Сайт cisco-conf.ru http://cisco-conf.ru/component/content/section/5.feed 2013-12-21T05:43:07Z Joomla! 1.5 - Open Source Content Management Настройка AAA 2010-07-01T11:45:34Z 2010-07-01T11:45:34Z http://cisco-conf.ru/links/108--aaa.html Administrator admin@cisco-conf.ru <h2><strong>AAA компоненты.</strong></h2> <p><strong>AAA - authentication, authorization and accounting.</strong></p> <p><strong>Authentication</strong> отвечает на вопрос "Кто ты?". Т.е. определяет что пользователь тот кто должен быть. Другими словами это комбинация логин - пароль.</p> <p><strong>Authorization</strong> отвечает на вопрос "Что этот пользователь вправе делать?".</p> <p><strong>Accounting</strong> отвечает на вопрос "Что могут пользователи делать в сети?". Т.е. ведется статистика о том чем занимаются пользователи.</p> <p>Важно заметить что <strong>Authorization</strong> и <strong>Accounting</strong> могут использоваться только после <strong>Authentication</strong>.</p> <h2><strong>AAA режимы</strong></h2> <p><strong>Character (буквенный режим) mode</strong> - используется на vty, TTY, AUX, CONSOLE портах, которые в основном используются для конфигурирования устройств</p> <p><strong>Packet mode (пакетный режим)</strong> - используется на ASYNC, BRI, PRI, serial портах в основном для обеспечения аутентификации с другим устройством посредством dialer пор<strong>тов.</strong></p> <p><strong></strong></p> <h2><strong> <h2><strong>AAA компоненты.</strong></h2> <p><strong>AAA - authentication, authorization and accounting.</strong></p> <p><strong>Authentication</strong> отвечает на вопрос "Кто ты?". Т.е. определяет что пользователь тот кто должен быть. Другими словами это комбинация логин - пароль.</p> <p><strong>Authorization</strong> отвечает на вопрос "Что этот пользователь вправе делать?".</p> <p><strong>Accounting</strong> отвечает на вопрос "Что могут пользователи делать в сети?". Т.е. ведется статистика о том чем занимаются пользователи.</p> <p>Важно заметить что <strong>Authorization</strong> и <strong>Accounting</strong> могут использоваться только после <strong>Authentication</strong>.</p> <h2><strong>AAA режимы</strong></h2> <p><strong>Character (буквенный режим) mode</strong> - используется на vty, TTY, AUX, CONSOLE портах, которые в основном используются для конфигурирования устройств</p> <p><strong>Packet mode (пакетный режим)</strong> - используется на ASYNC, BRI, PRI, serial портах в основном для обеспечения аутентификации с другим устройством посредством dialer пор<strong>тов.</strong></p> <p><strong></strong></p> <h2><strong> Защита административного доступа 2010-06-30T10:15:48Z 2010-06-30T10:15:48Z http://cisco-conf.ru/links/107-2010-06-30-10-47-24.html Administrator admin@cisco-conf.ru <p>Доступ к устройству можно получить 3 способами:</p> <ul> <li><strong>CLI</strong></li> <li><strong>Web interface</strong></li> <li><strong>SNMP</strong></li> </ul> <p>Существуют определенные рекомендации для паролей:</p> <ul> <li>Минимальная длинна - должна быть как можно больше.</li> <li>Буквы должны быть смешаны.</li> <li>Не использовать слова словаря.</li> <li>Периодически изменять пароли.</li> </ul> <p>Доступ к роутеру рекомендуется защищать помимо пароля еще и ACL.</p> <p> </p> <p>Доступ к устройству можно получить 3 способами:</p> <ul> <li><strong>CLI</strong></li> <li><strong>Web interface</strong></li> <li><strong>SNMP</strong></li> </ul> <p>Существуют определенные рекомендации для паролей:</p> <ul> <li>Минимальная длинна - должна быть как можно больше.</li> <li>Буквы должны быть смешаны.</li> <li>Не использовать слова словаря.</li> <li>Периодически изменять пароли.</li> </ul> <p>Доступ к роутеру рекомендуется защищать помимо пароля еще и ACL.</p> <p> </p> Безопасность устройств cisco 2010-06-23T07:18:59Z 2010-06-23T07:18:59Z http://cisco-conf.ru/links/106--cisco.html Administrator admin@cisco-conf.ru <h2><strong>Безопасность роутера</strong></h2> <p>Для удобства использования на роутерах по умолчанию включены различные сервисы. Эти сервисы создают угрозу для безопасности. При правильном дизайне сети роутеры находятся за файерволом, что исключает доступ к устройству или его сервисам из вне. Некоторые сетевые устройства помещают в зону DMZ в которой к ним открывается доступ. Не безопасное решение если роутер смотрит напрямую в интернет. В этом случае необходимо отключать открытые сервисы, и ограничивать доступ.</p> <p><strong>Уязвимость сервисов роутера</strong></p> <p>Сервисы роутера по угрозам безопасности группируются в след группы:</p> <ul> <li><strong>Unnecesary services and inderfaces </strong>(сервисы и интерфейсы в которых нет необходимости).</li> <li><strong>Common management services</strong> (сервисы для управления устройством).</li> <li><strong>Path integrity mechanisms</strong> (сервисы, которые влияют на <strong>forwarding plane</strong>).</li> <li><strong>Probes and scans</strong> (сервисы, которые возвращают информацию атакующему).</li> <li><strong>Terminal access security</strong> (сервисы, которые ограничивают доступ к роутеру).</li> <li><strong>Gratuitous and proxy ARP</strong> (сервисы, помогающие идентифицировать устройство в сегменте).</li> </ul> <p> <h2><strong>Безопасность роутера</strong></h2> <p>Для удобства использования на роутерах по умолчанию включены различные сервисы. Эти сервисы создают угрозу для безопасности. При правильном дизайне сети роутеры находятся за файерволом, что исключает доступ к устройству или его сервисам из вне. Некоторые сетевые устройства помещают в зону DMZ в которой к ним открывается доступ. Не безопасное решение если роутер смотрит напрямую в интернет. В этом случае необходимо отключать открытые сервисы, и ограничивать доступ.</p> <p><strong>Уязвимость сервисов роутера</strong></p> <p>Сервисы роутера по угрозам безопасности группируются в след группы:</p> <ul> <li><strong>Unnecesary services and inderfaces </strong>(сервисы и интерфейсы в которых нет необходимости).</li> <li><strong>Common management services</strong> (сервисы для управления устройством).</li> <li><strong>Path integrity mechanisms</strong> (сервисы, которые влияют на <strong>forwarding plane</strong>).</li> <li><strong>Probes and scans</strong> (сервисы, которые возвращают информацию атакующему).</li> <li><strong>Terminal access security</strong> (сервисы, которые ограничивают доступ к роутеру).</li> <li><strong>Gratuitous and proxy ARP</strong> (сервисы, помогающие идентифицировать устройство в сегменте).</li> </ul> <p> Настройка CIsco Easy VPN 2010-06-17T08:03:33Z 2010-06-17T08:03:33Z http://cisco-conf.ru/links/105--cisco-easy-vpn.html Administrator admin@cisco-conf.ru <p>Cisco Easy VPN упрощает конфигурацию клиентов. Состоит из двух частей Easy VPN Remote и Easy VPN Server.</p> <h2><strong>Компоненты Cisco Easy VPN.</strong></h2> <p>Состоит из remote и server. Server позволяет устройствам (Rouetrs, PIX security appliance, VPN 3000 Concentrators) выступать в качестве headend устройств в site-to-site или remote-access VPN режимах. Эти устройства терминируют IPsec тунели непосредственно с ПК пользователей использующих Cisco VPN Client програмное обеспечение.</p> <p><strong>Easy VPN Remote</strong></p> <p>Позволяет устройствам (Rouetrs, PIX security appliance, VPN 3000 Concentrators) выступать в качестве удаленного VPN клиента. Они получают политики безопасности от Easy VPN Server. Что исключает потребность ручной конфигкрации. Easy VPN Remote обеспечивают  автоматическое, централизованное управление для:</p> <ul> <li>Соглассования параметров туннелей (адреса, алгоритмы, время)</li> <li>Набора параметров касающихся установки туннеля.</li> <li>Автоматическое создание NAT PAT и ACL.</li> <li>Аутентификация пользователей.</li> <li>Управления ключами безопасности для шифрования/дешифрации.</li> <li>Аутентификация шифрование и расшифровка туннельныз данных.</li> </ul> <p> </p> <p>Cisco Easy VPN упрощает конфигурацию клиентов. Состоит из двух частей Easy VPN Remote и Easy VPN Server.</p> <h2><strong>Компоненты Cisco Easy VPN.</strong></h2> <p>Состоит из remote и server. Server позволяет устройствам (Rouetrs, PIX security appliance, VPN 3000 Concentrators) выступать в качестве headend устройств в site-to-site или remote-access VPN режимах. Эти устройства терминируют IPsec тунели непосредственно с ПК пользователей использующих Cisco VPN Client програмное обеспечение.</p> <p><strong>Easy VPN Remote</strong></p> <p>Позволяет устройствам (Rouetrs, PIX security appliance, VPN 3000 Concentrators) выступать в качестве удаленного VPN клиента. Они получают политики безопасности от Easy VPN Server. Что исключает потребность ручной конфигкрации. Easy VPN Remote обеспечивают  автоматическое, централизованное управление для:</p> <ul> <li>Соглассования параметров туннелей (адреса, алгоритмы, время)</li> <li>Набора параметров касающихся установки туннеля.</li> <li>Автоматическое создание NAT PAT и ACL.</li> <li>Аутентификация пользователей.</li> <li>Управления ключами безопасности для шифрования/дешифрации.</li> <li>Аутентификация шифрование и расшифровка туннельныз данных.</li> </ul> <p> </p> IPsec доп возможности 2010-06-10T10:32:46Z 2010-06-10T10:32:46Z http://cisco-conf.ru/links/104-ipsec-.html Administrator admin@cisco-conf.ru <p>Источники отказа:</p> <ul> <li><strong>Access link</strong> отказ<br />Для предотвращения может быть использовано несколько интерфейсов или нескоько устройств.</li> <li><strong>Отказ удаленного пира</strong><br />Предотвращается использованием нескольких пиров и интерфейсов, а также использование нескольких тунелей через разные инфраструктуры.</li> <li><strong>Отказ устройства</strong><br />Использование нескольких устройств.</li> <li><strong>Отказ на пути следованя пакета</strong><br />Использование нескольких путей с разными инфраструктурами.</li> </ul> <p> </p> <p>Источники отказа:</p> <ul> <li><strong>Access link</strong> отказ<br />Для предотвращения может быть использовано несколько интерфейсов или нескоько устройств.</li> <li><strong>Отказ удаленного пира</strong><br />Предотвращается использованием нескольких пиров и интерфейсов, а также использование нескольких тунелей через разные инфраструктуры.</li> <li><strong>Отказ устройства</strong><br />Использование нескольких устройств.</li> <li><strong>Отказ на пути следованя пакета</strong><br />Использование нескольких путей с разными инфраструктурами.</li> </ul> <p> </p> GRE тунель поверх IPsec 2010-06-10T05:41:01Z 2010-06-10T05:41:01Z http://cisco-conf.ru/links/103-gre-ipsec.html Administrator admin@cisco-conf.ru <h2><strong>GRE характеристики</strong></h2> <p>Сила GRE в том что он может инкапсулировать в себя все что угодно. Основное назначение GRE это перенос не-IP пакетов через IP сеть. Основные характеристики GRE туннеля:</p> <ul> <li><em>GRE</em> тунель похож на IPsec тунель, так как инкапсулирует оригинальный пакет полностью.</li> <li><em>GRE</em> не имеет механизмов контроля потока.</li> <li><em>GRE</em> добавляет 24 байт к заголовку, включая 20-байт заголовок.</li> <li><em>GRE</em> является мультипротокольным и может переносить любой протокол 3го уровня.</li> <li><em>GRE</em> позволяет работать протоколам маршрутизации через тунель.</li> <li><em>GRE</em> может переносить мультикастовый трафик.</li> <li><em>GRE</em> имеет слабую безопасность.</li> </ul> <p> </p> <h2><strong>GRE характеристики</strong></h2> <p>Сила GRE в том что он может инкапсулировать в себя все что угодно. Основное назначение GRE это перенос не-IP пакетов через IP сеть. Основные характеристики GRE туннеля:</p> <ul> <li><em>GRE</em> тунель похож на IPsec тунель, так как инкапсулирует оригинальный пакет полностью.</li> <li><em>GRE</em> не имеет механизмов контроля потока.</li> <li><em>GRE</em> добавляет 24 байт к заголовку, включая 20-байт заголовок.</li> <li><em>GRE</em> является мультипротокольным и может переносить любой протокол 3го уровня.</li> <li><em>GRE</em> позволяет работать протоколам маршрутизации через тунель.</li> <li><em>GRE</em> может переносить мультикастовый трафик.</li> <li><em>GRE</em> имеет слабую безопасность.</li> </ul> <p> </p> Site-to-Site VPN IPsec 2010-06-08T10:05:45Z 2010-06-08T10:05:45Z http://cisco-conf.ru/links/102-site-to-site-vpn-ipsec.html Administrator admin@cisco-conf.ru <p>Site-to-Site VPN использует обычно такую топологию:</p> <p><img src="images/stories/site_to_site_vpn.jpg" border="0" alt="Site to site vpn" width="500" height="173" /></p> <h1><span style="color: #000000;">Создание Site-to-Site IPsec VPN</span></h1> <p>Необходимо 5 шагов для создания IPsec VPN.</p> <ol> <li><strong>Выбрать интересующий трафик.</strong></li> <li><strong>IKE фаза 1</strong></li> <li><strong>IKE фаза 2</strong></li> <li><strong>Безопасная передача данных</strong></li> <li><strong>Закрытие IPsec тунеля</strong></li> </ol> <p> </p> <p>Site-to-Site VPN использует обычно такую топологию:</p> <p><img src="images/stories/site_to_site_vpn.jpg" border="0" alt="Site to site vpn" width="500" height="173" /></p> <h1><span style="color: #000000;">Создание Site-to-Site IPsec VPN</span></h1> <p>Необходимо 5 шагов для создания IPsec VPN.</p> <ol> <li><strong>Выбрать интересующий трафик.</strong></li> <li><strong>IKE фаза 1</strong></li> <li><strong>IKE фаза 2</strong></li> <li><strong>Безопасная передача данных</strong></li> <li><strong>Закрытие IPsec тунеля</strong></li> </ol> <p> </p> Знакомство с IPSEC 2010-06-07T08:05:25Z 2010-06-07T08:05:25Z http://cisco-conf.ru/links/101--ipsec.html Administrator admin@cisco-conf.ru <p>IPsec является лучшим набором средств защиты IP данных при прохождении пакета из одного места в другое. IPsec защищает только IP 3й уровень и выше. IPsec использует шифрование данных.</p> <p>IPsec состоит из следующих наборов протоколов,  которые обеспечивают следующие возможности:</p> <ul> <li><strong>Data confidentiality</strong> (конфиденциальность данных) <br />обеспечивает приватность данных между участниками <strong>IPsec</strong> VPN. Причем эти каналы используются через Inernet. Данные шифруются, что и обеспечивает их конфиденциальность.</li> <li><strong>Data intergrity </strong>(целостность данных)<br />гарантирует что полученные данные не были изменены или подменены при передаче через <strong>IPsec</strong> VPN. Обычно используется хэширование данных, и передача хэш ключа.</li> <li><strong>Data origin authentication</strong> (проверка источника данных)<br />проверяет источник <strong>IPsec</strong> VPN. Подлинность источников проверяется на каждом конце тунеля.</li> <li><strong>Anti-replay </strong>(проверка подделки данных)<br />проверяет что пакеты не были дублированы через VPN, используя последовательности (sequence number) и переменное окно (sliding window) принимающей стороной.</li> </ul> <ul> </ul> <p> </p> <p>IPsec является лучшим набором средств защиты IP данных при прохождении пакета из одного места в другое. IPsec защищает только IP 3й уровень и выше. IPsec использует шифрование данных.</p> <p>IPsec состоит из следующих наборов протоколов,  которые обеспечивают следующие возможности:</p> <ul> <li><strong>Data confidentiality</strong> (конфиденциальность данных) <br />обеспечивает приватность данных между участниками <strong>IPsec</strong> VPN. Причем эти каналы используются через Inernet. Данные шифруются, что и обеспечивает их конфиденциальность.</li> <li><strong>Data intergrity </strong>(целостность данных)<br />гарантирует что полученные данные не были изменены или подменены при передаче через <strong>IPsec</strong> VPN. Обычно используется хэширование данных, и передача хэш ключа.</li> <li><strong>Data origin authentication</strong> (проверка источника данных)<br />проверяет источник <strong>IPsec</strong> VPN. Подлинность источников проверяется на каждом конце тунеля.</li> <li><strong>Anti-replay </strong>(проверка подделки данных)<br />проверяет что пакеты не были дублированы через VPN, используя последовательности (sequence number) и переменное окно (sliding window) принимающей стороной.</li> </ul> <ul> </ul> <p> </p> MPLS VPN 2010-06-03T06:03:28Z 2010-06-03T06:03:28Z http://cisco-conf.ru/the-news/100-mpls-vpn.html Administrator admin@cisco-conf.ru <p>MPLS VPN является WAN технологией 3го уровня. MPLS VPN пришла на замену старым WAN технологиям, так как они имели определенные проблемы. Старые WAN технологии имели проблемы с топологией, т. к. Full-mesh строить было дорого, то использовалась топология hub-and-spoke, которая  не имеет резерврования.</p> <p>Благодаря MPLS стало возможно использовать full-mesh, но поверх 3го уровня. Внедрение VPN добавляет к сети приватность и безопасность.</p> <p>Систематика VPN<br /><img src="files/images/MPLS_VPN1.png" border="0" alt="MPLS VPN" title="MPLS VPN" width="468" height="205" /></p> <p>На картинке показан процесс эволюции VPN и как он зависил от применяемых технологий.</p> <p> </p> <p>MPLS VPN является WAN технологией 3го уровня. MPLS VPN пришла на замену старым WAN технологиям, так как они имели определенные проблемы. Старые WAN технологии имели проблемы с топологией, т. к. Full-mesh строить было дорого, то использовалась топология hub-and-spoke, которая  не имеет резерврования.</p> <p>Благодаря MPLS стало возможно использовать full-mesh, но поверх 3го уровня. Внедрение VPN добавляет к сети приватность и безопасность.</p> <p>Систематика VPN<br /><img src="files/images/MPLS_VPN1.png" border="0" alt="MPLS VPN" title="MPLS VPN" width="468" height="205" /></p> <p>На картинке показан процесс эволюции VPN и как он зависил от применяемых технологий.</p> <p> </p> Настройка frame mode MPLS 2010-06-02T06:47:17Z 2010-06-02T06:47:17Z http://cisco-conf.ru/the-news/99--frame-mode-mpls.html Administrator admin@cisco-conf.ru <p>Настройка <strong>MPLS</strong> производится на каждом роутере в <strong>MPLS</strong> домене.</p> <p>Обычно провайдер использует протокол маршрутизации <em>IGP (OSPF, EIGRP, IS-IS)</em> и <em>EGP (BGP)</em>. Соответственно маршрутизатор может содержать как внутрениие префиксы, так и внешние. Помимо этого роутер должен содержать таблицу <em>CEF, MPLS FIB, LIB, LFIB</em>, а также таблицы соседей для <strong>MPLS</strong>, <strong>EGP</strong>, <strong>IGP</strong>. Поэтому возникает большая нагрузка на ресурсы роутера. Для снижения нагрузки и внедрили MPLS.</p> <p><strong>MPLS</strong> включается на интерфейсе. Так как к заголовку пакета добавляется метка, то необходимо следить за <strong>MTU</strong>.</p> <p>Процесс конфигурирования <strong>MPLS</strong> включает 3 этапа</p> <ol> <li>Настройка <strong>CEF</strong> - должен быть включен.</li> <li>Настройка <strong>MPLS</strong> в режиме frame mode на интерфейсе.</li> <li>Настройка размера <strong>MTU</strong>, если необходимо.</li> </ol> <h2><strong> <p>Настройка <strong>MPLS</strong> производится на каждом роутере в <strong>MPLS</strong> домене.</p> <p>Обычно провайдер использует протокол маршрутизации <em>IGP (OSPF, EIGRP, IS-IS)</em> и <em>EGP (BGP)</em>. Соответственно маршрутизатор может содержать как внутрениие префиксы, так и внешние. Помимо этого роутер должен содержать таблицу <em>CEF, MPLS FIB, LIB, LFIB</em>, а также таблицы соседей для <strong>MPLS</strong>, <strong>EGP</strong>, <strong>IGP</strong>. Поэтому возникает большая нагрузка на ресурсы роутера. Для снижения нагрузки и внедрили MPLS.</p> <p><strong>MPLS</strong> включается на интерфейсе. Так как к заголовку пакета добавляется метка, то необходимо следить за <strong>MTU</strong>.</p> <p>Процесс конфигурирования <strong>MPLS</strong> включает 3 этапа</p> <ol> <li>Настройка <strong>CEF</strong> - должен быть включен.</li> <li>Настройка <strong>MPLS</strong> в режиме frame mode на интерфейсе.</li> <li>Настройка размера <strong>MTU</strong>, если необходимо.</li> </ol> <h2><strong>