Функции безопасности маршрутизаторов Cisco.

Функции безопасности
маршрутизаторов Cisco
Оксана Санникова,
Системный инженер Cisco
CCIE Security #35825

Содержание

• Межсетевой экран с политиками на основе зон
• Функции межсетевого экрана с учетом пользователей
• Технологии VPN
• Сертифицированный VPN
• Функции безопасности IPv6
• Secure Group Tagging
• Основные выводы

Портфолио маршрутизаторов Cisco
Безопасная
Производительность и масштабируемость

агрегация WAN
ASR 1000
Встроенная защита С ESP-40G
от угроз ASR 1000 с
ESP-20G
Оптимизация
ASR 1000 с
приложений
ESP-5G или
10G
ASR 1001
ESP-2.5G до
ISR G2 5G
(1900/29
ISR G2 00/3900)
(810/860/880/89
0) Высокая производительность встроенных сервисов, гибкость,
аппаратная и программная отказоустойчивость, модульное ПО
Маршрутизаторы с
интегрированными сервисами -
Безопасность, Голос, Видео,
БЛВС, Оптимизация WAN
Филиал
Центральный офис/ Агрегация WAN

Межсетевой экран с политиками
на основе зон

Межсетевой экран с политиками на основе
зон (ZFW)
• Зона - набор интерфейсов с определенным общим "уровнем доверия"
• Изменение концепции: теперь политики межсетевого экрана
определяют правила обмена между зонами (а не между
интерфейсами)
Int 4

Сервер
Клиент1
Int 1

ZFW1 Int 3 ИНТЕРНЕТ
Int 2

Клиент2

ДОВЕРЕННАЯ зона Политика зоны НЕДОВЕРЕННАЯ зона
OUTBOUND

Политики ZFW являются однонаправленными: от источника к получателю

ZFW: более простая реализация режима «запрета по
умолчанию"
%FW-6-DROP_PKT: Dropping icmp session 172.18.1.10:0
172.18.2.20:0 due to No zone-pair between zones with ip ident 0
Интерфейсы назначены зонам, но без определения пар зон

Интерфейс источника не назначен зоне

%FW-6-DROP_PKT: Dropping icmp session 172.17.3.10:0 172.18.1.10:0
due to One of the interfaces not being cfged for zoning with ip ident 0

Интерфейс получателя не назначен зоне

%FW-6-DROP_PKT: Dropping icmp session 172.18.2.20:0
172.17.4.10:0 due to policy match failure with ip ident 0

ZFW: основные элементы политик

Участник зоны Участник зоны
безопасности Z1 безопасности Z2
Int 1 ZFW1 Int 2

Политика Z1-Z2
Зона безопасности Z1 Зона безопасности Z2

zone-pair security Z1-Z2 source Z1 destination Z2
service-policy type inspect BASIC1

policy-map type inspect BASIC1
class type inspect CLASS1 class-map type inspect { match-all | match-any } CLASS1
{ inspect | pass | police | drop } a) match protocol { tcp | udp | icmp }
[…]
class type inspect CLASS-N b) match access-group { name ACL-NAME | ACL-NUM }
{ inspect | pass | police | drop } c) match class-map CLASS-MAP_NAME

class class-default
{ inspect | pass | drop }

Межсетевой экран с политиками на основе зон: карты параметров

ZFW1# show parameter-map type inspect default
audit-trail off
alert on
max-incomplete low 2147483647
max-incomplete high 2147483647
one-minute low 2147483647
one-minute high 2147483647
udp idle-time 30
icmp idle-time 10
dns-timeout 5
tcp idle-time 3600 Полезный совет:
tcp finwait-time 5 указывать имена
tcp synwait-time 30 элементов
tcp max-incomplete host 4294967295 block-time 0 политики в верхнем
sessions maximum 2147483647 регистре. Поиск в
интерфейсе
командной строки
parameter-map type inspect TRACKING производится с
audit-trail on учетом регистра

parameter-map type inspect global
log dropped-packets enable

Проверка исходящего трафика (только L4)

.10 F1 F0 .20

172.18.1.0/24 .4 ZFW1 .4 172.18.2.0/24

Установка
соединения

Политика зоны
Зона INSIDE
OUTBOUND1 Зона OUTSIDE

zone-pair security OUTBOUND1 source INSIDE destination OUTSIDE
service-policy type inspect POLICY1

policy-map type inspect POLICY1 class-map type inspect match-any TOP-CLASS1
class type inspect TOP-CLASS1 match protocol udp
inspect TRACKING match protocol tcp
class class-default
drop log


.10 F1 F0 .20

172.18.1.0/24 .4 ZFW1 .4 172.18.2.0/24

Зона INSIDE Зона OUTSIDE
OUTBOUND1

ZFW1# show policy-firewall config zone-pair
Zone-pair : OUTBOUND1
ZFW1# show zone security Source Zone : INSIDE
zone self Destination Zone : OUTSIDE
Description: System defined zone Service-policy inspect : POLICY1
zone INSIDE Class-map : TOP-CLASS1(match-any)
Member Interfaces: Match protocol udp
FastEthernet0 Match protocol tcp
zone OUTSIDE Action : inspect
Member Interfaces: Parameter-map : TRACKING
FastEthernet1 Class-map : class-default(match-any)
Match any
Action : drop log
Parameter-map : Default


.10 F1 F0 .20

172.18.1.0/24 .4 ZFW1 .4 172.18.2.0/24

OUTBOUND1

%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:TOP-CLASS1):
Start tcp session: initiator (172.18.1.10:22374) -- responder (172.18.2.20:23)

ZFW1# show policy-firewall session
Established Sessions = 1
Session 498723C0 (172.18.1.10:22374)=>(172.18.2.20:23) tcp SIS_OPEN/TCP_ESTAB
Created 00:00:19, Last heard 00:00:12
Bytes sent (initiator:responder) [48:95]

%FW-6-SESS_AUDIT_TRAIL: (target:class)-(OUTBOUND1:TOP-CLASS1):Stop tcp session:
initiator (172.18.1.10:22374) sent 54 bytes -- responder (172.18.2.20:23) sent 107 bytes


.10 F1 F0 .20

172.18.1.0/24 .4 ZFW1 .4 172.18.2.0/24

OUTBOUND1

Попытка исходящего соединения (блокирование ICMP по "class-default")

%FW-6-DROP_PKT: Dropping icmp session 172.18.1.10:0 172.18.2.20:0 on zone-pair
OUTBOUND1 class class-default due to DROP action found in policy-map with ip ident 0

Попытка исходящего соединения (пара зон не определена)

%FW-6-DROP_PKT: Dropping icmp session 172.18.2.20:0 172.18.1.10:0 due to
policy match failure with ip ident 0

ZFW: подготовка для политики L3 + L4

.10 F1 F0 .20
172.22.0.0/16
172.18.1.0/24 .4 ZFW1 .4 172.18.2.0/24

object-group network INSIDE1 object-group service SVCS1
172.18.1.0 255.255.255.0 tcp eq telnet
! tcp eq www
object-group network OUT1 !
172.22.0.0 255.255.0.0 object-group service SVCS2
! udp eq ntp
object-group network OUT2
host 172.18.2.20

ip access-list extended ACL1
permit object-group SVCS1 object-group INSIDE1 object-group OUT1

ZFW: политика L3 + L4 (нет других ACL-списков)

.10 F1 F0 .20
172.22.0.0/16
172.18.1.0/24 .4 ZFW1 .4 172.18.2.0/24

OUTBOUND2


policy-map type inspect POLICY2
class type inspect JOINT1 class-map type inspect match-all JOINT1
inspect TRACKING match class-map TOP-CLASS1
class class-default match access-group name ACL1
drop log

ip access-list extended ACL1

ZFW: реализация политики L3 + L4
Примеры допустимого трафика
%FW-6-SESS_AUDIT_TRAIL_START: (target:class) (OUTBOUND2:JOINT1): Start
udp session: initiator (172.18.1.10:123) -- responder (172.18.2.20:123)

%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND2:JOINT1):

Примеры блокируемого трафика
FIREWALL*: NEW PAK 48EE1EE4 (0:172.18.1.10:123) (0:172.22.22.22:123) udp
FIREWALL*: DROP feature object 0xAAAA0028 found
%FW-6-DROP_PKT: Dropping udp session 172.18.1.10:123 172.22.22.22:123 on
zone-pair OUTBOUND2 class class-default due to DROP action found in policy-map
with ip ident 0
FIREWALL: ret_val 0 is not PASS_PAK

FIREWALL*: NEW PAK 48EE1EE4 (0:172.18.1.10:12803) (0:172.18.2.20:23) tcp
FIREWALL*: DROP feature object 0xAAAA0028 found
%FW-6-DROP_PKT: Dropping tcp session 172.18.1.10:12803 172.18.2.20:23 on
zone-pair OUTBOUND2 class class-default due to DROP action found in policy-map
with ip ident 0
FIREWALL: ret_val 0 is not PASS_PAK

ZFW, ACL-списки и NAT
Зона INSIDE Локальное адресное Глобальное Зона OUTSIDE
пространство адресное
пространство
NAT
F0/0 F0/1.1610
.5 .20
ip nat inside .4 ZFW1 .4 ip nat outside
10.5.5.0/24 172.18.2.0/24

zone-pair security INBOUND2 source OUTSIDE destination INSIDE

Реальный Преобразованный

class type inspect JOINT2 ip nat inside source static 10.5.5.5 172.18.2.5
inspect TRACKING
class class-default
drop log
class-map type inspect match-any TOP-CLASS2
match protocol tcp
class-map type inspect match-all JOINT2
match class-map TOP-CLASS2 ip access-list extended ACL2
match access-group name ACL2
permit ip 172.18.2.0 0.0.0.255 host 10.5.5.5

ZFW, ACL-списки и NAT
Зона INSIDE Локальное адресное Глобальное Зона OUTSIDE
пространство адресное
NAT
F0/0 F0/1.1610
.5 .20
ip nat inside .4 ZFW1 .4 ip nat outside
10.5.5.0/24 172.18.2.0/24

%IPNAT-6-CREATED: tcp 10.5.5.5:23 172.18.2.5:23 172.18.2.20:15649 172.18.2.20:15649
FIREWALL* sis 49AD2B40: Session Created
FIREWALL* sis 49AD2B40: Pak 49182EC8
init_addr (172.18.2.20:15649) resp_addr (10.5.5.5:23)
init_alt_addr (172.18.2.20:15649) resp_alt_addr (172.18.2.5:23)
FIREWALL* sis 49AD2B40: FO cls 0x4ACDB960 clsgrp 0x10000000, target 0xA0000010,
FO 0x49A56880, alert = 1, audit_trail = 1, L7 = Unknown-l7, PAMID = 2

%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(INBOUND2:JOINT2):

Session 49AD2B40 (172.18.2.20:15649)=>(10.5.5.5:23) tcp SIS_OPEN/TCP_ESTAB

ZFW: прозрачный режим работы
.1 F0/0 F0/1.1610 .2
R1
ZFW1 R2
bridge-group1 bridge-group1

10.5.5.0/24
Зона INSIDE OUTBOUND1 Зона OUTSIDE


class type inspect BASIC1 class-map type inspect match-any BASIC1
inspect TRACKING match protocol udp
match protocol icmp
class class-default
match protocol tcp
drop log

%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:BASIC1):

Session 49AD3240 (10.5.5.1:56643)=>(10.5.5.2:23) tcp SIS_OPEN/TCP_ESTAB

ZFW: сценарий использования для прозрачного
режима
Беспроводная
Беспро-
точка доступа
водный
клиент
.101 .102 Fast1 Fast0

SMTP HTTPS ZFW1

192.168.2.0/24

Зона WIRED Зона WIRELESS
INBOUND1

zone-pair security INBOUND1 source WIRELESS destination WIRED

class type inspect JOINT1
inspect TRACKING
class class-default class-map type inspect match-any BASIC1
drop log match protocol tcp

class-map type inspect match-all JOINT1 ip access-list extended ACL1
match class-map BASIC1 permit tcp 192.168.2.0 0.0.0.255 host 192.168.2.101 eq 25
match access-group name ACL1 permit tcp 192.168.2.0 0.0.0.255 host 192.168.2.102 eq 443

ZFW и проверка L7: пример 1
проверка трафика FTP и использование NAT
Локальное адресное Глобальное
пространство адресное FTP
Клиент

NAT 172.17.11.102

.X Fast1 Fast0
ip nat inside ip nat outside
192.168.2.0/24 ZFW1

OUTBOUND1


class type inspect L7-CLASS1 class-map type inspect match-any L7-CLASS1
inspect TRACKING match protocol ftp
class class-default
drop log

ip nat outside source static 172.17.11.102 192.168.2.102 add-route


Локальное адресное Глобальное
пространство адресное FTP
Клиент

NAT 172.17.11.102

.X Fast1 Fast0
ip nat inside ip nat outside
192.168.2.0/24 ZFW1

OUTBOUND1

Управление сеансом FTP
%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:L7-CLASS1):
Start ftp session: initiator (192.168.2.72:36886) -- responder (172.17.11.102:21)

Пример сеанса передачи данных FTP
%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:L7-CLASS1):
Start ftp-data session: initiator (172.17.11.102:20) -- responder (192.168.2.72:51974)

%FW-6-SESS_AUDIT_TRAIL: (target:class)-(OUTBOUND1:L7-CLASS1):
Stop ftp-data session: initiator (172.17.11.102:20) sent 350 bytes -- responder (192.168.2.72:51974) sent 0 bytes

ZFW и проверка L7: пример проверки L7
на нестандартных портах
HTTP
работает на
портах 2002
- 2003
Fast1 Fast0
.200 .40
ZFW1
192.168.2.0/24 172.17.3.0/24

Зона INSIDE Политика зоны Зона OUTSIDE
OUTBOUND1


class type inspect HTTP-CLASS class-map type inspect match-any HTTP-CLASS
inspect TRACKING match protocol http
class class-default
drop log Проверка HTTP на нестандартных портах

access-list 1 permit 172.17.3.40
ip port-map http port tcp from 2002 to 2003 list 1

проверка L7 на нестандартных портах
HTTP
работает
на портах
2002 - 2003
Fast1 Fast0
.200 .40
ZFW1
192.168.2.0/24 172.17.3.0/24

OUTBOUND1

ZFW1# show ip port-map http
Default mapping: http tcp port 80 system defined
Host specific: http tcp port 2002-2003 in list 1 user defined

FIREWALL* sis 84294160: Session Created
FIREWALL* sis 84294160: Pak 83CBFCFC
init_addr (192.168.2.200:1065) resp_addr (172.17.3.40:2002)
init_alt_addr (192.168.2.200:1065) resp_alt_addr (172.17.3.40:2002)
FIREWALL* sis 84294160: FO cls 0x84F8EB80 clsgrp 0x10000000, target 0xA0000000, FO 0x849600E0,
alert = 1, audit_trail = 1, L7 = http, PAMID = 5
FIREWALL* sis 84294160: Allocating L7 sis extension L4 = tcp, L7 = http, PAMID = 5

%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:HTTP-CLASS):
Start http session: initiator (192.168.2.200:1065) -- responder (172.17.3.40:2002)

ZFW и проверка L7: пример сравнения
заголовка ответа HTTP

HTTP
Fast1 Fast0
.200 .30
ZFW1
192.168.2.0/24 172.17.3.0/24

OUTBOUND1


policy-map верхнего уровня
policy-map type inspect POLICY1 class-map верхнего уровня
class type inspect HTTP-CLASS class-map type inspect match-any HTTP-CLASS
inspect TRACKING match protocol http
service-policy http WEB1
class class-default
drop log
policy-map для конкретного
приложения class-map для конкретного приложения

policy-map type inspect http WEB1
class-map type inspect http match-any HTTP1
class type inspect http HTTP1
match response header set-cookie
reset
log

сравнение заголовка ответа HTTP

HTTP
Fast1 Fast0
.200 .30
ZFW1
192.168.2.0/24 172.17.3.0/24

Зона INSIDE Политика зоны Зона DMZ
OUTBOUND1

%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:HTTP-CLASS):
Start http session: initiator (192.168.2.200:43005) -- responder (172.17.3.30:80)

FIREWALL* sis 84283A40: match-info tocken in cce_sb 849BA240 - class
3221225494; filter 31; val1 0; val2 0; str set-cookie, log on, reset on

%APPFW-4-HTTP_HDR_FIELD_REGEX_MATCHED: Header field (set-cookie)
matched - resetting session 172.17.3.30:80 192.168.2.200:43005 on
zone-pair OUTBOUND1 class HTTP-CLASS appl-class HTTP1

ZFW: проверка трафика самого
маршрутизатора - зона «self»
Зона self (адреса Зона OUTSIDE 172.22.22.0/24
маршрутизатора)
.22
F4.201 F4.200 172.20.20.0/24 172.21.21.0/24
10.10.10.1 ZFW1 172.20.20.1 .2 R1 .2 .21 R2

OUT-SELF

zone-pair security OUT-SELF source OUTSIDE destination self
service-policy type inspect OUT-FW1

class-map type inspect match-all ICMP1
policy-map type inspect OUT-FW1 match access-group name PING1
class type inspect ICMP1
inspect TRACKING
class class-default
drop log ip access-list extended PING1
permit icmp object-group OUT1 object-group RTR-ADDR echo

object-group network RTR-ADDR
host 10.10.10.1 object-group network OUT1
host 172.20.20.1 172.20.20.0 255.255.255.0

ZFW: проверка трафика самого маршрутизатора
Зона self (адреса Зона OUTSIDE 172.22.22.0/24
маршрутизатора)
.22
F4.201 F4.200 172.20.20.0/24 172.21.21.0/24
10.10.10.1 ZFW1 172.20.20.1 .2 R1 .2 .21 R2

OUT-SELF

• Операция ZFW по умолчанию - разрешить трафик на интерфейсы маршрутизатора и от них

• Особая зона с именем "self" обрабатывает трафик маршрутизатора

• Политики, относящиеся к зоне "self", являются однонаправленными по своей природе

Трафик ICMP на адрес маршрутизатора 172.20.20.1 (от допустимого источника) разрешен

%FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUT-SELF:ICMP1):Start icmp session:
initiator (172.20.20.2:0) -- responder (172.20.20.1:0)

Трафик ICMP на адрес маршрутизатора 172.20.20.1 (от недопустимого источника) отбрасывается

%FW-6-DROP_PKT: Dropping icmp session 172.21.21.21:0 172.20.20.1:0 on zone-pair
OUT-SELF class class-default due to DROP action found in policy-map with ip ident 0

Для
ZFW: политики внутри зоны справки

• В выпусках IOS 12.X прохождение трафика между
интерфейсами, принадлежащими одной и той же зоне, было
разрешено без проверки.
• В выпуске IOS 12.X было невозможно определить политики ZFW
внутри зоны:
ZFW2(config)# zone-pair sec INTRAZONE2 source INSIDE destination INSIDE
% Same zone cannot be defined as both the source and destination

• Начиная с выпуска IOS 15.0(1)M, трафик в пределах зоны
блокируется по умолчанию
• IOS 15.X позволяет формировать политики внутри зоны (когда
источник и получатель трафика находятся в одной зоне)

ZFW: политики внутри зоны

Сервер
NTP

.6 Fast1 Fast0 .200
.1 ZFW1 .1
10.10.6.0/24 10.10.10.0/24

Зона INSIDE INTRAZONE1

zone-pair security INTRAZONE1 source INSIDE destination INSIDE

class type inspect TOP-CLASS2 class-map type inspect match-any TOP-CLASS2
inspect TRACKING match protocol icmp
class class-default match protocol udp
drop log

ZFW: политики внутри зоны

Сервер
NTP

.6 Fast1 Fast0 .200
.1 ZFW1 .1
10.10.6.0/24 10.10.10.0/24

Зона INSIDE INTRAZONE1

ZFW1# show zone security INSIDE ZFW1# show zone-pair security
zone INSIDE Zone-pair name INTRAZONE1
Member Interfaces: Source-Zone INSIDE Destination-Zone INSIDE
FastEthernet0 service-policy POLICY2
FastEthernet1

Session 49CFB240 (10.10.6.6:123)=>(10.10.10.200:123) udp SIS_OPEN

Функции межсетевого экрана с
учетом пользователей

Управление доступом с учетом
пользователя

Кто
пользователь?
Что за ресурс?

SRV1 SRV2
user1
user2

Имеется ли возможность предоставить доступ конкретному пользователю?
Можно ли управлять доступом к приложениям любого типа?
Имеется ли поддержка учетных записей?
Это динамический тип управления?

Базовый инструмент: прокси-сервис
аутентификации
1 Telnet 172.26.26.26 Запрос прокси-
SRV1
сервиса
аутентификации
Конечный
пользо-
ватель 2 5
.100
.26

172.16.100.0/24 F1 Шлюз F0 172.26.26.0/24

3 CS-ACS
Сеть
управления 4

1. Пользователь связывается по Telnet с сервером SRV1
2. Прокси-сервис аутентификации перехватывает пакет и направляет пользователю
запрос на аутентификацию
3. ZFW запрашивает сервер RADIUS
4. Сервер RADIUS в ответ направляет профиль авторизации (или отказ в доступе)
5. Пользователю предоставляется доступ к узлу назначения

Для
Подготовка для прокси-сервиса аутентификации справки

! *** Instructing the NAS to receive, send and process RADIUS VSAs
radius-server vsa send accounting
radius-server vsa send authentication

! *** Defining and using an AAA server-group called "RADIUS1"
aaa group server radius RADIUS1
server 192.168.1.200 auth-port 1812 acct-port 1813
server-private 192.168.1.200 auth-port 1812 acct-port 1813 key 7 #####
!
aaa authentication login default group RADIUS1
aaa authorization network default group RADIUS1
aaa authorization auth-proxy default group RADIUS1
aaa accounting auth-proxy default start-stop group RADIUS1

! *** Defining an ACL to be applied to the same interface as Auth-Proxy
access-list 100 permit udp host 192.168.1.200 eq 1812 host 192.168.2.1
access-list 100 permit udp host 192.168.1.200 eq 1813 host 192.168.2.1
access-list 100 permit tcp any 172.26.26.0 0.0.0.255 eq telnet

! *** Defining the Auth-Proxy policy to intercept Telnet traffic
ip admission name ADMISSION1 proxy telnet

! ***Applying the Auth-Proxy policy to interface F1 (Auth-Proxy incoming interface)
interface FastEthernet1
ip access-group 100 in
ip admission ADMISSION1

Прокси-сервис аутентификации в действии: передача отдельных
правил фильтрации - ACE (1)

ACS/Group Settings : GROUP1
[009001] cisco-av-pair
priv-lvl=15
proxyacl#1=permit tcp any any eq 22
proxyacl#2=permit tcp any any eq 23

! *** Telnet Session is intercepted by Auth-Proxy process (before reaching interface ACL)
AUTH-PROXY creates info:
cliaddr - 172.16.100.100, cliport - 1562
seraddr - 172.26.26.26, serport - 23
ip-srcaddr 172.16.100.100
pak-srcaddr 0.0.0.0

! *** NAS sends request to CS-ACS and receives individual ACEs (proxyacl)
RADIUS(0000000C): Send Access-Request to 192.168.1.200:1812 id 1645/12, len 104
RADIUS: authenticator 73 DC D7 7B 91 B4 61 38 - 4E 65 CB A5 B3 4F AD 9D
RADIUS: User-Name [1] 7 "user1"
! […]
RADIUS: Received from id 1645/12 192.168.1.200:1812, Access-Accept, len 148
RADIUS: authenticator ED 65 FB F6 64 B9 33 6D - A3 5E B8 5F 14 36 D4 21
RADIUS: Vendor, Cisco [26] 19
RADIUS: Cisco AVpair [1] 13 "priv-lvl=15"
RADIUS: Cisco AVpair [1] 37 "proxyacl#1=permit tcp any any eq 22"
RADIUS: Cisco AVpair [1] 37 "proxyacl#2=permit tcp any any eq 23"

Прокси-сервис аутентификации в действии: передача отдельных
ACE (2)

IOS-FW# show ip auth-proxy cache
Authentication Proxy Cache
Client Name user1, Client IP 172.16.100.100, Port 1562, timeout 60, Time Remaining 60,
state INTERCEPT
!
! *** Details about the current Auth-Proxy session
IOS-FW# show epm session ip 172.16.100.100
Admission feature : Authproxy
AAA Policies :
Proxy ACL : permit tcp any any eq 22
Proxy ACL : permit tcp any any eq 23

! *** Viewing Dynamic Entries (for host 172.21.21.101) added to the interface ACL
IOS-FW# show access-list 100
Extended IP access list 100
permit tcp host 172.16.100.100 any eq 22 (18 matches)
permit tcp host 172.16.100.100 any eq telnet (70 matches)
10 permit udp host 192.168.1.200 eq 1812 host 192.168.2.1 (1 match)
20 permit udp host 192.168.1.200 eq 1813 host 192.168.2.1 (1 match)
30 permit tcp any 172.26.26.0 0.0.0.255 eq telnet (2 matches)

Прокси-сервис аутентификации с загружаемыми ACL-списками (1)

! *** NAS sends Access Request to CS-ACS and receives name of the DACL to be applied
RADIUS(00000006): Send Access-Request to 192.168.1.200:1812 id 1645/4, len 104
RADIUS: authenticator 67 06 F7 BB F1 81 BE 96 - 29 2D C9 24 89 00 2B 31
RADIUS: User-Name [1] 7 "user1"
[…]
RADIUS: authenticator 6D 19 94 84 EF C0 28 C3 - EF AB 8E FE 1F E9 7B 28
RADIUS: Cisco AVpair [1] 56 "ACS:CiscoSecure-Defined-ACL=#ACSACL#-IP-DACL1-4aac618d"
[…]
! *** NAS sends second Access Request using DACL name as username (null password)
RADIUS(00000000): Send Access-Request to 192.168.1.200:1812 id 1645/5, len 134
RADIUS: authenticator 94 3C 9D F1 C1 93 25 2A - F3 9E DA C9 B0 15 FC B2
RADIUS: NAS-IP-Address [4] 6 172.21.21.1
RADIUS: User-Name [1] 28 "#ACSACL#-IP-DACL1-4aac618d"
RADIUS: Cisco AVpair [1] 26 "aaa:service=ip_admission"
RADIUS: Cisco AVpair [1] 24 "aaa:event=acl-download"
!
! *** ACS sends second Response containing the individual entries of the Downloadable ACL
RADIUS: authenticator 69 A2 A7 BB 15 AF 3C EB - A3 D7 12 F0 F5 04 54 F2
RADIUS: Cisco AVpair [1] 37 "ip:inacl#1=permit tcp any any eq 80"
RADIUS: Cisco AVpair [1] 37 "ip:inacl#2=permit icmp any any echo"

Прокси-сервис аутентификации с загружаемыми ACL-списками (2)

IOS-FW# show ip auth-proxy cache
Client Name user1, Client IP 172.16.100.100, Port 1085, timeout 60, Time Remaining 60,
state INTERCEPT

IOS-FW#show epm session ip 172.16.100.100
AAA Policies :
ACS ACL : xACSACLx-IP-DACL1-4aac618d

! After Auth-Proxy “user1” uses PING and WWW services
IOS-FW# show access-list
Extended IP access list 100
permit tcp host 172.16.100.100 any eq www (12 matches)
permit icmp host 172.16.100.100 any echo (4 matches)
10 permit udp host 192.168.1.200 eq 1812 host 192.168.2.1 (2 matches)
20 permit udp host 192.168.1.200 eq 1813 host 192.168.2.1 (2 matches)
30 permit tcp any 172.26.26.0 0.0.0.255 eq telnet (31 matches)
Extended IP access list xACSACLx-IP-DACL1-4aac618d (per-user)
10 permit tcp any any eq www
20 permit icmp any any echo

ZFW с учетом пользователя
Зона INSIDE SRV1 Зона OUTSIDE
OUTBOUND1

Конечный
пользо-
ватель
Прокси-сервис
.100 аутентификации .26

172.16.100.0/24 F1 Шлюз
ZFW1 F0 172.26.26.0/24

Сеть CS-ACS
управления

1. Пользователь связывается по Telnet с сервером
2. Прокси-сервис аутентификации перехватывает пакет и направляет пользователю запрос
3. Сервер RADIUS отправляет "supplicant-group" ("группу клиента") VSA в межсетевой экран
IOS
4. Формируется отображение пользователя на группу
5. Для каждой отдельной группы создается межсетевой экран с политиками на основе зон

ZFW с учетом пользователя: получение
информации о группе
ACS/Group Settings : ENG
[009001] cisco-av-pair
priv-lvl=15
supplicant-group=ENG

RADIUS: authenticator 43 A9 2F 23 EC 7F 7B 19 - B5 AF 6D 1B 40 81 85 25
RADIUS: Cisco AVpair [1] 25 "supplicant-group=ENG“

ZFW1# show ip auth-proxy cache
Client Name user1, Client IP 172.16.100.100, Port 1108, timeout 60, Time Remaining 60, state INTERCEPT
!
ZFW1# show epm session ip 172.16.100.100
AAA Policies :
Supplicant-Group : ENG
!
ZFW1# show user-group
Usergroup : ENG
------------------------------------------------------------------------
User Name Type Interface Learn Age (min)
------------------------------------------------------------------------
172.16.100.100 IPv4 FastEthernet1 Dynamic 0

ZFW с учетом пользователя: использование
информации о группе
class-map type inspect match-all ENG1 !* Defining zones and zone-pairs
match user-group ENG zone security INSIDE
match protocol tcp zone security OUTSIDE
class-map type inspect match-all ENG2 !
match user-group ENG zone-pair security OUTBOUND source INSIDE destination OUTSIDE
match protocol icmp service-policy type inspect OUT1
class-map type inspect match-all MKT1
match user-group MKT ! * Defining an Auth-Proxy policy to intercept Telnet traffic
match protocol tcp ip admission name ADMISSION1 proxy telnet inactivity-time 60
! !
policy-map type inspect OUT1 ! * Assigning interfaces to zones and applying the Auth-Proxy policy
class type inspect ENG1 interface FastEthernet1
inspect ip admission ADMISSION1
class type inspect ENG2 zone-member security INSIDE
inspect !
police rate 32000 burst 6000 interface FastEthernet0
class type inspect MKT1 zone-member security OUTSIDE
inspect
class class-default
drop log

Межсетевой экран с учетом пользователей по прежнему работает в
режиме контроля доступа с учетом состояния

FlexVPN: унифицированная виртуальная
частная сеть

EasyVPN, DMVPN и Crypto Map

crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp policy 1
group 2
encr 3des
crypto isakmp client configuration group cisco crypto isakmp policy 1
authentication pre-share
key cisco123 encr 3des
group 2
pool dvti authentication pre-share
crypto ipsec transform-set vpn-ts-set esp-3des esp-sha-hmac
acl 100 group 2
mode transport
crypto isakmp profile dvti crypto isakmp client configuration group cisco
crypto ipsec profile vpnprofile
match identity group cisco key pr3sh@r3dk3y
set transform-set vpn-ts-set
client authentication list lvpn pool vpnpool
interface Tunnel0
isakmp authorization list lvpn acl 110
ip address 10.0.0.254 255.255.255.0
client configuration address respond crypto ipsec transform-set vpn-ts-set esp-3des esp-sha-hmac
ip nhrp map multicast dynamic
virtual-template 1 crypto dynamic-map dynamicmap 10
ip nhrp network-id 1
crypto ipsec transform-set dvti esp-3des esp-sha-hmac set transform-set vpn-ts-set
tunnel source Serial1/0
crypto ipsec profile dvti reverse-route
tunnel mode gre multipoint
set transform-set dvti crypto map client-vpn-map client authentication list userauthen
tunnel protection ipsec profile vpnprof
set isakmp-profile dvti crypto map client-vpn-map isakmp authorization list groupauthor
interface Virtual-Template1 type tunnel
ip route 192.168.0.0 255.255.0.0 Null0router bgp 1
crypto map client-vpn-map client configuration address initiate
ip unnumbered Ethernet0/0bgp log-neighbor-changes crypto map client-vpn-map client configuration address respond
tunnel mode ipsec ipv4 redistribute static crypto map client-vpn-map 10 ipsec-isakmp dynamic dynamicmap
tunnel protection ipsec profile dvti
neighbor DMVPN peer-group interface FastEthernet0/0
ip local pool dvti 192.168.2.1 listen range 10.0.0.0/24 peer-group DMVPN address 83.137.194.62 255.255.255.240
bgp 192.168.2.2 ip
ip route 0.0.0.0 0.0.0.0 10.0.0.2
neighbor DMVPN remote-as 1 crypto map client-vpn-map
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
no auto-summary ip local pool vpnpool 10.10.1.1 10.10.1.254
access-list 110 permit ip 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255

Проблема выбора технологии VPN
Смерть от тысячи вопросов…

Совместимость
производителей и Hub & Spoke
версий Управляемость AAA
Время
Spoke – Spoke
восстановления
Метод напрямую
Решение vs IPv4/IPv6 dual stack
обнаружения Компоненты
сбоев ВстраиваниеСложность дизайна
Динамическая маршрутов
Dual DMVPN
маршрутизация Crypto Map или
Порядок функций туннели
Multi-Hub Homing
ACL каждому
клиенту
Масштабируемость Multicast
Multi-ISP Homing
Поддержка QoS
Высокая
доступность

Позиционирование VPN технологий

DMVPN FlexVPN GETVPN
Публичный Интернет Частный IP транспорт
Объединение технологий
транспорт
«Точка-точка» и удаленного
доступа Соединения «Любой с
Hub-Spoke, Spoke-Spoke любым»
• Масштабные сети с • Подходит для • Наиболее
топологией топологий «Точка- масштабируемое
«Звезда» и точка» и для решение для топологии
динамическими удаленного доступа «Точка-точка»
туннелями spoke-to- • Безтуннельное
• Централизованное
spoke шифрование
управление
• Проверенная политиками с • Интеграция с TrustSec
технология с помощью AAA и LISP
множеством
• Использует новейший • Интуитивная
внедрений по всему
протокол IKEv2 поддержка мультикаста
миру
• Масштабируемость до • До 4,000 площадок на
• Масштабируемость
10,000 площадок одну GETVPN группу
до 4000 площадок

VPN
VPN

Easy

Map
Crypto
DMVPN

Flex VPN
No
No
Совместимость

Yes

Yes
Динамическая

No
No

Yes

Yes
маршрутизация

IPsec

No

Yes
Yes

Yes
маршрутизация

Spoke-spoke direct

No
No

Yes

Yes
(shortcut)

No
Remote Access

Yes
Yes

Yes
FlexVPN Объединяет

Simple Failover
Yes

Yes
poor
partial

No
No
No

Source Failover
Yes
No
No

Config push
Yes

Yes
No
No

Per-peer config
Yes

Yes
No

Per-Peer QoS
Yes

Yes
group

Full AAA
No
No
Yes

Yes

Management

Конфигурация FlexVPN
crypto ikev2 profile default
match identity remote fqdn domain
cisco.com
identity local fqdn R1.cisco.com
authentication local rsa-sig
authentication remote eap
pki trustpoint TP sign
aaa authentication eap default
aaa authorization user eap
Hub &
virtual-template 1
Spoke
interface Virtual-Template1
Remote ip unnumbered loopback0
Access tunnel protection ipsec profile default
Dual Stack
tunnel mode gre ip v4/v6 better
Legacy
crypto map peer ip nhrp network-id 1

Dual Stack Все параметры
v4/v6 legacy подстраиваются “под соседа”
Spoke-Spoke
с помощью AAA shortcut switching

Почему FlexVPN именно сейчас?
• IKEv2 – ключевое обновление протокола
– Нет обратной совместимости с IKEv1
– Требует осмысления и перенастройки
• Сделаны значительные изменения в IOS
– Настройки «соседа» (QoS, FW, политики, VRF re-injection,…)
– Слишком много различных технологий
– Время изучения технологий VPN чрезвычайно велико
• IKEv2 – подходящая веха для пересмотра дизайна и
архитектуры
•  FlexVPN рекомендован для будущих внедрений

IKEv2 в нескольких словах
• Описан в RFC 4306 – обновлен в RFC 5996
– Не совместим с IKEv1
– Не широко распространен … пока
• Оба протокола используют одинаковую базовую структуру для
обеспечения:
– Конфиденциальности
– Целостности
– Идентификации
• Оба протокола работают поверх UDP 500/4500

Ключевые сходства

ISAKMP
DPD RFC2408

Mode- Объединяет важные
config IKE IKEv2 спецификации в
DOI RFC2409 RFC5996
одном RFC
RFC2407
NAT-T

Main Mode
Initial Quick
Exchange Mode CREATE_CHILD_SA
Aggressive
Mode

Ключевые отличия

IKEv1 IKEv2
Auth сообщения Максимум 6 4 и более
Первая IPsec SA 9 сообщ в мин ~ 4-6 сообщ в мин
Аутентификация pubkey-sig, pubkey-encr, Pubkey-sig, PSK, EAP
PSK
Anti-DOS Не работает Работает!
IKE rekey Требует повторной Нет повторной
аутентификации аутентификации
(накладные расходы)
Нотификации Отправил и забыл Подтверждение

Механизм anti-clogging cookie

Привет Bob_IP, я Alice_IP,
½ IKE SPI равен 0xabe65f

Привет Alice_IP, Я Bob_IP,
Твой ½ ike SPI равен 0xabe65f
Хм…Я не отправляла Подтверди с cookie 0xdeadbeef
SPI 0xabe65f
Bob_IP. Удаляю пакет. Безопасность:
Встроенный механизм Anti-DoS
No
state

 Первые два пакета обмениваются только cookie и предложениями
 Cookies используются для предотвращения DoS атак (anti-clogging)
 Cookies используются при необходимости и могут увеличить число начальных
сообщений

Обмен сообщениями в IKEv2

IKE_SA_INIT Согласование параметров
(2 сообщения) аутентификации IKE_SA

IKE_AUTH + CREATE_CHILD_SA
(2 сообщения) Аутентификация IKE
и создание одной CHILD_SA

CREATE_CHILD_SA
(2 сообщения) Создание второй CHILD_SA

A Защищенные данные B

Обмен нотификациями
• Используются для поддержания порядка
– Уведомления об удалении
– Проверка «живости» соседа
– Первый контакт
– Отчеты об ошибках (различные уведомления)
• В ответ отправляется подтверждение
– Иначе нотификация отправляется повторно
• Криптографическая защита
– Только после начального обмена (Initial Exchange)
• Используются при обмене конфигурацией
– Аналогично Mode-Config

Extensible Authentication Protocol (EAP)
• В IKEv2 нет X-AUTH; взамен используется EAP
• EAP – инфраструктура аутентификации, определяющая общие
функции для различных методов:
• Туннель – EAP-TLS, EAP/PSK, EAP-PEAP…
• Без туннеля – EAP-MSCHAPv2, EAP-GTC, EAP-MD5,…

• Реализовано в виде дополнительного обмена IKE_AUTH
• Используется только для аутентификации инициатора перед
отвечающим на запрос узлом
• Респондер ДОЛЖЕН использовать сертификат
• Может значительно увеличить число сообщений (12-16)
• EAP имеет много особенностей – Читайте документацию!!!

IKEv2: Настройки по умолчанию

Знакомство с Smart Defaults
Интеллектуальные, изменяемые значения по умолчанию

 Предопределенные конструкции:
 crypto ikev2 proposal
 AES-CBC 256, 196,128 , 3DES / SHA-512,384,256, SHA-1, MD5 /
group 5, 2
 crypto ikev2 policy (match any)
 crypto ipsec transform-set (AES-128, 3DES / SHA, MD5)
 crypto ipsec profile default (default transform set, ikev2 profile default)
 Нужно только создать профиль IKEv2 с именем “default”

crypto ikev2 profile default
match identity remote address 10.0.1.1
authentication local certificate
authentication remote certificate
pki trustpoint TP
!
interface Tunnel0
ip address 192.168.0.1 255.255.255.252
tunnel protection ipsec profile default

Изменяемые настройки по умолчанию
Все настройки можно модифицировать, отключить и восстановить

 Преднастроенные предложения
crypto ikev2 proposal default
encryption aes-cbc-128
 Для IKEv2 hash md5
 Для IPsec crypto ipsec transform-set default aes-cbc 256 sha-hmac
 Изменяемые настройки
default crypto ikev2 proposal

 Восстановление настроек default crypto ipsec transform-set

no crypto ikev2 proposal default
 Отключение настроек
no crypto ipsec transform-set default

Таймеры и значения по умолчанию Для
справки

Параметр Значение по умолчанию
IKE SA lifetime 86400 секунд (24 часа)
IPsec SA lifetime 3600 секунд (1 час)
Retransmission count 7
Retransmission interval 2, 4, 8, 16, 32, 64, 128 секунд

Примеры сценариев FlexVPN

Многообразие сценариев FlexVPN
Нет ничего невозможного

Flex VPN
IKEv2

Stars and Stars and Legacy
Site-to-Site
Meshes Meshes Interop
Просто и быстро Локальная БД БД RADIUS Совместимость

Basic Hub & Mesh Advanced Managed VTI/dVTI
crypto maps
Spoke Networks Hub & Spoke
Гибридная
Mesh multi-SA
Легко настроить Базовый DMVPN Managed DMVPN Миграция 7600/6500 На всякий случай
аутентификация

Branch Remote
routers Access Clients
Большие и малые Мобильные устр-ва

Win7 Native
AnyConnect
Client
Cross Platform Microsoft

VPN на любой вкус
Беспроигрышный вариант

Туннелирование Метод Настройки Источник
аутентификации туннеля настроек
GRE/IPsec Сертификат Статические Локальный
Чистый IPsec Секретный ключ Динамические RADIUS
EAP (инициатор) crypto map Гибрид

Выбор туннелирования Для
справки
Тип инкапсуляции
GRE/IPsec Чистый IPsec
Любые протоколы Только IPv4 или IPv6
Одна пара SA Одна или несколько пар SA
Умный выбор Устаревший/совместимость

Тип туннелирования
Статический туннель Динамический туннель
Interface Tunnel Interface Virtual-Template
Инициатор/Респондер Только респондер
Статические настройки Динамические настройки
Одна пара SA Одна или несколько пар SA

Аутентификация и авторизация Для
справки
Метод аутентификации
Сертификаты Секретный ключ EAP
Проверка офлайн Несколько соседей, иначе - Требует RADIUS для
RADIUS ответчика
Авто и ручное обновление Ручное обновление (admin) Ручное обновление (user)
Масштабные внедрения Малые-средние внедрения Удаленный доступ
Инициатор/Ответчик Инициатор/Ответчик Только инициатор

Источник настроек
Локальный RADIUS
Статическая БД Динамическая БД
Политики на группу Политики на пользователя
CLI GUI, CLI, скрипты…
Возможны гибридные варианты

Сертифицированный VPN

VPN-решения Cisco в России
• VPN-решения Cisco признаны лучшими во многих странах и признаны
стандартом де-факто многими специалистами
• Использование VPN-решений Cisco в России сопряжено с рядом
трудностей
– Порядок ввоза на территорию Таможенного союза шифровальных средств
– Требование использования национальных криптографических алгоритмов
– Обязательная сертификация СКЗИ

• На сайте www.slideshare.com/CiscoRu выложена презентация по
регулированию криптографии в России

Cisco – лицензиат ФСБ
• Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-
решения, поддерживающие российские криптоалгоритмы на
базе оборудования Cisco
• Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625,
124-1626 от 28 февраля 2011 года
– Сертификат по классу КС1/КС2/КС3

Решение для удаленных офисов
• На базе модуля для ISR G1 и G2
(2800/2900/3800/3900)

Технологические сценарии
• Защита каналов связи
• VPN-узел доступа центрального офиса
• Концентратор удаленного доступа
• ПК удаленного (мобильного) пользователя
• Защита беспроводных сетей
• Защита унифицированных коммуникаций
• Managed VPN Services

Функции безопасности IPv6 в IOS

ACL-списки IOS IPv6
ipv6 access-list ACL-NAME {protocol}
{deny | permit} { protocol } { src-prefix / prefix-length } {dst-prefix / prefix-length } [ sequence ACE# ]

Источники Получатели
Действие Протокол Номер
строки

ipv6 access-list ACL-NAME {protocol}
{deny | permit} { tcp | udp } { src-prefix / prefix-length } [src-port] {dst-prefix / prefix-length } [dest-port]

Источники Получатели
Действие Протокол Сервис

Привязка ACL-списка IPv6 к интерфейсу
interface FastEthernet0/0
ipv6 traffic-filter V6-ACL1 in

ACL-списки IOS IPv6: параметры Для
справки

фильтрации

V6-FW(config-ipv6-acl)# permit ipv6 any any?
auth Match on authentication header
dest-option Destination Option header (all types)
dest-option-type Destination Option header with type
dscp Match packets with given dscp value
flow-label Flow label
fragments Check non-initial fragments
log Log matches against this entry
log-input Log matches against this entry, including input
mobility Mobility header (all types)
mobility-type Mobility header with type
reflect Create reflexive access list entry
routing Routing header (all types)
routing-type Routing header with type
sequence Sequence number for this entry
time-range Specify a time-range
<cr>

ZFW для IPv6: пример

F1 F0
5
4 ZFW6 4 2001:db8:0:1111::/64
2001:db8::/64

OUTBOUND1

zone-pair security OUTBOUND1 source INSIDE destination DMZ

policy-map type inspect POLICY1 class-map type inspect match-any GENERIC-V6
class type inspect GENERIC-V6 match protocol tcp
inspect TRACKING match protocol udp
class class-default match protocol icmp
drop log

FIREWALL* sis 49FA6440: Session Created
FIREWALL* sis 49FA6440: IPv6 address extention Created
FIREWALL* sis 49FA6440: Pak 497651C8 init_addr ([2001:DB8::5]:123)
resp_addr ([2001:DB8:0:1111::2]:123)
FIREWALL* sis 49FA6440: FO cls 0x489C3100 clsgrp 0x20000000, target 0xA0000000, FO
0x4A91F6C0, alert = 1, audit_trail = 1, L7 = Unknown-l7, PAMID = 0

ZFW для IPv6: пример 2

FTP

103 1 1 102
F1 ZFW6 F0
2001:db8:0:2222::/64 2001:db8:0:BBBB::/64

OUTBOUND1


policy-map type inspect POLICY1 class-map type inspect match-any V6-FTP
class type inspect V6-FTP match protocol ftp
inspect TRACKING
class class-default
drop log

Для FTP (через IPv6) поддерживается специфическая для приложения политика

ZFW для IPv6: пример 2


FTP

103 1 1 102
F1 ZFW6 F0
2001:db8:0:2222::/64 2001:db8:0:BBBB::/64

OUTBOUND1

%IPV6_FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:V6-FTP):Start ftp session: initiator
([2001:DB8:0:2222::103]:2510) -- responder ([2001:DB8:0:BBBB::102]:21)

%IPV6_FW-6-SESS_AUDIT_TRAIL_START: (target:class)-(OUTBOUND1:V6-FTP):Start ftp-data session: initiator
([2001:DB8:0:BBBB::102]:20) -- responder ([2001:DB8:0:2222::103]:2512)
%IPV6_FW-6-SESS_AUDIT_TRAIL: (target:class)-(OUTBOUND1:V6-FTP):Stop ftp-data session initiator
([2001:DB8:0:BBBB::102]:20) sent 39 bytes -- responder ([2001:DB8:0:2222::103]:2512) sent 0 bytes

%IPV6_FW-6-SESS_AUDIT_TRAIL: (target:class)-(OUTBOUND1:V6-FTP):Stop ftp session
initiator ([2001:DB8:0:2222::103]:2510) sent 147 bytes -- responder ([2001:DB8:0:BBBB::102]:21) sent 418 bytes

Некоторые другие доступные функции для IPv6
• Виртуальная повторная сборка фрагментов (VFR)
• Антиспуфинг с помощью uRPF
• Подробное представление с помощью Flexible Netflow
flow record FLEXRECORD6 flow exporter FLEXNETFLOW
match ipv6 traffic-class destination 192.168.1.114
match ipv6 protocol source FastEthernet0/0
match ipv6 source address transport udp 2055
match ipv6 destination address !
match transport source-port flow monitor FLEX6
match transport destination-port record FLEXRECORD6
match interface input exporter FLEXNETFLOW
collect routing next-hop address ipv6
collect ipv6 next-header V6-FW# show flow monitor FLEX6 cache aggregate
collect ipv6 hop-limit ipv6 source address transport icmp
collect ipv6 payload-length ipv6 type transport icmp ipv6 code
collect ipv6 extension map Processed 3 flows
collect ipv6 fragmentation flags Aggregated to 3 flows
collect ipv6 fragmentation offset IPV6 SOURCE ADDRESS: 2001:DB8::5
collect ipv6 fragmentation id ICMP IPV6 TYPE: 128
collect transport tcp flags ICMP IPV6 CODE: 0
collect interface output counter flows: 1
collect counter bytes counter bytes: 86000
collect counter packets counter packets: 86

Расположение межсетевого экрана в средах
с туннелями IPv6 Узел
Маршрутизатор Магистральная сеть IPv4 Маршрутизатор
Узел с двумя с двумя IPv6
IPv6 стеками стеками
Транзитная
Домен 2
Домен 1 сеть IPv6
IPv6
IPv6 R2
ZFW

Подробный анализ
IPv6 (выделенный
Туннель (IPv6 через IPv4) межсетевой экран IPv6)

Чистый IPv6 IPv6 в IPv4 Чистый IPv6
Заголовок Заголовок
Заголовок IPv6 Данные IPv6 IPv4 IPv6 Данные IPv6 Заголовок IPv6 Данные IPv6

Тип протокола IPv4 = 41

Чистый IPv6 IPv6 поверх GRE Чистый IPv6
Заголовок Заголовок
Заголовок IPv6 Данные IPv6 IPv4 Заголовок GRE Данные IPv6 Заголовок IPv6 Данные IPv6
IPv6

Тип протокола IPv4 = 47 = GRE

Пример статического туннеля IPv6 через IPv4
Интерфейс Интерфейс
loopback 1 loopback 1
172.22.22.241/32 172.22.22.242/32
IPv4
172.22.1.0/24 172.22.2.0/24
2001:DB8::/64 2001:DB8:5555::/64
f0/0.1201 f0/0.1202 R2
ZFW

Статический туннель (IPv6 через IPv4)

interface Tunnel1 interface Tunnel1
no ip address no ip address
ipv6 address 2001:DB8:0:1111::1/64 ipv6 address 2001:DB8:0:1111::2/64
ipv6 enable ipv6 enable
tunnel source 172.22.22.241 tunnel source 172.22.22.242
tunnel destination 172.22.22.242 tunnel destination 172.22.22.241
tunnel mode ipv6ip tunnel mode ipv6ip
! !
ipv6 route 2001:DB8:5555::/64 Tunnel1 ipv6 route 2001:DB8::/64 Tunnel1

ZFW# show interface tunnel 1 | include Tunnel
Tunnel1 is up, line protocol is up
Hardware is Tunnel
Tunnel source 172.22.22.241, destination 172.22.22.242
Tunnel protocol/transport IPv6/IP
Tunnel TTL 255
Tunnel transport MTU 1480 bytes

Функционал Security Group Tagging

Что такое Security Group Tagging?
Устройства
SGT = 100 с поддержкой SGT
Я контрактник, моя
группа IT Admin

Database (SGT=4)

IT Server (SGT=10)

802.1X/MAB/Web Auth
SGACL
Contactor
& IT Admin
SGT = 100

 Контроль доступа на основе групп безопасности позволяет:
 Сохранить существующий дизайн сети на уровне доступа
 Изменять / применять политики в соответствии с задачами кампании
 Распространять политики с центрального сервера управления

SGACL/SGFW

Архитектура TrustSec MACSec

SGT L2 Frame

ISE: Политики и интегрированные
Функции TrustSec в Филиале
сервисы безопасности
Wired Identity:
• Baseline Identity features (802.1X, MAB, web-auth) • AAA services
• SGT carried via SXP or Inline IPSEC • Profiling – categorization of devices
Wireless Identity: • Posture – assurance of compliance
• CoA and profiling • Guest – guest management
Branch Enforcement:
• ISR G2/ ASR1000 – SG Firewall Guest Server
ISE Posture
AP WLC Profiler

Wireless user SXP Nexus 5000/2000
Wired user
Campus
Network
AnyConnect Catalyst® Switch Catalyst 6500
Nexus 7000 Data Center
SXP/IPSEC
Политики на выходе
Филиал 1
ISR G2 / Campus Aggregation:
WAN ASR1K • Cat6K/Sup2 – SGT/SGACL
ISR G2 со встроенным Data Center Enforcement
коммутатором • Nexus 7000 – SGT/SGACL
• ASR 1000 – SG Firewall
Security Group Access
Филиал 2 WAN Aggregation Router:
SXP • SXP/ SGT Support (No MACSec)
• IPSEC inline tagging

8

Поддержка функций TrustSec в МСЭ

Удаленный Беспроводной Проводной Корпоративные Персональные
VPN пользователь пользователь устройства устройства
пользователь

Корпоративная
сеть

Security Group
Firewall

ASA SG FW ISR SG FW ASR1K SG FW
• Доступен с версии • Доступен с версии • Доступен с версии 3.5
ASA 9.0. Для 15.2(2)T • Агрегация WAN,
корпоративной сети • Для филиалов и ограничение доступа
и ЦОД удаленных из филиалов в ЦОД
пользователей

МСЭ с поддержкой групп безопасности
Простота использования политик

 Облегчает понимание:
 Политики описывают роли пользователей и серверов
 Изменения и перестановки не требуют изменения IP-адресации
 Новые сервера/пользователи требуют только создания новых групп
 Высокая масштабируемость политик и высокая производительность
 Общая система классификации для корпоративной сети и ЦОД
 Более точный аудит на соответствие требованиям

Source Destination Action
IP SGT IP SGT Port Action
10.10.10.0/24 - HIPAA HTTP Allow
Compliance
Server
Any Web Server PCI-Server SQL Allow

Any Audit PCI Servers TCP Allow

Any Guest Any Any Any Deny

Для
Матрица функций TrustSec справки

TrustSec 2.1 Feature Matrix Security Group Access MACsec
802.1X /
Device Switch to Client to
Platform Models Identity SGT SXP SGACL SG-FW
Sensors Switch Switch
Features
Cat 2K 2960, 2960-S
Cat 3K 3560, 3650E, 3750, 3750E,
3750-X 3560-X x
3560 C
Cat 4K Sup6E , Sup 6L-E
Sup7E, Sup 7L-E
Cat 6K Sup32 / Sup720
Sup2T
Nexus 7K
Nexus 5K
Pr1 / Pr2, 1001, 1002, 1004,
ASR 1K 1006, 1013, ESP10/20/40,
SIP 10/40
ISR G2 88X 89X 19xx 29xx 39xx
ASA
Wireless LAN
Controller
AnyConnect

Маршрутизаторы Cisco ISR – платформа для
Вашей сети
Cisco ISR G2

Защищенные сетевые решения

Непрерывное Защищенная Защищенная
голосовая связь мобильность
Нормативное
ведение бизнеса соответствие

Интегрированное управление угрозами

011111101010101

Усовершенствован- Фильтрация Предотвращение Гибкие Контроль Система
ный межсетевой контента вторжений функции доступа 802.1x защиты
экран сравнения к сети основания сети
пакетов (FPM)

Защищенные каналы связи Управление и контроль состояния

Ролевой
GET VPN DMVPN Easy VPN SSL VPN CCP доступ NetFlow IP SLA

Функции безопасности маршрутизаторов Cisco.

Функции безопасности маршрутизаторов Cisco.

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (7)

Similaire à Функции безопасности маршрутизаторов Cisco.

Similaire à Функции безопасности маршрутизаторов Cisco. (20)

Plus de Cisco Russia

Plus de Cisco Russia (20)

Функции безопасности маршрутизаторов Cisco.