AAA - authentication, authorization and accounting.
Authentication отвечает на вопрос "Кто ты?". Т.е. определяет что пользователь тот кто должен быть. Другими словами это комбинация логин - пароль.
Authorization отвечает на вопрос "Что этот пользователь вправе делать?".
Accounting отвечает на вопрос "Что могут пользователи делать в сети?". Т.е. ведется статистика о том чем занимаются пользователи.
Важно заметить что Authorization и Accounting могут использоваться только после Authentication.
Character (буквенный режим) mode - используется на vty, TTY, AUX, CONSOLE портах, которые в основном используются для конфигурирования устройств
Packet mode (пакетный режим) - используется на ASYNC, BRI, PRI, serial портах в основном для обеспечения аутентификации с другим устройством посредством dialer портов.
Существуют определенные рекомендации для паролей:
Доступ к роутеру рекомендуется защищать помимо пароля еще и ACL.
]]>
Для удобства использования на роутерах по умолчанию включены различные сервисы. Эти сервисы создают угрозу для безопасности. При правильном дизайне сети роутеры находятся за файерволом, что исключает доступ к устройству или его сервисам из вне. Некоторые сетевые устройства помещают в зону DMZ в которой к ним открывается доступ. Не безопасное решение если роутер смотрит напрямую в интернет. В этом случае необходимо отключать открытые сервисы, и ограничивать доступ.
Уязвимость сервисов роутера
Сервисы роутера по угрозам безопасности группируются в след группы:
]]>
Состоит из remote и server. Server позволяет устройствам (Rouetrs, PIX security appliance, VPN 3000 Concentrators) выступать в качестве headend устройств в site-to-site или remote-access VPN режимах. Эти устройства терминируют IPsec тунели непосредственно с ПК пользователей использующих Cisco VPN Client програмное обеспечение.
Easy VPN Remote
Позволяет устройствам (Rouetrs, PIX security appliance, VPN 3000 Concentrators) выступать в качестве удаленного VPN клиента. Они получают политики безопасности от Easy VPN Server. Что исключает потребность ручной конфигкрации. Easy VPN Remote обеспечивают автоматическое, централизованное управление для:
]]>
]]>
Сила GRE в том что он может инкапсулировать в себя все что угодно. Основное назначение GRE это перенос не-IP пакетов через IP сеть. Основные характеристики GRE туннеля:
]]>
Необходимо 5 шагов для создания IPsec VPN.
]]>
IPsec состоит из следующих наборов протоколов, которые обеспечивают следующие возможности:
]]>
Благодаря MPLS стало возможно использовать full-mesh, но поверх 3го уровня. Внедрение VPN добавляет к сети приватность и безопасность.
Систематика VPN
На картинке показан процесс эволюции VPN и как он зависил от применяемых технологий.
]]>
Обычно провайдер использует протокол маршрутизации IGP (OSPF, EIGRP, IS-IS) и EGP (BGP). Соответственно маршрутизатор может содержать как внутрениие префиксы, так и внешние. Помимо этого роутер должен содержать таблицу CEF, MPLS FIB, LIB, LFIB, а также таблицы соседей для MPLS, EGP, IGP. Поэтому возникает большая нагрузка на ресурсы роутера. Для снижения нагрузки и внедрили MPLS.
MPLS включается на интерфейсе. Так как к заголовку пакета добавляется метка, то необходимо следить за MTU.
Процесс конфигурирования MPLS включает 3 этапа