Сайт cisco-conf.ru

Настройка AAA

2010-07-01T11:45:34Z

AAA компоненты.

AAA - authentication, authorization and accounting.

Authentication отвечает на вопрос "Кто ты?". Т.е. определяет что пользователь тот кто должен быть. Другими словами это комбинация логин - пароль.

Authorization отвечает на вопрос "Что этот пользователь вправе делать?".

Accounting отвечает на вопрос "Что могут пользователи делать в сети?". Т.е. ведется статистика о том чем занимаются пользователи.

Важно заметить что Authorization и Accounting могут использоваться только после Authentication.

AAA режимы

Character (буквенный режим) mode - используется на vty, TTY, AUX, CONSOLE портах, которые в основном используются для конфигурирования устройств

Packet mode (пакетный режим) - используется на ASYNC, BRI, PRI, serial портах в основном для обеспечения аутентификации с другим устройством посредством dialer портов.

Защита административного доступа

2010-06-30T10:15:48Z

Доступ к устройству можно получить 3 способами:

CLI

Web interface

SNMP

Существуют определенные рекомендации для паролей:

Минимальная длинна - должна быть как можно больше.

Буквы должны быть смешаны.

Не использовать слова словаря.

Периодически изменять пароли.

Доступ к роутеру рекомендуется защищать помимо пароля еще и ACL.

Безопасность устройств cisco

2010-06-23T07:18:59Z

Безопасность роутера

Для удобства использования на роутерах по умолчанию включены различные сервисы. Эти сервисы создают угрозу для безопасности. При правильном дизайне сети роутеры находятся за файерволом, что исключает доступ к устройству или его сервисам из вне. Некоторые сетевые устройства помещают в зону DMZ в которой к ним открывается доступ. Не безопасное решение если роутер смотрит напрямую в интернет. В этом случае необходимо отключать открытые сервисы, и ограничивать доступ.

Уязвимость сервисов роутера

Сервисы роутера по угрозам безопасности группируются в след группы:

Unnecesary services and inderfaces (сервисы и интерфейсы в которых нет необходимости).

Common management services (сервисы для управления устройством).

Path integrity mechanisms (сервисы, которые влияют на forwarding plane).

Probes and scans (сервисы, которые возвращают информацию атакующему).

Terminal access security (сервисы, которые ограничивают доступ к роутеру).

Gratuitous and proxy ARP (сервисы, помогающие идентифицировать устройство в сегменте).

Настройка CIsco Easy VPN

2010-06-17T08:03:33Z

Cisco Easy VPN упрощает конфигурацию клиентов. Состоит из двух частей Easy VPN Remote и Easy VPN Server.

Компоненты Cisco Easy VPN.

Состоит из remote и server. Server позволяет устройствам (Rouetrs, PIX security appliance, VPN 3000 Concentrators) выступать в качестве headend устройств в site-to-site или remote-access VPN режимах. Эти устройства терминируют IPsec тунели непосредственно с ПК пользователей использующих Cisco VPN Client програмное обеспечение.

Easy VPN Remote

Позволяет устройствам (Rouetrs, PIX security appliance, VPN 3000 Concentrators) выступать в качестве удаленного VPN клиента. Они получают политики безопасности от Easy VPN Server. Что исключает потребность ручной конфигкрации. Easy VPN Remote обеспечивают автоматическое, централизованное управление для:

Соглассования параметров туннелей (адреса, алгоритмы, время)

Набора параметров касающихся установки туннеля.

Автоматическое создание NAT PAT и ACL.

Аутентификация пользователей.

Управления ключами безопасности для шифрования/дешифрации.

Аутентификация шифрование и расшифровка туннельныз данных.

IPsec доп возможности

2010-06-10T10:32:46Z

Источники отказа:

Access link отказ
Для предотвращения может быть использовано несколько интерфейсов или нескоько устройств.

Отказ удаленного пира
Предотвращается использованием нескольких пиров и интерфейсов, а также использование нескольких тунелей через разные инфраструктуры.

Отказ устройства
Использование нескольких устройств.

Отказ на пути следованя пакета
Использование нескольких путей с разными инфраструктурами.

GRE тунель поверх IPsec

2010-06-10T05:41:01Z

GRE характеристики

Сила GRE в том что он может инкапсулировать в себя все что угодно. Основное назначение GRE это перенос не-IP пакетов через IP сеть. Основные характеристики GRE туннеля:

GRE тунель похож на IPsec тунель, так как инкапсулирует оригинальный пакет полностью.

GRE не имеет механизмов контроля потока.

GRE добавляет 24 байт к заголовку, включая 20-байт заголовок.

GRE является мультипротокольным и может переносить любой протокол 3го уровня.

GRE позволяет работать протоколам маршрутизации через тунель.

GRE может переносить мультикастовый трафик.

GRE имеет слабую безопасность.

Site-to-Site VPN IPsec

2010-06-08T10:05:45Z

Site-to-Site VPN использует обычно такую топологию:

Создание Site-to-Site IPsec VPN

Необходимо 5 шагов для создания IPsec VPN.

Выбрать интересующий трафик.

IKE фаза 1

IKE фаза 2

Безопасная передача данных

Закрытие IPsec тунеля

Знакомство с IPSEC

2010-06-07T08:05:25Z

IPsec является лучшим набором средств защиты IP данных при прохождении пакета из одного места в другое. IPsec защищает только IP 3й уровень и выше. IPsec использует шифрование данных.

IPsec состоит из следующих наборов протоколов, которые обеспечивают следующие возможности:

Data confidentiality (конфиденциальность данных)
обеспечивает приватность данных между участниками IPsec VPN. Причем эти каналы используются через Inernet. Данные шифруются, что и обеспечивает их конфиденциальность.

Data intergrity (целостность данных)
гарантирует что полученные данные не были изменены или подменены при передаче через IPsec VPN. Обычно используется хэширование данных, и передача хэш ключа.

Data origin authentication (проверка источника данных)
проверяет источник IPsec VPN. Подлинность источников проверяется на каждом конце тунеля.

Anti-replay (проверка подделки данных)
проверяет что пакеты не были дублированы через VPN, используя последовательности (sequence number) и переменное окно (sliding window) принимающей стороной.

MPLS VPN

2010-06-03T06:03:28Z

MPLS VPN является WAN технологией 3го уровня. MPLS VPN пришла на замену старым WAN технологиям, так как они имели определенные проблемы. Старые WAN технологии имели проблемы с топологией, т. к. Full-mesh строить было дорого, то использовалась топология hub-and-spoke, которая не имеет резерврования.

Благодаря MPLS стало возможно использовать full-mesh, но поверх 3го уровня. Внедрение VPN добавляет к сети приватность и безопасность.

Систематика VPN

На картинке показан процесс эволюции VPN и как он зависил от применяемых технологий.

Настройка frame mode MPLS

2010-06-02T06:47:17Z

Настройка MPLS производится на каждом роутере в MPLS домене.

Обычно провайдер использует протокол маршрутизации IGP (OSPF, EIGRP, IS-IS) и EGP (BGP). Соответственно маршрутизатор может содержать как внутрениие префиксы, так и внешние. Помимо этого роутер должен содержать таблицу CEF, MPLS FIB, LIB, LFIB, а также таблицы соседей для MPLS, EGP, IGP. Поэтому возникает большая нагрузка на ресурсы роутера. Для снижения нагрузки и внедрили MPLS.

MPLS включается на интерфейсе. Так как к заголовку пакета добавляется метка, то необходимо следить за MTU.

Процесс конфигурирования MPLS включает 3 этапа

Настройка CEF - должен быть включен.

Настройка MPLS в режиме frame mode на интерфейсе.

Настройка размера MTU, если необходимо.