Маршрутизаторы Cisco как устройства обеспечения информационной безопасности
1. Маршрутизаторы Cisco как
устройства обеспечения
информационной
безопасности
Петякшев Евгений, Системный инженер Cisco
2xCCIE (Security, Data Center) #36020
2. План
1) Обзор проблем безопасности филиальных сетей
2) Защита самого маршрутизатора от DOS атак (CoPP, CPPr)
3) Межсетевой экран с политиками на основе зон (ZBF)
- Advanced features
- Security Group Access
- Zone Based Firewall с учетом меток SGT
4) IOS Cloud Web Security
5) FlexVPN, унифицированный метод построения виртуальных частных сетей
6) Сертифицированный VPN
7) Выводы
5. Почему стоит инвестировать ?
Видео это новый ‘голос’, хотите ли вы быть человеком, который вовремя
не среагировал на требования бизнеса в области коммуникаций ?
Консолидация и централизация удаленных филиалов происходит уже
сегодня; Cisco UCS Express расширяет унифицированный ЦОД до
удаленных филиалов
Бизнес расширяется, защитите свои инвистиции с помощью ISR/ASR,
увеличьте доступность филиалов резервным 3G каналом
Сэкономьте на расширении полосы пропускания WAN канала с помощью
WAAS Express, до 10x увеличения производительности
Будьте готовы удовлетворять требования регуляторов
6. Массштабируемые VPN решения с веб безопасностью
•
Небезопасный доступ, Malware
могут скомпрометировать сеть
филиала, центрального офиса и
привести к остановке сервисов
•
Массштабируемые,
безопасные филиальные сети
используя VPN решения:
DMVPN, FlexVPN,…
•
Упрощенное решение с тесно
интегрируемыми сервисами
маршрутизации, безопасности и
пр.
•
Сложность решений
безопасности в филиалах и
невозможность
централизованного
обслуживания – дыры
безопасности
•
Эффективная защита от угроз
с помощью Zone-Based Firewall,
Cisco Cloud Web Security
•
Меньшая стоимость по
сравнению с выделенными
аплайнсами; целостные сервисы
безопасности
•
Удовлетворение требований
регуляторов
ДО
ПОСЛЕ
HQ
Branch
WAN
HQ
Branch
Branch
Secure
WAN
Branch
7. Непрерывность бизнес-процессов
с помощью безопасных сервисов WAN, LAN, Wireless
•
Ненадежное WAN соединение,
потеря WAN == потеря бизнес
процессов в филиалах
•
Автоматический переход на
подключение по 3G/4G LTE в
случае потери WAN сервисов
•
Высокая стоимость внедрения
проводных и беспроводных
сервисов в филиалах
•
Интегрированные сервисы
безопасности, LAN, WAN,
беспроводная сеть в одном
устройстве
•
802.11n беспроводные
сервисы в филиалах
ДО
Непрерывность бизнес
процессов и
катастрофоустойчивость с
автоматическим провижнингом
•
Гибкое внедрение – ‘плати по
мере роста’
•
Эффективное
централизованное управление
и мониторинг
HQ
HQ
ISP/WAN
•
3G/4G
Cellular
ISP/WAN
ПОСЛЕ
8. Оптимизация сети, Cisco Thread Defence
•
Рост объема WAN трафика
филиалов
•
Высокие затраты на ряд
решений по оптимизации WAN
•
AVC, IP SLA,…
•
Безопасность
CISCO PRIME INFRASTRUCTURE
•
Высокая стоимость решений
•
Отсутствие информации о
событиях безопасности в
филиальной сети
Сеть готова
к видео
•
Безопасная и прозрачная
оптимизация WAN
•
Оптимизация видео и трафика
приложений
•
MediaNet – сеть ‘знает’ о
трафике видео
•
Гибкие модели внедрения
•
Visibility (AVC, netflow) и
контроль
•
Видимость и управление
событиями безопасности
филиальной сети
•
Удаленный офис – сенсор в
решении Cisco Cyber Thread
Defense в центральном офисе
Удаленный офис
Internet
WAN
Оптимизация
VDI решений
Оптимизация
приложений
IPSLA
PA
PfR
QoS MediaNet
WAAS/
WAASX
VDS
CTD
9. Плотность интерфейсов
Маршрутизаторы Cisco ISRg2
3900 Series
3900E Series
Маршрутизаторы с
интегрированными
сервисами - Безопасность,
Голос, Видео, БЛВС,
Оптимизация WAN
Новинка
4451-X
2951
Филиал
2921
2911
2901
1900 Series
800 Series
25Mbps
35Mbps
Производительность с включенными сервисами
50Mbps
75Mbps 100Mbps
250Mbps
500Mbps 2Gbps
350Mbps
10. Плотность интерфейсов
Маршрутизаторы Cisco ASR
Центральный офис / Агрегация WAN
Маршрутизаторы с
интегрированными
сервисами - Безопасность,
Голос, Видео, БЛВС,
Оптимизация WAN
ASR 1000, ESP40
ASR 1000, ESP20
ASR 1000, ESP10
ASR 1001, ESP2.5G/5G
Производительность с включенными сервисами
2,5 Gbps
10 Gbps
20 Gbps
40 Gbps
13. Определение проблем:
- Высокие требования к безотказной работе сети
- DOS атаки, направленные на Control Plane маршрутизатора
- DOS атаки направленные на RP могут приводить к высокой
утилицации RP, потеря трафика
- Неправильно настроенные сетевые устройства
15. CoPP Настройка
• Для классификации сервисов Control Plane используется MQC
• Class maps и policy maps определяются для всего control plane
Пример ограничения UDP трафика до 16 Kbps, предотвращение UDP
флуда:
17. Control Plane Host
• Сбрасывает все пакеты направленные на закрытые или не на
используемые маршрутизатором TCP/UDP порты.
• Обрабатывает TCP/UDP трафик направленный к маршрутизатору
• Большее количество функционала чем на CEF-exeption и transit Sub-
интерфейсах: policing, port filtering и per-protocol queue thresholds
Пример: сброс всего трафика, кроме TCP 3020, 3040 или UDP 520
18. Control Plane Host (Queue Threshold)
• Ограничения на уровне отдельных протоколов (BGP, DNS, FTP, HTTP,
IGMP, SNMP, SSH, SYSLOG, TELNET, TFTP, host-protocols)
• Только для Host Sub-интерфейсе
• Защита от переполнения входной очереди каким-либо одним
протоколом
Пример: настройка queue-limit для HTTP – 100 пакетов
19. Control Plane Transit
• Трафик ‘через’ маршрутизатор, обрабатываемый на RP (не CEF)
Пример: ограничение фрагментированных пакетов до 1Mpps:
20. Control Plane CEF Exception
• Пакеты вызывающие CEF-Exeption
• Весь не-IP трафик от хостов
• Примеры: CDP, не-UDP локальный мультикаст, ARP...
Пример: уменьшение влияния широковещательных штормов,
ограничение не-IP трафика до 100 пакетов в секунду:
23. Межсетевой экран с политиками на основе зон (Cisco ZFW)
Зона - набор интерфейсов
с определенным общим
"уровнем доверия”
DMZ
Int 2
Inside
ДОВЕРЕННАЯ зона
Int 1
Int 3
ZFW
Политика зоны
OUTBOUND
Outside
НЕДОВЕРЕННАЯ зона
Политики ZFW являются однонаправленными: от источника к получателю
24. Межсетевой экран с политиками на основе зон (Cisco ZFW)
1) Настраиваем зоны МСЭ
2) Помещаем интерфейсы в зоны
3) Определяем пары зон между которыми будет ходить трафик
zone security Inside
zone security DMZ
zone security Outside
DMZ
int gi 0/0
zone-member security Inside
Int 2
Inside
Int 1
Int 3
ZFW
In_to_Out
Outside
25. Межсетевой экран с политиками на основе зон (Cisco ZFW)
4) Описываем трафик с помощью class-map
5) Описываем действия с трафком с помощью policy-map
6) Создаем пары зон и применяем действия к парам зон
ip access-list extended INTERNAL_Lan
permit ip 10.0.0.0 0.0.0.8 any
!
class-map type inspect match-all INTERNAL_Lan
match access-group INTERNAL_Lan
!
class-map type inspect match-any In_to_Out_protocols
match protocol http
match protocol https
match protocol dns
match protocol icmp
!
class-map type inspect match-all In_to_Out_Cmap
match class-map In_to_Out_protocols
match class-map INTERNAL_Lan
policy-map type inspect In_to_Out
class type inspect In_to_Out_Cmap
inspect
zone-pair security In_to_out_ZP source Inside destination Outside
service-policy type inspect In_to_Out
WIN !
26. ZFW: Дополнительные элементы политик
ZFW1# show parameter-map type inspect default
audit-trail off
alert on
max-incomplete low 2147483647
max-incomplete high 2147483647
one-minute low 2147483647
one-minute high 2147483647
udp idle-time 30
icmp idle-time 10
dns-timeout 5
tcp idle-time 3600
tcp finwait-time 5
tcp synwait-time 30
tcp max-incomplete host 4294967295 block-time 0
sessions maximum 2147483647
parameter-map type inspect TRACKING
audit-trail on
parameter-map type inspect global
log dropped-packets enable
policy-map type inspect Outbond
class type inspect CMAP2
inspect parameter-map-name PMAP1
parameter-map type inspect-zone ZONE_PMAP_1
tcp syn-flood rate per-destination 400
max-destination 10000
parameter-map type inspect global
tcp syn-flood limit number
ASR
Полезный совет:
указывать имена
элементов политики в
верхнем регистре. Поиск
в интерфейсе командной
строки производится с
учетом регистра
27. ZFW: Дополнительный функционал: ISRg2, ASR
ZBF1
- Firewall Stateful Interchassis Redundancy
ZBF2
Failover
- User-based access control with Zone-based Policy Firewall
Contractor
Server1
Inside
ZBF1
Radius Server
Outside
class-map type inspect Contractors_CM
match user-group CONTRACTOR
Cisco av pair: supplicant-group = CONTRACTOR
- Security Group Access Zone-Based Policy Firewall
28.
29. Присвоение меток SGT
Профессор
(SGT 7)
Статическая метка
SGT для серверов
Менеджер
(SGT 6)
SGT=7
Пользователи,
устройства
SGT
Enforcement
SXP
IT портал (SGT 4)
10.1.100.10
VLAN100
СWA
Campus
Network
802.1X, MAB,
LWA
Catalyst® 2960
MAB
Устройство
без агента
Динамическая метка
SGT
Untagged Frame
Catalyst 6K
Core
Nexus® 7000
Distribution
Catalyst® 4948
Публичный веб-сервер
(SGT 8)
ISE
Active
Directory
VLAN200
Внутренний портал
(SGT 9)
10.1.200.200
10.1.200.10
Tagged Frame
10.1.200.100
30. Формат фрейма с SGT
Аутентифицировано
Зашифровано
DMAC
SMAC
802.1AE Header
802.1Q
CMD
ETYPE
PAYLOAD
ICV
CRC
Overhead: 8 to 64 bytes with options
CMD EtherType
Version Length
SGT Opt Type
SGT Value
Other CMD Options
Cisco мета данные
Ethernet фрейм поля
802.1AE Header
CMD
ICV
это L2 802.1AE + TrustSec
8
Фрейм всегде тегируется на входящем устройстве
Тэгирование проходит ДО других L2 процессов, например QoS
34. Сканирование контента с помощью IOS Cloud Web
Security
parameter-map type content-scan global
server scansafe primary name proxy2261.scansafe.net port http 8080 https 8080
server scansafe secondary name proxy1363.scansafe.net port http 8080 https 8080
license 0 CD4B25B79D131F08ABCDEFABCDEFFFFF
source interface Gi0/0
timeout server 30
user-group ciscogroup10 username ciscouser10
server scansafe on-failure block-all
interface Gi0/0
ip nat outside
content-scan out
CWS
2
1
IOS
3
Internet
35. Сканирование контента с помощью IOS Cloud Web
Security
IOS# show content-scan statistics
Current HTTP sessions: 0
Current HTTPS sessions: 0
Total HTTP sessions: 83
Total HTTPS sessions: 8
White-listed sessions: 0
Time of last reset: never
IOS# show content-scan summary
Primary: 201.94.155.42 (Up)*
Secondary: 70.39.231.99 (Up)
Interfaces: Dialer1
IOS# show content-scan session active
Protocol
Source
Destination
Bytes
Time
HTTP
172.19.99.101:57152
209.222.159.185:80
(1635:331595)
URI: www.maa.org
Username/usergroup(s): ciscouser10/ ciscogroup10
HTTP 172.19.99.101:57153 209.222.159.185:80 (2157:53326) 00:00:12
URI: www.maa.org
Username/usergroup(s): ciscouser10/ ciscogroup10
HTTP 172.19.99.101:57161 74.125.234.10:80 (1525:833) 00:00:09
URI: www.google-analytics.com
Username/usergroup(s): ciscouser10/ ciscogroup10
00:00:12
37. EazyVPN, DMVPN, Crypto Maps
+ GRE, VTI, DVTI, IPSEC, Get VPN, ….
crypto isakmp policy 1
encr 3des
authentication pre-share
crypto isakmp policy 1
group 2
encr 3des
crypto isakmp policy 1
crypto isakmp client configuration group cisco
authentication pre-share
encr 3des
key cisco123
group 2
authentication pre-share
pool dvti
crypto ipsec transform-set vpn-ts-set esp-3des esp-sha-hmac
group 2
acl 100
mode transport
crypto isakmp client configuration group cisco
crypto isakmp profile dvti
match identity group cisco
client authentication list lvpn
isakmp authorization list lvpn
crypto ipsec profile vpnprofile
set transform-set vpn-ts-set
interface Tunnel0
key pr3sh@r3dk3y
pool vpnpool
acl 110
ip
client configuration address respond address 10.0.0.254 255.255.255.0
crypto ipsec transform-set vpn-ts-set esp-3des esp-sha-hmac
virtual-template 1
crypto dynamic-map dynamicmap 10
ip nhrp map multicast dynamic
crypto ipsec transform-set dvti esp-3des esp-sha-hmac
ip nhrp network-id 1
crypto ipsec profile dvti
set transform-set dvti
set isakmp-profile dvti
tunnel source Serial1/0
crypto map client-vpn-map client authentication list userauthen
tunnel protection ipsec profile vpnprof
crypto map client-vpn-map isakmp authorization list groupauthor
bgp log-neighbor-changes
tunnel protection ipsec profile dvti redistribute static
neighbor DMVPN peer-group
ip local pool dvti 192.168.2.1 192.168.2.2
ip route 0.0.0.0 0.0.0.0 10.0.0.2
reverse-route
tunnel mode gre multipoint
interface Virtual-Template1 type tunnel
ip route 192.168.0.0 255.255.0.0 Null0router bgp 1
ip unnumbered Ethernet0/0
tunnel mode ipsec ipv4
set transform-set vpn-ts-set
bgp listen range 10.0.0.0/24 peer-group DMVPN
access-list 100 permit ip 192.168.1.0 0.0.0.255 DMVPN remote-as 1
neighbor any
no auto-summary
crypto map client-vpn-map client configuration address initiate
crypto map client-vpn-map client configuration address respond
crypto map client-vpn-map 10 ipsec-isakmp dynamic dynamicmap
interface FastEthernet0/0
ip address 83.137.194.62 255.255.255.240
crypto map client-vpn-map
ip local pool vpnpool 10.10.1.1 10.10.1.254
access-list 110 permit ip 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255
38. IKEv2
HDR, SAi, KEi, NONCEi
HDR, SAr, KEr, NONCEr, [CERTREQ]
HDR, IDi, [CERT], [CERTREQ], [IDr], AUTH, SA2i, TSi, TSr
HDR, IDr, [CERT], AUTH, SA2, TSi, TSr
HDR
AUTH
SA
TSi,r
IDi,r
KE
NONCEi,r
39. Зачем мигрировать на IKEv2 ?
1) IKEv2 более стоек к DOS атакам (HDR, N(coockie),…)
2) IKEv2 это стандарт, в котором есть поддержка NAT transparency
(хэш source IP+port -> N, (,… NONCEi, N(NATT)
3) Dead Peer Detection (INFORMATIONAL обмен без payload)
-> лучшее interoperability
4) Меньше overhead по сравнению с IKEv1
5) Меньшее время для процесса rekey
40. Зачем мигрировать на IKEv2 ?
6) В IKEv2 пакетах, можно обмениваться на URL ссылки сертификатов
(меньше payload)
7) Поддержка EAP (EAP-IKEv2) – authentication remote eap [query-identity]
8) Multiple Crypto engines (например один для IPv4, другой для IPv6)
9) Reliability (использует Sequence Numbers) , error-processing
10) Более ‘прозрачный’ debug
11) Поддержка Suit-B (SHA-2, ECDSA, signature (ECDSA-sig)) (RFC 4869);
AES-GCM (128, 256); AES-GMAC; DH using Elliptic Curves)
41. IKEv2 конфигурация
crypto ikev2 proposal PROPOSAL-1
encryption 3des aes-cbc-128 aes-cbc-256
integrity sha512 md5
group 2 5
crypto ikev2 keyring I-KEYRING-1
peer VPN-PEER-1
address 10.10.10.1
identity address email R1@cisco.com
pre-shared-key local 0 cisco_local
pre-shared-key remote 0 cisco_remote
crypto ikev2 name-mangler NM-01
email username
crypto ikev2 policy I-POLICY-1
proposal PROPOSAL-1
match fvrf VPN
crypto ikev2 profile IKE-Profile-01
authentication local pre-share
authentication remote rsa-sig
aaa authorization user cert ISE-01
name-mangler NM_01
identity local email R1@cisco.com
keyring I-KEYRING-1
match certificate CM-01
pki trustpoint TRUSTPOINT_01
Теперь можем контролировать какое IKE-ID посылает initiator, какие
поля этого IKE-ID может использовать responder. Гибкость !
42. Extensible Authentication Protocol (EAP)
No X-AUTH in IKEv2; используется EAP
EAP – framework для различных методов:
• Tunneling - EAP-TLS, EAP/PSK, EAP-PEAP…
• Non-tunneling – EAP-MSCHAPv2, EAP-GTC, EAP-MD5,…
Дополнительные IKE_AUTH сообщения
Аутентифицирует только initiator to responder
Responder ДОЛЖЕН использовать сертификат
Количество сообщений увеличивается до (12-16)
NonTunneling
Recommen
ded
59. VPN-решения Cisco в России
VPN-решения Cisco признаны лучшими во многих
странах и признаны стандартом де-факто многими
специалистами
Использование VPN-решений Cisco в России
сопряжено с рядом трудностей
Порядок ввоза на территорию Таможенного союза
шифровальных средств
Требование использования национальных
криптографических алгоритмов
Обязательная сертификация СКЗИ
60. Cisco – лицензиат ФСБ
Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-решения,
поддерживающие российские криптоалгоритмы на базе
оборудования Cisco
Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625, 1241626 от 28 февраля 2011 года
Сертификат по классу КС1/КС2/КС3
Решение для удаленных офисов
• На базе модуля для ISR G1 и G2
(2800/2900/3800/3900)
66. Разницав подходе Cisco и ‘остальных’
Несколько устройств
Обычный подход
Одно устройство
Подход Cisco
Маршрутизация
Коммутация
Безопасность
Контроль
Оптимизация
Голос
Снижение CapEx
Небольшой OpEx
Простая управляемость