЯ зона Политика зоны НЕДОВЕРЕННАЯ зона
OUTBOUND
Политики ZFW являются однонаправленными: от источника к получателю
6. ZFW: более простая реализация режима «запрета по
умолчанию"
%FW-6-DROP_PKT: Dropping icmp session 172.18.1.10:0
172.18.2.20:0 due to No zone-pair between zones with ip ident 0
Интерфейсы назначены зонам, но без определения пар зон
Интерфейс источника не назначен зоне
%FW-6-DROP_PKT: Dropping icmp session 172.17.3.10:0 172.18.1.10:0
due to One of the interfaces not being cfged for zoning with ip ident 0
Интерфейс получателя не назначен зоне
%FW-6-DROP_PKT: Dropping icmp session 172.18.2.20:0
172.17.4.10:0 due to policy match failure with ip ident 0
7. ZFW: основные элементы политик
Участник зоны Участник зоны
безопасности Z1 безопасности Z2
Int 1 ZFW1 Int 2
Политика Z1-Z2
Зона безопасности Z1 Зона безопасности Z2
zone-pair security Z1-Z2 source Z1 destination Z2
service-policy type inspect BASIC1
policy-map type inspect BASIC1
class type inspect CLASS1 class-map type inspect { match-all | match-any } CLASS1
{ inspect | pass | police | drop } a) match protocol { tcp | udp | icmp }
[…]
class type inspect CLASS-N b) match access-group { name ACL-NAME | ACL-NUM }
{ inspect | pass | police | drop } c) match class-map CLASS-MAP_NAME
class class-default
{ inspect | pass | drop }
8. Межсетевой экран с политиками на основе зон: карты параметров
ZFW1# show parameter-map type inspect default
audit-trail off
alert on
max-incomplete low 2147483647
max-incomplete high 2147483647
one-minute low 2147483647
one-minute high 2147483647
udp idle-time 30
icmp idle-time 10
dns-timeout 5
tcp idle-time 3600 Полезный совет:
tcp finwait-time 5 указывать имена
tcp synwait-time 30 элементов
tcp max-incomplete host 4294967295 block-time 0 политики в верхнем
sessions maximum 2147483647 регистре. Поиск в
интерфейсе
командной строки
parameter-map type inspect TRACKING производится с
audit-trail on учетом регистра
parameter-map type inspect global
log dropped-packets enable
9. Проверка исходящего трафика (только L4)
.10 F1 F0 .20
172.18.1.0/24 .4 ZFW1 .4 172.18.2.0/24
Установка
соединения
Политика зоны
Зона INSIDE
OUTBOUND1 Зона OUTSIDE
zone-pair security OUTBOUND1 source INSIDE destination OUTSIDE
service-policy type inspect POLICY1
policy-map type inspect POLICY1 class-map type inspect match-any TOP-CLASS1
class type inspect TOP-CLASS1 match protocol udp
inspect TRACKING match protocol tcp
class class-default
drop log
10. Проверка исходящего трафика (только L4)
.10 F1 F0 .20
172.18.1.0/24 .4 ZFW1 .4 172.18.2.0/24
Политика зоны
Зона INSIDE Зона OUTSIDE
OUTBOUND1
ZFW1# show policy-firewall config zone-pair
Zone-pair : OUTBOUND1
ZFW1# show zone security Source Zone : INSIDE
zone self Destination Zone : OUTSIDE
Description: System defined zone Service-policy inspect : POLICY1
zone INSIDE Class-map : TOP-CLASS1(match-any)
Member Interfaces: Match protocol udp
FastEthernet0 Match protocol tcp
zone OUTSIDE Action : inspect
Member Interfaces: Parameter-map : TRACKING
FastEthernet1 Class-map : class-default(match-any)
Match any
Action : drop log
Parameter-map : Default
11. Проверка исходящего трафика (только L4)
.10 F1 F0 .20
172.18.1.0/24 .4 ZFW1 .4 172.18.2.0/24
Политика зоны
Зона INSIDE Зона OUTSIDE
OUTBOUND1
%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:TOP-CLASS1):
Start tcp session: initiator (172.18.1.10:22374) -- responder (172.18.2.20:23)
ZFW1# show policy-firewall session
Established Sessions = 1
Session 498723C0 (172.18.1.10:22374)=>(172.18.2.20:23) tcp SIS_OPEN/TCP_ESTAB
Created 00:00:19, Last heard 00:00:12
Bytes sent (initiator:responder) [48:95]
%FW-6-SESS_AUDIT_TRAIL: (target:class)-(OUTBOUND1:TOP-CLASS1):Stop tcp session:
initiator (172.18.1.10:22374) sent 54 bytes -- responder (172.18.2.20:23) sent 107 bytes
12. Проверка исходящего трафика (только L4)
.10 F1 F0 .20
172.18.1.0/24 .4 ZFW1 .4 172.18.2.0/24
Политика зоны
Зона INSIDE Зона OUTSIDE
OUTBOUND1
Попытка исходящего соединения (блокирование ICMP по "class-default")
%FW-6-DROP_PKT: Dropping icmp session 172.18.1.10:0 172.18.2.20:0 on zone-pair
OUTBOUND1 class class-default due to DROP action found in policy-map with ip ident 0
Попытка исходящего соединения (пара зон не определена)
%FW-6-DROP_PKT: Dropping icmp session 172.18.2.20:0 172.18.1.10:0 due to
policy match failure with ip ident 0
13. ZFW: подготовка для политики L3 + L4
Зона INSIDE Зона OUTSIDE
.10 F1 F0 .20
172.22.0.0/16
172.18.1.0/24 .4 ZFW1 .4 172.18.2.0/24
object-group network INSIDE1 object-group service SVCS1
172.18.1.0 255.255.255.0 tcp eq telnet
! tcp eq www
object-group network OUT1 !
172.22.0.0 255.255.0.0 object-group service SVCS2
! udp eq ntp
object-group network OUT2
host 172.18.2.20
ip access-list extended ACL1
permit object-group SVCS1 object-group INSIDE1 object-group OUT1
permit object-group SVCS2 object-group INSIDE1 object-group OUT2
14. ZFW: политика L3 + L4 (нет других ACL-списков)
Зона INSIDE Зона OUTSIDE
.10 F1 F0 .20
172.22.0.0/16
172.18.1.0/24 .4 ZFW1 .4 172.18.2.0/24
Политика зоны
OUTBOUND2
zone-pair security OUTBOUND2 source INSIDE destination OUTSIDE
service-policy type inspect POLICY2
policy-map type inspect POLICY2
class type inspect JOINT1 class-map type inspect match-all JOINT1
inspect TRACKING match class-map TOP-CLASS1
class class-default match access-group name ACL1
drop log
ip access-list extended ACL1
permit object-group SVCS1 object-group INSIDE1 object-group OUT1
permit object-group SVCS2 object-group INSIDE1 object-group OUT2
15. ZFW: реализация политики L3 + L4
Примеры допустимого трафика
%FW-6-SESS_AUDIT_TRAIL_START: (target:class) (OUTBOUND2:JOINT1): Start
udp session: initiator (172.18.1.10:123) -- responder (172.18.2.20:123)
%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND2:JOINT1):
Start tcp session: initiator (172.18.1.10:31793) -- responder (172.22.22.22:23)
Примеры блокируемого трафика
FIREWALL*: NEW PAK 48EE1EE4 (0:172.18.1.10:123) (0:172.22.22.22:123) udp
FIREWALL*: DROP feature object 0xAAAA0028 found
%FW-6-DROP_PKT: Dropping udp session 172.18.1.10:123 172.22.22.22:123 on
zone-pair OUTBOUND2 class class-default due to DROP action found in policy-map
with ip ident 0
FIREWALL: ret_val 0 is not PASS_PAK
FIREWALL*: NEW PAK 48EE1EE4 (0:172.18.1.10:12803) (0:172.18.2.20:23) tcp
FIREWALL*: DROP feature object 0xAAAA0028 found
%FW-6-DROP_PKT: Dropping tcp session 172.18.1.10:12803 172.18.2.20:23 on
zone-pair OUTBOUND2 class class-default due to DROP action found in policy-map
with ip ident 0
FIREWALL: ret_val 0 is not PASS_PAK
16. ZFW, ACL-списки и NAT
Зона INSIDE Локальное адресное Глобальное Зона OUTSIDE
пространство адресное
пространство
NAT
F0/0 F0/1.1610
.5 .20
ip nat inside .4 ZFW1 .4 ip nat outside
10.5.5.0/24 172.18.2.0/24
zone-pair security INBOUND2 source OUTSIDE destination INSIDE
service-policy type inspect POLICY2
Реальный Преобразованный
policy-map type inspect POLICY2
class type inspect JOINT2 ip nat inside source static 10.5.5.5 172.18.2.5
inspect TRACKING
class class-default
drop log
class-map type inspect match-any TOP-CLASS2
match protocol tcp
class-map type inspect match-all JOINT2
match class-map TOP-CLASS2 ip access-list extended ACL2
match access-group name ACL2
permit ip 172.18.2.0 0.0.0.255 host 10.5.5.5
17. ZFW, ACL-списки и NAT
Зона INSIDE Локальное адресное Глобальное Зона OUTSIDE
пространство адресное
пространство
NAT
F0/0 F0/1.1610
.5 .20
ip nat inside .4 ZFW1 .4 ip nat outside
10.5.5.0/24 172.18.2.0/24
%IPNAT-6-CREATED: tcp 10.5.5.5:23 172.18.2.5:23 172.18.2.20:15649 172.18.2.20:15649
FIREWALL* sis 49AD2B40: Session Created
FIREWALL* sis 49AD2B40: Pak 49182EC8
init_addr (172.18.2.20:15649) resp_addr (10.5.5.5:23)
init_alt_addr (172.18.2.20:15649) resp_alt_addr (172.18.2.5:23)
FIREWALL* sis 49AD2B40: FO cls 0x4ACDB960 clsgrp 0x10000000, target 0xA0000010,
FO 0x49A56880, alert = 1, audit_trail = 1, L7 = Unknown-l7, PAMID = 2
%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(INBOUND2:JOINT2):
Start tcp session: initiator (172.18.2.20:15649) -- responder (10.5.5.5:23)
ZFW1# show policy-firewall session
Established Sessions = 1
Session 49AD2B40 (172.18.2.20:15649)=>(10.5.5.5:23) tcp SIS_OPEN/TCP_ESTAB
Created 00:00:45, Last heard 00:00:40
Bytes sent (initiator:responder) [48:101]
18. ZFW: прозрачный режим работы
.1 F0/0 F0/1.1610 .2
R1
ZFW1 R2
bridge-group1 bridge-group1
10.5.5.0/24
Политика зоны
Зона INSIDE OUTBOUND1 Зона OUTSIDE
zone-pair security OUTBOUND1 source INSIDE destination OUTSIDE
service-policy type inspect POLICY1
policy-map type inspect POLICY1
class type inspect BASIC1 class-map type inspect match-any BASIC1
inspect TRACKING match protocol udp
match protocol icmp
class class-default
match protocol tcp
drop log
%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:BASIC1):
Start tcp session: initiator (10.5.5.1:56643) -- responder (10.5.5.2:23)
ZFW1# show policy-firewall session
Established Sessions = 1
Session 49AD3240 (10.5.5.1:56643)=>(10.5.5.2:23) tcp SIS_OPEN/TCP_ESTAB
Created 00:00:25, Last heard 00:00:13
Bytes sent (initiator:responder) [48:95]
19. ZFW: сценарий использования для прозрачного
режима
Беспроводная
Беспро-
точка доступа
водный
клиент
.101 .102 Fast1 Fast0
SMTP HTTPS ZFW1
192.168.2.0/24
Зона WIRED Зона WIRELESS
Политика зоны
INBOUND1
zone-pair security INBOUND1 source WIRELESS destination WIRED
service-policy type inspect POLICY1
policy-map type inspect POLICY1
class type inspect JOINT1
inspect TRACKING
class class-default class-map type inspect match-any BASIC1
drop log match protocol tcp
class-map type inspect match-all JOINT1 ip access-list extended ACL1
match class-map BASIC1 permit tcp 192.168.2.0 0.0.0.255 host 192.168.2.101 eq 25
match access-group name ACL1 permit tcp 192.168.2.0 0.0.0.255 host 192.168.2.102 eq 443
20. ZFW и проверка L7: пример 1
проверка трафика FTP и использование NAT
Локальное адресное Глобальное
пространство адресное FTP
Клиент
пространство
NAT 172.17.11.102
.X Fast1 Fast0
ip nat inside ip nat outside
192.168.2.0/24 ZFW1
Зона INSIDE Зона OUTSIDE
Политика зоны
OUTBOUND1
zone-pair security OUTBOUND1 source INSIDE destination OUTSIDE
service-policy type inspect POLICY1
policy-map type inspect POLICY1
class type inspect L7-CLASS1 class-map type inspect match-any L7-CLASS1
inspect TRACKING match protocol ftp
class class-default
drop log
ip nat outside source static 172.17.11.102 192.168.2.102 add-route
21. ZFW и проверка L7: пример 1
Локальное адресное Глобальное
пространство адресное FTP
Клиент
пространство
NAT 172.17.11.102
.X Fast1 Fast0
ip nat inside ip nat outside
192.168.2.0/24 ZFW1
Зона INSIDE Зона OUTSIDE
Политика зоны
OUTBOUND1
Управление сеансом FTP
%IPNAT-6-CREATED: tcp 192.168.2.72:36886 192.168.2.72:36886 192.168.2.102:21 172.17.11.102:21
%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:L7-CLASS1):
Start ftp session: initiator (192.168.2.72:36886) -- responder (172.17.11.102:21)
Пример сеанса передачи данных FTP
%IPNAT-6-CREATED: tcp 192.168.2.72:51974 192.168.2.72:51974 192.168.2.102:20 172.17.11.102:20
%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:L7-CLASS1):
Start ftp-data session: initiator (172.17.11.102:20) -- responder (192.168.2.72:51974)
%FW-6-SESS_AUDIT_TRAIL: (target:class)-(OUTBOUND1:L7-CLASS1):
Stop ftp-data session: initiator (172.17.11.102:20) sent 350 bytes -- responder (192.168.2.72:51974) sent 0 bytes
22. ZFW и проверка L7: пример проверки L7
на нестандартных портах
HTTP
работает на
портах 2002
- 2003
Fast1 Fast0
.200 .40
ZFW1
192.168.2.0/24 172.17.3.0/24
Зона INSIDE Политика зоны Зона OUTSIDE
OUTBOUND1
zone-pair security OUTBOUND1 source INSIDE destination OUTSIDE
service-policy type inspect POLICY1
policy-map type inspect POLICY1
class type inspect HTTP-CLASS class-map type inspect match-any HTTP-CLASS
inspect TRACKING match protocol http
class class-default
drop log Проверка HTTP на нестандартных портах
access-list 1 permit 172.17.3.40
ip port-map http port tcp from 2002 to 2003 list 1
23. ZFW и проверка L7: пример 2
проверка L7 на нестандартных портах
HTTP
работает
на портах
2002 - 2003
Fast1 Fast0
.200 .40
ZFW1
192.168.2.0/24 172.17.3.0/24
Зона INSIDE Политика зоны Зона OUTSIDE
OUTBOUND1
ZFW1# show ip port-map http
Default mapping: http tcp port 80 system defined
Host specific: http tcp port 2002-2003 in list 1 user defined
FIREWALL* sis 84294160: Session Created
FIREWALL* sis 84294160: Pak 83CBFCFC
init_addr (192.168.2.200:1065) resp_addr (172.17.3.40:2002)
init_alt_addr (192.168.2.200:1065) resp_alt_addr (172.17.3.40:2002)
FIREWALL* sis 84294160: FO cls 0x84F8EB80 clsgrp 0x10000000, target 0xA0000000, FO 0x849600E0,
alert = 1, audit_trail = 1, L7 = http, PAMID = 5
FIREWALL* sis 84294160: Allocating L7 sis extension L4 = tcp, L7 = http, PAMID = 5
%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:HTTP-CLASS):
Start http session: initiator (192.168.2.200:1065) -- responder (172.17.3.40:2002)
24. ZFW и проверка L7: пример сравнения
заголовка ответа HTTP
HTTP
Fast1 Fast0
.200 .30
ZFW1
192.168.2.0/24 172.17.3.0/24
Зона INSIDE Политика зоны Зона OUTSIDE
OUTBOUND1
zone-pair security OUTBOUND1 source INSIDE destination OUTSIDE
service-policy type inspect POLICY1
policy-map верхнего уровня
policy-map type inspect POLICY1 class-map верхнего уровня
class type inspect HTTP-CLASS class-map type inspect match-any HTTP-CLASS
inspect TRACKING match protocol http
service-policy http WEB1
class class-default
drop log
policy-map для конкретного
приложения class-map для конкретного приложения
policy-map type inspect http WEB1
class-map type inspect http match-any HTTP1
class type inspect http HTTP1
match response header set-cookie
reset
log
25. ZFW и проверка L7: пример 3
сравнение заголовка ответа HTTP
HTTP
Fast1 Fast0
.200 .30
ZFW1
192.168.2.0/24 172.17.3.0/24
Зона INSIDE Политика зоны Зона DMZ
OUTBOUND1
%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:HTTP-CLASS):
Start http session: initiator (192.168.2.200:43005) -- responder (172.17.3.30:80)
FIREWALL* sis 84283A40: match-info tocken in cce_sb 849BA240 - class
3221225494; filter 31; val1 0; val2 0; str set-cookie, log on, reset on
%APPFW-4-HTTP_HDR_FIELD_REGEX_MATCHED: Header field (set-cookie)
matched - resetting session 172.17.3.30:80 192.168.2.200:43005 on
zone-pair OUTBOUND1 class HTTP-CLASS appl-class HTTP1
26. ZFW: проверка трафика самого
маршрутизатора - зона «self»
Зона self (адреса Зона OUTSIDE 172.22.22.0/24
маршрутизатора)
.22
F4.201 F4.200 172.20.20.0/24 172.21.21.0/24
10.10.10.1 ZFW1 172.20.20.1 .2 R1 .2 .21 R2
Политика зоны
OUT-SELF
zone-pair security OUT-SELF source OUTSIDE destination self
service-policy type inspect OUT-FW1
class-map type inspect match-all ICMP1
policy-map type inspect OUT-FW1 match access-group name PING1
class type inspect ICMP1
inspect TRACKING
class class-default
drop log ip access-list extended PING1
permit icmp object-group OUT1 object-group RTR-ADDR echo
object-group network RTR-ADDR
host 10.10.10.1 object-group network OUT1
host 172.20.20.1 172.20.20.0 255.255.255.0
27. ZFW: проверка трафика самого маршрутизатора
Зона self (адреса Зона OUTSIDE 172.22.22.0/24
маршрутизатора)
.22
F4.201 F4.200 172.20.20.0/24 172.21.21.0/24
10.10.10.1 ZFW1 172.20.20.1 .2 R1 .2 .21 R2
Политика зоны
OUT-SELF
• Операция ZFW по умолчанию - разрешить трафик на интерфейсы маршрутизатора и от них
• Особая зона с именем "self" обрабатывает трафик маршрутизатора
• Политики, относящиеся к зоне "self", являются однонаправленными по своей природе
Трафик ICMP на адрес маршрутизатора 172.20.20.1 (от допустимого источника) разрешен
%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUT-SELF:ICMP1):Start icmp session:
initiator (172.20.20.2:0) -- responder (172.20.20.1:0)
Трафик ICMP на адрес маршрутизатора 172.20.20.1 (от недопустимого источника) отбрасывается
%FW-6-DROP_PKT: Dropping icmp session 172.21.21.21:0 172.20.20.1:0 on zone-pair
OUT-SELF class class-default due to DROP action found in policy-map with ip ident 0
28. Для
ZFW: политики внутри зоны справки
• В выпусках IOS 12.X прохождение трафика между
интерфейсами, принадлежащими одной и той же зоне, было
разрешено без проверки.
• В выпуске IOS 12.X было невозможно определить политики ZFW
внутри зоны:
ZFW2(config)# zone-pair sec INTRAZONE2 source INSIDE destination INSIDE
% Same zone cannot be defined as both the source and destination
• Начиная с выпуска IOS 15.0(1)M, трафик в пределах зоны
блокируется по умолчанию
• IOS 15.X позволяет формировать политики внутри зоны (когда
источник и получатель трафика находятся в одной зоне)
29. ZFW: политики внутри зоны
Сервер
NTP
.6 Fast1 Fast0 .200
.1 ZFW1 .1
10.10.6.0/24 10.10.10.0/24
Политика зоны
Зона INSIDE INTRAZONE1
zone-pair security INTRAZONE1 source INSIDE destination INSIDE
service-policy type inspect POLICY2
policy-map type inspect POLICY2
class type inspect TOP-CLASS2 class-map type inspect match-any TOP-CLASS2
inspect TRACKING match protocol icmp
class class-default match protocol udp
drop log
30. ZFW: политики внутри зоны
Сервер
NTP
.6 Fast1 Fast0 .200
.1 ZFW1 .1
10.10.6.0/24 10.10.10.0/24
Политика зоны
Зона INSIDE INTRAZONE1
ZFW1# show zone security INSIDE ZFW1# show zone-pair security
zone INSIDE Zone-pair name INTRAZONE1
Member Interfaces: Source-Zone INSIDE Destination-Zone INSIDE
FastEthernet0 service-policy POLICY2
FastEthernet1
ZFW1# show policy-firewall session
Established Sessions = 1
Session 49CFB240 (10.10.6.6:123)=>(10.10.10.200:123) udp SIS_OPEN
Created 00:00:29, Last heard 00:00:29
Bytes sent (initiator:responder) [48:48]
32. Управление доступом с учетом
пользователя
Кто
пользователь?
Что за ресурс?
SRV1 SRV2
user1
user2
Имеется ли возможность предоставить доступ конкретному пользователю?
Можно ли управлять доступом к приложениям любого типа?
Имеется ли поддержка учетных записей?
Это динамический тип управления?
33. Базовый инструмент: прокси-сервис
аутентификации
1 Telnet 172.26.26.26 Запрос прокси-
SRV1
сервиса
аутентификации
Конечный
пользо-
ватель 2 5
.100
.26
172.16.100.0/24 F1 Шлюз F0 172.26.26.0/24
3 CS-ACS
Сеть
управления 4
1. Пользователь связывается по Telnet с сервером SRV1
2. Прокси-сервис аутентификации перехватывает пакет и направляет пользователю
запрос на аутентификацию
3. ZFW запрашивает сервер RADIUS
4. Сервер RADIUS в ответ направляет профиль авторизации (или отказ в доступе)
5. Пользователю предоставляется доступ к узлу назначения
34. Для
Подготовка для прокси-сервиса аутентификации справки
! *** Instructing the NAS to receive, send and process RADIUS VSAs
radius-server vsa send accounting
radius-server vsa send authentication
! *** Defining and using an AAA server-group called "RADIUS1"
aaa group server radius RADIUS1
server 192.168.1.200 auth-port 1812 acct-port 1813
server-private 192.168.1.200 auth-port 1812 acct-port 1813 key 7 #####
!
aaa authentication login default group RADIUS1
aaa authorization network default group RADIUS1
aaa authorization auth-proxy default group RADIUS1
aaa accounting auth-proxy default start-stop group RADIUS1
! *** Defining an ACL to be applied to the same interface as Auth-Proxy
access-list 100 permit udp host 192.168.1.200 eq 1812 host 192.168.2.1
access-list 100 permit udp host 192.168.1.200 eq 1813 host 192.168.2.1
access-list 100 permit tcp any 172.26.26.0 0.0.0.255 eq telnet
! *** Defining the Auth-Proxy policy to intercept Telnet traffic
ip admission name ADMISSION1 proxy telnet
! ***Applying the Auth-Proxy policy to interface F1 (Auth-Proxy incoming interface)
interface FastEthernet1
ip access-group 100 in
ip admission ADMISSION1
35. Прокси-сервис аутентификации в действии: передача отдельных
правил фильтрации - ACE (1)
ACS/Group Settings : GROUP1
[009001] cisco-av-pair
priv-lvl=15
proxyacl#1=permit tcp any any eq 22
proxyacl#2=permit tcp any any eq 23
! *** Telnet Session is intercepted by Auth-Proxy process (before reaching interface ACL)
AUTH-PROXY creates info:
cliaddr - 172.16.100.100, cliport - 1562
seraddr - 172.26.26.26, serport - 23
ip-srcaddr 172.16.100.100
pak-srcaddr 0.0.0.0
! *** NAS sends request to CS-ACS and receives individual ACEs (proxyacl)
RADIUS(0000000C): Send Access-Request to 192.168.1.200:1812 id 1645/12, len 104
RADIUS: authenticator 73 DC D7 7B 91 B4 61 38 - 4E 65 CB A5 B3 4F AD 9D
RADIUS: User-Name [1] 7 "user1"
! […]
RADIUS: Received from id 1645/12 192.168.1.200:1812, Access-Accept, len 148
RADIUS: authenticator ED 65 FB F6 64 B9 33 6D - A3 5E B8 5F 14 36 D4 21
RADIUS: Vendor, Cisco [26] 19
RADIUS: Cisco AVpair [1] 13 "priv-lvl=15"
RADIUS: Vendor, Cisco [26] 43
RADIUS: Cisco AVpair [1] 37 "proxyacl#1=permit tcp any any eq 22"
RADIUS: Vendor, Cisco [26] 43
RADIUS: Cisco AVpair [1] 37 "proxyacl#2=permit tcp any any eq 23"
36. Прокси-сервис аутентификации в действии: передача отдельных
ACE (2)
IOS-FW# show ip auth-proxy cache
Authentication Proxy Cache
Client Name user1, Client IP 172.16.100.100, Port 1562, timeout 60, Time Remaining 60,
state INTERCEPT
!
! *** Details about the current Auth-Proxy session
IOS-FW# show epm session ip 172.16.100.100
Admission feature : Authproxy
AAA Policies :
Proxy ACL : permit tcp any any eq 22
Proxy ACL : permit tcp any any eq 23
! *** Viewing Dynamic Entries (for host 172.21.21.101) added to the interface ACL
IOS-FW# show access-list 100
Extended IP access list 100
permit tcp host 172.16.100.100 any eq 22 (18 matches)
permit tcp host 172.16.100.100 any eq telnet (70 matches)
10 permit udp host 192.168.1.200 eq 1812 host 192.168.2.1 (1 match)
20 permit udp host 192.168.1.200 eq 1813 host 192.168.2.1 (1 match)
30 permit tcp any 172.26.26.0 0.0.0.255 eq telnet (2 matches)
37. Прокси-сервис аутентификации с загружаемыми ACL-списками (1)
! *** NAS sends Access Request to CS-ACS and receives name of the DACL to be applied
RADIUS(00000006): Send Access-Request to 192.168.1.200:1812 id 1645/4, len 104
RADIUS: authenticator 67 06 F7 BB F1 81 BE 96 - 29 2D C9 24 89 00 2B 31
RADIUS: User-Name [1] 7 "user1"
[…]
RADIUS: Received from id 1645/4 192.168.1.200:1812, Access-Accept, len 124
RADIUS: authenticator 6D 19 94 84 EF C0 28 C3 - EF AB 8E FE 1F E9 7B 28
RADIUS: Vendor, Cisco [26] 19
RADIUS: Cisco AVpair [1] 13 "priv-lvl=15"
RADIUS: Vendor, Cisco [26] 62
RADIUS: Cisco AVpair [1] 56 "ACS:CiscoSecure-Defined-ACL=#ACSACL#-IP-DACL1-4aac618d"
[…]
! *** NAS sends second Access Request using DACL name as username (null password)
RADIUS(00000000): Send Access-Request to 192.168.1.200:1812 id 1645/5, len 134
RADIUS: authenticator 94 3C 9D F1 C1 93 25 2A - F3 9E DA C9 B0 15 FC B2
RADIUS: NAS-IP-Address [4] 6 172.21.21.1
RADIUS: User-Name [1] 28 "#ACSACL#-IP-DACL1-4aac618d"
RADIUS: Vendor, Cisco [26] 32
RADIUS: Cisco AVpair [1] 26 "aaa:service=ip_admission"
RADIUS: Vendor, Cisco [26] 30
RADIUS: Cisco AVpair [1] 24 "aaa:event=acl-download"
!
! *** ACS sends second Response containing the individual entries of the Downloadable ACL
RADIUS: Received from id 1645/5 192.168.1.200:1812, Access-Accept, len 179
RADIUS: authenticator 69 A2 A7 BB 15 AF 3C EB - A3 D7 12 F0 F5 04 54 F2
RADIUS: Vendor, Cisco [26] 43
RADIUS: Cisco AVpair [1] 37 "ip:inacl#1=permit tcp any any eq 80"
RADIUS: Vendor, Cisco [26] 43
RADIUS: Cisco AVpair [1] 37 "ip:inacl#2=permit icmp any any echo"
38. Прокси-сервис аутентификации с загружаемыми ACL-списками (2)
IOS-FW# show ip auth-proxy cache
Authentication Proxy Cache
Client Name user1, Client IP 172.16.100.100, Port 1085, timeout 60, Time Remaining 60,
state INTERCEPT
IOS-FW#show epm session ip 172.16.100.100
Admission feature : Authproxy
AAA Policies :
ACS ACL : xACSACLx-IP-DACL1-4aac618d
! After Auth-Proxy “user1” uses PING and WWW services
IOS-FW# show access-list
Extended IP access list 100
permit tcp host 172.16.100.100 any eq www (12 matches)
permit icmp host 172.16.100.100 any echo (4 matches)
10 permit udp host 192.168.1.200 eq 1812 host 192.168.2.1 (2 matches)
20 permit udp host 192.168.1.200 eq 1813 host 192.168.2.1 (2 matches)
30 permit tcp any 172.26.26.0 0.0.0.255 eq telnet (31 matches)
Extended IP access list xACSACLx-IP-DACL1-4aac618d (per-user)
10 permit tcp any any eq www
20 permit icmp any any echo
39. ZFW с учетом пользователя
Зона INSIDE SRV1 Зона OUTSIDE
Политика зоны
OUTBOUND1
Конечный
пользо-
ватель
Прокси-сервис
.100 аутентификации .26
172.16.100.0/24 F1 Шлюз
ZFW1 F0 172.26.26.0/24
Сеть CS-ACS
управления
1. Пользователь связывается по Telnet с сервером
2. Прокси-сервис аутентификации перехватывает пакет и направляет пользователю запрос
3. Сервер RADIUS отправляет "supplicant-group" ("группу клиента") VSA в межсетевой экран
IOS
4. Формируется отображение пользователя на группу
5. Для каждой отдельной группы создается межсетевой экран с политиками на основе зон
40. ZFW с учетом пользователя: получение
информации о группе
ACS/Group Settings : ENG
[009001] cisco-av-pair
priv-lvl=15
supplicant-group=ENG
RADIUS: Received from id 1645/21 192.168.1.200:1812, Access-Accept, len 93
RADIUS: authenticator 43 A9 2F 23 EC 7F 7B 19 - B5 AF 6D 1B 40 81 85 25
RADIUS: Vendor, Cisco [26] 19
RADIUS: Cisco AVpair [1] 13 "priv-lvl=15"
RADIUS: Vendor, Cisco [26] 31
RADIUS: Cisco AVpair [1] 25 "supplicant-group=ENG“
ZFW1# show ip auth-proxy cache
Authentication Proxy Cache
Client Name user1, Client IP 172.16.100.100, Port 1108, timeout 60, Time Remaining 60, state INTERCEPT
!
ZFW1# show epm session ip 172.16.100.100
Admission feature : Authproxy
AAA Policies :
Supplicant-Group : ENG
!
ZFW1# show user-group
Usergroup : ENG
------------------------------------------------------------------------
User Name Type Interface Learn Age (min)
------------------------------------------------------------------------
172.16.100.100 IPv4 FastEthernet1 Dynamic 0
41. ZFW с учетом пользователя: использование
информации о группе
class-map type inspect match-all ENG1 !* Defining zones and zone-pairs
match user-group ENG zone security INSIDE
match protocol tcp zone security OUTSIDE
class-map type inspect match-all ENG2 !
match user-group ENG zone-pair security OUTBOUND source INSIDE destination OUTSIDE
match protocol icmp service-policy type inspect OUT1
class-map type inspect match-all MKT1
match user-group MKT ! * Defining an Auth-Proxy policy to intercept Telnet traffic
match protocol tcp ip admission name ADMISSION1 proxy telnet inactivity-time 60
! !
policy-map type inspect OUT1 ! * Assigning interfaces to zones and applying the Auth-Proxy policy
class type inspect ENG1 interface FastEthernet1
inspect ip admission ADMISSION1
class type inspect ENG2 zone-member security INSIDE
inspect !
police rate 32000 burst 6000 interface FastEthernet0
class type inspect MKT1 zone-member security OUTSIDE
inspect
class class-default
drop log
Межсетевой экран с учетом пользователей по прежнему работает в
режиме контроля доступа с учетом состояния
43. EasyVPN, DMVPN и Crypto Map
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp policy 1
group 2
encr 3des
crypto isakmp client configuration group cisco crypto isakmp policy 1
authentication pre-share
key cisco123 encr 3des
group 2
pool dvti authentication pre-share
crypto ipsec transform-set vpn-ts-set esp-3des esp-sha-hmac
acl 100 group 2
mode transport
crypto isakmp profile dvti crypto isakmp client configuration group cisco
crypto ipsec profile vpnprofile
match identity group cisco key pr3sh@r3dk3y
set transform-set vpn-ts-set
client authentication list lvpn pool vpnpool
interface Tunnel0
isakmp authorization list lvpn acl 110
ip address 10.0.0.254 255.255.255.0
client configuration address respond crypto ipsec transform-set vpn-ts-set esp-3des esp-sha-hmac
ip nhrp map multicast dynamic
virtual-template 1 crypto dynamic-map dynamicmap 10
ip nhrp network-id 1
crypto ipsec transform-set dvti esp-3des esp-sha-hmac set transform-set vpn-ts-set
tunnel source Serial1/0
crypto ipsec profile dvti reverse-route
tunnel mode gre multipoint
set transform-set dvti crypto map client-vpn-map client authentication list userauthen
tunnel protection ipsec profile vpnprof
set isakmp-profile dvti crypto map client-vpn-map isakmp authorization list groupauthor
interface Virtual-Template1 type tunnel
ip route 192.168.0.0 255.255.0.0 Null0router bgp 1
crypto map client-vpn-map client configuration address initiate
ip unnumbered Ethernet0/0bgp log-neighbor-changes crypto map client-vpn-map client configuration address respond
tunnel mode ipsec ipv4 redistribute static crypto map client-vpn-map 10 ipsec-isakmp dynamic dynamicmap
tunnel protection ipsec profile dvti
neighbor DMVPN peer-group interface FastEthernet0/0
ip local pool dvti 192.168.2.1 listen range 10.0.0.0/24 peer-group DMVPN address 83.137.194.62 255.255.255.240
bgp 192.168.2.2 ip
ip route 0.0.0.0 0.0.0.0 10.0.0.2
neighbor DMVPN remote-as 1 crypto map client-vpn-map
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
no auto-summary ip local pool vpnpool 10.10.1.1 10.10.1.254
access-list 110 permit ip 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255
44. Проблема выбора технологии VPN
Смерть от тысячи вопросов…
Совместимость
производителей и Hub & Spoke
версий Управляемость AAA
Время
Spoke – Spoke
восстановления
Метод напрямую
Решение vs IPv4/IPv6 dual stack
обнаружения Компоненты
сбоев ВстраиваниеСложность дизайна
Динамическая маршрутов
Dual DMVPN
маршрутизация Crypto Map или
Порядок функций туннели
Multi-Hub Homing
ACL каждому
клиенту
Масштабируемость Multicast
Multi-ISP Homing
Поддержка QoS
Высокая
доступность
45. Позиционирование VPN технологий
DMVPN FlexVPN GETVPN
Публичный Интернет Частный IP транспорт
Объединение технологий
транспорт
«Точка-точка» и удаленного
доступа Соединения «Любой с
Hub-Spoke, Spoke-Spoke любым»
• Масштабные сети с • Подходит для • Наиболее
топологией топологий «Точка- масштабируемое
«Звезда» и точка» и для решение для топологии
динамическими удаленного доступа «Точка-точка»
туннелями spoke-to- • Безтуннельное
• Централизованное
spoke шифрование
управление
• Проверенная политиками с • Интеграция с TrustSec
технология с помощью AAA и LISP
множеством
• Использует новейший • Интуитивная
внедрений по всему
протокол IKEv2 поддержка мультикаста
миру
• Масштабируемость до • До 4,000 площадок на
• Масштабируемость
10,000 площадок одну GETVPN группу
до 4000 площадок
46. VPN
VPN
Easy
Map
Crypto
DMVPN
Flex VPN
No
No
Совместимость
Yes
Yes
Динамическая
No
No
Yes
Yes
маршрутизация
IPsec
No
Yes
Yes
Yes
маршрутизация
Spoke-spoke direct
No
No
Yes
Yes
(shortcut)
No
Remote Access
Yes
Yes
Yes
FlexVPN Объединяет
Simple Failover
Yes
Yes
poor
partial
No
No
No
Source Failover
Yes
No
No
Config push
Yes
Yes
No
No
Per-peer config
Yes
Yes
No
Per-Peer QoS
Yes
Yes
group
Full AAA
No
No
Yes
Yes
Management
47. Конфигурация FlexVPN
crypto ikev2 profile default
match identity remote fqdn domain
cisco.com
identity local fqdn R1.cisco.com
authentication local rsa-sig
authentication remote eap
pki trustpoint TP sign
aaa authentication eap default
aaa authorization user eap
Hub &
virtual-template 1
Spoke
interface Virtual-Template1
Remote ip unnumbered loopback0
Access tunnel protection ipsec profile default
Dual Stack
tunnel mode gre ip v4/v6 better
Legacy
crypto map peer ip nhrp network-id 1
Dual Stack Все параметры
v4/v6 legacy подстраиваются “под соседа”
Spoke-Spoke
с помощью AAA shortcut switching
48. Почему FlexVPN именно сейчас?
• IKEv2 – ключевое обновление протокола
– Нет обратной совместимости с IKEv1
– Требует осмысления и перенастройки
• Сделаны значительные изменения в IOS
– Настройки «соседа» (QoS, FW, политики, VRF re-injection,…)
– Слишком много различных технологий
– Время изучения технологий VPN чрезвычайно велико
• IKEv2 – подходящая веха для пересмотра дизайна и
архитектуры
• FlexVPN рекомендован для будущих внедрений
50. IKEv2 в нескольких словах
• Описан в RFC 4306 – обновлен в RFC 5996
– Не совместим с IKEv1
– Не широко распространен … пока
• Оба протокола используют одинаковую базовую структуру для
обеспечения:
– Конфиденциальности
– Целостности
– Идентификации
• Оба протокола работают поверх UDP 500/4500
51. Ключевые сходства
ISAKMP
DPD RFC2408
Mode- Объединяет важные
config IKE IKEv2 спецификации в
DOI RFC2409 RFC5996
одном RFC
RFC2407
NAT-T
Main Mode
Initial Quick
Exchange Mode CREATE_CHILD_SA
Aggressive
Mode
52. Ключевые отличия
IKEv1 IKEv2
Auth сообщения Максимум 6 4 и более
Первая IPsec SA 9 сообщ в мин ~ 4-6 сообщ в мин
Аутентификация pubkey-sig, pubkey-encr, Pubkey-sig, PSK, EAP
PSK
Anti-DOS Не работает Работает!
IKE rekey Требует повторной Нет повторной
аутентификации аутентификации
(накладные расходы)
Нотификации Отправил и забыл Подтверждение
53. Механизм anti-clogging cookie
Привет Bob_IP, я Alice_IP,
½ IKE SPI равен 0xabe65f
Привет Alice_IP, Я Bob_IP,
Твой ½ ike SPI равен 0xabe65f
Хм…Я не отправляла Подтверди с cookie 0xdeadbeef
SPI 0xabe65f
Bob_IP. Удаляю пакет. Безопасность:
Встроенный механизм Anti-DoS
No
state
Первые два пакета обмениваются только cookie и предложениями
Cookies используются для предотвращения DoS атак (anti-clogging)
Cookies используются при необходимости и могут увеличить число начальных
сообщений
54. Обмен сообщениями в IKEv2
IKE_SA_INIT Согласование параметров
(2 сообщения) аутентификации IKE_SA
IKE_AUTH + CREATE_CHILD_SA
(2 сообщения) Аутентификация IKE
и создание одной CHILD_SA
CREATE_CHILD_SA
(2 сообщения) Создание второй CHILD_SA
A Защищенные данные B
55. Обмен нотификациями
• Используются для поддержания порядка
– Уведомления об удалении
– Проверка «живости» соседа
– Первый контакт
– Отчеты об ошибках (различные уведомления)
• В ответ отправляется подтверждение
– Иначе нотификация отправляется повторно
• Криптографическая защита
– Только после начального обмена (Initial Exchange)
• Используются при обмене конфигурацией
– Аналогично Mode-Config
56. Extensible Authentication Protocol (EAP)
• В IKEv2 нет X-AUTH; взамен используется EAP
• EAP – инфраструктура аутентификации, определяющая общие
функции для различных методов:
• Туннель – EAP-TLS, EAP/PSK, EAP-PEAP…
• Без туннеля – EAP-MSCHAPv2, EAP-GTC, EAP-MD5,…
• Реализовано в виде дополнительного обмена IKE_AUTH
• Используется только для аутентификации инициатора перед
отвечающим на запрос узлом
• Респондер ДОЛЖЕН использовать сертификат
• Может значительно увеличить число сообщений (12-16)
• EAP имеет много особенностей – Читайте документацию!!!
58. Знакомство с Smart Defaults
Интеллектуальные, изменяемые значения по умолчанию
Предопределенные конструкции:
crypto ikev2 proposal
AES-CBC 256, 196,128 , 3DES / SHA-512,384,256, SHA-1, MD5 /
group 5, 2
crypto ikev2 policy (match any)
crypto ipsec transform-set (AES-128, 3DES / SHA, MD5)
crypto ipsec profile default (default transform set, ikev2 profile default)
Нужно только создать профиль IKEv2 с именем “default”
crypto ikev2 profile default
match identity remote address 10.0.1.1
authentication local certificate
authentication remote certificate
pki trustpoint TP
!
interface Tunnel0
ip address 192.168.0.1 255.255.255.252
tunnel protection ipsec profile default
59. Изменяемые настройки по умолчанию
Все настройки можно модифицировать, отключить и восстановить
Преднастроенные предложения
crypto ikev2 proposal default
encryption aes-cbc-128
Для IKEv2 hash md5
Для IPsec crypto ipsec transform-set default aes-cbc 256 sha-hmac
Изменяемые настройки
default crypto ikev2 proposal
Восстановление настроек default crypto ipsec transform-set
no crypto ikev2 proposal default
Отключение настроек
no crypto ipsec transform-set default
60. Таймеры и значения по умолчанию Для
справки
Параметр Значение по умолчанию
IKE SA lifetime 86400 секунд (24 часа)
IPsec SA lifetime 3600 секунд (1 час)
Retransmission count 7
Retransmission interval 2, 4, 8, 16, 32, 64, 128 секунд
62. Многообразие сценариев FlexVPN
Нет ничего невозможного
Flex VPN
IKEv2
Stars and Stars and Legacy
Site-to-Site
Meshes Meshes Interop
Просто и быстро Локальная БД БД RADIUS Совместимость
Basic Hub & Mesh Advanced Managed VTI/dVTI
crypto maps
Spoke Networks Hub & Spoke
Гибридная
Mesh multi-SA
Легко настроить Базовый DMVPN Managed DMVPN Миграция 7600/6500 На всякий случай
аутентификация
Branch Remote
routers Access Clients
Большие и малые Мобильные устр-ва
Win7 Native
AnyConnect
Client
Cross Platform Microsoft
63. VPN на любой вкус
Беспроигрышный вариант
Туннелирование Метод Настройки Источник
аутентификации туннеля настроек
GRE/IPsec Сертификат Статические Локальный
Чистый IPsec Секретный ключ Динамические RADIUS
EAP (инициатор) crypto map Гибрид
64. Выбор туннелирования Для
справки
Тип инкапсуляции
GRE/IPsec Чистый IPsec
Любые протоколы Только IPv4 или IPv6
Одна пара SA Одна или несколько пар SA
Умный выбор Устаревший/совместимость
Тип туннелирования
Статический туннель Динамический туннель
Interface Tunnel Interface Virtual-Template
Инициатор/Респондер Только респондер
Статические настройки Динамические настройки
Одна пара SA Одна или несколько пар SA
65. Аутентификация и авторизация Для
справки
Метод аутентификации
Сертификаты Секретный ключ EAP
Проверка офлайн Несколько соседей, иначе - Требует RADIUS для
RADIUS ответчика
Авто и ручное обновление Ручное обновление (admin) Ручное обновление (user)
Масштабные внедрения Малые-средние внедрения Удаленный доступ
Инициатор/Ответчик Инициатор/Ответчик Только инициатор
Источник настроек
Локальный RADIUS
Статическая БД Динамическая БД
Политики на группу Политики на пользователя
CLI GUI, CLI, скрипты…
Возможны гибридные варианты
67. VPN-решения Cisco в России
• VPN-решения Cisco признаны лучшими во многих странах и признаны
стандартом де-факто многими специалистами
• Использование VPN-решений Cisco в России сопряжено с рядом
трудностей
– Порядок ввоза на территорию Таможенного союза шифровальных средств
– Требование использования национальных криптографических алгоритмов
– Обязательная сертификация СКЗИ
• На сайте www.slideshare.com/CiscoRu выложена презентация по
регулированию криптографии в России
68. Cisco – лицензиат ФСБ
• Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-
решения, поддерживающие российские криптоалгоритмы на
базе оборудования Cisco
• Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625,
124-1626 от 28 февраля 2011 года
– Сертификат по классу КС1/КС2/КС3
Решение для удаленных офисов
• На базе модуля для ISR G1 и G2
(2800/2900/3800/3900)
69. Технологические сценарии
• Защита каналов связи
• VPN-узел доступа центрального офиса
• Концентратор удаленного доступа
• ПК удаленного (мобильного) пользователя
• Защита беспроводных сетей
• Защита унифицированных коммуникаций
• Managed VPN Services
72. ACL-списки IOS IPv6: параметры Для
справки
фильтрации
V6-FW(config-ipv6-acl)# permit ipv6 any any?
auth Match on authentication header
dest-option Destination Option header (all types)
dest-option-type Destination Option header with type
dscp Match packets with given dscp value
flow-label Flow label
fragments Check non-initial fragments
log Log matches against this entry
log-input Log matches against this entry, including input
mobility Mobility header (all types)
mobility-type Mobility header with type
reflect Create reflexive access list entry
routing Routing header (all types)
routing-type Routing header with type
sequence Sequence number for this entry
time-range Specify a time-range
<cr>
73. ZFW для IPv6: пример
Зона INSIDE Зона OUTSIDE
F1 F0
5
4 ZFW6 4 2001:db8:0:1111::/64
2001:db8::/64
Политика зоны
OUTBOUND1
zone-pair security OUTBOUND1 source INSIDE destination DMZ
service-policy type inspect POLICY1
policy-map type inspect POLICY1 class-map type inspect match-any GENERIC-V6
class type inspect GENERIC-V6 match protocol tcp
inspect TRACKING match protocol udp
class class-default match protocol icmp
drop log
FIREWALL* sis 49FA6440: Session Created
FIREWALL* sis 49FA6440: IPv6 address extention Created
FIREWALL* sis 49FA6440: Pak 497651C8 init_addr ([2001:DB8::5]:123)
resp_addr ([2001:DB8:0:1111::2]:123)
FIREWALL* sis 49FA6440: FO cls 0x489C3100 clsgrp 0x20000000, target 0xA0000000, FO
0x4A91F6C0, alert = 1, audit_trail = 1, L7 = Unknown-l7, PAMID = 0
74. ZFW для IPv6: пример 2
Зона INSIDE Зона OUTSIDE
FTP
103 1 1 102
F1 ZFW6 F0
2001:db8:0:2222::/64 2001:db8:0:BBBB::/64
Политика зоны
OUTBOUND1
zone-pair security OUTBOUND1 source INSIDE destination OUTSIDE
service-policy type inspect POLICY1
policy-map type inspect POLICY1 class-map type inspect match-any V6-FTP
class type inspect V6-FTP match protocol ftp
inspect TRACKING
class class-default
drop log
Для FTP (через IPv6) поддерживается специфическая для приложения политика
75. ZFW для IPv6: пример 2
Зона INSIDE Зона OUTSIDE
FTP
103 1 1 102
F1 ZFW6 F0
2001:db8:0:2222::/64 2001:db8:0:BBBB::/64
Политика зоны
OUTBOUND1
%IPV6_FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:V6-FTP):Start ftp session: initiator
([2001:DB8:0:2222::103]:2510) -- responder ([2001:DB8:0:BBBB::102]:21)
%IPV6_FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:V6-FTP):Start ftp-data session: initiator
([2001:DB8:0:BBBB::102]:20) -- responder ([2001:DB8:0:2222::103]:2512)
%IPV6_FW-6-SESS_AUDIT_TRAIL: (target:class)-(OUTBOUND1:V6-FTP):Stop ftp-data session initiator
([2001:DB8:0:BBBB::102]:20) sent 39 bytes -- responder ([2001:DB8:0:2222::103]:2512) sent 0 bytes
%IPV6_FW-6-SESS_AUDIT_TRAIL: (target:class)-(OUTBOUND1:V6-FTP):Stop ftp session
initiator ([2001:DB8:0:2222::103]:2510) sent 147 bytes -- responder ([2001:DB8:0:BBBB::102]:21) sent 418 bytes
76. Некоторые другие доступные функции для IPv6
• Виртуальная повторная сборка фрагментов (VFR)
• Антиспуфинг с помощью uRPF
• Подробное представление с помощью Flexible Netflow
flow record FLEXRECORD6 flow exporter FLEXNETFLOW
match ipv6 traffic-class destination 192.168.1.114
match ipv6 protocol source FastEthernet0/0
match ipv6 source address transport udp 2055
match ipv6 destination address !
match transport source-port flow monitor FLEX6
match transport destination-port record FLEXRECORD6
match interface input exporter FLEXNETFLOW
collect routing next-hop address ipv6
collect ipv6 next-header V6-FW# show flow monitor FLEX6 cache aggregate
collect ipv6 hop-limit ipv6 source address transport icmp
collect ipv6 payload-length ipv6 type transport icmp ipv6 code
collect ipv6 extension map Processed 3 flows
collect ipv6 fragmentation flags Aggregated to 3 flows
collect ipv6 fragmentation offset IPV6 SOURCE ADDRESS: 2001:DB8::5
collect ipv6 fragmentation id ICMP IPV6 TYPE: 128
collect transport tcp flags ICMP IPV6 CODE: 0
collect interface output counter flows: 1
collect counter bytes counter bytes: 86000
collect counter packets counter packets: 86
77. Расположение межсетевого экрана в средах
с туннелями IPv6 Узел
Маршрутизатор Магистральная сеть IPv4 Маршрутизатор
Узел с двумя с двумя IPv6
IPv6 стеками стеками
Транзитная
Домен 2
Домен 1 сеть IPv6
IPv6
IPv6 R2
ZFW
Подробный анализ
IPv6 (выделенный
Туннель (IPv6 через IPv4) межсетевой экран IPv6)
Чистый IPv6 IPv6 в IPv4 Чистый IPv6
Заголовок Заголовок
Заголовок IPv6 Данные IPv6 IPv4 IPv6 Данные IPv6 Заголовок IPv6 Данные IPv6
Тип протокола IPv4 = 41
Чистый IPv6 IPv6 поверх GRE Чистый IPv6
Заголовок Заголовок
Заголовок IPv6 Данные IPv6 IPv4 Заголовок GRE Данные IPv6 Заголовок IPv6 Данные IPv6
IPv6
Тип протокола IPv4 = 47 = GRE
78. Пример статического туннеля IPv6 через IPv4
Интерфейс Интерфейс
loopback 1 loopback 1
172.22.22.241/32 172.22.22.242/32
IPv4
172.22.1.0/24 172.22.2.0/24
2001:DB8::/64 2001:DB8:5555::/64
f0/0.1201 f0/0.1202 R2
ZFW
Статический туннель (IPv6 через IPv4)
interface Tunnel1 interface Tunnel1
no ip address no ip address
ipv6 address 2001:DB8:0:1111::1/64 ipv6 address 2001:DB8:0:1111::2/64
ipv6 enable ipv6 enable
tunnel source 172.22.22.241 tunnel source 172.22.22.242
tunnel destination 172.22.22.242 tunnel destination 172.22.22.241
tunnel mode ipv6ip tunnel mode ipv6ip
! !
ipv6 route 2001:DB8:5555::/64 Tunnel1 ipv6 route 2001:DB8::/64 Tunnel1
ZFW# show interface tunnel 1 | include Tunnel
Tunnel1 is up, line protocol is up
Hardware is Tunnel
Tunnel source 172.22.22.241, destination 172.22.22.242
Tunnel protocol/transport IPv6/IP
Tunnel TTL 255
Tunnel transport MTU 1480 bytes
80. Что такое Security Group Tagging?
Устройства
SGT = 100 с поддержкой SGT
Я контрактник, моя
группа IT Admin
Database (SGT=4)
IT Server (SGT=10)
802.1X/MAB/Web Auth
SGACL
Contactor
& IT Admin
SGT = 100
Контроль доступа на основе групп безопасности позволяет:
Сохранить существующий дизайн сети на уровне доступа
Изменять / применять политики в соответствии с задачами кампании
Распространять политики с центрального сервера управления
81. SGACL/SGFW
Архитектура TrustSec MACSec
SGT L2 Frame
ISE: Политики и интегрированные
Функции TrustSec в Филиале
сервисы безопасности
Wired Identity:
• Baseline Identity features (802.1X, MAB, web-auth) • AAA services
• SGT carried via SXP or Inline IPSEC • Profiling – categorization of devices
Wireless Identity: • Posture – assurance of compliance
• CoA and profiling • Guest – guest management
Branch Enforcement:
• ISR G2/ ASR1000 – SG Firewall Guest Server
ISE Posture
AP WLC Profiler
Wireless user SXP Nexus 5000/2000
Wired user
Campus
Network
AnyConnect Catalyst® Switch Catalyst 6500
Nexus 7000 Data Center
SXP/IPSEC
Политики на выходе
Филиал 1
ISR G2 / Campus Aggregation:
WAN ASR1K • Cat6K/Sup2 – SGT/SGACL
ISR G2 со встроенным Data Center Enforcement
коммутатором • Nexus 7000 – SGT/SGACL
• ASR 1000 – SG Firewall
Security Group Access
Филиал 2 WAN Aggregation Router:
SXP • SXP/ SGT Support (No MACSec)
• IPSEC inline tagging
8
82. Поддержка функций TrustSec в МСЭ
Удаленный Беспроводной Проводной Корпоративные Персональные
VPN пользователь пользователь устройства устройства
пользователь
Корпоративная
сеть
Security Group
Firewall
ASA SG FW ISR SG FW ASR1K SG FW
• Доступен с версии • Доступен с версии • Доступен с версии 3.5
ASA 9.0. Для 15.2(2)T • Агрегация WAN,
корпоративной сети • Для филиалов и ограничение доступа
и ЦОД удаленных из филиалов в ЦОД
пользователей
83. МСЭ с поддержкой групп безопасности
Простота использования политик
Облегчает понимание:
Политики описывают роли пользователей и серверов
Изменения и перестановки не требуют изменения IP-адресации
Новые сервера/пользователи требуют только создания новых групп
Высокая масштабируемость политик и высокая производительность
Общая система классификации для корпоративной сети и ЦОД
Более точный аудит на соответствие требованиям
Source Destination Action
IP SGT IP SGT Port Action
10.10.10.0/24 - HIPAA HTTP Allow
Compliance
Server
Any Web Server PCI-Server SQL Allow
Any Audit PCI Servers TCP Allow
Any Guest Any Any Any Deny
84. Для
Матрица функций TrustSec справки
TrustSec 2.1 Feature Matrix Security Group Access MACsec
802.1X /
Device Switch to Client to
Platform Models Identity SGT SXP SGACL SG-FW
Sensors Switch Switch
Features
Cat 2K 2960, 2960-S
Cat 3K 3560, 3650E, 3750, 3750E,
3750-X 3560-X x
3560 C
Cat 4K Sup6E , Sup 6L-E
Sup7E, Sup 7L-E
Cat 6K Sup32 / Sup720
Sup2T
Nexus 7K
Nexus 5K
Pr1 / Pr2, 1001, 1002, 1004,
ASR 1K 1006, 1013, ESP10/20/40,
SIP 10/40
ISR G2 88X 89X 19xx 29xx 39xx
ASA
Wireless LAN
Controller
AnyConnect
86. Маршрутизаторы Cisco ISR – платформа для
Вашей сети
Cisco ISR G2
Защищенные сетевые решения
Непрерывное Защищенная Защищенная
голосовая связь мобильность
Нормативное
ведение бизнеса соответствие
Интегрированное управление угрозами
011111101010101
Усовершенствован- Фильтрация Предотвращение Гибкие Контроль Система
ный межсетевой контента вторжений функции доступа 802.1x защиты
экран сравнения к сети основания сети
пакетов (FPM)
Защищенные каналы связи Управление и контроль состояния
Ролевой
GET VPN DMVPN Easy VPN SSL VPN CCP доступ NetFlow IP SLA