Сайт cisco-conf.ruhttp://cisco-conf.ru/component/content/section/5.feed2013-12-21T05:43:07ZJoomla! 1.5 - Open Source Content ManagementНастройка AAA2010-07-01T11:45:34Z2010-07-01T11:45:34Zhttp://cisco-conf.ru/links/108--aaa.htmlAdministrator[email protected]<h2><strong>AAA компоненты.</strong></h2>
<p><strong>AAA - authentication, authorization and accounting.</strong></p>
<p><strong>Authentication</strong> отвечает на вопрос "Кто ты?". Т.е. определяет что пользователь тот кто должен быть. Другими словами это комбинация логин - пароль.</p>
<p><strong>Authorization</strong> отвечает на вопрос "Что этот пользователь вправе делать?".</p>
<p><strong>Accounting</strong> отвечает на вопрос "Что могут пользователи делать в сети?". Т.е. ведется статистика о том чем занимаются пользователи.</p>
<p>Важно заметить что <strong>Authorization</strong> и <strong>Accounting</strong> могут использоваться только после <strong>Authentication</strong>.</p>
<h2><strong>AAA режимы</strong></h2>
<p><strong>Character (буквенный режим) mode</strong> - используется на vty, TTY, AUX, CONSOLE портах, которые в основном используются для конфигурирования устройств</p>
<p><strong>Packet mode (пакетный режим)</strong> - используется на ASYNC, BRI, PRI, serial портах в основном для обеспечения аутентификации с другим устройством посредством dialer пор<strong>тов.</strong></p>
<p><strong></strong></p>
<h2><strong>
<h2><strong>AAA компоненты.</strong></h2>
<p><strong>AAA - authentication, authorization and accounting.</strong></p>
<p><strong>Authentication</strong> отвечает на вопрос "Кто ты?". Т.е. определяет что пользователь тот кто должен быть. Другими словами это комбинация логин - пароль.</p>
<p><strong>Authorization</strong> отвечает на вопрос "Что этот пользователь вправе делать?".</p>
<p><strong>Accounting</strong> отвечает на вопрос "Что могут пользователи делать в сети?". Т.е. ведется статистика о том чем занимаются пользователи.</p>
<p>Важно заметить что <strong>Authorization</strong> и <strong>Accounting</strong> могут использоваться только после <strong>Authentication</strong>.</p>
<h2><strong>AAA режимы</strong></h2>
<p><strong>Character (буквенный режим) mode</strong> - используется на vty, TTY, AUX, CONSOLE портах, которые в основном используются для конфигурирования устройств</p>
<p><strong>Packet mode (пакетный режим)</strong> - используется на ASYNC, BRI, PRI, serial портах в основном для обеспечения аутентификации с другим устройством посредством dialer пор<strong>тов.</strong></p>
<p><strong></strong></p>
<h2><strong>
Защита административного доступа2010-06-30T10:15:48Z2010-06-30T10:15:48Zhttp://cisco-conf.ru/links/107-2010-06-30-10-47-24.htmlAdministrator[email protected]<p>Доступ к устройству можно получить 3 способами:</p>
<ul>
<li><strong>CLI</strong></li>
<li><strong>Web interface</strong></li>
<li><strong>SNMP</strong></li>
</ul>
<p>Существуют определенные рекомендации для паролей:</p>
<ul>
<li>Минимальная длинна - должна быть как можно больше.</li>
<li>Буквы должны быть смешаны.</li>
<li>Не использовать слова словаря.</li>
<li>Периодически изменять пароли.</li>
</ul>
<p>Доступ к роутеру рекомендуется защищать помимо пароля еще и ACL.</p>
<p> </p>
<p>Доступ к устройству можно получить 3 способами:</p>
<ul>
<li><strong>CLI</strong></li>
<li><strong>Web interface</strong></li>
<li><strong>SNMP</strong></li>
</ul>
<p>Существуют определенные рекомендации для паролей:</p>
<ul>
<li>Минимальная длинна - должна быть как можно больше.</li>
<li>Буквы должны быть смешаны.</li>
<li>Не использовать слова словаря.</li>
<li>Периодически изменять пароли.</li>
</ul>
<p>Доступ к роутеру рекомендуется защищать помимо пароля еще и ACL.</p>
<p> </p>
Безопасность устройств cisco2010-06-23T07:18:59Z2010-06-23T07:18:59Zhttp://cisco-conf.ru/links/106--cisco.htmlAdministrator[email protected]<h2><strong>Безопасность роутера</strong></h2>
<p>Для удобства использования на роутерах по умолчанию включены различные сервисы. Эти сервисы создают угрозу для безопасности. При правильном дизайне сети роутеры находятся за файерволом, что исключает доступ к устройству или его сервисам из вне. Некоторые сетевые устройства помещают в зону DMZ в которой к ним открывается доступ. Не безопасное решение если роутер смотрит напрямую в интернет. В этом случае необходимо отключать открытые сервисы, и ограничивать доступ.</p>
<p><strong>Уязвимость сервисов роутера</strong></p>
<p>Сервисы роутера по угрозам безопасности группируются в след группы:</p>
<ul>
<li><strong>Unnecesary services and inderfaces </strong>(сервисы и интерфейсы в которых нет необходимости).</li>
<li><strong>Common management services</strong> (сервисы для управления устройством).</li>
<li><strong>Path integrity mechanisms</strong> (сервисы, которые влияют на <strong>forwarding plane</strong>).</li>
<li><strong>Probes and scans</strong> (сервисы, которые возвращают информацию атакующему).</li>
<li><strong>Terminal access security</strong> (сервисы, которые ограничивают доступ к роутеру).</li>
<li><strong>Gratuitous and proxy ARP</strong> (сервисы, помогающие идентифицировать устройство в сегменте).</li>
</ul>
<p>
<h2><strong>Безопасность роутера</strong></h2>
<p>Для удобства использования на роутерах по умолчанию включены различные сервисы. Эти сервисы создают угрозу для безопасности. При правильном дизайне сети роутеры находятся за файерволом, что исключает доступ к устройству или его сервисам из вне. Некоторые сетевые устройства помещают в зону DMZ в которой к ним открывается доступ. Не безопасное решение если роутер смотрит напрямую в интернет. В этом случае необходимо отключать открытые сервисы, и ограничивать доступ.</p>
<p><strong>Уязвимость сервисов роутера</strong></p>
<p>Сервисы роутера по угрозам безопасности группируются в след группы:</p>
<ul>
<li><strong>Unnecesary services and inderfaces </strong>(сервисы и интерфейсы в которых нет необходимости).</li>
<li><strong>Common management services</strong> (сервисы для управления устройством).</li>
<li><strong>Path integrity mechanisms</strong> (сервисы, которые влияют на <strong>forwarding plane</strong>).</li>
<li><strong>Probes and scans</strong> (сервисы, которые возвращают информацию атакующему).</li>
<li><strong>Terminal access security</strong> (сервисы, которые ограничивают доступ к роутеру).</li>
<li><strong>Gratuitous and proxy ARP</strong> (сервисы, помогающие идентифицировать устройство в сегменте).</li>
</ul>
<p>
Настройка CIsco Easy VPN2010-06-17T08:03:33Z2010-06-17T08:03:33Zhttp://cisco-conf.ru/links/105--cisco-easy-vpn.htmlAdministrator[email protected]<p>Cisco Easy VPN упрощает конфигурацию клиентов. Состоит из двух частей Easy VPN Remote и Easy VPN Server.</p>
<h2><strong>Компоненты Cisco Easy VPN.</strong></h2>
<p>Состоит из remote и server. Server позволяет устройствам (Rouetrs, PIX security appliance, VPN 3000 Concentrators) выступать в качестве headend устройств в site-to-site или remote-access VPN режимах. Эти устройства терминируют IPsec тунели непосредственно с ПК пользователей использующих Cisco VPN Client програмное обеспечение.</p>
<p><strong>Easy VPN Remote</strong></p>
<p>Позволяет устройствам (Rouetrs, PIX security appliance, VPN 3000 Concentrators) выступать в качестве удаленного VPN клиента. Они получают политики безопасности от Easy VPN Server. Что исключает потребность ручной конфигкрации. Easy VPN Remote обеспечивают автоматическое, централизованное управление для:</p>
<ul>
<li>Соглассования параметров туннелей (адреса, алгоритмы, время)</li>
<li>Набора параметров касающихся установки туннеля.</li>
<li>Автоматическое создание NAT PAT и ACL.</li>
<li>Аутентификация пользователей.</li>
<li>Управления ключами безопасности для шифрования/дешифрации.</li>
<li>Аутентификация шифрование и расшифровка туннельныз данных.</li>
</ul>
<p> </p>
<p>Cisco Easy VPN упрощает конфигурацию клиентов. Состоит из двух частей Easy VPN Remote и Easy VPN Server.</p>
<h2><strong>Компоненты Cisco Easy VPN.</strong></h2>
<p>Состоит из remote и server. Server позволяет устройствам (Rouetrs, PIX security appliance, VPN 3000 Concentrators) выступать в качестве headend устройств в site-to-site или remote-access VPN режимах. Эти устройства терминируют IPsec тунели непосредственно с ПК пользователей использующих Cisco VPN Client програмное обеспечение.</p>
<p><strong>Easy VPN Remote</strong></p>
<p>Позволяет устройствам (Rouetrs, PIX security appliance, VPN 3000 Concentrators) выступать в качестве удаленного VPN клиента. Они получают политики безопасности от Easy VPN Server. Что исключает потребность ручной конфигкрации. Easy VPN Remote обеспечивают автоматическое, централизованное управление для:</p>
<ul>
<li>Соглассования параметров туннелей (адреса, алгоритмы, время)</li>
<li>Набора параметров касающихся установки туннеля.</li>
<li>Автоматическое создание NAT PAT и ACL.</li>
<li>Аутентификация пользователей.</li>
<li>Управления ключами безопасности для шифрования/дешифрации.</li>
<li>Аутентификация шифрование и расшифровка туннельныз данных.</li>
</ul>
<p> </p>
IPsec доп возможности2010-06-10T10:32:46Z2010-06-10T10:32:46Zhttp://cisco-conf.ru/links/104-ipsec-.htmlAdministrator[email protected]<p>Источники отказа:</p>
<ul>
<li><strong>Access link</strong> отказ<br />Для предотвращения может быть использовано несколько интерфейсов или нескоько устройств.</li>
<li><strong>Отказ удаленного пира</strong><br />Предотвращается использованием нескольких пиров и интерфейсов, а также использование нескольких тунелей через разные инфраструктуры.</li>
<li><strong>Отказ устройства</strong><br />Использование нескольких устройств.</li>
<li><strong>Отказ на пути следованя пакета</strong><br />Использование нескольких путей с разными инфраструктурами.</li>
</ul>
<p> </p>
<p>Источники отказа:</p>
<ul>
<li><strong>Access link</strong> отказ<br />Для предотвращения может быть использовано несколько интерфейсов или нескоько устройств.</li>
<li><strong>Отказ удаленного пира</strong><br />Предотвращается использованием нескольких пиров и интерфейсов, а также использование нескольких тунелей через разные инфраструктуры.</li>
<li><strong>Отказ устройства</strong><br />Использование нескольких устройств.</li>
<li><strong>Отказ на пути следованя пакета</strong><br />Использование нескольких путей с разными инфраструктурами.</li>
</ul>
<p> </p>
GRE тунель поверх IPsec2010-06-10T05:41:01Z2010-06-10T05:41:01Zhttp://cisco-conf.ru/links/103-gre-ipsec.htmlAdministrator[email protected]<h2><strong>GRE характеристики</strong></h2>
<p>Сила GRE в том что он может инкапсулировать в себя все что угодно. Основное назначение GRE это перенос не-IP пакетов через IP сеть. Основные характеристики GRE туннеля:</p>
<ul>
<li><em>GRE</em> тунель похож на IPsec тунель, так как инкапсулирует оригинальный пакет полностью.</li>
<li><em>GRE</em> не имеет механизмов контроля потока.</li>
<li><em>GRE</em> добавляет 24 байт к заголовку, включая 20-байт заголовок.</li>
<li><em>GRE</em> является мультипротокольным и может переносить любой протокол 3го уровня.</li>
<li><em>GRE</em> позволяет работать протоколам маршрутизации через тунель.</li>
<li><em>GRE</em> может переносить мультикастовый трафик.</li>
<li><em>GRE</em> имеет слабую безопасность.</li>
</ul>
<p> </p>
<h2><strong>GRE характеристики</strong></h2>
<p>Сила GRE в том что он может инкапсулировать в себя все что угодно. Основное назначение GRE это перенос не-IP пакетов через IP сеть. Основные характеристики GRE туннеля:</p>
<ul>
<li><em>GRE</em> тунель похож на IPsec тунель, так как инкапсулирует оригинальный пакет полностью.</li>
<li><em>GRE</em> не имеет механизмов контроля потока.</li>
<li><em>GRE</em> добавляет 24 байт к заголовку, включая 20-байт заголовок.</li>
<li><em>GRE</em> является мультипротокольным и может переносить любой протокол 3го уровня.</li>
<li><em>GRE</em> позволяет работать протоколам маршрутизации через тунель.</li>
<li><em>GRE</em> может переносить мультикастовый трафик.</li>
<li><em>GRE</em> имеет слабую безопасность.</li>
</ul>
<p> </p>
Site-to-Site VPN IPsec2010-06-08T10:05:45Z2010-06-08T10:05:45Zhttp://cisco-conf.ru/links/102-site-to-site-vpn-ipsec.htmlAdministrator[email protected]<p>Site-to-Site VPN использует обычно такую топологию:</p>
<p><img src="images/stories/site_to_site_vpn.jpg" border="0" alt="Site to site vpn" width="500" height="173" /></p>
<h1><span style="color: #000000;">Создание Site-to-Site IPsec VPN</span></h1>
<p>Необходимо 5 шагов для создания IPsec VPN.</p>
<ol>
<li><strong>Выбрать интересующий трафик.</strong></li>
<li><strong>IKE фаза 1</strong></li>
<li><strong>IKE фаза 2</strong></li>
<li><strong>Безопасная передача данных</strong></li>
<li><strong>Закрытие IPsec тунеля</strong></li>
</ol>
<p> </p>
<p>Site-to-Site VPN использует обычно такую топологию:</p>
<p><img src="images/stories/site_to_site_vpn.jpg" border="0" alt="Site to site vpn" width="500" height="173" /></p>
<h1><span style="color: #000000;">Создание Site-to-Site IPsec VPN</span></h1>
<p>Необходимо 5 шагов для создания IPsec VPN.</p>
<ol>
<li><strong>Выбрать интересующий трафик.</strong></li>
<li><strong>IKE фаза 1</strong></li>
<li><strong>IKE фаза 2</strong></li>
<li><strong>Безопасная передача данных</strong></li>
<li><strong>Закрытие IPsec тунеля</strong></li>
</ol>
<p> </p>
Знакомство с IPSEC2010-06-07T08:05:25Z2010-06-07T08:05:25Zhttp://cisco-conf.ru/links/101--ipsec.htmlAdministrator[email protected]<p>IPsec является лучшим набором средств защиты IP данных при прохождении пакета из одного места в другое. IPsec защищает только IP 3й уровень и выше. IPsec использует шифрование данных.</p>
<p>IPsec состоит из следующих наборов протоколов, которые обеспечивают следующие возможности:</p>
<ul>
<li><strong>Data confidentiality</strong> (конфиденциальность данных) <br />обеспечивает приватность данных между участниками <strong>IPsec</strong> VPN. Причем эти каналы используются через Inernet. Данные шифруются, что и обеспечивает их конфиденциальность.</li>
<li><strong>Data intergrity </strong>(целостность данных)<br />гарантирует что полученные данные не были изменены или подменены при передаче через <strong>IPsec</strong> VPN. Обычно используется хэширование данных, и передача хэш ключа.</li>
<li><strong>Data origin authentication</strong> (проверка источника данных)<br />проверяет источник <strong>IPsec</strong> VPN. Подлинность источников проверяется на каждом конце тунеля.</li>
<li><strong>Anti-replay </strong>(проверка подделки данных)<br />проверяет что пакеты не были дублированы через VPN, используя последовательности (sequence number) и переменное окно (sliding window) принимающей стороной.</li>
</ul>
<ul>
</ul>
<p> </p>
<p>IPsec является лучшим набором средств защиты IP данных при прохождении пакета из одного места в другое. IPsec защищает только IP 3й уровень и выше. IPsec использует шифрование данных.</p>
<p>IPsec состоит из следующих наборов протоколов, которые обеспечивают следующие возможности:</p>
<ul>
<li><strong>Data confidentiality</strong> (конфиденциальность данных) <br />обеспечивает приватность данных между участниками <strong>IPsec</strong> VPN. Причем эти каналы используются через Inernet. Данные шифруются, что и обеспечивает их конфиденциальность.</li>
<li><strong>Data intergrity </strong>(целостность данных)<br />гарантирует что полученные данные не были изменены или подменены при передаче через <strong>IPsec</strong> VPN. Обычно используется хэширование данных, и передача хэш ключа.</li>
<li><strong>Data origin authentication</strong> (проверка источника данных)<br />проверяет источник <strong>IPsec</strong> VPN. Подлинность источников проверяется на каждом конце тунеля.</li>
<li><strong>Anti-replay </strong>(проверка подделки данных)<br />проверяет что пакеты не были дублированы через VPN, используя последовательности (sequence number) и переменное окно (sliding window) принимающей стороной.</li>
</ul>
<ul>
</ul>
<p> </p>
MPLS VPN2010-06-03T06:03:28Z2010-06-03T06:03:28Zhttp://cisco-conf.ru/the-news/100-mpls-vpn.htmlAdministrator[email protected]<p>MPLS VPN является WAN технологией 3го уровня. MPLS VPN пришла на замену старым WAN технологиям, так как они имели определенные проблемы. Старые WAN технологии имели проблемы с топологией, т. к. Full-mesh строить было дорого, то использовалась топология hub-and-spoke, которая не имеет резерврования.</p>
<p>Благодаря MPLS стало возможно использовать full-mesh, но поверх 3го уровня. Внедрение VPN добавляет к сети приватность и безопасность.</p>
<p>Систематика VPN<br /><img src="files/images/MPLS_VPN1.png" border="0" alt="MPLS VPN" title="MPLS VPN" width="468" height="205" /></p>
<p>На картинке показан процесс эволюции VPN и как он зависил от применяемых технологий.</p>
<p> </p>
<p>MPLS VPN является WAN технологией 3го уровня. MPLS VPN пришла на замену старым WAN технологиям, так как они имели определенные проблемы. Старые WAN технологии имели проблемы с топологией, т. к. Full-mesh строить было дорого, то использовалась топология hub-and-spoke, которая не имеет резерврования.</p>
<p>Благодаря MPLS стало возможно использовать full-mesh, но поверх 3го уровня. Внедрение VPN добавляет к сети приватность и безопасность.</p>
<p>Систематика VPN<br /><img src="files/images/MPLS_VPN1.png" border="0" alt="MPLS VPN" title="MPLS VPN" width="468" height="205" /></p>
<p>На картинке показан процесс эволюции VPN и как он зависил от применяемых технологий.</p>
<p> </p>
Настройка frame mode MPLS2010-06-02T06:47:17Z2010-06-02T06:47:17Zhttp://cisco-conf.ru/the-news/99--frame-mode-mpls.htmlAdministrator[email protected]<p>Настройка <strong>MPLS</strong> производится на каждом роутере в <strong>MPLS</strong> домене.</p>
<p>Обычно провайдер использует протокол маршрутизации <em>IGP (OSPF, EIGRP, IS-IS)</em> и <em>EGP (BGP)</em>. Соответственно маршрутизатор может содержать как внутрениие префиксы, так и внешние. Помимо этого роутер должен содержать таблицу <em>CEF, MPLS FIB, LIB, LFIB</em>, а также таблицы соседей для <strong>MPLS</strong>, <strong>EGP</strong>, <strong>IGP</strong>. Поэтому возникает большая нагрузка на ресурсы роутера. Для снижения нагрузки и внедрили MPLS.</p>
<p><strong>MPLS</strong> включается на интерфейсе. Так как к заголовку пакета добавляется метка, то необходимо следить за <strong>MTU</strong>.</p>
<p>Процесс конфигурирования <strong>MPLS</strong> включает 3 этапа</p>
<ol>
<li>Настройка <strong>CEF</strong> - должен быть включен.</li>
<li>Настройка <strong>MPLS</strong> в режиме frame mode на интерфейсе.</li>
<li>Настройка размера <strong>MTU</strong>, если необходимо.</li>
</ol>
<h2><strong>
<p>Настройка <strong>MPLS</strong> производится на каждом роутере в <strong>MPLS</strong> домене.</p>
<p>Обычно провайдер использует протокол маршрутизации <em>IGP (OSPF, EIGRP, IS-IS)</em> и <em>EGP (BGP)</em>. Соответственно маршрутизатор может содержать как внутрениие префиксы, так и внешние. Помимо этого роутер должен содержать таблицу <em>CEF, MPLS FIB, LIB, LFIB</em>, а также таблицы соседей для <strong>MPLS</strong>, <strong>EGP</strong>, <strong>IGP</strong>. Поэтому возникает большая нагрузка на ресурсы роутера. Для снижения нагрузки и внедрили MPLS.</p>
<p><strong>MPLS</strong> включается на интерфейсе. Так как к заголовку пакета добавляется метка, то необходимо следить за <strong>MTU</strong>.</p>
<p>Процесс конфигурирования <strong>MPLS</strong> включает 3 этапа</p>
<ol>
<li>Настройка <strong>CEF</strong> - должен быть включен.</li>
<li>Настройка <strong>MPLS</strong> в режиме frame mode на интерфейсе.</li>
<li>Настройка размера <strong>MTU</strong>, если необходимо.</li>
</ol>
<h2><strong>