AAA - authentication, authorization and accounting.
Authentication отвечает на вопрос "Кто ты?". Т.е. определяет что пользователь тот кто должен быть. Другими словами это комбинация логин - пароль.
Authorization отвечает на вопрос "Что этот пользователь вправе делать?".
Accounting отвечает на вопрос "Что могут пользователи делать в сети?". Т.е. ведется статистика о том чем занимаются пользователи.
Важно заметить что Authorization и Accounting могут использоваться только после Authentication.
AAA режимы
Character (буквенный режим) mode - используется на vty, TTY, AUX, CONSOLE портах, которые в основном используются для конфигурирования устройств
Packet mode (пакетный режим) - используется на ASYNC, BRI, PRI, serial портах в основном для обеспечения аутентификации с другим устройством посредством dialer портов.
]]>
- CLI
- Web interface
- SNMP
Существуют определенные рекомендации для паролей:
- Минимальная длинна - должна быть как можно больше.
- Буквы должны быть смешаны.
- Не использовать слова словаря.
- Периодически изменять пароли.
Доступ к роутеру рекомендуется защищать помимо пароля еще и ACL.
]]>
Для удобства использования на роутерах по умолчанию включены различные сервисы. Эти сервисы создают угрозу для безопасности. При правильном дизайне сети роутеры находятся за файерволом, что исключает доступ к устройству или его сервисам из вне. Некоторые сетевые устройства помещают в зону DMZ в которой к ним открывается доступ. Не безопасное решение если роутер смотрит напрямую в интернет. В этом случае необходимо отключать открытые сервисы, и ограничивать доступ.
Уязвимость сервисов роутера
Сервисы роутера по угрозам безопасности группируются в след группы:
- Unnecesary services and inderfaces (сервисы и интерфейсы в которых нет необходимости).
- Common management services (сервисы для управления устройством).
- Path integrity mechanisms (сервисы, которые влияют на forwarding plane).
- Probes and scans (сервисы, которые возвращают информацию атакующему).
- Terminal access security (сервисы, которые ограничивают доступ к роутеру).
- Gratuitous and proxy ARP (сервисы, помогающие идентифицировать устройство в сегменте).
]]>
Компоненты Cisco Easy VPN.
Состоит из remote и server. Server позволяет устройствам (Rouetrs, PIX security appliance, VPN 3000 Concentrators) выступать в качестве headend устройств в site-to-site или remote-access VPN режимах. Эти устройства терминируют IPsec тунели непосредственно с ПК пользователей использующих Cisco VPN Client програмное обеспечение.
Easy VPN Remote
Позволяет устройствам (Rouetrs, PIX security appliance, VPN 3000 Concentrators) выступать в качестве удаленного VPN клиента. Они получают политики безопасности от Easy VPN Server. Что исключает потребность ручной конфигкрации. Easy VPN Remote обеспечивают автоматическое, централизованное управление для:
- Соглассования параметров туннелей (адреса, алгоритмы, время)
- Набора параметров касающихся установки туннеля.
- Автоматическое создание NAT PAT и ACL.
- Аутентификация пользователей.
- Управления ключами безопасности для шифрования/дешифрации.
- Аутентификация шифрование и расшифровка туннельныз данных.
]]>
- Access link отказ
Для предотвращения может быть использовано несколько интерфейсов или нескоько устройств. - Отказ удаленного пира
Предотвращается использованием нескольких пиров и интерфейсов, а также использование нескольких тунелей через разные инфраструктуры. - Отказ устройства
Использование нескольких устройств. - Отказ на пути следованя пакета
Использование нескольких путей с разными инфраструктурами.
]]>
Сила GRE в том что он может инкапсулировать в себя все что угодно. Основное назначение GRE это перенос не-IP пакетов через IP сеть. Основные характеристики GRE туннеля:
- GRE тунель похож на IPsec тунель, так как инкапсулирует оригинальный пакет полностью.
- GRE не имеет механизмов контроля потока.
- GRE добавляет 24 байт к заголовку, включая 20-байт заголовок.
- GRE является мультипротокольным и может переносить любой протокол 3го уровня.
- GRE позволяет работать протоколам маршрутизации через тунель.
- GRE может переносить мультикастовый трафик.
- GRE имеет слабую безопасность.
]]>
Создание Site-to-Site IPsec VPN
Необходимо 5 шагов для создания IPsec VPN.
- Выбрать интересующий трафик.
- IKE фаза 1
- IKE фаза 2
- Безопасная передача данных
- Закрытие IPsec тунеля
]]>
IPsec состоит из следующих наборов протоколов, которые обеспечивают следующие возможности:
- Data confidentiality (конфиденциальность данных)
обеспечивает приватность данных между участниками IPsec VPN. Причем эти каналы используются через Inernet. Данные шифруются, что и обеспечивает их конфиденциальность. - Data intergrity (целостность данных)
гарантирует что полученные данные не были изменены или подменены при передаче через IPsec VPN. Обычно используется хэширование данных, и передача хэш ключа. - Data origin authentication (проверка источника данных)
проверяет источник IPsec VPN. Подлинность источников проверяется на каждом конце тунеля. - Anti-replay (проверка подделки данных)
проверяет что пакеты не были дублированы через VPN, используя последовательности (sequence number) и переменное окно (sliding window) принимающей стороной.
]]>
Благодаря MPLS стало возможно использовать full-mesh, но поверх 3го уровня. Внедрение VPN добавляет к сети приватность и безопасность.
Систематика VPN
На картинке показан процесс эволюции VPN и как он зависил от применяемых технологий.
]]>
Обычно провайдер использует протокол маршрутизации IGP (OSPF, EIGRP, IS-IS) и EGP (BGP). Соответственно маршрутизатор может содержать как внутрениие префиксы, так и внешние. Помимо этого роутер должен содержать таблицу CEF, MPLS FIB, LIB, LFIB, а также таблицы соседей для MPLS, EGP, IGP. Поэтому возникает большая нагрузка на ресурсы роутера. Для снижения нагрузки и внедрили MPLS.
MPLS включается на интерфейсе. Так как к заголовку пакета добавляется метка, то необходимо следить за MTU.
Процесс конфигурирования MPLS включает 3 этапа
- Настройка CEF - должен быть включен.
- Настройка MPLS в режиме frame mode на интерфейсе.
- Настройка размера MTU, если необходимо.