Bezpieczny styk z Internetem Cisco IOS Security
Transkrypt
Bezpieczny styk z Internetem Cisco IOS Security
Bezpieczny styk z Internetem, Cisco PIX 7.0, Cisco ASA, Cisco IPS 5.0, Cisco IOS Security Agenda 1. 2. 3. 4. PIX 7.0 Cisco Adaptive Security Appliance ASA Cisco IPS 4200 Cisco IOS Security CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 2 Agenda 1. 2. 3. 4. PIX 7.0 Cisco Adaptive Security Appliance ASA Cisco IPS 4200 Cisco IOS Security CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 3 Aktualizacja PIX OS do wersji 7.0 • • • • wymagania sprzętowe proces aktualizacji zmiany w command line ASDM - następca PDM CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 4 Aktualizacja PIX OS do wersji 7.0 • System operacyjny PIX 7.0 działa na PIX 515/515E, PIX 525 i PIX 535 • Nie jest wspierany na PIX 501 oraz PIX 506/506E • PIX 515/515E wymagają powiększenia pamięci operacyjnej RAM CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 5 Aktualizacja PIX OS do wersji 7.0 Wymagana ilość pamięci RAM Dla PIX 515/515E Obecna konfiguracja Wymagana konfiguracja dla PIX 7.0 Licencja Part number pamięci Pamięci po upgrade Restricted 32 MB PIX-515-MEM-32= 64 MB Unrestrict ed 64 MB PIX-515-MEM-128= 128 MB Failover 64 MB PIX-515-MEM-128= 128 MB Pamięć przed upgrade CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 6 Aktualizacja PIX OS do wersji 7.0 opis procedury w trybie Monitor mode • • Zrobić kopię konfiguracji Wejść w tryb monitor monitor> monitor> monitor> monitor> monitor> • interface 1 address 20.0.0.10 server 20.0.0.101 file pix701.bin tftp PIX załaduje image do pamięci RAM, uruchomi się z tego obrazu, zrobi kopię konfiguracji i stary OS do pamięci flash i przekonwertuje działającą konfigurację na nowy format. PIX(config)# copy tftp://20.0.0.101/pix701.bin flash: PIX(config)# boot system flash:pix701.bin PIX(config)# write memory • Powrót do poprzedniej konfiguracji downgrade [/noconfirm] <image_url> [activation-key (flash|file|<4-part-actkey>)] [config<start_config_url>] CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 7 Aktualizacja PIX OS do wersji 7.0 opis procedury • CLI zostało przebudowane, aby być jak najbardziej zbliżone do CLI znanego z systemu IOS • ? - pokazuje podkomendy • <TAB> rozwija skrót w pełną komendę • ^ - wskazuje miejsce wystąpienia błędu składni • modularna budowa pliku konfiguracyjnego podobna do budowy z Cisco IOS • obsługa systemu plików identyczna jak w Cisco IOS CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 8 ASDM - następca PDM • Wsparcie dla funkcjonalności występującej w PIX OS 7.0 • nowe właściwości: – – – – uptime konteksty real-time syslog viewer poprawiona nawigacja po programie – poprawiona funkcja wyszukiwania CISCO EXPO ,Warszawa 19 – 20 października 2005 PIX(config)# crypto key generate rsa modulus 1024 PIX(config)# write mem PIX(config)# http server enable PIX(config)# http 192.168.1.2 255.255.255.255 inside PIX(config)# copy tftp flash PIX(config)# asdm image flash:/asdm-502.bin Bezpieczny styk z Internetem 9 ASDM - obsługa VPN • inteligentne kreatory połączeń VPN dla połączeń site-to-site • rozbudowany kreator dla połączeń remoteaccess -VPN wymuszanie polityk bezpieczeństwa -aktualizacja oprogramowania - klastrowanie VPN • Monitoring, graficzne przedstawienie tego co dzieje się w sieci: - czas trwania sesji - ilość przesłanych danych w sesji CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 10 ASDM - obsługa Inspection Engines • • PIX/ASA posiada ponad 30 różnego rodzaju silników inspekcji takich jak HTTP, FTP, GTP, itp. za pomocą intuicyjnego menu można konfigurować profile bezpieczeństwa o wysokim stopniu szczegółowości CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 11 Rodzaje trybów pracy Tryby działania Konteksty • Transparent • Routed • Single-mode context • Multiple-mode context CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 12 Opis nowej funkcjonalności firewalla Routed Firewall • w tradycyjnej konfiguracji firewall jest jednym z kolejnych węzłów w sieci – na interfejsach ma adresy IP i jest bramą domyślną dla podłączonych hostów • routuje pakiety pomiędzy interfejsami • obsługuje wiele interfejsów CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 13 Opis nowej funkcjonalności firewalla Transparent Firewall • • • • • • • • • • • Transparentny firewall pracuje w warstwie 2 po obu stronach firewall znajduje się ta sama sieć IP Wykorzystywane są dwa porty Obsługa dwóch interfejsów Nie można skonfigurować NAT single mode i multiple mode context PIX dokonuje bridgeowania pakietów zamiast routowania Zamiast przeglądania tablicy routingu przeglądana jest tablica MAC Domyślnie przepuszcza tylko pakiety ARP (możliwość filtrowania) Ruch IP kontrolowany rozszerzoną listą ACL Ruch inny niż IP kontrolowany jest za pomocą listy ethertype ACL CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 14 Opis nowej funkcjonalności firewalla Transparent Firewall Konfiguracja trybu transparent ! sprawdzenie trybu pracy firewalla pix#show firewall Firewall mode: Router ! Powrot do trybu router pix#configure terminal pix(config)#no firewall transparent Firewall mode: router ! konfiguracja trybu transparentnego pix#configure terminal pix(config)#firewall transparent Firewall mode: Transparent ! konfiguracja uległa wyzerowaniu ! ustawienie adresu do managementu pix(config)#ip address 10.0.0.1 255.0.0.0 pix(config)#show ip address Management System IP Address: ip address 10.0.0.1 255.0.0.0 Management Current IP Address: ip address 10.0.0.1 255.0.0.0 CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 15 Opis nowej funkcjonalności firewalla Transparent Firewall !konfiguracja interfejsów pix(config)#interface e1 pix(config-if)#nameif inside INFO: Security level for "inside" set to 100 by default. pix(config-if)#no shutdown pix(config)#interface e2 pix(config-if)#nameif outside INFO: Security level for "inside" set to 100 by default. pix(config-if)#no shutdown pix(config-if)#exit !od tego momentu jest możliwość !komunikacji z urządzeniami od !interfejsu inside do outside ! dostęp z mniej zaufanego interfejsu !uzyskamy pozwalając na ruch za !pomocą listy ACL przywiązanej do !interfejsu. pix(config)#access-list OUT_ACL remark ruch z zewnatz pix(config)#access-list OUT_ACL extended permit ip host 1.1.1.1 any pix(config)#access-group OUT_ACL in interface outside CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 16 Opis nowej funkcjonalności firewalla Konteksty Konteksty • • Funkcjonalność wielu logicznych firewallów w jednym urządzeniu Każdy kontekst posiada swój własny zbiór polityk, logicznych interfejsów i domeny administracyjnej Dept/Cust 1 Dept/Cust 2 Dept/Cust 3 Dept/Cust 1 Dept/Cust 2 Dept/Cust 3 Dept/Cust N PIX PIX PIX PIX PIX 17 CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 17 Opis nowej funkcjonalności firewalla Konteksty • Podział PIX na wiele wirtualnych urządzeń, które stają się niezależnymi urządzeniami z własnymi politykami, interfejsami, i administratorami. • W trybie multimode, dla każdego kontekstu wymagana jest osobna konfiguracja określająca polityki, interfejsy, i praktycznie wszystkie opcje, które można skonfigurować na urządzeniu w trybie single kontekst. • Administrator może dodawać i zarządzać kontekstami, które podobnie jak w trybie singlemode są tekstowymi plikami z konfiguracją. Czynności te dokonywane są z kontekstu admin, który działa jak zwykły kontekst z tym, że admin ma prawo dostępu do systemu i innych kontekstów (system configuration) • Ograniczenia trybu multimode – brak wsparcia: – dynamiczny protokołów routingu (tylko routingu statyczny) – VPN – Multicast CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 18 Opis nowej funkcjonalności firewalla Konteksty/ klasyfikacja pakietów • • • • Klasyfikacja pakietów W trybie transparent muszą być wydzielone osobne interfejsy W trybie router gdy interfejs jest współdzielony pomiędzy konteksty to klasyfikacja jest realizowana w oparciu o interfejs wejściowy i wpisy NAT Gdy NAT nie jest wykorzystany to nie można współdzielić interfejsów ruch wyjściowy CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem ruch wejściowy 19 Opis nowej funkcjonalności firewalla Konteksty Konwersja do trybu multimode 1. running_config jest archiwizowany (ale nie startup_config) 2. Tworzone są następujące pliki: • startup config- konfiguracja systemu • admin.cfg –konfiguracja kontekstu admin • Restart PIX CISCO EXPO ,Warszawa 19 – 20 października 2005 pix# show mode Security context mode: single pix# conf t pix(config)# mode multiple Bezpieczny styk z Internetem 20 Opis nowej funkcjonalności firewalla Konteksty, przykład hostname(config)# admin-context administrator hostname(config)# context administrator hostname(config-ctx)# allocate-interface gigabitethernet0/0.1 hostname(config-ctx)# allocate-interface gigabitethernet0/1.1 hostname(config-ctx)# config-url flash:/admin.cfg hostname(config-ctx)# hostname(config-ctx)# hostname(config-ctx)# hostname(config-ctx)# context test allocate-interface gigabitethernet0/0.100 int1 allocate-interface gigabitethernet0/0.102 int2 config-url ftp://user1:[email protected]/test.cfg hostname(config-ctx)# hostname(config-ctx)# hostname(config-ctx)# hostname(config-ctx)# context sample allocate-interface gigabitethernet0/1.200 int1 allocate-interface gigabitethernet0/1.212 int2 config-url ftp://user1:[email protected]/sample.cfg logowanie: • konsola- do ustawień sytemu • telnet/ssh- do poszczególnych kontekstów jeśli zdefiniowano dostęp CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 21 Opis nowej funkcjonalności firewalla NAT Control NAT Control • NAT control wymaga aby pakiety przechodzące z interfejsu o wyższym priorytecie do interfejsu o niższym priorytecie przechodziły przez mechanizm NAT • W wersji 7.0 istnieje możliwość wyłączenia tej zasady, firewall nie wymaga wtedy konfiguracji NAT do routowania pakietów hostname(config)# no nat-control CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 22 Opis nowej funkcjonalności firewalla Outband ACLs Możliwość podpięcia ACL do interfejsu jako listy Outband ACL access-group access-list {in | out} interface interface_name CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 23 Opis nowej funkcjonalności firewalla, Timebased ACLs hostname(config)# time-range New_York_Minute hostname(config-time-range)#? absolute periodic default hostname(config)# access-list Sales extended deny tcp host 209.165.200.225 host 209.165.201.1 time-range New_York_Minute CISCO EXPO ,Warszawa 19 – 20 października 2005 • absolute – definicja ściśle określonej daty, w której obowiązuje time-range, • periodic- definiuje cotygodniowy schemat czasowy obowiązujący w liście ACL wykorzystującej time-range, • default- powrót do wartości domyślnych. Bezpieczny styk z Internetem 24 Opis nowej funkcjonalności firewalla EtherType Access List • tylko w trybie transparentnym • filtracja ramek ethernetowych w oparciu o wewnętrzny 16 bitowy identyfikator • pierwszeństwo przed extended ACL • nie wspiera IPv6 • musi być zastosowana na obu interfejsach hostname(config)# hostname(config)# hostname(config)# hostname(config)# access-list access-list access-list access-list ETHER ETHER ETHER nonIP ethertype ethertype ethertype ethertype permit ipx permit bpdu permit mpls-unicast deny 1256 hostname(config)# access-group ETHER in interface outside hostname(config)# access-group ETHER in interface inside CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 25 Opis nowej funkcjonalności firewalla WebType Access List – ASA!!! • filtracja po WWW • ACL wykorzystywana podczas dostępu przez SSL komendą filter • url może być podany pełny lub tylko jego część • identyfikatory protokołów: http, https, cifs, imap4, pop3, smtp, any • asteriski do określania podstron access-list id webtype {deny | permit} url [url_string | any] [log [[disable | default] | level] [interval secs] [time_range name]] ! deny access to a specific company url: hostname(config)# access-list acl_company webtype deny url http://*.company.com !deny access to a specific file: hostname(config)# access-list acl_file webtype deny url https://www.company.com/dir/file.html ! deny http access to anywhere through port 8080: hostname(config)# access-list acl_company webtype deny url http://*:8080 CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 26 Opis nowej funkcjonalności firewalla MQC • Klasyfikacja odbywa się za pomocą: ACL, DSCP, precedance, nr portu, rtp, tunnel-group, flow, • Po identyfikacji interesującego przepływu mogą być zastosowane różnorodne serwisy, każdy z unikalnymi ustawieniami dla każdego przepływu zawierającego: – – – – • Inspection engine policies QoS policies connection policies IPS (tylko ASA) Inspection function will monitor both ingress to and egress from the interface Step 1: Identify Flow CISCO EXPO ,Warszawa 19 – 20 października 2005 Step 2: Apply Services Inspection Engines QoS Services IPS Conn Services HTTP TCP LLQ Policing In-line IPS Max Conns Bezpieczny styk z Internetem Promisc. mode 27 Opis nowej funkcjonalności firewalla MQC MPF jest zbudowany na podstawie MQC (Modular QoS CLI) z Cisco IOS, rozszerzając swoje zastosowanie szeroko poza obsługę ruchu QoS. Do zbudowania polityki MQC wymagana jest obecność poniższych trzech instrukcji: • class-map – komenda jest używana do klasyfikacji ruchu dla której można przydzielić różnorodne akcje związane z bezpieczeństwem. Do klasyfikacji można użyć wiele różnorodnych metod. • policy-map – komenda służy do konfiguracji różnorodnych polityk takich jak polityki bezpieczeństwa czy QoS. polityka składa się z klas i związanych z nimi akcjami. Na pojedynczej klasie można ustalić wiele akcji • service-policy – za pomocą tej komendy uaktywnia się policy-map na wszystkich lub wybranych interfejsach. polityka na interfejsie ma pierwszeństwo nad polityka ustawioną lokalnie. CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 28 Opis nowej funkcjonalności firewalla MQC Klasyfikacja dla MQC Rozróżnienie ruchu w oparciu o: • • • • • • • • • any traffic access-list default-inspection-traffic destination port dscp precedence rtp port tunnel-group flow ip destination CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 29 Opis nowej funkcjonalności firewalla MQC- przykład access-list http_server permit tcp any host SERVER_B eq 80 access-list http_client permit tcp host CLIENT any eq 80 class-map http_server match access-list http_server exit class-map http_client match access-list http_client exit policy-map http_server class http_server inspect http set connection conn-max 100 exit policy-map http_client class http_client inspect http police output 250000 exit service-policy http_server interface inside service-policy http_client interface outside CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 30 Opis nowej funkcjonalności firewalla MQC/ connection policies set connection {conn-max | embryonic-conn-max} n / random-seq# {enable | disable} • • • • określa liczbę maksymalnych połączeń włącza/wyłącza randomizację numerów sekwencyjnych TCP wartość „0”- nielimitowana liczba nie jest zalecane ustawianie limitów connection poprzez polityki i nat hostname(config)# policy-map localpolicy1 hostname(config-pmap)# class local_server hostname(config-pmap-c)# set connection conn-max 256 random-seq# disable hostname(config-pmap-c)# exit Konfiguracja okresu po którym nieaktywne połączenie TCP jest zamykane set connection timeout tcp 1:0:0 set connection timeout embryonic 0:0:30 set connection timeout half-closed 0:10:0 CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 31 Opis nowej funkcjonalności firewalla MQC/ QoS policies • LLQ nie jest limitowany przez policera • drop action - nie jest obsługiwane • policing- konfiguruje maksymalną przepustowość i burst limit • Nie można jednocześnie zastosować policingu i LLQ • class-default jest tworzona automatycznie • Policing można zastosować tylko w kierunku wyjściowym • gdy stosujemy LLQ należy obowiązkowo utworzyć kolejkę priority-queue CISCO EXPO ,Warszawa 19 – 20 października 2005 hostname# policy-map qos hostname (config-pmap)# class tcp_traffic hostname (config-pmap-c)# police outside 56000 10500 hostname (config-pmap-c)# class TG1-voice hostname (config-pmap-c)# priority hostname (config-pmap-c)# class TG1-best-effort hostname (config-pmap-c)# police outside 200000 37500 hostname (config-pmap-c)# class class-default hostname (config-pmap-c)# police outside 1000000 37500 hostname(config)# priority-queue outside hostname(config)# priority-queue dmz hostname(priority-queue)# queue-limit 2048 hostname(priority-queue)# tx-ring-limit 256 Bezpieczny styk z Internetem 32 Opis nowej funkcjonalności firewalla MQC/inspection engine policies • współpraca z NAT w celu zlokalizowania zaszytych w pakiet adresów IP • translacja adresów IP i ponowne przeliczenie CRC • monitorowanie aplikacji otwierających podczas działania dodatkowe porty TCP i UDP • Dodatkowy tuning za pomocą application-map class-map ftp_port match port tcp eq 21 exit ftp-map inbound_ftp request-command deny dele rmd exit policy-map sample_policy class ftp_port inspect ftp strict inbound_ftp exit service-policy sample_policy interface outside dele Disallows the command that deletes a file on the server. rmd Disallows the command that deletes a directory on the server CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 33 Opis nowej funkcjonalności firewalla MQC/stanowa inspekcja aplikacji PIX Version 6.3 fixup fixup fixup fixup fixup fixup fixup fixup fixup fixup fixup fixup fixup protocol protocol protocol protocol protocol protocol protocol protocol protocol protocol protocol protocol protocol PIX Version 7.0 esp-ike dns maximum-length 512 h323 h225 1720 http 80 rsh 514 sip 5060 smtp 25 ftp 21 h323 ras 1718-1719 ils 389 rtsp 554 skinny 2000 sqlnet 1521 Numery portów są domyślnie skonfigurowane w klasie inspection_default CISCO EXPO ,Warszawa 19 – 20 października 2005 class-map inspection_default match default-inspection-traffic policy-map global_policy class inspection_default inspect ftp inspect h323 h225 inspect h323 ras inspect ils inspect rsh inspect rtsp inspect smtp inspect sqlnet inspect sip inspect skinny inspect netbios inspect ctiqbe inspect icmp inspect http inspect dns service-policy global_policy global Bezpieczny styk z Internetem 34 Mechanizmy inspekcji • Application Policy Enforcement • Protocol Conformance Checking • Protocol State Tracking • Security Checks • NAT / PAT Support • Dynamic Port Allocation Multimedia / Voice over IP H.323 v1-4 Enhanced SIP SCCP (Skinny) GTP (3G Wireless) New MGCP Enhanced RTSP TAPI / JTAPI Specific Applications Microsoft Windows Messenger Microsoft NetMeeting Real Player Cisco IP Phones Cisco Softphones CISCO EXPO ,Warszawa 19 – 20 października 2005 Database / OS Services Core Internet Protocols HTTP New FTP New TFTP SMTP / ESMTP New DNS / EDNS ICMP New TCP UDP Bezpieczny styk z Internetem ILS / LDAP Oracle / SQL*Net (V1/V2) Microsoft Networking NFS RSH SunRPC / NIS+ New X Windows (XDMCP) Security Services IKE IPSec PPTP 35 Mechanizmy inspekcji • Nowe mechanizmy podnoszą poziom bezpieczeństwa przeciwko zagrożeniom typu web-base • Zaawansowana inspekcja http pozwala zabezpieczyć sieć przed atakami na serwery WWW i innymi typu „port 80 misuse” • konfigurowane polityk służących do detekcji i blokowania tunelowanych aplikacji i ataków włączając w to: • komunikatory internetowe (AIM, MSN Messenger, Yahoo) • programy peer-to-peer (KaZaA) • inne • sprawdzanie pakietów pod kątem niezgodności ze standardem RFC • wsparcie dla filtrowania komend http, dla zwiększenia kontroli i bezpieczeństwa • Wsparcie dla filtrowania MIME i inspekcja zawartości • kontrola zawartości danych przepływających przez firewall CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 36 Mechanizmy inspekcji • • • • • Zabezpieczenie sieci GSM – nowy inspection engine dla GTP/GPRS Rozszerzona funkcjonalność silnika inspekcji FTP elastyczne filtrowanie komend FTP i stanowa inspekcja dla wybranych przez administratora sesji FTP Rozszerzona funkcjonalność silnika inspekcji SMTP (ESMTP) Rozszerzona funkcjonalność silnika inspekcji ICMP – stanowe śledzenie ruchu ICMP mające zapobiec atakom z wykorzystaniem protokołu ICMP • Rozszerzona funkcjonalność silnika inspekcji ICMP Sun RPC/NIS+ – zapewnia wysokie bezpieczeństwo dla aplikacji zmieniających porty takich jak NIS+ i SunRPC – Performs advanced inspection on all RPC traffic to validate protocol conformance and determine embedded port numbers – zapewnia zaawansowaną inspekcję dla ruchu RPC aby zapewnić zgodność z protokołem i śledzić zaszyte numery portów CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 37 Mechanizmy inspekcji wsparcie dla VOIP • • • • Rozszerzona funkcjonalność silnika inspekcji MGCP ze wsparciem dla NAT i PAT * zapewnia bezproblemową współpracę dla protokołu MGCP (wersja 0.1 i 1.0) wsparcie NAT dla protokołu RTSP, zabezpieczenie aplikacji real time przechodzące przez NAT Rozszerzona funkcjonalność silnika inspekcji protokołu H.323 * wsparcie dla protokołów z rodziny H.323 włączając w to protokół T.38 (Fax over IP) oraz GKRCS (Gatekeeper Routed Call Signaling) Wsparcie dla fragmentacji i segmentacji dla wszystkich protokołów VoIP Improved Improved Improved H.323 MGCP RTSP SCCP SIP TAPI / JTAPI NAT/PAT NAT/PAT NAT NAT/PAT NAT/PAT NAT/PAT Version1-4 v0.1/v1.0 TCP TCP UDP/TCP TCP New CISCO EXPO ,Warszawa 19 – 20 października 2005 Wsparcie dla fragmentacji i segmentacji Bezpieczny styk z Internetem 38 Opis nowej funkcjonalności firewalla Transparent Firewall/ ARP inspection • • • • Chroni przed ARP Spoofingiem (man-in-the_middle) attack domyślnie wszystkie pakiety ARP są przepuszczane ARP Inspection sprawdza MAC adres, IP adres, interfejs źródłowy. Podejmowane akcje: – gdy w bazie jest rekord o tym samym IP, MAC i interfejsie to przepuść pakiet – gdy informacje uzyskane pakiet nie zgadzają się z bazą to odrzuć pakiet – gdy pakietu nie ma w bazie to w zależności od ustawień prześlij lub porzuć pakiet statyczny wpis do bazy arp inspection hostname(config)# arp outside 10.1.1.1 0009.7cbe.2100. Uruchomienie arp-inspection hostname(config)# arp-inspection interface_name enable [flood | no-flood] flood- przepuszcza nieznane dotąd pakiety Static MAC Address + arp-inspection no-flood- ochrona przed MAC Spoofingiem hostname(config)# mac-address-table static eth0 0000.1111.2222 hostname(config)# arp-inspection eth0 enable no-flood CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 39 Niezawodność Active-Active Failover • Active-Active Failover • Pozwala na zredukowanie czterech (dwie pary failover) urządzeń do dwóch • Wymaga co najmniej dwóch kontekstów • Wymagania na failover – identyczny sam hardware – Identyczny tryb pracy – licencja UR-UR, UR-FO, UR-FO_AA (FO nie wspiera A/A Failover) – Alokacja kontekstów do grup failover CISCO EXPO ,Warszawa 19 – 20 października 2005 Switch Switch Logical2-S Logical1-A Bezpieczny styk z Internetem Logical1-S Logical2-A Switch Switch Network B-1 40 Niezawodność Active-Active Failover/ przykład failover failover lan unit primary failover lan interface folink thernet0 failover link folink Ethernet0 failover interface ip folink 10.0.4.1 255.255.255.0 standby 10.0.4.11 |---->failover group 1 | primary | preempt | |->failover group 2 | | secondary | | preempt | | | | admin-context admin | | context admin | | allocate-interface Ethernet1 | | allocate-interface Ethernet2 | | config-url flash:admin.cfg | |->join-failover-group 1 | | context ctx1 | description context 1 | allocate-interface Ethernet3 | allocate-interface Ethernet4 | config-url flash:ctx1.cfg |---->join-failover-group 2 CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 41 Niezawodność Active-Active Failover/ przykład c.d. !The admin Context Configuration interface Ethernet1 nameif outside security-level 0 ip address 192.168.5.101 255.255.255.0 standby 192.168.5.111 interface Ethernet2 nameif inside security-level 100 ip address 192.168.0.1 255.255.255.0 standby 192.168.0.11 !The ctx1 Context Configuration interface Ethernet3 nameif inside security-level 100 ip address 192.168.20.1 255.255.255.0 standby 192.168.20.11 interface Ethernet4 nameif outside security-level 0 ip address 192.168.10.31 255.255.255.0 standby 192.168.10.41 asr-group 1 CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 42 Niezawodność routing asymetryczny • • • Gdyby drugi PIX/ASA nie posiadał danych o połączeniu, ruch powrotny uległby zablokowaniu Internet Routing asymetryczny ISP-A zapewnia przesłanie pakietów do drugiego urządzenia, które posiada pół otwarte połączenia. Jest to możliwe, interface Ethernet X gdyż podczas pracy .1 .4 asr-group 1 urządzenia wymieniają się pomiędzy sobą informacjami Logical1-A Logical2-S .1 .4 o swoich otwartych sesjach. Jeśli pakiet trafi do drugiego firewall to ruch będzie przesyłany do czasu, gdy sesja nie zostanie zakończona. CISCO EXPO ,Warszawa 19 – 20 października 2005 ISP-B interface Ethernet X asr-group 1 .2 Logical1-S Logical2-A .2 Inside Network B -1 .3 .3 Inside Network B -2 Inside Network Bezpieczny styk z Internetem rozpoznaje sesję 43 VPN IPSec over X • • Wspierane są następujące połączenia: NAT-Traversal, IPSec over UDP, IPSec over TCP wszystkie rodzaje połączeń mogą pracować jednocześnie • priorytety w ustanawianiu połączeń • włączenie NAT-T automatycznie bez ingerencji w ACL na interfejsie VPN zostanie przepuszczony ruch UDP z portem 4500 – – – IPSec over TCP NAT-Traversal IPSec over UDP hostname(config)# isakmp nat-traversal • uaktywnienie IPSec over TCP hostname(config)# isakmp ctcp port 80 • uaktywnienie IPSec over UDP hostname(config)# group-policy FirstGroup attributes hostname(config-group-policy)# ipsec-udp enable hostname(config-group-policy)# ipsec-udp-port 10000 CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 44 VPN Routing Zawracanie ruchu na jednym interfejsie • Od wersji 7.0(1) na PIXie i ASA można zawracać ruch na jednym interfejsie, jeśli chodzi o przeniesienie ruchu pomiędzy tunelami VPN • Pakiety przejdą pełną drogę przez FW/NAT hostname(config)# same-security-traffic permit intra-interface LAN A LAN B odszyfrowanie Inspekcja FW/NAT zaszyfrowanie Inspekcja FW/NAT LAN HQ CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 45 VPN routing • • • W wersjach PIX OS 6.3 i starszych OSPF był wspierany tylko w sieciach broadcast PIX 7.0 umożliwia obsługę OSPF w sieci unicast dla połączeń p2p nonbroadcast Możliwość przenoszenia OSPF przez VPN bez konieczności stosowania tuneli GRE ospf network point-to-point non-broadcast router ospf 100 network 10.64.10.0 255.255.255.224 area 0 network 192.168.4.0 255.255.255.0 area 0 area 0 neighbor 10.64.10.15 interface outside log-adj-changes CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 46 VPN Load balancing sesji klienckich • asa(config)# vpn load-balancing asa(config-load-balancing)# cluster ip address A.B.C.254 asa(config-load-balancing)# cluster key 12345678 asa(config-load-balancing)# cluster encryption asa(config-load-balancing)# participate CISCO EXPO ,Warszawa 19 – 20 października 2005 • • Interne t IP klastra: A.B.C.254 • A.B.C.10 Bezpieczny styk z Internetem • A.B.C.11 • A.B.C.12 47 VPN Tunnel Groups, Group Policies, Users group policies- przechowują atrybuty użytkowników Group policies posiadają następujące atrybuty: • Identity • Defining servers • Client firewall settings • Tunneling protocols • IPSec settings • Hardware client settings • Filters • Client configuration settings • WebVPN functions • Connection settings CISCO EXPO ,Warszawa 19 – 20 października 2005 Domyślna grup policy“DfltGrpPolicy”, group-policy DfltGrpPolicy internal group-policy DfltGrpPolicy attributes wins-server none dns-server none vpn-access-hours none vpn-simultaneous-logins 3 vpn-idle-timeout 30 vpn-session-timeout none vpn-filter none vpn-tunnel-protocol IPSec password-storage disable ip-comp disable re-xauth disable group-lock none pfs disable banner none Bezpieczny styk z Internetem ipsec-udp disable ipsec-udp-port 10000 split-tunnel-policy tunnelall split-tunnel-network-list none default-domain none split-dns none secure-unitauthentication disable user-authentication disable user-authentication-idletimeout 30 ip-phone-bypass disable leap-bypass disable nem disable backup-servers keepclient-config client-firewall none client-access-rule none 48 Group Policies- przykłady niektórych parametrów Ustawienie godzin dostępu hostname(config-group-policy)# vpn-access-hours value {time-range | none} Ustawienie logo widocznego podczas połączenia się klientem VPN hostname(config-group-policy)# banner value Welcome to Cisco Systems 7.0. Ustawienie polityk dla personalnego firewalla, które zostaną zastosowane podczas negocjacji IKE hostname(config-group-policy)# client-firewall opt | req zonelabs-zonealarmorpro policyAYT | {CPP acl-in ACL acl-out ACL} hostname(config-group-policy)# client-firewall opt | req sygate-personal Limitowanie dostępu dla ściśle określonych klientów VPN hostname(config-group-policy)# client-access-rule 1 deny type "Cisco VPN Client" version 4.0 CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 49 VPN Tunnel Groups, Group Policies, Users Tunnel groups- przypisują group policies dla określonych połączeń Tunnel Groups- domyślne grupy: • LAN-to-LAN • remote access Tunnel groups określa następujące atrybuty: • General parameters • IPSec connection parameters • General Tunnel Group Parameters • nazwa grupy • typ połączenia • serwery AAA • domyślne group policy • metoda przydzielenia adresu dla klienta • IPSec Connection Parameters • metoda autentykacji użytkownika • ISAKMP keepalive • autoryzacja użytkowników CISCO EXPO ,Warszawa 19 – 20 października 2005 tunnel-group DefaultRAGroup type ipsec-ra tunnel-group DefaultRAGroup generalattributes no address-pool authentication-server-group LOCAL no authorization-server-group no accounting-server-group default-group-policy DfltGrpPolicy no dhcp-server no strip-realm no strip-group tunnel-group DefaultRAGroup ipsecattributes no pre-shared-key no authorization-required authorization-dn-attributes CN OU peer-id-validate req no radius-with-expiry no chain no trust-point isakmp keepalive threshold 300 retry 2 Bezpieczny styk z Internetem 50 VPN Tunnel Groups, Group Policies, Users •Z użytkownikiem skojarzone są atrybuty z przydzielonej mu group policy. •Dla każdego użytkownika można też skojarzyć indywidualne atrybuty username testuser password 12RsxXQnphyr/I9Z encrypted privilege 15 username testuser attributes vpn-group-policy testing vpn-access-hours value averylongtime vpn-simultaneous-logins 4 vpn-idle-timeout 30 vpn-session-timeout none vpn-filter value tunneled no vpn-framed-ip-address group-lock value test webvpn no functions html-content-filter java images scripts cookies no homepage no filter no url-list no port-forward no port-forward-name CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 51 VPN Przykład konfiguracji VPN Remote Access PIX 6.3 isakmp isakmp isakmp isakmp isakmp isakmp PIX 7.0 enable outside policy 10 authentication pre-share policy 10 encryption aes policy 10 hash sha policy 10 group 2 policy 10 lifetime 86400 isakmp isakmp isakmp isakmp isakmp isakmp enable outside policy 10 authentication pre-share policy 10 encryption aes policy 10 hash sha policy 10 group 2 policy 10 lifetime 86400 crypto ipsec transform-set TSET esp-eas esp-sha-hmac crypto ipsec transform set TSET esp-aes esp-sha-hmac crypto dynamic-map DMAP 10 set transform-set TSET crypto map CMAP 10 ipsec-isakmp dynamic rmt_dyna-msp crypto map CMAP outside crypto dynamic-map DMAP 10 set transform-set TSET crypto map CMAP 10 ipsec-isakmp dynamic DMAP crypto map CMAP outside ip local pool LPOOL 10.0.11.1-10.0.11.254 ip local pool LPOOL 10.0.11.1-10.0.11.254 vpngroup GR1 address-pool LPOOL vpngroup GR1 password tajne vpngroup GR1 dns-server 10.0.0.15 vpngroup GR1 wins-server 10.0.0.15 vpngroup GR1 default-domain betacom.com.pl CISCO EXPO ,Warszawa 19 – 20 października 2005 tunnel-group testgroup type ipsec-ra tunnel-group testgroup general-attributes address-pool LPOOL tunnel-group testgroup ipsec-attributes pre-shared-key tajne group-policy DfltGrpPolicy attributes wins-server 10.0.0.15 dns-server 10.0.0.15 default-domain betacom.com.pl Bezpieczny styk z Internetem 52 Agenda 1. 2. 3. 4. PIX 7.0 Cisco Adaptive Security Appliance ASA Cisco IPS 4200 Cisco IOS Security CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 53 UTM - Unified Thread Management CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 54 UTM - Unified Thread Management • • • • Rozwiązania UTM charakteryzują się następującymi cechami: jeden UTM appliance zastępuje kilka systemów obniżenie kosztów urządzeń oszczędzają pieniądze, czas i zasoby ludzkie w zarządzaniu systemami bezpieczeństwa Najwięksi producenci dostarczający rozwiązania UTM: – Check Point – FortiNet – ISS – Symantec – Secure Computing – Cisco CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 55 Podstawy Profil usługowy Bazuje na Docelowe zastosowania CISCO EXPO ,Warszawa 19 – 20 października 2005 Wielousługowa platforma bezpieczeństwa: • Stateful firewall • IPS • IPSec VPN • SSL VPN - WebVPN • Anty-X • Cisco PIX OS i FWSM • Cisco VPN 3000, IPS • Sygnatury zTrend Micro • „Wszystko w jednym” dla SMB i oddziałów większych firm • Bramka bezpieczeństwa/VPN • Brzeg sieci średniej i dużej firmy • Bramka VPN Bezpieczny styk z Internetem 56 Podstawy Cisco PIX ASA Feature Set = 7.0 Cisco VPN 3000 ASA Feature Set = 4.1 Cisco IPS ASA Feature Set = 5.0 Usługi sieciowe CISCO EXPO ,Warszawa 19 – 20 października 2005 • Elastyczne usługi kontroli użytkowników, podsieci • Zaawansowane usługi śledzenia sesji i aplikacji • Wirtualne ściany ogniowe i usługi stateful firewall L2 • VPNy S2S ze wsparciem dla routingu OSPF i usług QoS • Obsługa połączeń C2S z klastrowaniem, narzucaniem polityki i weryfikacją bezpieczeństwa klienta • Zintegrowany dostęp SSL VPN • Architektura usług pozwalająca rozszerzanie wydajności i funkcjonalności przez karty rozszerzeń • Skuteczne usługi IPS (in-line) z korelacją zdarzeń i zaawansowanymi usługami oceny zagrożeń • Wsparcie zarówno dla IPv4 jak i IPv6 • Wsparcie dla 802.1Q i routingu OSPF • Tryby pracy active/active i active/standby Bezpieczny styk z Internetem 57 Różnice pomiędzy modelami ASA Features 5510 5510 Sec. Plus 5520 5520 VPN Plus 5540 5540 VPN Plus 5540 VPN Premium Market SMB SMB/Small Enterprise Enterprise Enterprise Large Enterprise Large Enterprise Large Enterprise Maksymalna Przepustowość 300 300 450 450 650 650 650 Maximum Concurrent Threat Mitigation Throughput (Mbps) TBD with AIP-SSM-10 TBD with AIP-SSM-10 TBD with AIP-SSM-20 TBD with AIP-SSM-20 450 with AIPSSM-20 450 with AIPSSM-20 450 with AIPSSM-20 Przepustowość AES IPSec 170 170 225 225 325 325 325 Maximum Site-to-Site and Remote Access VPN Peers 50 150 300 750 500 2,000 5,000 Maximum WebVPN Peers1 50 150 300 750 500 1,250 2,500 Maximum Connections 32,000 64,000 130,000 130,000 280,000 280,000 280,000 Max połączeń/ sekunde 6,000 6,000 9,000 9,000 20,000 20,000 20,000 Memory (MB) 256 256 512 512 1024 1024 1024 Integrated Ports 3-10/100, 110/100OOB2 5-10/100 4-10/100/1000, 1-10/100 4-10/100/1000, 1-10/100 4-10/100/1000, 1-10/100 4-10/100/1000, 1-10/100 4-10/100/1000, 1-10/100 Maximum Virtual Interfaces 0 10 25 25 100 100 100 Konteksty( zawarte/max) 0/0 0/0 2/10 2/10 2/50 2/50 2/50 GTP/GPRS Inspection3 No No Yes Yes Yes Yes Yes High Availability Support4 None A/S A/A and A/S A/A and A/S A/A and A/S A/A and A/S A/A and A/S VPN Clustering/Load Balancing No No Yes Yes Yes Yes Yes CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 58 Cisco ASA Nowa zasada licencjonowania • Konteksty: – Na PIX 5 poziomów: 5, 10, 20, 50, 100; dwa konteksty dołączone „gratis” do wersji UR i FO-A/A – Na ASA 4 poziomy: 5, 10, 20, 50 • Funkcjonalność: – Na PIX podział na licencje R, UR, FO i FO-AA – ASA 5510: licencja „Plus” zwiększa ilość klientów VPN, interfejsów fizycznych, dodaje obsługę VLANów oraz trybu Active/Standby – ASA 5520/5540: licencje „Base”/”Plus”/”Premium” określają ilość klientów VPN CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 59 Cisco ASA Model 5510 • Kompletne rozwiązanie bezpieczeństwa • Do: – – – – 32,000/64,000 jednoczesnych sesji 200Mbit/s ruchu nieszyfrowanego 100Mbit/s ruchu szyfrowanego 100Mbit/s ruchu poddawanego inspekcji IPS przez moduł – 150 sesji IPsec VPN • • • • 256MB RAMu Opcja obsługi do 10 VLANów Opcja Active-Standby Wsparcie dla SSL VPN CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 60 Cisco ASA Model 5520 • Kompletne rozwiązanie bezpieczeństwa • Do: – – – – – • • • • • 130,000 jednoczesnych sesji 200Mbit/s ruchu nieszyfrowanego 100Mbit/s ruchu szyfrowanego 100Mbit/s ruchu poddawanego inspekcji IPS przez moduł 750 sesji IPsec VPN 512MB RAMu 10 kontekstów bezpieczeństwa 25 VLANów Wsparcie dla AA FO Wsparcie dla SSL VPN CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 61 Cisco ASA Model 5540 • Kompletne rozwiązanie bezpieczeństwa • Do: – – – – – • • • • • 280,000 jednoczesnych sesji 400Mbit/s nieszyfrowanego ruchu 360Mbit/s ruchu szyfrowanego 200Mbit/s ruchu poddawanego inspekcji IPS przez moduł 5000 sesji IPsec VPN 1024MB RAMu 50 kontekstów bezpieczeństwa 50 VLANów Wsparcie dla AA FO Wsparcie do 2500 SSL VPN CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 62 Budowa • • • • • • Cztery porty 10/100/1000 Port do zarządzania Slot na karty rozszerzeń 2 porty USB Pamięć Flash Zasilacz AC lub DC CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem Bez HDD Rozmiar 1 U 63 Karta SSM • Wysokowydajne moduły przeznaczone do świadczenia usług IPS: – ponad 1000 sygnatur – anomalie w ruchu – silnik regexp • • • • Rozwiązania oparte o Linuksa Port 10/100/1000 do diagnostyki Oparte o flash Pracują w oparciu o kod IPS 5.0, w trybie in-line lub podsłuchu ruchu • Zarządzalne przez CLI (sesje) lub ADSM CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 64 Karta SSM • SSM 10: – – – – Procesor 2.0GHz Pamięć 1GB RAM Flash 256MB Cache 256MB • SSM 20: – – – – Procesor 2.4GHz Pamięć 2GB RAM Flash 256MB Cache 512MB CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 65 Cisco ASA Po co SSM? • Dla HTTP: – kod PIX 7.0 obejmuje kontrolę tylko 18 dopuszczonych metod – SSM-AIP umożliwia elastyczne dodawanie nowych • URI w HTTP: – kod PIX 7.0 sprawdza długość (wartość całkowitą) – SSM-AIP wykrywa naruszenia na podstawie nie tylko długości ale też w kontekście tego co się dzieje w sieci • Ruch inny niż dozwolony (tunelowanie): – kod PIX 7.0 pozwala lub nie na tunelowanie ruchu – SSM-AIP pozwala wskazać konkretne protokoły, które będą/nie będą mogły być tunelowane • SSM może pracować w różnych trybach: in-line i promiscuous CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 66 Karta SSM • • • Moduł AIP SSM realizuje zaawansowane funkcje IPS Pakiety przesyłane są do SSM tuż przed samym wyjściem z interfejsu (tuż po zastosowaniu polityk) np. pakiety blokowane przez ACL nie zastaną poddane inspekcji Konfiguracja AIP SSM: – – • identyfikacja ruchu na ASA który ma trafić do modułu konfiguracja SSM- ustanowienie polityk Sposoby połączenia z SSM – – – z ASA za pomocą komendy session z interfejsu zarządzającego przez Telnet / SSH ASDM CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 67 Karta SSM Ruch wejściowy promiscous Moduł VPN Moduł FW inline SSM-AIP hostname(config-pmap-c)# ips {inline | promiscuous} {fail-close | fail-open} inline- każdy pakiet zostaje wysłany i poddany inspekcji poprzez SSM promiscous- wysyła kopie ruchu do SSM fail-close- blokada ruchu podczas niedostępności SSM fail-open- przepuszczenie ruchu podczas niedostępności SSM CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 68 Karta SSM Przykład: poddanie inspekcji całego ruchu IP w trybie promiscuous, podczas awarii SSM ruch ulega blokadzie hostname(config)# access-list IPS permit ip any any hostname(config)# class-map my-ips-class hostname(config-cmap)# match access-list IPS hostname(config-cmap)# policy-map my-ids-policy hostname(config-pmap)# class my-ips-class hostname(config-pmap-c)# ips inline fail-close hostname(config-pmap-c)# service-policy my-ips-policy global CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 69 Brak Karty SSM IP Audit • Wsparcie dla podstawowej funkcjonalności IPS, dla ASA nie posiadającej AIP SSM realizowane jest za pomocą IP audit. • mała ilość sygnatur • hostname(config)# ip audit name name info [action [alarm] [drop] [reset]] • alarm- system wysyła komunikat • drop – odrzuca pakiet • Reset - odrzuca pakiet i zamyka sesje CISCO EXPO ,Warszawa 19 – 20 października 2005 ip audit name IDS attack action/ alarm drop reset ip audit name IDS_info info action/ alarm ! ip audit interface outside IDS_info ip audit interface outside IDS ip audit interface inside IDS_info ip audit interface inside IDS ! ip audit info action alarm ip audit attack action alarm drop ip audit signature 2000 disable Bezpieczny styk z Internetem 70 Koncentratory VPN 3000 - migracja w stronę ASA ASA wyróżnia się następującymi cechami: • zapewnia funkcjonalność porównywalną z koncentratorami VPN 3000 włączając w to WebVPN (z wersji 4.1) • posiada szybsze interfejsy (do 4 x 10/100/1000 + 1 x 10/100) i posiada sloty na dodatkowe karty • korzystanie z CLI na bazie systemu IOS, nowe komendy • wydajność jest większa w porównaniu z koncentratorami VPN 3000 • dodatkowa funkcjonalność firewall i IPS • w przeciwieństwie do koncentratorów VPN 3000 nie wspiera L2TP, L2TP over IPSec i PPTP • w przeciwieństwie do koncentratorów VPN 3000 wymagana licencja na algorytmy enkrypcji ponad DES (za darmo) • AAA- tunel grupy , jedna domyślna policy grupa, w VPN 3000 są natomiast base grupy i customize grupa CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 71 VPN SSL • • • • ustanowienie bezpiecznego tunelu VPN do ASA za pomocą przeglądarki WWW nie jest wymagane posiadanie przez klienta żadnego dodatkowego oprogramowania wykorzystywany protokół SSL i TSL dostęp do następujących zasobów: • aplikacji opartych o protokół HTTP • udostępnianie plików NT/Active Directory • email proxy POP3S, IMAP4S, SMTPS • MS Outlook przez WWW • MAPI • pozostałe aplikacje pracujące przez TCP (forwardowanie portów) CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 72 Agenda 1. 2. 3. 4. PIX 7.0 Cisco Adaptive Security Appliance ASA Cisco IPS 4200 Cisco IOS Security CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 73 Bezpieczny styk z Internetem, Cisco IPS 4200 Akademia Golfa - III edycja Stryków, 15-16 września 2005 Tytuł prezentacji 74 Wprowadzenie do systemów IPS Systemy IDS (Inrusion Detection Systems): • Pasywna „ochrona” polegająca na monitorowaniu ruchu sieciowego • Monitorowanie ruchu na podstawie ogladania jego kopii (np. podłączone do switcha z port-mirroringiem) • Zapewniały dodatkowy wgląd w ruch sieciowy • Głównie generowały alarmy o zagrożeniach do Syslog serwera bądź NMS • Były oferowane jako IOS IDS oraz dedykowane sprzętowe appliance CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 75 Wprowadzenie do systemów IPS CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 76 Wprowadzenie do systemów IPS Systemy IPS (Inrusion Protection Systems): • Znacząca poprawa bezpieczeństwa poprzez wykrycie, sklasyfikowanie oraz powstrzymanie zagrożeń wliczając robaki, spyware/adware, wirusy, nadużycia aplikacyjne • Umiejscowienie in-line urządzenia • Mniej alarmów false positive • Wyższa wydajność i skalowalność CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 77 Wprowadzenie do systemów IPS CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 78 Wprowadzenie do systemów IPS Systemy IPS c.d.: • Działanie w warstwach 2 – 7 modelu OSI • Sprawne przechwytywanie ruchu (min. opóźnienia) • Sprawne zarządzanie • Korelacja zdarzeń: – MARS (Monitoring, Analysis and Response System) – CW SIMS (CW Security Information Management Solution) • Usługi wsparcia CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 79 Wprowadzenie do systemów IPS Systemy IPS c.d.: • Usługi wsparcia: – – – – – – Dostęp do nowych sygnatur dla IPS (Cisco Services for IPS) Dostęp do aktualizacji systemu operacyjnego Dostęp do TAC CCO i Knowledgnet Cisco ICS (Incident Control System) Active Updates Notifications CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 80 Wprowadzenie do systemów IPS Cisco ICS – Incident Control System: • Narzędzie dystrybucji najnowszych definicji zagrożeń • Ścisła współpraca z Trend Micro • Nowo opracowane definicje pobierane bezpośrednio z Trend Micro na dedykowany serwer (tylko) dla oprogramowania Cisco ICS. Serwer nie posiada innej funkcjonalności. • Aktualizacje są „wypychane” do urządzeń linii ochrony: – – – – • • • bazujące na systemie IOS Security feature set IPS serii 4200 IDSM2 blade dla Catalyst 6500 ASA serii 5500 Na każde urządzenie ochrony przypada jedna licencja Urządzenie musi posiadać ważny kontrakt Cisco Services for IPS (możliwość pobierania sygnatur) Alternatywa dla ICS: manualne aktualizowanie sygnatur (kłopotliwe) CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 81 Wprowadzenie do systemów IPS Cisco ICS – Licencjonowanie: • Dwa typy licencji: Low-End oraz High-End • Urządzenia kategorii High-End: – Routery serii 3800 oraz 7200 z IOS 12.4(4)T – IPS 4235, -40, -50, -50XL, -55 z IPS v5.1 – ASA seria 5500 z ASA v7.0/IPS v5.1 • Urządzenia kategorii Low-End: – Routery serii 800, 1700, 1800, 2600XM, 3700 z IOS 12.4(4)T – IPS 4215 z IPS v5.1 • Wszystkie licencje ważne przez 1 rok CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 82 Wprowadzenie do systemów IPS Cisco ICS – Part Number: • ICS-SVR-V10-K9 – oprogramowanie ICS • ICS-LIC-IPS-HE-1 - ICS License: IPS Service for highend devices, 1 szt. • ICS-LIC-IPS-LE-5 - ICS License: IPS Service for lowend devices, 5 szt. CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 83 Wprowadzenie do systemów IPS Active Updates Notifications: • Lista informująca o nowych zagrożeniach CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 84 Wprowadzenie do systemów IPS CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 85 Wprowadzenie do systemów IPS Tryby pracy: • Promiscuous Mode: – Pakiety nie przepływają przez IPS bezpośrednio – Urządzenie analizuje tylko kopię ruchu (np. port-mirroring na switchu) • Zalety: – IPS nie wpływa w żaden sposób na ruch pakietów (opóźnienia) • Wady: – IPS nie jest w stanie zatrzymać typów ataków na które składają się pojedyncze pakiety (atomic attacks) – Reakcje podejmowane przez urządzenie w przypadku wykrycia są typu: post-event (po fakcie) – IPS nie jest w stanie na czas zmodyfikować list ACL na innych urządzeniach – Zapewnienie bezpieczeństwa wymaga reakcji innych urządzeń (firewalli, routerów, systemów IPS działających inline itp.) CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 86 Wprowadzenie do systemów IPS Tryby pracy – Promiscuous Mode: CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 87 Wprowadzenie do systemów IPS Tryby pracy: • In-Line Mode: – IPS stoi dokładne na ścieżce przepływu pakietów w sieci • Zalety: – Urządzenie jest w stanie zablokować atak zanim dosięgnie on maszynę docelową – „Kopiowanie” ruchu z interfejsu wejściowego na wyjściowy pary in-line tylko wtedy gdy nie narusza on polityk bezpieczeństwa – Pełna, aktywna analiza ruchu w warstwach 2 – 7 (OSI) • Wady: – Dodanie minimalnych opóźnień CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 88 Wprowadzenie do systemów IPS Tryby pracy – In-Line Mode: CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 89 Wprowadzenie do systemów IPS Tryby pracy: • Bypass Mode: – Tryb obejścia wszystkich procesów systemu IPS – Przepuszczanie ruchu przez interfejsy w trybie in-line bez inspekcji – Wykorzystywany podczas prac serwisowych urządzenia (aktualizacje oprogramowania itp.) – Wyjście awaryjne w sytuacji gdy praca procesów monitorujących ulegnie awarii – Bypass: On, Off, Automatic (domyślny) • Tryb bypass działa TYLKO(!) przy podtrzymywanym zasilaniu urządzenia! (software) CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 90 Wprowadzenie do systemów IPS Metody detekcji – Pattern Matching: • Najbardziej podstawowa – porównywanie stałego (fixed) ciągu, sekwencji bitów w pojedynczym pakiecie • Dopasowywanie różnych kombinacji adresów w pakiecie (źródł/cel) • Dopasowywanie kombinacji adres/port/usługa • Kombinacje flag TCP • Metoda prosta, niepraktyczna (wiekszość ruchu to strumienie nie pojedyncze pakiety), łatwa do ominięcia Metody detekcji – Stateful Pattern Matching: • Rozwinięcie P-M ponieważ brany jest pod uwagę kontekst ustanowionej sesji (zamiast poj. pakiet) • Atak nie może zostać przemycony w pofragmentowanych pakietach • Wymaga alokacji większych zasobów urządzenia CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 91 Wprowadzenie do systemów IPS Metody detekcji – Protocol Decode (Protocol Anomaly Detection): • Pełna analiza protokołu (m.in. warstwy aplikacji jak FTP, SMTP, HTTP, DNS, RPC, NetBIOS, Telnet i inne) • „dekodowanie” (wyłuskiwanie) zawartości pakietów oraz ich analiza w sposób jaki miały ona zostać odczytane przez aplikację hosta docelowego • Dekodowanie poprzez zaaplikowanie procedury z RFC • Typ statefull • Potrafi szybciej ukazać anomalnie w pakiecie niż przeszukiwanie bazy sygnatur oraz wykryć ataki bazujące na modyfikacji już istniejących (dla których nie istnieją jeszcze sygnatury) CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 92 Wprowadzenie do systemów IPS Metody detekcji – Heuristic Analysis: • Użycie algorytmów logiki • Statystyczne szacowanie ruchu sieciowego • Różne reakcje w różnych sieciach ze względu na ich własną (różną) specyfikę ruchu • Często są przyczyną dużej ilości generowanych false-positive Metody detekcji – Anomaly Analysis: • Ignorowanie z założenia wszystkiego co jest uznane za „normalny” ruch sieciowy • Wszystko co odstaje od przyjętych wcześniej norm jest uznawane za „wtargnięcie” (intrusion) • Charakterystyczne dla IDS’ów • Duża skłonność do generowania fałszywych alarmów • Zaletą jest zdolność wykrywania wcześniej niezidentyfikowanych ataków CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 93 Wprowadzenie do systemów IPS Layer 2-detection: • Wykrywa ataki warstwy 2 modelu OSI • Dominujące ataki dla środowisk przełączanych typu ARP (man-in-the-middle) Polityki bezpieczeństwa dla aplikacji: • Głęboka inspekcja szerokiej gamy aplikacji: – – – – Peer-to-peer Instant messaging (IM) Aplikacje tunelowane przez port 80 Opieranie polityk bezpieczeństwa o MIME CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 94 Wprowadzenie do systemów IPS Risk-Rating: • Dokładniejsze określenie rzeczywistego zagrożenia (konfigurowany dla danej sygnatury) • Przyjmuje wartości od 0 do 100 reprezentujące numeryczną „kwalifikację” ryzyka powiązanego z konkretnym event’em • Obliczane na podstawie czterech składników: – Event severity: modyfikowalne przez usera wskazanie stopnia zagrożenia powodowanego danym eventem – Signature fidelity: konfigurowalna wartość określająca dokładność konkretnej sygnatury – Target asset value: przyznawanie „ważności” dla potencjalnego celu ataku – Attack relevancy: wewnętrzna wartość bazująca na podatności potencjalnego celu ataku na dany typ ataku CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 95 Wprowadzenie do systemów IPS MEG – Meta Event Generator: • Zaprojektowany aby sprawnie identyfikować robaki. MEG wyodrębnia model zachowań robaków, który koreluje z: – czasem między eventami – modelem zachowań sieciowych – zachowaniami exploitów • Efekt – podwyższona skuteczność w wykrywaniu i blokowaniu robaków. • Korelacja alarmów robaków wykorzystujących wiele luk • Wykrywanie zdarzeń sugerujących rozprzestrzenianie się robaków w sieci • Odpowiednie modelowanie Risk-Ratingu • Połączenie różnych algorytmów wykrywania (hybryda) mające na celu zwiększenie czułości urządzenia CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 96 Wprowadzenie do systemów IPS MEG – Meta Event Generator (c.d.): CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 97 Wprowadzenie do systemów IPS MEG – Meta Event Generator (c.d.): • Przykład: Nimda – robak wykorzystujący jednocześnie kilka podatności podczas propagacji w sieci • Wszystkie alarmy prawdopodobnie włączą się w krótkim okresie czasu • Propagujący robak w sieci może generować na IPSie eventy o różnej ważności w jednostce czasu. • Przy pomocy MEG możliwe jest stworzenie „logiki” traktującej wysyp powyższych alarmów jako zdarzenie (event) powiązane z jednym robakiem – Nimda CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 98 Wprowadzenie do systemów IPS MEG – korelacja zdarzeń: CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 99 Wprowadzenie do systemów IPS Reakcje na zdarzenia – Event Actions: • Produce Alert – wypisanie alarmu • Produce Verbose Alert – j.w. z powodującym to pakietem • Deny Attacker Inline – odrzuca pakiety pochodzące od tego samego adresu przez określony czas • Deny Connection Inline – odrzuca pakiety pochodzące z sesji TCP od tego samego hosta • Deny Packet Inline – odrzuca pojedynczy pakiet • Log Attacker Packets – zapisuje pakiety pochodzące od atakującego • Log Pair Packets – zapisuje pakiety zawierające kombinację adresów atakujący-ofiara • Log Victim Packets – zapisuje pakiety zaw. adr. Ofiary • Reset TCP Connection – wysyła TCP reset • Request SNMP Trap – powiadomienia SNMP do aplikacji zewn. • Request Block Connection – zapytanie do Network Access Controller’a o zablokowanie danego połączenia • Request Block Host – j.w. (NAC) blokowanie danego hosta CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 100 Wprowadzenie do systemów IPS Agregacja zdarzeń – Event Aggregation: • Simple mode – wartość progowa „trafień” dla danej sygnatury zanim zostanie wysłany alarm • Time-interval – wartość progowa ilość trafień / czas • Opcje agregacji: – Fire All – wysyła alarm za każdym trafieniem – Summary – wysyła alarmy co interwał sumaryzacyjny CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 101 Wprowadzenie do systemów IPS Sygnatury: • Atomic: wywoływane przez pojedynczy pakiet, nie wymagały alokacji zasobów urządzenia. Trywialne ataki (komendy FTP, DoS, port sweep, itp.) • Compound: wywoływane przez przepływ (flow) pakietów w dłuższym okresie czasu, do wielu hostów. Służą wykrywaniu złożonych ataków. Przy tego typu sygnaturach wymagana jest alokacja pamięci dla podtrzymania stanu sesji. • Ilość włączonych sygnatur oraz charakterystyka ruchu sieciowego (np. ruch szyfrowany) ma istotny wpływ na wydajność urządzenia. CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 102 Wprowadzenie do systemów IPS Sygnatury c.d.: • Ponad 1000 domyślnie wbudowanych sygnatur (5.0) • Nie można zmieniać nazw bądź usuwać sygnatur wbudowanych • Sygnatury wbudowane można „dostrajać” (tunned signatures) • Możliwe definiowanie własnych sygnatur (custom signatures) o identyfikatorach 60000 – 65000 • AIC Signatures – Application Inspection and Control (Web & FTP) ochrona ruchu w warstwach 4 – 7 OSI: – HTTP request (IDs 12676 – 12712) – MIME (IDs 12621 – 12673) – usługi FTP (IDs 12900 – 12933) CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 103 Wprowadzenie do systemów IPS Dodatkowo IPS v5.1: • GRE Inspection - Sensor jest w stanie dokonać inspekcji enkapsulowanego ruchu protokołu GRE. • AV Engine - Dedykowany engine AV (współpraca z Trend Micro) zapewniający ochronę przed robakami, wirusami oraz innym złośliwym kodem. • IP in IP inspection – Zdolność inspekcji ruchu tunelowanego „IP w IP” (mobile IP). • Rate-limiting: Możliwość ograniczania określonego typ ruchu sieciowego na samym IPS-ie oraz routerach IOS. • IPv6 Inspection – Inspekcja ruchu protokołu v6. • Etherchannel Load Balancing – Podniesienie wydajności do kilku Gbps oraz opcje redundancji. CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 104 Porównanie modeli Modele End-of-Sale: • Cisco IDS 4210 • Cisco IDS 4220 • Cisco IDS 4230 • Cisco IDS 4235 • Cisco IDS 4250 Modele niedostępne w sprzedaży CISCO EXPO ,Warszawa 19 – 20 października 2005 Nowe modele: • Cisco IDS 4215 • Cisco IDS 4240 • Cisco IDS 4255 • Cisco IDS 4250 XL Bezpieczny styk z Internetem 105 Porównanie modeli Nowe modele: • Pracują w oparciu o „utwardzoną” wersję Linuxa z dedykowanymi sterownikami i bibliotekami • Sprawdzona, dojrzała wersja jądra 2.4.26-IDS • Duże możliwości w filtrowaniu pakietów (iptables) • Kernel przygotowany na obsługe wielu CPU • System plików EXT3-fs (journaling) • Implementacja powszechnie znanego interfejsu CLI • Moduły dostępne dla Catalyst 6500 CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 106 Porównanie modeli Cisco IDS 4215: • Wydajność 80Mbps (passive) oraz 65Mbps (in-line) • Środowiska T1 i T3 • Docelowo dla SMB • Dostępny jako 1 RU oraz moduł sieciowy (NM) do rozbudowy urządzeń • P/N appliance: IDS4215-CSA-BUN-K9 • P/N moduł: NM-CIDS-K9-CSA • SMARTNet appl.: CON-SNT-IDS4215B • SMARTNet mod.: CON-SNT-NMCIDSK9 CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 107 Porównanie modeli Cisco IDS 4240/4255: • Wydajność 250Mbps (passive) oraz 250Mbps (in-line) - 4240 • Wydajność 600Mbps (passive) oraz 500Mbps (in-line) - 4255 • 1 RU • 4 porty 10/100/1000BASE-TX– możliwa różnorodna (mieszana) konfiguracja: • • • • – 2 x para in-line – 1 para in-line, 2 porty passive – 4 porty passive Opcjonalnie dodatkowe 4 porty 1000 BASE-SX 1 interfejs do zarządzania 10/100BASE-TX Automatyczny software-owy bypass (fail-open/fail-closed) Wymagany opcjonalny sprzęt „third-party” do fail-open przy braku zasilania bądź awarii hardware-u CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 108 Porównanie modeli Cisco IDS 4240/4255 c.d.: • Modyfikowanie wpisów ACL na routerach/switchach • Możliwość zasilania DC • Brak redundantnego zasilania • Engine ochrony środowisk VoIP • Technologie inspekcji aplikacyjnych (OSI 7 layer) • Inspekcja pakietów w MPLS • P/N: IPS-4240-DC-K9 dla 4240 • P/N: IPS-4255-K9 dla 4255 • Upgrade Path: Jest następcą modelu 4235 CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 109 Porównanie modeli Cisco IDS 4240: CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 110 Porównanie modeli Cisco IDS 4250 XL (różnice z 4240/4250): • Wydajność 1000Mbps (passive), 800Mbps (in-line) • 2 porty 1000BASE-SXOpcjonalnie dodatkowe 4 porty 1000 BASE-SX • 1 interfejs do zarządzania 10/100/1000 BASE-TX • Redundantne zasilanie • Wymagany opcjonalny sprzęt „third-party” do failopen przy braku zasilania bądź awarii hardware-u • P/N: IDS-4250-XL-K9 CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 111 Metody zarządzania Dostępne metody zarządzania: • CLI • Cisco IPS Device Manager • CiscoWorks VMS CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 112 Metody zarządzania CLI: • Funkcjonalne środowisko linii komend znane z Cisco IOS Software • Konfiguracja urządzenia zdalnie poprzez SSH/telnet • Lub bezpośrednio poprzez konsolowe połączenie z sensorem CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 113 Metody zarządzania CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 114 Metody zarządzania IPS Device Manager - IDM: • Webowa aplikacja oparta na Javie rezydująca na samym sensorze • Bezpieczny dostęp po TLS/SSL • Aplikacja przeznaczona do zarządzania pojedynczym urządzeniem • Oferuje podstawowe funkcje alertowania, monitoringu • UWAGA: Należy zwiększyć dostępny obszar pamięci dla sterty (heap) apletów Java do 256MB! • Wymaga JRE w wersji minimum 1.4.2 CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 115 Metody zarządzania CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 116 Metody zarządzania CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 117 Metody zarządzania CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 118 Metody zarządzania CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 119 Metody zarządzania CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 120 Metody zarządzania CiscoWorks VMS: • Kompleksowe narzędzie nadzoru i zarządzania korporacyjną infrastrukturą bezpieczeństwa. • Pogląd na wszystkie zdarzenia w środowisku • Pojedyncza konsola do zarządzania (FW,VPN,IPS...) • Zaawansowane zarządzanie polityką bezpieczeństwa CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 121 Metody zarządzania CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 122 Metody zarządzania CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 123 Aktualizacja oprogramowania Przed aktualizacją: • Backup konfiguracji • Zrzut z show version (na wypadek potrzeby downgrade’u) • Downgrade przy pomocy komendy downgrade z wersji 5.0 na 4.x nie jest możliwy. • IDS 4210 upgrade pamięci do 512MB • IDS 4215 upgrade BIOS CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 124 Aktualizacja oprogramowania Aktualizacja BIOSu: • Procedura: – – – – – – – rommon> rommon> rommon> rommon> rommon> rommon> rommon> interface port_number address ip_address server ip_address gateway ip_address ping server file IDS-4215-bios-5.1.7-rom-1.4.bin tftp • Samoczynny reboot po zakończeniu aktualizacji CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 125 Aktualizacja oprogramowania Aktualizacja z 4.x do 5.0: • Bezpośredni upgrade z 4.0 do 5.0 nie jest możliwy • Zwrócenie błędu „Error: AnalysisEngine is not running.” • Należy dokonać upgradu z 4.0 -> 4.1 -> 5.0 • Możliwe jest przeprowadzenie re-image’u bezpośredniu do wersji 5.0 przy pomocy obrazu pliku systemu operacyjnego • Konfiguracja zostaje zachowana (błędy podczas jej translacji są na bieżąco raportowane) • Od wersji 5.0 wymagane jest posiadanie licencji aby aktualizować sygnatury CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 126 Aktualizacja oprogramowania CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 127 Aktualizacja oprogramowania CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 128 Aktualizacja oprogramowania CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 129 Aktualizacja oprogramowania CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 130 Aktualizacja oprogramowania CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 131 Aktualizacja oprogramowania CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 132 Aktualizacja oprogramowania Nazewnictwo: • IPS-4215-K9-sys-1.1-a-5.0-2.img: – – – – – – 4215 – platforma sprzętowa K9 – crypto software sys – obraz systemu 1 – numer wersji major .1 – numer wersji minor a-5.0-2 – service pack 2 • IPS-sig-S195-minreq-5.0-1.pkg: – sig – sygnatura – S195 – numer sygnatury – minreq-5.0-1 – wymagana wersja obrazu systemu CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 133 Aktualizacja oprogramowania • Aktualizacja: – FTP – SCP – HTTP CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 134 Aktualizacja oprogramowania Stosowanie licencji: • Licencja jest niezbędna do dokonywania aktualizacji sygnatur (od wersji 5.0) • Aby otrzymać licencję należy posiadać ważny kontrakt Cisco Service for IPS • Możliwe otrzymanie 60-dniowej licencji „awaryjnej” (zagubione dokumenty itp.) CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 135 Aktualizacja oprogramowania www.cisco.com/go/license/ • Wymagana znajomość Serial Number urządzenia (show version) CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 136 Aktualizacja oprogramowania CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 137 Aktualizacja oprogramowania CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 138 Aktualizacja oprogramowania Zarządzanie plikiem licencyjnym: • IPS Device Manager – IDM: operacje na licencji bezpośrednio z poziomu aplikacji • CLI: sensor# copy ftp://[email protected]://ftpdir/dev.lic license-key Password: ***** sensor# copy license-key ftp://[email protected]://ftpdir/dev.lic Password: ***** CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 139 Wstępna konfiguracja CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 140 Wstępna konfiguracja CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 141 Wstępna konfiguracja CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 142 Wstępna konfiguracja CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 143 Wstępna konfiguracja CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 144 Wstępna konfiguracja CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 145 Wstępna konfiguracja CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 146 Wstępna konfiguracja CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 147 Wstępna konfiguracja CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 148 Wstępna konfiguracja CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 149 Wstępna konfiguracja CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 150 Wstępna konfiguracja CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 151 Wstępna konfiguracja CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 152 Wstępna konfiguracja CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 153 Wstępna konfiguracja CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 154 Wstępna konfiguracja CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 155 Wstępna konfiguracja CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 156 Wstępna konfiguracja CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 157 Wstępna konfiguracja CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 158 Automatyczne aktualizacje CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 159 Agenda 1. 2. 3. 4. PIX 7.0 Cisco Adaptive Security Appliance ASA Cisco IPS 4200 Cisco IOS Security CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 160 Wprowadzenie CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 161 Wprowadzenie • Uproszczenie wyboru: – Łatwiejsze „zlokalizowanie” w katalogu wersji, odpowiedniej dla danego klienta. Oszczędność czasu i energii. • Ujednolicene oferty: – Oprogramowanie o tej samej funkcjonalności oferowane na wszystkie platformy sprzętowe oparte na systemie IOS. • Ustandaryzowanie nazewnictwa: – Zwięzłe i intuicyjne nazewnictwo wersji oprogramowania. Nazwa zastępuje długie nazwy kodowe. CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 162 Linie funkcjonalości systemu IOS CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 163 Linie funkcjonalości systemu IOS CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 164 Ścieżki aktualizacji Możliwe do obrania ścieżki aktualizacji • Ścieżka „stabilności”: – Aktualizacje mają na celu eliminacje potencjalnych, wykrywanych w przyszłości błędów w oprogramowaniu – Nowe, dostępne funkcje nie są implementowane • Ścieżka „funkcjonalności” (T): – Aktualizacje naprawiają wykryte błędy w oprogramowaniu – Nowa funkcjonalność jest implementowana wraz z każdym nowym release’m oprogramowania – Wsparcie dla najnowszego sprzętu CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 165 Linie funkcjonalości systemu IOS CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 166 Linie funkcjonalości systemu IOS CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 167 Cisco IOS Security • IOS NAC – Network Admission Control – Wsparcie dla routerów dla rozwiązania NAC powstrzymującego zagrożenia przed wtargnięciem do sieci – Umożliwia sprawdzenie zgodności użytkowników z politykami bezpieczeństwa (system AV, platforma sprzętowa) i nadanie odpowiednich uprawnień – Niezgodne urządzenia: odmowa dostępu, restrykcyjne prawa dostępu, kwarantanna – Decyzja o dostępie podejmowana na podstawie: obecności ochrony AV, poziom „łatek” systemu operacyjnego itp. – IOS NAC jest w stanie zidentyfikować oraz izolować niechronione bądź zainfekowane stacje klienckie CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 168 Cisco IOS Security • Komponenty Cisco NAC: – Cisco Trust Agent: oprogramowanie zbierające informacje dot. bezpieczeństwa na stacjach klienckich. Wyniki przekazywane do urządzenia dostępowego IOS NAC – Urządzenie dostępowe (IOS) NAC (np. routery, access serwery): pośredniczą w wymianie informacji z serwerami polityk bezpieczeństwa – Serwery polityk (Cisco ACS): szacują otrzymane informacje o stanie bezpieczeństwa stacji klienckich i podejmują decyzję o ew. przypisaniu odpowiedniej polityki praw dostępu – System zarządzania (CW VMS + SIMS): VMS – zarządzanie urządzeniami NAC, SIMS – monitoring i raportowanie CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 169 Cisco IOS Security CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 170 Cisco IOS Security • AutoSecure Rollback & Logging: – AutoSecure oferowała szybką implementację bezpieczeństwa na urządzeniu pojedynczą komendą (one-touch lock-down) – AutoSecure Rollback umożliwia przywrócenie stanu konfiguracji sprzed wykonania komendy A-S – Dwa tryby: • Automatic – zmiany zostaną wycofane jeśli AutoSecure nie powiedzie się • Manual – wywołanie komendy z CLI w celu przywrócenia konfiguracji sprzed AutoSecure – Logging: inicjuje wiadomości syslog-a po każdym wykonaniu zestawu komend AutoSecure CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 171 Cisco IOS Security • Call Admission Control dla IKE – Zwiększa stabilność tuneli VPN – Zmniejsza użycie zasobów routera ograniczając ilość jednoczesnych przychodzących oraz wychodzących requestów IKE configure terminal crypto call admission limit ike sa 30 crypto call admission limit 20 (procent zasobów) CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 172 Cisco IOS Security • Role-Based CLI Access – Możliwe przypisanie użytkownikowi dostępu do wybranego zestawy komend – tzw. „widoki” (views) – Podniesienie bezpieczeństwa: zmniejszone ryzyko przypadkowej zmiany konfiguracji urządzenia przez niepowołanych użytkowników, ograniczenie dostępu tylko do niezbędnych informacji – Użytkownicy „widzą” tylko wcześniej im przypisane, porty, komendy. – Przydział użytkownikom odpowiednich zadań – podział na role – Bardziej elastyczne rozwiązanie w porównaniu do „privilege level” CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 173 Cisco IOS Security # enable view (włącza root view) (config)# configure terminal (config-view)# perser view MY_VIEW (config-view)# secret 5 HaSlO123 (config-view)# commands exec include (config-view)# commands exec include (config-view)# commands exec include (config-view)# commands exec exclude # show parser view ... # enable view MY_VIEW password:_ ... CISCO EXPO ,Warszawa 19 – 20 października 2005 show version interface Fa0/0 all router router ospf Bezpieczny styk z Internetem 174 Cisco IOS Security • IOS IPS – Wykorzystuje istniejącą infrastrukturę sprzętową (investment protection) – Zapewnia największą skuteczność w połączeniu z Cisco IOS Firewall, VPN oraz Network Admission Control – Wspierane przez wydajne oraz łatwe w użyciu narzędzia Cisco Router and Security Device Manager (SDM) i CiscoWorks VPN/Security Management Solution (VMS) – W przeciwieństwie do IDS’ów (post-event) działa proaktywnie! CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 175 Cisco IOS Security • IOS IPS – In-Line, inspekcja pakietów podnosi zdolności zapobiegania i rozprzestrzeniania ataków – Szybka implementacja ochrony bez przerw w pracy sieci – Ponad 1200 sygnatur ataków – Możliwość dostrajania sygnatur do własnych potrzeb – Tworzenie nowych sygnatur – Akcje: • Alarm • Drop • Reset CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 176 Cisco IOS Security CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 177 Cisco IOS Security • IOS IPS – Oparcie o SME (signature micro-engine) jako zastawu „silników” do przetwarzania różnych kategorii sygnatur – Każda kategoria (engine) sygnatur, sprawdza ruch sieciowy tylko pod kątem danych dla tej kategorii (protokołu), typów ataków (np. sygnatury HTTP podlegają pod Service.HTTP engine) – Definicje sygnatur przechowywane w plikach SDF – Łatwa aktualizacja sygnatur poprzez SDM – Pakiety sygnatur dla platform wyposażonych w >64MB, >128MB oraz >256MB pamięci RAM CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 178 Cisco IOS Security • IOS IPS - SME – Każdy SME dokonuje inspekcji wybranego (rozumianego przez siebie) protokołu pod kątem dozwolonych komend, wartości, zapytań itp. – Wyrażenia regularne (regular expressions) stanowią systematyczne podejście do wyszukiwania wzorców w ciągach bajtów – Skanowanie równoległe sygnatur (każdy SME przeszukuje swoje sygnatury jednocześnie) – Od wersji 12.3(14)T dostępnych jest 14 SME • IPS rozszerzenia sygnatur: – Dodanie SME (signature microengine) dla protokołów TCP, UDP oraz ICMP do listy wspieranych już SME. – Wsparcie ponad 1275 sygnatur – Ochrona m.in. przed: • TCP: Agobot, Blaster, Netsky, MyDoom, Phatbot i inne • UDP: Blaster, GaoBot, Phatbot, Slammer • ICMP: Nachi CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 179 Cisco IOS Security • IOS IPS – Sygnatury – – – – – Pliki SDF (XML) zawierają definicje i konfiguracje sygnatur Przechowywane lokalnie (flash) bądź zdalnie (TFTP, FTP, SCP, RCP) 128MB.sdf zawiera 300 sygnatur 256MB.sdf zawiera 500 sygnatur Oba zawierają sygnatury korzystające z STRING (TCP, UDP, ICMP) engine’ów wprowadzonych wraz z wersją 12.3(14)T! – Tylko domyślny zestaw sygnatur attack-drop.sdf posiada włączone akcje: alarm, drop, reset CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 180 Cisco IOS Security CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 181 Cisco IOS Security CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 182 Cisco IOS Security CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 183 Cisco IOS Security CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 184 Cisco IOS Security CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 185 Cisco IOS Security CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 186 Cisco IOS Security CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 187 Cisco IOS Security CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 188 Cisco IOS Security CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 189 Cisco IOS Security • IOS IPS – Scalanie plików sygnatur ! Scalanie sygnatur wbudowanych z dodanymi Router# copy flash:attack-drop.sdf ips-sdf ! ! Zapisanie scalonego pliku Router# copy ips-sdf flash:moje-sygnatury.sdf ! ! Wskazanie routerowi aby używał nowego pliku sygnatur Router# ip ips sdf location flash:moje-sygnatury.sdf ! ! Ponowne zainicjalizowanie IPS’a (aby wgrał nowe sygnatury) Router# configure terminal Router(config)# interface FastEthernet0/0 Router(config-if)# no ip ips MOJ_IPS in Router(config-if)# ip ips MÓJ_IPS in CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 190 Cisco IOS Security • Security Device Event Exchange – Nowy standard określający format wiadomości i protokół użyty do komunikowania zdarzeń przez urządzenia zabezpieczające. – SDEE jest elastyczny, wielu producentów jest w stanie zapewnić kompatybilność (propozycja TrueSecure). – Kompatybilność umożliwia posiadanie jednego interfejsu zarządzającego sensorami różnych marek. – SDEE używa mechanizmu „pull” – zapytania pochodzą od aplikacji zarządzającej. CISCO EXPO ,Warszawa 19 – 20 października 2005 configure terminal ip ips notify sdee ip sdee events 200 Bezpieczny styk z Internetem 191 Cisco IOS Security • Securty and Router Device Manager 2.0: • Oferuje wsparcie dla: – – – – – – Inline IPS Role-Based Router Access Easy VPN Server i AAA Cyfrowe certyfikaty dla VPN IPSec Diagnozowanie połączeń VPN oraz WAN Konfigurację polityk QoS CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 192 Cisco IOS Security • Login Lockout: – Konfigurowalna, ograniczona ilość prób logowania – Po wyczerpaniu limitu konieczna interwencja Administratora w celu odblokowania konta – Lokalna baza AAA przechowuje informacje o zablokowanych kontach (nie zewnętrzny serwer) – Ustawienie per-box (jednolite dla urządzenia) – Poprawa bezpieczeństwa na urządzeniu – Zgodność z EAL4 configure terminal security authentication failure rate 5 log CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 193 Cisco IOS Security • IOS Firewall HTTP Inspection Engine: – Wprowadzenie Advanced Application Inspectiona and Control (AIC) – Zezwolenie na przepuszczanie ruchu web-owego tworzy lukę dla aplikacji typu (IM) instant messaging – HTTP Inspection Engine wymusza zgodność ruchu z protokołem eliminując zagrożenia płynące z „tunelowania” innego ruchu niż HTTP przez port 80 • Wykrywa anomalie protokołu • Wymusza ścisłą zgodność z RFC • Zapewnia filtrowanie MIME oraz sprawdzanie zawartości CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 194 Cisco IOS Security configure terminal appfw policy-name MY_APP application http strict-http action allow alarm content-type-verification match-req-resp allow alarm max-header-length request 1 response 1 action allow alarm request-method rfc default action allow alarm port-misuse {p2p|tunneling|im|default} action allow alarm ip inspect name MY_INSPECT appfw MY_APP ip inspect name MY_INSPECT http interface FastEthernet0/0 ip inspect firewall in show appfw configuration ... CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 195 Cisco IOS Security • IOS Firewall Granular Protocol Inspection: – Szczegółowa inspekcja protokołów TCP i UDP dla większości typów aplikacji. – Inspekcja pakietów zawierających porty well-known (RFC 1700) oraz porty i przedziały portów zdefiniowane przez użytkownika. • IOS Firewall Email Inspection Engine: – Inspekcja SMTP, Extended SMTP, POP3 oraz IMAP – Zapobiega „maskaradzie” protokołu – Wymusza ścisłą zgodność z RFC – Wykrywa anomalie protokołów CISCO EXPO ,Warszawa 19 – 20 października 2005 configure terminal ip port-map user-8 port udp from 3300 to 3400 list 23 description CISCO_EXPO_2k5 ip inspect name ABC ? ... pop3 POP3 Protocol user-8 CISCO_EXPO_2k5 ... configure terminal ip inspect name EMAIL pop3 interface serial0/0 ip inspect name EMAIL in Bezpieczny styk z Internetem 196 Cisco IOS Security • Tokeny USB: – Wsparcie IOSa dla tokenów kryptograficznych (klucze, certyfikaty) i pamięci przenośnych (konfiguracje) serie 1800 i 2800 CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 197 Cisco IOS Security • IPSec Virtual Tunnel Interface – – – – – – Tunele site-to-site Ruch prywatny - punkty wejścia i wyjścia Szyfrowanie ruchu multicast-owego Wsparcie wszystkich protokołów routingu dynamicznego Wymaga mniej SA do ustanowienia połączenia Możliwe wykorzystanie bezpiecznych połączeń w konwergentnych rozwiązaniach (voice, video, data over IP) CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 198 Cisco IOS Security • WebVPN: – VPN oparty o protokół SSL – System dla niewymagających środowisk, podstawowa funkcjonalość – Wykorzystanie przeglądarki bez instalacji rezydującego oprogramowania na stacjach klienckich – Dwa tryby: • Clientless – przeglądanie udostępnionej treści, baz danych webowych narzędzi • Thin client – rozszerzenie funkcjonalności przeglądarki w celu umożliwienia dostępu zdalnego dla aplikacji pocztowych POP3, SMTP oraz IMAP (wymaga praw administratora na stacjach klienckich). Opiera się na ściąganym aplecie Javy, który stosuje TCP port-forwarding’u. CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 199 Cisco IOS Security CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 200 Cisco IOS Security configure terminal (config)# aaa new-model (config)# aaa group server radius EMAIL-AUTH (config-server-group)# server 10.1.1.1 auth-port 2 acct-port 3 (config-server-group)# exit (config)# aaa authentication login default EMAIL-AUTH (config)# ip domain ciscoexpo.com (config)# ip name-server 10.1.1.2 (config)# exit (config)# crypto pki import SSLVPN pkcs12 tftp: SeKrEt (config)# webvpn enable (config)# webvpn (config-webvpn)# ssl encryption 3des-sha1 (config-webvpn)# ssl trustpoint TPoint1 (conifg-webvpn)# port-forward list POP3 local-port 60005 remote-server mail.gmail.com remote-port 25 CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 201 Cisco IOS Security • Null0 routing - Opiera się na routowaniu w „próżnię” na bazie adresu docelowego ip route 6.0.0.0 255.0.0.0 Null0 • Reverse Path Forwarding: Pozwala sprawdzić adres źródłowy i interfejs którym dotarł pakiet (wpis w tablicy routingu wskazuje na inny interfejs niż informacje w samym pakiecie – pakiet prawdopodobnie został sfałszowany) interface FastEthernet0/0 ip verify unicast source reachable via {any|rx} [allow-default] CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 202 Cisco IOS Security • W Cisco IOS route-map’y pozwalają na odseparowanie niepożądanego ruchu z którym listy ACL nie są w stanie sobie poradzić (pakiety ICMP o długości od 92 do 96 bajtów) route-map MY-RT-MAP permit 10 match ip address MY-ACL match length 92 96 set interface Null0 ! Interface FastEthernet0/0 ip policy route-map MY-RT-MAP CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 203 Cisco IOS Security • NetFlow – Top-Talkers – NetFlow zbiera informacje o ruchu przechodzącym przez router i eksportuje je do stacji zajmujących się analizą i obrazowaniem tych danych (adresy IP źródła i celu, porty TCP/UDP, numery AS itp.) – Funkcjonalność top-talkers pozwala lokalnie na urządzeniu gromadzić informacje dotyczące węzłów generujących największy ruch – wymieniających najwięcej informacji interface FastEthernet 0/0 ip flow ingress ip flow-top-talkers match source address 10.1.1.1/28 match destination as 62622 top 10 sort-by {bytes|packets} CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 204 KONIEC CISCO EXPO ,Warszawa 19 – 20 października 2005 Bezpieczny styk z Internetem 205