Не претендуя на полноту, попытаюсь описать технологии, которые можно использовать для защиты периметра.
Мы рассмотрим iOS с набором функций брандмауэра.
Этот набор возможностей, как правило, присутствует во всех системах iOS (в которых есть шифрование), кроме самой базовой.
Итак, пусть на границе нашей сети стоит маршрутизатор Cisco, который призван обеспечивать безопасность наших внутренних ресурсов.
Мы защищаем трафик.
Прежде всего имеет смысл сократить ненужный трафик самым простым и грубым способом — списками доступа.
Списки доступа (ACL, Access Control List) для протокола IP — на маршрутизаторах Cisco есть стандартный (они проверяют только исходный IP-адрес и разрешают или запрещают трафик согласно этому параметру) и расширенный (проверьте адреса источника и назначения, протокол передачи, порты источника и назначения, а также другие поля заголовков IP, TCP, UDP и других протоколов).
Порядок строк в списке доступа очень важен, потому что.
эти строки проверяются по порядку, и как только обнаруживается совпадение, пакет либо пропускается, либо уничтожается.
В конце любого ACL обязательно есть невидимое «запретить все», поэтому пакет не пройдет мимо ACL. Списки доступа могут быть пронумерованы или именованы.
Я рекомендую использовать именованные со значимыми именами.
Примеры: список доступа 1, разрешение 192.168.1.0 0.0.0.255 список доступа 101 разрешить IP любой 192.168.1.0 0.0.0.255 стандартный ТЕСТ списка доступа IP разрешить хост 1.2.3.4 расширенный список доступа IP TEST2 разрешить TCP любой 10.1.1.0 0.0.0.255 eq http разрешить TCP любой 10.1.1.0 0.0.0.255 экв https разрешить udp любой 10.1.1.0 0.0.0.255 eq 53 разрешить ip любой 10.1.1.0 0.0.0.255 dscp cs5 Списки доступа — это шаблоны, которые можно использовать как для фильтрации трафика, так и в качестве критериев выбора для других технологий.
Например, списки доступа определяют «интересный» трафик для шифрования, для NAT, для QoS и т. д. Сам список доступа ничего не делает, пока он не будет применен к какой-либо технологии.
Например, чтобы фильтровать трафик на интерфейсе для ввода или вывода, ACL используется командой IP-группа доступа {вход|выход} Традиционно к внешнему интерфейсу рекомендуется прикрепить так называемый антиспуфинговый ACL, т.е.
предотвращающий атаки с поддельных адресов.
Пример: список доступа ip ex АНТИСППУФИНГ запретить IP-хост 0.0.0.0 любой запретить ip 10.0.0.0 0.255.255.255 любой запретить ip 172.16.0.0 0.15.255.255 любой запретить ip 192.168.0.0 0.0.255.255 любой запретить IP хоста 255.255.255.255 любой запретить ip 224.0.0.0 15.255.255.255 любой разрешить любой IP Важный: Вам нужно быть очень осторожным с этим ACL, если вы работаете с туннелями, зашифрованными IPSec. Дело в том, что ACL, висящий на входе интерфейса, сначала проверяет заголовок зашифрованного пакета, а затем заголовок расшифрованного.
Поэтому запрет трафика из частных сетей (10, 172, 192) может привести к нарушению работы туннеля.
Итак, мы отсекаем ненужный трафик.
Пришло время заняться брандмауэром.
Необходимо обеспечить внутренних пользователей Интернетом, но при этом не допускать несанкционированных подключений снаружи внутрь.
Маршрутизаторы Cisco могут быть межсетевыми экранами с отслеживанием состояния.
Если ваши задачи просты, нет выделенных зон безопасности и нет анонса сервисов наружу, то проще всего использовать базовый межсетевой экран.
Для этого вам нужно создать правило ip Inspect, описать протоколы, которые вы хотите обрабатывать и запоминать сессии, привязать это правило к интерфейсу и.
всё :) Роутер запомнит те сессии, которые были инициированы из внутри, и будет разрешать только те пакеты извне, которые "заказаны".
Если приходящий пакет не соответствует ни одному сеансу, то маршрутизатор затем проверяет ACL, висящий на интерфейсе, на наличие разрешающего правила для этого пакета.
Пример конфигурации: Ro(config)# имя проверки IP FW TCP Ro(config)# имя проверки IP FW udp Ro(config)# имя проверки IP FW icmp Ro(config)# имя проверки IP FW ftp Ro(config)# ip имя проверки FW sip TCP — прослушивает TCP-сессии.
UDP — слушает UDP-сессии.
остальные строки включают прослушку и обработку соответствующего протокола, ведь его работа сложнее, чем просто пропуск Пакет ответа на сеанс TCP/UDP. Например, протокол FTP имеет один служебный канал, по которому происходит согласование и аутентификация, а данные передаются совсем по другому каналу, и сессия пытается инициироваться извне, а роутер ее не пропускает. А если включить проверку, то роутер подслушает сессию сервиса, узнает, на каких портах сервер и клиент согласились отправлять данные, а также поместит эту сессию в список разрешенных.
Пусть f0/0 — внешний, а f0/1 — внутренний интерфейс.
Ro(config)# int f0/1 Ro(config-if)# ip проверить прошивку в Правило привязывается ко входу внутреннего или внешнего интерфейса, т.е.
в направлении к ИСХОДНОМУ трафику .
На внешнем интерфейсе стоит строгий ACL, который не пропускает практически ничего извне, например Ro(config)# ip access-l ex STRICT Ro(config-ex-nacl)# запретить ip любой любой Ro(config)# int f0/0 Ro(config-if)# ip access-g STRICT в В приведенной выше версии наружу пройдут только те пакеты, которые были запрошены изнутри.
Есть тонкость: ACL STRICT одновременно запретит весь трафик на сам роутер, т.к.
по умолчанию трафик роутера в проверяемый трафик не попадает. Для проверки трафика маршрутизатора необходимо добавить Ro(config)# имя проверки IP маршрутизатора FW Если задачи сложные, нужно создавать разные зоны безопасности (демилитаризованные зоны, DMZ), гибко настраивать работу протоколов между этими зонами, то лучше использовать так называемый зональный межсетевой экран.
Описывать здесь не буду, ибо это уже не для молодого бойца :) Как еще можно защитить трафик, проходящий через маршрутизатор? система предотвращения вторжений (IPS), промежуточная аутентификация (сквозной прокси), оценка протокола (технология ip nbar), организация очередей (QoS).
Я расскажу вам о них подробнее.
Позже :) Сергей Федоров
Продолжение следует.
Теги: #cisco #cisco #брандмауэр #маршрутизатор #конфигурация-
3 Совета По Привлечению Трафика На Ваш Сайт
19 Oct, 24 -
Удаленная Ит-Поддержка Выбор Компании
19 Oct, 24 -
Объявление Wwdc 2007
19 Oct, 24
