В предыдущей статье я написал несколько советов, которые как мне кажется, могут помочь правильно задавать вопросы. Советы универсальны и подходят также для отвечающего, и для обучающего.

Однако, есть тонкость: пусть вы сформулировали все в голове очень точно, правильно подобрали слова. Осталось сказать. И вот тут то часто кроется коварный враг — наш, как говорят профессионалы ораторского искусства, речевой аппарат.

Признайтесь себе, только не лукавьте: бывали ли у вас случаи, когда какой-нибудь «лохоманагер» со школьной скамьи пренебрежительно отзывался о вас как о скованном, нелюдимом человеке или «умнике» себе на уме? Да кто он такой? Что он может — только языком молоть… Стоп!

Довольно простая глава. Списки доступа (ACL, Access Control List) – это правила проверки заголовка ip пакета до уровня 4 модели OSI. Списки доступа – это просто конструкции, состоящие из строчек. В каждой строчке – правило разрешить (permit) или запретить (deny). Строчки просматриваются сверху вниз на предмет точного совпадения заголовка пакета со строкой списка доступа. Списки доступа на ASA могут выполнять несколько ролей:

1. Фильтрация на интерфейсе входящего или исходящего трафика
2. Описание правил NAT (Policy NAT)
3. Описание правил редистрибуции маршрутов (в route-map)
4. Критерий попадания в класс трафика для дальнейшей обработки (Modular Policy Framework, MPF)
5. Описание «интересного трафика» для шифрования. Применяется список доступа в crypto map
6. Описание прав удаленного пользователя при подключении через IPSec или SSL VPN
Важно: в конце любого списка доступа стоит невидимое «запретить все» (implicit deny any), поэтому «мимо» списка доступа ни один пакет не пройдет.

Друзья, не пинайте сразу — дайте слово молвить :)

Так получилось, что на хабр я попал довольно случайно. И знать не знал, и ведать не ведал об этом во всех смыслах замечательном ресурсе и сообществе.

Одна моя скромная статейка (разгромили её в пух и прах, мол ацкая галимая реклама, гнать в 3 шеи), опубликованная другом, вызвала резонанс и Cyrill выдал мне инвайт, дабы я отбивался самостоятельно :)

Я подумал, чем же я могу поделиться с уважаемыми хабрачитателями, кроме сугубо специализированных знаний. Наверно, многие считают лишним разжевывание мануалов, но я уже много лет именно этим и занимаюсь, отвечая на массу вопросов каждый день. И не понаслышке знаю, каково это — отвечать на несформулированные вопросы :)
Поэтому я посчитал возможным описать несколько простых правил, которые как мне кажется, могут помочь коммуникативному процессу.

Одновременное использование двух провайдеров

Если в первом случае все понятно и однозначно, то в случае с одновременным использованием двух провайдеров возникают проблемы.
Для начала: нам надо обоих провайдеров проверять на «живость» и переключать все потоки на одного в случае, если кто то «упал». Это делается полностью аналогично проверке ISP1 в главе про Резервирование. С тем лишь отличием, что оба маршрута по умолчанию имеют одинаковую административную дистанцию

  ip route 0.0.0.0 0.0.0.0 Gate(ISP1) track 11
  ip route 0.0.0.0 0.0.0.0 Gate(ISP2) track 22

Типичная задача, которая тем не менее, продолжает вызывать массу вопросов.

Попробую вкратце описать суть технологии и подводные камни.

Итак, пусть у нас есть один пограничный маршрутизатор cisco с одним внутренним портом (g0/0) и двумя внешними (f0/0, f0/1). Есть подключение к двум провайдерам, каждый из которых выдал свой пул адресов Pool(ISP1) и Pool(ISP2) (это некоторые сети, принадлежащие конкретному провайдеру). Пусть для простоты адреса интерфейсов f0/0 и f0/1 из этих же пулов. И адреса шлюзов из этих же пулов (Gate(ISP1) и Gate(ISP2) соответственно).
Так как у нас нет возможности поднять BGP, значит мы должны на каждого из провайдеров прописать маршрут по умолчанию. И вот тут возникает первый вопрос: какую задачу мы хотим решить? Резервирование или одновременная работа с двумя провайдерами?

Начнем, пожалуй, с базовых настроек интерфейсов и маршрутизации, а также настройки подключений для удаленного администрирования

Настройка интерфейсов

Cisco ASA является аппаратным межсетевым экраном с инспектированием сессий с сохранением состояния (stateful inspection). ASA умеет работать в двух режимах: routed (режим маршрутизатора, по умолчанию) и transparent (прозрачный межсетевой экран, когда ASAработает как бридж с фильтрацией). Мы познакомимся с работой в первом режиме и далее везде будем его подразумевать, если явно не указан иной режим.

Предисловие: читая курсы о безопасности cisco (вот уже 7 лет, много как то :)) сталкиваюсь с одними и теми же вопросами. Давно уже хочу излить ответы на бумаге ибо повторять одно и то же уже нет сил :) Поэтому попробую тезисно, емко рассказать об основных особенностях работы cisco ASA, настройке основных технологий с использованием CLI (настройка через web интерфейс при понимании технологии не сложна) а также некоторых дизайнерских моментах. Если не указано явно, то речь идёт об версии ОС 8 и лучше.

У вас есть маршрутизатор. На нем 2 интерфейса fastethernet. Администраторы, настраивавшие его до вас, в целях экономии интерфейсов и физической пропускной способности настроили его довольно странно:
— На каждом интерфейсе есть 2 подинтерфейса (vlan 10,100 на f0/0 и vlan 20,200 на f0/1)
— Vlan 10 и 20 смотрят на провайдеров (сети 192.168.10.1/24, 192.168.20.1/24)
— Vlan 100 и 200 смотрят в локальные сети (10.100.100.1/24 и 10.200.200.1/24)

Самостоятельно её не решил никто из соревновавшихся. Попробуйте и вы ваши силы :)

Итак, у вас есть довольно простая топология

Следуя аксиомам безопасности, будем считать, что любой узел в сети является потенциальной целью. Поэтому хорошо бы знать, какие потенциально уязвимые места есть у этих самых узлов. Рассмотрим маршрутизатор cisco. Сразу же возникнет возражения: их много, сервисы поддерживаемые – разные и вообще, трудно свалить в одну кучу CRS-1 и древний 1600. Однако, я не ставлю своей целью охватить всё, но кое какие общие вещи опишу.

Нечеловеческим усилием воли :) таки дописал обещанный кусочек по защите маршрутизатором — cut-through proxy. Я описал здесь далеко не все тонкости, а скорее как всегда «на пальцах», чтобы проще было понять. Умный боец да разберется дальше без меня :)

Задача этой технологии – проверять имя и пароль пользователя перед тем, как выпустить его наружу или пустить внутрь периметра. Это часть общей идеологии IBNS (Identity Based Network System), где определяющим является имя пользователя и именно по имени можно сопоставлять настройки конкретного клиента, например, список доступа, в котором описано, что можно данному клиенту.
Для проверки пользователей можно использовать внешние базы данных, доступных по протоколу TACACS (цискина технология, ТСР/49), RADIUS (стандартная технология, UDP/1645 или UDP/1812 для аутентификации, UDP/1646 или UDP/1813 для сбора статистики) или Kerberos 5 (технология Microsoft).

Не так давно мне посчастливилось сдать на CCIE Security. Я покупал в Internetworkexpert.com «рабочие книги» (workbook). С апреля этого года лабы поменялись, но некоторые обновлённые лабы Internetworkexpert мне любезно предоставили :)
Я решил, что лабы могут пригодиться тем, кто думает готовиться к CCIE или интересно, что ещё можно накрутить на цисках по безопасности. В каждой лабе содержится описание, диаграмма, начальные конфиги и самое интересное — решение поставленных задачек.

Надеюсь, это будет небезынитересно :)

ЗЫ Сами лабы выложены на антициско.ру в закладке «Софт». Не буду давать прямую ссылку — хабр этого почему то не любит :/

По материалам 5ой Российской Олимпиады cisco, где мне довелось проучаствовать в придумывании и тестировании задачек для финалистов, родилась такая непростая задачка:

Рассмотрим простейшую схему:



есть маршрутизатор cisco, за одним интерфейсом расположен компьютер с программой, принимающей потоковую передачу (например, VLC Player), за другим — передающая станция, вещающая поток (например, видео) на некоторый мультикастовый адрес.

Вы можете менять мультикастовый адрес потока, на который вещает сервер.

Задача1: можно ли заставить компьютер принять поток, не прибегая к мультикастовой машрутизации?
Задача2: можно ли заставить принять поток с условием, что вы вообще не знаете, что такое мультикаст, как работает и как настраивается?

ЗЫ Эту нетипичную задачку (второй вариант) из 30 человек решили 1.5 человека. Интересно, решите ли вы, ведь ваш уровень существенно выше CCNA, к коим относятся все участники Олимпиады.

ЗЫ Если вы желаете высказаться, но являетесь лишь читателем habra, заходите на форум на сайте www.anticisco.ru, где в разделе «Задачки на сообразительность» она продублирована. Регистрация на сайте простая.

QoS — тема большая. Прежде чем рассказывать про тонкости настроек и различные подходы в применении правил обработки трафика, имеет смысл напомнить, что такое вообще QoS.

Quality of Service (QoS) — технология предоставления различным классам трафика различных приоритетов в обслуживании.

Во-первых, легко понять, что любая приоритезация имеет смысл только в том случае, когда возникает очередь на обслуживание. Именно там, в очереди, можно «проскользнуть» первым, используя своё право.
Очередь же образуется там, где узко (обычно такие места называются «бутылочным горлышком», bottle-neck). Типичное «горлышко» — выход в Интернет офиса, где компьютеры, подключенные к сети как минимум на скорости 100 Мбит/сек, все используют канал к провайдеру, который редко превышает 100 МБит/сек, а часто составляет мизерные 1-2-10МБит/сек. На всех.

Во-вторых, QoS не панацея: если «горлышко» уж слишком узкое, то часто переполняется физический буфер интерфейса, куда помещаются все пакеты, собирающиеся выйти через этот интерфейс. И тогда новопришедшие пакеты будут уничтожены, даже если они сверхнужные. Поэтому, если очередь на интерфейсе в среднем превышает 20% от максимального своего размера (на маршрутизаторах cisco максимальный размер очереди составляет как правило 128-256 пакетов), есть повод крепко задуматься над дизайном своей сети, проложить дополнительные маршруты или расширить полосу до провайдера.

Разберемся с составными элементами технологии

(дальше под катом, много)

Начинаю надеюсь серию публикаций по Вашим просьбам :)
Начну вкратце с новой фичи ASA 8.2 (пусть опять обвинят в рекламе :))

В крупных компаниях часто возникает ситуация, когда точек подключения шифрованных туннелей — несколько. Пользователь подключается к той железке, которая ему ближе (настроена по умолчанию, динамически выбирается). Раньше приходилось на каждую железяку покупать довольно много лицензий. Это была бы небольшая проблема, если бы лицензии стоили недорого. Но удобная технология SSLVPN у циски стоит дорого.
К тому же циска официально объявила тендецию к переводу всех на SSLVPN, вместо IPSec VPN.

В версии ОС 8.2 эта проблема была решена.

Появилась такая фича, как разделяемые лицензии (shared licenses). Их суть в том, что покупается одна пачка лицензий, о ней знает сервер лицензий (АСАшка). Остальные точки подключения (пока только АСАшки, но впоследствии и рутеры) по необходимости лезут на сервер лицензий и просят себе расширить квоту.

Подробнее читаем под катом

Мне часто задают очень похожие вопросы и я решил оформить их в виде задачки. Она не сложная, но надо знать, как это делается. После взлома головы, если вдруг не решите — расскажу непременно!

Итак, задачка:

Смотрим картинку:


Пусть есть ASA с версией ОС 8.0(4) как IPSec VPN концентратор. К ней подключаются клиенты. (Как вариант, это могут быть и компьютеры и маленькие железки, работающие как клиенты).

Задача: разрешить подключаться к ASA только из доверительных сетей (вариант: запретить подключаться из недоверительных сетей). Для клиентов из недоверительных сетей не должно происходить подключения вообще.

Пример применения: ваш VPN концентратор валят DoSом из Китая из сети 218.192.0.0/16. Надо запретить попытки подключения компам из этой сети.

Дерзайте!

На многих маршрутизаторах, даже в базовом IOS есть довольно удобная и наглядная цискина технология: Network-Based Application Recognition (NBAR). При помощи неё маршрутизатор может распознать различные протоколы и приложения и при необходимости использовать эти знания для реализации качества обслуживания (QoS)

Каким же образом маршрутизатор может выделить из трафика различные протоколы?

Система предотвращения вторжений (Intrusion Prevention System, IPS).

Вообще линейка продуктов по системе предотвращения вторжений у компании cisco довольно широкая. Туда входят отдельно стоящие сенсоры IPS серии 42ХХ, модуль в 6500 — IDSM2, модуль в ASA — AIP-SSM, модуль в маршрутизатор (ISR) — NME-IPS, «карточка» в ISR — AIM-IPS. Ту же идеологию циска старается привнести и в софтовые решения на базе ISR, добавляя в IOS соответсвующий функционал.

Вся идеология обнаружения и предотвращения вторжений основана на понятии сигнатуры. Сигнатура по сути шаблон «неправильности» в одном пакете или потоке.

«Неправильности» бывают разные, начиная от типичных методов разведки и заканчивая сетевыми червями. Эти шаблоны старательно пишутся программистами циски и доходят до пользователя в виде обновлений. Т.е. система реактивна по своей сути и основана на постоянных обновлениях, что стоит денег. Лицензии на обновления привязываются к каждой железке непосредственно. Без лицензии можно менять ОС, но нельзя накатить обновления сигнатур.

Немного истории систем обнаружения и предотвращения вторжений на базе маршрутизаторов.

Не претендуя на полноту изложения, попробую описать технологии, которыми можно воспользоваться для защиты периметра.

Рассматривать будем IOS с firewall feature set. Этот набор возможностей, как правило, есть во всех IOSах (в которых есть шифрование), кроме самого базового.

Итак, пусть на границе нашей сети стоит машрутизатор cisco, который и призван обеспечивать безопасность наших внутренних ресурсов.

Защищаем трафик.