Примеры практических решений на оборудовании Cisco Systems


Подключение к Internet

EasyIP - Web, Mail Server, FTP Server на стороне провайдера

Мы предлагаем клиентам несколько вариантов подключения к Internet. Одним из самых экономичных решений является подключение по технологии Easy IP от Cisco Systems Рис. 1.

В этом варианте локальная сеть клиента подключается к интернет всего через один адрес динамически выдаваемый провайдером. По сути клиент покупает DialUp соединение для одного пользователя, а подключает к Интернет всю свою сеть. При этом во внутренней сети возможно использование IP адресов выделенных для использования в частных сетях, поскольку маршрутизатор будет динамически осуществлять трансляцию внутренних адресов в полученный во время сеанса связи внешний адрес по портам TCP. Такой вид трансляции называется PAT (port address translation) - трансляция по портам TCP через один IP адрес. Эта схема позволяет по одному адресу подключить LAN к интернет или удаленный филиал к центральному офису и предполагает что Web сервер компании и почтовый сервер находятся на стороне провайдера. На маршрутизаторе может быть включен протокол DHCP и тогда все IP адреса в подключенном LAN сегменте будут раздаваться клиентским станциям динамически.

Типичный сеанс доступа в Интернет или к почтовому серверу провайдера где хранятся почтовые ящики клиента выглядит следующим образом.

На каком либо клиентском компьютере в LAN клиента запускается приложение - например Netscape Navigator и открывает удаленный сервер например www.cisco.com. Эти действия порождают трафик который в свою очередь вызывает установление соединения с провайдером. Аналогично запуск POP3 почтового приложения тоже вызовет автодозвон модема и установление соединения с провайдером. Естественно можно ограничить число пользователей и виды приложений которые буду вызывать установление соединения.

Full NAT - DNS, Web, Mail Server, FTP Server на стороне клиента

Очень подробно функции и возможности технологии трансляции сетевых адресов NAT (Network Address Translation) для протокола IP описаны в статье Майка Фратто "NAT: маскировка в пределах прямой видимости." Сети и Системы Связи, 1(35) январь 1999 г. стр. 104.

В случае необходимости иметь почтовый или Web сервер на стороне клиента, потребуется наличие как минимум двух зарегистрированных у провайдера адресов, один из которых может использоваться для доступа из интернет к Web серверу клиента и (или) его почтовому серверу, а второй, опять же с помощью PAT, для выхода в интернет.

Разумеется в этом случае требуется постоянное соединение с сетью Интернет провайдера.

При подключении к Интернет эта технология дает нам прежде всего возможность легко менять провайдера без смены адресов в сети и, естественно, снимает ограничение на их количество.

Для крупных компаний на маршрутизаторе можно настроить полномасштабную трансляцию сетевых адресов NAT (Network Address Translation) предполагая выбор платформы соответствующей пропускной способности канала до провайдера.

Обеспечение защиты сети

Прежде чем перейти к рассмотрению защиты сети надо остановиться на основных подходах к обеспечению безопасности и основных принципах ее обеспечения.

Обеспечение безопасности сети это очень обширная тема, которая затрагивается при рассмотрении уровня среды (Data Link Layer), где возможно прослушивание пакетов и возможно применение криптования в качестве противодействия, затрагивается при рассмотрении сетевого уровня, в точке где надо контролировать IP пакеты и обновление таблиц маршрутизации, и на уровне приложений, где например, надо уделять внимание ошибкам в програмном обеспечении хостов.

Большинство людей когда говорят о безопасности подразумевают под этим, что пользователи могут выполнять только задачи, которые они авторизованы выполнять, могут получать информацию, которую им разрешено получать и не могут причинить вреда данным, приложениям, или операционной системе.

Последнее время термин безопасность ассоциируется также с защитой от атак из вне. Но кроме этого сюда надо включать контроль за ошибками и выходом из строя оборудования, всего, что может защитить от преднамеренного, квалифицированного, просчитанного нападения, всего, что возможно уменьшит вероятность успешной атаки.

Меры безопасности заставляют быть людей честными приблизительно теми же средствами, что и замки. Прежде чем приступить к выбору средств защиты, необходимо понимать основные концепции существенные для любой системы безопасности:

Подумайте кто может хотеть обойти ваши меры безопасности и определите возможные мотивы таких действий. Определите что они могут хотеть сделать и какой ущерб могут нанести вашей сети.

Средства безопасности никогда не смогут сделать невозможным для пользователя выполнить неавторизованные задачи с компьютерными системами. Они могут только затруднить их выполнение. Цель - это быть уверенным с том, что меры безопасности обеспечивают достаточный уровень защиты по сравнению с возможностями и намерениями нападающего.

Любые меры безопасности всегда конфликтуют с удобством использования системы, особенно для квалифицированных пользователей. Меры безопасности могут тормозить работу и увеличивать расходы на администрирование и обучение. Они могут требовать значительных вычислительных ресурсов и выделенного аппаратного обеспечения.

Когда проектируется система безопасности, нужно взвешивать её стоимость и стоимость потенциальных потерь. Если стоимость системы не соответствует стоимости защищаемых ресурсов, как в большую так и в меньшую сторону, это ведет к неоправданным расходам или потерям от возможных атак.

Каждая система безопасности базируется на некоторых предположениях . Например, вы можете полагать что ваша сеть не прослушивается, или, что атакующий знает меньше чем вы знаете, что он использует стандартное програмное обеспечение, или что запертая комната в безопасности. Будьте уверены, что все предположения имеют право на существование. Любое скрытое предположение это потенциальная брешь в системе безопасности.

Безопасность часто базируется на секретах. Пароли и ключи криптования типичные примеры секретов. Очень часто секреты на самом деле таковыми не являются из-за плохого хранения. Наиболее важный момент в хранении секретов это знание того, какие области вам нужно защитить. Какая информация позволит кому либо обойти вашу систему защиты. Следует тщательно охранять ваши секреты предполагая что вся остальная информация известна всем. Чем больше у вас секретов, тем труднее их будет сохранить. Система безопасности должна быть построена так, чтобы только ограниченное число секретов нужно было оберегать.

Многие процедуры безопасности не работают поскольку не учитывают реакцию пользователей. Если ваши меры безопасности мешают нормальному функционированию бизнес процессов, то они вероятнее всего будут обойдены. Для получения отдачи от ваших действий вам потребуется, чтобы все пользователи осознавали их необходимость и поддерживали ваши усилия по поддержанию безопасности. Любой пользователь может скомпрометировать систему безопасности по крайней мере до некоторой степени. Если ваши пользователи осознают необходимость системы безопасности, то уменьшается и вероятность внешнего вторжения.

Каждая система безопасности имеет слабые стороны. Вы должны понимать что это за ключевые точки и как они могут быть использованы. Вам следует знать области представляющие наибольшую опасность. Знание слабых точек это первый шаг на пути к их защите.

Следует создавать определенные барьеры и внутри вашей системы, чтобы в случае вторжения в какую либо часть системы, атакующий не получил доступ ко всей остальной её части. Система защищена на столько хорошо на сколько хорошо защищен её самый слабый участок.

Знания о том, как ваша система работает в нормальных условиях, о том чего следует ожидать и чего не следует, понимание того как обычно используются устройства в сети поможет определить проблемы в системе безопасности. Выявление необычных моментов в поведении системы позволит вам предотвратить или остановить вторжение до того как будет нанесен вред системе.

Вы должны полагаться только на то, что обеспечивает вам ваше программное и аппаратное обеспечение, и ваша система безопасности не должна иметь в качестве основы предположений об отсутствии ошибок в используемом програмном обеспечении.

Непосредственный доступ к компьютеру (или маршрутизатору) обычно дает грамотному пользователю полный контроль над устройством. Физический доступ к сетевому каналу позволяет прослушивать вашу сеть, перегрузить её, или внести нежелательный трафик. Бессмысленно ставить сложное програмное обеспечение не контролируя физический доступ к устройствам.

Практически любое изменение происходящее в системе может повлиять на систему безопасности. Это утверждение особенно справедливо когда появляются новые сервисы. Вы должны предвидеть все возможности использования нового сервиса включая недозволенные.

Наконец стоит остановиться на нескольких типах известных атак, которые можно поделить на две категории - атаки направленные на проникновение в сеть с помощью паролей или путем выдачи атакующего за пользователя системы и нарушение целостности данных и атаки направленные на уничтожение сервисов :

С технической точки зрения для обеспечения защиты как минимум существенны три момента :

  1. Безопасная топология участка сети в точке подключения.
  2. Фильтрация или блокировка всего не нужного и заведомо ложного трафика и огркничение доступа к устройству с Firewall системой.
  3. Настройка собственно Firewall системы для анализа трафика проходящего через неё.

 

В общем случае безопасная схема подключения при использовании маршрутизатора с Cisco IOS Firewall Feature Set предполагает следующее Рис 2.

Наличие "демилитаризованной зоны" DMZ - сегмента LAN (в простейшем случае представленного сервером подсоединенного кросс кабелем непосредственно к интерфейсу маршрутизатора) в котором располагаются Web, FTP, DNS и почтовый сервер, выполняющий роль промежуточного почтового сервера, позволяет оградить защищаемый LAN сегмент от прямого доступа из интернет. Доступ в DMZ сегмент по возможности максимально ограничивается скажем по портам www, ftp, DNS и SMTP, а из него открыт доступ только в интернет или возможно только к хостам сети провайдера DNS и SMTP. Из защищаемого LAN сегмента можно открывать сессии в интернет и в DMZ сегменте (внутренний корпоративный почтовый сервер забирает почту) но не наоборот. Таким образом исключается прямой доступ из интернет в защищенный сегмент и даже в случае взлома серверов в DMZ хакер не сможет инициализировать установление соединения к защищаемой LAN или использовать его для попыток взлома других сетей.

Эту схему можно реализовать различными способами на различном оборудовании. Так в DMZ сегменте можно установить сервер на базе NT или UNIX, в зависимости от канала к провайдеру могут быть использованы различные модели маршрутизаторов, но принципиальным является наличие трех интерфейсов для доступа к интернет, DMZ и защищаемой LAN.

Фильтры общего назначения

Фильтрация всего не нужного трафика необходима для того чтобы разгрузить маршрутизатор и firewall а так же сразу перекрыть некоторые пути атак. Для этого можно использовать блокирующие пактные фильтры отбрасывающиие, например, все пакеты с IP адресами выделенными для свободного использования в частных сетях, например, 10.0.0.0 (RFC 1918), внешние пакеты с адресами вашей внутренней сети и адресами loopback 127.0.0.0. Из локальной сети имеет смысл явно разрешить выход только существующим подсетям. Кроме этого необходимо защитить от несанкционированного доступа сам маршрутизатор ограничив или запретив доступ к интерфейсам и настроив систему аутентификации а так же отключить на нем все излишние сервисы.

Cisco IOS Firewall Feature Set

Возможности Cisco IOS с расширенными функциями межсетевого экрана и возможностями по криптованию трафика позволяют предотвратить многие виды атак. Например Cisco IOS Firewall позволяет определить атаку внутри потоков данных, блокировать Java апплеты, и ограничить SMTP команды которые могут быть посланы. Эти функции так же включают развитые возможности по определению и предотвращению атак типа "отказа в сервисе" и сканирование портов. Поддержка криптования позволяет защититься от подмены IP адресов и прослушивания.

Существующие возможности этого пакета функций состоят из следующего :

  1. Стандартные и расширенные списки доступа - позволяют осуществлять основную политику по фильтрации и блокировке не желательного трафика
  2. Возвратные списки доступа - создаются динамически и позволяют пропускать ответный трафик принадлежащий сессии инициированной из внутренней сети
  3. Lock and Key динамические списки- позволяют временный доступ пользователя через Firewall после идентификации.

Все функции кроме CBAC поддерживаются в IOS IP only начиная с версии 11.3.

CBAC - это новый механизм фильтрации, обеспечивающий "Stateful" фильтрацию пакетов, т.е. фильтрацию на основе состояния сессии TCP или UDP соединения. Он проверяет информацию не только на сетевом или транспортном уровне, но также анализирует протокольную информацию на уровне приложения (например для протокола FTP).

Этот механизм динамически создает временную структуру, описывающую состояние соединения, и обновляет её параметры в процессе жизни соединения. На основании информации содержащейся в таких структурных элементах создаются динамические списки доступа изменяющие критерии фильтрации.

Функции Firewall проверяют каждый пакет в потоке данных, чтобы отследить изменения в состоянии сессии, и, с другой стороны, проверить пакеты на соответствие этому состоянию. Когда сессия закрывается, удаляется соответствующий ей динамический список доступа позволявший прохождение возвратного трафика. CBAC в настоящий момент доступен на маршрутизаторах 800, 1600, 1700, 2500, 2600, 3600 серии. Он поддерживает два способа коммутации на этих платформах Fast Switching и Process Switching.

CBAC поддерживает обработку протоколов, которые включают несколько каналов данных созданных в результате обмена сообщениями по управляющей сессии между хостами. Основываясь на информации передаваемой по управляющему соединению CBAC разрешает установление новых каналов для передачи данных только на период сессии, закрывая их после её завершения.

Протокол UDP не поддерживает установление соединения, поэтому нет реальной UDP сессии. В этом случае для пропуска возвратного трафика используются значения параметров позволяющие аппроксимировать UDP сессию и на этой основе разрешать или запрещать прохождение UDP пакетов.

Поскольку различные протоколы имеют различную специфику, то для них поддерживаются различные специфические параметры определяющие состояние сессии. Общее число поддерживаемых в настоящий момент протоколов составляет 57 и полный список можно найти на веб сервере www.cisco.com

Среди наиболее часто используемых

FTP

SMTP

H.323 (such as NetMeeting or ProShare)

Java

Trivial File Transfer Protocol (TFTP)

UNIX r-commands (such as remote login [r-login], remote exec [r-exec], and remote shell protocol [r-sh])

RealAudio

Sun RPC (not DCE RPC; not Microsoft RPC)

The WhitePine version of CU-SeeMe

SQL*Net

StreamWorks

VDOLive

Используя "Stateful" механизм анализа пакетов Cisco IOS Firewall в тоже время минимизирует воздействие на производительность маршрутизатора когда это возможно. CBAC проверяет и отслеживает только управляющие каналы; каналы данных не проверяются. Например, для видео конференции NetMeeting, CBAC анализирует управляющий канал TCP, используемый для установления каналов для передачи видео и аудио информации. Этот управляющий канал содержит информацию о каналах данных. Каналы данных не могут вызывать установление новых соединений, поскольку не несут никакой управляющей информации и поэтому не анализируются, но отслеживаются и будут закрыты по окончанию сессии. Это позволяет уменьшить нагрузку на маршрутизатор и обеспечить быструю доставку трафика реального времени.

Переход на IOS с Firewall Feature Set осуществляется обновлением програмного обеспечения маршрутизатора, что во многих случаях позволяет легко перейти на защищенную систему при небольших затратах. Это удобно для небольших компаний и филиалов крупных поскольку не требует поддержки дополнительных устройств и в тоже время добавляет функции Firewall для сети клиента.

PIX Firewall

Наконец рассмотрим схему подключения для крупных предприятий и предприятий требующих повышенной защиты сети. Рис 3.

Как и большинство решений от Cisco Systems PIX Firewall обеспечивает полнофункциональную защиту сети полностью прозрачно для конечного пользователя. PIX - представляет из себя отдельное устройство устанавливаемое за маршрутизатором доступа и использует алгоритм адаптивной защиты ASA (Adaptive Security Algorithm) обеспечивая свыше 16000 одновременных TCP сессий, поддерживая от сотен до тысяч пользователей без влияния на производительность клиентских мест. Полностью загруженный PIX 520 работает на скоростях до 175.9 Mbps

http://www.cisco.com/pcgi-bin/out/http://www.keylabs.com/results/firebench/fbenrpt2.pdf

http://www.cisco.com/pcgi-bin/out/http://www.idcresearch.com/F/HNR/080398hnr.htm

http://www.cisco.com/warp/customer/778/security/pix/

 

В журнале "Сети и Системы Связи" 2(36) 1999 г., стр 109 напечатана обзорная статья Питера Морриси "Семь межсетевых экранов масштаба предприятия" посвященная тестированию межсетевых экранов.

Поэтому мы ограничимся кратким описанием возможностей этого продукта и приведем пример его конфигурации.

Прежде всего следует отметить использование специализированной операционной системы, что, во-первых, повышает ее производительность и надежность и, следовательно, производительность и отказоустойчивость всей системы безопасности в целом, и, во-вторых, существенно затрудняет ее анализ и взлом. Межсетевой экран PIX может быть настроен полностью прозрачно для пользователей, а может проводить аутентификацию перед установлением сессии от каждого хоста в сети. На межсетевом экране PIX поддерживается идентификация и авторизация с использованием архитектуры Cisco AAA (Accounting Authentication Authorization). Эта архитектура разработанная для авторизации, идентификации и учета для всех устройств Cisco, обеспечивает концепцию централизованной базы безопасности. В качестве сервера безопасности может использоваться Cisco Sequre под Windows NT или UNIX. Поддерживается аутентификация на основе протоколов TACACS+ или RADIUS, позволяющих обращаться к централизованной базе, хранящей информацию о пользователях. Для этого используется техника cat-through proxing - "контроль на лету". PIX эмулирует шлюз прикладного уровня, прерывает запрос на установление соединения и запрашивает идентификацию пользователя. После успешной аутентификации устанавливается соединение с запрашиваемым сервисом. Данное решение обеспечивает высокий уровень производительности в сочетании с такой же идентификацией и авторизацией, как и с использованием прикладного шлюза.

Прежде чем рассмотреть пример конфигурации PIX Firewall следует остановиться на его настройках по умолчанию. При первом запуске PIX автоматически добавляет в конфигурационный файл набор команд, соответствующих режиму максимальной защиты. По сути, для начала работы остается только присвоить IP адреса интерфейсам, назначить пароль доступа, описать трансляцию адресов и определить маршрут по умолчанию. Вся дальнейшая настройка идет по пути либерализации политики безопасности. Это достаточно удобно, поскольку позволяет быстро и легко включить устройство в работу, не опасаясь за безопасность уже существующей системы. Будем рассматривать вариант с тремя интерфейсами и схемой подключения представленной на рис. 3.

Порядок интерфейсов заранее предопределен. Интерфейс 0 считается подключенным к внешней сети outside. Интерфейс 1 считается подключенным к защищаемой LAN - inside и интерфейс 2 - DMZ.

При этом разрешен доступ к внешним сервисам из внутренней сети и из сети DMZ и запрещен любой доступ из внешней сети во внутреннюю и из внешней сети в DMZ. Для внутренней сети сеть DMZ рассматривается как внешняя.

Рассмотрим теперь пример конфигурации:

 

В версии програмного обеспечения 4.2(3) список доступа проверяется полностью и выбирается условие с самой подробной спецификой и предоставляющая наиболее льготный доступ.

Кроме этого возможно удаление любой отдельной записи списка.

Из этого следует что не обязательно удалять весь список и вводить его заново, а достаточно скорректировать политику для подсети или хоста, что можно сделать как из командной сроки, так и из управляющего ПО.

 

Соединение считается установленным если пришли ответные пакеты инициатору установления сессии, в этот момент соединение переходит из состояния зарождения (embrionic) в состояние установленное и количество допустимых лицензией соединений уменьшается на единицу. Но PIX постоянно продолжает попытки установить соединения выходящее за рамки допустимых лицензией ожидая освобождения сессии. Не учитываются соединения UDP и административные соединения telnet к устройству.

Можно ограничить число одновременных соединений, как для каждого узла, так и для сетей и подсетей.

Отметим одну маленькую неточность в статье Питера Морриси, хотя трансляция адресов и включается одной командой, для ее работы необходимо определить пул адресов для NAT или один адрес для PAT трансляции.

Межсетевой экран PIX Firewall имеет сертификат международной организации International Computer Sequrity Association (http://www.icsa.net) а так же сертификат ГОСТЕХКОМИССИИ на соответствие третьему классу защищенности.

Отметим также наличие средств управления на основе Java - PIX Firewall Manager, позволяющего создавать и редактировать правила политики безопасности, легко получать доступ к различным статистическим данным и журналам событий.

Он работает как серивис на Windows NT и одновременно может быть использован в каачестве syslog сервера.

Возможно создание отказоустойчивой топологии из двух устройств, одно из которых находится в горячем резерве.

 

При необходимости защиты LAN сегмента внутрикорпаративных сетей от остальной сети корпорации также можно использовать PIX или маршрутизатор с Firewall Feature Set, однако при этом следует учитывать разницу в производительности.


Возврат на первую страницу
© TerraNet
@ terranet . ru