Bezpieczny styk z Internetem Cisco IOS Security

Transkrypt

Bezpieczny styk z Internetem,
Cisco PIX 7.0, Cisco ASA,
Cisco IPS 5.0, Cisco IOS Security
Agenda
1.
2.
3.
4.
PIX 7.0
Cisco Adaptive Security Appliance ASA
Cisco IPS 4200
Cisco IOS Security
CISCO EXPO ,Warszawa
19 – 20 października 2005
Bezpieczny styk z Internetem
2
Agenda
1.
2.
3.
4.
PIX 7.0
Cisco IPS 4200
Cisco IOS Security
3
Aktualizacja PIX OS do wersji 7.0
•
•
•
•
wymagania sprzętowe
proces aktualizacji
zmiany w command line
ASDM - następca PDM
4
• System operacyjny PIX 7.0 działa na PIX
515/515E, PIX 525 i PIX 535
• Nie jest wspierany na PIX 501 oraz PIX
506/506E
• PIX 515/515E wymagają powiększenia
pamięci operacyjnej RAM
5
Wymagana ilość pamięci RAM
Dla PIX 515/515E
Obecna konfiguracja
Wymagana konfiguracja
dla PIX 7.0
Licencja
Part number
pamięci
Pamięci
po upgrade
Restricted 32 MB
PIX-515-MEM-32=
64 MB
Unrestrict
ed
64 MB
PIX-515-MEM-128=
128 MB
Failover
64 MB
PIX-515-MEM-128=
128 MB
Pamięć przed
upgrade
6
opis procedury w trybie Monitor mode
•
•
Zrobić kopię konfiguracji
Wejść w tryb monitor
monitor>
monitor>
monitor>
monitor>
monitor>
•
interface 1
address 20.0.0.10
server 20.0.0.101
file pix701.bin
tftp
PIX załaduje image do pamięci RAM, uruchomi się z tego
obrazu, zrobi kopię konfiguracji i stary OS do pamięci flash i
przekonwertuje działającą konfigurację na nowy format.
PIX(config)# copy tftp://20.0.0.101/pix701.bin flash:
PIX(config)# boot system flash:pix701.bin
PIX(config)# write memory
•
Powrót do poprzedniej konfiguracji
downgrade [/noconfirm] <image_url> [activation-key
(flash|file|<4-part-actkey>)] [config<start_config_url>]
7
opis procedury
• CLI zostało przebudowane, aby być jak najbardziej
zbliżone do CLI znanego z systemu IOS
• ? - pokazuje podkomendy
• <TAB> rozwija skrót w pełną komendę
• ^ - wskazuje miejsce wystąpienia błędu składni
• modularna budowa pliku konfiguracyjnego podobna
do budowy z Cisco IOS
• obsługa systemu plików identyczna jak w Cisco IOS
8
ASDM - następca PDM
• Wsparcie dla
funkcjonalności
występującej w PIX OS
7.0
• nowe właściwości:
–
–
–
–
uptime
konteksty
real-time syslog viewer
poprawiona nawigacja
po programie
– poprawiona funkcja
wyszukiwania
PIX(config)# crypto key generate rsa modulus 1024
PIX(config)# write mem
PIX(config)# http server enable
PIX(config)# http 192.168.1.2 255.255.255.255 inside
PIX(config)# copy tftp flash
PIX(config)# asdm image flash:/asdm-502.bin
9
ASDM - obsługa VPN
• inteligentne kreatory
połączeń VPN dla
połączeń site-to-site
• rozbudowany kreator
dla połączeń remoteaccess
-VPN wymuszanie
polityk
bezpieczeństwa
-aktualizacja
oprogramowania
- klastrowanie VPN
• Monitoring, graficzne
przedstawienie tego
co dzieje się w sieci:
- czas trwania sesji
- ilość przesłanych
danych w sesji
10
ASDM - obsługa Inspection Engines
•
•
PIX/ASA posiada ponad
30 różnego rodzaju
silników inspekcji takich
jak HTTP, FTP, GTP, itp.
za pomocą intuicyjnego menu można
konfigurować profile bezpieczeństwa o
wysokim stopniu szczegółowości
11
Rodzaje trybów pracy
Tryby działania
Konteksty
• Transparent
• Routed
• Single-mode context
• Multiple-mode context
12
Opis nowej funkcjonalności firewalla
Routed Firewall
• w tradycyjnej konfiguracji firewall jest
jednym z kolejnych węzłów w sieci –
na interfejsach ma adresy IP i jest
bramą domyślną dla podłączonych
hostów
• routuje pakiety pomiędzy interfejsami
• obsługuje wiele interfejsów
13
Transparent Firewall
•
•
•
•
•
•
•
•
•
•
•
Transparentny firewall
pracuje w warstwie 2
po obu stronach firewall znajduje się ta
sama sieć IP
Wykorzystywane są dwa porty
Obsługa dwóch interfejsów
Nie można skonfigurować NAT
single mode i multiple mode context
PIX dokonuje bridgeowania pakietów
zamiast routowania
Zamiast przeglądania tablicy routingu
przeglądana jest tablica MAC
Domyślnie przepuszcza tylko pakiety ARP
(możliwość filtrowania)
Ruch IP kontrolowany rozszerzoną listą ACL
Ruch inny niż IP kontrolowany jest za
pomocą listy ethertype ACL
14
Konfiguracja trybu transparent
! sprawdzenie trybu pracy firewalla
pix#show firewall
Firewall mode: Router
! Powrot do trybu router
pix#configure terminal
pix(config)#no firewall transparent
Firewall mode: router
! konfiguracja trybu transparentnego
pix#configure terminal
pix(config)#firewall transparent
Firewall mode: Transparent
! konfiguracja uległa wyzerowaniu
! ustawienie adresu do managementu
pix(config)#ip address 10.0.0.1 255.0.0.0
pix(config)#show ip address
Management System IP Address:
ip address 10.0.0.1 255.0.0.0
Management Current IP Address:
ip address 10.0.0.1 255.0.0.0
15
!konfiguracja interfejsów
pix(config)#interface e1
pix(config-if)#nameif inside
INFO: Security level for "inside"
set to 100 by default.
pix(config-if)#no shutdown
pix(config)#interface e2
pix(config-if)#nameif outside
INFO: Security level for "inside"
set to 100 by default.
pix(config-if)#no shutdown
pix(config-if)#exit
!od tego momentu jest możliwość
!komunikacji z urządzeniami od
!interfejsu inside do outside
! dostęp z mniej zaufanego interfejsu
!uzyskamy pozwalając na ruch za
!pomocą listy ACL przywiązanej do
!interfejsu.
pix(config)#access-list OUT_ACL
remark ruch z zewnatz
pix(config)#access-list OUT_ACL
extended permit ip host 1.1.1.1
any
pix(config)#access-group
OUT_ACL in interface outside
16
Konteksty
Konteksty
•
•
Funkcjonalność wielu logicznych firewallów w jednym urządzeniu
Każdy kontekst posiada swój własny zbiór polityk, logicznych
interfejsów i domeny administracyjnej
Dept/Cust 1 Dept/Cust 2 Dept/Cust 3
Dept/Cust 1 Dept/Cust 2 Dept/Cust 3 Dept/Cust N
PIX
PIX
PIX
PIX
PIX
17
17
Konteksty
• Podział PIX na wiele wirtualnych urządzeń, które stają się
niezależnymi urządzeniami z własnymi politykami, interfejsami, i
administratorami.
• W trybie multimode, dla każdego kontekstu wymagana jest
osobna konfiguracja określająca polityki, interfejsy, i praktycznie
wszystkie opcje, które można skonfigurować na urządzeniu w
trybie single kontekst.
• Administrator może dodawać i zarządzać kontekstami, które
podobnie jak w trybie singlemode są tekstowymi plikami z
konfiguracją. Czynności te dokonywane są z kontekstu admin,
który działa jak zwykły kontekst z tym, że admin ma prawo
dostępu do systemu i innych kontekstów (system configuration)
• Ograniczenia trybu multimode – brak wsparcia:
– dynamiczny protokołów routingu (tylko routingu statyczny)
– VPN
– Multicast
18
Konteksty/ klasyfikacja pakietów
•
•
•
•
Klasyfikacja pakietów
W trybie transparent
muszą być wydzielone
osobne interfejsy
W trybie router gdy
interfejs jest
współdzielony
pomiędzy konteksty to
klasyfikacja jest
realizowana w oparciu
o interfejs wejściowy i
wpisy NAT
Gdy NAT nie jest
wykorzystany to nie
można współdzielić
interfejsów
ruch wyjściowy
ruch wejściowy
19
Konteksty
Konwersja do trybu multimode
1. running_config jest
archiwizowany (ale nie
startup_config)
2. Tworzone są następujące pliki:
•
startup config- konfiguracja
systemu
• admin.cfg –konfiguracja
kontekstu admin
• Restart PIX
pix# show mode
Security context mode: single
pix# conf t
pix(config)# mode multiple
20
Konteksty, przykład
hostname(config)# admin-context administrator
hostname(config)# context administrator
hostname(config-ctx)# allocate-interface gigabitethernet0/0.1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.1
hostname(config-ctx)# config-url flash:/admin.cfg
hostname(config-ctx)#
context test
allocate-interface gigabitethernet0/0.100 int1
config-url ftp://user1:[email protected]/test.cfg
context sample
config-url ftp://user1:[email protected]/sample.cfg
logowanie:
•
konsola- do ustawień sytemu
•
telnet/ssh- do poszczególnych kontekstów jeśli zdefiniowano dostęp
21
NAT Control
NAT Control
• NAT control wymaga aby pakiety przechodzące z
interfejsu o wyższym priorytecie do interfejsu o
niższym priorytecie przechodziły przez mechanizm
NAT
• W wersji 7.0 istnieje możliwość wyłączenia tej
zasady, firewall nie wymaga wtedy konfiguracji NAT
do routowania pakietów
hostname(config)# no nat-control
22
Outband ACLs
Możliwość podpięcia ACL do interfejsu jako listy
Outband ACL
access-group access-list {in | out} interface
interface_name
23
Opis nowej funkcjonalności
firewalla, Timebased ACLs
hostname(config)# time-range
New_York_Minute
hostname(config-time-range)#?
absolute
periodic
default
hostname(config)# access-list Sales
extended deny tcp host 209.165.200.225
host 209.165.201.1
time-range New_York_Minute
• absolute – definicja ściśle
określonej daty, w której
obowiązuje time-range,
• periodic- definiuje
cotygodniowy schemat
czasowy obowiązujący w
liście ACL wykorzystującej
time-range,
• default- powrót do wartości
domyślnych.
24
EtherType Access List
• tylko w trybie transparentnym
• filtracja ramek ethernetowych w oparciu o
wewnętrzny 16 bitowy identyfikator
• pierwszeństwo przed extended ACL
• nie wspiera IPv6
• musi być zastosowana na obu interfejsach
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
access-list
access-list
access-list
access-list
ETHER
ETHER
ETHER
nonIP
ethertype
ethertype
ethertype
ethertype
permit ipx
permit bpdu
permit mpls-unicast
deny 1256
hostname(config)# access-group ETHER in interface outside
hostname(config)# access-group ETHER in interface inside
25
WebType Access List – ASA!!!
• filtracja po WWW
• ACL wykorzystywana podczas dostępu przez SSL komendą
filter
• url może być podany pełny lub tylko jego część
• identyfikatory protokołów: http, https, cifs, imap4, pop3,
smtp, any
• asteriski do określania podstron
access-list id webtype {deny | permit} url [url_string | any] [log [[disable | default] | level] [interval
secs] [time_range name]]
! deny access to a specific company url:
hostname(config)# access-list acl_company webtype deny url http://*.company.com
!deny access to a specific file:
hostname(config)# access-list acl_file webtype deny url https://www.company.com/dir/file.html
! deny http access to anywhere through port 8080:
hostname(config)# access-list acl_company webtype deny url http://*:8080
26
MQC
• Klasyfikacja odbywa się za pomocą: ACL, DSCP, precedance, nr portu,
rtp, tunnel-group, flow,
• Po identyfikacji interesującego przepływu mogą być zastosowane
różnorodne serwisy, każdy z unikalnymi ustawieniami dla każdego
przepływu zawierającego:
–
–
–
–
•
Inspection engine policies
QoS policies
connection policies
IPS (tylko ASA)
Inspection function will monitor both ingress to and egress from the interface
Step 1:
Identify Flow
Step 2:
Apply Services
Inspection
Engines
QoS
Services
IPS
Conn
Services
HTTP
TCP
LLQ
Policing
In-line IPS
Max Conns
Promisc. mode
27
MQC
MPF jest zbudowany na podstawie MQC (Modular QoS CLI) z
Cisco IOS, rozszerzając swoje zastosowanie szeroko poza
obsługę ruchu QoS. Do zbudowania polityki MQC wymagana
jest obecność poniższych trzech instrukcji:
•
class-map – komenda jest używana do klasyfikacji ruchu dla której
można przydzielić różnorodne akcje związane z bezpieczeństwem. Do
klasyfikacji można użyć wiele różnorodnych metod.
•
policy-map – komenda służy do konfiguracji różnorodnych polityk
takich jak polityki bezpieczeństwa czy QoS. polityka składa się z klas i
związanych z nimi akcjami. Na pojedynczej klasie można ustalić wiele
akcji
•
service-policy – za pomocą tej komendy uaktywnia się policy-map na
wszystkich lub wybranych interfejsach. polityka na interfejsie ma
pierwszeństwo nad polityka ustawioną lokalnie.
28
MQC
Klasyfikacja dla MQC
Rozróżnienie ruchu w oparciu o:
•
•
•
•
•
•
•
•
•
any traffic
access-list
default-inspection-traffic
destination port
dscp
precedence
rtp port
tunnel-group
flow ip destination
29
MQC- przykład
access-list http_server permit tcp any host SERVER_B eq 80
access-list http_client permit tcp host CLIENT any eq 80
class-map http_server
match access-list http_server
exit
class-map http_client
match access-list http_client
exit
policy-map http_server
class http_server
inspect http
set connection conn-max 100
exit
policy-map http_client
class http_client
inspect http
police output 250000
exit
service-policy http_server interface inside
service-policy http_client interface outside
30
MQC/ connection policies
set connection {conn-max | embryonic-conn-max} n /
random-seq# {enable | disable}
•
•
•
•
określa liczbę maksymalnych połączeń
włącza/wyłącza randomizację numerów sekwencyjnych TCP
wartość „0”- nielimitowana liczba
nie jest zalecane ustawianie limitów connection poprzez polityki i nat
hostname(config)# policy-map localpolicy1
hostname(config-pmap)# class local_server
hostname(config-pmap-c)# set connection conn-max 256 random-seq# disable
hostname(config-pmap-c)# exit
Konfiguracja okresu po którym nieaktywne połączenie TCP jest
zamykane
set connection timeout tcp 1:0:0
set connection timeout embryonic 0:0:30
set connection timeout half-closed 0:10:0
31
MQC/ QoS policies
• LLQ nie jest limitowany
przez policera
• drop action - nie jest
obsługiwane
• policing- konfiguruje
maksymalną przepustowość
i burst limit
• Nie można jednocześnie
zastosować policingu i LLQ
• class-default jest tworzona
automatycznie
• Policing można zastosować
tylko w kierunku
wyjściowym
• gdy stosujemy LLQ należy
obowiązkowo utworzyć
kolejkę priority-queue
hostname# policy-map qos
hostname (config-pmap)# class tcp_traffic
hostname (config-pmap-c)# police outside 56000 10500
hostname (config-pmap-c)# class TG1-voice
hostname (config-pmap-c)# priority
hostname (config-pmap-c)# class TG1-best-effort
hostname (config-pmap-c)# class class-default
hostname(config)# priority-queue outside
hostname(config)# priority-queue dmz
hostname(priority-queue)# queue-limit 2048
hostname(priority-queue)# tx-ring-limit 256
32
MQC/inspection engine policies
• współpraca z NAT w celu zlokalizowania zaszytych w pakiet
adresów IP
• translacja adresów IP i ponowne przeliczenie CRC
• monitorowanie aplikacji otwierających podczas działania
dodatkowe porty TCP i UDP
• Dodatkowy tuning za pomocą application-map
class-map ftp_port
match port tcp eq 21
exit
ftp-map inbound_ftp
request-command deny dele rmd
exit
policy-map sample_policy
class ftp_port
inspect ftp strict inbound_ftp
exit
service-policy sample_policy interface outside
dele Disallows the command that deletes a file on the server.
rmd Disallows the command that deletes a directory on the server
33
MQC/stanowa inspekcja aplikacji
PIX Version 6.3
fixup
fixup
fixup
fixup
fixup
fixup
fixup
fixup
fixup
fixup
fixup
fixup
fixup
protocol
protocol
protocol
protocol
protocol
protocol
protocol
protocol
protocol
protocol
protocol
protocol
protocol
PIX Version 7.0
esp-ike
dns maximum-length 512
h323 h225 1720
http 80
rsh 514
sip 5060
smtp 25
ftp 21
h323 ras 1718-1719
ils 389
rtsp 554
skinny 2000
sqlnet 1521
Numery portów są domyślnie
skonfigurowane w klasie
inspection_default
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ils
inspect rsh
inspect rtsp
inspect smtp
inspect sqlnet
inspect sip
inspect skinny
inspect netbios
inspect ctiqbe
inspect icmp
inspect http
inspect dns
service-policy global_policy global
34
Mechanizmy inspekcji
• Application Policy Enforcement
• Protocol Conformance Checking
• Protocol State Tracking
• Security Checks
• NAT / PAT Support
• Dynamic Port Allocation
Multimedia / Voice over IP
H.323 v1-4
Enhanced
SIP
SCCP (Skinny)
GTP (3G Wireless) New
MGCP
Enhanced
RTSP
TAPI / JTAPI
Specific Applications
Microsoft Windows Messenger
Microsoft NetMeeting
Real Player
Cisco IP Phones
Cisco Softphones
Database / OS Services
Core Internet Protocols
HTTP New
FTP New
TFTP
SMTP / ESMTP New
DNS / EDNS
ICMP New
TCP
UDP
ILS / LDAP
Oracle / SQL*Net (V1/V2)
Microsoft Networking
NFS
RSH
SunRPC / NIS+ New
X Windows (XDMCP)
Security Services
IKE
IPSec
PPTP
35
• Nowe mechanizmy podnoszą poziom bezpieczeństwa przeciwko
zagrożeniom typu web-base
• Zaawansowana inspekcja http pozwala zabezpieczyć sieć przed atakami
na serwery WWW i innymi typu „port 80 misuse”
• konfigurowane polityk służących do detekcji i blokowania tunelowanych
aplikacji i ataków włączając w to:
• komunikatory internetowe (AIM, MSN Messenger, Yahoo)
• programy peer-to-peer (KaZaA)
• inne
• sprawdzanie pakietów pod kątem niezgodności ze standardem RFC
• wsparcie dla filtrowania komend http, dla zwiększenia kontroli i
bezpieczeństwa
• Wsparcie dla filtrowania MIME i inspekcja zawartości
• kontrola zawartości danych przepływających przez firewall
36
•
•
•
•
•
Zabezpieczenie sieci GSM – nowy inspection engine dla GTP/GPRS
Rozszerzona funkcjonalność silnika inspekcji FTP
elastyczne filtrowanie komend FTP i stanowa inspekcja dla wybranych
przez administratora sesji FTP
Rozszerzona funkcjonalność silnika inspekcji SMTP (ESMTP)
Rozszerzona funkcjonalność silnika inspekcji ICMP
– stanowe śledzenie ruchu ICMP mające zapobiec atakom z wykorzystaniem
protokołu ICMP
•
Rozszerzona funkcjonalność silnika inspekcji ICMP Sun RPC/NIS+
– zapewnia wysokie bezpieczeństwo dla aplikacji zmieniających porty takich
jak NIS+ i SunRPC
– Performs advanced inspection on all RPC traffic to validate
protocol conformance and determine embedded port numbers
– zapewnia zaawansowaną inspekcję dla ruchu RPC aby zapewnić zgodność z
protokołem i śledzić zaszyte numery portów
37
wsparcie dla VOIP
•
•
•
•
Rozszerzona funkcjonalność silnika inspekcji MGCP ze wsparciem dla
NAT i PAT
* zapewnia bezproblemową współpracę dla protokołu MGCP
(wersja 0.1 i 1.0)
wsparcie NAT dla protokołu RTSP, zabezpieczenie aplikacji real time
przechodzące przez NAT
Rozszerzona funkcjonalność silnika inspekcji protokołu H.323
* wsparcie dla protokołów z rodziny H.323 włączając w to protokół
T.38 (Fax over IP) oraz GKRCS (Gatekeeper Routed Call Signaling)
Wsparcie dla fragmentacji i segmentacji dla wszystkich protokołów
VoIP
Improved
Improved
Improved
H.323
MGCP
RTSP
SCCP
SIP
TAPI / JTAPI
NAT/PAT
NAT/PAT
NAT
NAT/PAT
NAT/PAT
NAT/PAT
Version1-4
v0.1/v1.0
TCP
TCP
UDP/TCP
TCP
New
Wsparcie dla fragmentacji i segmentacji
38
Transparent Firewall/ ARP inspection
•
•
•
•
Chroni przed ARP Spoofingiem (man-in-the_middle) attack
domyślnie wszystkie pakiety ARP są przepuszczane
ARP Inspection sprawdza MAC adres, IP adres, interfejs źródłowy.
Podejmowane akcje:
– gdy w bazie jest rekord o tym samym IP, MAC i interfejsie to przepuść pakiet
– gdy informacje uzyskane pakiet nie zgadzają się z bazą to odrzuć pakiet
– gdy pakietu nie ma w bazie to w zależności od ustawień prześlij lub porzuć
pakiet
statyczny wpis do bazy arp inspection
hostname(config)# arp outside 10.1.1.1 0009.7cbe.2100.
Uruchomienie arp-inspection
hostname(config)# arp-inspection interface_name enable [flood | no-flood]
flood- przepuszcza nieznane dotąd pakiety
Static MAC Address + arp-inspection no-flood- ochrona przed MAC Spoofingiem
hostname(config)# mac-address-table static eth0 0000.1111.2222
hostname(config)# arp-inspection eth0 enable no-flood
39
Niezawodność
Active-Active Failover
• Active-Active Failover
• Pozwala na zredukowanie czterech
(dwie pary failover) urządzeń do
dwóch
• Wymaga co najmniej dwóch
kontekstów
• Wymagania na failover
– identyczny sam hardware
– Identyczny tryb pracy
– licencja UR-UR, UR-FO, UR-FO_AA (FO
nie wspiera A/A Failover)
– Alokacja kontekstów do grup failover
Switch
Switch
Logical2-S
Logical1-A
Logical1-S
Logical2-A
Switch
Switch
Network B-1
40
Niezawodność
Active-Active Failover/ przykład
failover
failover lan unit primary
failover lan interface folink thernet0
failover link folink Ethernet0
failover interface ip folink 10.0.4.1
255.255.255.0 standby 10.0.4.11
|---->failover group 1
|
primary
|
preempt
| |->failover group 2
| | secondary
| | preempt
| |
| | admin-context admin
| | context admin
| | allocate-interface Ethernet1
| | allocate-interface Ethernet2
| | config-url flash:admin.cfg
| |->join-failover-group 1
|
|
context ctx1
|
description context 1
|
allocate-interface Ethernet3
|
allocate-interface Ethernet4
|
config-url flash:ctx1.cfg
|---->join-failover-group 2
41
Niezawodność
Active-Active Failover/ przykład c.d.
!The admin Context Configuration
interface Ethernet1
nameif outside
security-level 0
ip address 192.168.5.101 255.255.255.0
standby 192.168.5.111
interface Ethernet2
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
standby 192.168.0.11
!The ctx1 Context Configuration
interface Ethernet3
nameif inside
security-level 100
ip address 192.168.20.1 255.255.255.0
standby 192.168.20.11
interface Ethernet4
nameif outside
security-level 0
ip address 192.168.10.31 255.255.255.0
standby 192.168.10.41
asr-group 1
42
Niezawodność
routing asymetryczny
•
•
•
Gdyby drugi PIX/ASA nie
posiadał danych o połączeniu,
ruch powrotny uległby
zablokowaniu
Internet
Routing asymetryczny
ISP-A
zapewnia przesłanie pakietów
do drugiego urządzenia, które
posiada pół otwarte
połączenia. Jest to możliwe,
interface Ethernet X
gdyż podczas pracy
.1
.4
asr-group 1
urządzenia wymieniają się
pomiędzy sobą informacjami
Logical1-A
Logical2-S
.1
.4
o swoich otwartych sesjach.
Jeśli pakiet trafi do drugiego
firewall to ruch będzie
przesyłany do czasu, gdy
sesja nie zostanie
zakończona.
ISP-B
interface Ethernet X
asr-group 1
.2
Logical1-S
Logical2-A
.2
Inside Network B -1
.3
.3
Inside Network B -2
Inside
Network
rozpoznaje
sesję
43
VPN
IPSec over X
•
•
Wspierane są następujące połączenia: NAT-Traversal, IPSec over UDP,
IPSec over TCP
wszystkie rodzaje połączeń mogą pracować jednocześnie
•
priorytety w ustanawianiu połączeń
•
włączenie NAT-T
automatycznie bez ingerencji w ACL na interfejsie VPN zostanie
przepuszczony ruch UDP z portem 4500
–
–
–
IPSec over TCP
NAT-Traversal
IPSec over UDP
hostname(config)# isakmp nat-traversal
•
uaktywnienie IPSec over TCP
hostname(config)# isakmp ctcp port 80
•
uaktywnienie IPSec over UDP
hostname(config)# group-policy FirstGroup attributes
hostname(config-group-policy)# ipsec-udp enable
hostname(config-group-policy)# ipsec-udp-port 10000
44
VPN Routing
Zawracanie ruchu na jednym interfejsie
• Od wersji 7.0(1) na PIXie i ASA można zawracać ruch na jednym
interfejsie, jeśli chodzi o przeniesienie ruchu pomiędzy tunelami VPN
• Pakiety przejdą pełną drogę przez FW/NAT
hostname(config)# same-security-traffic permit intra-interface
LAN A
LAN B
odszyfrowanie
Inspekcja FW/NAT
zaszyfrowanie
Inspekcja FW/NAT
LAN HQ
45
VPN routing
•
•
•
W wersjach PIX OS 6.3 i starszych OSPF był wspierany tylko w sieciach
broadcast
PIX 7.0 umożliwia obsługę OSPF w sieci unicast dla połączeń p2p nonbroadcast
Możliwość przenoszenia OSPF przez VPN bez konieczności stosowania
tuneli GRE
ospf network point-to-point non-broadcast
router ospf 100
network 10.64.10.0 255.255.255.224 area 0
network 192.168.4.0 255.255.255.0 area 0
area 0
neighbor 10.64.10.15 interface outside
log-adj-changes
46
VPN Load balancing sesji klienckich
•
asa(config)# vpn load-balancing
asa(config-load-balancing)#
cluster ip address A.B.C.254
cluster key 12345678
cluster encryption
participate
•
•
Interne
t
IP klastra:
A.B.C.254
•
A.B.C.10
•
A.B.C.11
•
A.B.C.12
47
VPN
Tunnel Groups, Group Policies, Users
group policies- przechowują
atrybuty użytkowników
Group policies posiadają
następujące atrybuty:
• Identity
• Defining servers
• Client firewall settings
• Tunneling protocols
• IPSec settings
• Hardware client settings
• Filters
• Client configuration settings
• WebVPN functions
• Connection settings
Domyślna grup
policy“DfltGrpPolicy”,
group-policy DfltGrpPolicy
internal
group-policy DfltGrpPolicy
attributes
wins-server none
dns-server none
vpn-access-hours none
vpn-simultaneous-logins 3
vpn-idle-timeout 30
vpn-session-timeout none
vpn-filter none
vpn-tunnel-protocol IPSec
password-storage disable
ip-comp disable
re-xauth disable
group-lock none
pfs disable
banner none
ipsec-udp disable
ipsec-udp-port 10000
split-tunnel-policy
tunnelall
split-tunnel-network-list
none
default-domain none
split-dns none
secure-unitauthentication disable
user-authentication
disable
user-authentication-idletimeout 30
ip-phone-bypass disable
leap-bypass disable
nem disable
backup-servers keepclient-config
client-firewall none
client-access-rule none
48
Group Policies- przykłady niektórych
parametrów
Ustawienie godzin dostępu
hostname(config-group-policy)# vpn-access-hours value {time-range | none}
Ustawienie logo widocznego podczas połączenia się klientem VPN
hostname(config-group-policy)# banner value Welcome to Cisco Systems 7.0.
Ustawienie polityk dla personalnego firewalla, które zostaną
zastosowane podczas negocjacji IKE
hostname(config-group-policy)# client-firewall opt | req
zonelabs-zonealarmorpro policyAYT | {CPP acl-in ACL acl-out ACL}
hostname(config-group-policy)# client-firewall opt | req sygate-personal
Limitowanie dostępu dla ściśle określonych klientów VPN
hostname(config-group-policy)# client-access-rule 1 deny type "Cisco VPN
Client" version 4.0
49
VPN
Tunnel groups- przypisują group policies dla
określonych połączeń
Tunnel Groups- domyślne grupy:
• LAN-to-LAN
• remote access
Tunnel groups określa następujące atrybuty:
• General parameters
• IPSec connection parameters
• General Tunnel Group Parameters
• nazwa grupy
• typ połączenia
• serwery AAA
• domyślne group policy
• metoda przydzielenia adresu dla klienta
• IPSec Connection Parameters
• metoda autentykacji użytkownika
• ISAKMP keepalive
• autoryzacja użytkowników
tunnel-group DefaultRAGroup type ipsec-ra
tunnel-group DefaultRAGroup generalattributes
no address-pool
authentication-server-group LOCAL
no authorization-server-group
no accounting-server-group
default-group-policy DfltGrpPolicy
no dhcp-server
no strip-realm
no strip-group
tunnel-group DefaultRAGroup ipsecattributes
no pre-shared-key
no authorization-required
authorization-dn-attributes CN OU
peer-id-validate req
no radius-with-expiry
no chain
no trust-point
isakmp keepalive threshold 300 retry 2
50
VPN
•Z użytkownikiem skojarzone są atrybuty z przydzielonej mu
group policy.
•Dla każdego użytkownika można też skojarzyć indywidualne
atrybuty
username testuser password 12RsxXQnphyr/I9Z encrypted
privilege 15
username testuser attributes
vpn-group-policy testing
vpn-access-hours value averylongtime
vpn-simultaneous-logins 4
vpn-idle-timeout 30
vpn-session-timeout none
vpn-filter value tunneled
no vpn-framed-ip-address
group-lock value test
webvpn
no functions
html-content-filter java images scripts cookies
no homepage
no filter
no url-list
no port-forward
no port-forward-name
51
VPN
Przykład konfiguracji VPN Remote Access
PIX 6.3
isakmp
isakmp
isakmp
isakmp
isakmp
isakmp
PIX 7.0
enable outside
policy 10 authentication pre-share
policy 10 encryption aes
policy 10 hash sha
policy 10 group 2
policy 10 lifetime 86400
isakmp
isakmp
isakmp
isakmp
isakmp
isakmp
enable outside
policy 10 authentication pre-share
policy 10 encryption aes
policy 10 hash sha
policy 10 group 2
policy 10 lifetime 86400
crypto ipsec transform-set TSET esp-eas esp-sha-hmac
crypto ipsec transform set TSET esp-aes esp-sha-hmac
crypto dynamic-map DMAP 10 set transform-set TSET
crypto map CMAP 10 ipsec-isakmp dynamic rmt_dyna-msp
crypto map CMAP outside
crypto dynamic-map DMAP 10 set transform-set TSET
crypto map CMAP 10 ipsec-isakmp dynamic DMAP
crypto map CMAP outside
ip local pool LPOOL 10.0.11.1-10.0.11.254
ip local pool LPOOL 10.0.11.1-10.0.11.254
vpngroup GR1 address-pool LPOOL
vpngroup GR1 password tajne
vpngroup GR1 dns-server 10.0.0.15
vpngroup GR1 wins-server 10.0.0.15
vpngroup GR1 default-domain betacom.com.pl
tunnel-group testgroup type ipsec-ra
tunnel-group testgroup general-attributes
address-pool LPOOL
tunnel-group testgroup ipsec-attributes
pre-shared-key tajne
group-policy DfltGrpPolicy attributes
wins-server 10.0.0.15
dns-server 10.0.0.15
default-domain betacom.com.pl
52
Agenda
1.
2.
3.
4.
PIX 7.0
Cisco IPS 4200
Cisco IOS Security
53
UTM - Unified Thread Management
54
UTM - Unified Thread Management
•
•
•
•
Rozwiązania UTM
charakteryzują się
następującymi cechami:
jeden UTM appliance
zastępuje kilka systemów
obniżenie kosztów
urządzeń
oszczędzają pieniądze,
czas i zasoby ludzkie w
zarządzaniu systemami
bezpieczeństwa
Najwięksi producenci
dostarczający rozwiązania
UTM:
– Check Point
– FortiNet
– ISS
– Symantec
– Secure Computing
– Cisco
55
Podstawy
Profil
usługowy
Bazuje na
Docelowe
zastosowania
Wielousługowa platforma bezpieczeństwa:
• Stateful firewall
• IPS
• IPSec VPN
• SSL VPN - WebVPN
• Anty-X
• Cisco PIX OS i FWSM
• Cisco VPN 3000, IPS
• Sygnatury zTrend Micro
• „Wszystko w jednym” dla SMB
i oddziałów większych firm
• Bramka bezpieczeństwa/VPN
• Brzeg sieci średniej i dużej firmy
• Bramka VPN
56
Podstawy
Cisco PIX
ASA Feature Set = 7.0
Cisco VPN 3000
Cisco IPS
Usługi
sieciowe
• Elastyczne usługi kontroli użytkowników, podsieci
• Zaawansowane usługi śledzenia sesji i aplikacji
• Wirtualne ściany ogniowe i usługi stateful firewall L2
• VPNy S2S ze wsparciem dla routingu OSPF i usług QoS
• Obsługa połączeń C2S z klastrowaniem, narzucaniem
polityki i weryfikacją bezpieczeństwa klienta
• Zintegrowany dostęp SSL VPN
• Architektura usług pozwalająca rozszerzanie wydajności
i funkcjonalności przez karty rozszerzeń
• Skuteczne usługi IPS (in-line) z korelacją zdarzeń i
zaawansowanymi usługami oceny zagrożeń
• Wsparcie zarówno dla IPv4 jak i IPv6
• Wsparcie dla 802.1Q i routingu OSPF
• Tryby pracy active/active i active/standby
57
Różnice pomiędzy modelami ASA
Features
5510
5510
Sec. Plus
5520
5520
VPN Plus
5540
5540
VPN Plus
5540 VPN
Premium
Market
SMB
SMB/Small
Enterprise
Enterprise
Enterprise
Large
Enterprise
Large
Enterprise
Large
Enterprise
Maksymalna Przepustowość
300
300
450
450
650
650
650
Maximum Concurrent Threat
Mitigation Throughput (Mbps)
TBD with
AIP-SSM-10
TBD with
AIP-SSM-10
TBD with
AIP-SSM-20
TBD with
AIP-SSM-20
450 with AIPSSM-20
450 with AIPSSM-20
450 with AIPSSM-20
Przepustowość AES IPSec
170
170
225
225
325
325
325
Maximum Site-to-Site and
Remote Access VPN Peers
50
150
300
750
500
2,000
5,000
Maximum WebVPN Peers1
50
150
300
750
500
1,250
2,500
Maximum Connections
32,000
64,000
130,000
130,000
280,000
280,000
280,000
Max połączeń/ sekunde
6,000
6,000
9,000
9,000
20,000
20,000
20,000
Memory (MB)
256
256
512
512
1024
1024
1024
Integrated Ports
3-10/100, 110/100OOB2
5-10/100
4-10/100/1000,
1-10/100
4-10/100/1000,
1-10/100
4-10/100/1000,
1-10/100
4-10/100/1000,
1-10/100
4-10/100/1000,
1-10/100
Maximum Virtual Interfaces
0
10
25
25
100
100
100
Konteksty( zawarte/max)
0/0
0/0
2/10
2/10
2/50
2/50
2/50
GTP/GPRS Inspection3
No
No
Yes
Yes
Yes
Yes
Yes
High Availability Support4
None
A/S
A/A and A/S
A/A and A/S
A/A and A/S
A/A and A/S
A/A and A/S
VPN Clustering/Load
Balancing
No
No
Yes
Yes
Yes
Yes
Yes
58
Cisco ASA
Nowa zasada licencjonowania
• Konteksty:
– Na PIX 5 poziomów: 5, 10, 20, 50, 100; dwa konteksty
dołączone „gratis” do wersji UR i FO-A/A
– Na ASA 4 poziomy: 5, 10, 20, 50
• Funkcjonalność:
– Na PIX podział na licencje R, UR, FO i FO-AA
– ASA 5510: licencja „Plus” zwiększa ilość klientów VPN,
interfejsów fizycznych, dodaje obsługę VLANów oraz trybu
Active/Standby
– ASA 5520/5540: licencje „Base”/”Plus”/”Premium” określają
ilość klientów VPN
59
Cisco ASA
Model 5510
• Kompletne rozwiązanie bezpieczeństwa
• Do:
–
–
–
–
32,000/64,000 jednoczesnych sesji
200Mbit/s ruchu nieszyfrowanego
100Mbit/s ruchu szyfrowanego
100Mbit/s ruchu poddawanego inspekcji IPS przez
moduł
– 150 sesji IPsec VPN
•
•
•
•
256MB RAMu
Opcja obsługi do 10 VLANów
Opcja Active-Standby
Wsparcie dla SSL VPN
60
Cisco ASA
Model 5520
• Do:
–
–
–
–
–
•
•
•
•
•
130,000 jednoczesnych sesji
200Mbit/s ruchu nieszyfrowanego
100Mbit/s ruchu poddawanego inspekcji IPS przez moduł
750 sesji IPsec VPN
512MB RAMu
10 kontekstów bezpieczeństwa
25 VLANów
Wsparcie dla AA FO
Wsparcie dla SSL VPN
61
Cisco ASA
Model 5540
• Do:
–
–
–
–
–
•
•
•
•
•
280,000 jednoczesnych sesji
400Mbit/s nieszyfrowanego ruchu
200Mbit/s ruchu poddawanego inspekcji IPS przez moduł
5000 sesji IPsec VPN
1024MB RAMu
50 kontekstów bezpieczeństwa
50 VLANów
Wsparcie dla AA FO
Wsparcie do 2500 SSL VPN
62
Budowa
•
•
•
•
•
•
Cztery porty 10/100/1000
Port do zarządzania
Slot na karty rozszerzeń
2 porty USB
Pamięć Flash
Zasilacz AC lub DC
Bez HDD
Rozmiar 1 U
63
Karta SSM
• Wysokowydajne moduły przeznaczone do
świadczenia usług IPS:
– ponad 1000 sygnatur
– anomalie w ruchu
– silnik regexp
•
•
•
•
Rozwiązania oparte o Linuksa
Port 10/100/1000 do diagnostyki
Oparte o flash
Pracują w oparciu o kod IPS 5.0, w trybie in-line lub
podsłuchu ruchu
• Zarządzalne przez CLI (sesje) lub ADSM
64
Karta SSM
• SSM 10:
–
–
–
–
Procesor 2.0GHz
Pamięć 1GB RAM
Flash 256MB
Cache 256MB
• SSM 20:
–
–
–
–
Procesor 2.4GHz
Pamięć 2GB RAM
Flash 256MB
Cache 512MB
65
Cisco ASA
Po co SSM?
• Dla HTTP:
– kod PIX 7.0 obejmuje kontrolę tylko 18 dopuszczonych metod
– SSM-AIP umożliwia elastyczne dodawanie nowych
• URI w HTTP:
– kod PIX 7.0 sprawdza długość (wartość całkowitą)
– SSM-AIP wykrywa naruszenia na podstawie nie tylko długości ale
też w kontekście tego co się dzieje w sieci
• Ruch inny niż dozwolony (tunelowanie):
– kod PIX 7.0 pozwala lub nie na tunelowanie ruchu
– SSM-AIP pozwala wskazać konkretne protokoły, które będą/nie
będą mogły być tunelowane
• SSM może pracować w różnych trybach: in-line i promiscuous
66
Karta SSM
•
•
•
Moduł AIP SSM realizuje zaawansowane funkcje IPS
Pakiety przesyłane są do SSM tuż przed samym
wyjściem z interfejsu (tuż po zastosowaniu polityk) np.
pakiety blokowane przez ACL nie zastaną poddane
inspekcji
Konfiguracja AIP SSM:
–
–
•
identyfikacja ruchu na ASA który ma trafić do modułu
konfiguracja SSM- ustanowienie polityk
Sposoby połączenia z SSM
–
–
–
z ASA za pomocą komendy session
z interfejsu zarządzającego przez Telnet / SSH
ASDM
67
Karta SSM
Ruch
wejściowy
promiscous
Moduł VPN
Moduł FW
inline
SSM-AIP
hostname(config-pmap-c)# ips {inline | promiscuous} {fail-close | fail-open}
inline- każdy pakiet zostaje wysłany i poddany inspekcji poprzez SSM
promiscous- wysyła kopie ruchu do SSM
fail-close- blokada ruchu podczas niedostępności SSM
fail-open- przepuszczenie ruchu podczas niedostępności SSM
68
Karta SSM
Przykład: poddanie inspekcji całego ruchu IP w trybie
promiscuous, podczas awarii SSM ruch ulega
blokadzie
hostname(config)# access-list IPS permit ip any any
hostname(config)# class-map my-ips-class
hostname(config-cmap)# match access-list IPS
hostname(config-cmap)# policy-map my-ids-policy
hostname(config-pmap)# class my-ips-class
hostname(config-pmap-c)# ips inline fail-close
hostname(config-pmap-c)# service-policy my-ips-policy global
69
Brak Karty SSM
IP Audit
• Wsparcie dla podstawowej
funkcjonalności IPS, dla ASA nie
posiadającej AIP SSM realizowane
jest za pomocą IP audit.
• mała ilość sygnatur
• hostname(config)# ip audit
name name info [action [alarm]
[drop] [reset]]
• alarm- system wysyła
komunikat
• drop – odrzuca pakiet
• Reset - odrzuca pakiet i
zamyka sesje
ip audit name IDS attack action/
alarm drop reset
ip audit name IDS_info info action/
alarm
!
ip audit interface outside IDS_info
ip audit interface outside IDS
ip audit interface inside IDS_info
ip audit interface inside IDS
!
ip audit info action alarm
ip audit attack action alarm drop
ip audit signature 2000 disable
70
Koncentratory VPN 3000 - migracja w
stronę ASA
ASA wyróżnia się następującymi cechami:
• zapewnia funkcjonalność porównywalną z koncentratorami
VPN 3000 włączając w to WebVPN (z wersji 4.1)
• posiada szybsze interfejsy (do 4 x 10/100/1000 + 1 x
10/100) i posiada sloty na dodatkowe karty
• korzystanie z CLI na bazie systemu IOS, nowe komendy
• wydajność jest większa w porównaniu z koncentratorami VPN
3000
• dodatkowa funkcjonalność firewall i IPS
• w przeciwieństwie do koncentratorów VPN 3000 nie wspiera
L2TP, L2TP over IPSec i PPTP
• w przeciwieństwie do koncentratorów VPN 3000 wymagana
licencja na algorytmy enkrypcji ponad DES (za darmo)
• AAA- tunel grupy , jedna domyślna policy grupa, w VPN 3000
są natomiast base grupy i customize grupa
71
VPN SSL
•
•
•
•
ustanowienie bezpiecznego
tunelu VPN do ASA za pomocą
przeglądarki WWW
nie jest wymagane posiadanie
przez klienta żadnego
dodatkowego oprogramowania
wykorzystywany protokół SSL i
TSL
dostęp do następujących zasobów:
• aplikacji opartych o protokół HTTP
• udostępnianie plików NT/Active
Directory
• email proxy POP3S, IMAP4S, SMTPS
• MS Outlook przez WWW
• MAPI
• pozostałe aplikacje pracujące przez TCP
(forwardowanie portów)
72
Agenda
1.
2.
3.
4.
PIX 7.0
Cisco IPS 4200
Cisco IOS Security
73
Bezpieczny styk z Internetem,
Cisco IPS 4200
Akademia Golfa - III
edycja Stryków, 15-16
września 2005
Tytuł prezentacji
74
Wprowadzenie do systemów IPS
Systemy IDS (Inrusion Detection Systems):
• Pasywna „ochrona” polegająca na monitorowaniu
ruchu sieciowego
• Monitorowanie ruchu na podstawie ogladania jego
kopii (np. podłączone do switcha z port-mirroringiem)
• Zapewniały dodatkowy wgląd w ruch sieciowy
• Głównie generowały alarmy o zagrożeniach do Syslog
serwera bądź NMS
• Były oferowane jako IOS IDS oraz dedykowane
sprzętowe appliance
75
76
Systemy IPS (Inrusion Protection Systems):
• Znacząca poprawa bezpieczeństwa poprzez wykrycie,
sklasyfikowanie oraz powstrzymanie zagrożeń
wliczając robaki, spyware/adware, wirusy, nadużycia
aplikacyjne
• Umiejscowienie in-line urządzenia
• Mniej alarmów false positive
• Wyższa wydajność i skalowalność
77
78
Systemy IPS c.d.:
• Działanie w warstwach 2 – 7 modelu OSI
• Sprawne przechwytywanie ruchu (min. opóźnienia)
• Sprawne zarządzanie
• Korelacja zdarzeń:
– MARS (Monitoring, Analysis and Response System)
– CW SIMS (CW Security Information Management Solution)
• Usługi wsparcia
79
Systemy IPS c.d.:
• Usługi wsparcia:
–
–
–
–
–
–
Dostęp do nowych sygnatur dla IPS (Cisco Services for IPS)
Dostęp do aktualizacji systemu operacyjnego
Dostęp do TAC
CCO i Knowledgnet
Cisco ICS (Incident Control System)
Active Updates Notifications
80
Cisco ICS – Incident Control System:
• Narzędzie dystrybucji najnowszych definicji zagrożeń
• Ścisła współpraca z Trend Micro
• Nowo opracowane definicje pobierane bezpośrednio z Trend Micro na
dedykowany serwer (tylko) dla oprogramowania Cisco ICS. Serwer nie
posiada innej funkcjonalności.
• Aktualizacje są „wypychane” do urządzeń linii ochrony:
–
–
–
–
•
•
•
bazujące na systemie IOS Security feature set
IPS serii 4200
IDSM2 blade dla Catalyst 6500
ASA serii 5500
Na każde urządzenie ochrony przypada jedna licencja
Urządzenie musi posiadać ważny kontrakt Cisco Services for IPS
(możliwość pobierania sygnatur)
Alternatywa dla ICS: manualne aktualizowanie sygnatur (kłopotliwe)
81
Cisco ICS – Licencjonowanie:
• Dwa typy licencji: Low-End oraz High-End
• Urządzenia kategorii High-End:
– Routery serii 3800 oraz 7200 z IOS 12.4(4)T
– IPS 4235, -40, -50, -50XL, -55 z IPS v5.1
– ASA seria 5500 z ASA v7.0/IPS v5.1
• Urządzenia kategorii Low-End:
– Routery serii 800, 1700, 1800, 2600XM, 3700 z IOS 12.4(4)T
– IPS 4215 z IPS v5.1
• Wszystkie licencje ważne przez 1 rok
82
Cisco ICS – Part Number:
• ICS-SVR-V10-K9 – oprogramowanie ICS
• ICS-LIC-IPS-HE-1 - ICS License: IPS Service for highend devices, 1 szt.
• ICS-LIC-IPS-LE-5 - ICS License: IPS Service for lowend devices, 5 szt.
83
Active Updates Notifications:
• Lista informująca o nowych zagrożeniach
84
85
Tryby pracy:
• Promiscuous Mode:
– Pakiety nie przepływają przez IPS bezpośrednio
– Urządzenie analizuje tylko kopię ruchu (np. port-mirroring na
switchu)
• Zalety:
– IPS nie wpływa w żaden sposób na ruch pakietów (opóźnienia)
• Wady:
– IPS nie jest w stanie zatrzymać typów ataków na które składają się
pojedyncze pakiety (atomic attacks)
– Reakcje podejmowane przez urządzenie w przypadku wykrycia są
typu: post-event (po fakcie)
– IPS nie jest w stanie na czas zmodyfikować list ACL na innych
urządzeniach
– Zapewnienie bezpieczeństwa wymaga reakcji innych urządzeń
(firewalli, routerów, systemów IPS działających inline itp.)
86
Tryby pracy – Promiscuous Mode:
87
Tryby pracy:
• In-Line Mode:
– IPS stoi dokładne na ścieżce przepływu pakietów w sieci
• Zalety:
– Urządzenie jest w stanie zablokować atak zanim dosięgnie
on maszynę docelową
– „Kopiowanie” ruchu z interfejsu wejściowego na wyjściowy
pary in-line tylko wtedy gdy nie narusza on polityk
bezpieczeństwa
– Pełna, aktywna analiza ruchu w warstwach 2 – 7 (OSI)
• Wady:
– Dodanie minimalnych opóźnień
88
Tryby pracy – In-Line Mode:
89
Tryby pracy:
• Bypass Mode:
– Tryb obejścia wszystkich procesów systemu IPS
– Przepuszczanie ruchu przez interfejsy w trybie in-line bez
inspekcji
– Wykorzystywany podczas prac serwisowych urządzenia
(aktualizacje oprogramowania itp.)
– Wyjście awaryjne w sytuacji gdy praca procesów
monitorujących ulegnie awarii
– Bypass: On, Off, Automatic (domyślny)
• Tryb bypass działa TYLKO(!) przy podtrzymywanym
zasilaniu urządzenia! (software)
90
Metody detekcji – Pattern Matching:
• Najbardziej podstawowa – porównywanie stałego (fixed) ciągu,
sekwencji bitów w pojedynczym pakiecie
• Dopasowywanie różnych kombinacji adresów w pakiecie
(źródł/cel)
• Dopasowywanie kombinacji adres/port/usługa
• Kombinacje flag TCP
• Metoda prosta, niepraktyczna (wiekszość ruchu to strumienie
nie pojedyncze pakiety), łatwa do ominięcia
Metody detekcji – Stateful Pattern Matching:
• Rozwinięcie P-M ponieważ brany jest pod uwagę kontekst
ustanowionej sesji (zamiast poj. pakiet)
• Atak nie może zostać przemycony w pofragmentowanych
pakietach
• Wymaga alokacji większych zasobów urządzenia
91
Metody detekcji – Protocol Decode (Protocol Anomaly
Detection):
• Pełna analiza protokołu (m.in. warstwy aplikacji jak FTP, SMTP,
HTTP, DNS, RPC, NetBIOS, Telnet i inne)
• „dekodowanie” (wyłuskiwanie) zawartości pakietów oraz ich
analiza w sposób jaki miały ona zostać odczytane przez
aplikację hosta docelowego
• Dekodowanie poprzez zaaplikowanie procedury z RFC
• Typ statefull
• Potrafi szybciej ukazać anomalnie w pakiecie niż przeszukiwanie
bazy sygnatur oraz wykryć ataki bazujące na modyfikacji już
istniejących (dla których nie istnieją jeszcze sygnatury)
92
Metody detekcji – Heuristic Analysis:
• Użycie algorytmów logiki
• Statystyczne szacowanie ruchu sieciowego
• Różne reakcje w różnych sieciach ze względu na ich własną
(różną) specyfikę ruchu
• Często są przyczyną dużej ilości generowanych false-positive
Metody detekcji – Anomaly Analysis:
• Ignorowanie z założenia wszystkiego co jest uznane za
„normalny” ruch sieciowy
• Wszystko co odstaje od przyjętych wcześniej norm jest
uznawane za „wtargnięcie” (intrusion)
• Charakterystyczne dla IDS’ów
• Duża skłonność do generowania fałszywych alarmów
• Zaletą jest zdolność wykrywania wcześniej niezidentyfikowanych
ataków
93
Layer 2-detection:
• Wykrywa ataki warstwy 2 modelu OSI
• Dominujące ataki dla środowisk przełączanych typu
ARP (man-in-the-middle)
Polityki bezpieczeństwa dla aplikacji:
• Głęboka inspekcja szerokiej gamy aplikacji:
–
–
–
–
Peer-to-peer
Instant messaging (IM)
Aplikacje tunelowane przez port 80
Opieranie polityk bezpieczeństwa o MIME
94
Risk-Rating:
• Dokładniejsze określenie rzeczywistego zagrożenia
(konfigurowany dla danej sygnatury)
• Przyjmuje wartości od 0 do 100 reprezentujące numeryczną
„kwalifikację” ryzyka powiązanego z konkretnym event’em
• Obliczane na podstawie czterech składników:
– Event severity: modyfikowalne przez usera wskazanie stopnia
zagrożenia powodowanego danym eventem
– Signature fidelity: konfigurowalna wartość określająca dokładność
konkretnej sygnatury
– Target asset value: przyznawanie „ważności” dla potencjalnego
celu ataku
– Attack relevancy: wewnętrzna wartość bazująca na podatności
potencjalnego celu ataku na dany typ ataku
95
MEG – Meta Event Generator:
• Zaprojektowany aby sprawnie identyfikować robaki. MEG
wyodrębnia model zachowań robaków, który koreluje z:
– czasem między eventami
– modelem zachowań sieciowych
– zachowaniami exploitów
• Efekt – podwyższona skuteczność w wykrywaniu i blokowaniu
robaków.
• Korelacja alarmów robaków wykorzystujących wiele luk
• Wykrywanie zdarzeń sugerujących rozprzestrzenianie się
robaków w sieci
• Odpowiednie modelowanie Risk-Ratingu
• Połączenie różnych algorytmów wykrywania (hybryda) mające
na celu zwiększenie czułości urządzenia
96
MEG – Meta Event Generator (c.d.):
97
MEG – Meta Event Generator (c.d.):
• Przykład: Nimda – robak wykorzystujący
jednocześnie kilka podatności podczas propagacji w
sieci
• Wszystkie alarmy prawdopodobnie włączą się w
krótkim okresie czasu
• Propagujący robak w sieci może generować na IPSie
eventy o różnej ważności w jednostce czasu.
• Przy pomocy MEG możliwe jest stworzenie „logiki”
traktującej wysyp powyższych alarmów jako
zdarzenie (event) powiązane z jednym robakiem –
Nimda
98
MEG – korelacja zdarzeń:
99
Reakcje na zdarzenia – Event Actions:
• Produce Alert
– wypisanie alarmu
• Produce Verbose Alert – j.w. z powodującym to pakietem
• Deny Attacker Inline
– odrzuca pakiety pochodzące od tego samego
adresu przez określony czas
• Deny Connection Inline – odrzuca pakiety pochodzące z sesji TCP od
tego samego hosta
• Deny Packet Inline
– odrzuca pojedynczy pakiet
• Log Attacker Packets – zapisuje pakiety pochodzące od atakującego
• Log Pair Packets
– zapisuje pakiety zawierające kombinację
adresów atakujący-ofiara
• Log Victim Packets
– zapisuje pakiety zaw. adr. Ofiary
• Reset TCP Connection – wysyła TCP reset
• Request SNMP Trap
– powiadomienia SNMP do aplikacji zewn.
• Request Block Connection – zapytanie do Network Access Controller’a o
zablokowanie danego połączenia
• Request Block Host
– j.w. (NAC) blokowanie danego hosta
100
Agregacja zdarzeń – Event Aggregation:
• Simple mode – wartość progowa „trafień” dla danej
sygnatury zanim zostanie wysłany alarm
• Time-interval – wartość progowa ilość trafień / czas
• Opcje agregacji:
– Fire All – wysyła alarm za każdym trafieniem
– Summary – wysyła alarmy co interwał sumaryzacyjny
101
Sygnatury:
• Atomic: wywoływane przez pojedynczy pakiet, nie
wymagały alokacji zasobów urządzenia. Trywialne
ataki (komendy FTP, DoS, port sweep, itp.)
• Compound: wywoływane przez przepływ (flow)
pakietów w dłuższym okresie czasu, do wielu hostów.
Służą wykrywaniu złożonych ataków. Przy tego typu
sygnaturach wymagana jest alokacja pamięci dla
podtrzymania stanu sesji.
• Ilość włączonych sygnatur oraz charakterystyka
ruchu sieciowego (np. ruch szyfrowany) ma istotny
wpływ na wydajność urządzenia.
102
Sygnatury c.d.:
• Ponad 1000 domyślnie wbudowanych sygnatur (5.0)
• Nie można zmieniać nazw bądź usuwać sygnatur wbudowanych
• Sygnatury wbudowane można „dostrajać” (tunned signatures)
• Możliwe definiowanie własnych sygnatur (custom signatures) o
identyfikatorach 60000 – 65000
• AIC Signatures – Application Inspection and Control (Web &
FTP) ochrona ruchu w warstwach 4 – 7 OSI:
– HTTP request (IDs 12676 – 12712)
– MIME (IDs 12621 – 12673)
– usługi FTP (IDs 12900 – 12933)
103
Dodatkowo IPS v5.1:
• GRE Inspection - Sensor jest w stanie dokonać inspekcji
enkapsulowanego ruchu protokołu GRE.
• AV Engine - Dedykowany engine AV (współpraca z Trend Micro)
zapewniający ochronę przed robakami, wirusami oraz innym
złośliwym kodem.
• IP in IP inspection – Zdolność inspekcji ruchu tunelowanego „IP
w IP” (mobile IP).
• Rate-limiting: Możliwość ograniczania określonego typ ruchu
sieciowego na samym IPS-ie oraz routerach IOS.
• IPv6 Inspection – Inspekcja ruchu protokołu v6.
• Etherchannel Load Balancing – Podniesienie wydajności do kilku
Gbps oraz opcje redundancji.
104
Porównanie modeli
Modele End-of-Sale:
• Cisco IDS 4210
• Cisco IDS 4220
• Cisco IDS 4230
• Cisco IDS 4235
• Cisco IDS 4250
Modele niedostępne w
sprzedaży
Nowe modele:
• Cisco IDS 4215
• Cisco IDS 4240
• Cisco IDS 4255
• Cisco IDS 4250 XL
105
Porównanie modeli
Nowe modele:
• Pracują w oparciu o „utwardzoną” wersję Linuxa z
dedykowanymi sterownikami i bibliotekami
• Sprawdzona, dojrzała wersja jądra 2.4.26-IDS
• Duże możliwości w filtrowaniu pakietów (iptables)
• Kernel przygotowany na obsługe wielu CPU
• System plików EXT3-fs (journaling)
• Implementacja powszechnie znanego interfejsu CLI
• Moduły dostępne dla Catalyst 6500
106
Porównanie modeli
Cisco IDS 4215:
• Wydajność 80Mbps (passive) oraz
65Mbps (in-line)
• Środowiska T1 i T3
• Docelowo dla SMB
• Dostępny jako 1 RU oraz moduł
sieciowy (NM) do rozbudowy urządzeń
• P/N appliance: IDS4215-CSA-BUN-K9
• P/N moduł: NM-CIDS-K9-CSA
• SMARTNet appl.: CON-SNT-IDS4215B
• SMARTNet mod.: CON-SNT-NMCIDSK9
107
Porównanie modeli
Cisco IDS 4240/4255:
• Wydajność 250Mbps (passive) oraz 250Mbps (in-line) - 4240
• Wydajność 600Mbps (passive) oraz 500Mbps (in-line) - 4255
• 1 RU
• 4 porty 10/100/1000BASE-TX– możliwa różnorodna (mieszana)
konfiguracja:
•
•
•
•
– 2 x para in-line
– 1 para in-line, 2 porty passive
– 4 porty passive
Opcjonalnie dodatkowe 4 porty 1000 BASE-SX
1 interfejs do zarządzania 10/100BASE-TX
Automatyczny software-owy bypass (fail-open/fail-closed)
Wymagany opcjonalny sprzęt „third-party” do fail-open przy
braku zasilania bądź awarii hardware-u
108
Porównanie modeli
Cisco IDS 4240/4255 c.d.:
• Modyfikowanie wpisów ACL na routerach/switchach
• Możliwość zasilania DC
• Brak redundantnego zasilania
• Engine ochrony środowisk VoIP
• Technologie inspekcji aplikacyjnych (OSI 7 layer)
• Inspekcja pakietów w MPLS
• P/N: IPS-4240-DC-K9 dla 4240
• P/N: IPS-4255-K9 dla 4255
• Upgrade Path: Jest następcą modelu 4235
109
Porównanie modeli
Cisco IDS 4240:
110
Porównanie modeli
Cisco IDS 4250 XL (różnice z 4240/4250):
• Wydajność 1000Mbps (passive), 800Mbps (in-line)
• 2 porty 1000BASE-SXOpcjonalnie dodatkowe 4 porty
1000 BASE-SX
• 1 interfejs do zarządzania 10/100/1000 BASE-TX
• Redundantne zasilanie
• Wymagany opcjonalny sprzęt „third-party” do failopen przy braku zasilania bądź awarii hardware-u
• P/N: IDS-4250-XL-K9
111
Metody zarządzania
Dostępne metody zarządzania:
• CLI
• Cisco IPS Device Manager
• CiscoWorks VMS
112
Metody zarządzania
CLI:
• Funkcjonalne środowisko linii komend znane z Cisco
IOS Software
• Konfiguracja urządzenia zdalnie poprzez SSH/telnet
• Lub bezpośrednio poprzez konsolowe połączenie z
sensorem
113
Metody zarządzania
114
Metody zarządzania
IPS Device Manager - IDM:
• Webowa aplikacja oparta na Javie rezydująca na
samym sensorze
• Bezpieczny dostęp po TLS/SSL
• Aplikacja przeznaczona do zarządzania pojedynczym
urządzeniem
• Oferuje podstawowe funkcje alertowania,
monitoringu
• UWAGA: Należy zwiększyć dostępny obszar pamięci
dla sterty (heap) apletów Java do 256MB!
• Wymaga JRE w wersji minimum 1.4.2
115
Metody zarządzania
116
Metody zarządzania
117
Metody zarządzania
118
Metody zarządzania
119
Metody zarządzania
120
Metody zarządzania
CiscoWorks VMS:
• Kompleksowe narzędzie nadzoru i zarządzania
korporacyjną infrastrukturą bezpieczeństwa.
• Pogląd na wszystkie zdarzenia w środowisku
• Pojedyncza konsola do zarządzania (FW,VPN,IPS...)
• Zaawansowane zarządzanie polityką bezpieczeństwa
121
Metody zarządzania
122
Metody zarządzania
123
Aktualizacja oprogramowania
Przed aktualizacją:
• Backup konfiguracji
• Zrzut z show version (na wypadek potrzeby
downgrade’u)
• Downgrade przy pomocy komendy downgrade z
wersji 5.0 na 4.x nie jest możliwy.
• IDS 4210 upgrade pamięci do 512MB
• IDS 4215 upgrade BIOS
124
Aktualizacja BIOSu:
• Procedura:
–
–
–
–
–
–
–
rommon>
rommon>
rommon>
rommon>
rommon>
rommon>
rommon>
interface port_number
address ip_address
server ip_address
gateway ip_address
ping server
file IDS-4215-bios-5.1.7-rom-1.4.bin
tftp
• Samoczynny reboot po zakończeniu aktualizacji
125
Aktualizacja z 4.x do 5.0:
• Bezpośredni upgrade z 4.0 do 5.0 nie jest możliwy
• Zwrócenie błędu „Error: AnalysisEngine is not
running.”
• Należy dokonać upgradu z 4.0 -> 4.1 -> 5.0
• Możliwe jest przeprowadzenie re-image’u
bezpośredniu do wersji 5.0 przy pomocy obrazu pliku
systemu operacyjnego
• Konfiguracja zostaje zachowana (błędy podczas jej
translacji są na bieżąco raportowane)
• Od wersji 5.0 wymagane jest posiadanie licencji aby
aktualizować sygnatury
126
127
128
129
130
131
132
Nazewnictwo:
• IPS-4215-K9-sys-1.1-a-5.0-2.img:
–
–
–
–
–
–
4215 – platforma sprzętowa
K9 – crypto software
sys – obraz systemu
1 – numer wersji major
.1 – numer wersji minor
a-5.0-2 – service pack 2
• IPS-sig-S195-minreq-5.0-1.pkg:
– sig – sygnatura
– S195 – numer sygnatury
– minreq-5.0-1 – wymagana wersja obrazu systemu
133
• Aktualizacja:
– FTP
– SCP
– HTTP
134
Stosowanie licencji:
• Licencja jest niezbędna do dokonywania aktualizacji
sygnatur (od wersji 5.0)
• Aby otrzymać licencję należy posiadać ważny
kontrakt Cisco Service for IPS
• Możliwe otrzymanie 60-dniowej licencji „awaryjnej”
(zagubione dokumenty itp.)
135
www.cisco.com/go/license/
• Wymagana znajomość Serial Number urządzenia
(show version)
136
137
138
Zarządzanie plikiem licencyjnym:
• IPS Device Manager – IDM: operacje na licencji
bezpośrednio z poziomu aplikacji
• CLI:
sensor# copy ftp://[email protected]://ftpdir/dev.lic license-key
Password: *****
sensor# copy license-key ftp://[email protected]://ftpdir/dev.lic
Password: *****
139
Wstępna konfiguracja
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
Automatyczne aktualizacje
159
Agenda
1.
2.
3.
4.
PIX 7.0
Cisco IPS 4200
Cisco IOS Security
160
Wprowadzenie
161
Wprowadzenie
• Uproszczenie wyboru:
– Łatwiejsze „zlokalizowanie” w katalogu wersji, odpowiedniej
dla danego klienta. Oszczędność czasu i energii.
• Ujednolicene oferty:
– Oprogramowanie o tej samej funkcjonalności oferowane na
wszystkie platformy sprzętowe oparte na systemie IOS.
• Ustandaryzowanie nazewnictwa:
– Zwięzłe i intuicyjne nazewnictwo wersji oprogramowania.
Nazwa zastępuje długie nazwy kodowe.
162
Linie funkcjonalości systemu IOS
163
164
Ścieżki aktualizacji
Możliwe do obrania ścieżki aktualizacji
• Ścieżka „stabilności”:
– Aktualizacje mają na celu eliminacje potencjalnych,
wykrywanych w przyszłości błędów w oprogramowaniu
– Nowe, dostępne funkcje nie są implementowane
• Ścieżka „funkcjonalności” (T):
– Aktualizacje naprawiają wykryte błędy w oprogramowaniu
– Nowa funkcjonalność jest implementowana wraz z każdym
nowym release’m oprogramowania
– Wsparcie dla najnowszego sprzętu
165
166
167
Cisco IOS Security
• IOS NAC – Network Admission Control
– Wsparcie dla routerów dla rozwiązania NAC
powstrzymującego zagrożenia przed wtargnięciem do sieci
– Umożliwia sprawdzenie zgodności użytkowników z politykami
bezpieczeństwa (system AV, platforma sprzętowa) i nadanie
odpowiednich uprawnień
– Niezgodne urządzenia: odmowa dostępu, restrykcyjne prawa
dostępu, kwarantanna
– Decyzja o dostępie podejmowana na podstawie: obecności
ochrony AV, poziom „łatek” systemu operacyjnego itp.
– IOS NAC jest w stanie zidentyfikować oraz izolować
niechronione bądź zainfekowane stacje klienckie
168
Cisco IOS Security
• Komponenty Cisco NAC:
– Cisco Trust Agent: oprogramowanie zbierające informacje
dot. bezpieczeństwa na stacjach klienckich. Wyniki
przekazywane do urządzenia dostępowego IOS NAC
– Urządzenie dostępowe (IOS) NAC (np. routery, access
serwery): pośredniczą w wymianie informacji z serwerami
polityk bezpieczeństwa
– Serwery polityk (Cisco ACS): szacują otrzymane
informacje o stanie bezpieczeństwa stacji klienckich i
podejmują decyzję o ew. przypisaniu odpowiedniej polityki
praw dostępu
– System zarządzania (CW VMS + SIMS): VMS –
zarządzanie urządzeniami NAC, SIMS – monitoring i
raportowanie
169
Cisco IOS Security
170
Cisco IOS Security
• AutoSecure Rollback & Logging:
– AutoSecure oferowała szybką implementację bezpieczeństwa
na urządzeniu pojedynczą komendą (one-touch lock-down)
– AutoSecure Rollback umożliwia przywrócenie stanu
konfiguracji sprzed wykonania komendy A-S
– Dwa tryby:
• Automatic – zmiany zostaną wycofane jeśli AutoSecure nie
powiedzie się
• Manual – wywołanie komendy z CLI w celu przywrócenia
konfiguracji sprzed AutoSecure
– Logging: inicjuje wiadomości syslog-a po każdym
wykonaniu zestawu komend AutoSecure
171
Cisco IOS Security
• Call Admission Control dla IKE
– Zwiększa stabilność tuneli VPN
– Zmniejsza użycie zasobów routera ograniczając ilość
jednoczesnych przychodzących oraz wychodzących
requestów IKE
configure terminal
crypto call admission limit ike sa 30
crypto call admission limit 20 (procent
zasobów)
172
Cisco IOS Security
• Role-Based CLI Access
– Możliwe przypisanie użytkownikowi dostępu do wybranego
zestawy komend – tzw. „widoki” (views)
– Podniesienie bezpieczeństwa: zmniejszone ryzyko
przypadkowej zmiany konfiguracji urządzenia przez
niepowołanych użytkowników, ograniczenie dostępu tylko do
niezbędnych informacji
– Użytkownicy „widzą” tylko wcześniej im przypisane, porty,
komendy.
– Przydział użytkownikom odpowiednich zadań – podział na
role
– Bardziej elastyczne rozwiązanie w porównaniu do „privilege
level”
173
Cisco IOS Security
# enable view (włącza root view)
(config)# configure terminal
(config-view)# perser view MY_VIEW
(config-view)# secret 5 HaSlO123
(config-view)# commands exec include
(config-view)# commands exec exclude
# show parser view
...
# enable view MY_VIEW
password:_
...
show version
interface Fa0/0
all router
router ospf
174
Cisco IOS Security
• IOS IPS
– Wykorzystuje istniejącą infrastrukturę sprzętową (investment
protection)
– Zapewnia największą skuteczność w połączeniu z Cisco IOS
Firewall, VPN oraz Network Admission Control
– Wspierane przez wydajne oraz łatwe w użyciu narzędzia
Cisco Router and Security Device Manager (SDM) i
CiscoWorks VPN/Security Management Solution (VMS)
– W przeciwieństwie do IDS’ów (post-event) działa
proaktywnie!
175
Cisco IOS Security
• IOS IPS
– In-Line, inspekcja pakietów podnosi zdolności zapobiegania i
rozprzestrzeniania ataków
– Szybka implementacja ochrony bez przerw w pracy sieci
– Ponad 1200 sygnatur ataków
– Możliwość dostrajania sygnatur do własnych potrzeb
– Tworzenie nowych sygnatur
– Akcje:
• Alarm
• Drop
• Reset
176
Cisco IOS Security
177
Cisco IOS Security
• IOS IPS
– Oparcie o SME (signature micro-engine) jako zastawu
„silników” do przetwarzania różnych kategorii sygnatur
– Każda kategoria (engine) sygnatur, sprawdza ruch sieciowy
tylko pod kątem danych dla tej kategorii (protokołu), typów
ataków (np. sygnatury HTTP podlegają pod Service.HTTP
engine)
– Definicje sygnatur przechowywane w plikach SDF
– Łatwa aktualizacja sygnatur poprzez SDM
– Pakiety sygnatur dla platform wyposażonych w >64MB,
>128MB oraz >256MB pamięci RAM
178
Cisco IOS Security
• IOS IPS - SME
– Każdy SME dokonuje inspekcji wybranego (rozumianego przez
siebie) protokołu pod kątem dozwolonych komend, wartości,
zapytań itp.
– Wyrażenia regularne (regular expressions) stanowią systematyczne
podejście do wyszukiwania wzorców w ciągach bajtów
– Skanowanie równoległe sygnatur (każdy SME przeszukuje swoje
sygnatury jednocześnie)
– Od wersji 12.3(14)T dostępnych jest 14 SME
• IPS rozszerzenia sygnatur:
– Dodanie SME (signature microengine) dla protokołów TCP, UDP
oraz ICMP do listy wspieranych już SME.
– Wsparcie ponad 1275 sygnatur
– Ochrona m.in. przed:
• TCP: Agobot, Blaster, Netsky, MyDoom, Phatbot i inne
• UDP: Blaster, GaoBot, Phatbot, Slammer
• ICMP: Nachi
179
Cisco IOS Security
• IOS IPS – Sygnatury
–
–
–
–
–
Pliki SDF (XML) zawierają definicje i konfiguracje sygnatur
Przechowywane lokalnie (flash) bądź zdalnie (TFTP, FTP, SCP, RCP)
128MB.sdf zawiera 300 sygnatur
256MB.sdf zawiera 500 sygnatur
Oba zawierają sygnatury korzystające z STRING (TCP, UDP, ICMP)
engine’ów wprowadzonych wraz z wersją 12.3(14)T!
– Tylko domyślny zestaw sygnatur attack-drop.sdf posiada
włączone akcje: alarm, drop, reset
180
Cisco IOS Security
181
Cisco IOS Security
182
Cisco IOS Security
183
Cisco IOS Security
184
Cisco IOS Security
185
Cisco IOS Security
186
Cisco IOS Security
187
Cisco IOS Security
188
Cisco IOS Security
189
Cisco IOS Security
• IOS IPS – Scalanie plików sygnatur
! Scalanie sygnatur wbudowanych z dodanymi
Router# copy flash:attack-drop.sdf ips-sdf
!
! Zapisanie scalonego pliku
Router# copy ips-sdf flash:moje-sygnatury.sdf
!
! Wskazanie routerowi aby używał nowego pliku sygnatur
Router# ip ips sdf location flash:moje-sygnatury.sdf
!
! Ponowne zainicjalizowanie IPS’a (aby wgrał nowe sygnatury)
Router# configure terminal
Router(config)# interface FastEthernet0/0
Router(config-if)# no ip ips MOJ_IPS in
Router(config-if)# ip ips MÓJ_IPS in
190
Cisco IOS Security
•
Security Device Event Exchange
– Nowy standard określający format
wiadomości i protokół użyty do
komunikowania zdarzeń przez
urządzenia zabezpieczające.
– SDEE jest elastyczny, wielu
producentów jest w stanie zapewnić
kompatybilność (propozycja
TrueSecure).
– Kompatybilność umożliwia posiadanie
jednego interfejsu zarządzającego
sensorami różnych marek.
– SDEE używa mechanizmu „pull” –
zapytania pochodzą od aplikacji
zarządzającej.
configure terminal
ip ips notify sdee
ip sdee events 200
191
Cisco IOS Security
• Securty and Router Device Manager 2.0:
• Oferuje wsparcie dla:
–
–
–
–
–
–
Inline IPS
Role-Based Router Access
Easy VPN Server i AAA
Cyfrowe certyfikaty dla VPN IPSec
Diagnozowanie połączeń VPN oraz WAN
Konfigurację polityk QoS
192
Cisco IOS Security
• Login Lockout:
– Konfigurowalna, ograniczona ilość prób logowania
– Po wyczerpaniu limitu konieczna interwencja Administratora
w celu odblokowania konta
– Lokalna baza AAA przechowuje informacje o zablokowanych
kontach (nie zewnętrzny serwer)
– Ustawienie per-box (jednolite dla urządzenia)
– Poprawa bezpieczeństwa na urządzeniu
– Zgodność z EAL4
configure terminal
security authentication failure rate 5 log
193
Cisco IOS Security
• IOS Firewall HTTP Inspection Engine:
– Wprowadzenie Advanced Application Inspectiona and
Control (AIC)
– Zezwolenie na przepuszczanie ruchu web-owego tworzy
lukę dla aplikacji typu (IM) instant messaging
– HTTP Inspection Engine wymusza zgodność ruchu z
protokołem eliminując zagrożenia płynące z „tunelowania”
innego ruchu niż HTTP przez port 80
• Wykrywa anomalie protokołu
• Wymusza ścisłą zgodność z RFC
• Zapewnia filtrowanie MIME oraz sprawdzanie zawartości
194
Cisco IOS Security
configure terminal
appfw policy-name MY_APP
application http
strict-http action allow alarm
content-type-verification match-req-resp allow alarm
max-header-length request 1 response 1 action allow alarm
request-method rfc default action allow alarm
port-misuse {p2p|tunneling|im|default} action allow alarm
ip inspect name MY_INSPECT appfw MY_APP
ip inspect name MY_INSPECT http
interface FastEthernet0/0
ip inspect firewall in
show appfw configuration
...
195
Cisco IOS Security
• IOS Firewall Granular Protocol
Inspection:
– Szczegółowa inspekcja protokołów
TCP i UDP dla większości typów
aplikacji.
– Inspekcja pakietów zawierających
porty well-known (RFC 1700) oraz
porty i przedziały portów
zdefiniowane przez użytkownika.
• IOS Firewall Email Inspection
Engine:
– Inspekcja SMTP, Extended SMTP,
POP3 oraz IMAP
– Zapobiega „maskaradzie” protokołu
– Wymusza ścisłą zgodność z RFC
– Wykrywa anomalie protokołów
configure terminal
ip port-map user-8 port udp
from 3300 to 3400 list 23
description CISCO_EXPO_2k5
ip inspect name ABC ?
...
pop3
POP3 Protocol
user-8 CISCO_EXPO_2k5
...
configure terminal
ip inspect name EMAIL pop3
interface serial0/0
ip inspect name EMAIL in
196
Cisco IOS Security
• Tokeny USB:
– Wsparcie IOSa dla tokenów kryptograficznych
(klucze, certyfikaty) i pamięci przenośnych
(konfiguracje) serie 1800 i 2800
197
Cisco IOS Security
• IPSec Virtual Tunnel Interface
–
–
–
–
–
–
Tunele site-to-site
Ruch prywatny - punkty wejścia i wyjścia
Szyfrowanie ruchu multicast-owego
Wsparcie wszystkich protokołów routingu dynamicznego
Wymaga mniej SA do ustanowienia połączenia
Możliwe wykorzystanie bezpiecznych połączeń w konwergentnych
rozwiązaniach (voice, video, data over IP)
198
Cisco IOS Security
• WebVPN:
– VPN oparty o protokół SSL
– System dla niewymagających środowisk, podstawowa
funkcjonalość
– Wykorzystanie przeglądarki bez instalacji rezydującego
oprogramowania na stacjach klienckich
– Dwa tryby:
• Clientless – przeglądanie udostępnionej treści, baz danych webowych narzędzi
• Thin client – rozszerzenie funkcjonalności przeglądarki w celu
umożliwienia dostępu zdalnego dla aplikacji pocztowych POP3,
SMTP oraz IMAP (wymaga praw administratora na stacjach
klienckich). Opiera się na ściąganym aplecie Javy, który stosuje
TCP port-forwarding’u.
199
Cisco IOS Security
200
Cisco IOS Security
configure terminal
(config)# aaa new-model
(config)# aaa group server radius EMAIL-AUTH
(config-server-group)# server 10.1.1.1 auth-port 2 acct-port 3
(config-server-group)# exit
(config)# aaa authentication login default EMAIL-AUTH
(config)# ip domain ciscoexpo.com
(config)# ip name-server 10.1.1.2
(config)# exit
(config)# crypto pki import SSLVPN pkcs12 tftp: SeKrEt
(config)# webvpn enable
(config)# webvpn
(config-webvpn)# ssl encryption 3des-sha1
(config-webvpn)# ssl trustpoint TPoint1
(conifg-webvpn)# port-forward list POP3 local-port 60005
remote-server mail.gmail.com remote-port 25
201
Cisco IOS Security
• Null0 routing - Opiera się na routowaniu w
„próżnię” na bazie adresu docelowego
ip route 6.0.0.0 255.0.0.0 Null0
• Reverse Path Forwarding: Pozwala sprawdzić
adres źródłowy i interfejs którym dotarł pakiet (wpis
w tablicy routingu wskazuje na inny interfejs niż
informacje w samym pakiecie – pakiet
prawdopodobnie został sfałszowany)
interface FastEthernet0/0
ip verify unicast source reachable via {any|rx}
[allow-default]
202
Cisco IOS Security
• W Cisco IOS route-map’y pozwalają na
odseparowanie niepożądanego ruchu z którym listy
ACL nie są w stanie sobie poradzić (pakiety ICMP o
długości od 92 do 96 bajtów)
route-map MY-RT-MAP permit 10
match ip address MY-ACL
match length 92 96
set interface Null0
!
Interface FastEthernet0/0
ip policy route-map MY-RT-MAP
203
Cisco IOS Security
• NetFlow – Top-Talkers
– NetFlow zbiera informacje o ruchu przechodzącym przez router i
eksportuje je do stacji zajmujących się analizą i obrazowaniem tych
danych (adresy IP źródła i celu, porty TCP/UDP, numery AS itp.)
– Funkcjonalność top-talkers pozwala lokalnie na urządzeniu
gromadzić informacje dotyczące węzłów generujących największy
ruch – wymieniających najwięcej informacji
interface FastEthernet 0/0
ip flow ingress
ip flow-top-talkers
match source address 10.1.1.1/28
match destination as 62622
top 10
sort-by {bytes|packets}
204
KONIEC
205

Bezpieczny styk z Internetem Cisco IOS Security

Transkrypt

Podobne dokumenty

cisco.netacad.net