Cisco *

Мне часто задают очень похожие вопросы и я решил оформить их в виде задачки. Она не сложная, но надо знать, как это делается. После взлома головы, если вдруг не решите — расскажу непременно!

Итак, задачка:

Смотрим картинку:


Пусть есть ASA с версией ОС 8.0(4) как IPSec VPN концентратор. К ней подключаются клиенты. (Как вариант, это могут быть и компьютеры и маленькие железки, работающие как клиенты).

Задача: разрешить подключаться к ASA только из доверительных сетей (вариант: запретить подключаться из недоверительных сетей). Для клиентов из недоверительных сетей не должно происходить подключения вообще.

Пример применения: ваш VPN концентратор валят DoSом из Китая из сети 218.192.0.0/16. Надо запретить попытки подключения компам из этой сети.

Дерзайте!

Один очень близкий мне человек, поклонник Хабра, захотел внести вклад в развитие блога Cisco. Являясь яростным поклонником того, что создает эта корпорация, он захотел поделиться опытом. =) Надеемся росчерк пера удался.

Относительно недавно мне посчастливилось познакомить и даже поконфигурять multicast routing для IPTV. Изначально, я с этой темой была совершенно не знакома, и это заставило меня вылакать горлышко от цистерны водки перекопать огромное количество документации, чтобы войти в курс дела.

И вот незадача. Обычно в документации выкладывают все и сразу и для человека, впервые столкнувшегося с этой темой, не понятно с чего начать. Во время чтения pdf’ок я ловила себя на мысли, что было бы неплохо наткнуться где-нибудь на статью, которая могла бы коротким путем провести от теории к практике, чтобы понять с чего стоит начать и где заострить внимание.

Мне не удалось обнаружить такую статью. Это побудило меня написать эту статейку для тех, кто также как и я столкнется с вопросом, что это за зверь IPTV и как с ним бороться.

На многих маршрутизаторах, даже в базовом IOS есть довольно удобная и наглядная цискина технология: Network-Based Application Recognition (NBAR). При помощи неё маршрутизатор может распознать различные протоколы и приложения и при необходимости использовать эти знания для реализации качества обслуживания (QoS)

Каким же образом маршрутизатор может выделить из трафика различные протоколы?

Система предотвращения вторжений (Intrusion Prevention System, IPS).

Вообще линейка продуктов по системе предотвращения вторжений у компании cisco довольно широкая. Туда входят отдельно стоящие сенсоры IPS серии 42ХХ, модуль в 6500 — IDSM2, модуль в ASA — AIP-SSM, модуль в маршрутизатор (ISR) — NME-IPS, «карточка» в ISR — AIM-IPS. Ту же идеологию циска старается привнести и в софтовые решения на базе ISR, добавляя в IOS соответсвующий функционал.

Вся идеология обнаружения и предотвращения вторжений основана на понятии сигнатуры. Сигнатура по сути шаблон «неправильности» в одном пакете или потоке.

«Неправильности» бывают разные, начиная от типичных методов разведки и заканчивая сетевыми червями. Эти шаблоны старательно пишутся программистами циски и доходят до пользователя в виде обновлений. Т.е. система реактивна по своей сути и основана на постоянных обновлениях, что стоит денег. Лицензии на обновления привязываются к каждой железке непосредственно. Без лицензии можно менять ОС, но нельзя накатить обновления сигнатур.

Немного истории систем обнаружения и предотвращения вторжений на базе маршрутизаторов.

Не претендуя на полноту изложения, попробую описать технологии, которыми можно воспользоваться для защиты периметра.

Рассматривать будем IOS с firewall feature set. Этот набор возможностей, как правило, есть во всех IOSах (в которых есть шифрование), кроме самого базового.

Итак, пусть на границе нашей сети стоит машрутизатор cisco, который и призван обеспечивать безопасность наших внутренних ресурсов.

Защищаем трафик.

Надеюсь, вам не надоело разминать мозг :)

Обещанная задачка. Она же опубликована на ввв.антициско.ру. Надеюсь, там тоже народ подключится, можно будет подглядывать :))

Задачка, естесственно, умозрительная. Она имеет даже не одно, а минимум 2 совершенно разных решения. Не надо меня ругать за оторванность от жизни: это тренировка :) Итак:
_________________________________________________________________________________________

Будем считать, что вы уже активно осваиваете хитрости настройки через консоль. Пришло время рассказать ещё несколько тонкостей. О чём имеет смысл подумать при настройке маршрутизаторов и коммутаторов cisco.

Тонкость 1. Аккуратность.
Часто возникает задача что-нибудь добавить в текущую конфигурацию. Наверняка вы знаете, что многие элементы пишутся отдельно, а отдельно применяются (на интерфейс, ко всей железке и т.д.). Будьте крайне осторожны, изменяя настройки таких технологий, как PBR (route-map), QoS (policy-map), IPSec (crypto map), NAT. Лучше всего сначала снять их с использования, потом изменить, потом повесить снова. Связано это с тем, что все изменения вы вносите сразу же в состояние железки. Иногда то, что уже работает (например, подгружено в оперативку) конфликтует с новым конфигом. Не редки ситуации, когда железка уходит в перезагрузку после попытки изменения конфига.

Пример: пусть у нас есть route-map, примененный на интерфейс. Пусть нам надо его изменить. Наиболее «чистый» способ такой:

Оригинал задачки опубликован здесь

Требуется без применения статической маршрутизации или PBR связать две сети.
Грубо говоря, на роутерах настроены

(config-if)# ip address 10.X.X.1 255.255.255.0
(config-if)# no shut

и всё :)
Посередине там стоит ASA, но это большой рояли не играет. Задачка решается просто и если вместо ASA поставить маршрутизатор.

Поиграйте воображением: как заставить ходить пакеты? Если приведете команды — вообще хорошо будет :)

ЗЫ Картинки пока как то не хотят вставляться. Учусь :)

Дерзайте!

UPD Естесственно, что никакой динамической маршрутизации тоже нет. Впрочем, это легко понять: в конфиге конечных роутеров ничего нет, кроме указанных строк. Ну пусть для строгости, разрешено на них ходить по telnet/ssh/http

По мотивам хитростей.

Часто бывает, что канал загружен, а кем — неизвестно. В этом случае помогает команда

sh ip cache flow


Введение: многие начинающие настройщики сетевого железа боятся консоли (CLI, Command Line Interface) как огня. Ещё бы: ни тебе всплывающих подсказок по наведенному мышиному курсору, ни тебе красивых картинок, а лишь непонятные буквы на черном (зеленом, белом) фоне. Боязно…

Однако, консоль является мощнейшим инструментом, не овладев которым называть себя настройщком cisco нельзя.

При помощи консоли можно:
1. Задать начальную конфигурацию.
2. Восстановить потерянные пароли (для разных железок по-разному. Но поиском на сайте cisco.com легко найти процесс по ключевым словам “password-recovery (название железки)” )
3. Настроить нестандартные топологии
4. Включить скрытые возможности
5. Проверить правильность настроек командами show
6. Отладить процесс командами debug

Помните: при помощи консоли можно всё, при помощи GUI – не всё, а только то, что запрограммировали и разрешили.

Как же овладеть искусством быстрой настройки через консоль?

Автор этой статьи — Сергей Фёдоров, инструктор cisco, CCIE Security #22974. Если статья вызовет интерес, автор получит инвайт на Хабр. Далее — от его лица (с моими врезками).
UPD. Задача поста — донести до интересующихся факт наличия компании Cisco, и, возможно, лицезреть автора статьи как эксперта в майском фуршете.
UPD2. Сергей Федоров — хабраюзер, если кто не заметил :) Вот: fedia. Поприветствуем :)

Почему Cisco? Такой главой начинается курс по продажам Cisco. Назову так своё коротенькое эссе и я.

Итак, почему же Cisco? Что такого в этом магическом слове из 5 маленьких букв? Неужели нет ничего лучше?
Спросите любого администратора, продавца, интегратора – каждый блеснет тем, что знает случай, когда существует то или иное решение, которое проще, дешевле, лучше, производительнее, чем решение от Cisco…
Вот только шаг влево, шаг вправо от этого замечательного решения, и становится гораздо труднее подыскать замену…
Постараюсь коротенько описать, в чем же сильные стороны решений «от Cisco».

Охват. У решений Cisco нет конкурентов по этому параметру. Наиболее широкая линейка по всем сетевым решениям, от рынка SOHO до провайдерских решений, от небольших, но функциональных маршрутизаторов, до систем управления сетями крупных предприятий.

Основные направления:

1. Многофункциональные маршрутизаторы
2. Мощные, умные коммутаторы
3. Устройства активной защиты – ASA, ACE
4. Системы предотвращения вторжений – IPS
5. Системы централизованного беспроводного доступа
6. Унифицированные коммуникации (VoIP, видеоконференции, telepresence, системы управления звонками)
7. Системы централизованной защиты хостов (CSA)
8. Система контроля доступа (NAC)
9. И … все, что вы можете придумать ещё :)

Хотелось бы предупредить владельцев PIX/ASA (пока не грянул гром) о достаточно обширной уязвимости (DoS):
www.cisco.com/warp/public/707/cisco-sa-20090408-asa.shtml
(в той части, которая называется «Crafted TCP Packet DoS Vulnerability»).

Уязвимость вполне реальна и воспроизводима любым script-kiddie, что не может не печалить. Cкрипт, приведенный на milw0rm-е, валит (в невменяемое состояние) почти любую PIX/ASA буквально через 5-7 минут.
Подвержены влиянию открытые в интернет TCP-порты следующих служб:
— SSL VPNs
— ASDM Administrative Access
— Telnet Access
— SSH Access
— cTCP for Remote Access VPNs
— Virtual Telnet
— Virtual HTTP
— TLS Proxy for Encrypted Voice Inspection
— Cut-Through Proxy for Network Access
— TCP Intercept

Вчера fixed-версии софта стали доступны через официальный CCO, до этого с момента опубликования Security Advisory они были доступны только через PSIRT.

Как и предполагалось, компания Cisco всё-таки нашла в себе смелость бросить вызов таким гигантам как HP, IBM и Dell. Вчера директор Джон Чамберс (на фото) провёл видеоконференцию, на которой официально представил первый сервер производства Cisco.

В своём выступлении Чамберс сказал, что его компания собирается организовать, ни больше ни меньше, новую революцию на рынке. По его словам, растущая популярность средств виртуализации требует появления на рынке нового класса устройств — со встроенной VMWare, где всё остальное тоже изначально заточено именно под виртуализацию. В одном серверном модуле Unified Computing System (бывший «Проект “Калифорния”») компания Cisco интегрировала и сервер на базе 64-битного Intel Nehalem EP Xeon, и систему хранения, и сетевое оборудование. Благодаря виртуализации одна машина может запускать сотни виртуальных серверов.

По мнению аналитиков, выход Cisco на этот рынок — крупнейшее событие на серверном рынке за последние годы. Они говорят, что другие игроки вскоре должны выпустить аналогичные интегрированные продукты. Компания HP уже отреагировала, увеличив инвестиции в своё подразделение, занимающееся выпуском сетевых продуктов.

Продажи Unified Computing System начнутся 31 марта.

Нет? Тогда пришло время вступить в ряды бойцов Cisco

Примерно год назад я озаботился журналированием всех действий наших администраторов (а их у нас 5 человек) на Cisco-девайсах.
Как известно, реализуется это на маршрутизаторах с помощью aaa accounting exec, а на PIX/ASA-х с помощью aaa accounting command, причем в обоих случаях только через протокол TACACS+.

Поиск бесплатного TACACS-сервера под Windows (!) не увенчался успехом, в результате чего была написана утилита, которую я и хочу представить Cisco-водам: tacomacc.narod.ru
Подробности настройки сервера и устройств на взаимодействие с ним приведены там же на страничке. Опыт эксплуатации — 1 год на сети из 120 разношерстных устройств (от 1750 до 5350 + PIX-ы/ASA-ы).

Собственно, больше всего хотелось бы получить обратную связь, Ваши соображения и пожелания. Из исходного кода секрета не делаю, но он написан на Паскале, поэтому выкладывать его особого смысла не вижу. Если кого-то он заинтересует — могу передать личной почтой.

Сразу упомяну альтернативные пути:
«родные» исходники от Cisco: ods.com.ua/win/rus/net-tech/c_ios/tacacs.html
и клоны от них: en.wikipedia.org/wiki/TACACS

Свою первую статью я решил написать о том, о чем невольно задумывается каждый начинающий инженер Cisco: о Зарплате. Шучу, конечно о самообучении и Сертификации.

Представьте, ваша компания набирает обороты, растут продажи, происходит открытие множества филиалов, и эти филиалы активно работают друг с другом. А это значит что вам нужно все их друг с другом связать! В качестве оборудования у нас маршрутизаторы Cisco, что впрочем отменяет только конечные примеры настроек, если у вас Cisco нет, я находил в сети проект OpenNHRP.

Итак, начнем. Для начала свяжем центр с первым филиалом с использованием IPSEC.

Регулярно сталкиваюсь с проблемой вспомнить, в какой последовательности
идет обработка пакета в Cisco, соответственно также регулярно ищу сей документ.

Может быть будет полезен кому-то кроме меня:

Пакет Inside−to−Outside

1. if IPSec then check input access list
2. decryption − for CET (Cisco EncryptionTechnology) or IPSec
3. check input access list
4. check input rate limits
5. input accounting
6. policy routing
7. routing
8. redirect to web cache
9. NAT inside to outside (local to global translation)
10. crypto (check map and mark for encryption)
11. check output access list
12. inspect (Context−based Access Control (CBAC))
13. TCP intercept
14. encryption
15. queueing

Пакет Outside−to−Inside

1. if IPSec then check input access list
2. decryption − for CET or IPSec
3. check input access list
4. check input rate limits
5. input accounting
6. NAT outside to inside (global to local translation)
7. policy routing
8. routing
9. redirect to web cache
10. crypto (check map and mark for encryption)
11. check output access list
12. inspect CBAC
13. TCP intercept
14. encryption
15. queueing

Извлечено из Cisco Document ID: 6209

В течение ближайших нескольких месяцев компания Cisco выпустит продукт, который может, без преувеличения, поставить на уши мировую ИТ-индустрию и сделать Cisco прямым конкурентом таких компаний как HP и IBM. Речь идёт о выпуске настоящего сервера со встроенным ПО для виртуализации (кстати, Cisco владеет 2% акций компании VMware). По мнению аналитиков, сервер Cisco можно назвать одной из самых интригующих и самых ожидаемых «железных» новинок 2009 года. Реакцию HP и IBM трудно даже представить. Возможен очень серьёзный конфликт, вплоть до того, что HP и IBM начнут выпуск сетевого оборудования под своими марками (линейка HP ProCurve может получить продолжение).

Как известно, раньше Cisco специализировалась на выпуске коммутаторов и маршрутизаторов. На своём «родном» рынке компания чувствовала себя великолепно. Годовой доход — $40 млрд (для сравнения, объём мирового рынка серверов составляет $50 млрд). Такой успех был достигнут не в последнюю очередь благодаря удачному симбиозу с другими производителями «железа». С HP, IBM и Dell был негласный договор: Cisco делает сетевые устройства, а они делают остальное. Теперь всё изменится, пишет NY Times.

Аналитики предрекают Cisco большие проблемы. Во-первых, это вышеупомянутый конфликт с другими ИТ-гигантами. Во-вторых, на рынке серверов рентабельность гораздо ниже той, к которой привыкла Cisco на рынке сетевого оборудования (25% по сравнению с 65%), так что руководству придётся перестраивать свои бизнес-модели. Впрочем, за счёт включения в комплект поставки ПО для виртуализации компания может повысить маржу до 50%.

15 декабря вышла новая версия эмулятора GNS3.
Краткий список изменений:
*Пользователи могут изменить размер рабочей области.
*Возможность использовать прямоугольников и эллипсов.
*Функция автоматического создания ярлыков интерфейса названий.
Подробнее тут